ABNT NBR ISO/IEC 27001 - · PDF file• NBR ISO/IEC 27002 - Práticas para a gestão de SI ... Gestão de Continuidade de ... riscos de negócio globais da organização;

ABNT NBR ISO/IEC27001

Para Dataprev e Senado

Professor Thiago [email protected]

Slide1/63

segunda-feira, 13 de junho de 2011

mailto:[email protected]




As Normas• NBR ISO/IEC 27001 - Requisitos para implantar

um SGSI

• NBR ISO/IEC 27002 - Práticas para a gestão de SI

• NBR ISO/IEC 27005 - Gestão de riscos de SI

• 27004 e 27003 - Gestão de SI (Medição) e Guia de Impl. SGSI

• 27006 e 27007 - Requisitos e Diretrizes para auditoria de um SGSI

• 15999:1 e 15999:2 - Gestão de Continuidade de Negócios (Código de Prática e Requisitos)


Slide2/63







Slide3/63

NBR ISO/IEC 27001

MCT/2008 - Cargos diversos

[119] Uma organização que deseje implantar um sistema de gestão de segurança da informação (SGSI) deve adotar como base a norma ABNT NBR ISO/IEC 27001:2006.

[120] A seção 5 da norma ISO/IEC 27001 trata de como a informação deve ser classificada, de acordo com a sua necessidade de segurança e controle de acesso.

[119 - A] A norma ISO 27001 adota o modelo plan-do-check-act (PDCA), que é aplicado para estruturar todos os processos dos sistemas de gestão de segurança da informação — information security management system (ISMS).

[120 - B] Dependendo de seu tamanho ou natureza, uma organização pode considerar um ou mais requisitos da norma ISO 27001 como não-aplicáveis e, ainda assim, continuar em conformidade com essa norma internacional.

Questões - Conceitos Básicos







Slide4/63

NBR ISO/IEC 27001

ANAC 2009

[96] A norma em questão trata da definição de requisitos para um sistema de gestão de segurança da informação.

AFCE/TCU 2010

[177] A Norma NBR ISO/IEC 27001 estabelece o código de prática para a gestão da segurança da informação e a Norma NBR ISO/IEC 27002 trata dos requisitos dos sistemas de gestão de segurança da informação.

[178] Aplicando-se o ciclo PDCA (plan, do, check, act) aos processos do sistema de gestão da segurança da informação (SGSI), constata-se que, no SGSI, o do (fazer) equivale a executar as ações corretivas e preventivas para alcançar a melhoria contínua do SGSI.

Questões - Conceitos Básicos







Slide5/63

Serpro 2010

[57] A NBR 27001 corresponde à atualização da norma internacional ISO/IEC 17799.

[58] Segundo a NBR 27001, um sistema de gestão da segurança da informação apresenta o seguinte ciclo: estabelecimento, implementação e operação, monitoramento e revisão, manutenção e melhoria do sistema.

Aneel 2010

[112] A melhoria contínua do SGSI ocorre na forma de ações corretivas e preventivas, entre outras. Um exemplo de ação corretiva é a alteração na redação do documento da política de segurança da informação para melhorar sua compreensibilidade e eliminar ambiguidades que levaram a não conformidades no cumprimento dessa política. Um exemplo de ação preventiva é a adoção de novos controles de acesso ao ambiente físico.

NBR ISO/IEC 27001Questões - Conceitos Básicos







Slide6/63

0. Introdução

1. Objetivo

2. Referência normativa

3. Termos e definições

4. Sistema de gestão de segurança da informação

(Requisitos gerais / Estabelecendo e gerenciando o SGSI / Requisitos de

documentação)

5. Responsabilidades da direção

(Comprometimento da direção / Gestão de recursos)

6. Auditorias internas do SGSI

7. Análise crítica do SGSI pela direção

(Geral / Entradas para a análise crítica / Saídas da Análise Crítica)

8. Melhoria do SGSI(Melhoria contínua / Ação corretiva / Ação preventiva)

NBR ISO/IEC 27001Estrutura






Anexos:Anexo A - normativo:

Objetivos de Controles e Controles (27002 - 5 a 15)

Anexo B - informativo:Princípios da OECD*

Anexo C - informativo:Correspondência c/ ISO 9001 e ISO 14001

*Organização para cooperação e desenvolvimento econômico

NBR ISO/IEC 27001Estrutura


Slide7/63







Slide8/63

Esta Norma foi preparada para prover um modelo para EIOMAMM um Sistema de Gestão

de Segurança da Informação (SGSI).

