IntroduçãoAlgumas Organizações de Padronização
IntroduçãoHierarquia das Organizações
INTERNACIONAL
NACIONAL
IEC/ISO
ABNTBrasil
BSIInglaterra
ANSIEstados Unidos
IntroduçãoPor que Padronizar?
IntroduçãoObjetivos das Normas
É aquilo que se estabelece como medida para a realização de uma atividade.
Uma norma tem como propósito definir regras e instrumentos de controle para assegurar a conformidade de um processo, produto ou serviço.
IntroduçãoOs objetivos das normas segundo a ABNT são:
Comunicação: proporcionar meios mais eficientes na troca de informação entre o fabricante e o cliente, melhorando a confiabilidade das relações comerciais e de serviços;
Segurança: proteger a vida humana e a saúde;
IntroduçãoOs objetivos das normas segundo a ABNT são:
Proteção do consumidor: prover a sociedade de mecanismos eficazes para aferir qualidade de produtos;
Eliminação de barreiras técnicas e comerciais: evitar a existência de regulamentos conflitantes sobre produtos e serviços em diferentes países, facilitando assim, o intercâmbio comercial.
IntroduçãoComo tudo começou
Fundação do BSI (1901)Presente em mais de 86 paísesFórum normalizador do Reino Unido.Principal membro fundador do ISO.
IntroduçãoAs normas BS 7799
Códigos de Boas Práticas para o Gerenciamento da Segurança da Informação;
NORMA ANO
1995BS 7799-1
IntroduçãoAs normas BS 7799
Sistema de Gerenciamento da Segurança da Informação;
NORMA ANO
1999BS 7799-2
IntroduçãoAs normas BS 7799
Análise e Gerenciamento de Riscos;
NORMA ANO
2005BS 7799-3
IntroduçãoA norma ISO/IEC 17799
A norma ISO/IEC 17799 é uma cópia fiel do padrão britânico BS 7799-1. Em 2007 foi renomeada para ISO/IEC 27002
NORMA ANO
2000ISO/IEC 17799
IntroduçãoHerança de Normas
BS 7799-1 BS 7799-2 BS 7799-3
ISO/IEC 17799
ISO/IEC 27002
ISO/IEC 27001
ISO/IEC 27000 ISO/IEC 27005
Série ISO/IEC 27K
27002 2700327001 2700527004
Overview
Define os requisitos para um sistemas de gestão de segurança da informação.
Série ISO/IEC 27K
27002 2700327001 2700527004
Overview
Boas práticas para a gestão de segurança da informação.
Série ISO/IEC 27K
27002 2700327001 2700527004
Overview
Guia para a implantação de um sistema de gestão de segurança da informação.
Série ISO/IEC 27K
27002 2700327001 2700527004
Overview
Define métricas e meios de medição para avaliar a eficácia de um sistema de gestão de segurança da informação.
Série ISO/IEC 27K
27002 2700327001 2700527004
Overview
Fornece as diretrizes para o processo de gestão de riscos de segurança da informação.
Série ISO/IEC 27KEstrutura da norma 27001
0. Introdução1. Objetivo
2. Referência Normativa3. Termos e definições
4. Sistema de gestão de segurança da informação(Requisitos gerais / Estabelecendo e gerenciando o SGSI / Requisitos de documentação)
5. Responsabilidades da direção(Comprometimento da direção / Gestão de recursos)
6. Auditorias internas do SGSI7. Análise crítica do SGSI pela direção
(Geral / Entradas para análise crítica / Saídas da análise crítica)
8. Melhorias no SGSI(Melhoria contínua / Ação corretiva / Ação preventiva)
Sistema de Gestão de Segurança (SGSI)
Um SGSI tem o objetivo de:
Estabelecer
Implementar
Operar
Monitorar
Analisar
Manter
Melhorar
Informação
Trata-se de uma abordagem à segurança da informação, numa perspectiva organizacional.
Esse sistema denomina-se o ciclo PDCA
E
I
O
M
A
M
M
Sistema de Gestão de Segurança (SGSI)
Ciclo PDCA
ESTABELECER IMPLEMENTAR E OPERAR
MONITORARE ANÁLISARMANTER E
MELHORAR
Sistema de Gestão de Segurança (SGSI)
Benefícios da ISO/IEC 27001:2005
A norma é projetada para assegurar que você selecione os controles de segurança adequados e proporcionais que o ajudem a proteger os ativos da informação para gerar confiança nas partes interessadas, incluindo seus clientes.
A ISO/IEC 27001 define os requisitos para um Sistema de segurança da informação.
Sistema de Gestão de Segurança (SGSI)
Benefícios da ISO/IEC 27001:2005
Auxilia as organizações ao prover uma abordagem estruturada e proativa para a segurança da informação.
É um investimento para o futuro da companhia.
Um sistema de gestão “baseado em riscos” para ajudar organizações planejarem, implementarem e manterem um sistema de gestão de segurança da informação (SGSI).
Sistema de Gestão de Segurança (SGSI)
Termos e definições da norma ISO/IEC 27001.
Confidencialidade:Propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados.
Ativo: qualquer coisa que tenha valor para a organização
Disponibilidade: propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada.
Sistema de Gestão de Segurança (SGSI)
Termos e definições da norma ISO/IEC 27001.
Evento de segurança da informação:Uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação.
Incidente de segurança da Informação:Um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.
ABNT NBR ISO/IEC 17799:2005Objetivos.
Estabelecer códigos de boas práticas para a
gestão de segurança da informação.
Dar instrumentos para a implantação de segurança da informação de acordo com as características de
uma empresa.
ABNT NBR ISO/IEC 17799:2005Objetivos.
A ISO/IEC 17799 tem como objetivo a confidencialidade, integridade e disponibilidade
(CID) das informações.
ABNT NBR ISO/IEC 17799:2005Benefícios proporcionados
Vantagem competitiva;
Melhoria no desempenho do negócio e gerenciamento de riscos;
Atrair novos investidores, melhoria da reputação da marca e
remoção de barreiras comerciais;
Redução de Gastos;
Operações com menos burocracias e redução de perda;
Evolução da comunicação interna;
Melhoria da satisfação do cliente.
ABNT NBR ISO/IEC 17799:2005Seções de controle da norma:
1. Política de Segurança da Informação;
2. Organizando a Segurança da Informação
3. Gestão de Ativos
4. Segurança em Recursos Humanos;
5. Segurança Física e do Ambiente;
6. Gestão de Operações e Comunicações;
7. Controle de Acesso;
8. Aquisição, Desenvolvimento e Manutenção de Sistema de Informação;
9. Gestão de Incidentes de Segurança da Informação
10. Gestão da Continuidade do Negócio;
11. Conformidade.