Prévia do material em texto
Clique para editar o estilo do subtítulo mestre 1 NBR ISO/IEC 27001:2006 Sistema de Gestão de Segurança da Informação 2 SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO Versão 20100719-V001 © Copyright 2010, by Stefanini Training Treinamento em Informática Ltda. Todos os direitos reservados e protegidos pela Lei Federal n° 9.609 de 19.02.1998. Nenhuma parte deste material didático e de seu conteúdo poderá ser adaptada, alterada, armazenada, cedida, distribuída, divulgada, editada, publicada, reproduzida, suprimida, traduzida, transmitida ou vendida, direta ou indiretamente, sem a autorização prévia e expressa da STEFANINI TRAINING®, por quaisquer meios de disposição de domínio – eletrônicos, fonográficos, gravação, mecânicos ou quaisquer outros existentes ou que venham a ser inventados – sob pena de sanções administrativas, cíveis e criminais aplicáveis nos termos da legislação vigente. As informações aqui contidas estão sujeitas a alterações sem aviso prévio. DIREITOS DE PROPRIEDADE 3 BOAS VINDAS Desejamos a todos uma ótima estada e um excelente curso. Que os conhecimentos compartilhados sirvam de base para alavancar e garantir o seu sucesso pessoal e profissional. Sejam bem-vindos ! Equipe Stefanini 4 APRESENTAÇÕES ROBERVAL FRANÇA Graduado em Direito e Administração. Pós-Graduado em Administração de Programas e Projetos (especialização, latu sensu). Certificações Internacionais: COBIT Foundation & IT Governance pela ISACA/USA; ITIL Master, ISO20K Consultant e TTT in ITSM@ISO20K pelo EXIN/NDL; TTT in ITSM pela TAOS/AUS. Experiência sólida como Gerente de Portfólio de Programas e Projetos (PPPM) de Pesquisa, Desenvolvimento e Inovação (PD&I) e de Gestão de Tecnologia da Informação (ITSM) com base nas melhores práticas mundialmente reconhecidas, com destaque para: Arquitetura Corporativa (baseada nos modelos TOGAF e FEA), Gestão Estratégica (baseada no BSC), Inteligência Corporativa (baseada nos modelos Bill Inmon e Ralph Kimball), Gerenciamento de Serviços de TI (baseada nos modelos ITIL e ISO/IEC 20000), Sistema de Gerenciamento da Segurança da Informação (baseado na ISO/IEC 27001), Gestão de Portfólio de Programas e Projetos (baseada nos padrões do PMI), Gestão de Processos de Negócio (baseada no BPM), Governança de Tecnologia da Informação (baseada nos modelos COBIT e ISO/IEC 38500), Modelo de Capacidade e Maturidade de Processos Integrados (baseado no CMMI). Professor de Pós-Graduação (MBA, Mestrado e Doutorado) de renomadas Instituições de Ensino, nas disciplinas: “Escritório de Gerenciamento Processos e de Projetos”; “Gerenciamento de Custos e Gerenciamento de Valor Agregado”; “Gerenciamento de Aquisições”, “Gerenciamento do Portfólio de Programas e Projetos”, “Planejamento Estratégico e Processo Decisório”; “Sarbanes Oxley for IT”. 5 APRESENTAÇÕES ROBERVAL FRANÇA Palestras Proferidas: “Sistema de Gestão de Segurança da Informação (SGSI)” na IOB Thompson (Brasil/São Paulo, 2006); “Gerenciamento de Projetos no contexto do Governo” no PMI/Brasil-SPO (Brasil/São Paulo, 2007); “ITIL v3: O desafio de estar entre os primeiros no mundo” no itSMF/Brasil (Brasil/São Paulo, 2008) e no IV Fórum Executivo de TI (Colônia/Uruguai, 2009); “ITSM no Governo: uma nova estratégia” no EXIN/Brasil (Brasil/São Paulo, 2009); “Gestão de TI e Pensamento Estratégico Contemporâneo” na PRODAM/SP (Brasil/São