Embed Size (px)
Citation preview
Especificações da ISO para gestão de Segurança da InformaçãoLaís Berlatto - 104493Felipe Haack Schmitz - 106396Carlos Adriani Lara Schaeffer
O que é segurança da Informação?
Segundo a norma ISO/IEC 17799:2000, segurança da informação pode ser definida como a proteção contra um grande número de ameaças às informações, de forma a assegurar a continuidade do negócio, minimizando danos comerciais e maximizando o retorno de possibilidades e investimentos.
BS7799 - British Standart 7799
O British Standart 7799 é uma norma de segurança da informação. Criada na Inglaterra, teve seu desenvolvimento iniciado em 1995. Divide-se em duas partes, estando a primeira parte homologada desde 2000 e, a segunda parte, com homologação prevista para 2002.
A ISO/IEC 17799 é a versão internacional da BS7799 homologada pela International Standartization Organization em dezembro de 2000.
O que é ISO e IEC?ISO significa International Standartization Organization.
Trata-se de uma organização internacional formada por um conselho e comitês com membros oriundos da maioria dos países. Seu objetivo é criar normas e padrões universalmente aceitos sobre como realizar as mais diversas atividades comerciais, industriais, científicas e tecnológicas.
IEC significa International Engineering Consortium. É uma organização voltada para o aprimoramento da indústria da informação. Uma associação entre as duas instituições produz normas e padronizações internacionais.
ISO/IEC 17799:2000Segundo a ISO/IEC 17799:2000 a segurança da
informação é caracterizada pela preservação dos três atributos básicos da informação: confidencialidade, integridade e disponibilidade.
ISO/IEC 17799:2000 Esta norma fornece recomendações para gestão da segurança da informação para uso por aqueles que são responsáveis pela introdução, implementação ou manutenção da segurança em suas organizações.
ISO/IEC 17799:2000-Política de Segurança de Informação.-Segurança Organizacional.-Classificação dos Ativos da Organização.-Segurança em Pessoas.-Segurança Física e do Ambiente.-Gerenciamento das operações e comunicações.-Controle de Acesso-Desenvolvimento e Manutenção de Sistemas.-Gestão da Continuidade de Nogócio.-Conformidade
ISO/IEC 17799:2000-Política de Segurança de Informação.-Segurança Organizacional.-Classificação dos Ativos da Organização.-Segurança em Pessoas.-Segurança Física e do Ambiente.-Gerenciamento das operações e comunicações.-Controle de Acesso-Desenvolvimento e Manutenção de Sistemas.-Gestão da Continuidade de Nogócio.-Conformidade
ISO/IEC 17799:2000-Política de Segurança de Informação.-Segurança Organizacional.-Classificação dos Ativos da Organização.-Segurança em Pessoas.-Segurança Física e do Ambiente.-Gerenciamento das operações e comunicações.-Controle de Acesso-Desenvolvimento e Manutenção de Sistemas.-Gestão da Continuidade de Nogócio.-Conformidade
ISO/IEC 27002ISO/IEC 27002 é um padrão de segurança da informação publicado pela
International Organization for Standardization (ISO) e pela International Electrotechnical Commission (IEC), entitulado tecnologia da informação - Tecnologias de Segurança - código de pratica para gerenciamento de segurança da informação.
ISO / IEC 27002:2005 foi desenvolvida a partir de BS7799, publicado em meados da década de 1990. A British Standard foi adotado pela ISO/IEC como ISO/IEC 17799:2000, revisto em 2005, e renumerado (mas de outra forma inalterada) em 2007 para se alinhar com os outros ISO / IEC 27000 série de padrões. ISO / IEC 27002 fornece recomendações de melhores práticas na gestão da informação de segurança para uso pelos responsáveis pela iniciação, implementação ou manutenção de Sistemas de Informação de Gestão de Segurança (ISMS).
A segurança da informação é definida dentro do padrão no contexto da tríade CIA: a preservação da confidencialidade (garantir que a informação é acessível somente àqueles autorizados a ter acesso), integridade (salvaguarda da exatidão e integridade das informações e métodos de processamento) e disponibilidade (garantia de que usuários autorizados tenham acesso às informações e ativos associados quando necessário).
ISO/IEC 27002Após as sessões introdutórias, a norma contém as
seguintes sessões principais: ○ A avaliação de riscos; ○ A política de segurança: direcção, gestão;○ Organização da segurança da informação: de governança da
segurança da informação;○ A gestão de activos: inventário e classificação dos ativos de
informação○ Segurança dos recursos humanos: aspectos de segurança para os
funcionários de união, movendo-se e sai de uma empresa;○ Segurança física e ambiental: a protecção dos meios informáticos;○ Comunicação e gestão de operações: gestão de controles técnicos de
segurança nos sistemas e redes;○ O controle de acesso: restrição de direitos de acesso a redes,
sistemas, aplicações, funções e dados;
ISO/IEC 27002○ Sistemas de informação desenvolvimento, aquisição e manutenção:
segurança do prédio em aplicações;○ Informações de gerenciamento de incidentes de segurança: antecipar
e responder adequadamente às violações de segurança da informação
○ Gestão de continuidade de negócios: proteção, manutenção e recuperação de processos críticos de negócios e sistemas;
○ Compliance: assegurar a conformidade com as políticas de segurança da informação, normas, leis e regulamentos.
![Guia de Avaliacao MPS - softex.br · baseado na Norma Internacional ISO/IEC 15504-2:20032 [ISO/IEC, 2003]. 2 Equivalente à norma nacional NBR ISO/IEC 15504-2 Tecnologia da informação](https://img.document.onl/doc/110x75/5be3d4ba09d3f2ad378c6a41/guia-de-avaliacao-mps-baseado-na-norma-internacional-isoiec-15504-220032.jpg)
