MATC99 Segurana e Auditoria

de Sistemas de Informao
Gesto de Segurana da Informao
(Normas ISO 27001 e 27002)
Italo Valcy <italo@dcc.ufba.br>

Italo Valcy Seg e Auditoria de SI, 2013.1

Licena de uso e distribuio

EstematerialfoibaseadonasaulasdoProfMarcosDosea/UFS,
disponiveisem:http://www.campusitabaiana.ufs.br/dsi

Italo Valcy Seg e Auditoria de SI, 2013.1

2 / 27

Introduo
BS 7799-2:2002 >> ISO/IEC 27001:2005
Implantar um SGSI (Sistema de Gesto de Segurana da
Informao)

BS 7799:1995 >> ISO/IEC 17799:2000 >> ISO/IEC

27002:2005
Cdigo de Prticas para Gesto de Segurana da Informao.

27004 e 27003: Gesto de SI (Medio) e Guia de Impl.

SGSI
27006 e 27007: Requisitos e diretrizes para Auditoria de
um SGSI
15999:1 e 15999:2 Gesto de continuidade de negcios
(cdigo de pratica e requisitos)
Italo Valcy Seg e Auditoria de SI, 2013.1

3 / 27

ISO/IEC 27001

Prover um modelo para estabelecer, implantar,

operar, monitorar, rever, manter e melhorar um
Sistema de Gesto da Segurana da
Informao. Avaliar a conformidade por partes
interessadas internas e externas.

Italo Valcy Seg e Auditoria de SI, 2013.1

4 / 27

Estrutura do modelo ISO 27001

Adota o ciclo PDCA (Plan-Do-Ckeck-Act) tambm

conhecido como ciclo de Deming.
Italo Valcy Seg e Auditoria de SI, 2013.1

5 / 27

Estrutura do modelo ISO 27001

Organizao deve entender os requisitos de segurana e a

necessidade de estabelecer uma poltica e objetivos de segurana
da informao.
Italo Valcy Seg e Auditoria de SI, 2013.1

6 / 27

Estrutura do modelo ISO 27001

Implementar e operar controles para gerenciar os

riscos de segurana da informao.
Italo Valcy Seg e Auditoria de SI, 2013.1

7 / 27

Estrutura do modelo ISO 27001

Monitorar e rever o desempenho e a eficcia do SGSI.

Italo Valcy Seg e Auditoria de SI, 2013.1

8 / 27

Estrutura do modelo ISO 27001

Prover a melhoria contnua com base em medies

objetivas.
Italo Valcy Seg e Auditoria de SI, 2013.1

9 / 27

Norma ISO/IEC 27001

Introduo
Objetivo
Referencia normativa
Termos e definies
Sistema de Gesto da Segurana da Informao (SGSI)
Responsabilidade da Administrao
Auditorias Internas
Reviso do SGSI pela Administrao
A Melhoria do SGSI
Anexos
A (normativo objetivos de controle e controle 27002), B e C
(informativos)
Italo Valcy Seg e Auditoria de SI, 2013.1

10 / 27

SGSI
A Organizao deve definir a poltica para o
SGSI, o escopo e os limites.
Deve identificar, analisar e avaliar os riscos.
Selecionar os objetivos de controle e os
controles para o tratamento do risco.
Formular e implementar um plano de
tratamento de riscos que identifique aes
gerenciais, recursos, responsabilidades e
prioridades.
Italo Valcy Seg e Auditoria de SI, 2013.1

11 / 27

SGSI
Deve definir procedimentos de controle para
medir a eficcia dos controles ou grupos de
controle.
Implementar programas de treinamento e de
conscientizao.
Realizar revises peridicas de eficcia do
SGSI e rever os riscos residuais no tratados.
Conduzir auditorias internas do SGSI em
intervalos planejados.
Italo Valcy Seg e Auditoria de SI, 2013.1

12 / 27

SGSI
Atualizar os planos de segurana, levando em
considerao os resultados do monitoramento.
Tomar aes corretivas e preventivas
comunicando-as aos interessados.

Italo Valcy Seg e Auditoria de SI, 2013.1

13 / 27

NBR ISO/IEC 27001

Sistema de Gesto da Segurana da
Informao (SGSI)
Responsabilidade da Administrao
Auditorias Internas
Reviso do SGSI pela Administrao
A Melhoria do SGSI

Italo Valcy Seg e Auditoria de SI, 2013.1

14 / 27

Responsabilidade da administrao
Deve estabelecer a poltica para o SGSI
Assegurar que os objetivos e planos foram
estabelecidos.
Estabelecer papis e responsabilidades.
Comunicar a organizao acerca da
importncia de atender os objetivos e polticas.

