10 gestao seguranca informacao
DESCRIPTION
10 Gestao Seguranca InformacaoTRANSCRIPT
-
Italo Valcy Seg e Auditoria de SI, 2013.1
MATC99 Segurana e Auditoria de Sistemas de Informao
Italo Valcy
Gesto de Segurana da Informao(Normas ISO 27001 e 27002)
-
Italo Valcy Seg e Auditoria de SI, 2013.1 2 / 27
Licena de uso e distribuio
EstematerialfoibaseadonasaulasdoProfMarcosDosea/UFS,disponiveisem:http://www.campusitabaiana.ufs.br/dsi
-
Italo Valcy Seg e Auditoria de SI, 2013.1 3 / 27
Introduo
BS 7799-2:2002 >> ISO/IEC 27001:2005Implantar um SGSI (Sistema de Gesto de Segurana da Informao)
BS 7799:1995 >> ISO/IEC 17799:2000 >> ISO/IEC 27002:2005
Cdigo de Prticas para Gesto de Segurana da Informao.
27004 e 27003: Gesto de SI (Medio) e Guia de Impl. SGSI
27006 e 27007: Requisitos e diretrizes para Auditoria de um SGSI
15999:1 e 15999:2 Gesto de continuidade de negcios (cdigo de pratica e requisitos)
-
Italo Valcy Seg e Auditoria de SI, 2013.1 4 / 27
ISO/IEC 27001
Prover um modelo para estabelecer, implantar, operar, monitorar, rever, manter e melhorar um
Sistema de Gesto da Segurana da Informao. Avaliar a conformidade por partes
interessadas internas e externas.
-
Italo Valcy Seg e Auditoria de SI, 2013.1 5 / 27
Estrutura do modelo ISO 27001
Adota o ciclo PDCA (Plan-Do-Ckeck-Act) tambm conhecido como ciclo de Deming.
-
Italo Valcy Seg e Auditoria de SI, 2013.1 6 / 27
Estrutura do modelo ISO 27001
Organizao deve entender os requisitos de segurana e a necessidade de estabelecer uma poltica e objetivos de segurana
da informao.
-
Italo Valcy Seg e Auditoria de SI, 2013.1 7 / 27
Estrutura do modelo ISO 27001
Implementar e operar controles para gerenciar os riscos de segurana da informao.
-
Italo Valcy Seg e Auditoria de SI, 2013.1 8 / 27
Estrutura do modelo ISO 27001
Monitorar e rever o desempenho e a eficcia do SGSI.
-
Italo Valcy Seg e Auditoria de SI, 2013.1 9 / 27
Estrutura do modelo ISO 27001
Prover a melhoria contnua com base em medies objetivas.
-
Italo Valcy Seg e Auditoria de SI, 2013.1 10 / 27
Norma ISO/IEC 27001
Introduo
Objetivo
Referencia normativa
Termos e definies
Sistema de Gesto da Segurana da Informao (SGSI)
Responsabilidade da Administrao
Auditorias Internas
Reviso do SGSI pela Administrao
A Melhoria do SGSI
AnexosA (normativo objetivos de controle e controle 27002), B e C (informativos)
-
Italo Valcy Seg e Auditoria de SI, 2013.1 11 / 27
SGSI
A Organizao deve definir a poltica para o SGSI, o escopo e os limites.
Deve identificar, analisar e avaliar os riscos.
Selecionar os objetivos de controle e os controles para o tratamento do risco.
Formular e implementar um plano de tratamento de riscos que identifique aes gerenciais, recursos, responsabilidades e prioridades.
-
Italo Valcy Seg e Auditoria de SI, 2013.1 12 / 27
SGSI
Deve definir procedimentos de controle para medir a eficcia dos controles ou grupos de controle.
Implementar programas de treinamento e de conscientizao.
Realizar revises peridicas de eficcia do SGSI e rever os riscos residuais no tratados.
Conduzir auditorias internas do SGSI em intervalos planejados.
-
Italo Valcy Seg e Auditoria de SI, 2013.1 13 / 27
SGSI
Atualizar os planos de segurana, levando em considerao os resultados do monitoramento.
Tomar aes corretivas e preventivas comunicando-as aos interessados.
-
Italo Valcy Seg e Auditoria de SI, 2013.1 14 / 27
NBR ISO/IEC 27001
Sistema de Gesto da Segurana da Informao (SGSI)
Responsabilidade da Administrao
Auditorias Internas
Reviso do SGSI pela Administrao
A Melhoria do SGSI
-
Italo Valcy Seg e Auditoria de SI, 2013.1 15 / 27
Responsabilidade da administrao
Deve estabelecer a poltica para o SGSI
Assegurar que os objetivos e planos foram estabelecidos.
