26
Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste material sem a permissão expressa do autor. Interpretação da norma NBR ISO/IEC 27001:2006 Curso e- Learning Sistema de Gestão de Segurança da Informação

ISO 27001 - 5

  • Upload
    jcfarit

  • View
    250

  • Download
    5

Embed Size (px)

DESCRIPTION

MOD 5 SGSI

Citation preview

Page 1: ISO 27001 - 5

Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste material sem a permissão expressa do autor.

Interpretação da normaNBR ISO/IEC 27001:2006

Curso e- Learning

Sistema deGestão de Segurança da Informação

Page 2: ISO 27001 - 5

Interpretação das cláusulas 4 a 4.2.2 da NBR ISO/IEC 27001:2005

Módulo 5

Page 3: ISO 27001 - 5

Estrutura da Norma NBR ISO/IEC 27001:2006

Sistema de Gestão da SI

Melhoria Contínua

Responsabilidade da direção

Auditorias internas

Melhoria do SGSI

Análise crítica do SGSI pela direção

Entradas Saídas

4

6

7

85

RE

QU

ISIT

OS

SE

GU

RA

A D

A

INF

OR

MA

ÇÃ

O

Page 4: ISO 27001 - 5

4 – Sistema de Gestão de Segurança da Informação 4.1 – Requisitos gerais

A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negócios globais da organização e dos riscos que ela enfrenta.

Estabelecido

Melhorado

Implementado

MantidoO sistema deve ser documentado e:

Operado

Cada sistema écomposto por

processos que se relacionam

Page 5: ISO 27001 - 5

4 – Sistema de Gestão de Segurança da Informação4.1 – Requisitos gerais

Para os efeitos desta norma, o processo usado está baseado no modelo PDCA.

Page 6: ISO 27001 - 5

4.2 – Estabelecendo e gerenciando o SGSI 4.2.1 – Estabelecer o SGSI

A organização deve:

a) Definir o escopo e os limites do SGSI nos termos das características do negócio, da organização, sua localização, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer exclusões do escopo (ver 1.2).

Exemplo de escopo:

Processo de desenvolvimento de software de sistemas de autenticação digital, realizado na Alameda Manaus nº 100 – São Paulo – SP, Brasil, conforme declaração de aplicabilidade revisão 1.

Escopo

Page 7: ISO 27001 - 5

4.2 – Estabelecendo e gerenciando o SGSI 4.2.1 – Estabelecer o SGSI

A organização deve:

b) Definir uma política de SGSI nos termos das características do negócio, da organização, sua localização, ativos e tecnologia que:

1) inclua uma estrutura para definir objetivos e estabelecer um direcionamento global e princípios para ações relacionadas com a segurança da informação

2) considere requisitos de negócio, legais e/ou regulamentares, e obrigações de segurança contratuais

3) esteja alinhada com o contexto estratégico de gestão de riscos da organização no qual o estabelecimento e a manutenção do SGSI irão ocorrer

4) estabeleça critérios em relação aos quais os riscos serão avaliados

5) tenha sido aprovada pela direção

Política deSGSI

Page 8: ISO 27001 - 5

4.2 – Estabelecendo e gerenciando o SGSI 4.2.1 – Estabelecer o SGSI

Exemplo de política

� Nossos serviços e projetos são bens de importância fundamental para a empresa. A continuidade do nosso negócio depende da qualidade, confidencialidade, integridade e disponibilidade destes bens.

� Os gestores do projeto são responsáveis em proteger estes ativos contra uso não autorizado, recebimento, processamento, armazenamento e transmissão das informações

� Todos os funcionários, prestadores de serviço e consultores devem entender suas obrigações para proteger estas informações e implementar os procedimentos de segurança.

� Todos os incidentes de segurança devem ser comunicados para a área de segurança, para serem tomadas as devidas ações corretivas.

� Esta política é válida a partir de 20.08.2006.

Política deSGSI

Page 9: ISO 27001 - 5

4.2 – Estabelecendo e gerenciando o SGSI 4.2.1 – Estabelecer o SGSI

A organização deve:

c) Definir a abordagem de análise/avaliação de riscos da organização.

