Gestão de Segurança da Informação

NORMAS NBR ISO/IEC 27001, 27002 e 27005 @thiagofagury www.fagury.com.br http://groups.yahoo.com/group/timasters

sexta-feira, 5 de novembro de 2010

As Normas
•NBR ISO/IEC 27001 - Requisitos para
implantar um SGSI gestão de SI de SI

•NBR ISO/IEC 27002 - Práticas para a •NBR ISO/IEC 27005 - Gestão de riscos •27004 e 27003 - Gestão de SI (Medição)
e Guia de Impl. SGSI

•27006 e 27007 - Requisitos e Diretrizes
para auditoria de um SGSI
sexta-feira, 5 de novembro de 2010

Termos e definições 4. Referência normativa 3. Sistema de gestão de segurança da informação (Requisitos gerais / Estabelecendo e gerenciando o SGSI / Requisitos de documentação) 5. 5 de novembro de 2010 . Introdução 1. Responsabilidades da direção (Comprometimento da direção / Gestão de recursos) 6.0. Análise crítica do SGSI pela direção (Geral / Entradas para a análise crítica / Saídas da Análise Crítica) 8. Melhoria do SGSI (Melhoria contínua / Ação corretiva / Ação preventiva) sexta-feira. Objetivo 2. Auditorias internas do SGSI 7.

informativo: Princípios da OECD* Anexo C .5 a 15) Anexo B .normativo: Objetivos de Controles e Controles (27002 .informativo: Correspondência c/ ISO 9001 e ISO 14001 *Organização para cooperação e desenvolvimento econômico sexta-feira.Anexos: Anexo A . 5 de novembro de 2010 .

operar. implementar. analisar criticamente. manter e melhorar sexta-feira. EIOMAMM = estabelecer. monitorar. 5 de novembro de 2010 .Esta Norma foi preparada para prover um modelo para EIOMAMM um Sistema de Gestão de Segurança da Informação (SGSI).

. requisitos de segurança. .Norma pode ser usada para avaliar a conformidade pelas partes interessadas internas e externas.A adoção de um SGSI é estratégica.Para fins de certificação a 27001 é a referência (antiga BS7799-2). . . tamanho e estrutura da organização direcionam a implementação. processos empregados. 5 de novembro de 2010 .Necessidades e objetivos.SGSIs mudam ao longo do tempo. . sexta-feira.

5 de novembro de 2010 .Baseada no ciclo PDCA. sexta-feira. . geridos e interativos.Abordagem de processo: indica processos definidos..

Check (checar) . processos e procedimentos do SGSI. Act (agir) .Plan (planejar) . relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização. objetivos e experiência prática do SGSI e apresent. 5 de novembro de 2010 . controles. com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente.Executar as ações corretivas e preventivas. para alcançar a melhoria contínua do SGSI. medir o desempenho de um processo frente à política. Do (fazer) .avaliar e. os resultados p/ a análise crítica pela direção. objetivos.estabelecer a política. quando aplicável.implementar e operar a política. processos e procedimentos do SGSI. sexta-feira.

Conformidade: .Esta Norma está alinhada às ABNT NBR ISO 9001:2000 e ABNT NBR ISO 14001:2004* para apoiar a implementação e a operação de forma consistente e integrada com normas de gestão relacionadas. *Tratam do Sistema de Gestão da Qualidade e Sistema de Gestão Ambiental sexta-feira. 5 de novembro de 2010 .

1. .Projetado para assegurar a seleção de controles de segurança adequados e proporcionados para proteger os ativos de informação e propiciar confiança às partes interessadas. sexta-feira.Especifica os requisitos para EIOMAMM um SGSI documentado dentro do contexto dos riscos de negócio globais da organização. .1 Geral: .A norma cobre todos os tipos de organizações. 5 de novembro de 2010 .

. 5.A menos que tais exclusões não afetem a capacidade da organização.A exclusão de quaisquer dos requisitos em 4. 6. tamanho e natureza. .2 Aplicação: . .Os requisitos definidos são genéricos e aplicáveis a todas as organizações. e 8 não é aceitável quando uma organização reivindica conformidade com a norma.1. independentemente de tipo. 7. e/ ou responsabilidade de prover segurança da informação que atenda os requisitos de segurança determinados pela análise/avaliação de riscos e por requisitos legais e regulamentares aplicáveis. sexta-feira. 5 de novembro de 2010 .Exclusão de controle considerado necessário aos critérios de aceitação de riscos precisa ser justificada e evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas.

a 27002 sexta-feira. *Ou seja. Tecnologia da informação – Técnicas de segurança – Código de prática para a gestão da segurança da informação. 5 de novembro de 2010 .O documento a seguir referenciado é indispensável para a aplicação desta Norma: ABNT NBR ISO/IEC 17799:2005.

