Seguranca Aula 1 27001

5/14/2018 Seguranca Aula 1 27001 - slidepdf.com

http://slidepdf.com/reader/full/seguranca-aula-1-27001 1/42

Prof. Gleysonhttp://groups.google.com.br/group/prof_gleyson 1

Normas de Segurança da Informação – Parte 1

Curso On-LineSegurança da Informação

Prof. M.Sc. Gleyson Azevedo

[email protected]




NBR ISO/IEC 27001 – SGSI – Requisitos

NBR ISO/IEC 27002 – Código de Prática para a

Gestão da SI NBR ISO/IEC 27005 – Gestão de Riscos de SI

NBR ISO/IEC 15999-1 – GCN – Código de Prática

NBR ISO/IEC 15999-2 – GCN – Requisitos

Visão Geral – Normas de SI




ISO (International Organization for Standardization ) – federação internacional formada por organismos denormalização nacionais de diversos países do mundo.

Trabalho da ISO – elaboração de normas (acordosinternacionais) não limitadas a nenhum segmento emparticular.

Cobrem todo campo de normalização, exceto engenharia

eletrônica e eletrotécnica, de responsabilidade da IEC(International Eletrotechnical Commission ).

Introdução




O grupo internacional JTC1/SC27, formado pelasorganizações ISO e IEC, tem como objetivo criar egerenciar normas internacionais de segurança da

informação.

Introdução




A ABNT NBR ISO/IEC 27001:2006 é a norma usada para fins de certificação e substitui a norma britânica BS 7799-2:2002.

Uma organização que deseja implantar um Sistema deGestão de Segurança da Informação (SGSI) deve adotaressa norma como base.

A rigor, a norma é uma especificação (documento que é

utilizado para a realização de auditorias e consequentecertificação) de um SGSI.

NBR ISO/IEC 27001:2006 – VisãoGeral




0. Introdução

1. Objetivo

2. Referência normativa

3. Termos e definições

4. Sistema de gestão de segurança da informação

4.1 Requisitos gerais

4.2 Estabelecendo e gerenciando o SGSI

4.3 Requisitos de documentação

NBR ISO/IEC 27001:2006 – Seções (Estrutura)




(Cont.):

5. Responsabilidades da direção

5.1 Comprometimento da direção

5.2 Gestão de recursos

6. Auditorias internas do SGSI

7. Análise crítica do SGSI pela direção

7.1 Geral7.2 Entradas para a análise crítica

7.3 Saídas da Análise Crítica





(Cont.):

8. Melhoria do SGSI

8.1 Melhoria contínua

8.2 Ação corretiva

8.3 Ação preventiva

Anexo A (normativo) – Objetivos de Controles e Controles

Anexo B (informativo) – Princípios da OECD Anexo C (informativo) – Correspondência com a ISO 9001 e a

ISO 14001.





Exercícios

1. (Tecnologista Pleno – Segurança de Sistemas de Informação – MCT/2008 – CESPE) Com base nas normas ABNT NBR ISO/IEC 27001:2006 e27002:2005, julgue os itens que se seguem.

1. [119] Uma organização que deseje implantar um sistema de gestão de

segurança da informação (SGSI) deve adotar como base a norma ABNT NBRISO/IEC 27001:2006.

2. [120] A seção 5 da norma ISO/IEC 27001 trata de como a informação deve serclassificada, de acordo com a sua necessidade de segurança e controle deacesso.




A norma adota o modelo conhecido como PDCA, aplicadopara estruturar todos os processos do SGSI, como descrito:

Plan (Planejar): estabelecer a política de segurança dainformação, os objetivos, processos e os procedimentos

do SGSI. Do (Fazer): implementar e operar a política, os

procedimentos, controles e processos do SGSI.

Check (checar): monitorar, analisar criticamente,

realizar auditorias e medir o desempenho dos processos. Act (agir): manter e melhorar, por meio de ações

corretivas e preventivas, o SGSI visando ao seu contínuoaperfeiçoamento.

NBR ISO/IEC 27001 – 0. Introdução




NBR ISO/IEC 27001 – 0. Introdução




Objetivo Geral

Especifica requisitos para EIOMAMM um SGSI.

O SGSI é projetado para assegurar a seleção decontroles de segurança adequados para proteger osativos de informação e proporcionar confiança às partesinteressadas.

