24
Sistema de Gestão de Segurança da Informação Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste material sem a permissão expressa do autor. Interpretação da norma NBR ISO/IEC 27001:2006 Curso e- Learning

ISO 27001 -3

  • Upload
    jcfarit

  • View
    477

  • Download
    7

Embed Size (px)

DESCRIPTION

MOD 3 SGSI

Citation preview

Page 1: ISO 27001 -3

Sistema deGestão de Segurança da Informação

Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste material sem a permissão expressa do autor.

Interpretação da normaNBR ISO/IEC 27001:2006

Curso e- Learning

Page 2: ISO 27001 -3

ConceitosRiscos de segurança, processos de

avaliação e tratamento do risco,

sistema de gestão, Sistema de

Gestão de Segurança da Informação

Módulo 3

Page 3: ISO 27001 -3

Riscos de segurança

� Um risco de segurança é o potencial que uma dada ameaça irá explorar

vulnerabilidades para causar perda ou dano a um ativo ou grupo de ativos.

� Exemplos...?

Nem sempre TI!Os riscos podem ser técnicos, de

equipamentos, de pessoas e deprocedimentos.

Page 4: ISO 27001 -3

Exemplos de riscos de segurança

� Interrupção da continuidade do negócio

� Indisponibilidade da informação

� Perda da integridade dos dados

� Perda ou roubo de informação

� Perda do controle do serviço

� Perda de credibilidade e imagem

� Perda da confidencialidade de dados

� Etc.

Page 5: ISO 27001 -3

� Evitar o risco

� Transferir o risco (por exemplo: seguro)

� Reduzir as vulnerabilidades

� Reduzir as ameaças

� Reduzir os possíveis impactos

� Detectar eventos indesejados, reagir e

recuperar

� Aceitar o risco (residual)

Processo de tratamento do risco

Page 6: ISO 27001 -3

Continuando o exercício anterior do módulo 2, identifique os riscos de segurança, do seu

ponto de vista, para os três ativos para os quais você identificou vulnerabilidades,

ameaças e probabilidades das ameaças atingirem as vulnerabilidades.

As respostas dependem de critérios pessoais. Portanto é importante que o profissional

que esteja realizando a análise busque padronizar seus conceitos antes de finalizar o

tratamento de riscos.

Exercício

Page 7: ISO 27001 -3

Resposta

Antivírus,

desatualizado

Backup

inadequado

Patchesdesatualizados

Peça-chave

do processo

Servidor

Contamina

ção por

vírus,

ataque de hacker

Roubo,

divulgação

Ameaças

Antivírus

desatualizado

Backup inadequado

Patches

desatualizados

Não há pessoal

de segurança

Não há critérios

de contratação

para o pessoal

de apoio

Vulnerabilidade

Peça-chave

do processo

Acarreta

dano, mas o

processo pode ser

executado

ComentárioValor

Servidor

Metodologia

ProbabilidadeConfidencialidadeIntegridadeDisponibilidadeDescrição

Page 8: ISO 27001 -3

Controles

A segurança eficaz normalmente requer a combinação das seguintes ações:

� Detecção

� Desencorajamento

� Prevenção

� Limitação

� Correção

� Recuperação

� Monitoramento

� Conscientização

Page 9: ISO 27001 -3

Controles

Após a identificação dos riscos, é necessário identificar os controles já existentes na organização e verificar se o risco resultante após a utilização destes controles é aceitável. E só então deve-se avaliar a necessidade de novos controles.

A norma ISO 17799 e a norma ISO 27001 identificam 133 controles que a organização pode implementar, mas a organização não deve se restringir a estes. Outros controles podem ser identificados.

Exemplo de controles da norma ISO 17799 e da norma ISO 27001 – Anexo A:

A.11.5 – Controle de acesso ao sistema operacional

� Procedimentos seguros de entrada no sistema (log on)

� Identificação e autenticação de usuário

� Sistema de gerenciamento de senha

� Uso de utilitários de sistema

� Desconexão de terminal por inatividade

� Limitação de horário de conexão

Login

Page 10: ISO 27001 -3

Avaliação de risco e controles

Ameaças

Vulneráveis

ControlesRiscos

Ativos

Requisitos de Segurança

Valor

Impacto potencial no negócio

Têm

Por ter valor

são

E por isso

podem ser

atacados por

E correm

E

Portanto é

necessário

que se

defina

Podendo provocar

Page 11: ISO 27001 -3

Processos de avaliação e tratamento do risco

Avaliação de risco� Identificação e valorização dos ativos

� Identificação das vulnerabilidades

� Identificação das ameaças

� Avaliação de impactos que a perda de confidencialidade, integridade e

disponibilidade nos ativos pode causar

� Análise e avaliação dos riscos

� Priorização dos riscos

Tratamento de risco� Definição do grau de garantia

� Revisão de controles existentes

� Identificação de novos controles

� Implementação dos novos controles

� Aceitação do risco residual

A cláusula 4.2.1 da ISO/IEC 27001:2005 estabelece que uma avaliação de risco seja realizada para identificar ameaças aos ativos.

Page 12: ISO 27001 -3

Exercício

Continuando o exercício anterior onde foram identificados os riscos, para um destes

ativos agora identifique, dentro de seu ponto de vista e conhecimento, controles que

poderiam ser utilizados e uma forma de aplicação destes controles para minimizar ou

eliminar cada um destes riscos.

Page 13: ISO 27001 -3

Resposta

Vamos considerar um servidor como exemplo. Resgatando a análise do exercício anterior

teremos:

E alguns controles possíveis serão apresentados no próximo slide.

