O que mudou com a revisão da norma ISO 27002:2005 para a versão 2013

Bem-vindo ao Circuito de Palestras EXIN 2014 Conheça o novo Portfólio EXIN:

NOSSO TEMA DE HOJE: ISO 27002

Tópico:

O que mudou com a revisão da norma ISO 27002:2005 para a versão 2013

Descrição: Estando alinhada mais ainda com a cultura do ciclo do PDCA, as mudanças na norma ISO27002:2013 vão desde o aumento do número de seções e eliminação no número de controles à mudança de terminologias e estruturas de seções refletindo a evolução de práticas de gestão e governança de segurança da informação nos últimos oito anos.

Nesta palestra serão demonstradas as principais mudanças da norma 2005 para a 2013 e as diferenças relevantes.

AGENDA

• Apresentação da PMG eDucation

• Palestra do Dia: O que mudou com a revisão da norma ISO 27002:2005 para a versão 2013

– História da Norma– Certificação– Mudanças Gerais– Remoção– Simplicidade– Novidades e Inclusões– A nova Estrutura– Mudanças nas Seções

• Brindes, Fechamento e Dúvidas

• Práticas herdadas do Grupo, a PMG Solutions• Construído com excelência pela Editora PMG• Atua no Brasil e Exterior• Líder no Brasil em Cursos Oficiais Online• Programa de Certificação: eBooks, Audiobooks, Simulados, Cursos Online e

Presenciais, Certificação Online e muito mais.• Conteúdos exclusivos no Brasil e no Mundo com:

Sobre Nós O Futuro

• Comunidade de TI com conteúdos grátis para Preparação para Certificação

• Fórum e Discussões entre profissionais, para estimular o Hands-on e How to?

• Centralização de Conteúdo disperso• Preparação do Profissional e do Instrutor• Licenciamento de Materiais• Novos Conteúdos Exclusivos (Cursos v. 2.0)

Sobre Nós O Futuro

O que mudou com a revisão da norma

ISO 27002:2005 para a ISO 27002:2013

A História Remoção Simples Novidades

Com: Adriano Martins Antonio

Certificação Mudanças Estrutura Seções



Foi criada a norma britânica BS 7799 e foi...

“internacionalizada” para ISO/IEC 17799em meados de2000

Uma norma de Segurança da Informação.....

Harmonizada na família ISO/IEC 27000

E o foco hoje é na ISO/IEC 27002Atualmente temos 45

normas da família ISO/IEC 27000




Norma ISO/iEC 27002

... é um código de práticas com um conjunto completo de controles que auxiliam aplicação do Sistema de Gestão da Segurança da Informação.

Certificação Pessoal ISO/IEC 27002

• Melhores Práticas• Recomendações




Norma ISO/IEC 270022005

2013

Certificação Mudanças Estrutura

... Mas, para a empresa, até 1 ano depois do lançamento pode se certificar na Versão 2005.Quem já é certificado na Versão 2005, tem até 2 anos para migrar para a 2013.

Seções

A História Certificação Remoção Simples Novidades


ISO/IEC 27002:2005, é uma norma amplamente respeitada e consultada e fornece uma estrutura para a organização e o gerenciamento de um programa de segurança das informações.

Uma compreensão categórica desta norma é importante para o desenvolvimento pessoal de todos os profissionais de segurança das informações.

Norma ISO/IEC 27002

A Certificação Profissional da EXIN continua na ISO 27002:2005E terá as atualizações incorporadas neste primeiro semestre/2014

Mudanças Estrutura Seções

Re-certificação?

A História Certificação Mudanças Remoção Simples Novidades


2005

Apesar da versão 2013 ter sido publicada em:25 de Setembro de 2013

Estrutura Seções



•Remoção de Itens• Simplificação•Novos Aspectos• Estruturação

Em linhas gerais

Estrutura Seções



Remoção de Itens

1 • Medidas de Segurança (documentação de segurança de sistemas, vazamento de informações, etc.)

2 • Remoção de algumas terminologias, porém readequadas com novas definições.

3 • Alguns controles foram removidos ou combinados

Estrutura Seções



Detalhes da Remoção de Itens

Estrutura

2005: Haviam 133 controles

Foram removidos 25

2013: Ficaram 114 controles (ou 108?)