EIOMAMM = estabelecer, implementar, operar, monitorar, analisar criticamente, manter e

melhorar

NBR ISO/IEC 270010. Introdução







Slide9/63

- A adoção de um SGSI é estratégica;

- Necessidades e objetivos, requisitos de segurança, processos empregados, tamanho e estrutura da organização direcionam a implementação;

- SGSIs mudam ao longo do tempo;

- Norma pode ser usada para avaliar a conformidade pelas partes interessadas internas e externas.

- Para fins de certificação a 27001 é a referência (antiga BS7799-2).








Slide10/63

- Abordagem de processo: indica processos definidos, geridos e interativos;

- Baseada no ciclo PDCA.

Estabelecer Implementar e Operar

Monitorar e Anal. Criticamente

Manter eMelhorar








Slide11/63

Plan (planejar) - estabelecer a política, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização.Do (fazer) - implementar e operar a política, controles, processos e procedimentos do SGSI.Check (checar) - avaliar e, quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiência prática do SGSI e apresent. os resultados p/ a análise crítica pela direção.Act (agir) - Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI.








Slide12/63

Compatibilidade com outros sistemas de gestão:

- Esta Norma está alinhada às ABNT NBR ISO 9001:2000 e ABNT NBR ISO 14001:2004* para apoiar a implementação e a operação de forma consistente e integrada com normas de gestão relacionadas.

*Tratam do Sistema de Gestão da Qualidade e Sistema de Gestão Ambiental








Slide13/63

NBR ISO/IEC 270011. Objetivo1.1 Geral:

- A norma cobre todos os tipos de organizações;- Especifica os requisitos para EIOMAMM um SGSI documentado dentro do contexto dos riscos de negócio globais da organização;- Projetado para assegurar a seleção de controles de segurança adequados e proporcionados para proteger os ativos de informação e propiciar confiança às partes interessadas.







Slide14/63

NBR ISO/IEC 270011. Objetivo1.2 Aplicação: - Os requisitos definidos são genéricos e aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza;

- A exclusão de quaisquer dos requisitos em 4, 5, 6, 7, e 8 não é aceitável quando uma organização reivindica conformidade com a norma;

- A menos que tais exclusões não afetem a capacidade da organização, e/ou responsabilidade de prover segurança da informação que atenda os requisitos de segurança determinados pela análise/avaliação de riscos e por requisitos legais e regulamentares aplicáveis.

- Exclusão de controle considerado necessário aos critérios de aceitação de riscos precisa ser justificada e evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas;







Slide15/63

O documento a seguir referenciado é indispensável para a aplicação desta Norma:

ABNT NBR ISO/IEC 17799:2005, Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação.

*Ou seja, a 27002

NBR ISO/IEC 270012. Ref. Normativa







Slide16/63

NBR ISO/IEC 27001Gabaritando as Questões!MCT/2008 - Cargos diversos

[119] Uma organização que deseje implantar um sistema de gestão de segurança da informação (SGSI) deve adotar como base a norma ABNT NBR ISO/IEC 27001:2006.

[120] A seção 5 da norma ISO/IEC 27001 trata de como a informação deve ser classificada, de acordo com a sua necessidade de segurança e controle de acesso.

[119 - A] A norma ISO 27001 adota o modelo plan-do-check-act (PDCA), que é aplicado para estruturar todos os processos dos sistemas de gestão de segurança da informação — information security management system (ISMS).

[120 - B] Dependendo de seu tamanho ou natureza, uma organização pode considerar um ou mais requisitos da norma ISO 27001 como não-aplicáveis e, ainda assim, continuar em conformidade com essa norma internacional.

