1 / 21

Normas ISO/IEC de Segurança da Informação

Normas ISO/IEC de Segurança da Informação. ISO/IEC 27001: Objetiva prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente , manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI ), ou ISMS ( Information Security Management System);

mariam-holder
Download Presentation

Normas ISO/IEC de Segurança da Informação

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Normas ISO/IEC de Segurança da Informação • ISO/IEC 27001: • Objetiva prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI), ou ISMS (Information Security Management System); • Ciclo PDCA; • Dividida em cinco seções: • O Sistema de Gestão da Segurança da Informação; • A responsabilidade da administração; • As auditorias internas do ISMS; • A revisão do ISMS; • A melhoria do ISMS.

  2. Ciclo PDCA • O modelo PDCA (ou ciclo de Deming) é usado para controlar uma série de ações, com o objetivo de controlar algum processo. Este modelo é baseado em quatro etapas: • Planejar (Plan) • Executar (Do) • Verificar (Check) • Agir (Act)

  3. Ciclo PDCA

  4. Ciclo PDCA

  5. ISO/IEC 27002 - Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão da segurança da informação • ISO/IEC 27002: • Substitui a antiga ISO/IEC 17799; • Dividida nas seguintes seções: • Política de segurança da informação; • Organizando a segurança da informação; • Gestão de ativos; • Segurança em recursos humanos; • Segurança física do ambiente; • Gestão das operações e comunicações;

  6. ISO/IEC 27002 - Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão da segurança da informação • Controle de acesso • Aquisição, desenvolvimento e manutenção de sistemas de informação; • Gestão de incidentes de segurança da informação; • Gestão da continuidade do negócio; • Conformidade.

  7. ISO/IEC 27002 - Política de segurança da informação • Elaboração do Documento da Política de Segurança da Informação

  8. ISO/IEC 27002 - Organizando a segurança da informação • Infra-estrutura da Segurança da Informação • Partes Externas

  9. ISO/IEC 27002 - Gestão de ativos • Responsabilidade Pelos Ativos • Classificação da Informação

  10. ISO/IEC 27002 – Segurança em recursos humanos • Antes da Contratação • Durante a Contratação • Encerramento ou Mudança da Contratação

  11. ISO/IEC 27002 - Segurança física do ambiente • Áreas Seguras • Perímetro de segurança física • Controles de entrada física • Segurança em escritórios, salas e instalações • Proteção contra ameaças externas e do meio ambiente • Trabalhando em área seguras • Acesso do público, áreas de entrega e de carregamento • Segurança de Equipamentos • Instalação e proteção do equipamento • Utilidades • Segurança do cabeamento • Manutenção dos equipamentos • Segurança de equipamentos fora das dependências da organização • Reutilização e alienação segura de equipamentos • Remoção de propriedade

  12. ISO/IEC 27002 - Gestão das operações e comunicações • Procedimentos e Responsabilidades Operacionais • Gerenciamento de Serviços Terceirizados • Planejamento e Aceitação dos Sistemas • Proteção Contra Códigos Maliciosos e Códigos Móveis • Cópias de Segurança • Gerenciamento da Segurança em Redes • Manuseio de Mídias • Troca de Informações • Serviços de Comércio Eletrônico • Monitoramento

  13. ISO/IEC 27002 - Controle de acesso • Requisitos de Negócio Para Controle de Acesso • Gerenciamento de Acesso do Usuário • Responsabilidades dos Usuários • Controle de Acesso à Rede • Controle de Acesso ao Sistema Operacional • Controle de Acesso à Aplicação e à Informação • Computação Móvel e Trabalho Remoto

  14. ISO/IEC 27002 - Aquisição, desenv. e manut. de sist. de informação • Requisitos de Segurança de Sistemas de Informação • Processamento Correto nas Aplicações • Controles Criptográficos • Segurança dos Arquivos do Sistema • Segurança em Processos de Desenvolvimento e Suporte • Gestão de Vulnerabilidades Técnicas

  15. ISO/IEC 27002 - Gestão de incidentes de seg. da informação • Notificação de Fragilidades e Eventos de Segurança da Informação • Gestão de Incidentes de Segurança da Informação e Melhorias

  16. ISO/IEC 27002 - Gestão da continuidade do negócio • Aspectos da Gestão da Continuidade do Negócio, Relativos à Segurança da Informação

  17. ISO/IEC 27002 - Conformidade • Conformidade com Requisitos Legais • Conformidade com Normas e Políticas de Segurança da Informação e Conformidade Técnica • Considerações Quanto à Auditoria de Sistemas de Informação

  18. Normas ISO/IEC da série 27000 de Segurança da Informação • ISO/IEC 27000:2009 - Sistema de Gerenciamento de Segurança - Explicação da série de normas, objetivos e vocabulários; • ISO/IEC 27001:2005 - Sistema de Gestão de Segurança da Informação - Especifica requerimentos para estabelecer, implementar, monitorar e rever, além de manter e provisionar um sistema de gerenciamento completo. Utiliza o PDCA como princípio da norma e é certificável para empresas. • ISO/IEC 27002:2005 - Código de Melhores Práticas para a Gestão de Segurança da Informação - Mostra o caminho de como alcançar os controles certificáveis na ISO 27001. Essa ISO é certificável para profissionais e não para empresas.

  19. Normas ISO/IEC da série 27000 de Segurança da Informação • ISO/IEC 27003:2010 - Diretrizes para Implantação de um Sistema de Gestão da Segurança da Informação - Segundo a própria ISO/IEC 27003, “O propósito desta norma é fornecer diretrizes práticas para a implementação de um Sistema de Gestão da Segurança da Informação (SGSI), na organização, de acordo com a ABNT NBR ISO/IEC 27001:2005. • ISO/IEC 27004:2009 - Gerenciamento de Métricas e Relatórios para um Sistema de Gestão de Segurança da Informação - Mostra como medir a eficácia do sistema de gestão de SI na corporação. • ISO/IEC 27005:2008 - Gestão de Riscos de Segurança da Informação - Essa norma é responsável por todo ciclo de controle de riscos na organização, atuando junto à ISO 27001 em casos de certificação ou através da ISO 27002 em casos de somente implantação.

  20. Normas ISO/IEC da série 27000 de Segurança da Informação • ISO/IEC 27006:2007 - Requisitos para auditorias externas em um Sistema de Gerenciamento de Segurança da Informação - Especifica como o processo de auditoria de um sistema de gerenciamento de segurança da informação deve ocorrer. • ISO/IEC 27007 - Referências(guidelines) para auditorias em um Sistema de Gerenciamento de Segurança da Informação. • ISO/IEC 27008 - Auditoria nos controles de um SGSI - O foco são nos controles para implementação da ISO 27001.

  21. Normas ISO/IEC da série 27000 de Segurança da Informação • ISO/IEC 27010 - Gestão de Segurança da Informação para Comunicações Inter Empresariais- Foco nas melhores formas de comunicar, acompanhar, monitorar grandes incidentes e fazer com que isso seja feito de forma transparente entre empresas particulares e governamentais. • ISO/IEC 27011:2008 - Gestão de Segurança da Informação para empresa de Telecomunicações baseada na ISO 27002 - Entende-se que toda parte de telecomunicação é vital e essencial para que um SGSI atinja seus objetivos plenos(claro que com outras áreas), para tanto era necessário normatizar os processos e procedimentos desta área objetivando a segurança da informação corporativa de uma maneira geral. A maneira como isso foi feito, foi tendo como base os controles e indicações da ISO 27002.

More Related