A conta deu errada!!! Faltam 6 !!!!

Seções



Simplificação

1 • A norma está mais simplificada (+ 3 seções, - 19 controles)

2• Reestruturação de alguns capítulos (como: aquisição de sistema,

desenvolvimento e manutenção foram divididos em 2 partes (criptografia e, desenvolvimento e manutenção) .

3 • Objetivos reescritos a fim de melhorar o entendimento

4 • Uma melhor abordagem na segurança da informação no gerenciamento de projetos

Estrutura Seções


Simplificação

• A norma foi revisada e restruturada em alto nível, permitindo uma fácil integração com outros sistemas de gestão

• Mudanças de terminologia e algumas definições foram removidas ou realocadas• Compromisso da gestão tem um foco na "liderança"• A ação preventiva foi substituída por "ações para enfrentar, riscos e

oportunidades"• Controles no anexo A foram modificados para refletir tais mudanças,

consequentemente mantendo um agrupamento mais lógico.• Controles específicos também foram adicionados sobre criptografia e segurança

no relacionamento com fornecedores.

A História Certificação Mudanças Remoção Simples Novidades Estrutura Seções



Novos Aspectos

1 • Aspectos da gestão de continuidade de negócios de segurança da informação

2• Objetivo: garantir que a segurança da informação seja projetada e

implementada no escopo do ciclo de desenvolvimento de sistemas de informação

3 • Controle de acesso: para garantir o acesso de usuário autorizado e prevenir acesso não autorizado a sistemas e serviços

4 • Segurança na Nuvem

Estrutura Seções



Novidades - Ênfase

• Segurança da Informação inclusa no Business Continuity Management• Partes externas e partes terceiras

2013• Continuidade de Segurança da Informação• Fornecedores

Estrutura

2005 • Serviço de Comércio Eletrônico

• Serviços Aplicações

• Código Malicioso

• Malware

Seções



Novos Controles

Estrutura

A conta deu certa agora!!! Com estes 6, totalizam 114 Controles

14.2.1. A política de desenvolvimento seguro

14.2.5. Princípios de engenharia de sistema seguro

14.2.6. Ambiente de desenvolvimento seguro

14.2.8. Testes de segurança de sistema

16.1.4. Avaliação e decisão sobre os eventos de segurança da informação

17.2.1 Disponibilidade de instalações de processamento de informação

1

2

3

4

5

6

Seções



A Estrutura da Versão 2013

Estrutura

AlinhamentoOUTRASNorma

s9000, 14000, 20000, 22301

Novas

PARTESInteressad

asacionistas, autoridades, clientes, parceiros

Seções




Estrutura

Conceitos

MESCLADOSDocumento e

RegistroInformações documentadas Avaliação

DE RISCOSMaior

liberdadeAlinhamento com a 31000

Seções




Estrutura

DesenvolvimentoPLANOS

Para MonitoramentoQuem faz e o que e

quando. Para analisar e avaliar os resultados

Novas

AÇÕESPreventiva

salinhadas na avaliação de risco

Seções




Estrutura

Diferença entreCORREÇÃO DA

Não-conformidadeE uma correção que

elimina a causa da não-conformidade Comunicação

dosREQUISITOSEvitando

Que SI não seja apenas “coisa” de TI e sim, do negócio

Seções



Seções

Estrutura

Seção ISO/IEC 27002: 2005

5 Política de Segurança da Informação

6 Organizando a Segurança da Informação

7 Gerenciamento de Ativos

8 Segurança em Recursos Humanos

9 Segurança Física e do Ambiente

10 Gestão de Operações e Comunicações

11 Controle de Acesso

12 Aquisição, Desenvolvimento e Manutenção de SI

13 Gerenciamento de Incidentes de SI

14 Gerenciamento da Continuidade do Negócio

15 Conformidade

Seção ISO/IEC 27002: 2013

5 Política de Segurança da Informação

6 Organizando a Segurança da Informação

7 Gerenciamento de Ativos

8 Segurança em Recursos Humanos

9 Controle de Acesso

10 Criptografia

11 Segurança Física e do Ambiente

12 Segurança das Operações

13 Comunicação de Segurança

14 Aquisição, Desenvolvimento e Manutenção de SI

15 Relacionamento com Fornecedor

16 Gerenciamento de Incidentes de SI

17 Aspectos da segurança da informação no BCM

18 Conformidade

Seções



Seção 10 - Criptografia

Estrutura

10.1

CONTROLES CRIPTOGRÁFICOSDescrição:

Deve haver uma política sobre o uso de criptografia, além de controles de autenticação e integridade de criptografia, como assinatura digital e códigos de autenticação de mensagens e gerenciamento de chave de criptografia.

