Curso On-Line Segurana da Informao

Normas de Segurana da Informao Parte 1

Prof. M.Sc. Gleyson Azevedo professor.gleyson@gmail.com

Prof. Gleyson http://groups.google.com.br/group/prof_gleyson 1

Viso Geral Normas de SI

NBR ISO/IEC 27001 SGSI Requisitos NBR ISO/IEC 27002 Cdigo de Prtica para a Gesto da SI NBR ISO/IEC 27005 Gesto de Riscos de SI

NBR ISO/IEC 15999-1 GCN Cdigo de Prtica

NBR ISO/IEC 15999-2 GCN Requisitos

Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

Introduo

ISO (International Organization for Standardization) federao internacional formada por organismos de normalizao nacionais de diversos pases do mundo. Trabalho da ISO elaborao de normas (acordos internacionais) no limitadas a nenhum segmento em particular.

Cobrem todo campo de normalizao, exceto engenharia eletrnica e eletrotcnica, de responsabilidade da IEC (International Eletrotechnical Commission).

Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

Introduo

O grupo internacional JTC1/SC27, formado pelas organizaes ISO e IEC, tem como objetivo criar e gerenciar normas internacionais de segurana da informao.

Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

NBR ISO/IEC 27001:2006 Viso Geral

A ABNT NBR ISO/IEC 27001:2006 a norma usada para fins de certificao e substitui a norma britnica BS 77992:2002. Uma organizao que deseja implantar um Sistema de Gesto de Segurana da Informao (SGSI) deve adotar essa norma como base.

A rigor, a norma uma especificao (documento que utilizado para a realizao de auditorias e consequente certificao) de um SGSI.

Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

NBR ISO/IEC 27001:2006 Sees (Estrutura)

0. Introduo 1. Objetivo

2. Referncia normativa
3. Termos e definies 4. Sistema de gesto de segurana da informao

4.1 Requisitos gerais

4.2 Estabelecendo e gerenciando o SGSI 4.3 Requisitos de documentao
Prof. Gleyson http://groups.google.com.br/group/prof_gleyson 6

NBR ISO/IEC 27001:2006 Sees (Estrutura)

(Cont.): 5. Responsabilidades da direo

5.1 Comprometimento da direo

5.2 Gesto de recursos 6. Auditorias internas do SGSI 7. Anlise crtica do SGSI pela direo 7.1 Geral 7.2 Entradas para a anlise crtica 7.3 Sadas da Anlise Crtica
Prof. Gleyson http://groups.google.com.br/group/prof_gleyson 7

NBR ISO/IEC 27001:2006 Sees (Estrutura)

(Cont.): 8. Melhoria do SGSI

8.1 Melhoria contnua

8.2 Ao corretiva 8.3 Ao preventiva Anexo A (normativo) Objetivos de Controles e Controles Anexo B (informativo) Princpios da OECD Anexo C (informativo) Correspondncia com a ISO 9001 e a ISO 14001.
Prof. Gleyson http://groups.google.com.br/group/prof_gleyson 8

Exerccios
1. (Tecnologista Pleno Segurana de Sistemas de Informao MCT/2008 CESPE) Com base nas normas ABNT NBR ISO/IEC 27001:2006 e 27002:2005, julgue os itens que se seguem. 1. [119] Uma organizao que deseje implantar um sistema de gesto de segurana da informao (SGSI) deve adotar como base a norma ABNT NBR ISO/IEC 27001:2006.

2.

[120] A seo 5 da norma ISO/IEC 27001 trata de como a informao deve ser classificada, de acordo com a sua necessidade de segurana e controle de acesso.

Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

NBR ISO/IEC 27001 0. Introduo

A norma adota o modelo conhecido como PDCA, aplicado para estruturar todos os processos do SGSI, como descrito:

Plan (Planejar): estabelecer a poltica de segurana da

informao, os objetivos, processos e os procedimentos do SGSI.

Do (Fazer): implementar e operar a poltica, os

procedimentos, controles e processos do SGSI.

Check (checar): monitorar, analisar criticamente,

Act (agir): manter e melhorar, por meio de aes
Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

realizar auditorias e medir o desempenho dos processos. corretivas e preventivas, o SGSI visando ao seu contnuo aperfeioamento.
10

NBR ISO/IEC 27001 0. Introduo

Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

11

NBR ISO/IEC 27001 1. Objetivo

Objetivo Geral

Especifica requisitos para EIOMAMM um SGSI.

O SGSI projetado para assegurar a seleo de controles de segurana adequados para proteger os ativos de informao e proporcionar confiana s partes interessadas.

Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

12

NBR ISO/IEC 27001 1. Objetivo

Aplicao

Os requisitos so genricos se adequam a qualquer organizao. A excluso de quaisquer dos requisitos especificados nas sees 4 a 8 no aceitvel quando uma organizao reivindica conformidade com a norma. A excluso de controles considerada necessria para satisfazer os critrios de aceitao de risco precisa ser justificada e as evidncias precisam ser providas para a associao dos riscos aceitos s pessoas responsveis.
Prof. Gleyson http://groups.google.com.br/group/prof_gleyson 13

Exerccios
2. (Tecnologista Jr MCT/2008 CESPE) Acerca das normas nacionais e internacionais relativas segurana da informao, bem como da gesto de riscos de sistemas de informao, julgue os itens seguintes. 1. [119] A norma ISO 27001 adota o modelo plan-do-check-act (PDCA), que aplicado para estruturar todos os processos dos sistemas de gesto de segurana da informao information security management system (ISMS).

2.

[120] Dependendo de seu tamanho ou natureza, uma organizao pode considerar um ou mais requisitos da norma ISO 27001 como no-aplicveis e, ainda assim, continuar em conformidade com essa norma internacional.

Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

14

NBR ISO/IEC 27001 2. Referncia normativa

A ABNT ISO/IEC 17799:2005 (27002) indispensvel para a aplicao da ABNT ISO/IEC 27001:2006.

Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

15

NBR ISO/IEC 27001 3. Termos e Definies

Sistema de Gesto da Segurana da Informao (SGSI) a parte do sistema de gesto global, baseado na abordagem de riscos do negcio, para EIOMAMM a SI. Inclui: estrutura organizacional, polticas, planejamento de atividades, responsabilidades, prticas, procedimentos, processos e recursos.

Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

16

NBR ISO/IEC 27001 3. Termos e Definies

Evento de segurana da informao - ocorrncia identificada de um sistema, servio ou rede que indica uma possvel violao da poltica de segurana da informao ou falha de controles, ou uma situao previamente desconhecida, que possa ser relevante para a segurana da informao. Incidente de segurana da informao - um simples ou uma srie de eventos de segurana da informao indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operaes do negcio e ameaar a segurana da informao.
Prof. Gleyson http://groups.google.com.br/group/prof_gleyson 17

NBR ISO/IEC 27001 3. Termos e Definies

Declarao de aplicabilidade - declarao documentada que descreve os objetivos de controle e controles que so pertinentes e aplicveis ao SGSI da organizao. Os objetivos de controle e controles esto baseados nos resultados e concluses do processo de avaliao de risco e tratamento de risco, requisitos legais ou regulatrios, obrigaes contratuais e os requisitos de negcio da organizao para a segurana da informao.

Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

18

NBR ISO/IEC 27001 4. SGSI Requisitos Gerais

A organizao deve EIOMAMM um SGSI documentado dentro do contexto das atividades de negcio globais da organizao e os riscos que elas enfrentam.

Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

19

NBR ISO/IEC 27001 4. SGSI Estabelecer o SGSI (Plan)

A organizao deve:

definir o escopo e os limites do SGSI;

definir uma poltica de segurana da informao;

definir a sistemtica de anlise/avaliao de riscos de segurana da informao; identificar os riscos; analisar e avaliar os riscos; identificar e avaliar as opes para o tratamento de riscos;
Prof. Gleyson http://groups.google.com.br/group/prof_gleyson 20

NBR ISO/IEC 27001 4. SGSI Estabelecer o SGSI (Plan)

(Cont.): selecionar objetivos de controle e controles para o tratamento de riscos;

obter aprovao da direo dos riscos residuais propostos; obter autorizao da direo para implementar e operar o SGSI; preparar uma declarao de aplicabilidade.

Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

21

Exerccios
3. (Analista Administrativo Tecnologia da Informao Anlise de Negcios ANATEL CESPE 2009) A figura a seguir, obtida na norma ABNT NBR ISO/IEC 27001:2006, apresenta um modelo de gesto da segurana da Informao. Julgue os itens subsequentes acerca das informaes apresentadas e dos conceitos de segurana da informao. 1. [83] Considere as diferentes fases do ciclo de gesto no modelo da figura plan, do, check e act. A definio de critrios para a avaliao e para a aceitao dos riscos de segurana da informao que ocorrem no escopo para o qual o modelo da figura est sendo estabelecido, implementado, operado, monitorado, analisado criticamente, mantido e melhorado ocorre, primariamente, durante a fase do.

2.