Paulo, 2009); “Governança de TI: Desenvolvimento retenção de talentos” no GRC Internacional (Brasil/São Paulo, 2010). Membro de Comunidades de Melhores Práticas: ABNT/CE-21 (Comissão de Estudos de Operações de Tecnologia da Informação) e ABNT/CEE-63 (Comissão Especial de Estudos de Gestão de Riscos); itSMF Brasil (Information Technology Service Management Forum Brasil); PMI/Brasil-SPO (Project Management Institute/Brasil - São Paulo Chapter); grupo de tradução do guia “COBIT 4.1” (Control Objectives for Information and Related Technology version 4.0) para a ISACA International (Information Systems Audit and Control Association); grupo de tradução das normas “NBR ISO/IEC 20000:2005-1” e “NBR ISO/IEC 20000:2005-2” para a ABNT (Associação Brasileira de Normas Técnicas/CE-21:007.25); grupo de revisão da versão oficial para a língua portuguesa da “ITIL V3 (Lifecycle Publication Suite of Information Technology Infrastructure Library version 3.0) para o itSMF International (Information Technology Service Management Forum). 6 APRESENTAÇÕES Nome, idade, formação acadêmica e profissional Organização, cargo e setor em que trabalha Qual a sua experiência em segurança da informação O que espera aprender no curso 7 OBJETIVOS DO CURSO Este curso é dirigido aos profissionais que querem conhecer os requisitos da norma NBR ISO/IEC 27001:2006 e adquirir os conhecimentos necessários para implantar e manter um sistema de gestão de segurança da informação adequado e eficaz, conforme os requisitos desta norma. Ao final do curso o aluno será capaz de: ENTENDER a organização da ISO CONHECER a evolução das normas de Gestão de Segurança da Informação IDENTIFICAR as normas da série ISO/IEC 27000 COMPREENDER os princípios, requisitos e controles da norma NBR ISO/IEC 27001:2006 ENTENDER o processo de certificação do Sistema de Segurança da Informação 8 CONTEÚDO DO CURSO Visão Geral da Organização ISO Visão Geral da norma NBR ISO/IEC 27001:2006 Conceitos: informação, segurança da informação, ativos, confidencialidade, integridade, disponibilidade, vulnerabilidades, ameaças, impactos, probabilidade, riscos de segurança, processos de avaliação e tratamento do risco, sistema de gestão, sistema de gestão de segurança da informação Interpretação da NBR ISO/IEC 27001:2006 cláusulas: 0, 1, 2, 3 cláusulas: 4, 4.1, 4.2, 4.2.1, 4.2.2 cláusulas: 4.2.3, 4.2.4, 4.3, 4.3.1, 4.3.2, 4.3.3 cláusulas: 5, 6, 7 e 8 Interpretação do Anexo A - objetivos de controle e controles detalhados controles: A5 ao A9 controles: A10 ao A12 controles: A13 ao A15 Processo de certificação do sistema de gestão de segurança da informação 9 ORIENTAÇÕES GERAIS Por favor, desliguem os celulares Sejam pontuais, respeitem os horários Usem o notebook somente nas oficinas de trabalho Em caso de problemas procurem a coordenação X 10 AULA 01 Visão Geral da ISO/IEC 27001 11 Organização não-governamental fundada em 1946, com sede em Genebra, na Suíça, tem a missão de desenvolver e editar normas internacionais. Congrega uma rede de institutos de normalização de 163 países que fazem uma ponte entre os setores público e privado na busca do consenso em soluções que atendam às necessidades dos negócios e da sociedade. Muitos dos institutos membros fazem parte da estrutura governamental de seus países ou exercem mandados pelos respectivos governos. Outros têm suas raízes no setor privado e foram