C

E

C

E







Slide17/63

NBR ISO/IEC 27001Gabaritando as Questões!

Reflexão Sobre a Questão 120:

É muito importante observar que o CESPE dificilmente deixa apenas um caminho para o candidato gabaritar a questão.

Na questão 120, mesmo que o candidato não soubesse / não houvesse decorado a estrutura da norma, seria possível identificar o erro porque “Classificar a Informação” é uma prática (Controle), objeto da norma ABNT NBR ISO/IEC 27002.







Slide18/63


ANAC 2009

[96] A norma em questão trata da definição de requisitos para um sistema de gestão de segurança da informação.

AFCE/TCU 2010

[177] A Norma NBR ISO/IEC 27001 estabelece o código de prática para a gestão da segurança da informação e a Norma NBR ISO/IEC 27002 trata dos requisitos dos sistemas de gestão de segurança da informação.

[178] Aplicando-se o ciclo PDCA (plan, do, check, act) aos processos do sistema de gestão da segurança da informação (SGSI), constata-se que, no SGSI, o do (fazer) equivale a executar as ações corretivas e preventivas para alcançar a melhoria contínua do SGSI.

C

E

E







Slide19/63

Serpro 2010

[57] A NBR 27001 corresponde à atualização da norma internacional ISO/IEC 17799.

[58] Segundo a NBR 27001, um sistema de gestão da segurança da informação apresenta o seguinte ciclo: estabelecimento, implementação e operação, monitoramento e revisão, manutenção e melhoria do sistema.

Aneel 2010

[112] A melhoria contínua do SGSI ocorre na forma de ações corretivas e preventivas, entre outras. Um exemplo de açãocorretiva é a alteração na redação do documento da política de segurança da informação para melhorar sua compreensibilidade e eliminar ambiguidades que levaram a não conformidades no cumprimento dessa política. Um exemplo de ação preventiva é a adoção de novos controles de acesso ao ambiente físico.


E

X

C







Slide20/63

Petrobras 2007 / Infra

[137] A confidencialidade diz respeito à garantia de que a informação será acessada por qualquer um que dispuser de recursos tecnológicos apropriados, explicitamente ou não.

[138] A integridade diz respeito à garantia de que a informação só será alterada ou deletada por quem tem autorização explícita para tal.

[139] A disponibilidade diz respeito à garantia de que será possível a qualquer pessoa acessar a informação sempre que for necessário.

NBR ISO/IEC 27001Questões sobre Termos e Definições






Banco da Amazônia 2009

[51] Um incidente de segurança da informação refere-se a um ou mais riscos não desejados ou esperados que possuem significativa probabilidade de comprometer os ativos de informação e ameaçam a segurança da informação

Anac 2009[100] O sistema de gestão de segurança da informação é o sistema global de gestão, embasado em uma abordagem de risco, que permite definir, implementar, operacionalizar e manter a segurança da informação.[112] Um evento de segurança de informação é uma ocorrência em um sistema, serviço ou estado de rede que indica, entre outras possibilidades, um possível desvio em relação aos objetivos de segurança específicos da organização, e um incidente de segurança de informação é um evento único ou uma série de eventos indesejados de segurança da informação que possuem um impacto mediano sobre os negócios.

NBR ISO/IEC 27001


Slide21/63

Questões sobre Termos e Definições







Slide22/63

NBR ISO/IEC 270013. Termos e Definições3.1 ativo Qualquer coisa que tenha valor para a organização[ISO/IEC 13335-1:2004]

3.2 disponibilidade Propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada[ISO/IEC 13335-1:2004]

3.3 confidencialidade Propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados[ISO/IEC 13335-1:2004]







Slide23/63

NBR ISO/IEC 270013. Termos e Definições3.4 segurança da informação Preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas[ABNT NBR ISO/IEC 17799:2005]

3.5 evento de segurança da informação Uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação[ISO/IEC TR 18044:2004]







Slide24/63

3.6 incidente de segurança da informação Um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação[ISO/IEC TR 18044:2004]

3.7 sist. de gestão da segurança da informação-SGSIA parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informaçãoNOTA O sistema de gestão inclui estrutura organizacional, políticas, atividades de planejamento, responsabilidades, práticas, procedimentos, processos e recursos.

