Documente Academic
Documente Profesional
Documente Cultură
NBR ISO/IEC 27001 SGSI Requisitos NBR ISO/IEC 27002 Cdigo de Prtica para a Gesto da SI NBR ISO/IEC 27005 Gesto de Riscos de SI
Introduo
ISO (International Organization for Standardization) federao internacional formada por organismos de normalizao nacionais de diversos pases do mundo. Trabalho da ISO elaborao de normas (acordos internacionais) no limitadas a nenhum segmento em particular.
Cobrem todo campo de normalizao, exceto engenharia eletrnica e eletrotcnica, de responsabilidade da IEC (International Eletrotechnical Commission).
Introduo
O grupo internacional JTC1/SC27, formado pelas organizaes ISO e IEC, tem como objetivo criar e gerenciar normas internacionais de segurana da informao.
A ABNT NBR ISO/IEC 27001:2006 a norma usada para fins de certificao e substitui a norma britnica BS 77992:2002. Uma organizao que deseja implantar um Sistema de Gesto de Segurana da Informao (SGSI) deve adotar essa norma como base.
A rigor, a norma uma especificao (documento que utilizado para a realizao de auditorias e consequente certificao) de um SGSI.
2. Referncia normativa
3. Termos e definies 4. Sistema de gesto de segurana da informao
Exerccios
1. (Tecnologista Pleno Segurana de Sistemas de Informao MCT/2008 CESPE) Com base nas normas ABNT NBR ISO/IEC 27001:2006 e 27002:2005, julgue os itens que se seguem. 1. [119] Uma organizao que deseje implantar um sistema de gesto de segurana da informao (SGSI) deve adotar como base a norma ABNT NBR ISO/IEC 27001:2006.
2.
[120] A seo 5 da norma ISO/IEC 27001 trata de como a informao deve ser classificada, de acordo com a sua necessidade de segurana e controle de acesso.
A norma adota o modelo conhecido como PDCA, aplicado para estruturar todos os processos do SGSI, como descrito:
realizar auditorias e medir o desempenho dos processos. corretivas e preventivas, o SGSI visando ao seu contnuo aperfeioamento.
10
11
Objetivo Geral
O SGSI projetado para assegurar a seleo de controles de segurana adequados para proteger os ativos de informao e proporcionar confiana s partes interessadas.
12
Aplicao
Os requisitos so genricos se adequam a qualquer organizao. A excluso de quaisquer dos requisitos especificados nas sees 4 a 8 no aceitvel quando uma organizao reivindica conformidade com a norma. A excluso de controles considerada necessria para satisfazer os critrios de aceitao de risco precisa ser justificada e as evidncias precisam ser providas para a associao dos riscos aceitos s pessoas responsveis.
Prof. Gleyson http://groups.google.com.br/group/prof_gleyson 13
Exerccios
2. (Tecnologista Jr MCT/2008 CESPE) Acerca das normas nacionais e internacionais relativas segurana da informao, bem como da gesto de riscos de sistemas de informao, julgue os itens seguintes. 1. [119] A norma ISO 27001 adota o modelo plan-do-check-act (PDCA), que aplicado para estruturar todos os processos dos sistemas de gesto de segurana da informao information security management system (ISMS).
2.
[120] Dependendo de seu tamanho ou natureza, uma organizao pode considerar um ou mais requisitos da norma ISO 27001 como no-aplicveis e, ainda assim, continuar em conformidade com essa norma internacional.
14
A ABNT ISO/IEC 17799:2005 (27002) indispensvel para a aplicao da ABNT ISO/IEC 27001:2006.
15
Sistema de Gesto da Segurana da Informao (SGSI) a parte do sistema de gesto global, baseado na abordagem de riscos do negcio, para EIOMAMM a SI. Inclui: estrutura organizacional, polticas, planejamento de atividades, responsabilidades, prticas, procedimentos, processos e recursos.
