Professional Documents
Culture Documents
de Sistemas de Informao
Gesto de Segurana da Informao
(Normas ISO 27001 e 27002)
Italo Valcy <italo@dcc.ufba.br>
EstematerialfoibaseadonasaulasdoProfMarcosDosea/UFS,
disponiveisem:http://www.campusitabaiana.ufs.br/dsi
2 / 27
Introduo
BS 7799-2:2002 >> ISO/IEC 27001:2005
Implantar um SGSI (Sistema de Gesto de Segurana da
Informao)
3 / 27
ISO/IEC 27001
4 / 27
5 / 27
6 / 27
7 / 27
8 / 27
9 / 27
10 / 27
SGSI
A Organizao deve definir a poltica para o
SGSI, o escopo e os limites.
Deve identificar, analisar e avaliar os riscos.
Selecionar os objetivos de controle e os
controles para o tratamento do risco.
Formular e implementar um plano de
tratamento de riscos que identifique aes
gerenciais, recursos, responsabilidades e
prioridades.
Italo Valcy Seg e Auditoria de SI, 2013.1
11 / 27
SGSI
Deve definir procedimentos de controle para
medir a eficcia dos controles ou grupos de
controle.
Implementar programas de treinamento e de
conscientizao.
Realizar revises peridicas de eficcia do
SGSI e rever os riscos residuais no tratados.
Conduzir auditorias internas do SGSI em
intervalos planejados.
Italo Valcy Seg e Auditoria de SI, 2013.1
12 / 27
SGSI
Atualizar os planos de segurana, levando em
considerao os resultados do monitoramento.
Tomar aes corretivas e preventivas
comunicando-as aos interessados.
13 / 27
14 / 27
Responsabilidade da administrao
Deve estabelecer a poltica para o SGSI
Assegurar que os objetivos e planos foram
estabelecidos.
Estabelecer papis e responsabilidades.
Comunicar a organizao acerca da
importncia de atender os objetivos e polticas.
15 / 27
Responsabilidade da administrao
Prover recursos suficientes para implementar,
operar, monitorar, rever, manter e melhorar o
SGSI.
Garantir a competncia do pessoal para
desempenhar as atividades requeridas.
16 / 27
17 / 27
Auditorias Internas
Conformidade com requisitos da norma e
demais requisitos legais e regulatrios.
Conformidade com requisitos de segurana da
informao identificados.
Esto implementados e mantidos de forma
efetiva.
Esto sendo desempenhados como esperado.
18 / 27
19 / 27
20 / 27
21 / 27
A melhoria do SGSI
A melhoria contnua da eficcia do SGSI deve
ser realizada atravs do uso:
Poltica de Segurana da Informao
Objetivos de Segurana da Informao
Resultados de Auditoria
Anlise de Eventos Monitorados
Aes Corretivas e Preventivas
Revises gerenciais.
22 / 27
ISO/IEC 27002
23 / 27
24 / 27
25 / 27
26 / 27
Exerccio
Pesquisar 3 polticas de segurana de
instituies diferentes:
Verificar pontos comuns
Verificar escopo de abrangncia de cada um
Verificar pontos de divergncia
27 / 27