190 likes | 413 Views
Boas práticas para Segurança da Informação. Aluno: Daniel H. Acorsi Alves Orientador: Mario Lemes Proença Jr. Sumário. Objetivos Conceitos de Segurança da Informação Família de Normas ISO/IEC 27000 ISO/IEC 27002 ISO/IEC 27001 ISM³ ISM³ vs ISO/IEC 27001 Conclusão. Objetivos.
E N D
Boas práticas para Segurança da Informação Aluno: Daniel H. Acorsi Alves Orientador: Mario Lemes Proença Jr.
Sumário • Objetivos • Conceitos de Segurança da Informação • Família de Normas ISO/IEC 27000 • ISO/IEC 27002 • ISO/IEC 27001 • ISM³ • ISM³ vs ISO/IEC 27001 • Conclusão
Objetivos • O que é Segurança da Informação? • Porque da necessidade de Segurança da Informação? • Como Estabelecer Requisitos de Segurança da Informação? • Quais são as principais normas que tratam da Segurança da Informação?
ISO/IEC 27002 • Código de Boas-Práticas para a Gestão da Segurança da Informação; • Dividida em 11 Cláusulas/Capítulos + 1 capítulo introdutório sobre avaliação e tratamento de risco. • No total são 39 objetivos de controle e 139 controles. • Baseada na Analise/Avaliação de Risco;
ISO/IEC 27002 • Genérica • Diz o que tem que ser feito, mas não como tem que ser feito. • Considera Processos, Pessoas, Ambiente e Tecnologias.
ISO/IEC 27001 • Prove requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI. • Aplicada a qualquer tipo/tamanho de organização. • Organizações podem obter certificado.
ISO/IEC 27001 • Fase “Plan” • Definir o escopo do SGSI. • Definir uma politica para o SGSI. • Definir Objetivos de metas. • Identificar e avaliar os riscos. • Selecionar Objetivos de controle e controles. • Preparar a declaração de aplicabilidade. • Fase “Do” • Formular e implementar um plano de tratamento de risco. • Implementar os controles selecionados para atingir os objetivos de controle.
ISO/IEC 27001 • Fase “Check” • Executar monitoramento dos processos. • Conduzir auditorias internas do SGSI em intervalos planejados. • Realizar análise críticas regulares da eficácia do SGSI. • Analisar criticamente os níveis de risco residual e riscos aceitáveis. • Fase “Act” • Implementar as melhorias identificadas. • Tomar ações corretivas e preventivas apropriadas. • Comunicar os resultados e ações. • Garantir que as melhorias atendem aos objetivos pretendidos.
ISM³ • Framework para Sistemas de Gestão da Segurança da informação. • Baseado em Níveis de maturidade. • Construído a partir das Melhores ideias de sistemas de gestão e controles da ISO 9000, ITIL, CMMI, ISSO 27001. • Abordagem orientada a Processos. • São 44 processos no total. • Práticas: Genéricas, Estratégicas, Táticas e Operacionais.
ISM³ • Defini Métricas para cada processo. • Business Friendly. • Adaptável. • Flexível. • Padrão Aberto. • Grande Número de referências.
Conclusão • A segurança da informação é necessária a todas organizações independentemente de seu tamanho ou setor de atuação. • A segurança da informação eficaz depende de um SGSI bem comunicado, documentado e consistente. • Deve-se reconhecer o potencial do ISM3, como um complemento para padrões que tratam da gestão de segurança da informação.