Upload File

10 gestao seguranca informacao

27
Italo Valcy Seg e Auditoria de SI, 2013.1 MATC99 – Segurança e Auditoria de Sistemas de Informação Italo Valcy <[email protected]> Gestão de Segurança da Informação (Normas ISO 27001 e 27002)

Upload: kleberbranco1420

Post on 10-Sep-2015

213 views

Category:

Documents


0 download

Report

Tags:

DESCRIPTION

10 Gestao Seguranca Informacao

TRANSCRIPT

  • Italo Valcy Seg e Auditoria de SI, 2013.1

    MATC99 Segurana e Auditoria de Sistemas de Informao

    Italo Valcy

    Gesto de Segurana da Informao(Normas ISO 27001 e 27002)

  • Italo Valcy Seg e Auditoria de SI, 2013.1 2 / 27

    Licena de uso e distribuio

    EstematerialfoibaseadonasaulasdoProfMarcosDosea/UFS,disponiveisem:http://www.campusitabaiana.ufs.br/dsi

  • Italo Valcy Seg e Auditoria de SI, 2013.1 3 / 27

    Introduo

    BS 7799-2:2002 >> ISO/IEC 27001:2005Implantar um SGSI (Sistema de Gesto de Segurana da Informao)

    BS 7799:1995 >> ISO/IEC 17799:2000 >> ISO/IEC 27002:2005

    Cdigo de Prticas para Gesto de Segurana da Informao.

    27004 e 27003: Gesto de SI (Medio) e Guia de Impl. SGSI

    27006 e 27007: Requisitos e diretrizes para Auditoria de um SGSI

    15999:1 e 15999:2 Gesto de continuidade de negcios (cdigo de pratica e requisitos)

  • Italo Valcy Seg e Auditoria de SI, 2013.1 4 / 27

    ISO/IEC 27001

    Prover um modelo para estabelecer, implantar, operar, monitorar, rever, manter e melhorar um

    Sistema de Gesto da Segurana da Informao. Avaliar a conformidade por partes

    interessadas internas e externas.

  • Italo Valcy Seg e Auditoria de SI, 2013.1 5 / 27

    Estrutura do modelo ISO 27001

    Adota o ciclo PDCA (Plan-Do-Ckeck-Act) tambm conhecido como ciclo de Deming.

  • Italo Valcy Seg e Auditoria de SI, 2013.1 6 / 27

    Estrutura do modelo ISO 27001

    Organizao deve entender os requisitos de segurana e a necessidade de estabelecer uma poltica e objetivos de segurana

    da informao.

  • Italo Valcy Seg e Auditoria de SI, 2013.1 7 / 27

    Estrutura do modelo ISO 27001

    Implementar e operar controles para gerenciar os riscos de segurana da informao.

  • Italo Valcy Seg e Auditoria de SI, 2013.1 8 / 27

    Estrutura do modelo ISO 27001

    Monitorar e rever o desempenho e a eficcia do SGSI.

  • Italo Valcy Seg e Auditoria de SI, 2013.1 9 / 27

    Estrutura do modelo ISO 27001

    Prover a melhoria contnua com base em medies objetivas.

  • Italo Valcy Seg e Auditoria de SI, 2013.1 10 / 27

    Norma ISO/IEC 27001

    Introduo

    Objetivo

    Referencia normativa

    Termos e definies

    Sistema de Gesto da Segurana da Informao (SGSI)

    Responsabilidade da Administrao

    Auditorias Internas

    Reviso do SGSI pela Administrao

    A Melhoria do SGSI

    AnexosA (normativo objetivos de controle e controle 27002), B e C (informativos)

  • Italo Valcy Seg e Auditoria de SI, 2013.1 11 / 27

    SGSI

    A Organizao deve definir a poltica para o SGSI, o escopo e os limites.

    Deve identificar, analisar e avaliar os riscos.