1) Identificar uma metodologia de análise/avaliação de riscos que seja adequada ao SGSI e aos requisitos legais, regulamentares e de segurança da informação identificados para o negócio.

2) Desenvolver critérios para a aceitação de riscos e identificar os níveis aceitáveis de risco.

A metodologia de análise/avaliação de riscos selecionada deve assegurar que as análises/avaliações de risco produzam resultados comparáveis e reproduzíveis.

Várias metodologias podem ser aplicadas. Análise/avaliação de riscos não é um processo matemático – sempre haverá o uso do bom senso e dos sentimentos dos analistas. Portanto é necessário que o processo de análise seja harmonizado entre os profissionais que forem realizar esta atividade.

Page 10: ISO 27001 - 5

4.2 – Estabelecendo e gerenciando o SGSI 4.2.1 – Estabelecer o SGSI

A organização deve:

d) Identificar os riscos.

1) Identificar os ativos dentro do escopo do SGSI, e os proprietários destes ativos.

2) Identificar as ameaças a estes ativos.

3) Identificar as vulnerabilidades que podem ser exploradas pelas ameaças.

4) Identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade podem causar aos ativos.

Exemplo:� ATIVO: servidor utilizado para armazenar sites de clientes� AMEAÇA: vírus� VULNERABILIDADE: antivírus desatualizado� IMPACTO: sites de clientes fora do ar

Page 11: ISO 27001 - 5

4.2 – Estabelecendo e gerenciando o SGSI 4.2.1 – Estabelecer o SGSI

A organização deve:

e) Analisar e avaliar os riscos.

1) Avaliar os impactos para o negócio que podem resultar de falhas de segurança, levando em consideração as conseqüências de perda de confidencialidade, integridade ou disponibilidade dos ativos.

2) Avaliar a probabilidade real da ocorrência de falhas de segurança àluz de ameaças e vulnerabilidades prevalecentes, impactos associados a estes ativos e controles atualmente implementados.

3) Estimar os níveis de riscos.

4) Determinar se os riscos são aceitáveis ou se requerem tratamento utilizando os critérios para aceitação estabelecidos.

Page 12: ISO 27001 - 5

4.2 – Estabelecendo e gerenciando o SGSI 4.2.1 – Estabelecer o SGSI

Continuação do exemplo:

� ATIVO: servidor utilizado para armazenar sites de clientes

� AMEAÇA: vírus

� VULNERABILIDADE: antivírus desatualizado

� IMPACTO: sites de clientes fora do ar

� AVALIAÇÃO DO IMPACTO: desgaste com clientes, perda de clientes e multas contratuais

� PROBABILIDADE DE OCORRÊNCIA: 2% de chance

� RISCO: um critério deve ser definido. Como exemplo podemos considerar o risco de 1 a 5, sendo 1 o menor e 5 o maior. Neste caso poderíamos considerar o risco = 1 devido àatualização automática de antivírus (controle já implantado)

� NÍVEL DE RISCO ACEITÁVEL: na escala de 1 a 5 podemos definir, por exemplo: aceitar riscos de níveis 1 a 3

Page 13: ISO 27001 - 5

4.2 – Estabelecendo e gerenciando o SGSI 4.2.1 – Estabelecer o SGSI

A organização deve:

f) Identificar e avaliar as opções de tratamento de riscos.

Possíveis opções incluem:

1) Aplicar controles apropriados

2) Aceitar os riscos consciente e objetivamente, que satisfaçam claramente as políticas da organização e os critérios de aceitação de riscos

3) Evitar riscos

4) Transferir os riscos associados ao negócio a outras partes. Por exemplo: seguradoras e fornecedores

No exemplo do slide anterior consideramos que já havia um controle implantado (atualização automática de antivírus). Porém se o ativo fosse de grande valor, poderíamos considerar que somente este controle não seria suficiente, e poderíamos decidir implantar um firewall ou utilizar servidores de uma empresa com mais infra-estrutura (terceirizar a atividade e assim transferir o risco).

Page 14: ISO 27001 - 5

4.2 – Estabelecendo e gerenciando o SGSI4.2.1 – Estabelecer o SGSI

A organização deve:

g) Selecionar objetivos de controle e controles e para o tratamento de risco.

