29

Introdução à Série ISO/IEC 27k

Embed Size (px)

DESCRIPTION

Material da disciplina Segurança da Informação, lecionado no Instituto Federal de Rondônia - Ariquemes

Citation preview

Page 1: Introdução à Série ISO/IEC 27k
Page 2: Introdução à Série ISO/IEC 27k

IntroduçãoAlgumas Organizações de Padronização

Page 3: Introdução à Série ISO/IEC 27k

IntroduçãoHierarquia das Organizações

INTERNACIONAL

NACIONAL

IEC/ISO

ABNTBrasil

BSIInglaterra

ANSIEstados Unidos

Page 4: Introdução à Série ISO/IEC 27k

IntroduçãoPor que Padronizar?

Page 5: Introdução à Série ISO/IEC 27k

IntroduçãoObjetivos das Normas

É aquilo que se estabelece como medida para a realização de uma atividade.

Uma norma tem como propósito definir regras e instrumentos de controle para assegurar a conformidade de um processo, produto ou serviço.

Page 6: Introdução à Série ISO/IEC 27k

IntroduçãoOs objetivos das normas segundo a ABNT são:

Comunicação: proporcionar meios mais eficientes na troca de informação entre o fabricante e o cliente, melhorando a confiabilidade das relações comerciais e de serviços;

Segurança: proteger a vida humana e a saúde;

Page 7: Introdução à Série ISO/IEC 27k

IntroduçãoOs objetivos das normas segundo a ABNT são:

Proteção do consumidor: prover a sociedade de mecanismos eficazes para aferir qualidade de produtos;

Eliminação de barreiras técnicas e comerciais: evitar a existência de regulamentos conflitantes sobre produtos e serviços em diferentes países, facilitando assim, o intercâmbio comercial.

Page 8: Introdução à Série ISO/IEC 27k

IntroduçãoComo tudo começou

Fundação do BSI (1901)Presente em mais de 86 paísesFórum normalizador do Reino Unido.Principal membro fundador do ISO.

Page 9: Introdução à Série ISO/IEC 27k

IntroduçãoAs normas BS 7799

Códigos de Boas Práticas para o Gerenciamento da Segurança da Informação;

NORMA ANO

1995BS 7799-1

Page 10: Introdução à Série ISO/IEC 27k

IntroduçãoAs normas BS 7799

Sistema de Gerenciamento da Segurança da Informação;

NORMA ANO

1999BS 7799-2

Page 11: Introdução à Série ISO/IEC 27k

IntroduçãoAs normas BS 7799

Análise e Gerenciamento de Riscos;

NORMA ANO

2005BS 7799-3

Page 12: Introdução à Série ISO/IEC 27k

IntroduçãoA norma ISO/IEC 17799

A norma ISO/IEC 17799 é uma cópia fiel do padrão britânico BS 7799-1. Em 2007 foi renomeada para ISO/IEC 27002

NORMA ANO

2000ISO/IEC 17799

Page 13: Introdução à Série ISO/IEC 27k

IntroduçãoHerança de Normas

BS 7799-1 BS 7799-2 BS 7799-3

ISO/IEC 17799

ISO/IEC 27002

ISO/IEC 27001

ISO/IEC 27000 ISO/IEC 27005

Page 14: Introdução à Série ISO/IEC 27k

Série ISO/IEC 27K

27002 2700327001 2700527004

Overview

Define os requisitos para um sistemas de gestão de segurança da informação.

Page 15: Introdução à Série ISO/IEC 27k

Série ISO/IEC 27K

27002 2700327001 2700527004

Overview

Boas práticas para a gestão de segurança da informação.

Page 16: Introdução à Série ISO/IEC 27k

Série ISO/IEC 27K

27002 2700327001 2700527004

Overview

Guia para a implantação de um sistema de gestão de segurança da informação.

Page 17: Introdução à Série ISO/IEC 27k

Série ISO/IEC 27K

27002 2700327001 2700527004

Overview

Define métricas e meios de medição para avaliar a eficácia de um sistema de gestão de segurança da informação.

Page 18: Introdução à Série ISO/IEC 27k

Série ISO/IEC 27K

27002 2700327001 2700527004

Overview

Fornece as diretrizes para o processo de gestão de riscos de segurança da informação.

