Gesto de Segurana da Informao

NORMAS NBR ISO/IEC 27001, 27002 e 27005 @thiagofagury www.fagury.com.br http://groups.yahoo.com/group/timasters

sexta-feira, 5 de novembro de 2010

As Normas
NBR ISO/IEC 27001 - Requisitos para
implantar um SGSI gesto de SI de SI

NBR ISO/IEC 27002 - Prticas para a NBR ISO/IEC 27005 - Gesto de riscos 27004 e 27003 - Gesto de SI (Medio)
e Guia de Impl. SGSI

27006 e 27007 - Requisitos e Diretrizes

para auditoria de um SGSI
sexta-feira, 5 de novembro de 2010

0. Introduo 1. Objetivo 2. Referncia normativa 3. Termos e denies 4. Sistema de gesto de segurana da informao
(Requisitos gerais / Estabelecendo e gerenciando o SGSI / Requisitos de documentao)

5. Responsabilidades da direo
(Comprometimento da direo / Gesto de recursos)

6. Auditorias internas do SGSI 7. Anlise crtica do SGSI pela direo

(Geral / Entradas para a anlise crtica / Sadas da Anlise Crtica)

8. Melhoria do SGSI
(Melhoria contnua / Ao corretiva / Ao preventiva)
sexta-feira, 5 de novembro de 2010

Anexos:
Anexo A - normativo: Objetivos de Controles e Controles (27002 - 5 a 15) Anexo B - informativo: Princpios da OECD* Anexo C - informativo: Correspondncia c/ ISO 9001 e ISO 14001
*Organizao para cooperao e desenvolvimento econmico
sexta-feira, 5 de novembro de 2010

Esta Norma foi preparada para prover um modelo para EIOMAMM um Sistema de Gesto de Segurana da Informao (SGSI). EIOMAMM = estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar

sexta-feira, 5 de novembro de 2010

- A adoo de um SGSI estratgica; - Necessidades e objetivos, requisitos de segurana, processos empregados, tamanho e estrutura da organizao direcionam a implementao; - SGSIs mudam ao longo do tempo; - Norma pode ser usada para avaliar a conformidade pelas partes interessadas internas e externas. - Para ns de certicao a 27001 a referncia (antiga BS7799-2).
sexta-feira, 5 de novembro de 2010

- Abordagem de processo: indica processos denidos, geridos e interativos; - Baseada no ciclo PDCA.
sexta-feira, 5 de novembro de 2010

Plan (planejar) - estabelecer a poltica, objetivos, processos e procedimentos do SGSI, relevantes para a gesto de riscos e a melhoria da segurana da informao para produzir resultados de acordo com as polticas e objetivos globais de uma organizao. Do (fazer) - implementar e operar a poltica, controles, processos e procedimentos do SGSI. Check (checar) - avaliar e, quando aplicvel, medir o desempenho de um processo frente poltica, objetivos e experincia prtica do SGSI e apresent. os resultados p/ a anlise crtica pela direo. Act (agir) - Executar as aes corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da anlise crtica pela direo ou outra informao pertinente, para alcanar a melhoria contnua do SGSI.
sexta-feira, 5 de novembro de 2010

Conformidade: - Esta Norma est alinhada s ABNT NBR ISO 9001:2000 e ABNT NBR ISO 14001:2004* para apoiar a implementao e a operao de forma consistente e integrada com normas de gesto relacionadas.
*Tratam do Sistema de Gesto da Qualidade e Sistema de Gesto Ambiental

sexta-feira, 5 de novembro de 2010

1.1 Geral: - A norma cobre todos os tipos de organizaes; - Especica os requisitos para EIOMAMM um SGSI documentado dentro do contexto dos riscos de negcio globais da organizao; - Projetado para assegurar a seleo de controles de segurana adequados e proporcionados para proteger os ativos de informao e propiciar conana s partes interessadas.
sexta-feira, 5 de novembro de 2010

1.2 Aplicao:
- Os requisitos denidos so genricos e aplicveis a todas as organizaes, independentemente de tipo, tamanho e natureza; - A excluso de quaisquer dos requisitos em 4, 5, 6, 7, e 8 no aceitvel quando uma organizao reivindica conformidade com a norma; - Excluso de controle considerado necessrio aos critrios de aceitao de riscos precisa ser justicada e evidncias de que os riscos associados foram aceitos pelas pessoas responsveis precisam ser fornecidas; - A menos que tais excluses no afetem a capacidade da organizao, e/ ou responsabilidade de prover segurana da informao que atenda os requisitos de segurana determinados pela anlise/avaliao de riscos e por requisitos legais e regulamentares aplicveis.
sexta-feira, 5 de novembro de 2010

O documento a seguir referenciado indispensvel para a aplicao desta Norma: ABNT NBR ISO/IEC 17799:2005, Tecnologia da informao Tcnicas de segurana Cdigo de prtica para a gesto da segurana da informao. *Ou seja, a 27002
sexta-feira, 5 de novembro de 2010