16
Evento de segurana da informao - ocorrncia identificada de um sistema, servio ou rede que indica uma possvel violao da poltica de segurana da informao ou falha de controles, ou uma situao previamente desconhecida, que possa ser relevante para a segurana da informao. Incidente de segurana da informao - um simples ou uma srie de eventos de segurana da informao indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operaes do negcio e ameaar a segurana da informao.
Prof. Gleyson http://groups.google.com.br/group/prof_gleyson 17
Declarao de aplicabilidade - declarao documentada que descreve os objetivos de controle e controles que so pertinentes e aplicveis ao SGSI da organizao. Os objetivos de controle e controles esto baseados nos resultados e concluses do processo de avaliao de risco e tratamento de risco, requisitos legais ou regulatrios, obrigaes contratuais e os requisitos de negcio da organizao para a segurana da informao.
18
A organizao deve EIOMAMM um SGSI documentado dentro do contexto das atividades de negcio globais da organizao e os riscos que elas enfrentam.
19
A organizao deve:
obter aprovao da direo dos riscos residuais propostos; obter autorizao da direo para implementar e operar o SGSI; preparar uma declarao de aplicabilidade.
21
Exerccios
3. (Analista Administrativo Tecnologia da Informao Anlise de Negcios ANATEL CESPE 2009) A figura a seguir, obtida na norma ABNT NBR ISO/IEC 27001:2006, apresenta um modelo de gesto da segurana da Informao. Julgue os itens subsequentes acerca das informaes apresentadas e dos conceitos de segurana da informao. 1. [83] Considere as diferentes fases do ciclo de gesto no modelo da figura plan, do, check e act. A definio de critrios para a avaliao e para a aceitao dos riscos de segurana da informao que ocorrem no escopo para o qual o modelo da figura est sendo estabelecido, implementado, operado, monitorado, analisado criticamente, mantido e melhorado ocorre, primariamente, durante a fase do.
2.
[85] A classificao da informao um objetivo de controle explicitamente enunciado pela norma ABNT NBR ISO/IEC 27001:2006 e que agrega dois controles, sendo um deles relacionado a recomendaes para classificao e o outro, ao uso de rtulos.
Prof. Gleyson http://groups.google.com.br/group/prof_gleyson
22
Exerccios
23
A organizao deve:
implementar procedimentos e outros controles capazes de permitir a rpida deteco e resposta a incidentes de segurana.
25
A organizao deve:
26
atualizar os planos de segurana da informao; registrar as aes e eventos que poderiam ter um impacto na efetividade ou desempenho do SGSI.
27
28
declaraes documentadas da poltica e objetivos do SGSI; o escopo do SGSI; procedimentos e controles que apoiam o SGSI; uma descrio da metodologia de anlise/avaliao de riscos; o relatrio de anlise/avaliao de riscos; o plano de tratamento de riscos;
Prof. Gleyson http://groups.google.com.br/group/prof_gleyson 29
(Cont.):
procedimentos documentados requeridos pela organizao; registros requeridos pela norma e a Declarao de Aplicabilidade.
Registros devem ser estabelecidos e mantidos para prover evidncia de conformidade aos requisitos e efetividade da operao do SGSI. Exemplos de registros: livros de visitantes, relatrios de auditoria e formulrios de autorizao de acesso completo.
Prof. Gleyson http://groups.google.com.br/group/prof_gleyson 30
A direo deve fornecer evidncias do seu comprometimento com o EIOMAMM do SGSI. A responsabilidade da direo complementada por uma adequada gesto de recursos, que se evidencia por:
uma apropriada proviso de recursos financeiros; assegurar o devido treinamento, conscientizao e capacitao para todos os que possuem responsabilidades atribudas e definidas no SGSI.
A organizao tambm deve assegurar que todo o pessoal pertinente esteja consciente da relevncia e importncia das suas atividades para o SGSI.