criados por associações da indústria. O Brasil é representado pela ABNT - Associação Brasileira de Normas Técnicas. INTERNATIONAL ORGANIZATION FOR STANDARDIZATION 12 NÍVEIS DE NORMALIZAÇÃO Internacion al ISO, IEC, ITU Regional AMN, COPANT, CEN, CENELEC Nacional INTN, ABNT, AFNOR, DIN Empresa COSIPA, IBM, MIROSOFT PETROBRAS M en os E xi ge nt e (g en ér ic a) M ai s Ex ig en te (e sp ec ífi ca ) 13 HISTÓRIA DA ISO/IEC 27001 Código de Práticas - 1993 Norma Britânica - 1995 BS 7799 Parte 2 - 1998 BS 7799 Parte 1 e Parte 2 - 1999 (revisadas, par consistente) BS ISO/IEC 17799 (BS 7799-1:2000) BS ISO/IEC 17799:2005 NBR ISO/IEC 17799:2005 - set/2005 ISO/IEC 27001:2005 NBR ISO/IEC 27001:2006 - abr/2006 Não existem praticamente diferenças entre a ISO/IEC 27001 e a BS 7799-2 14 ISO/IEC 27000:2009 Information technology - Security techniques - Information security management systems - Overview and vocabulary 1ª Edição | Publicada em 30.04.2009 ISO/IEC 27001:2005 Information technology - Security techniques - Information security management systems - Requirements1ª Edição | Publicada em 14.10.2005 ISO/IEC 27002:2005 Information technology - Security techniques - Code of practice for information security management 1ª Edição | Publicada em 15.06.2005 ISO/IEC 27003:2010 Information technology - Security techniques - Information security management system implementation guidance 1ª Edição | Publicada em 03.02.2010 ISO/IEC 27004:2009 Information technology - Security techniques - Information security management - Measurement 1ª Edição | Publicada em 07.12.2009 NORMAS DA SÉRIE ISO/IEC 27000 15 NORMAS DA SÉRIE ISO/IEC 27000 ISO/IEC 27005:2008 Information technology - Security techniques - Information security risk management 1ª Edição | Publicada em 04.06.2008 ISO/IEC 27006:2007 Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems 1ª Edição | Publicada em 13.02.2007 ISO/IEC 27011:2008 Information technology - Security techniques - Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 1ª Edição | Publicada em 15.12.2008 ISO 27799:2008 Health informatics - Information security management in health using ISO/IEC 27002 1ª Edição | Publicada em 12.06.2008 16 NORMAS DA SÉRIE ISO/IEC 27000 Normas em Desenvolvimento ISO/IEC NP 27001 Information technology - Security techniques - Information security management systems - Requirements 2ª Edição | Data do estágio corrente: 19.05.2009 ISO/IEC WD 27013 Information technology - Security techniques - Guidance on the integrated implementation of ISO/IEC 20000-1 and ISO/IEC 27001 1ª Edição | Data do estágio corrente: 28.05.2010 17 A ISO 27001 É ... � Um modelo estruturado e reconhecido internacionalmente, dedicada ao gerenciamento da segurança da informação � Um processo para estabelecer, implementar, operar, monitorar, analisar, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI) � Um grupo completo de controles contendo as melhores práticas para gerenciar os riscos de segurança da informação no contexto dos riscos da organização � Desenvolvida por empresas e para empresas Não é ... � Uma norma técnica � Dirigida para produtos ou tecnologia � Uma metodologia de avaliação de equipamento 18 RAZÕES PARA SE ADOTAR A ISO 27001 � Governança Corporativa � Melhoria da eficácia da Segurança da Informação � Diferencial de mercado � Atender os requisitos das partes interessadas e dos clientes � Única norma