NBR ISO/IEC 270013. Termos e Definições







Slide25/63

NBR ISO/IEC 270013. Termos e Definições3.8 integridade Propriedade de salvaguarda da exatidão e completeza de ativos[ISO/IEC 13335-1:2004]

3.9 risco residual Risco remanescente após o tratamento de riscos[ABNT ISO/IEC Guia 73:2005]

3.10 aceitação do risco Decisão de aceitar um risco[ABNT ISO/IEC Guia 73:2005]







Slide26/63

3.11 análise de riscos Uso sistemático de informações para identificar fontes e estimar o risco[ABNT ISO/IEC Guia 73:2005]

3.12 análise/avaliação de riscos Processo completo de análise e avaliação de riscos[ABNT ISO/IEC Guia 73:2005]

3.13 avaliação de riscos Processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco[ABNT ISO/IEC Guia 73:2005]








Slide27/63


3.14 gestão de riscos Atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos

NOTA A gestão de riscos geralmente inclui a análise/avaliação de riscos, o tratamento de riscos, a aceitação de riscos e a comunicação de riscos.[ABNT ISO/IEC Guia 73:2005]

3.15 tratamento do risco Processo de seleção e implementação de medidas para modificar um risco

NOTA Nesta Norma o termo “controle” é usado como um sinônimo para “medida”.[ABNT ISO/IEC Guia 73:2005]







Slide28/63

3.16 declaração de aplicabilidade Declaração documentada que descreve os objetivos de controle e controles que são pertinentes e aplicáveis ao SGSI da organização

NOTA Os objetivos de controle e controles estão baseados nos resultados e conclusões dos processos de análise/avaliação de riscos e tratamento de risco, dos requisitos legais ou regulamentares, obrigações contratuais e os requisitos de negócio da organização para a segurança da informação.








Slide29/63

Petrobras 2007 / Infra

[137] A confidencialidade diz respeito à garantia de que a informação será acessada por qualquer um que dispuser de recursos tecnológicos apropriados, explicitamente ou não.

[138] A integridade diz respeito à garantia de que a informação só será alterada ou deletada por quem tem autorização explícita para tal.

[139] A disponibilidade diz respeito à garantia de que será possível a qualquer pessoa acessar a informação sempre que for necessário.


E

C(p)

E






NBR ISO/IEC 27001


Slide30/63

Reflexão - Questão 138

Primeiro ponto: A definição da norma não é essa. Embora o comando da questão não referenciasse a norma, o edital deste certame o fazia.

Segundo ponto: O acesso por pessoas autorizadas garante integridade da informação? Jamais. Ou somente no CESPE...

Gabaritando as Questões!






Banco da Amazônia 2009

[51] Um incidente de segurança da informação refere-se a um ou mais riscos não desejados ou esperados que possuem significativa probabilidade de comprometer os ativos de informação e ameaçam a segurança da informação

Anac 2009[100] O sistema de gestão de segurança da informação é o sistema global de gestão, embasado em uma abordagem de risco, que permite definir, implementar, operacionalizar e manter a segurança da informação.[112] Um evento de segurança de informação é uma ocorrência em um sistema, serviço ou estado de rede que indica, entre outras possibilidades, um possível desvio em relação aos objetivos de segurança específicos da organização, e um incidente de segurança de informação é um evento único ou uma série de eventos indesejados de segurança da informação que possuem um impacto mediano sobre os negócios.



Slide31/63

E

E

E






NBR ISO/IEC 27001SGSI, Resp. Direção, Análise Crítica, Melhoria


Slide32/63

Aneel 2010[110] Os objetivos de controle e os controles pertinentes e aplicáveis ao SGSI da organização devem ser selecionados exclusivamente com base nos resultados e conclusões dos processos de análise/avaliação de riscos e de decisões acerca de como controlar, evitar, transferir ou aceitar tais riscos.

