ISO 27001 -6

Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste material sem a permissão expressa do autor.

Interpretação da normaNBR ISO/IEC 27001:2006

Curso e- Learning

Sistema deGestão de Segurança da Informação

Módulo 6

Interpretação das cláusulas4.2 a 4.3.3 da NBR ISO/IEC 27001:2005

Estrutura da Norma NBR ISO/IEC 27001:2006

Sistema de Gestão da SI

Melhoria Contínua

Responsabilidade da direção

Auditorias internas

Melhoria do SGSI

Análise crítica do SGSI pela direção

Entradas Saídas

4

6

7

85

RE

QU

ISIT

OS

SE

GU

RA

NÇ

A D

A

INF

OR

MA

ÇÃ

O

4.2 – Estabelecendo e gerenciando o SGSI 4.2.3 – Monitorar e revisar o SGSI

A organização deve:

a) Executar procedimentos de monitoração, análise crítica e outros controles para:

� Prontamente detectar erros nos resultados de processamentos

� Prontamente identificar tentativas e violações de segurança bem sucedidas, e incidentes de segurança da informação

� Permitir à direção determinar se as atividades de segurança da informação delegadas a pessoas ou implementadas por meio de tecnologias de informação são executadas conforme esperado

� Ajudar a detectar eventos de segurança da informação e assim prevenir incidentes pelo uso de indicadores

� Determinar se as ações tomadas para solucionar uma violação de segurança da informação foram eficazes.

b) Realizar análises críticas regulares da eficácia do SGSI (incluindo o atendimento da política e dos objetivos do SGSI, e a análise crítica de controles de segurança), levando em consideração os resultados de auditorias de segurança da informação, incidentes, resultados da eficácia das medições, sugestões e realimentação de todas as partes interessadas.


Exemplo de análise de dados utilizando o diagrama de Pareto:

Durante a realização do produto ou do serviço, podemos documentar as não-conformidades identificadas (por tipo de NC, por exemplo) e construir uma tabela para determinado período. Com estas informações poderemos construir o diagrama de Pareto como você poderá observar no próximo slide.


O diagrama de Pareto é uma forma visual para percebermos melhor o impacto de cada problema no processo, e decidir qual não-conformidade vamos tratar, isto é, pesquisar as possíveis causas desta não- conformidade e definir ações para eliminá-las, evitando sua repetição.

Exemplo de análise de dados utilizando o diagrama de Pareto:



c) Medir a eficácia dos controles para verificar se os requisitos de SI estão sendo atingidos.

d) Revisar as análises/avaliações de risco a intervalos planejados e analisar criticamente os riscos residuais e os níveis de risco aceitáveis identificados, levando em consideração mudanças relativas a:

1) Organização

2) Tecnologias

3) Objetivos e processos do negócio

4) Ameaças identificadas

5) Eficácia dos controles implementados

6) Eventos externos, tais como mudanças nos ambientes legais ou regulamentares, alterações das obrigações contratuais e mudanças na conjuntura social

Sempre que uma mudança ocorre, poderemos ter alteração dos ativos, das ameaças e das vulnerabilidades, e portanto dos riscos.



e) Conduzir auditorias internas a intervalos planejados.

Existem auditorias de primeira parte (internas), de segunda parte(realizadas pelos clientes na organização ou pela organização em seus fornecedores) e de terceira parte (realizadas por organismos independentes como por exemplo uma certificadora).

f) Realizar análises críticas do SGSI pela direção em períodos regulares, para assegurar que o escopo permanece adequado e que são identificadas melhorias nos processos do SGSI.

Estas análises críticas são reuniões com a direção onde diversos temas são discutidos sobre o desempenho do sistema de gestão. A ISO 27001 especifica os temas mínimos a serem discutidos, e diz que como saída deve haver um plano de ação definido.

g) Atualizar planos de segurança da informação para levar em consideração os resultados das atividades de monitoramento e análise crítica.

h) Registrar ações e eventos que poderiam ter impacto no desempenho ou na eficácia do SGSI.

4.2 – Estabelecendo e gerenciando o SGSI/ 4.2.4 – Manter e melhorar o SGSI

A organização deve regularmente:

a) Implementar as melhorias identificadas para o SGSI.

b) Realizar ações corretivas e preventivas apropriadas, e aplicar lições aprendidas com a experiência da própria organização ou de outras.

c) Comunicar as ações e melhorias para as partes interessadas com um nível de detalhe apropriado às circunstâncias e, se relevante, obter a concordância sobre como proceder.

d) Garantir que as melhorias atingem os objetivos determinados.

Exercício

Indique se é verdadeiro ou falso:

1) ( ) Revisar as avaliações de risco a intervalos regulares, os riscos residuais e os níveis de risco aceitáveis devido a alterações na organização é um procedimento obrigatório.

2) ( ) As partes interessadas não necessitam ser obrigatoriamente informadas das melhorias implementadas no SGSI.