NBR ISO/IEC 270011. Objetivo




Aplicação

Os requisitos são genéricos – se adequam a qualquerorganização.

A exclusão de quaisquer dos requisitos especificadosnas seções 4 a 8 não é aceitável quando umaorganização reivindica conformidade com a norma.

A exclusão de controles considerada necessária parasatisfazer os critérios de aceitação de risco precisa ser justificada e as evidências precisam ser providas paraa associação dos riscos aceitos às pessoas responsáveis.

NBR ISO/IEC 270011. Objetivo




Exercícios

2. (Tecnologista Jr – MCT/2008 – CESPE) Acerca das normas nacionais einternacionais relativas à segurança da informação, bem como da gestãode riscos de sistemas de informação, julgue os itens seguintes.

1. [119] A norma ISO 27001 adota o modelo plan-do-check-act (PDCA), que é

aplicado para estruturar todos os processos dos sistemas de gestão desegurança da informação— information security management system (ISMS).

2. [120] Dependendo de seu tamanho ou natureza, uma organização podeconsiderar um ou mais requisitos da norma ISO 27001 como não-aplicáveis e,ainda assim, continuar em conformidade com essa norma internacional.




A ABNT ISO/IEC 17799:2005 (27002) éindispensável para a aplicação da ABNT ISO/IEC27001:2006.

NBR ISO/IEC 270012. Referência normativa




Sistema de Gestão da Segurança da Informação(SGSI) – a parte do sistema de gestão global, baseado naabordagem de riscos do negócio, para EIOMAMM a SI.

Inclui: estrutura organizacional, políticas, planejamento deatividades, responsabilidades, práticas, procedimentos,processos e recursos.

NBR ISO/IEC 270013. Termos e Definições




Evento de segurança da informação - ocorrênciaidentificada de um sistema, serviço ou rede que indica umapossível violação da política de segurança da informação oufalha de controles, ou uma situação previamentedesconhecida, que possa ser relevante para a segurança dainformação.

Incidente de segurança da informação - um simples

ou uma série de eventos de segurança da informaçãoindesejados ou inesperados, que tenham uma grandeprobabilidade de comprometer as operações do negócio eameaçar a segurança da informação.





Declaração de aplicabilidade - declaração documentadaque descreve os objetivos de controle e controles que sãopertinentes e aplicáveis ao SGSI da organização.

Os objetivos de controle e controles estão baseados nosresultados e conclusões do processo de avaliação de risco etratamento de risco, requisitos legais ou regulatórios,obrigações contratuais e os requisitos de negócio da

organização para a segurança da informação.





“A organização deve” EIOMAMM um SGSIdocumentado dentro do contexto das atividades denegócio globais da organização e os riscos que

elas enfrentam.

NBR ISO/IEC 270014. SGSI – Requisitos Gerais




A organização deve:

definir o escopo e os limites do SGSI;

definir uma política de segurança da informação;

definir a sistemática de análise/avaliação de riscos desegurança da informação;

identificar os riscos;

analisar e avaliar os riscos; identificar e avaliar as opções para o tratamento de

riscos;

NBR ISO/IEC 270014. SGSI – Estabelecer o SGSI (Plan )




(Cont.):

selecionar objetivos de controle e controles para otratamento de riscos;

obter aprovação da direção dos riscos residuaispropostos;

obter autorização da direção para implementar e operaro SGSI;

preparar uma declaração de aplicabilidade.

NBR ISO/IEC 270014. SGSI – Estabelecer o SGSI (Plan )




Exercícios

3. (Analista Administrativo –

Tecnologia da Informação –

Análise de Negócios – ANATEL – CESPE – 2009) A figura a seguir, obtida na norma ABNT NBRISO/IEC 27001:2006, apresenta um modelo de gestão da segurança daInformação. Julgue os itens subsequentes acerca das informaçõesapresentadas e dos conceitos de segurança da informação.

1. [83] Considere as diferentes fases do ciclo de gestão no modelo da figura—

plan , do , check e act . A definição de critérios para a avaliação e para aaceitação dos riscos de segurança da informação que ocorrem no escopo parao qual o modelo da figura está sendo estabelecido, implementado, operado,monitorado, analisado criticamente, mantido e melhorado ocorre,primariamente, durante a fase do .

2. [85] A classificação da informação é um objetivo de controle explicitamenteenunciado pela norma ABNT NBR ISO/IEC 27001:2006 e que agrega doiscontroles, sendo um deles relacionado a recomendações para classificação e ooutro, ao uso de rótulos.




