Segurança de redes Normas de Segurança da Informação.

Segurança de redes

Normas de Segurança da Informação

O que são Normas?

• Necessidade do mercado em reconhecer práticas adequadas

• Maneira de criar um senso comum sobre um assunto

• Estabelecidas por órgãos internacionais de normatização

O que são Normas?

• As normas mais comuns são: – ISO 9001 – Qualidade– ISO 14001 – Meio Ambiente

• As normas podem definir melhores práticas e/ou requisitos para a certificação

• Certificação somente para empresas

Norma ISO 27001

• Origem:– BS 7799, do British Standards Institution, BSI

– Reconhecida pela ISO (International Standards Organization) com o nome “ISO 17799”

– Em 2005 teve sua numeração unificada, como ISO 27001, substituindo a ISO 17799

Norma ISO 27001

• Brasil– A norma ISO 27001 possui uma versão brasileira, a

NBR ISO 27001:2005

• Certificação– A ISO 27001 possibilita que um ou mais processos

de uma empresa sejam certificados– A BS 7799 também permite a certificação, mas a

última data de certificação será Agosto/2007– A ISO 17799 não permitia a certificação

Norma ISO 27001

• É dividida em duas partes:

– A descrição de um Sistema de Gestão da Segurança da Informação

– Anexo A – Objetivos de controle

Norma ISO 27001

• Sistema de Gestão da Segurança da Informação (SGSI)– Termo original da Norma: ISMS – Information

Security Management System

• Descreve como sistematizar as atividades de Segurança da Informação de uma empresa

O SGSI

• Um Sistema de Gestão da Segurança da Informação possui 4 grandes tarefas:

– P – Plan (Planejamento)– D – Do (Realização)– C – Check (Verificação)– A – Act (Ação)

O SGSI – Plan

• PLAN– Fase em que as atividades gerais do SGSI

são planejadas– Criação de Políticas, Regras, Processos e

Procedimentos que irão nortear as atividades de segurança

– Avaliação de riscos

O SGSI – Do

• Do– Implementação das atividades planejadas na

fase “Plan”

– Fase em que os planos para a redução de riscos são colocados em prática

– Todas as atividades previstas devem ser realizadas nesta etapa

O SGSI – Check

• Check– Etapa de verificação das atividades

planejadas e executadas na fase anterior

– Auditorias são a base desta etapa

– Verificação se as atividades realizadas na fase “Do” foram efetivas na redução do risco detectado na fase “Plan”

O SGSI – Act

• Act– Etapa em que as lições aprendidas durantes

as fases Plan, Do e Check são analisadas

– Nesta etapa são propostas melhorias para o próximo ciclo, permitindo que o nível de risco seja reduzido

– Ciclo que permite a melhoria contínua

ISO 27001 – Anexo A

• O Anexo A contém os requisitos técnicos e operacionais para a manutenção da segurança

• São 12 áreas com objetivos de controle

• Para a certificação é necessário que todos os requisitos do Anexo A sejam atendidos

Segurança de redes Normas de Segurança da Informação.

Documents

Transcript of Segurança de redes Normas de Segurança da Informação.