3) ( ) As análises críticas do SGSI devem ser realizadas no mínimo anualmente.

4) ( ) Indicadores não são uma boa maneira de prevenir incidentes de segurança.

5) ( ) Os planos de segurança da informação devem ser anualmente atualizados para levar em consideração os resultados das atividades de monitoramento e análise crítica.

6) ( ) A organização deve identificar tentativas e violações de segurança bem sucedidas e incidentes de segurança da informação quando da análise dos relatórios de monitoramento.

7) ( ) Implementar programas de conscientização e treinamento é requisito obrigatório e deve incluir todas as pessoas da organização.

8) ( ) Plano é um documento que diz o que será feito, porque, como, quando, por quem e onde, também conhecido em inglês como 5W1H.

9) ( ) A organização precisa apenas implementar os controles selecionados para atender aos objetivos de controle. Não é necessário que todos os controles indicados pela ISO 27001 sejam implementados.

Respostas


1) ( V ) Revisar as avaliações de risco a intervalos regulares, os riscos residuais e os níveis de risco aceitáveis devido a alterações na organização é um procedimento obrigatório.

2) ( F ) As partes interessadas não necessitam ser obrigatoriamente informadas das melhorias implementadas no SGSI.

3) ( F ) As análises críticas do SGSI devem ser realizadas no mínimo anualmente. (devem ser realizadas a intervalos planejados)

4) ( F ) Indicadores não são uma boa maneira de prevenir incidentes de segurança. (indicadores mostram as tendências, portanto orientam aumento ou redução de ocorrências, o que permite ações para prevenir incidentes)

5) ( F ) Os planos de segurança da informação devem ser anualmente atualizados para levar em consideração os resultados das atividades de monitoramento e análise crítica. (devem ser atualizados sempre que necessário)

Respostas

6) ( F ) A organização deve identificar tentativas e violações de segurança bem sucedidas e incidentes de segurança da informação quando da análise dos relatórios de monitoramento. (a organização deve prontamente identificar tentativas de violação e incidentes)

7) ( F ) Implementar programas de conscientização e treinamento é requisito obrigatório e deve incluir todas as pessoas da organização. (deve incluir obrigatoriamente as pessoas que têm responsabilidades atribuídas dentro do SGSI)

8) ( V ) Plano é um documento que diz o que será feito, porque, como, quando, por quem e onde, também conhecido em inglês como 5W1H.

9) ( V ) A organização precisa apenas implementar os controles selecionados para atender aos objetivos de controle. Não é necessário que todos os controles indicados pela ISO 27001 sejam implementados. (mas na declaração de aplicabilidade deve ser justificado quando um controle do Anexo A não for utilizado)

Estrutura da Norma NBR ISO/IEC 27001:2006

Sistema de Gestão da SI

Melhoria Contínua

Responsabilidade da direção

Auditorias internas

Melhoria do SGSI

Análise crítica do SGSI pela direção

Entradas Saídas

4

6

7

85

RE

QU

ISIT

OS

SE

GU

RA

NÇ

A D

A

INF

OR

MA

ÇÃ

O

4.3 – Requisitos de documentação 4.3.1 – Geral

� A documentação deve incluir registros de decisões da direção, assegurar que as ações sejam rastreáveis às políticas e decisões da direção, e assegurar que os resultados registrados sejam reproduzíveis.

As reuniões de análise crítica do sistema devem ser documentadas e o monitoramento deve ser registrado.

� É importante que se possa demonstrar a relação dos controles selecionados com os resultados da análise/avaliação de riscos e do processo de tratamento de riscos, e conseqüentemente com a política e objetivos do SGSI.

Quando elaboramos a matriz de riscos jápodemos indicar os controles e procedimentos relacionados. Isto facilita a demonstração dos controles selecionados com os resultados da análise/avaliação de riscos e do processo de tratamento de riscos.

Extensão da documentação do SGSI

Abrangência e detalhes da documentação depende de:

Tamanho e tipo da

empresa

Complexidade dos serviços, produtos e processos

Requisitos de clientes e regulamentaresCódigos e

normas da indústria

Educação, experiência e treinamento

Estabilidade da força de trabalho

Problemas de segurança no passado

4.3 – Requisitos de documentação 4.3.1 – Geral

A documentação deve incluir:

a) Declarações documentadas das políticas e dos objetivos do SGSI

b) O escopo do SGSI

c) Procedimentos e controles que apóiam o SGSI

d) Uma descrição da metodologia de análise/avaliação de riscos

f) O relatório de análise/avaliação de riscos

g) O plano de tratamento de riscos

h) Procedimentos documentados requeridos pela organização para assegurar o planejamento efetivo, a operação e o controle de seus processos de segurança da informação, e para descrever como medir a eficácia dos controles

i) Registros requeridos pela norma

j) A declaração de aplicabilidade

A documentação deve variar devido ao tamanho da organização, tipo de atividades, escopo e complexidade dos requisitos de segurança e do sistema gerenciado. Quando a norma cita apenas a palavra “procedimento” significa que o procedimento não precisa ser documentado. Se a norma disser “procedimento documentado”significa que o procedimento realmente precisa ser documentado.