    Selecionar os objetivos de controle e os controles para o tratamento do risco.

    Formular e implementar um plano de tratamento de riscos que identifique aes gerenciais, recursos, responsabilidades e prioridades.

  • Italo Valcy Seg e Auditoria de SI, 2013.1 12 / 27

    SGSI

    Deve definir procedimentos de controle para medir a eficcia dos controles ou grupos de controle.

    Implementar programas de treinamento e de conscientizao.

    Realizar revises peridicas de eficcia do SGSI e rever os riscos residuais no tratados.

    Conduzir auditorias internas do SGSI em intervalos planejados.

  • Italo Valcy Seg e Auditoria de SI, 2013.1 13 / 27

    SGSI

    Atualizar os planos de segurana, levando em considerao os resultados do monitoramento.

    Tomar aes corretivas e preventivas comunicando-as aos interessados.

  • Italo Valcy Seg e Auditoria de SI, 2013.1 14 / 27

    NBR ISO/IEC 27001

    Sistema de Gesto da Segurana da Informao (SGSI)

    Responsabilidade da Administrao

    Auditorias Internas

    Reviso do SGSI pela Administrao

    A Melhoria do SGSI

  • Italo Valcy Seg e Auditoria de SI, 2013.1 15 / 27

    Responsabilidade da administrao

    Deve estabelecer a poltica para o SGSI

    Assegurar que os objetivos e planos foram estabelecidos.

    Estabelecer papis e responsabilidades.

    Comunicar a organizao acerca da importncia de atender os objetivos e polticas.

  • Italo Valcy Seg e Auditoria de SI, 2013.1 16 / 27

    Responsabilidade da administrao

    Prover recursos suficientes para implementar, operar, monitorar, rever, manter e melhorar o SGSI.

    Garantir a competncia do pessoal para desempenhar as atividades requeridas.

  • Italo Valcy Seg e Auditoria de SI, 2013.1 17 / 27

    NBR ISO/IEC 27001

    Sistema de Gesto da Segurana da Informao (SGSI)

    Responsabilidade da Administrao

    Auditorias Internas

    Reviso do SGSI pela Administrao

    A Melhoria do SGSI

  • Italo Valcy Seg e Auditoria de SI, 2013.1 18 / 27

    Auditorias Internas

    Conformidade com requisitos da norma e demais requisitos legais e regulatrios.

    Conformidade com requisitos de segurana da informao identificados.

    Esto implementados e mantidos de forma efetiva.

    Esto sendo desempenhados como esperado.

  • Italo Valcy Seg e Auditoria de SI, 2013.1 19 / 27

    NBR ISO/IEC 27001

    Sistema de Gesto da Segurana da Informao (SGSI)

    Responsabilidade da Administrao

    Auditorias Internas

    Reviso do SGSI pela Administrao

    A Melhoria do SGSI

  • Italo Valcy Seg e Auditoria de SI, 2013.1 20 / 27

    Reviso do SGSI pela Administrao

    Deve revisar o SGSI pelo menos uma vez por ano, para assegurar sua contnua adequao e eficcia.

    Deve considerar: resultado das auditorias

    Feedback das partes interessadas

    Status das aes corretivas e preventivas

    Vulnerabilidades e ameaas no tratadas

    Mudanas nos requisitos e recomendaes de melhoria.

  • Italo Valcy Seg e Auditoria de SI, 2013.1 21 / 27

    NBR ISO/IEC 27001

    Sistema de Gesto da Segurana da Informao (SGSI)

    Responsabilidade da Administrao

    Auditorias Internas

    Reviso do SGSI pela Administrao

    A Melhoria do SGSI

  • Italo Valcy Seg e Auditoria de SI, 2013.1 22 / 27

    A melhoria do SGSI

    A melhoria contnua da eficcia do SGSI deve ser realizada atravs do uso:

    Poltica de Segurana da Informao

    Objetivos de Segurana da Informao

    Resultados de Auditoria

    Anlise de Eventos Monitorados

    Aes Corretivas e Preventivas

    Revises gerenciais.

