230 likes | 515 Views
Normas ISO/IEC de Segurança da Informação. ISO/IEC 27001: Objetiva prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente , manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI ), ou ISMS ( Information Security Management System);
E N D
Normas ISO/IEC de Segurança da Informação • ISO/IEC 27001: • Objetiva prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI), ou ISMS (Information Security Management System); • Ciclo PDCA; • Dividida em cinco seções: • O Sistema de Gestão da Segurança da Informação; • A responsabilidade da administração; • As auditorias internas do ISMS; • A revisão do ISMS; • A melhoria do ISMS.
Ciclo PDCA • O modelo PDCA (ou ciclo de Deming) é usado para controlar uma série de ações, com o objetivo de controlar algum processo. Este modelo é baseado em quatro etapas: • Planejar (Plan) • Executar (Do) • Verificar (Check) • Agir (Act)
ISO/IEC 27002 - Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão da segurança da informação • ISO/IEC 27002: • Substitui a antiga ISO/IEC 17799; • Dividida nas seguintes seções: • Política de segurança da informação; • Organizando a segurança da informação; • Gestão de ativos; • Segurança em recursos humanos; • Segurança física do ambiente; • Gestão das operações e comunicações;
ISO/IEC 27002 - Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão da segurança da informação • Controle de acesso • Aquisição, desenvolvimento e manutenção de sistemas de informação; • Gestão de incidentes de segurança da informação; • Gestão da continuidade do negócio; • Conformidade.
ISO/IEC 27002 - Política de segurança da informação • Elaboração do Documento da Política de Segurança da Informação
ISO/IEC 27002 - Organizando a segurança da informação • Infra-estrutura da Segurança da Informação • Partes Externas
ISO/IEC 27002 - Gestão de ativos • Responsabilidade Pelos Ativos • Classificação da Informação
ISO/IEC 27002 – Segurança em recursos humanos • Antes da Contratação • Durante a Contratação • Encerramento ou Mudança da Contratação
ISO/IEC 27002 - Segurança física do ambiente • Áreas Seguras • Perímetro de segurança física • Controles de entrada física • Segurança em escritórios, salas e instalações • Proteção contra ameaças externas e do meio ambiente • Trabalhando em área seguras • Acesso do público, áreas de entrega e de carregamento • Segurança de Equipamentos • Instalação e proteção do equipamento • Utilidades • Segurança do cabeamento • Manutenção dos equipamentos • Segurança de equipamentos fora das dependências da organização • Reutilização e alienação segura de equipamentos • Remoção de propriedade
ISO/IEC 27002 - Gestão das operações e comunicações • Procedimentos e Responsabilidades Operacionais • Gerenciamento de Serviços Terceirizados • Planejamento e Aceitação dos Sistemas • Proteção Contra Códigos Maliciosos e Códigos Móveis • Cópias de Segurança • Gerenciamento da Segurança em Redes • Manuseio de Mídias • Troca de Informações • Serviços de Comércio Eletrônico • Monitoramento
ISO/IEC 27002 - Controle de acesso • Requisitos de Negócio Para Controle de Acesso • Gerenciamento de Acesso do Usuário • Responsabilidades dos Usuários • Controle de Acesso à Rede • Controle de Acesso ao Sistema Operacional • Controle de Acesso à Aplicação e à Informação • Computação Móvel e Trabalho Remoto
ISO/IEC 27002 - Aquisição, desenv. e manut. de sist. de informação • Requisitos de Segurança de Sistemas de Informação • Processamento Correto nas Aplicações • Controles Criptográficos • Segurança dos Arquivos do Sistema • Segurança em Processos de Desenvolvimento e Suporte • Gestão de Vulnerabilidades Técnicas
ISO/IEC 27002 - Gestão de incidentes de seg. da informação • Notificação de Fragilidades e Eventos de Segurança da Informação • Gestão de Incidentes de Segurança da Informação e Melhorias
ISO/IEC 27002 - Gestão da continuidade do negócio • Aspectos da Gestão da Continuidade do Negócio, Relativos à Segurança da Informação
ISO/IEC 27002 - Conformidade • Conformidade com Requisitos Legais • Conformidade com Normas e Políticas de Segurança da Informação e Conformidade Técnica • Considerações Quanto à Auditoria de Sistemas de Informação
Normas ISO/IEC da série 27000 de Segurança da Informação • ISO/IEC 27000:2009 - Sistema de Gerenciamento de Segurança - Explicação da série de normas, objetivos e vocabulários; • ISO/IEC 27001:2005 - Sistema de Gestão de Segurança da Informação - Especifica requerimentos para estabelecer, implementar, monitorar e rever, além de manter e provisionar um sistema de gerenciamento completo. Utiliza o PDCA como princípio da norma e é certificável para empresas. • ISO/IEC 27002:2005 - Código de Melhores Práticas para a Gestão de Segurança da Informação - Mostra o caminho de como alcançar os controles certificáveis na ISO 27001. Essa ISO é certificável para profissionais e não para empresas.
Normas ISO/IEC da série 27000 de Segurança da Informação • ISO/IEC 27003:2010 - Diretrizes para Implantação de um Sistema de Gestão da Segurança da Informação - Segundo a própria ISO/IEC 27003, “O propósito desta norma é fornecer diretrizes práticas para a implementação de um Sistema de Gestão da Segurança da Informação (SGSI), na organização, de acordo com a ABNT NBR ISO/IEC 27001:2005. • ISO/IEC 27004:2009 - Gerenciamento de Métricas e Relatórios para um Sistema de Gestão de Segurança da Informação - Mostra como medir a eficácia do sistema de gestão de SI na corporação. • ISO/IEC 27005:2008 - Gestão de Riscos de Segurança da Informação - Essa norma é responsável por todo ciclo de controle de riscos na organização, atuando junto à ISO 27001 em casos de certificação ou através da ISO 27002 em casos de somente implantação.
Normas ISO/IEC da série 27000 de Segurança da Informação • ISO/IEC 27006:2007 - Requisitos para auditorias externas em um Sistema de Gerenciamento de Segurança da Informação - Especifica como o processo de auditoria de um sistema de gerenciamento de segurança da informação deve ocorrer. • ISO/IEC 27007 - Referências(guidelines) para auditorias em um Sistema de Gerenciamento de Segurança da Informação. • ISO/IEC 27008 - Auditoria nos controles de um SGSI - O foco são nos controles para implementação da ISO 27001.
Normas ISO/IEC da série 27000 de Segurança da Informação • ISO/IEC 27010 - Gestão de Segurança da Informação para Comunicações Inter Empresariais- Foco nas melhores formas de comunicar, acompanhar, monitorar grandes incidentes e fazer com que isso seja feito de forma transparente entre empresas particulares e governamentais. • ISO/IEC 27011:2008 - Gestão de Segurança da Informação para empresa de Telecomunicações baseada na ISO 27002 - Entende-se que toda parte de telecomunicação é vital e essencial para que um SGSI atinja seus objetivos plenos(claro que com outras áreas), para tanto era necessário normatizar os processos e procedimentos desta área objetivando a segurança da informação corporativa de uma maneira geral. A maneira como isso foi feito, foi tendo como base os controles e indicações da ISO 27002.