48370178-ABNT-27001-Draft (1)

  • View
    14

  • Download
    1

Embed Size (px)

Text of 48370178-ABNT-27001-Draft (1)

DEZ 2005

Projeto 21:204.01-012

ABNT Associao Brasileira de Normas TcnicasSede: Rio de Janeiro Av. Treze de Maio, 13 / 28 andar CEP 20003-900 Caixa Postal 1680 Rio de Janeiro RJ Tel.: PABX (21) 210-3122 Fax: (21) 2220-1762/2220-6436 Endereo eletrnico: www.abnt.org.br

Tecnologia da informao Tcnicas de segurana Sistemas de gesto de segurana da informao Requisitos

Projeto de Reviso de Norma

Copyright 2005 ABNTAssociao Brasileira de Normas Tcnicas Printed in Brazil/ Impresso no Brasil Todos os direitos reservados

Folha provisria no ser includa na publicao como norma

ApresentaoI) Este Projeto de Reviso de Norma:1) foi elaborado pela CE-21:204.01 Comisso de Estudo de Segurana Fsica em Instalaes de Informtica do ABNT/CB21-Comit Brasileiro de Computadores e Processamento de Dados; 2) equivalente a ISO/IEC 27001:2005 e quando da sua homologao receber a seguinte denominao: ABNT NBR ISO/IEC 27001; 3) recebe sugestes de forma e objees de mrito, at a data estipulada no edital correspondente; 4) no tem valor normativo.

II) Tomaram parte na elaborao deste Projeto:CQSI POLIEDRO SERASA PWC Ariosto Farias Jr Larissa Prado Andr Novaes Frutuoso Denise C Menoncello Andra Thom

ICS 35.040

DEZ 2005

Projeto 21:204.01-012

ABNT Associao Brasileira de Normas TcnicasSede: Rio de Janeiro Av. Treze de Maio, 13 / 28 andar CEP 20003-900 Caixa Postal 1680 Rio de Janeiro RJ Tel.: PABX (21) 210-3122 Fax: (21) 220-1762/220-6436 Endereo eletrnico: www.abnt.org.br

Tecnologia da informao Tcnicas de segurana Sistemas de gesto de segurana da informao Requisitos

Origem: ISO/IEC 27001:2005 ABNT/CB-21 - Comit Brasileiro de Computadores e Processamento de Dados CE-21:204.01 - Comisso de Estudo de Segurana Fsica em Instalaes de Informtica 21:204.01-012 - Information technology Security techniques Information security management systems Requirements Descriptors: Information technology. Security Esta Norma equivalente a ISO/IEC 27001 Palavra(s)-chave: Tecnologia da informao. Segurana 30 pginas

Copyright 2005, ABNTAssociao Brasileira de Normas Tcnicas Printed in Brazil/ Impresso no Brasil Todos os direitos reservados

Sumrio Prefcio 0 Introduo 1 Escopo 2 Referncia normariva 3 Termos e definies 4 Sistema de gesto de segurana da informao 5 Responsabilidades de gesto 6 Auditorias internas do SGSI 7 Anlise crtica pela direo do SGSI 8 Melhoria do SGSI ANEXOS A Objetivos de controle e controles B Princpios da OECD e desta Norma C Correspondncia entre ABNT NBR ISO 9001:2000, ABNT NBR ISO 14001:2004 e esta Norma Bibliografia Prefcio A ABNT Associao Brasileira de Normas Tcnicas o Frum Nacional de Normalizao. As Normas Brasileiras, cujo contedo de responsabilidade dos Comits Brasileiros (ABNT/CB) e dos Organismos de Normalizao Setorial (ONS), so elaboradas por Comisses de Estudo (CE), formadas por representantes dos setores envolvidos, delas fazendo parte: produtores, consumidores e neutros (universidades, laboratrios e outros). Os Projetos de Norma Brasileira, elaborados no mbito dos ABNT/CB e ABNT/ONS circulam para Consulta Nacional entre os associados da ABNT e demais interessados. Esta Norma equivalente ISO/IEC 27001:2005 0 Introduo 0.1 Geral Esta Norma foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um Sistema de Gesto de Segurana da Informao (SGSI). A adoo de um SGSI deve ser uma deciso estratgica para uma organizao. A especificao e implementao do SGSI de uma organizao so influenciadas pelas suas necessidades e objetivos, exigncias de segurana, os processos empregados e o tamanho e estrutura da