4.3 – Requisitos de documentação 4.3.2 – Controle de documentos

Os documentos requeridos pelo SGSI devem ser protegidos e controlados. Um procedimento documentado deve ser estabelecido para definir as ações de gestão necessárias para:

� Aprovar documentos para adequação antes de sua emissão

� Analisar criticamente e atualizar,quando necessário, e reaprovar documentos

� Assegurar que as alterações e a situação da revisão atual dos documentos sejam identificadas

� Assegurar que as versões pertinentes de documentos aplicáveis estejam disponíveis nos locais de uso

� Assegurar que os documentos permaneçam legíveis e prontamente identificáveis

� Assegurar que os documentos estejam disponíveis àqueles que deles precisam e sejam transferidos, armazenados e finalmente descartados conforme os procedimentos aplicáveis à sua classificação

� Assegurar que documentos de origem externa sejam identificados

� Assegurar que a distribuição de documentos seja controlada

� Prevenir o uso não intencional de documentos obsoletos

� Aplicar identificação adequada nos casos em que sejam retidos para qualquer propósito

Exercício


1 - ( ) Um documento obsoleto não pode ser mantido disponível no processo.

2 - ( ) Normas não precisam ser controladas.

3 - ( ) Se o profissional de uma área levar em torno de 10 segundos para pegar um documento, podemos dizer que o documento estava disponível.

4 - ( ) Um procedimento necessita de 3 assinaturas para indicar elaboração, revisão e aprovação.

5 - ( ) Instruções de trabalho da produção precisam ficar na produção.

6 - ( ) A organização deve estabelecer um procedimento para controle de documentos, mas ele não precisa ser documentado.

Resposta

1 - ( F ) Um documento obsoleto não pode ser mantido disponível no processo. (é necessário que a documentação esteja claramente identificada)2 - ( F ) Normas não precisam ser controladas.(normas são documentos externos, e quando uma nova versão é emitida a versão anterior deve ser recolhida)3 - ( V ) Se o profissional de uma área levar em torno de 10 segundos para pegar um documento, podemos dizer que o documento estava disponível.(10 segundos é muito rápido, um documento não está disponível quando o profissional da área não consegue localizá-lo)4 - ( F ) Um procedimento necessita de 3 assinaturas para indicar elaboração, revisão e aprovação.(documentos devem ser elaborados, revisados e aprovados, mas pode ser um único profissional a realizar todas estas atividades)5 - ( V ) Instruções de trabalho da produção precisam ficar na produção.(documentos devem ficar disponíveis nos locais de uso)6 - ( F ) A organização deve estabelecer um procedimento para controle de documentos, mas ele não precisa ser documentado.(a norma exige um procedimento documentado)

4.3 – Requisitos de documentação4.3.3 – Controle de registros

� Registros devem ser estabelecidos e mantidos para prover evidência da conformidade aos requisitos e da operação eficaz do SGSI.

� Devem ser considerados quaisquer registros referentes a requisitos legais ou obrigações contratuais.

� Registros devem ser legíveis e prontamente identificáveis e recuperáveis.

� Controles devem ser definidos, documentados e implementados para: identificação, armazenamento, proteção, recuperação, tempo de retenção e disposição.

� Registros devem manter informações sobre o desempenho dos processos e de ocorrências significativas relacionadas ao SGSI.

Exemplo de registro: livros de visitantes, relatórios de auditoria, formulários de autorização de acesso, etc.

Documentação do SGSI

Procedimentos

Instruções de trabalho,listas, formulários

Registros

Manual de segurança

Nível 1

Nível 2

Nível 3

Nível 4 Fornece evidência objetiva da conformidade às exigências do SGSI,

cláusula 4.3.3

Descreve como as tarefas e atividades específicas são feitas

Descreve processos, quem, o que, quando e onde,

cláusula 4.1

Política, escopo, avaliação

de risco, declaração de aplicabilidade

Exercício

Para um registro de acesso determine:

� Como ele pode ser identificado

� Onde ele pode ser armazenado

� Como se garante que está protegido

� Como pode ser recuperado, por exemplo se for necessário apresentá-lo ao cliente

� Por quanto tempo fica retido (guardado)

� Como é descartado

Resposta

Para um registro de acesso podemos usar os seguintes controles:

� Identificação: normalmente é um livro numerado com as páginas numeradas

� Armazenamento: na gaveta da recepção

� Proteção: a gaveta da recepção

� Recuperação: basta solicitar ao recepcionista

� Tempo de retenção: um ano após o término do livro

� Descarte: jogado no lixo comum

Interpretação das cláusulas4.2 a 4.3.3 da NBR ISO/IEC 27001:2005

Fim do módulo 6

ISO 27001 -6

Education

Transcript of ISO 27001 -6