Apresentacao ISO27001 Ramon

Normas de Segurana da Informao Processo de Certificao ISO 27001:2006
Ramon Gomes Brando Janeiro de 2009
Agenda
Elementos centrais da Seg. da Informao O Par ABNT:ISO 27001 e ABNT:ISO 17799 Viso geral da Norma ABNT:ISO 27001
Viso geral da Norma ABNT:ISO 17799
Objetivos de controle Implementao das normas Processo de Certificao na ISO 27001

16 de janeiro de 2009 2
Agenda

O que informao?
Ativo que, como todo ativo importante do negcio, tem valor para a organizao e necessita ser devidamente protegido
ABNT NBR ISO/IEC 17799:2005
Tipos de Informao
Falada Armazenada (meios eletrnicos ou no) Emitida (procedimento) Fotografada Lida, escrita, impressa Transmitida Filmada, etc...
... No importa a forma que a informao tome, ou os meios pelos quais compartilhada ou armazenada, convm que seja sempre apropriadamente protegida. ABNT NBR ISO/IEC 17799:2005
Ameaas, Vulnerabilidades e Riscos

Ameaa Identificao e avaliao da
possibilidade de eventos acidentais ou no desejados impactarem a infra estrutura de TI. Variam em severidade.
Vulnerabilidade Fatores que tornam

a infra estrutura de TI suscetvel ameaas.
Risco Probabilidade da ocorrncia da explorao de uma vulnerabilidade por uma ameaa. Variam em probabilidade e tem grau de perda.
Ameaas Seg. Informao

Pessoas (funcionrios, visitantes) Redes crescentes de computao E-mails Baixa conscincia sobre questes de segurana Complexidade crescente da eficcia de hackers e vrus Falta ou negligncia de polticas de segurana Sistemas falhos de gesto de segurana Fogo, inundaes, terremotos, Al Qaeda etc
16 de janeiro de 2009
Elementos Centrais da SI
Informao acessvel somente a aqueles autorizados para tal

Exatido da informao, manipulao s para os autorizados para tal
Assegura o acesso informao e recursos quando requeridos
Como assegurar a informao?

Implementando um grupo adequado de controles: Polticas de segurana Prticas Procedimentos Estrutura organizacional Softwares adequados
ABNT ISO/IEC 17799:2005

Sistema de Gesto de SI (SGSI)

Estrutura para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a SI.
O monitorado medido, e o que medido gerenciado.
10
Elementos de um SGSI
Baseado no modelo PDCA
Polticas (demonstrao de compromissos e princpios) Planejamento (identificao das necessidades, recursos, estrutura, responsabilidades) Implementao e operao (incluindo treinamento) Medio (no-conformidades, testes) Melhoria (aes corretivas e preventivas, melhoria contnua) Reviso
11
Agenda

Normas de Segurana
Requisitos dos Sistemas de Gesto de Segurana da Informao (SGSI)

Cdigo de Prtica para Gesto da Segurana da Informao
13
ISO 27001, ISO 17799
Metodologia Estruturada, reconhecida internacionalmente para garantir a SI Processo definido para validar, implementar, manter e gerenciar a SI Grupo abrangente de controles detalhados referente s melhores prticas na segurana da Informao Cobrem aspectos tcnico e gerencial Gerais: no so direcionadas a produtos ou tecnologia Desenvolvidas por empresas, para empresas
14
Agenda

Baseada na BS 7799-2:2002 Prov um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI Especifica exigncias para controles de segurana a serem implementados de acordo com as necessidades individuais da organizao Contm 11 sees de controle, 39 objetivos de controle e 133 controles
16
Layout da ISO 27001

0 Introduo 1 Escopo 2 Referncias Normativas 3 Termos e Definies 4 Sistema de Gesto de Segurana da Informao 5 Responsabilidade da Direo 6 Auditorias Internas do SGSI 7 Reviso Estratgica do SGSI 8 Melhoria do SGSI Anexo A Objetivos de controle e controles Anexo B Princpios da OECD e sua relao com esta norma Anexo C Correspondncias entre ISO 9001:2000, ISO 14001:2004 e esta norma Bibliografia
Benefcios da 27001
Oportunidade de identificar e corrigir fraquezas Comprometimento da Alta Direo: liderana no processo de segurana da Informao Reviso independente do prprio SGSI Reduzir a responsabilidade devido s polticas e procedimentos no implementados Segurana aos rgos parceiros/cidados Melhor conscientizao da segurana Recursos combinados com outros sistemas de Gesto Mecanismos para medir o sucesso do sistema
18
Agenda