Prof. Gleyson http://groups.google.com.br/group/prof_gleyson 31
A organizao deve conduzir auditorias internas no SGSI a intervalos planejados. A gerncia responsvel pela rea a ser auditada deve assegurar que as aes sejam executadas, sem demora indevida, para eliminar as no-conformidades detectadas e suas causas. Atividades de acompanhamento devem incluir a verificao das aes tomadas e a comunicao de resultados de verificao.
32
resultados das auditorias do SGSI e anlises crticas; realimentaes das partes interessadas; tcnicas, produtos ou procedimentos que poderiam ser usados na organizao para melhorar o desempenho e a eficcia do SGSI;
(Cont.):
resultados das medies de eficcia; acompanhamento das aes oriundas de anlises crticas anteriores; qualquer mudana que poderia afetar o SGSI; recomendaes para melhoria.
34
melhoria da eficcia do SGSI; atualizao da anlise/avaliao de riscos e do plano de tratamento de riscos; modificao de procedimentos e controles que afetem a segurana da informao, necessidade de recursos; melhoria de como a eficcia dos controles est sendo medida.
Prof. Gleyson http://groups.google.com.br/group/prof_gleyson 35
A organizao deve executar aes para eliminar as causas de no-conformidades com os requisitos do SGSI, de forma a evitar sua repetio.
identificar no-conformidades; determinar as causas de no-conformidades; avaliar a necessidade por aes para assegurar que as no-conformidades no ocorram novamente;
36
(Cont.):
determinar e implementar as aes corretivas necessrias; registrar os resultados das aes executadas; analisar criticamente as aes corretivas executadas.
37
A organizao deve determinar aes para eliminar as causas de no-conformidades potenciais com os requisitos do SGSI, de forma a evitar a sua ocorrncia.
identificar no-conformidades potenciais e suas causas; avaliar a necessidade de aes para evitar a ocorrncia de no-conformidades; determinar e implementar as aes preventivas necessrias;
Prof. Gleyson http://groups.google.com.br/group/prof_gleyson
38
(Cont.):
A norma define que aes para prevenir no-conformidades frequentemente tm melhor custo-benefcio que as aes corretivas.
39
Exerccios
4. (Analista Redes SERPRO/2008 CESPE) Atualmente, a informao um importante ativo para praticamente todo o tipo de organizao. A segurana desse ativo faz-se necessria, seja por questo de conformidade com leis e contratos, seja para assegurar a continuidade do negcio. Acerca da segurana da informao, bem como das normas e polticas a ela aplicveis, julgue os itens a seguir. 1. [86] A declarao de aplicabilidade um documento que deve detalhar os objetivos de controle e os controles a serem implementados para a segurana da informao. Os demais controles e objetivos de controle, no inclusos na declarao de aplicabilidade, devem fazer parte do documento de anlise de GAP. [87] A definio de critrios para aceitao de riscos uma das responsabilidades da alta administrao, segundo a norma NBR ISO/IEC 27001.
Prof. Gleyson http://groups.google.com.br/group/prof_gleyson 40
2.
Exerccios
3. [88] O estabelecimento da poltica do sistema de gesto de segurana da informao (SGSI) de responsabilidade da equipe de segurana da informao.
[89] Para assegurar que os controles, objetivos de controle e processos sejam executados e implementados de forma eficaz, a norma NBR ISO/IEC 27001 recomenda a realizao de auditorias externas em intervalos regulares de, no mximo, seis meses. [90] A identificao de no-conformidades potenciais e suas causas caracterizada como uma ao preventiva, segundo a norma NBR ISO/IEC 27001. [91] Entre as atividades contempladas na fase agir (act) est a necessidade de identificar no-conformidades potenciais e suas causas, objetivando alcanar a melhoria contnua do sistema de gesto de segurana da informao. [92] A norma NBR ISO/IEC 27001 recomenda a adoo de abordagem qualitativa para a realizao da anlise de risco.
Prof. Gleyson http://groups.google.com.br/group/prof_gleyson 41
4.
5.
6.
7.
42