Sistema deGestão de Segurança da Informação

Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste material sem a permissão expressa do autor.

Interpretação da normaNBR ISO/IEC 27001:2006

Curso e- Learning

Módulo 4

Interpretação das cláusulas

0 a 3 da NBR ISO/IEC 27001:2005

Norma NBR ISO/IEC 27001 – Índice

0 – Introdução

1 – Objetivo

2 – Referência normativa

3 – Termos e definições

4 – Sistema de Gestão de Segurança da Informação

5 – Responsabilidade da direção

6 – Auditorias internas do SGSI

7 – Análise crítica do SGSI pela direção

8 – Melhoria do SGSI

Anexo A – Objetivos de controle e controles

Anexo B – Princípios da OECD e desta norma

Anexo C – Correspondência entre a ABNT NBR ISO 9001:2000, a ABNT NBR ISO 14001:2004 e esta norma

0 – Introdução0.1 – Geral

� A norma ISO 27001 foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação – SGSI.

� A adoção de um SGSI deve ser uma decisão estratégica para uma organização.

� O sistema a ser implementado deve depender dos objetivos, requisitos de segurança, processos empregados e estrutura da organização.

� É esperado que o SGSI e os sistemas de apoio mudem com o tempo.

� É esperado que a implementação de um SGSI seja escalada conforme as necessidades da organização. Por exemplo, uma situação simples requer uma solução simples.

� A norma ISO 27001 pode ser utilizada para avaliar a conformidade pelas partes interessadas internas e externas.

0.2 – Abordagem de processo

Atividades e recursos

Clientes externos e internos atendidos em relação ao aumento da segurança da informação

• Necessidades de SI

• Expectativas de SI

• Requisitos organizacionais

• Requisitos da ISO 27001

• Processos da organização

Entrada Saída

0.2 – Abordagem de processo

A

B

C

E

D

...

A) Entendimento e atendimento aos requisitos

B) Valor agregado

C) Resultado de desempenho e eficácia dos processos

D) Melhoria contínua com base em medições objetivas

0.2 – Abordagem de processo

Planejar

Estabelecer objetivos e processos

Resultados para clientes e para a organização

Fazer

Implementar os processos

Verificar

Monitorar/medir processos e produtos

Agir

Agir para melhorar continuamente o desempenho dos processos

0.2 – Abordagem de processo Modelo do PDCA Aplicado ao SGSI

Partes interessadas

Partes interessadas

Estabelecer

Manter e melhorar

Implementar e operar

Monitorar e revisar

Expectativas e requisitos de segurança da informação

Segurança da Informação gerenciada

P

C

AD

Ciclo dedesenvolvimento,

manutenção emelhoria

0.2 – Abordagem de processoFase “planejar”

� Definir o escopo do SGSI

� Definir uma política para o SGSI

� Definir objetivos e metas

� Identificar os riscos

� Avaliar os riscos

� Selecionar objetivos de controle e controles

� Preparar uma declaração de aplicabilidade

0.2 – Abordagem de processoFase “fazer”

� Formular um plano de tratamento de risco

� Implementar o plano de tratamento de risco

� Implementar os controles selecionados para atingir os objetivos de controle

0.2 – Abordagem de processoFase “verificar”

� Executar monitoramento dos processos

� Conduzir auditorias internas do SGSI em intervalos planejados

� Realizar análise críticas regulares da eficácia do SGSI

� Analisar criticamente os níveis de risco residual e riscos aceitáveis

0.2 – Abordagem de processoFase “agir”

� Implementar as melhorias identificadas

� Tomar ações corretivas e preventivas apropriadas

� Comunicar os resultados e ações

� Garantir que as melhorias atendem aos objetivos pretendidos

0.3 – Compatibilidade com outros sistema de gestão

� ISO 27001 – Gestão de Segurança da Informação é alinhada com:

� ISO 9001 – Gestão da Qualidade e com

� ISO 14001 – Gestão do Meio Ambiente e com

� OSHAS 18001 – Gestão de Saúde e Segurança do Trabalhador

Possível adaptação a sistemas já existentes na organização.

1 – Objetivo1.1 – Geral

A norma ISO 27001:

� Cobre todos os tipos de organizações.

� Especifica requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócios globais da organização.

� Especifica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes.

O SGSI é projetado para assegurar a seleção de controles de segurança adequados e proporcionados para proteger os ativos de informação e propiciar confiança às partes interessadas.