[85] A classificao da informao um objetivo de controle explicitamente enunciado pela norma ABNT NBR ISO/IEC 27001:2006 e que agrega dois controles, sendo um deles relacionado a recomendaes para classificao e o outro, ao uso de rtulos.
Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

22

Exerccios

Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

23

NBR ISO/IEC 27001 - 4. SGSI Implementar e Operar o SGSI (Do)

A organizao deve:

formular um plano de tratamento de risco;

implementar o plano de tratamento de risco;

implementar os controles selecionados; definir como medir a eficcia dos controles; implementar programas de conscientizao e treinamento; gerenciar as operaes do SGSI;
Prof. Gleyson http://groups.google.com.br/group/prof_gleyson 24

NBR ISO/IEC 27001 - 4. SGSI Implementar e Operar o SGSI (Do)

(Cont.): gerenciar os recursos para o SGSI;

implementar procedimentos e outros controles capazes de permitir a rpida deteco e resposta a incidentes de segurana.

Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

25

NBR ISO/IEC 27001 - 4. SGSI Monitorar e Analisar Criticamente o SGSI (Check)

A organizao deve:

executar procedimentos de monitorao e anlise crtica;

realizar anlises crticas regulares da eficcia do SGSI;

medir a eficcia dos controles; analisar criticamente as anlises/avaliaes de riscos a intervalos planejados e os riscos residuais; conduzir auditorias internas no SGSI a intervalos planejados;
Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

26

NBR ISO/IEC 27001 - 4. SGSI Monitorar e Analisar Criticamente o SGSI (Check)

(Cont.): realizar uma anlise crtica do SGSI pela direo;

atualizar os planos de segurana da informao; registrar as aes e eventos que poderiam ter um impacto na efetividade ou desempenho do SGSI.

Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

27

NBR ISO/IEC 27001 4. SGSI Manter e Melhorar o SGSI (Act)

A organizao deve regularmente:

implementar as melhorias identificadas no SGSI;

executar as aes preventivas e corretivas apropriadas;

comunicar as aes e melhorias a todas as partes interessadas;

assegurar-se de que as melhorias alcancem os objetivos propostos.

Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

28

NBR ISO/IEC 27001 4. SGSI Requisitos de Documentao

A documentao do SGSI deve incluir:

declaraes documentadas da poltica e objetivos do SGSI; o escopo do SGSI; procedimentos e controles que apoiam o SGSI; uma descrio da metodologia de anlise/avaliao de riscos; o relatrio de anlise/avaliao de riscos; o plano de tratamento de riscos;
Prof. Gleyson http://groups.google.com.br/group/prof_gleyson 29

NBR ISO/IEC 27001 4. SGSI Requisitos de Documentao

(Cont.):

procedimentos documentados requeridos pela organizao; registros requeridos pela norma e a Declarao de Aplicabilidade.

Registros devem ser estabelecidos e mantidos para prover evidncia de conformidade aos requisitos e efetividade da operao do SGSI. Exemplos de registros: livros de visitantes, relatrios de auditoria e formulrios de autorizao de acesso completo.
Prof. Gleyson http://groups.google.com.br/group/prof_gleyson 30

NBR ISO/IEC 27001 5. Responsabilidades da Direo

A direo deve fornecer evidncias do seu comprometimento com o EIOMAMM do SGSI. A responsabilidade da direo complementada por uma adequada gesto de recursos, que se evidencia por:

uma apropriada proviso de recursos financeiros; assegurar o devido treinamento, conscientizao e capacitao para todos os que possuem responsabilidades atribudas e definidas no SGSI.

A organizao tambm deve assegurar que todo o pessoal pertinente esteja consciente da relevncia e importncia das suas atividades para o SGSI.
Prof. Gleyson http://groups.google.com.br/group/prof_gleyson 31

NBR ISO/IEC 27001 6. Auditorias Internas do SGSI

A organizao deve conduzir auditorias internas no SGSI a intervalos planejados. A gerncia responsvel pela rea a ser auditada deve assegurar que as aes sejam executadas, sem demora indevida, para eliminar as no-conformidades detectadas e suas causas. Atividades de acompanhamento devem incluir a verificao das aes tomadas e a comunicao de resultados de verificao.

Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

32

NBR ISO/IEC 27001 7. Anlise Crtica do SGSI pela Direo

Entradas para a anlise crtica:

resultados das auditorias do SGSI e anlises crticas; realimentaes das partes interessadas; tcnicas, produtos ou procedimentos que poderiam ser usados na organizao para melhorar o desempenho e a eficcia do SGSI;

situao das aes preventivas e corretivas;

vulnerabilidades ou ameaas no contempladas adequadamente nas anlises/avaliaes de risco anteriores;
Prof. Gleyson http://groups.google.com.br/group/prof_gleyson 33

NBR ISO/IEC 27001 7. Anlise Crtica do SGSI pela Direo

(Cont.):

resultados das medies de eficcia; acompanhamento das aes oriundas de anlises crticas anteriores; qualquer mudana que poderia afetar o SGSI; recomendaes para melhoria.

Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

34

NBR ISO/IEC 27001 7. Anlise Crtica do SGSI pela Direo

As sadas devem incluir quaisquer decises e aes relacionadas a:

melhoria da eficcia do SGSI; atualizao da anlise/avaliao de riscos e do plano de tratamento de riscos; modificao de procedimentos e controles que afetem a segurana da informao, necessidade de recursos; melhoria de como a eficcia dos controles est sendo medida.
Prof. Gleyson http://groups.google.com.br/group/prof_gleyson 35

NBR ISO/IEC 27001 8. Melhoria do SGSI Ao Corretiva

A organizao deve executar aes para eliminar as causas de no-conformidades com os requisitos do SGSI, de forma a evitar sua repetio.

O procedimento documentado para ao corretiva deve definir requisitos para:

identificar no-conformidades; determinar as causas de no-conformidades; avaliar a necessidade por aes para assegurar que as no-conformidades no ocorram novamente;

Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

36

NBR ISO/IEC 27001 8. Melhoria do SGSI Ao Corretiva

(Cont.):

determinar e implementar as aes corretivas necessrias; registrar os resultados das aes executadas; analisar criticamente as aes corretivas executadas.

Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

37

NBR ISO/IEC 27001 8. Melhoria do SGSI Ao Preventiva

A organizao deve determinar aes para eliminar as causas de no-conformidades potenciais com os requisitos do SGSI, de forma a evitar a sua ocorrncia.

O procedimento documentado para ao preventiva deve definir requisitos para:

identificar no-conformidades potenciais e suas causas; avaliar a necessidade de aes para evitar a ocorrncia de no-conformidades; determinar e implementar as aes preventivas necessrias;
Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

38

NBR ISO/IEC 27001 8. Melhoria do SGSI Ao Preventiva

(Cont.):

registrar os resultados de aes executadas; analisar criticamente as aes preventivas executadas.

A norma define que aes para prevenir no-conformidades frequentemente tm melhor custo-benefcio que as aes corretivas.

Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

39

Exerccios
4. (Analista Redes SERPRO/2008 CESPE) Atualmente, a informao um importante ativo para praticamente todo o tipo de organizao. A segurana desse ativo faz-se necessria, seja por questo de conformidade com leis e contratos, seja para assegurar a continuidade do negcio. Acerca da segurana da informao, bem como das normas e polticas a ela aplicveis, julgue os itens a seguir. 1. [86] A declarao de aplicabilidade um documento que deve detalhar os objetivos de controle e os controles a serem implementados para a segurana da informao. Os demais controles e objetivos de controle, no inclusos na declarao de aplicabilidade, devem fazer parte do documento de anlise de GAP. [87] A definio de critrios para aceitao de riscos uma das responsabilidades da alta administrao, segundo a norma NBR ISO/IEC 27001.
Prof. Gleyson http://groups.google.com.br/group/prof_gleyson 40

2.

Exerccios
3. [88] O estabelecimento da poltica do sistema de gesto de segurana da informao (SGSI) de responsabilidade da equipe de segurana da informao.
[89] Para assegurar que os controles, objetivos de controle e processos sejam executados e implementados de forma eficaz, a norma NBR ISO/IEC 27001 recomenda a realizao de auditorias externas em intervalos regulares de, no mximo, seis meses. [90] A identificao de no-conformidades potenciais e suas causas caracterizada como uma ao preventiva, segundo a norma NBR ISO/IEC 27001. [91] Entre as atividades contempladas na fase agir (act) est a necessidade de identificar no-conformidades potenciais e suas causas, objetivando alcanar a melhoria contnua do sistema de gesto de segurana da informao. [92] A norma NBR ISO/IEC 27001 recomenda a adoo de abordagem qualitativa para a realizao da anlise de risco.
Prof. Gleyson http://groups.google.com.br/group/prof_gleyson 41

4.

5.

6.

7.

Gabarito das Questes

1. 1C-2E 2. 1C-2E 3. 1E-2C 4. 1E-2C-3C-4E-5C

Prof. Gleyson http://groups.google.com.br/group/prof_gleyson

42