Respostas Incidentes Plano Negocio 27 08
description
Transcript of Respostas Incidentes Plano Negocio 27 08
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS
AULA DE HOJE
METODOLOGIAS USADAS PARA RESPOSTAS A
INCIDENTES E PLANO DE
CONTINUIDADE DE NEGÓCIOS
2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 1
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS
ISO/IEC 27001:2006
(Resumo Pontual sobre as normas ISO/IEC,
Modelos, boas práticas de serviços e gestão de TI)
2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 2
2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 3
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS
Esta norma foi preparada com o objetivo de
fornecer um modelo para:
estabelecer, implementar, operar, monitorar, analisar
criticamente, manter e melhorar um Sistema de
Gestão de Segurança da Informação (SGSI).
2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 4
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS
Um SGSI deve ser uma decisão estratégica para uma
organização.
2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 5
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS
A especificação e a implementação do SGSI de uma
organização são influenciadas pelas suas necessidades
e objetivos, requisitos de segurança, processos
empregados e tamanho da estrutura organizacional.
2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 6
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS
Espera-se que este e os sistemas de apoio mudem
com o passar do tempo. Espera-se que a
implementação de um SGSI seja escalada conforme
as necessidades da organização.
2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 7
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS
Por exemplo: uma situação simples exige uma solução
de um SGSI simples.
2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 8
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS
ESTRUTURA DA ISO 27001:2006
0 – Introdução
1 – Objetivo
2 – Referência Normativa
3 – Termos e definições
4 – Sistema de Gestão de Segurança da Informação
2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 9
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS
(Requisitos Gerais, estabelecendo e gerenciando o
SGSI, requisitos de documentação)
5 - Responsabilidades da Direção (comprometimento
da direção e gestão de recursos)
6 – Auditorias Internas do SGSI
2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 10
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS
7 – Análise Crítica do SGSI pela Direção
(Geral; Entradas para a análise crítica; saídas da
análise crítica)
8 – Melhoria do SGSI (Melhoria Contínua; Ação
Corretiva; Ação Preventiva)
2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 11
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS
A ISO 27001 adota o modelo conhecido como PDCA
Plan- Do- Check- Act) que é aplicado para estruturar
todos os processos do SGSI.
2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 12
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS
Figura 01 – Modelo PDCA
Fonte: http://edilms.eti.br Acesso em 20 de fevereiro de 2014
2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 13
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS
PDCA NA ISO 27001PLAN (planejar – Estabelecer o SGSI)
Estabelecer a política, os objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e melhoria da segurança da informação, para produzir resultados de acordo com as políticas e objetivos globais de uma organização.
DO (fazer – implementar e operar o SGSI)
Implementar e operar a política , controles, processos e procedimentos do SGSI
CHECK (Checar – monitorar e analisar criticamente o SGSI)
Avaliar e, quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiência prática do SGSI e apresentar os resultados para a análise critica pela direção.
2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 14
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS
ACT (agir – manter e melhorar o SGSI)
Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente , para alcançar a melhoria contínua do SGSI
2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 15
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS
ISO/IEC 27002:2005
A norma ABNT NBR ISO/IEC 27002:2005 mostra que
é imprescindível proteger a informação dos diversos
tipos de ameaças existentes com o objetivo de
garantir a continuidade do negócio, minimizar o risco
para o negócio, maximizar o retorno sobre os
investimentos e as oportunidades de negócios para os
usuários, empresas e instituições, sejam elas privadas
ou públicas.
2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 16
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS
Esta Norma estabelece diretrizes e princípios gerais
para iniciar, implementar, manter e melhorar a gestão
de segurança da informação em uma organização.
Os objetivos definidos nesta Norma fornecem diretrizes
gerais sobre as metas geralmente aceitas para a
gestão da segurança da informação.
Os objetivos de controle e os controles desta Norma
2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 17
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS
têm como finalidade ser implementados para atender
aos requisitos identificados por meio da análise/
avaliação de riscos. Esta Norma pode servir como um
guia prático para desenvolver os procedimentos de
segurança da informação da organização e as
eficientes práticas de gestão da segurança e para
ajudar a criar a confiança nas atividades inter-
organizacionais.
2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 18
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS
ESTRUTURA DA ISO 27002:20050 – Introdução
1 – Objetivo
2 – Termos e definições
3 – Estrutura da Norma
4 – Análise/Avaliação e tratamento de riscos
2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 19
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS
5 – Política de Segurança da Informação
6 – Organizando a Segurança da Informação
7 – Gestão de Ativos
8 – Segurança em Recursos Humanos
9 – Segurança física e do ambiente
10 – Gerenciamento das operações e das
comunicações
2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 20
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS
11 – Controle de Acessos
12 – Aquisição, desenvolvimento e manutenção de
sistemas
13 – Gestão de Incidentes de segurança da informação
14 – Gestão da continuidade do negócio
15 – Conformidade
2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 21
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS
ISSO/IEC 27005:2008
Esta Norma fornece diretrizes para a segurança da
informação da gestão de riscos, tendo como objetivo
fornecer um guia para a implementação da
abordagem de gerenciamento de riscos orientada ao
processo, para auxiliar na execução e no cumprimento
satisfatório da implementação da gestão de riscos da
informação, tendo como base os requisitos da Norma
2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 22
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS
da Norma ISSO/IEC 27001.
Foi elaborada para facilitar uma implementação
satisfatória da segurança da informação tendo como
base a gestão de riscos.
Aplica-se a todos os tipos de organização que
pretendam gerenciar os riscos que poderiam
comprometer a segurança da informação da
organização
2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 23
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS
Nesta Norma encontra-se um conjunto de técnicas
que são empregadas para orientar o gerenciamento
dos riscos de segurança, incluindo recomendações
sobre a avaliação de riscos, tratamento, aceitação,
comunicação, monitoramento e revisão de riscos.
2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 24
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS
ESTRUTURA DA ISO 27005:20081 – Introdução
2 – Escopo
3 – Referências Normativas
4 – Termos e Definições
5 – Organização da Norma
2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 25
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS
6 – Contextualização
7– Visão Geral do Processo de Gestão de Riscos
de Segurança da Informação
8 – Definição do Contexto
9 – Análise/Avaliação de Riscos de SI
10– Tratamento de Riscos de SI
11 – Aceitação de Riscos de SI
12 – Comunicação de Riscos
13 – Monitoramento e Análise Crítica de Riscos de SI
2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 26
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS
Figura 02
ISO
27005
2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 27
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS
Figura 03
Tratamento
De
Riscos
ISO
27005