[111] A análise crítica do SGSI da organização deve ser efetuada periodicamente pela alta direção, considerando os resultados de auditorias externas, entre outras informações. Essa análise assegura a contínua pertinência, adequação e eficácia do SGSI, e produz versões atualizadas da análise/avaliação de riscos e do plano de tratamento de riscos.






NBR ISO/IEC 27001


Slide33/63

ANAC 2009

[97] Na definição de um sistema de gestão de segurança da informação, deve-se definir o escopo, a política e a abordagem para a identificação de riscos, bem como identificar e avaliar alternativas para o tratamento dos mesmos.

[98] Apesar de recomendável, a aceitação de riscos residuais não precisa necessariamente passar pela aprovação da gestão superior da organização.

[99] Na implementação e operacionalização do sistema de gestão de segurança da informação, deve-se medir a eficácia dos controles propostos.

96 e 100 já foram feitas.

SGSI, Resp. Direção, Análise Crítica, Melhoria






NBR ISO/IEC 27001


Slide34/63

Anatel 2009 - Negócios(referindo-se a figura do PDCA)

[83] Considere as diferentes fases do ciclo de gestão no modelo da figura — plan, do, check e act. A definição de critérios para a avaliação e para a aceitação dos riscos de segurança da informação que ocorrem no escopo para o qual o modelo da figura está sendo estabelecido, implementado, operado, monitorado, analisado criticamente, mantido e melhorado ocorre, primariamente, durante a fase do.

[85] A classificação da informação é um objetivo de controle explicitamente enunciado pela norma ABNT NBR ISO/IEC 27001:2006 e que agrega dois controles, sendo um deles relacionado a recomendações para classificação e o outro, ao uso de rótulos.







NBR ISO/IEC 27001


Slide35/63

TCU 2009

[170] Entre os documentos e registros cujo controle é demandado pela norma ABNT NBR ISO/IEC 27001, destacam-se como documentos a declaração da política de segurança, o relatório de análise/avaliação de risco e a declaração de aplicabilidade; além disso, destacam-se como registros os livros de visitantes, os relatórios de auditoria, as ocorrências de incidentes de segurança e outros registros, inclusive de não conformidade.







NBR ISO/IEC 27001


Slide36/63

Serpro 2008 - Redes [86] A declaração de aplicabilidade é um documento que

deve detalhar os objetivos de controle e os controles a serem implementados para a segurança da informação. Os demais controles e objetivos de controle, não inclusos na declaração de aplicabilidade, devem fazer parte do documento de análise de GAP.[87] A definição de critérios para aceitação de riscos é uma das responsabilidades da alta administração, segundo a norma NBR ISO/IEC 27001.[88] O estabelecimento da política do sistema de gestão de segurança da informação (SGSI) é de responsabilidade da equipe de segurança da informação.







NBR ISO/IEC 27001


Slide37/63

Serpro 2008 - Redes [89] Para assegurar que os controles, objetivos de controle e processos

sejam executados e implementados de forma eficaz, a norma NBR ISO/IEC 27001 recomenda a realização de auditorias externas em intervalos regulares de, no máximo, seis meses.

[90] A identificação de não-conformidades potenciais e suas causas é caracterizada como uma ação preventiva, segundo a norma NBR ISO/IEC 27001.

[91] Entre as atividades contempladas na fase agir (act) está a necessidade de identificar não-conformidades potenciais e suas causas, objetivando alcançar a melhoria contínua do sistema de gestão de segurança da informação.

[92] A norma NBR ISO/IEC 27001 recomenda a adoção de abordagem qualitativa para a realização da análise de risco.







NBR ISO/IEC 27001


Slide38/63

MPS 2010

[101] Risco residual é aquele remanescente quando as medidas implementadas para modificar esse risco não conseguem eliminá-lo.[102] A declaração de aplicabilidade define os ambientes ou as unidades da organização alvo dos controles estabelecidos pelo sistema de gestão de segurança da informação (SGSI).[103] Integridade é a propriedade que garante que uma informação não será furtada da organização.