  • Italo Valcy Seg e Auditoria de SI, 2013.1 23 / 27

    ISO/IEC 27002

  • Italo Valcy Seg e Auditoria de SI, 2013.1 24 / 27

    Estrutura da norma 27002

    Poltica de Segurana da Informao

    Organizando a Segurana da Informao

    Gesto de Ativos

    Segurana em Recursos Humanos

    Segurana Fsica do Ambiente

    Gesto das Operaes e Comunicaes

    Controle de Acesso

    Aquisio, Desenvolvimento e Manuteno de Sistemas.

    Gesto de Incidentes de Segurana da Informao

    Gesto da Continuidade do Negcio

    Conformidade.

  • Italo Valcy Seg e Auditoria de SI, 2013.1 25 / 27

    Poltica de Segurana da Informao

    a expresso formal das regras pelas quais fornecido acesso aos recursos

    tecnolgicos da empresa.

  • Italo Valcy Seg e Auditoria de SI, 2013.1 26 / 27

    Poltica de Segurana da Informao

    Orientar, por meio de suas diretrizes, todas as aes de segurana, para reduo de riscos e garantir a integridade, sigilo e disponibilidade das informaes dos sistemas de informao e recursos;

    Permitir a adoo de solues de segurana integradas;

    Servir de referncia para auditoria, apurao e avaliao de responsabilidades

  • Italo Valcy Seg e Auditoria de SI, 2013.1 27 / 27

    Exerccio

    Pesquisar 3 polticas de segurana de instituies diferentes:

    Verificar pontos comuns

    Verificar escopo de abrangncia de cada um

    Verificar pontos de divergncia

    Slide 1Slide 2Slide 3Slide 4Slide 5Slide 6Slide 7Slide 8Slide 9Slide 10Slide 11Slide 12Slide 13Slide 14Slide 15Slide 16Slide 17Slide 18Slide 19Slide 20Slide 21Slide 22Slide 23Slide 24Slide 25Slide 26Slide 27


Manual Gestao Predial

Links Gestao Portuaria

Teoria e Normas de Seguranca p Bacen Aula 00 Aula Demo Normas Seguranca Bacen 20030

GESTAO 4 Marketing

Seguranca eletrica

Informatica_Tecnicas Da Informacao e Comunicacao_2013

OHSAS 18002 - 2000 - Sistema de Gestao de Seguranca e Saude Ocupacional

KMBT C224e informacao-20211124154710

2002 - Hidropolitica e Seguranca

gestao escolar participativa

Gestao de Marketing

NBR 18801 - Sistema de Gestao Da Seguranca e Saude No Trabalho - Requisitos

Manual InfoPen Gestao

Fundamentos Gestao Organizacional

Plano Seguranca 2015

P.R. Manual Seguranca Alimentar

Sistemas de seguranca

resumo gestao conhecimento

Cartilha Seguranca Web

SECOND PARTY OPINION - marfrig.com.br · sistema de gestao integrado Marfrig qualidade, saude e seguranca, meio ambiente e responsabilidade social) and its Sustainability Report

The Seguranca Vigilancia

Apontamentos de Seguranca

14-GESTAO AMBIENTAL

Guia Gestao Comportamental

Manual Gestao Financeira

Mandado de seguranca cesvasf

OHSAS 18002 - 2000 - Sistema de gestao de seguranca e saude ocupacional.pdf

Seguranca de Transito

Seguranca em APP Rails

Definicao Dos Requisitos Do Cargo de Gestao de Seguranca Port

22221996 Impactos Da Virtualizacao Na Seguranca Informacao

Seguranca Nutricional

Inspecao Seguranca Combate Incendio

(673729815) Seguranca Com Empilhadeira

Manual Seguranca Paciente