Exercícios





formular um plano de tratamento de risco;

implementar o plano de tratamento de risco;

implementar os controles selecionados;

definir como medir a eficácia dos controles;

implementar programas de conscientização etreinamento;

gerenciar as operações do SGSI;

NBR ISO/IEC 27001 - 4. SGSI – Implementar e Operar o SGSI (Do )




(Cont.):

gerenciar os recursos para o SGSI;

implementar procedimentos e outros controles capazes

de permitir a rápida detecção e resposta a incidentes desegurança.

NBR ISO/IEC 27001 - 4. SGSI – Implementar e Operar o SGSI (Do )

NBR ISO/IEC 27001 4 SGSI





executar procedimentos de monitoração e análise crítica;

realizar análises críticas regulares da eficácia do SGSI;

medir a eficácia dos controles;

analisar criticamente as análises/avaliações de riscos aintervalos planejados e os riscos residuais;

conduzir auditorias internas no SGSI a intervalosplanejados;

NBR ISO/IEC 27001 - 4. SGSI – Monitorar e Analisar Criticamente o SGSI

(Check )

NBR ISO/IEC 27001 4 SGSI




(Cont.):

realizar uma análise crítica do SGSI pela direção;

atualizar os planos de segurança da informação;

registrar as ações e eventos que poderiam ter umimpacto na efetividade ou desempenho do SGSI.

NBR ISO/IEC 27001 - 4. SGSI – Monitorar e Analisar Criticamente o SGSI

(Check )




NBR ISO/IEC 27001 – 4. SGSI – Manter e Melhorar o SGSI ( Act ) A organização deve regularmente:

implementar as melhorias identificadas no SGSI;

executar as ações preventivas e corretivas apropriadas;

comunicar as ações e melhorias a todas as partesinteressadas;

assegurar-se de que as melhorias alcancem os objetivos

propostos.




NBR ISO/IEC 27001 – 4. SGSI – Requisitos de Documentação A documentação do SGSI deve incluir:

declarações documentadas da política e objetivos doSGSI;

o escopo do SGSI;

procedimentos e controles que apoiam o SGSI;

uma descrição da metodologia de análise/avaliação de

riscos; o relatório de análise/avaliação de riscos;

o plano de tratamento de riscos;




(Cont.):

procedimentos documentados requeridos pelaorganização;

registros requeridos pela norma e a Declaração de Aplicabilidade.

Registros devem ser estabelecidos e mantidos para proverevidência de conformidade aos requisitos e efetividade da

operação do SGSI. Exemplos de registros: livros de visitantes, relatórios de

auditoria e formulários de autorização de acesso completo.

NBR ISO/IEC 27001 – 4. SGSI – Requisitos de Documentação




NBR ISO/IEC 270015. Responsabilidades da Direção A direção deve fornecer evidências do seu

comprometimento com o EIOMAMM do SGSI.

A responsabilidade da direção é complementada por umaadequada gestão de recursos, que se evidencia por:

uma apropriada provisão de recursos financeiros;

assegurar o devido treinamento, conscientização ecapacitação para todos os que possuemresponsabilidades atribuídas e definidas no SGSI.

A organização também deve assegurar que todo o pessoalpertinente esteja consciente da relevância e importânciadas suas atividades para o SGSI.




NBR ISO/IEC 270016. Auditorias Internas do SGSI A organização deve conduzir auditorias internas no SGSI a

intervalos planejados.

A gerência responsável pela área a ser auditada deveassegurar que as ações sejam executadas, sem demoraindevida, para eliminar as não-conformidades detectadas esuas causas.

Atividades de acompanhamento devem incluir a verificaçãodas ações tomadas e a comunicação de resultados de

verificação.




NBR ISO/IEC 27001 – 7. AnáliseCrítica do SGSI pela Direção Entradas para a análise crítica:

resultados das auditorias do SGSI e análises críticas;

realimentações das partes interessadas;

técnicas, produtos ou procedimentos que poderiam serusados na organização para melhorar o desempenho e aeficácia do SGSI;

situação das ações preventivas e corretivas;

vulnerabilidades ou ameaças não contempladasadequadamente nas análises/avaliações de riscoanteriores;




(Cont.):

resultados das medições de eficácia;

acompanhamento das ações oriundas de análises

críticas anteriores; qualquer mudança que poderia afetar o SGSI;

recomendações para melhoria.

