NBR ISO/IEC 27001

41
NBR ISO/IEC 27001 SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO - SGSI

Transcript of NBR ISO/IEC 27001

NBR ISO/IEC 27001SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO - SGSI

EQUIPE

Allysson Moura LuzAmanda Hellen Luz Pereira

Antônio José de MouraJosé Francisco da Rocha

3

NORMA BRASILEIRA ABNT NBR ISO/IEC 27001 NORMA BRASILEIRA ABNT NBR ISO/IEC 27001

Primeira edição 31.03.2006 Válida a partir de 30.04.2006 Tecnologia da informação — Técnicas de segurança — Sistemas de gestão de segurança da informação — Requisitos Information technology — Security techniques — Information security management systems — Requirements

Esta Norma foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI). A adoção de um SGSI deve ser uma decisão estratégica para uma organização.

4

0. INTRODUÇÃO0.1 GERAL

• Uma organização precisa identificar e gerenciar muitas atividades para funcionar efetivamente. Qualquer atividade que faz uso de recursos e os gerencia para habilitar a transformação de entradas em saídas pode ser considerada um processo. Frequentemente a saída de um processo forma diretamente a entrada do processo seguinte.

5

0. INTRODUÇÃO0.2 ABORDAGEM DE PROCESSO

• Esta Norma está alinhada às ABNT NBR ISO 9001:2000 e ABNT NBR ISO 14001:2004 para apoiar a implementação e a operação de forma consistente e integrada com normas de gestão relacionadas. Um sistema de gestão adequadamente projetado pode, assim, satisfazer os requisitos de todas estas normas.

6

0. INTRODUÇÃO0.3 COMPATIBILIDADE COM OUTROS SISTEMAS DE GESTÃO

0. INTRODUÇÃO 0.4 VISÃO SISTEMÁTICA

0. INTRODUÇÃO0.5 PDCA (PAVF)

Esta Norma cobre todos os tipos de organizações (por exemplo, empreendimentos comerciais, agências governamentais, organizações sem fins lucrativos). Esta Norma especifica os requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócio globais da organização.

1. OBJETIVO1.1 GERAL

Os requisitos definidos nesta Norma são genéricos e é pretendido que sejam aplicáveis a todas as organizações, independentemente de tipo, tamanho e natureza.

1. OBJETIVO1.1 APLICAÇÃO

EM QUE CONSISTE?

2. REFERÊNCIA NORMATIVA

• O documento a seguir referenciado é indispensável para a aplicação desta Norma. Para referência datada, aplica-se apenas a edição citada. Para referência não datada, aplica-se a última edição do documento referenciado (incluindo as emendas). • ABNT NBR ISO/IEC 17799:2005, Tecnologia da informação –

Técnicas de segurança – Código de prática para a gestão da segurança da informação.

Ativo. Disponibilidade. Confidencialidade. segurança da informação. evento de segurança da informação. incidente de segurança da informação. sistema de gestão da segurança da informação.

3. TERMOS E DEFINIÇÕES

Integridade. risco residual. aceitação do risco. análise de riscos. análise/avaliação de riscos. avaliação de riscos. gestão de riscos. tratamento do risco. declaração de aplicabilidade.

3. TERMOS E DEFINIÇÕES

4. O SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO

Gerir a segurança da informação não trata apenas de segurança em TI (i.e. fierwalls, anti-virus, etc.) mas também sobre gerenciar processos, proteção legal, recursos humanos, proteção física, etc.

O SGSI não é necessariamente um sistema informatizado. O sistema será informatizado, caso seja necessário, conforme a peculiaridade de cada negócio (ambiente).

4. O SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO

Oferece confiança aos clientes Melhora a conscientização de segurança na

organização É também um mecanismo para medir o sucesso

do sistema de gestão Oportunidade para identificar e corrigir os pontos

fracos

4.1 PORQUÊ IMPLEMENTAR?

A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negócio globais da organização e os riscos que ela enfrenta.

A implantação de um SGSI envolve primeiramente a análise de riscos na infra-estrutura de TI. Esta análise permite identificar os pontos vulneráveis e as falhas nos sistemas, que deverão ser corrigidos. Além disso, no SGSI, são definidos processos para detectar e responder a incidentes de segurança e procedimentos para auditorias.

4.2 REQUISITOS GERAIS

Para criar o SGSI a organização deverá seguir alguns pontos:

Estabelecer o SGSI: Escopo, limites, política de segurança. Também deve identificar, analisar, e avaliar os riscos, identificar e avaliar as opções para o tratamento de riscos.

