Introdução à Série ISO/IEC 27k

View
509
Download
2
Category

Leadership & Management

Preview:

DESCRIPTION

Material da disciplina Segurança da Informação, lecionado no Instituto Federal de Rondônia - Ariquemes

Citation preview

IntroduçãoAlgumas Organizações de Padronização

IntroduçãoHierarquia das Organizações

INTERNACIONAL

NACIONAL

IEC/ISO

ABNTBrasil

BSIInglaterra

ANSIEstados Unidos

IntroduçãoPor que Padronizar?

IntroduçãoObjetivos das Normas

É aquilo que se estabelece como medida para a realização de uma atividade.

Uma norma tem como propósito definir regras e instrumentos de controle para assegurar a conformidade de um processo, produto ou serviço.

IntroduçãoOs objetivos das normas segundo a ABNT são:

Comunicação: proporcionar meios mais eficientes na troca de informação entre o fabricante e o cliente, melhorando a confiabilidade das relações comerciais e de serviços;

Segurança: proteger a vida humana e a saúde;

IntroduçãoOs objetivos das normas segundo a ABNT são:

Proteção do consumidor: prover a sociedade de mecanismos eficazes para aferir qualidade de produtos;

Eliminação de barreiras técnicas e comerciais: evitar a existência de regulamentos conflitantes sobre produtos e serviços em diferentes países, facilitando assim, o intercâmbio comercial.

IntroduçãoComo tudo começou

Fundação do BSI (1901)Presente em mais de 86 paísesFórum normalizador do Reino Unido.Principal membro fundador do ISO.

IntroduçãoAs normas BS 7799

Códigos de Boas Práticas para o Gerenciamento da Segurança da Informação;

NORMA ANO

1995BS 7799-1

IntroduçãoAs normas BS 7799

Sistema de Gerenciamento da Segurança da Informação;

NORMA ANO

1999BS 7799-2

IntroduçãoAs normas BS 7799

Análise e Gerenciamento de Riscos;

NORMA ANO

2005BS 7799-3

IntroduçãoA norma ISO/IEC 17799

A norma ISO/IEC 17799 é uma cópia fiel do padrão britânico BS 7799-1. Em 2007 foi renomeada para ISO/IEC 27002

NORMA ANO

2000ISO/IEC 17799

IntroduçãoHerança de Normas

BS 7799-1 BS 7799-2 BS 7799-3

ISO/IEC 17799

ISO/IEC 27002

ISO/IEC 27001

ISO/IEC 27000 ISO/IEC 27005

Série ISO/IEC 27K

27002 2700327001 2700527004

Overview

Define os requisitos para um sistemas de gestão de segurança da informação.

Série ISO/IEC 27K

27002 2700327001 2700527004

Overview

Boas práticas para a gestão de segurança da informação.

Série ISO/IEC 27K

27002 2700327001 2700527004

Overview

Guia para a implantação de um sistema de gestão de segurança da informação.

Série ISO/IEC 27K

27002 2700327001 2700527004

Overview

Define métricas e meios de medição para avaliar a eficácia de um sistema de gestão de segurança da informação.

Série ISO/IEC 27K

27002 2700327001 2700527004

Overview

Fornece as diretrizes para o processo de gestão de riscos de segurança da informação.

Série ISO/IEC 27KEstrutura da norma 27001

0. Introdução1. Objetivo

2. Referência Normativa3. Termos e definições

4. Sistema de gestão de segurança da informação(Requisitos gerais / Estabelecendo e gerenciando o SGSI / Requisitos de documentação)

5. Responsabilidades da direção(Comprometimento da direção / Gestão de recursos)

6. Auditorias internas do SGSI7. Análise crítica do SGSI pela direção

(Geral / Entradas para análise crítica / Saídas da análise crítica)

8. Melhorias no SGSI(Melhoria contínua / Ação corretiva / Ação preventiva)

Sistema de Gestão de Segurança (SGSI)

Um SGSI tem o objetivo de:

Estabelecer

Implementar

Operar

Monitorar

Analisar

Manter

Melhorar

Informação

Trata-se de uma abordagem à segurança da informação, numa perspectiva organizacional.

Esse sistema denomina-se o ciclo PDCA

Sistema de Gestão de Segurança (SGSI)

Ciclo PDCA

ESTABELECER IMPLEMENTAR E OPERAR

MONITORARE ANÁLISARMANTER E

MELHORAR

Sistema de Gestão de Segurança (SGSI)

Benefícios da ISO/IEC 27001:2005

A norma é projetada para assegurar que você selecione os controles de segurança adequados e proporcionais que o ajudem a proteger os ativos da informação para gerar confiança nas partes interessadas, incluindo seus clientes.

A ISO/IEC 27001 define os requisitos para um Sistema de segurança da informação.

Sistema de Gestão de Segurança (SGSI)

Benefícios da ISO/IEC 27001:2005

Auxilia as organizações ao prover uma abordagem estruturada e proativa para a segurança da informação.

É um investimento para o futuro da companhia.

Um sistema de gestão “baseado em riscos” para ajudar organizações planejarem, implementarem e manterem um sistema de gestão de segurança da informação (SGSI).

Sistema de Gestão de Segurança (SGSI)

Termos e definições da norma ISO/IEC 27001.

Confidencialidade:Propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados.

Ativo: qualquer coisa que tenha valor para a organização

Disponibilidade: propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada.

Sistema de Gestão de Segurança (SGSI)

Termos e definições da norma ISO/IEC 27001.

Evento de segurança da informação:Uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação.

Incidente de segurança da Informação:Um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.

ABNT NBR ISO/IEC 17799:2005Objetivos.

Estabelecer códigos de boas práticas para a

gestão de segurança da informação.

Dar instrumentos para a implantação de segurança da informação de acordo com as características de

uma empresa.

ABNT NBR ISO/IEC 17799:2005Objetivos.

A ISO/IEC 17799 tem como objetivo a confidencialidade, integridade e disponibilidade

(CID) das informações.

ABNT NBR ISO/IEC 17799:2005Benefícios proporcionados

Vantagem competitiva;

Melhoria no desempenho do negócio e gerenciamento de riscos;

Atrair novos investidores, melhoria da reputação da marca e