� Objetivos de controle e controles devem ser selecionados e implementados para atender aos requisitos identificados pela análise/avaliação de riscos e pelo processo de tratamento de riscos. Esta seleção deve considerar tanto os critérios para aceitação de riscos como também os requisitos legais, regulamentares e contratuais.

� Os objetivos de controle e controles do anexo A devem ser selecionados como parte deste processo, como adequados para cobrir os requisitos identificados.

� Os objetivos de controle e controles listados no anexo A não são exaustivos, e objetivos de controle e controles adicionais podem também ser selecionados.

Exemplo: item A.11.3 do Anexo A: Responsabilidades dos usuários

� Uso de senhas

� Política de mesa limpa e tela limpa

Page 15: ISO 27001 - 5

4.2 – Estabelecendo e gerenciando o SGSI4.2.1 – Estabelecer o SGSI

A organização deve:

h) Obter aprovação da direção sobre os riscos residuais propostos.

i) Obter autorização da direção para implementar e operar o SGSI.

Por mais controles que sejam implantados, sempre haverá um risco residual. Não há sistema à prova de falhas. Estas sempre poderão ocorrer por ações deliberadas (de hackers, por exemplo) ou acidentais (incêndio ou inundação, por exemplo). Se o risco era de nível 4, implantamos um controle e conseguimos que o risco baixasse para nível 3, nós ainda não conseguimos eliminar o risco, e o dono do ativo precisa aprovar que nenhum outro controle necessite ser implantado.

Page 16: ISO 27001 - 5

Exercício

Considere um notebook de uma organização utilizado por um consultor dentro e fora das dependências da empresa. Estando fora da empresa o consultor pode se conectar à rede da organização através da internet.

Defina, para este ativo:

�Uma AMEAÇA possível

�Uma VULNERABILIDADE do ativo que possa ser atacada por esta ameaça

�Um IMPACTO possível caso a ameaça ocorresse

E também:

�AVALIE este IMPACTO identificando possíveis conseqüências

�Estime, do seu ponto de vista, a PROBABILIDADE DE OCORRÊNCIA deste evento

�Valorize o RISCO considerando uma escala de 1 a 5, sendo 1 o menor risco e 5 o maior

�Estime, do seu ponto de vista, o NÍVEL DE RISCO ACEITÁVEL utilizando uma escala de 1 a 5, sendo 1 o menor e 5 o maior

�Considere que o risco não é aceitável e identifique um CONTROLE que possa minimizar este risco

Page 17: ISO 27001 - 5

Resposta

� Uma AMEAÇA possível: roubo.

� Uma VULNERABILIDADE do ativo que possa ser atacada por esta ameaça: uso do equipamento nas instalações dos clientes.

� Um IMPACTO possível caso a ameaça se tornasse um fato: perda de informação armazenada no disco rígido do computador; dados de clientes e da organização poderiam ser acessíveis a pessoas não autorizadas.

� AVALIE este IMPACTO identificando possíveis conseqüências: o roubo teria que ser relatado ao cliente, o que provocaria desgaste no relacionamento. E se as informações fossem parar nas mãos de terceiros mal intencionados ou da concorrência, poderia haver perda de imagem e de negócios.

� Estime a PROBABILIDADE DE OCORRÊNCIA deste evento: 20% de chance.

� Valorize o RISCO considerando uma escala de 1 a 5: risco = 3.

� Estime o NÍVEL DE RISCO ACEITÁVEL utilizando uma escala de 1 a 5: risco aceitável = 1.

� Considere que o risco não é aceitável e identifique um CONTROLE que possa minimizar este risco: não utilizar o disco rígido do notebook, trabalhar via web utilizando o sistema da empresa.

Page 18: ISO 27001 - 5

4.2 – Estabelecendo e gerenciando o SGSI4.2.1 – Estabelecer o SGSI

A organização deve:

j) Preparar a declaração de aplicabilidade, que deve incluir o seguinte:

1) Os objetivos de controle, os controles selecionados e as razões para sua seleção

2) Os objetivos de controle e os controles atualmente implementados

3) A exclusão de quaisquer objetivos de controle e de controles do anexo A, e justificativas para sua exclusão

A declaração de aplicabilidade provê um resumo das decisões relativas ao tratamento de riscos. A justificativa das exclusões provê uma checagem cruzada de que nenhum controle foi omitido inadvertidamente.