NBR ISO/IEC 270014. SGSI


Slide39/63

Requisitos gerais

A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negócio globais da organização e os riscos que ela enfrenta.








Slide40/63

Estabelecer o SGSI

A organização deve:

Definir o escopo e os limites do SGSI nos termos das características do negócio, a organização, sua localização, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer exclusões do escopo








Slide41/63


- Definir a abordagem de análise/avaliação de riscos da organização (metodologia);

- Identificar os riscos (ativos/proprietários);

- Analisar/avaliar riscos (probabilidades e impacto);

- Identificar e avaliar as opções de tratamento;

Estabelecer o SGSI








Slide42/63

- Selecionar os objetivos de controle para tratamento de riscos (anexo A);

- Obter aprovação da direção dos riscos residuais propostos;

- Obter autorização da direção para implementar e operar o SGSI;

- Preparar uma Declaração de Aplicabilidade (controles aplicáveis e justificativas de exclusão).

Estabelecer o SGSI








Slide43/63

Implementar e Operar o SGSI


- Formular um plano de tratamento de riscos que identifique a ação de gestão apropriada, recursos, responsabilidades e prioridades para a gestão dos riscos de segurança;- Implementar o plano de tratamento de riscos para alcançar os objetivos de controle identificados, que inclua considerações de financiamentos e atribuição de papéis e responsabilidades.- Implementar os controles selecionados para atender aos objetivos de controle.- Definir como medir a eficácia dos controles selecionados;








Slide44/63

Implementar e Operar o SGSI

- Implementar programas de conscientização e treinamento;

- Gerenciar as operações do SGSI;

- Gerenciar os recursos para o SGSI;

- Implementar procedimentos e outros controles capazes de permitir a pronta detecção de eventos de SI e resposta a incidentes de segurança da informação








Slide45/63

Monitorar e Analisar Criticamente o SGSI

a) Executar procedimentos de monitoração e análise crítica e outros controles;

b)Realizar análises críticas regulares da eficácia do SGSI (incluindo o atendimento da política e dos objetivos do SGSI, e a análise crítica de controles de segurança), levando em consideração os resultados de auditorias de segurança da informação, incidentes de segurança da informação, resultados da eficácia das medições, sugestões e realimentação de todas as partes interessadas.

c) Medir a eficácia dos controles para verificar que os requisitos de segurança da informação foram atendidos.








Slide46/63

Monitorar e Analisar Criticamente o SGSI

d) Analisar criticamente as análises/avaliações de riscos a intervalos planejados e analisar criticamente os riscos residuais e os níveis de riscos aceitáveis identificados;

e) Conduzir auditorias internas do SGSI a intervalos planejados (Seção 6);

NOTA Auditorias internas, às vezes chamadas de auditorias de primeira parte, são conduzidas por ou em nome da própria organização para propósitos internos.

f) Realizar uma análise crítica do SGSI pela direção em bases regulares para assegurar que o escopo permanece adequado e que são identificadas melhorias nos processos do SGSI






Manter e Melhorar o SGSI

a) Implementar as melhorias identificadas no SGSI.

b) Executar as ações preventivas e corretivas apropriadas. Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações e aquelas da própria organização.

c) Comunicar as ações e melhorias a todas as partes interessadas com um nível de detalhe apropriado às circunstâncias e, se relevante, obter a concordância sobre como proceder.

d) Assegurar-se de que as melhorias atinjam os objetivos pretendidos.



Slide47/63








Slide48/63

Requisitos de Documentação

- A documentação deve incluir registros de decisões da direção, assegurar que as ações sejam rastreáveis às políticas e decisões da direção, e assegurar que os resultados registrados sejam reproduzíveis;

- Deve incluir declarações documentadas da política, escopo, procedimentos e controles que apoiam o SGSI, metodologia e relatório da análise/aval. de riscos, procedimentos documentados para EIOMAMM o SGSI e declaração de aplicabilidade;

- Controle de documentos;

- Controle de registros.