Requisitos genéricos

Exclusões (itens não atendidos pela organização):

• Requisitos especificados nas seções 4, 5, 6, 7 e 8 não podem ser excluídos.

• Quaisquer exclusões de controles (Anexo A) precisam ser justificadas para serem aceitas, e não podem comprometer a capacidade da organização de atender requisitos de segurança da informação determinados pela análise/avaliação de riscos e por requisitos legais e regulamentares aplicáveis.

1.2 – Aplicação

Qualquer tipo

Qualquer tamanho

Qualquer produto/serviço

A ISO 27001 é aplicável a qualquerorganização

NBR ISO/IEC 17799:2005 – Tecnologia da Informação – Técnicas de Segurança

– Código de prática para a Gestão de Segurança da Informação

2 – Referência normativa

3 – Termos e definições

� Ativo – qualquer coisa que tenha valor para a organização

� Disponibilidade – propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada

� Confidencialidade – propriedade de que a informação não esteja disponível ou seja revelada a indivíduos, entidades ou processos não autorizados

� Segurança da informação – preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não-repúdio e confiabilidade podem também estar envolvidos

� Evento de segurança da informação – uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida que possa ser relevante para a segurança da informação

3 – Termos e definições

� Incidente de segurança da informação – um ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação

� Sistema de Gestão de Segurança da Informação – SGSI – a parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação

� Integridade – propriedade de salvaguarda da exatidão e complexidade de ativos

� Risco residual – risco remanescente após o tratamento de riscos

� Aceitação do risco – decisão de aceitar um risco

� Análise de riscos – uso sistemático de informações para identificar fontes e estimar o risco

3 – Termos e definições

� Análise/avaliação de riscos – processo completo de análise e avaliação de riscos

� Avaliação de riscos – processo de comparar o risco estimado com critérios de risco pré-definidos para determinar a importância do risco

� Gestão de riscos – atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos

� Tratamento de risco – processo de seleção e implementação de medidas para modificar um risco

� Declaração de aplicabilidade – declaração documentada que descreve os objetivos de controle e controles que são pertinentes e aplicáveis ao SGSI da organização

Exercício

Indique se é verdadeiro ou falso:

1 - ( ) A norma ISO 27001 foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação – SGSI.

2 - ( ) Não é esperado que o SGSI e os sistemas de apoio mudem com o tempo.

3 - ( ) A norma ISO 27001 não pode ser utilizada para avaliar a conformidade pelas partes interessadas internas e externas.

4 - ( ) Processo é um conjunto de atividades que transforma entradas em saídas (produtos), utilizando recursos humanos e materiais na realização das atividades.

5 - ( ) Identificar e avaliar riscos estão contidos na fase “fazer”.

6 - ( ) Integridade para a ISO 27001 é a propriedade de salvaguarda da exatidão e complexidade de ativos.

7 - ( ) Quaisquer exclusões de controles (Anexo A da ISO 27001 ) não precisam ser justificadas para serem aceitas.

8 - ( ) Risco residual não é risco remanescente após o tratamento de riscos

9 - ( ) O PDCA deve ser aplicado no desenvolvimento, implantação, monitoramento e manutenção de um SGSI conforme a ISO 27001.

Resposta

Indique se é verdadeiro ou falso:

1 - ( V ) A norma ISO 27001 foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação – SGSI.

2 - ( F ) Não é esperado que o SGSI e os sistemas de apoio mudem com o tempo.

3 - ( F ) A norma ISO 27001 não pode ser utilizada para avaliar a conformidade pelas partes interessadas internas e externas. (a ISO 27001 é utilizada para auditorias, a ISO 17799 é apenas orientativa)

4 - ( V ) Processo é um conjunto de atividades que transforma entradas em saídas (produtos), utilizando recursos humanos e materiais na realização das atividades.

5 - ( F ) Identificar e avaliar riscos estão contidos na fase “fazer”. (estão contidos na fase “planejar”)

6 - ( V ) Integridade para a ISO 27001 é a propriedade de salvaguarda da exatidão e complexidade de ativos.

7 - ( F ) Quaisquer exclusões de controles (Anexo A da ISO 27001 ) não precisam ser justificadas para serem aceitas.

8 - ( F ) Risco residual não é risco remanescente após o tratamento de riscos

9 - ( V ) O PDCA deve ser aplicado no desenvolvimento, implantação, monitoramento e manutenção de um SGSI conforme a ISO 27001.

� Interpretação das cláusulas

� 0 a 3 da NBR ISO/IEC 27001:2005

Fim do módulo 4