Contaminação

por vírus,

ataque de

hacker

Antivírus

desatualizado

Backup inadequado

Patches

desatualizados

Peça-

chave do

processo

Servidor

Descrição

Probabilidade

AmeaçasVulnerabilidadeComentário

ValorConfidencialidade

Integridade

Disponibilidade

Descrição

Page 14: ISO 27001 -3

Resposta

Controle Aplicação do Controle

Criar procedimento

automático para atualização

Criar política adequada

para tratar o problema

Terceirizar a manutenção e

atualização do sistema anti -

vírus

Criar procedimento de

backup

Controlar a disponibilidade

de espaço

Terceirizar procedimento de

backup

Criar procedimento para

atualização de patches

Terceirizar a informação e

atualização dos softwares

Adquirir software IDS

Controle contra software

malicioso

Housekeeping

Desenvolvimento e

manutenção de sistema

Page 15: ISO 27001 -3

O que é um sistema de gestão?

Page 16: ISO 27001 -3

O que é monitorado pode ser medido, e o que é medido pode ser gerenciado.

Definição de sistema de gestão

Um sistema de gestão é um sistema para estabelecer política e objetivos, e para atingir

estes objetivos utilizando:

� A estrutura organizacional

� Processos sistemáticos e recursos associados

� Metodologia de medição e avaliação

� Processo de análise crítica para assegurar que os problemas são corrigidos e as

oportunidades de melhoria são identificadas e implementadas quando necessário

Page 17: ISO 27001 -3

Elementos de um sistema de gestão

� Política (demonstração de compromisso e princípios para ação)

� Planejamento (identificação das necessidades, recursos, estrutura e responsabilidades)

� Implementação e operação (construção da consciência organizacional e treinamento)

� Avaliação de desempenho (monitoramento e medição, auditoria e tratamento de não-

conformidades)

� Melhoria (ação preventiva e corretiva, melhoria contínua)

� Análise crítica pela direção

Page 18: ISO 27001 -3

Normas de sistemas de gestão

� ISO/IEC 27001 – Segurança da Informação

� ISO/IEC 20000 – Gestão em TI

� ISO 9001 – Qualidade

� ISO 14001 – Ambiental

� OHSAS 18001 – Segurança e Saúde Ocupacional

� TL 9000 – Telecomunicações

� TS 16949 – Automotiva

� SAE AS 9100 – Aeroespacial

� ISO 22001 – Alimentos

Page 19: ISO 27001 -3

Sistema de Gestão de Segurança da Informação

SGSI

� Parte do sistema de gestão, baseado no

enfoque de risco nos negócios, para

estabelecer, implementar, operar, monitorar,

revisar, manter e melhorar a segurança da

informação.

Projeto e implementação

� Influenciados pelas necessidades e objetivos

dos negócios, resultando em requisitos de

segurança, processos utilizados, tamanho e

estrutura da organização. Espera-se que o

SGSI e os sistemas de apoio mudem com o

tempo.

Page 20: ISO 27001 -3

Fatores críticos do sucesso

� Comprometimento e apoio visível de todos os níveis da direção

� Provisão de recursos para as atividades de Gerenciamento de Segurança da Informação

� Divulgação, conscientização, educação e treinamento adequados

� Política de segurança da informação, objetivos e atividades refletindo os objetivos do negócio

� Bom entendimento dos requisitos de segurança da informação, avaliação de risco e gerenciamento de risco

Page 21: ISO 27001 -3

Fatores críticos do sucesso

� Implementação, manutenção, monitoramento e melhoria da segurança da informação consistente com a cultura organizacional

� Estabelecer um processo eficaz de gestão de incidentes de segurança da informação

� Implementação de um sistema de medição que seja usado para avaliar o desempenho da Gestão de Segurança da Informação e obtenção de sugestões para melhoria

Page 22: ISO 27001 -3

Exercício

Indique se é verdadeiro ou falso:

1) ( V ) Um sistema de gestão é um sistema para estabelecer política e objetivos e para

atingir estes objetivos.

2) ( F ) Análise crítica não é um elemento de um sistema de gestão.

3) ( F ) Um SGSI não deve mudar com o tempo.

4) ( V ) A estrutura da ISO 27001 está baseada no PDCA.

5) ( V ) Salvaguardar a confidencialidade, integridade e disponibilidade da informação

escrita, falada e eletrônica é o objetivo da ISO 27001.

6) ( V ) As necessidades do negócio influenciam o projeto e a implantação de um SGSI.

7) ( V ) O SGSI é parte do sistema de gestão global da organização.

Page 23: ISO 27001 -3

Resposta

Indique se é verdadeiro ou falso:

1) ( V ) Um sistema de gestão é um sistema para estabelecer política e objetivos e para

atingir estes objetivos.

2) ( F ) Análise crítica não é um elemento de um sistema de gestão.

3) ( F ) Um SGSI não deve mudar com o tempo.

4) ( V ) A estrutura da ISO 27001 está baseada no PDCA.

5) ( V ) Salvaguardar a confidencialidade, integridade e disponibilidade da informação

escrita, falada e eletrônica é o objetivo da ISO 27001.

6) ( V ) As necessidades do negócio influenciam o projeto e a implantação de um SGSI.

7) ( V ) O SGSI é parte do sistema de gestão global da organização.

Page 24: ISO 27001 -3

ConceitosRiscos de segurança, processos de

avaliação e tratamento do risco,

sistema de gestão, Sistema de

Gestão de Segurança da Informação

Fim do módulo 3