Italo Valcy Seg e Auditoria de SI, 2013.1

15 / 27

Responsabilidade da administrao
Prover recursos suficientes para implementar,
operar, monitorar, rever, manter e melhorar o
SGSI.
Garantir a competncia do pessoal para
desempenhar as atividades requeridas.

Italo Valcy Seg e Auditoria de SI, 2013.1

16 / 27

NBR ISO/IEC 27001

Sistema de Gesto da Segurana da
Informao (SGSI)
Responsabilidade da Administrao
Auditorias Internas
Reviso do SGSI pela Administrao
A Melhoria do SGSI

Italo Valcy Seg e Auditoria de SI, 2013.1

17 / 27

Auditorias Internas
Conformidade com requisitos da norma e
demais requisitos legais e regulatrios.
Conformidade com requisitos de segurana da
informao identificados.
Esto implementados e mantidos de forma
efetiva.
Esto sendo desempenhados como esperado.

Italo Valcy Seg e Auditoria de SI, 2013.1

18 / 27

NBR ISO/IEC 27001

Sistema de Gesto da Segurana da
Informao (SGSI)
Responsabilidade da Administrao
Auditorias Internas
Reviso do SGSI pela Administrao
A Melhoria do SGSI

Italo Valcy Seg e Auditoria de SI, 2013.1

19 / 27

Reviso do SGSI pela Administrao

Deve revisar o SGSI pelo menos uma vez por ano,
para assegurar sua contnua adequao e eficcia.
Deve considerar:
resultado das auditorias
Feedback das partes interessadas
Status das aes corretivas e preventivas
Vulnerabilidades e ameaas no tratadas
Mudanas nos requisitos e recomendaes de melhoria.

Italo Valcy Seg e Auditoria de SI, 2013.1

20 / 27

NBR ISO/IEC 27001

Sistema de Gesto da Segurana da
Informao (SGSI)
Responsabilidade da Administrao
Auditorias Internas
Reviso do SGSI pela Administrao
A Melhoria do SGSI

Italo Valcy Seg e Auditoria de SI, 2013.1

21 / 27

A melhoria do SGSI
A melhoria contnua da eficcia do SGSI deve
ser realizada atravs do uso:
Poltica de Segurana da Informao
Objetivos de Segurana da Informao
Resultados de Auditoria
Anlise de Eventos Monitorados
Aes Corretivas e Preventivas
Revises gerenciais.

Italo Valcy Seg e Auditoria de SI, 2013.1

22 / 27

ISO/IEC 27002

Italo Valcy Seg e Auditoria de SI, 2013.1

23 / 27

Estrutura da norma 27002

Poltica de Segurana da Informao
Organizando a Segurana da Informao
Gesto de Ativos
Segurana em Recursos Humanos
Segurana Fsica do Ambiente
Gesto das Operaes e Comunicaes
Controle de Acesso
Aquisio, Desenvolvimento e Manuteno de Sistemas.
Gesto de Incidentes de Segurana da Informao
Gesto da Continuidade do Negcio
Conformidade.

Italo Valcy Seg e Auditoria de SI, 2013.1

24 / 27

Poltica de Segurana da Informao

a expresso formal das regras pelas

quais fornecido acesso aos recursos
tecnolgicos da empresa.

Italo Valcy Seg e Auditoria de SI, 2013.1

25 / 27

Poltica de Segurana da Informao

Orientar, por meio de suas diretrizes, todas as
aes de segurana, para reduo de riscos e
garantir a integridade, sigilo e disponibilidade
das informaes dos sistemas de informao e
recursos;
Permitir a adoo de solues de segurana
integradas;
Servir de referncia para auditoria, apurao e
avaliao de responsabilidades
Italo Valcy Seg e Auditoria de SI, 2013.1

26 / 27

Exerccio
Pesquisar 3 polticas de segurana de
instituies diferentes:
Verificar pontos comuns
Verificar escopo de abrangncia de cada um
Verificar pontos de divergncia

Italo Valcy Seg e Auditoria de SI, 2013.1

27 / 27