3.1 ativo Qualquer coisa que tenha valor para a organizao

[ISO/IEC 13335-1:2004]

3.2 disponibilidade Propriedade de estar acessvel e utilizvel sob demanda por uma entidade autorizada
[ISO/IEC 13335-1:2004]

3.3 condencialidade Propriedade de que a informao no esteja disponvel ou revelada a indivduos, entidades ou processos no autorizados
[ISO/IEC 13335-1:2004]
sexta-feira, 5 de novembro de 2010

3.4 segurana da informao

Preservao da condencialidade, integridade e disponibilidade da informao; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, no repdio e conabilidade, podem tambm estar envolvidas
[ABNT NBR ISO/IEC 17799:2005]

3.5 evento de segurana da informao

Uma ocorrncia identicada de um estado de sistema, servio ou rede, indicando uma possvel violao da poltica de segurana da informao ou falha de controles, ou uma situao previamente desconhecida, que possa ser relevante para a segurana da informao
[ISO/IEC TR 18044:2004]
sexta-feira, 5 de novembro de 2010

3.6 incidente de segurana da informao Um simples ou uma srie de eventos de segurana da informao indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operaes do negcio e ameaar a segurana da informao
[ISO/IEC TR 18044:2004]

3.7 sistema de gesto da segurana da informao SGSI A parte do sistema de gesto global, baseado na abordagem de riscos do negcio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurana da informao
NOTA O sistema de gesto inclui estrutura organizacional, polticas, atividades de planejamento, responsabilidades, prticas, procedimentos, processos e recursos.
sexta-feira, 5 de novembro de 2010

3.8 integridade Propriedade de salvaguarda da exatido e completeza de ativos

[ISO/IEC 13335-1:2004]

3.9 risco residual Risco remanescente aps o tratamento de riscos

[ABNT ISO/IEC Guia 73:2005]

3.10 aceitao do risco Deciso de aceitar um risco

[ABNT ISO/IEC Guia 73:2005]
sexta-feira, 5 de novembro de 2010

3.11 anlise de riscos Uso sistemtico de informaes para identicar fontes e estimar o risco
[ABNT ISO/IEC Guia 73:2005]

3.12 anlise/avaliao de riscos Processo completo de anlise e avaliao de riscos

[ABNT ISO/IEC Guia 73:2005]

3.13 avaliao de riscos Processo de comparar o risco estimado com critrios de risco predenidos para determinar a importncia do risco
[ABNT ISO/IEC Guia 73:2005]

sexta-feira, 5 de novembro de 2010

3.14 gesto de riscos Atividades coordenadas para direcionar e controlar uma organizao no que se refere a riscos
NOTA A gesto de riscos geralmente inclui a anlise/avaliao de riscos, o tratamento de riscos, a aceitao de riscos e a comunicao de riscos. [ABNT ISO/IEC Guia 73:2005]

3.15 tratamento do risco Processo de seleo e implementao de medidas para modicar um risco
NOTA Nesta Norma o termo controle usado como um sinnimo para medida. [ABNT ISO/IEC Guia 73:2005]

sexta-feira, 5 de novembro de 2010

3.16 declarao de aplicabilidade Declarao documentada que descreve os objetivos de controle e controles que so pertinentes e aplicveis ao SGSI da organizao
NOTA Os objetivos de controle e controles esto baseados nos resultados e concluses dos processos de anlise/avaliao de riscos e tratamento de risco, dos requisitos legais ou regulamentares, obrigaes contratuais e os requisitos de negcio da organizao para a segurana da informao.

sexta-feira, 5 de novembro de 2010

Requisitos gerais A organizao deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negcio globais da organizao e os riscos que ela enfrenta.

sexta-feira, 5 de novembro de 2010

Estabelecer o SGSI A organizao deve: Denir o escopo e os limites do SGSI nos termos das caractersticas do negcio, a organizao, sua localizao, ativos e tecnologia, incluindo detalhes e justicativas para quaisquer excluses do escopo
sexta-feira, 5 de novembro de 2010

Estabelecer o SGSI A organizao deve: - Denir a abordagem de anlise/avaliao de riscos da organizao (metodologia); - Identicar os riscos (ativos/proprietrios); - Analisar/avaliar riscos (probabilidades e impacto); - Identicar e avaliar as opes de tratamento;
sexta-feira, 5 de novembro de 2010

Estabelecer o SGSI
- Selecionar os objetivos de controle para tratamento de riscos (anexo A); - Obter aprovao da direo dos riscos residuais propostos; - Obter autorizao da direo para implementar e operar o SGSI; - Preparar uma Declarao de Aplicabilidade (controles aplicveis e justicativas de excluso).
sexta-feira, 5 de novembro de 2010