2

Projeto 21:204.01-012:2005organizao. esperado que este e os sistemas de apoio mudem com o passar do tempo. esperado que a implementao de um SGSI seja escalada conforme as necessidades da organizao, por exemplo, uma situao simples requer uma soluo de SGSI simples. Esta Norma pode ser usada para avaliaes de conformidade pelas partes interessadas internas e externas. 0.2 Estratgia de processo Esta Norma promove a adoo de uma estratgia de processo para estabelecer e implementar, operar, monitorar, revisar, manter e melhorar o SGSI de uma organizao. Uma organizao precisa identificar e administrar muitas atividades para funcionar efetivamente. Qualquer atividade que faz uso de recursos e os gerencia para habilitar a transformao de entradas em sadas pode ser considerada um processo. Freqentemente a sada de um processo forma diretamente a entrada do processo seguinte. A aplicao de um sistema de processos dentro de uma organizao, junto com a identificao e interaes destes processos, e sua gesto, pode ser chamada de "estratgia de processo. A estratgia de processo para a gesto da segurana da informao apresentada nesta Norma encoraja que seus usurios enfatizem a importncia de: a) Entendimento dos requisitos de segurana da informao de uma organizao e da necessidade de estabelecer uma poltica e objetivos para a segurana de informao; b) Implementao e operao de controles para gerenciar os riscos de segurana da informao de uma organizao no contexto dos riscos de negcio globais da organizao; c) Monitorao e reviso do desempenho e efetividade do SGSI; e d) Melhoria contnua baseada em medidas objetivas. Esta Norma adota o modelo de processo "Plan-Do-Check-Act (PDCA), que aplicado para estruturar todos os processos do SGSI. A figura 1 ilustra como um SGSI considera as entradas de requisitos de segurana de informao e as expectativas das partes interessadas, e como as aes necessrias e processos de segurana da informao produzidos resultam no atendimento a estes requisitos e expectativas. A figura 1 tambm ilustra os vnculos nos processos apresentados nas sees 4, 5, 6, 7 e 8.1 A adoo do modelo PDCA tambm refletir os princpios como definidos nas Diretrizes da OECD (2002) para governar a segurana de sistemas de informao e redes. Esta Norma prov um modelo robusto para implementar os princpios nessas diretrizes para governar a anlise de risco, especificao e implementao de segurana, administrao de segurana e reavaliao.

EXEMPLO 1 Um requisito poderia ser essas quebras de segurana de informao que no causam srios danos financeiros e/ou constrangimentos organizao. EXEMPLO 2 Uma expectativa poderia ser que se um incidente srio acontece talvez a invaso da pgina Internet de comrcio eletrnico de uma organizao deveria haver pessoas com treinamento suficiente em procedimentos apropriados para minimizar o impacto.

1 Diretrizes da OECD para a Segurana de Sistemas de Informao e Redes - Para uma Cultura de Segurana. Paris: OECD, 2002 de julho. http://www.oecd.org.

Projeto 21:204.01-012:2005

3

Plan (Planejar) (estabelecer o SGSI)

Estabelecer poltica do SGSI, objetivos, processos e procedimentos relevantes para o gerenciamento de riscos e a melhoria da segurana da informao para entregar resultados conforme as polticas globais de uma organizao e objetivos. Implementar e operar a poltica do SGSI, controles, processos e procedimentos.

Do (Fazer) (implementar e operar o SGSI)

Check (Checar) (monitorar e revisar o Avaliar e, onde aplicvel, medir o desempenho de um processo contra SGSI) a poltica do SGSI, objetivos e experincia prtica e relatar os resultados para a gerncia para reviso. Act (Agir) (manter e melhorar o SGSI) Tomar as aes corretivas e preventivas, baseado nos resultados da auditoria interna do SGSI e reviso gerencial ou outra informao pertinente, para alcanar a melhoria contnua do SGSI.

0.3 Compatibilidade com outros sistemas de gesto Esta Norma est alinhada com a ABNT NBR ISO 9001:2000 e ABNT NBR ISO 14001:2004 para apoiar a consistncia e integrao da implementao e operao com normas de gerenciamento relacionados. Uma arquitetura adequada de sistemas de gerenciamento pode satisfazer os requisitos de todos estes padres. A tabela C.1 ilustra a relao entre as sees desta Norma, ABNT NBR ISO 9001:2000 e ABNT NBR ISO 14001:2004. Esta Norma projetada para permitir a uma organizao alinhar ou integrar seu SGSI com requisitos de sistema de gesto relacionados. 1 Escopo 1.1 Geral Esta Norma cobre todos os tipos de organizaes (por exemplo, empreendimentos comerciais, agncias governamentais, organizaes sem fins lucrativos). Esta Norma especifica os requisitos para estabelecer e implementar, operar, monitorar, revisar, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negcio globais da organizao. Especifica requisitos para a implementao de controles de segurana customizados para as necessidades individuais de organizaes ou suas partes. O SGSI projetado para assegurar a seleo de controles de segurana adequados para proteger os ativos de informao e proporcionar confiana s partes interessadas. NOTA 1: Convm que referncias a negcio nesta Norma sejam interpretadas amplamente para significar as atividades que so fundamentais aos propsitos para a existncia da organizao. NOTA 2: A ABNT NBT ISO/IEC 17799 prov um guia de implementao que pode ser usado quando da especificao de controles. 1.2 Aplicao Os requisitos definidos nesta Norma so genricos e pretendido que sejam aplicveis a todas as organizaes, independente de tipo, tamanho e natureza. A excluso de quaisquer dos requisitos especificados nas sees 4, 5, 6, 7, e 8 no so aceitveis quando uma organizao reivindica conformidade a esta Norma. Qualquer excluso de controles considerada necessria para satisfazer os critrios de aceitao de risco precisa ser justificada e as evidncias precisam ser providas para a associao dos riscos aceitos s pessoas responsveis. Onde qualquer controle excludo, reivindicaes de conformidade a esta Norma no so aceitveis a menos que tais excluses

4

Projeto 21:204.01-012:2005no afetem a habilidade da organizao, e/ou responsabilidade de prover segurana da informao que satisfaa os requisitos de segurana determinados