O que proteger?

4.2 REQUISITOS GERAIS

Atenção!:Deve-se obter aprovação da direção dos riscos

residuais propostos, obter autorização da direção para implementar e operar o SGSI, preparar a declaração de aplicabilidade.

4.3 ESTABELECENDO E GERENCIANDO O SGSI

Implementar e operar o SGSI: Formular e implementar um plano de tratamento de riscos, medir e avaliar a eficácia dos controles de tratamento, Implementar programas de conscientização e treinamento, Gerenciar as operações e recursos do SGSI

4.3 ESTABELECENDO E GERENCIANDO O SGSI

Monitorar e analisar criticamente o SGSI: Executar procedimentos de monitoração e análise crítica, conduzir auditorias internas do SGSI a intervalos planejados, realizar uma análise crítica em bases regulares para assegurar que o escopo permanece adequado e que são identificadas melhorias nos processos do SGSI, registrar ações e eventos que possam ter um impacto na eficácia ou no desempenho do SGSI

4.3 ESTABELECENDO E GERENCIANDO O SGSI

Manter e melhorar o SGSI: Implementar as melhorias identificadas no SGSI, aplicar as lições aprendidas de experiências de segurança da informação de outras organizações e aquelas da própria organização.

4.3 ESTABELECENDO E GERENCIANDO O SGSI

DICA: BSI GROUP

• Disponível em: http://www.bsigroup.com/pt-BR/Normas/• O BSI é uma empresa de normas de negócios que ajuda as

organizações a fazer da excelência um hábito - em todo o mundo. • Contém mais de 16 normas e certificações• Opções de cursos, e orçamentos para obter a certificação

STJ E A ISO 27001

• O Superior Tribunal de Justiça do Brasil (STJ) é a primeira entidade do segmento nas Américas a conquistar a certificação ISO 27001

• O ambiente de certificação foi o Centro de Processamento de Dados (CPD), unidade que processa, transmite e armazena informações sigilosas utilizadas no julgamento de processos e jurisprudências.

5. RESPONSABILIDADES DA DIREÇÃO

Esta seção é parte da etapa de planejamento (Plan) do ciclo PDCA e define as responsabilidades da Alta Direção, estabelecendo papéis e responsabilidades, e o conteúdo da política de segurança da informação de alto nível.

5.1 COMPROMETIMENTO DA DIREÇÃO

• A direção deve fornecer evidência do seu comprometimento com o estabelecimento, implementação, operação, monitoramento, análise crítica, manutenção e melhoria do SGSI, por meio de alguns requisitos:

a) O estabelecimento da política do SGSI;b) A garantia de que são estabelecidos os planos e objetivos do SGSI;c) O estabelecimento de papéis e responsabilidades pela segurança da

informação;

5.1 COMPROMETIMENTO DA DIREÇÃO

d) A comunicação à organização da importância em atender aos objetivos de segurança da informação e a conformidade com a política de segurança de informação, suas responsabilidades perante a lei e a necessidade para melhoria contínua;e) Provisão de recursos suficientes;f) Definição de critérios para aceitação de riscos;g) Garantia de execução de auditorias internas;h) Condução de análises críticas do SGSI pela direção.

5.2 GESTÃO DE RECURSOS5.2.1 – PROVISÃO DE RECURSOS

A organização será a responsável por determinar e prover os recursos necessários para:- Estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI.- Assegurar que os procedimentos de segurança da informação apoiam os requisitos de negócio

5.2 GESTÃO DE RECURSOS5.2.1 PROVISÃO DE RECURSOS

- Identificar e tratar os requisitos legais e regulamentares e obrigações contratuais de segurança da informação;

- Manter a segurança da informação adequada pela aplicação correta de todos os controles implementados;

- Realizar análises críticas, quando necessário, e reagir adequadamente aos resultados das mesmas.

- Onde requerido, melhorar a eficácia do SGSI.

5.2 GESTÃO DE RECURSOS5.2.2 TREINAMENTO, CONSCIENTIZAÇÃO E COMPETÊNCIA

• A organização deve assegurar que todo o pessoal com ligação ao SGSI obtenha treinamento a fim de desempenhar com qualidade as tarefas requeridas, deve determinar competências necessárias para o pessoal, deve sempre avaliar as atividades executadas e manter registros provenientes de aperfeiçoamentos do pessoal.• A organização deve também assegurar que todo o pessoal

envolvido esteja consciente da relevância e importância das atividades de segurança da informação e como eles contribuem para o sucesso do SGSI.

