ISO/IEC 27001

Anderson LopesBSI-8

Sobre a apresentação

Apresentação solicitada pela professora Simone, para a sua matéria, Tópicos em TI.

Mas, o que é ISO?

ISO é uma palavra derivada do grego isos(igual), que aparece como prefixo em termostais como: isometria (qualidade de medidas edimensões), isonomia (igualdade das pessoasperante à lei.

Mas, o que é ISO?

Consequentemente, associa-se iso (igual) a"padrão", o que levou a uma linha depensamento que redundou na escolha de ISOcomo identificação mundial da InternationalOrganization for Standardization, para evitar ainfinidade de siglas resultantes da traduçãoem diversas línguas dessa Organização NãoGovernamental criada em 1947 e sediada emGenebra, na Suíça.

Objetivo do ISO

Trata-se de uma instituição cujo objetivo épropor e monitorar normas que representeme traduzam o consenso de diferentes paísespara a normalização de procedimentos,medidas e materiais em todos os domínios daatividade produtiva.

Início do ISO

Em 1987 a ISO editou, com base nos preceitos da British Standard - BS5750, a série 9000, que são as normas que tratam de Sistemas para Gestão e Garantia da Qualidade nas empresas.

O que é a ISO/IEC 27001?

ISO/IEC 27001 é um padrão para sistema degerência da segurança da informação (ISMS -Information Security Management System)publicado em outubro de 2005 pelo ISO epelo IEC (International ElectrotechnicalCommision). Seu nome completo é ISO/IEC27001:2005 - Tecnologia da informação -técnicas de segurança - sistemas de gerênciada segurança da informação - requisitos masconhecido como "ISO 27001".

Visão geral

O que é informação?

Ativo que, como todo ativo importante do negócio, tem valor para a organização e necessita ser devidamente protegido

Tipos de informação

Falada Armazenada (meios eletrônicos ou não) Emitida (procedimento) Fotografada Lida, escrita, impressa Transmitida Filmada, etc... “... Não importa a forma que a informação tome, ou os

meios pelos quais é compartilhada ou armazenada, convém que seja sempre apropriadamente protegida.” ABNT NBR ISO/IEC 17799:2005

Ameaças, Vulnerabilidades eRiscos Ameaça – Identificação e avaliação da

possibilidade de eventos acidentais ou nãodesejados impactarem a infra estrutura de TI.Variam em severidade.

Vulnerabilidade – Fatores que tornam a infraestrutura deTI suscetível à ameaças.

Risco – Probabilidade da ocorrência daexploração de uma vulnerabilidade por umaameaça. Variam em probabilidade e tem graude perda.

Objetivo

Ajudar as organizações que implementam anorma a EIOMAMM (Estabelecer,Implementar e Operar, Monitorar e Analisarcriticamente e Manter e Melhorar) o seu SGSI(Sistema de Gestão da Segurança daInformação).

Sistema de Gestão de Sistemas de Informação(SGSI) Estrutura para estabelecer, implementar,operar, monitorar, analisar criticamente,manter e melhorar a SI (ABNT ISO/IEC27001:2006).

O monitorado é medido, e o que é medido égerenciado.

Referência normativa

Livro de normas técnicas para aplicação daqualquer norma ISO: ABNT NBR ISO/IEC17799:2005, Tecnologia da informação – Técnicasde segurança – Código de prática para a gestãoda segurança da informação.

Quem disponibiliza: ABNT (http://www.abnt.org.br/) ISO (http://www.iso.org)

Material pago, cerca de R$ 400,00 Cursos,Workshop’s, etc. Outros meio lícitos e ilícitos.

Elementos do SGSI

O que o ISO 27001 faz pela empresa Metodologia Estruturada, reconhecida

internacionalmente para garantir a SI Processo definido para validar, implementar,

manter e gerenciar a SI Grupo abrangente de controles detalhados

referente às melhores práticas na segurança daInformação

Cobrem aspectos técnico e gerencial Gerais: não são direcionadas a produtos ou

tecnologia Desenvolvidas por empresas, para empresas

Responsabilidades

Comprometimento da direção;

Gestão de recursos:

Provisão de recursos;

Treinamento, conscientização e competência.

Auditorias internas do SGSI

A organização deve conduzir auditorias internasdo SGSI a intervalos planejados para determinarse os objetivos de controle, controles, processose procedimentos do seu SGSI:

atendem aos requisitos desta Norma e à legislação ouregulamentações pertinentes;

atendem aos requisitos de segurança da informaçãoidentificados;

estão mantidos e implementados eficazmente; e

são executados conforme esperado.

Auditorias internas do SGSI

Como planejar a auditoria?

Considerar a situação e a importância dos processos e áreas a seremauditadas, bem como os resultados de auditorias anteriores;

Definir critérios, escopo, frequência e métodos;

Seleção de auditores, assegurando objetividade e imparcialidade.Auditores não devem auditar seu próprio trabalho.

Definir, em procedimento documentado, as responsabilidades erequisitos de planejamento e execução, relato dos resultados e amanutenção dos registros;

Responsável pela área auditada deve assegurar a execução, sem demoraindevida, para eliminar as não-conformidades detectadas e suas causas.As atividades de acompanhamento devem incluir a verificação das açõesexecutadas e o relato dos resultados de verificação

Análise crítica do SGSI pela direção Análise crítica, pela direção, em intervalos

planejados (pelo menos uma vez por ano);

Avaliação de oportunidades para melhoria enecessidade de mudanças;

Os resultados dessas análises críticas devemser claramente documentados e os registrosdevem ser mantidos

Melhoria do SGSI

A organização deve continuamente melhorar aeficácia do SGSI por meio do uso da política desegurança da informação, objetivos de segurançada informação, resultados de auditorias, análisesde eventos monitorados, ações corretivas epreventivas e análise crítica pela direção.

Ação corretiva: evitar a repetição de causas denão-conformidades com os requisitos de SGSI;

Ação preventiva: evitar a ocorrência de causas denão-conformidades com os requisitos de SGSI.

Obrigado!!!

Anderson Lopes

BSI-8

Referências

TRIBUNAL DE CONTAS DO ESTADO DO PARANÁ (Paraná). Certificação ISO 9001. Disponível em: <http://www2.tce.pr.gov.br/otribunal/iso_oque.asp>. Acesso em: 02 set. 2010.

ARAÚJO, Rogério. ISO 27001: Visão geral. Disponível em: <http://waltercunha.com/blog/index.php/2010/08/03/iso-27001-visao-geral/>. Acesso em: 02 set. 2010.

DESIDERIO. ISO 27001 - ISMS - Information Security Management System. Disponível em: <http://www.oficinadanet.com.br/artigo/589/iso_27001_-_isms_-_information_security_management_system>. Acesso em: 02 set. 2010.

BRANDÃO, Ramon Gomes. Normas de Segurança da Informação Processo de Certificação: ISO 27001:2006. Disponível em: <http://wikimp.mp.go.gov.br/twiki/pub/EstruturaOrganica/AreaMeio/Superintendencias/SINFO/Estrategia/BibliotecaVirtual/ApresentacoesDas6as/090116_Apresentacao_ISO27001_Ramon.pdf>. Acesso em: 02 set. 2010.

ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC 27001. Disponível em: <cavalcante.us/normas/ABNT/ABNT-NBR-ISO_IEC-27001.pdf>. Acesso em: 02 set. 2010.