NBR ISO/IEC 27001 – 7. AnáliseCrítica do SGSI pela Direção




As saídas devem incluir quaisquer decisões e açõesrelacionadas a:

melhoria da eficácia do SGSI;

atualização da análise/avaliação de riscos e do plano detratamento de riscos;

modificação de procedimentos e controles que afetem asegurança da informação,

necessidade de recursos; melhoria de como a eficácia dos controles está sendo

medida.

NBR ISO/IEC 27001 – 7. AnáliseCrítica do SGSI pela Direção



Prof. Gleyson

http://groups.google.com.br/group/prof_gleyson 36

NBR ISO/IEC 27001 – 8. Melhoriado SGSI – Ação Corretiva A organização deve executar ações para eliminar as causas

de não-conformidades com os requisitos do SGSI, de formaa evitar sua repetição.

O procedimento documentado para ação corretiva devedefinir requisitos para:

identificar não-conformidades;

determinar as causas de não-conformidades;

avaliar a necessidade por ações para assegurar que asnão-conformidades não ocorram novamente;



Prof. Gleyson


(Cont.):

determinar e implementar as ações corretivasnecessárias;

registrar os resultados das ações executadas; analisar criticamente as ações corretivas executadas.

NBR ISO/IEC 27001 – 8. Melhoriado SGSI – Ação Corretiva



Prof. Gleyson


A organização deve determinar ações para eliminar ascausas de não-conformidades potenciais com os requisitosdo SGSI, de forma a evitar a sua ocorrência.

O procedimento documentado para ação preventiva devedefinir requisitos para:

identificar não-conformidades potenciais e suas causas;

avaliar a necessidade de ações para evitar a ocorrênciade não-conformidades;

determinar e implementar as ações preventivasnecessárias;

NBR ISO/IEC 27001 – 8. Melhoriado SGSI – Ação Preventiva



Prof. Gleyson


(Cont.):

registrar os resultados de ações executadas;

analisar criticamente as ações preventivas executadas.

A norma define que ações para prevenir não-conformidadesfrequentemente têm melhor custo-benefício que as açõescorretivas.

NBR ISO/IEC 27001 – 8. Melhoriado SGSI – Ação Preventiva



Prof. Gleyson


Exercícios

4. (Analista – Redes – SERPRO/2008 – CESPE) Atualmente, a informação é umimportante ativo para praticamente todo o tipo de organização. Asegurança desse ativo faz-se necessária, seja por questão deconformidade com leis e contratos, seja para assegurar a continuidade donegócio. Acerca da segurança da informação, bem como das normas e

políticas a ela aplicáveis, julgue os itens a seguir.

1. [86] A declaração de aplicabilidade é um documento que deve detalhar osobjetivos de controle e os controles a serem implementados para a segurançada informação. Os demais controles e objetivos de controle, não inclusos nadeclaração de aplicabilidade, devem fazer parte do documento de análise de

GAP.2. [87] A definição de critérios para aceitação de riscos é uma das

responsabilidades da alta administração, segundo a norma NBR ISO/IEC27001.

í



Prof. Gleyson


Exercícios3. [88] O estabelecimento da política do sistema de gestão de segurança da

informação (SGSI) é de responsabilidade da equipe de segurança dainformação.

4. [89] Para assegurar que os controles, objetivos de controle e processos sejamexecutados e implementados de forma eficaz, a norma NBR ISO/IEC 27001recomenda a realização de auditorias externas em intervalos regulares de, no

máximo, seis meses.5. [90] A identificação de não-conformidades potenciais e suas causas é

caracterizada como uma ação preventiva, segundo a norma NBR ISO/IEC27001.

6. [91] Entre as atividades contempladas na fase agir (act ) está a necessidade de

identificar não-conformidades potenciais e suas causas, objetivando alcançar amelhoria contínua do sistema de gestão de segurança da informação.

7. [92] A norma NBR ISO/IEC 27001 recomenda a adoção de abordagemqualitativa para a realização da análise de risco.



Prof. Gleyson

1. 1C-2E

2. 1C-2E

3. 1E-2C

4. 1E-2C-3C-4E-5C

Gabarito das Questões

Seguranca Aula 1 27001

Documents

Transcript of Seguranca Aula 1 27001