NBR ISO/IEC 270015. Resp. da Direção


Slide49/63

5.1 Comprometimento da Direção:

A Direção deve fornecer evidência do seu comprometimento com o EIOMAMM do SGSI mediante:

a) o estabelecimento da política do SGSI; b) a garantia de que são estabelecidos os planos e objetivos do SGSI;c) o estabelecimento de papéis e responsabilidades pela segurança de informação;d) a comunicação à organização da importância em atender aos objetivos de segurança da informação e conformidade;








Slide50/63

5.1 Comprometimento da Direção:

e) a provisão de recursos suficientes para EIOMAMM o SGSI;

f) a definição de critérios para aceitação de riscos e dos níveis de riscos aceitáveis;

g) a garantia de que as auditorias internas do SGSI sejam realizadas;

h) a condução de análises críticas do SGSI pela direção.








Slide51/63

5.2 Gestão dos Recursos:

5.2.1 - Provisão de recursos;

5.2.2 - Treinamento, conscientização e competência.






A organização deve conduzir auditorias internas do SGSI a intervalos planejados para determinar se os objetivos de controle, controles, processos e procedimentos do seu SGSI são executados como esperado, se são eficazes e atendem aos requisitos de conformidade e de SI.

NBR ISO/IEC 270016. Auditorias Internas


Slide52/63






NBR ISO/IEC 270017. Análise Crítica pela Direção


Slide53/63

A direção deve analisar criticamente o SGSI da organização a intervalos planejados (pelo menos uma vez por ano) para assegurar a sua contínua pertinência, adequação e eficácia.Entradas: - resultados de auditorias do SGSI e análises críticas; - realimentação das partes interessadas; - situação das ações preventivas e corretivas; - vulnerabilidades ou ameaças não contempladas ant.; - resultados da eficácia das medições; - acompanhamento das ações oriundas de análises críticas anteriores; - recomendações para melhoria.






Saídas:

a) Melhoria da eficácia do SGSI.

b) Atualização da análise/avaliação de riscos e do plano de tratamento de riscos.

c) Modificação de procedimentos e controles que afetem a segurança da informação

d) Necessidade de recursos.

e) Melhoria de como a eficácia dos controles está sendo medida.

NBR ISO/IEC 270017. Análise Crítica pela Direção


Slide54/63






NBR ISO/IEC 270018. Melhoria do SGSI


Slide55/63

Melhoria contínua

A organização deve continuamente melhorar a eficácia do SGSI por meio do uso da política de segurança da informação, objetivos de segurança da informação, resultados de auditorias, análises de eventos monitorados, ações corretivas e preventivas e análise crítica pela direção.

Ações corretivas e preventivas

Identificar não-conformidades; Determinar as causas de não-conformidades; Avaliar a necessidade de ações para assegurar que não haja recorrência; Determinar e implementar as ações necessárias; Registrar os resultados das ações executadas; Analisar Criticamente as Ações.








Slide56/63

Aneel 2010[110] Os objetivos de controle e os controles pertinentes e aplicáveis ao SGSI da organização devem ser selecionados exclusivamente com base nos resultados e conclusões dos processos de análise/avaliação de riscos e de decisões acerca de como controlar, evitar, transferir ou aceitar tais riscos.

[111] A análise crítica do SGSI da organização deve ser efetuada periodicamente pela alta direção, considerando os resultados de auditorias externas, entre outras informações. Essa análise assegura a contínua pertinência, adequação e eficácia do SGSI, e produz versões atualizadas da análise/avaliação de riscos e do plano de tratamento de riscos.

E

E

Exclusivamente? E os requisitos de conformidade? E o negócio?

Cuidado! A 27001 fala em auditorias INTERNAS.






NBR ISO/IEC 27001


Slide57/63

ANAC 2009

[97] Na definição de um sistema de gestão de segurança da informação, deve-se definir o escopo, a política e a abordagem para a identificação de riscos, bem como identificar e avaliar alternativas para o tratamento dos mesmos.