A ISO/IEC 27001:2005 contém 39 objetivos de controle e 133 controles, que serão detalhados nos módulos 7 e 8 deste treinamento.

Page 19: ISO 27001 - 5

Exercício

Prepare um modelo de formulário que poderia ser usado para a documentação de uma declaração de aplicabilidade.

Page 20: ISO 27001 - 5

Resposta

1ª coluna: lista dos 133 controles definidos pela NBR ISO/IEC 27001 no seu anexo A.

2ª coluna: indicar, para cada um dos 133 controles, quais já estavam implementados antes da ISO 27001. É boa prática identificar os documentos da organização que se relacionam com estes controles.

3ª coluna: indicar quais dos 133 controles estão sendo implantados. É boa prática identificaros documentos da organização que se relacionam com estes controles.

4ª coluna: indicar quais dos 133 controles não estão sendo implantados e esclarecer as razões. Justificar adequadamente.

Page 21: ISO 27001 - 5

4.2 – Estabelecendo e gerenciando o SGSI4.2.2 – Implementar e operar o SGSI

A organização deve:

a) Formular um plano de tratamento de riscos que identifique ação de gestão apropriada, recursos, responsabilidades e prioridades para a gestão dos riscos de segurança.

b) Implementar o plano de tratamento de riscos para alcançar os objetivos e controles identificados, que inclua considerações de financiamento e atribuições de papéis e responsabilidades.

c) Implementar os controles selecionados para atender aos objetivos de controle.

d) Definir como medir a eficácia dos controles ou grupos de controles selecionados, e especificar como estas medidas devem ser usadas para avaliar a eficácia dos controles de modo a produzir resultados comparáveis e reproduzíveis.

Page 22: ISO 27001 - 5

4.2 – Estabelecendo e gerenciando o SGSI 4.2.2 – Implementar e operar o SGSI

O que é um plano?

Plano é um documento que diz o que seráfeito, por que, como, quando, por quem e onde.

Também conhecido em inglês como 5W1H

� What – O que

� Why – Por que

� How – Como

� When – Quando

� Who – Quem

� Where – Onde

Page 23: ISO 27001 - 5

Exercício

Elabore um formulário modelo para a documentação de um plano de tratamento de riscos e preencha com um exemplo.

Page 24: ISO 27001 - 5

Resposta

Contr.-CHECADO

Marcia GuerraN° O que porque como quando

1

Prevenir acesso indevido de pessoas que não sejam funcionários as instalações da organização

Existem áres de desenvolvimento de produto com informações confidenciais

Todos os funcionários devem utilizar crachás com código de barras para terem acesso as instalações

até 3/8/07

Márcia Guerraonde

na matriz e nas filiais

Rev.

1/2/2007

PLANO DE AÇÃO No. FADM 004Resp. Documento/Aprovado Data - DATE

quem

Celso

Page 25: ISO 27001 - 5

4.2 – Estabelecendo e gerenciando o SGSI4.2.2 – Implementar e operar o SGSI

A organização deve:

e) Implementar programas de conscientização e treinamento. A organização deve assegurar que todo o pessoal que tem responsabilidades atribuídas definidas no SGSI seja competente para desempenhar as tarefas requeridas.

f) Gerenciar as operações do SGSI. É importante que haja um profissional que seja responsável pelo sistema.

g) Gerenciar os recursos para o SGSI. Sempre que houver necessidade de recursos humanos e materiais, a direção deve ser informada e deve analisar as disponibilidades financeiras para decidir onde prover os recursos necessários.

h) Implementar procedimentos e outros controles capazes de permitir a pronta detecção de eventos de segurança da informação e resposta a incidentes de segurança da informação. Deve ser implementada uma sistemática de documentação e tratamento dos incidentes identificados, com ações imediatas para sanar o incidente e ações corretivas (quando aplicável) para evitar a recorrência destes incidentes.

Page 26: ISO 27001 - 5

Interpretação das cláusulas 4 a 4.2.2 da NBR ISO/IEC 27001:2005

Fim do módulo 5