6. AUDITORIAS INTERNAS DO SGSI

• A organização deve conduzir auditorias internas do SGSI a intervalos planejados

para - determinar se os objetivos de controle, processos e procedimentos do SGSI atendem aos requisitos da Norma 27001,- se atendem aos requisitos de segurança da informação,- se estão funcionando eficazmente e se são executados conforme o esperado.

6. AUDITORIAS INTERNAS DO SGSI

• Um programa de auditoria deve ser planejado considerando a situação e a importância dos processos e áreas a serem auditadas, assim como resultados de auditorias anteriores. Os auditores devem manter a imparcialidade do processo de auditoria, portanto não devem auditar seu próprio trabalho. Ele deve assegurar que as ações estão sendo executadas, sem demora indevida, para eliminar as não-conformidades detectadas e suas causas. As atividades de acompanhamento devem incluir a verificação das ações executadas e o relato dos resultados obtidos.

7. ANÁLISE CRÍTICA DO SGSI PELA DIREÇÃO

7. ANÁLISE CRÍTICA DO SGSI PELA DIREÇÃO7.1 GERAL

• O QUE É?• Contínua pertinência, adequação e eficácia;• Uso da política de segurança da informação;• Objetivos da politica de segurança da informação;• Avaliação de oportunidades;• Necessidades de mudança do SGSI;• Documentação.

• COMO FAZER?• Entradas para análise crítica;• Saídas da análise crítica

7. ANÁLISE CRÍTICA DO SGSI PELA DIREÇÃO7.2 ENTRADAS PARA A ANÁLISE CRÍTICA1. resultados de auditorias do SGSI e análises críticas;2. realimentação das partes interessadas;3. técnicas, produtos ou procedimentos que podem ser usados na organização

para melhorar o desempenho e a eficácia do SGSI ;4. situação das ações preventivas e corretivas;5. vulnerabilidades ou ameaças não contempladas adequadamente nas

análises/avaliações de risco anteriores;6. resultados da eficácia das medições ;7. acompanhamento das ações oriundas de análises críticas anteriores pela

direção;8. quaisquer mudanças que possam afetar o SGSI; e9. recomendações para melhoria.

7. ANÁLISE CRÍTICA DO SGSI PELA DIREÇÃO7.3 SAÍDA DA ANÁLISE CRÍTICA1. Melhoria da eficácia do SGSI.2. Atualização da análise/avaliação

de riscos e do plano de tratamento de riscos.

3. Modificação de procedimentos e controles que afetem a segurança da informação, quando necessário, para responder a eventos internos ou externos que possam impactar no SGSI, incluindo mudanças de: Quadro ao lado.

4. Necessidade de recursos.5. Melhoria de como a eficácia dos

controles está sendo medida.

a. requisitos de negócio;

b. requisitos de segurança da informação;

c. processos de negócio que afetem os requisitos de negócio existentes;

d. requisitos legais ou regulamentares;

e. obrigações contratuais; e

f. níveis de riscos e/ou critérios de aceitação de riscos.

8. MELHORIAS DO SGSI

8. MELHORIAS DO SGSI8.1 MELHORIA CONTÍNUA

• COMO FAZE-LAS?• Melhoria contínua:

• Política de segurança da informação;• Objetivos de segurança da informação;• Resultados de auditorias;• Análise de eventos monitorados;• Ações corretivas;• Ações preventivas; e• Analise crítica pela direção.

8. MELHORIAS DO SGSI8.2 AÇÃO CORRETIVA

• Identificar não-conformidades;• Determinar as causas de não-conformidades;• Avaliar a necessidade de ações para assegurar que aquelas não-

conformidades não ocorram novamente;• Determinar e implementar as ações corretivas necessárias;• Registrar os resultados das ações executadas; e• Analisar criticamente as ações corretivas executadas.

8. MELHORIAS DO SGSI8.3 AÇÃO PREVENTIVA

• Identificar não-conformidades potenciais e suas causas;• Avaliar a necessidade de ações para evitar a ocorrência de não-conformidades;• Determinar e implementar as ações preventivas necessárias;• Registrar os resultados de ações executadas (ver 4.3.3); eAnalisar criticamente as ações preventivas executadas.

NOTA Ações para prevenir não-conformidades frequentemente têm melhor custo-

benefício que as ações corretivas.