[98] Apesar de recomendável, a aceitação de riscos residuais não precisa necessariamente passar pela aprovação da gestão superior da organização.

[99] Na implementação e operacionalização do sistema de gestão de segurança da informação, deve-se medir a eficácia dos controles propostos.

96 e 100 já foram feitas.

C

E

C







NBR ISO/IEC 27001


Slide58/63

Comentário sobre a 99:

A norma diz que a organização deve:- Definir como medir a eficácia dos controles selecionados;- O descrito no item 99 refere-se ao Check ou Monitorar e Analisar Criticamente;- Mais uma para a conta do CESPE ...







NBR ISO/IEC 27001


Slide59/63

Anatel 2009 - Negócios(referindo-se a figura do PDCA)

[83] Considere as diferentes fases do ciclo de gestão no modelo da figura — plan, do, check e act. A definição de critérios para a avaliação e para a aceitação dos riscos de segurança da informação que ocorrem no escopo para o qual o modelo da figura está sendo estabelecido, implementado, operado, monitorado, analisado criticamente, mantido e melhorado ocorre, primariamente, durante a fase do.

[85] A classificação da informação é um objetivo de controle explicitamente enunciado pela norma ABNT NBR ISO/IEC 27001:2006 e que agrega dois controles, sendo um deles relacionado a recomendações para classificação e o outro, ao uso de rótulos.

E

C!

Polêmica! Consta nos Anexos ...







NBR ISO/IEC 27001


Slide60/63

TCU 2009

[170] Entre os documentos e registros cujo controle é demandado pela norma ABNT NBR ISO/IEC 27001, destacam-se como documentos a declaração da política de segurança, o relatório de análise/avaliação de risco e a declaração de aplicabilidade; além disso, destacam-se como registros os livros de visitantes, os relatórios de auditoria, as ocorrências de incidentes de segurança e outros registros, inclusive de não conformidade.

C







NBR ISO/IEC 27001


Slide61/63

Serpro 2008 - Redes [86] A declaração de aplicabilidade é um documento que

deve detalhar os objetivos de controle e os controles a serem implementados para a segurança da informação. Os demais controles e objetivos de controle, não inclusos na declaração de aplicabilidade, devem fazer parte do documento de análise de GAP.[87] A definição de critérios para aceitação de riscos é uma das responsabilidades da alta administração, segundo a norma NBR ISO/IEC 27001.[88] O estabelecimento da política do sistema de gestão de segurança da informação (SGSI) é de responsabilidade da equipe de segurança da informação.

E

C

E







NBR ISO/IEC 27001


Slide62/63

Serpro 2008 - Redes [89] Para assegurar que os controles, objetivos de controle e processos

sejam executados e implementados de forma eficaz, a norma NBR ISO/IEC 27001 recomenda a realização de auditorias externas em intervalos regulares de, no máximo, seis meses.

[90] A identificação de não-conformidades potenciais e suas causas é caracterizada como uma ação preventiva, segundo a norma NBR ISO/IEC 27001.

[91] Entre as atividades contempladas na fase agir (act) está a necessidade de identificar não-conformidades potenciais e suas causas, objetivando alcançar a melhoria contínua do sistema de gestão de segurança da informação.

[92] A norma NBR ISO/IEC 27001 recomenda a adoção de abordagem qualitativa para a realização da análise de risco.

E

C

E

E







NBR ISO/IEC 27001


Slide63/63

MPS 2010

[101] Risco residual é aquele remanescente quando as medidas implementadas para modificar esse risco não conseguem eliminá-lo.[102] A declaração de aplicabilidade define os ambientes ou as unidades da organização alvo dos controles estabelecidos pelo sistema de gestão de segurança da informação (SGSI).[103] Integridade é a propriedade que garante que uma informação não será furtada da organização.

C

E

E







Documents

ABNT NBR ISO/IEC 27001 - · PDF file• NBR ISO/IEC 27002 - Práticas para a gestão de SI ... Gestão de Continuidade de ... riscos de negócio globais da organização;