Seções



Seção 12 – Segurança das Operações

Estrutura

12.6.2

GERENCIAMENTO TÉCNICODAS VULNERABILIDADESDescrição:

Vulnerabilidades técnicas devem ser corrigidas, e devem haver regras que regulem a instalação do software pelos usuários.

Seções



Seção 13 – Comunicações

Estrutura

13.1

GERENCIAMENTO DE SEGURANÇA DE REDEDescrição:

Redes e serviços de rede devem ser protegidos, por exemplo, a segregação.

Seções

13.2

TRANSFERÊNCIA DE INFORMAÇÃODescrição:

Deve haver políticas, procedimentos e acordos ( por exemplo, acordos de não divulgação) sobre a transferência de informações de / para terceiros, incluindo mensagens electrónicas..



Seção 15 – Relacionamento com Fornecedor

Estrutura

15.1

A S.I. NO RELACIONAMENTO COM FORNECEDORES

Descrição:Deve haver políticas, procedimentos, consciência etc. para proteger as informações da organização que é acessível a empresas de TI terceiras e outros fornecedores externos em toda a cadeia logística, acordados no escopo dos contratos ou acordos.

Seções


Seção 15 – Relacionamento com Fornecedor

Estrutura Seções

15.2

GERENCIAMENTO DA PRESTAÇÃO DE SERVIÇO PELO FORNECEDOR

Descrição:A prestação de serviços por fornecedores externos devem ser monitoradas e revisadas / auditadas em relação aos contratos / acordos. Alterações de serviços devem ser controladas.




Seção 17 – Aspectos da Segurança da Informação no BCM

Estrutura

17.1CONTINUIDADE DA SEGURANÇA DA INFORMAÇÃO

Descrição:A continuidade da segurança da informação deve ser planejadas, implementada e revista, como parte integrante dos sistemas de gestão de continuidade de negócios da organização.

Seções

17.2

REDUNDÂNCIASDescrição:

Instalações de TI deve ter redundância suficiente para satisfazer os requisitos de disponibilidade.

Brindes!

• Cupom de desconto de 50% em qualquer produto na loja, exceto exames. Válido até o dia 26/02.

• 6% de desconto para Exames do nível Foundation, Intermediário e de Curta Duração Válido até 31/12/2014.

• Curso Oficial Online da ISO 27002 Foundation: Grátis por 2 dias. (De 27/02/2014 a 28/02/2014 nos horários de 09:00 às 18:00).

VOUCHER: 50WEBISO27002


Os três brindes são válidos apenas para os participantes deste Webex. (Enviar contatos)

Desconto de 6% nos Exames: Foundation: F329.2D2F.9165

Intermediate: 52A1.5E6B.1CC7Curta Duração: E4C3.A08C.25CD

Dúvidas?

Vamos iniciar a sessão de PERGUNTAS. Utilize a ferramenta do chat (para digitar) ou do hands on (para pedir acesso e perguntar diretamente ao palestrante.


ACESSO AO MATERIAL

• Vamos disponibilizar o link com Cópia desta apresentação + Certificado de Participação para todos que responderem nossa pesquisa de satisfação e nos ajudarem a aprimorar nossas futuras ações (acesso imediato ao de desconectar da sessão ao final da apresentação).

• Você também pode acessar nosso canal do YouTube e Slide Share para ter acesso a todas as apresentações realizadas em 2012 e 2013.

• Mais Informações?

Adriano Martins AntonioCEO

[email protected] | ww.pmgacademy.com

Milena AndradeRegional Manager

[email protected]

mailto:[email protected]

http://www.pmgacademy.com/

mailto:[email protected]

http://www.exin.com/

O que mudou com a revisão da norma ISO 27002:2005 para a versão 2013

Education

Transcript of O que mudou com a revisão da norma ISO 27002:2005 para a versão 2013