Introdução à Série ISO/IEC 27k

Embed Size (px)

DESCRIPTION

Material da disciplina Segurança da Informação, lecionado no Instituto Federal de Rondônia - Ariquemes

Text of Introdução à Série ISO/IEC 27k

  • 1. Introduo Algumas Organizaes de Padronizao

2. Introduo Hierarquia das Organizaes INTERNACIONAL NACIONAL IEC/ISO ABNT Brasil BSI Inglaterra ANSI Estados Unidos 3. Introduo Por que Padronizar? 4. Introduo Objetivos das Normas aquilo que se estabelece como medida para a realizao de uma atividade. Uma norma tem como propsito definir regras e instrumentos de controle para assegurar a conformidade de um processo, produto ou servio. 5. Introduo Os objetivos das normas segundo a ABNT so: Comunicao: proporcionar meios mais eficientes na troca de informao entre o fabricante e o cliente, melhorando a confiabilidade das relaes comerciais e de servios; Segurana: proteger a vida humana e a sade; 6. Introduo Os objetivos das normas segundo a ABNT so: Proteo do consumidor: prover a sociedade de mecanismos eficazes para aferir qualidade de produtos; Eliminao de barreiras tcnicas e comerciais: evitar a existncia de regulamentos conflitantes sobre produtos e servios em diferentes pases, facilitando assim, o intercmbio comercial. 7. Introduo Como tudo comeou Fundao do BSI (1901) Presente em mais de 86 pases Frum normalizador do Reino Unido. Principal membro fundador do ISO. 8. Introduo As normas BS 7799 Cdigos de Boas Prticas para o Gerenciamento da Segurana da Informao; NORMA ANO 1995BS 7799-1 9. Introduo As normas BS 7799 Sistema de Gerenciamento da Segurana da Informao; NORMA ANO 1999BS 7799-2 10. Introduo As normas BS 7799 Anlise e Gerenciamento de Riscos; NORMA ANO 2005BS 7799-3 11. Introduo A norma ISO/IEC 17799 A norma ISO/IEC 17799 uma cpia fiel do padro britnico BS 7799-1. Em 2007 foi renomeada para ISO/IEC 27002 NORMA ANO 2000ISO/IEC 17799 12. Introduo Herana de Normas BS 7799-1 BS 7799-2 BS 7799-3 ISO/IEC 17799 ISO/IEC 27002 ISO/IEC 27001 ISO/IEC 27000 ISO/IEC 27005 13. Srie ISO/IEC 27K 27002 2700327001 2700527004 Overview Define os requisitos para um sistemas de gesto de segurana da informao. 14. Srie ISO/IEC 27K 27002 2700327001 2700527004 Overview Boas prticas para a gesto de segurana da informao. 15. Srie ISO/IEC 27K 27002 2700327001 2700527004 Overview Guia para a implantao de um sistema de gesto de segurana da informao. 16. Srie ISO/IEC 27K 27002 2700327001 2700527004 Overview Define mtricas e meios de medio para avaliar a eficcia de um sistema de gesto de segurana da informao. 17. Srie ISO/IEC 27K 27002 2700327001 2700527004 Overview Fornece as diretrizes para o processo de gesto de riscos de segurana da informao. 18. Srie ISO/IEC 27K Estrutura da norma 27001 0. Introduo 1. Objetivo 2. Referncia Normativa 3. Termos e definies 4. Sistema de gesto de segurana da informao (Requisitos gerais / Estabelecendo e gerenciando o SGSI / Requisitos de documentao) 5. Responsabilidades da direo (Comprometimento da direo / Gesto de recursos) 6. Auditorias internas do SGSI 7. Anlise crtica do SGSI pela direo (Geral / Entradas para anlise crtica / Sadas da anlise crtica) 8. Melhorias no SGSI (Melhoria contnua / Ao corretiva / Ao preventiva) 19. Sistema de Gesto de Segurana (SGSI) Um SGSI tem o objetivo de: Estabelecer Implementar Operar Monitorar Analisar Manter Melhorar Informao Trata-se de uma abordagem segurana da informao, numa perspectiva organizacional. Esse sistema denomina-se o ciclo PDCA E I O M A M M 20. Sistema de Gesto de Segurana (SGSI) Ciclo PDCA ESTABELECER IMPLEMENTAR E OPERAR MONITORAR E ANLISAR MANTER E MELHORAR 21. Sistema de Gesto de Segurana (SGSI) Benefcios da ISO/IEC 27001:2005 A norma projetada para assegurar que voc selecione os controles de segurana adequados e proporcionais que o ajudem a proteger os ativos da informao para gerar confiana nas partes interessadas, incluindo seus clientes. A ISO/IEC 27001 define os requisitos para um Sistema de segurana da informao. 22. Sistema de Gesto de Segurana (SGSI) Benefcios da ISO/IEC 27001:2005 Auxilia as organizaes ao prover uma abordagem estruturada e proativa para a segurana da informao. um investimento para o futuro da companhia. Um sistema de gesto baseado em riscos para ajudar organizaes planejarem, implementarem e manterem um sistema de gesto de segurana da informao (SGSI). 23. Sistema de Gesto de Segurana (SGSI) Termos e definies da norma ISO/IEC 27001. Confidencialidade: Propriedade de que a informao no esteja disponvel ou revelada a indivduos, entidades ou processos no autorizados. Ativo: qualquer coisa que tenha valor para a organizao Disponibilidade: propriedade de estar acessvel e utilizvel sob demanda por uma entidade autorizada. 24. Sistema de Gesto de Segurana (SGSI) Termos e definies da norma ISO/IEC 27001. Evento de segurana da informao: Uma ocorrncia identificada de um estado de sistema, servio ou rede, indicando uma possvel violao da poltica de segurana da informao ou falha de controles, ou uma situao previamente desconhecida, que possa ser relevante para a segurana Incidente de segurana da Informao: Um simples ou uma srie de eventos de segurana da informao indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operaes do negcio e ameaar a segurana da informao. 25. ABNT NBR ISO/IEC 17799:2005 Objetivos. Estabelecer cdigos de boas prticas para a gesto de segurana da informao. Dar instrumentos para a implantao de segurana da informao de acordo com as caractersticas de uma empresa. 26. ABNT NBR ISO/IEC 17799:2005 Objetivos. A ISO/IEC 17799 tem como objetivo a confidencialidade, integridade e disponibilidade (CID) das informaes. 27. ABNT NBR ISO/IEC 17799:2005 Benefcios proporcionados Vantagem competitiva; Melhoria no desempenho do negcio e gerenciamento de riscos; Atrair novos investidores, melhoria da reputao da marca e remoo de barreiras comerciais; Reduo de Gastos; Operaes com menos burocracias e reduo de perda; Evoluo da comunicao interna; Melhoria da satisfao do cliente. 28. ABNT NBR ISO/IEC 17799:2005 Sees de controle da norma: 1. Poltica de Segurana da Informao; 2. Organizando a Segurana da Informao 3. Gesto de Ativos 4. Segurana em Recursos Humanos; 5. Segurana Fsica e do Ambiente; 6. Gesto de Operaes e Comunicaes; 7. Controle de Acesso; 8. Aquisio, Desenvolvimento e Manuteno de Sistema de Informao; 9. Gesto de Incidentes de Segurana da Informao 10. Gesto da Continuidade do Negcio; 11. Conformidade.