Page 19: Introdução à Série ISO/IEC 27k

Série ISO/IEC 27KEstrutura da norma 27001

0. Introdução1. Objetivo

2. Referência Normativa3. Termos e definições

4. Sistema de gestão de segurança da informação(Requisitos gerais / Estabelecendo e gerenciando o SGSI / Requisitos de documentação)

5. Responsabilidades da direção(Comprometimento da direção / Gestão de recursos)

6. Auditorias internas do SGSI7. Análise crítica do SGSI pela direção

(Geral / Entradas para análise crítica / Saídas da análise crítica)

8. Melhorias no SGSI(Melhoria contínua / Ação corretiva / Ação preventiva)

Page 20: Introdução à Série ISO/IEC 27k

Sistema de Gestão de Segurança (SGSI)

Um SGSI tem o objetivo de:

Estabelecer

Implementar

Operar

Monitorar

Analisar

Manter

Melhorar

Informação

Trata-se de uma abordagem à segurança da informação, numa perspectiva organizacional.

Esse sistema denomina-se o ciclo PDCA

E

I

O

M

A

M

M

Page 21: Introdução à Série ISO/IEC 27k

Sistema de Gestão de Segurança (SGSI)

Ciclo PDCA

ESTABELECER IMPLEMENTAR E OPERAR

MONITORARE ANÁLISARMANTER E

MELHORAR

Page 22: Introdução à Série ISO/IEC 27k

Sistema de Gestão de Segurança (SGSI)

Benefícios da ISO/IEC 27001:2005

A norma é projetada para assegurar que você selecione os controles de segurança adequados e proporcionais que o ajudem a proteger os ativos da informação para gerar confiança nas partes interessadas, incluindo seus clientes.

A ISO/IEC 27001 define os requisitos para um Sistema de segurança da informação.

Page 23: Introdução à Série ISO/IEC 27k

Sistema de Gestão de Segurança (SGSI)

Benefícios da ISO/IEC 27001:2005

Auxilia as organizações ao prover uma abordagem estruturada e proativa para a segurança da informação.

É um investimento para o futuro da companhia.

Um sistema de gestão “baseado em riscos” para ajudar organizações planejarem, implementarem e manterem um sistema de gestão de segurança da informação (SGSI).

Page 24: Introdução à Série ISO/IEC 27k

Sistema de Gestão de Segurança (SGSI)

Termos e definições da norma ISO/IEC 27001.

Confidencialidade:Propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados.

Ativo: qualquer coisa que tenha valor para a organização

Disponibilidade: propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada.

Page 25: Introdução à Série ISO/IEC 27k

Sistema de Gestão de Segurança (SGSI)

Termos e definições da norma ISO/IEC 27001.

Evento de segurança da informação:Uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação.

Incidente de segurança da Informação:Um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação.

Page 26: Introdução à Série ISO/IEC 27k

ABNT NBR ISO/IEC 17799:2005Objetivos.

Estabelecer códigos de boas práticas para a

gestão de segurança da informação.

Dar instrumentos para a implantação de segurança da informação de acordo com as características de

uma empresa.

Page 27: Introdução à Série ISO/IEC 27k

ABNT NBR ISO/IEC 17799:2005Objetivos.

A ISO/IEC 17799 tem como objetivo a confidencialidade, integridade e disponibilidade

(CID) das informações.

Page 28: Introdução à Série ISO/IEC 27k

ABNT NBR ISO/IEC 17799:2005Benefícios proporcionados

Vantagem competitiva;

Melhoria no desempenho do negócio e gerenciamento de riscos;

Atrair novos investidores, melhoria da reputação da marca e

remoção de barreiras comerciais;

Redução de Gastos;

Operações com menos burocracias e redução de perda;

Evolução da comunicação interna;

Melhoria da satisfação do cliente.

Page 29: Introdução à Série ISO/IEC 27k

ABNT NBR ISO/IEC 17799:2005Seções de controle da norma:

1. Política de Segurança da Informação;

2. Organizando a Segurança da Informação

3. Gestão de Ativos

4. Segurança em Recursos Humanos;

5. Segurança Física e do Ambiente;

6. Gestão de Operações e Comunicações;

7. Controle de Acesso;

8. Aquisição, Desenvolvimento e Manutenção de Sistema de Informação;

9. Gestão de Incidentes de Segurança da Informação

10. Gestão da Continuidade do Negócio;

11. Conformidade.