21
Normas ISO/IEC de Segurança da Informação ISO/IEC 27001: Objetiva prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI), ou ISMS (Information Security Management System); Ciclo PDCA; Dividida em cinco seções: O Sistema de Gestão da Segurança da Informação; A responsabilidade da administração; As auditorias internas do ISMS; A revisão do ISMS; A melhoria do ISMS.

Normas ISO/IEC de Segurança da Informação ISO/IEC 27001: Objetiva prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente,

Embed Size (px)

Citation preview

Page 1: Normas ISO/IEC de Segurança da Informação ISO/IEC 27001: Objetiva prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente,

Normas ISO/IEC de Segurança da InformaçãoISO/IEC 27001:Objetiva prover um modelo para estabelecer,

implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI), ou ISMS (Information Security Management System); Ciclo PDCA; Dividida em cinco seções:

O Sistema de Gestão da Segurança da Informação; A responsabilidade da administração; As auditorias internas do ISMS; A revisão do ISMS; A melhoria do ISMS.

Page 2: Normas ISO/IEC de Segurança da Informação ISO/IEC 27001: Objetiva prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente,

Ciclo PDCAO modelo PDCA (ou ciclo de Deming) é usado

para controlar uma série de ações, com o objetivo de controlar algum processo. Este modelo é baseado em quatro etapas:Planejar (Plan) Executar (Do) Verificar (Check)Agir (Act)

Page 3: Normas ISO/IEC de Segurança da Informação ISO/IEC 27001: Objetiva prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente,

Ciclo PDCA

Page 4: Normas ISO/IEC de Segurança da Informação ISO/IEC 27001: Objetiva prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente,

Ciclo PDCA

Page 5: Normas ISO/IEC de Segurança da Informação ISO/IEC 27001: Objetiva prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente,

ISO/IEC 27002 - Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão da segurança da informaçãoISO/IEC 27002:

Substitui a antiga ISO/IEC 17799;Dividida nas seguintes seções:

1. Política de segurança da informação;2. Organizando a segurança da informação;3. Gestão de ativos;4. Segurança em recursos humanos;5. Segurança física do ambiente;6. Gestão das operações e comunicações;

Page 6: Normas ISO/IEC de Segurança da Informação ISO/IEC 27001: Objetiva prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente,

ISO/IEC 27002 - Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão da segurança da informação

7. Controle de acesso8. Aquisição, desenvolvimento e manutenção de

sistemas de informação;9. Gestão de incidentes de segurança da informação;10. Gestão da continuidade do negócio;11. Conformidade.

Page 7: Normas ISO/IEC de Segurança da Informação ISO/IEC 27001: Objetiva prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente,

ISO/IEC 27002 - Política de segurança da informação1. Elaboração do Documento da Política de

Segurança da Informação

Page 8: Normas ISO/IEC de Segurança da Informação ISO/IEC 27001: Objetiva prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente,

ISO/IEC 27002 - Organizando a segurança da informação1. Infra-estrutura da Segurança da Informação2. Partes Externas

Page 9: Normas ISO/IEC de Segurança da Informação ISO/IEC 27001: Objetiva prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente,

ISO/IEC 27002 - Gestão de ativos1. Responsabilidade Pelos Ativos2. Classificação da Informação

Page 10: Normas ISO/IEC de Segurança da Informação ISO/IEC 27001: Objetiva prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente,

ISO/IEC 27002 – Segurança em recursos humanos1. Antes da Contratação2. Durante a Contratação3. Encerramento ou Mudança da Contratação

Page 11: Normas ISO/IEC de Segurança da Informação ISO/IEC 27001: Objetiva prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente,

ISO/IEC 27002 - Segurança física do ambiente1. Áreas Seguras

1. Perímetro de segurança física2. Controles de entrada física3. Segurança em escritórios, salas e instalações4. Proteção contra ameaças externas e do meio ambiente5. Trabalhando em área seguras6. Acesso do público, áreas de entrega e de carregamento

2. Segurança de Equipamentos1. Instalação e proteção do equipamento2. Utilidades3. Segurança do cabeamento4. Manutenção dos equipamentos5. Segurança de equipamentos fora das dependências da organização6. Reutilização e alienação segura de equipamentos7. Remoção de propriedade

Page 12: Normas ISO/IEC de Segurança da Informação ISO/IEC 27001: Objetiva prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente,

ISO/IEC 27002 - Gestão das operações e comunicações1. Procedimentos e Responsabilidades Operacionais2. Gerenciamento de Serviços Terceirizados3. Planejamento e Aceitação dos Sistemas4. Proteção Contra Códigos Maliciosos e Códigos

Móveis5. Cópias de Segurança6. Gerenciamento da Segurança em Redes7. Manuseio de Mídias8. Troca de Informações9. Serviços de Comércio Eletrônico10. Monitoramento

Page 13: Normas ISO/IEC de Segurança da Informação ISO/IEC 27001: Objetiva prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente,