Baseada na BS 7799-1:1999 Referncia normativa obrigatria para a ISO 27001 Pretendida para o uso como um documento de referncia Apresenta um conjunto detalhado de controles de segurana Baseada nas melhores prticas da segurana da Informao Constituda de 11 sees de controle, 39 objetivos de controle e 133 controles No objeto de certificao ou auditoria, apenas um guia de melhores prticas
20
Layout da ISO 17799

0 Introduo 1 Escopo 2 Termos e Definies 3 Estrutura da Norma 4 Anlise/Avaliao e Tratamento de Riscos Clusulas 5 a 15: Objetivos de controle e controles Bibliografia ndice
21
A srie 27000
ISO/IEC 27000 Princpios e vocabulrios ISO/IEC 27001 SGSI: Requisitos ISO/IEC 27002 Renomeao da ISO/IEC 17799 (abril/2007) ISO/IEC 27003 Guia de Implementao de SGSI ISO/IEC 27004 Mtricas e medies para a Gesto da Segurana da Informao em desenvolvimento (2008) ISO/IEC 27005 Gesto de Risco para SGSI
22
Agenda

Objetivos de Controle
11 Sees de objetivos de Controle, cada uma com seus objetivos de controle e a descrio dos controles respectivos
24
Objetivos de Controle Exemplo 1
25
Objetivos de Controle Exemplo 2
26
Agenda

Implementao da 27001(1)
28
Implementao da 27001(2)
29
Agenda

Certificao em 27001
Sob Concluso bem sucedida
Contnua (a cada 6 meses) Re-auditoria (a cada 3 anos) 31
Certificao 27001 Fatores Crticos de Sucesso
A poltica de segurana deve refletir os objetivos de negcio Implementao consistente com a cultura da companhia Apoio e compromisso visveis da alta direo Comunicao efetiva da segurana para todos os envolvidos Bom entendimento das exigncias de segurana, avaliaes e tratamento de riscos
32
Certificao 27001 Fatores Crticos de Sucesso
Divulgao e orientao da poltica de SI e normas para todos os servidores e membros e sub contratados Fornecer treinamento e educao apropriados Utilizar sistema de medio adequado para avaliao do desempenho da gesto de SI e identificao das oportunidades de melhoria
33
Anlise e Tratamento de Risco
34
Desafios para o MPGO
Anlise abrangente de riscos de todos os servios oferecidos Formalizao do Comit de Segurana com a alta administrao Treinamento, comprometimento e adeso dos usurios s polticas de segurana Integrao das reas de TI com os objetivos de SI Treinamento tcnico nas ferramentas de controle de segurana
35
Agenda

Perguntas?
37
Ramon Gomes Brando ramongb@mp.go.gov.br Seo de Segurana da Informao Depto. de Segurana e Adm. de Dados
Danke Schn!
38

Apresentacao ISO27001 Ramon

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Apresentacao ISO27001 Ramon

Caricato da

Copyright:

Formati disponibili

Normas de Segurana da Informao Processo de Certificao ISO 27001:2006

Ramon Gomes Brando Janeiro de 2009

Objetivos de controle Implementao das normas Processo de Certificao na ISO 27001

Objetivos de controle Implementao das normas Processo de Certificao na ISO 27001

Ameaas, Vulnerabilidades e Riscos

Vulnerabilidade Fatores que tornam

Ameaas Seg. Informao

Informao acessvel somente a aqueles autorizados para tal

Exatido da informao, manipulao s para os autorizados para tal

Assegura o acesso informao e recursos quando requeridos

Como assegurar a informao?

ABNT ISO/IEC 17799:2005

Sistema de Gesto de SI (SGSI)

O monitorado medido, e o que medido gerenciado.

Objetivos de controle Implementao das normas Processo de Certificao na ISO 27001

ABNT ISO/IEC 17799:2005

ISO 27001, ISO 17799

Objetivos de controle Implementao das normas Processo de Certificao na ISO 27001

ABNT ISO/IEC 27001:2006

Layout da ISO 27001

Objetivos de controle Implementao das normas Processo de Certificao na ISO 27001

ABNT ISO/IEC 17799:2005

Layout da ISO 17799

Objetivos de controle Implementao das normas Processo de Certificao na ISO 27001

Objetivos de Controle Exemplo 1

Objetivos de Controle Exemplo 2

Objetivos de controle Implementao das normas Processo de Certificao na ISO 27001

Objetivos de controle Implementao das normas Processo de Certificao na ISO 27001

Sob Concluso bem sucedida

Contnua (a cada 6 meses) Re-auditoria (a cada 3 anos) 31

Certificao 27001 Fatores Crticos de Sucesso

Certificao 27001 Fatores Crticos de Sucesso

Anlise e Tratamento de Risco

Desafios para o MPGO

Objetivos de controle Implementao das normas Processo de Certificao na ISO 27001

Potrebbero piacerti anche