5 de novembro de 2010 .3 confidencialidade Propriedade de que a informação não esteja disponível ou revelada a indivíduos.3.1 ativo Qualquer coisa que tenha valor para a organização [ISO/IEC 13335-1:2004] 3.2 disponibilidade Propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada [ISO/IEC 13335-1:2004] 3. entidades ou processos não autorizados [ISO/IEC 13335-1:2004] sexta-feira.

indicando uma possível violação da política de segurança da informação ou falha de controles. 5 de novembro de 2010 . tais como autenticidade. ou uma situação previamente desconhecida.4 segurança da informação Preservação da confidencialidade. podem também estar envolvidas [ABNT NBR ISO/IEC 17799:2005] 3. responsabilidade. outras propriedades. que possa ser relevante para a segurança da informação [ISO/IEC TR 18044:2004] sexta-feira.5 evento de segurança da informação Uma ocorrência identificada de um estado de sistema. serviço ou rede. integridade e disponibilidade da informação. não repúdio e confiabilidade.3. adicionalmente.

analisar criticamente.7 sistema de gestão da segurança da informação SGSI A parte do sistema de gestão global. que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação [ISO/IEC TR 18044:2004] 3. implementar. procedimentos. 5 de novembro de 2010 . manter e melhorar a segurança da informação NOTA O sistema de gestão inclui estrutura organizacional. atividades de planejamento. sexta-feira. processos e recursos.6 incidente de segurança da informação Um simples ou uma série de eventos de segurança da informação indesejados ou inesperados. para estabelecer.3. operar. práticas. baseado na abordagem de riscos do negócio. políticas. responsabilidades. monitorar.

3.10 aceitação do risco Decisão de aceitar um risco [ABNT ISO/IEC Guia 73:2005] sexta-feira.9 risco residual Risco remanescente após o tratamento de riscos [ABNT ISO/IEC Guia 73:2005] 3.8 integridade Propriedade de salvaguarda da exatidão e completeza de ativos [ISO/IEC 13335-1:2004] 3. 5 de novembro de 2010 .

12 análise/avaliação de riscos Processo completo de análise e avaliação de riscos [ABNT ISO/IEC Guia 73:2005] 3.3. 5 de novembro de 2010 .11 análise de riscos Uso sistemático de informações para identificar fontes e estimar o risco [ABNT ISO/IEC Guia 73:2005] 3.13 avaliação de riscos Processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco [ABNT ISO/IEC Guia 73:2005] sexta-feira.

5 de novembro de 2010 .15 tratamento do risco Processo de seleção e implementação de medidas para modificar um risco NOTA Nesta Norma o termo “controle” é usado como um sinônimo para “medida”. a aceitação de riscos e a comunicação de riscos.14 gestão de riscos Atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos NOTA A gestão de riscos geralmente inclui a análise/avaliação de riscos.3. [ABNT ISO/IEC Guia 73:2005] sexta-feira. o tratamento de riscos. [ABNT ISO/IEC Guia 73:2005] 3.

5 de novembro de 2010 .16 declaração de aplicabilidade Declaração documentada que descreve os objetivos de controle e controles que são pertinentes e aplicáveis ao SGSI da organização NOTA Os objetivos de controle e controles estão baseados nos resultados e conclusões dos processos de análise/avaliação de riscos e tratamento de risco.3. obrigações contratuais e os requisitos de negócio da organização para a segurança da informação. sexta-feira. dos requisitos legais ou regulamentares.

implementar. monitorar. operar. manter e melhorar um SGSI documentado dentro do contexto das atividades de negócio globais da organização e os riscos que ela enfrenta. 5 de novembro de 2010 . sexta-feira. analisar criticamente.Requisitos gerais A organização deve estabelecer.

5 de novembro de 2010 . ativos e tecnologia. incluindo detalhes e justificativas para quaisquer exclusões do escopo sexta-feira. sua localização.Estabelecer o SGSI A organização deve: Definir o escopo e os limites do SGSI nos termos das características do negócio. a organização.

Definir a abordagem de análise/avaliação de riscos da organização (metodologia). .Analisar/avaliar riscos (probabilidades e impacto). . 5 de novembro de 2010 . .Estabelecer o SGSI A organização deve: .Identificar os riscos (ativos/proprietários). sexta-feira.Identificar e avaliar as opções de tratamento.

. sexta-feira.Preparar uma Declaração de Aplicabilidade (controles aplicáveis e justificativas de exclusão).Selecionar os objetivos de controle para tratamento de riscos (anexo A).Estabelecer o SGSI . .Obter aprovação da direção dos riscos residuais propostos. . 5 de novembro de 2010 .Obter autorização da direção para implementar e operar o SGSI.