ISO/IEC 27002 - Controle de acesso1. Requisitos de Negócio Para Controle de

Acesso2. Gerenciamento de Acesso do Usuário3. Responsabilidades dos Usuários4. Controle de Acesso à Rede5. Controle de Acesso ao Sistema Operacional6. Controle de Acesso à Aplicação e à

Informação7. Computação Móvel e Trabalho Remoto

Page 14: Normas ISO/IEC de Segurança da Informação ISO/IEC 27001: Objetiva prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente,

ISO/IEC 27002 - Aquisição, desenv. e manut. de sist. de informação1. Requisitos de Segurança de Sistemas de

Informação2. Processamento Correto nas Aplicações3. Controles Criptográficos4. Segurança dos Arquivos do Sistema5. Segurança em Processos de

Desenvolvimento e Suporte6. Gestão de Vulnerabilidades Técnicas

Page 15: Normas ISO/IEC de Segurança da Informação ISO/IEC 27001: Objetiva prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente,

ISO/IEC 27002 - Gestão de incidentes de seg. da informação1. Notificação de Fragilidades e Eventos de

Segurança da Informação2. Gestão de Incidentes de Segurança da

Informação e Melhorias

Page 16: Normas ISO/IEC de Segurança da Informação ISO/IEC 27001: Objetiva prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente,

ISO/IEC 27002 - Gestão da continuidade do negócio1. Aspectos da Gestão da Continuidade do

Negócio, Relativos à Segurança da Informação

Page 17: Normas ISO/IEC de Segurança da Informação ISO/IEC 27001: Objetiva prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente,

ISO/IEC 27002 - Conformidade1. Conformidade com Requisitos Legais2. Conformidade com Normas e Políticas de

Segurança da Informação e Conformidade Técnica

3. Considerações Quanto à Auditoria de Sistemas de Informação

Page 18: Normas ISO/IEC de Segurança da Informação ISO/IEC 27001: Objetiva prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente,

Normas ISO/IEC da série 27000 de Segurança da InformaçãoISO/IEC 27000:2009 - Sistema de Gerenciamento de

Segurança - Explicação da série de normas, objetivos e vocabulários;

ISO/IEC 27001:2005 - Sistema de Gestão de Segurança da Informação - Especifica requerimentos para estabelecer, implementar, monitorar e rever, além de manter e provisionar um sistema de gerenciamento completo. Utiliza o PDCA como princípio da norma e é certificável para empresas.

ISO/IEC 27002:2005 - Código de Melhores Práticas para a Gestão de Segurança da Informação - Mostra o caminho de como alcançar os controles certificáveis na ISO 27001. Essa ISO é certificável para profissionais e não para empresas.

Page 19: Normas ISO/IEC de Segurança da Informação ISO/IEC 27001: Objetiva prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente,

Normas ISO/IEC da série 27000 de Segurança da InformaçãoISO/IEC 27003:2010 - Diretrizes para Implantação de um

Sistema de Gestão da Segurança da Informação - Segundo a própria ISO/IEC 27003, “O propósito desta norma é fornecer diretrizes práticas para a implementação de um Sistema de Gestão da Segurança da Informação (SGSI), na organização, de acordo com a ABNT NBR ISO/IEC 27001:2005.

ISO/IEC 27004:2009 - Gerenciamento de Métricas e Relatórios para um Sistema de Gestão de Segurança da Informação - Mostra como medir a eficácia do sistema de gestão de SI na corporação.

ISO/IEC 27005:2008 - Gestão de Riscos de Segurança da Informação - Essa norma é responsável por todo ciclo de controle de riscos na organização, atuando junto à ISO 27001 em casos de certificação ou através da ISO 27002 em casos de somente implantação.

Page 20: Normas ISO/IEC de Segurança da Informação ISO/IEC 27001: Objetiva prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente,

Normas ISO/IEC da série 27000 de Segurança da InformaçãoISO/IEC 27006:2007 - Requisitos para auditorias

externas em um Sistema de Gerenciamento de Segurança da Informação - Especifica como o processo de auditoria de um sistema de gerenciamento de segurança da informação deve ocorrer.

ISO/IEC 27007 - Referências(guidelines) para auditorias em um Sistema de Gerenciamento de Segurança da Informação.

ISO/IEC 27008 - Auditoria nos controles de um SGSI - O foco são nos controles para implementação da ISO 27001.

Page 21: Normas ISO/IEC de Segurança da Informação ISO/IEC 27001: Objetiva prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente,

Normas ISO/IEC da série 27000 de Segurança da InformaçãoISO/IEC 27010 - Gestão de Segurança da Informação para

Comunicações Inter Empresariais- Foco nas melhores formas de comunicar, acompanhar, monitorar grandes incidentes e fazer com que isso seja feito de forma transparente entre empresas particulares e governamentais.

ISO/IEC 27011:2008 - Gestão de Segurança da Informação para empresa de Telecomunicações baseada na ISO 27002 - Entende-se que toda parte de telecomunicação é vital e essencial para que um SGSI atinja seus objetivos plenos(claro que com outras áreas), para tanto era necessário normatizar os processos e procedimentos desta área objetivando a segurança da informação corporativa de uma maneira geral. A maneira como isso foi feito, foi tendo como base os controles e indicações da ISO 27002.