Estabelecer papis e responsabilidades.
Comunicar a organizao acerca da importncia de atender os objetivos e polticas.
-
Italo Valcy Seg e Auditoria de SI, 2013.1 16 / 27
Responsabilidade da administrao
Prover recursos suficientes para implementar, operar, monitorar, rever, manter e melhorar o SGSI.
Garantir a competncia do pessoal para desempenhar as atividades requeridas.
-
Italo Valcy Seg e Auditoria de SI, 2013.1 17 / 27
NBR ISO/IEC 27001
Sistema de Gesto da Segurana da Informao (SGSI)
Responsabilidade da Administrao
Auditorias Internas
Reviso do SGSI pela Administrao
A Melhoria do SGSI
-
Italo Valcy Seg e Auditoria de SI, 2013.1 18 / 27
Auditorias Internas
Conformidade com requisitos da norma e demais requisitos legais e regulatrios.
Conformidade com requisitos de segurana da informao identificados.
Esto implementados e mantidos de forma efetiva.
Esto sendo desempenhados como esperado.
-
Italo Valcy Seg e Auditoria de SI, 2013.1 19 / 27
NBR ISO/IEC 27001
Sistema de Gesto da Segurana da Informao (SGSI)
Responsabilidade da Administrao
Auditorias Internas
Reviso do SGSI pela Administrao
A Melhoria do SGSI
-
Italo Valcy Seg e Auditoria de SI, 2013.1 20 / 27
Reviso do SGSI pela Administrao
Deve revisar o SGSI pelo menos uma vez por ano, para assegurar sua contnua adequao e eficcia.
Deve considerar: resultado das auditorias
Feedback das partes interessadas
Status das aes corretivas e preventivas
Vulnerabilidades e ameaas no tratadas
Mudanas nos requisitos e recomendaes de melhoria.
-
Italo Valcy Seg e Auditoria de SI, 2013.1 21 / 27
NBR ISO/IEC 27001
Sistema de Gesto da Segurana da Informao (SGSI)
Responsabilidade da Administrao
Auditorias Internas
Reviso do SGSI pela Administrao
A Melhoria do SGSI
-
Italo Valcy Seg e Auditoria de SI, 2013.1 22 / 27
A melhoria do SGSI
A melhoria contnua da eficcia do SGSI deve ser realizada atravs do uso:
Poltica de Segurana da Informao
Objetivos de Segurana da Informao
Resultados de Auditoria
Anlise de Eventos Monitorados
Aes Corretivas e Preventivas
Revises gerenciais.
-
Italo Valcy Seg e Auditoria de SI, 2013.1 23 / 27
ISO/IEC 27002
-
Italo Valcy Seg e Auditoria de SI, 2013.1 24 / 27
Estrutura da norma 27002
Poltica de Segurana da Informao
Organizando a Segurana da Informao
Gesto de Ativos
Segurana em Recursos Humanos
Segurana Fsica do Ambiente
Gesto das Operaes e Comunicaes
Controle de Acesso
Aquisio, Desenvolvimento e Manuteno de Sistemas.
Gesto de Incidentes de Segurana da Informao
Gesto da Continuidade do Negcio
Conformidade.
-
Italo Valcy Seg e Auditoria de SI, 2013.1 25 / 27
Poltica de Segurana da Informao
a expresso formal das regras pelas quais fornecido acesso aos recursos
tecnolgicos da empresa.
-
Italo Valcy Seg e Auditoria de SI, 2013.1 26 / 27
Poltica de Segurana da Informao
Orientar, por meio de suas diretrizes, todas as aes de segurana, para reduo de riscos e garantir a integridade, sigilo e disponibilidade das informaes dos sistemas de informao e recursos;
Permitir a adoo de solues de segurana integradas;
Servir de referncia para auditoria, apurao e avaliao de responsabilidades
-
Italo Valcy Seg e Auditoria de SI, 2013.1 27 / 27
Exerccio
Pesquisar 3 polticas de segurana de instituies diferentes:
Verificar pontos comuns
Verificar escopo de abrangncia de cada um
Verificar pontos de divergncia
Slide 1Slide 2Slide 3Slide 4Slide 5Slide 6Slide 7Slide 8Slide 9Slide 10Slide 11Slide 12Slide 13Slide 14Slide 15Slide 16Slide 17Slide 18Slide 19Slide 20Slide 21Slide 22Slide 23Slide 24Slide 25Slide 26Slide 27