com aceitação global � Redução potencial no valor do seguro � Focada nas responsabilidades dos funcionários � A norma cobre TI bem como a organização, pessoal e instalações � Conformidade legal 19 DIFICULDADES PARA IMPLEMENTAÇÃO DE UM SGSI � Dificuldade na definição do escopo � Dificuldade para desenvolver uma abordagem sistemática simples e clara para a Gestão de Risco � Mesmo existindo Planos de Continuidade de Negócio, raramente eles são testados � Designação da área de TI como responsável por desenvolver o projeto � Falta de visão e “mente aberta” ao estabelecer os controles identificados na norma � Falta de ação para identificar e usar controles fora da norma � Limitação de orçamento 20 BENEFÍCIOS DA CERTIFICAÇÃO ISO 27001 � Reduz o risco de responsabilidade pela não implementação ou determinação de políticas e procedimentos � Oportunidade de identificar e corrigir pontos fracos � A alta direção assume a responsabilidade pela segurança da informação � Permite revisão independente do Sistema de Gestão da Segurança da Informação � Oferece confiança aos parceiros comerciais, partes interessadas e clientes � Melhor nível de conscientização sobre segurança da informação � Combina recursos com outros Sistemas de Gestão � Mecanismo para se medir o sucesso do sistema 21 CERTIFICADOS ISO 27001 POR PAÍS http://www.iso27001certificates.com/Register%20Search.htm Japan 3572 Philippines 15 Peru 3 India 490 Pakistan 14 Portugal 3 UK 448 Iceland 13 Argentina 2 Taiwan 373 Saudi Arabia 13 Belgium 2 China 373 Netherlands 12 Bosnia Herzegovina 2 Germany 138 Singapore 12 Cyprus 2 Korea 106 Indonesia 11 Isle of Man 2 USA 96 Bulgaria 10 Kazakhstan 2 Czech Republic 85 Norway 10 Morocco 2 Hungary 71 Russian Federation 10 Ukraine 2 Italy 61 Kuwait 9 Armenia 1 Poland 56 Sweden 9 Bangladesh 1 Spain 43 Colombia 8 Belarus 1 Malaysia 39 Iran 8 Denmark 1 22 CERTIFICADOS ISO 27001 POR PAÍS http://www.iso27001certificates.com/Register%20Search.htm Ireland 37 Bahrain 7 Dominican Republic 1 Austria 35 Switzerland 7 Kyrgyzstan 1 Thailand 34 Croatia 6 Lebanon 1 Hong Kong 32 Canada 5 Luxembourg 1 Romania 30 South Africa 5 Macedonia 1 Australia 29 Sri Lanka 5 Mauritius 1 Greece 28 Vietnam 5 Moldova 1 Mexico 24 Lithuania 4 New Zealand 1 Brazil 23 Oman 4 Sudan 1 Turkey 21 Qatar 4 Uruguay 1 UAE 20 Chile 3 Yemen 1 Slovakia 19 Egypt 3 France 18 Gibraltar 3 Slovenia 16 Macau 3 Total 6573 23 CERTIFICADOS ISO 27001 POR PAÍS http://www.iso27001certificates.com/Register%20Search.htm Ireland 37 Bahrain 7 Dominican Republic 1 Austria 35 Switzerland 7 Kyrgyzstan 1 Thailand 34 Croatia 6 Lebanon 1 Hong Kong 32 Canada 5 Luxembourg 1 Romania 30 South Africa 5 Macedonia 1 Australia 29 Sri Lanka 5 Mauritius 1 Greece 28 Vietnam 5 Moldova 1 Mexico 24 Lithuania 4 New Zealand 1 Brazil 23 Oman 4 Sudan 1 Turkey 21 Qatar 4 Uruguay 1 UAE 20 Chile 3 Yemen 1 Slovakia 19 Egypt 3 France 18 Gibraltar 3 Slovenia 16 Macau 3 Total 6573 24 AtivosAtivosAtivosAtivos Qualquer coisa que tenha valor para a organização [ISO/IEC 13335-1:2004] Algo a que a organização atribui valor e considera relevante para o escopo do Sistema de Gestão de Segurança da Informação. Por exemplo: � Informação eletrônica � Documentos em papel � Software, hardware � Instalações � Pessoas � Imagem e reputação da companhia � Serviços [ISO/IEC 27001:2005] 25 AtivosAtivosAtivosAtivos Os ‘ativos’ não incluirão necessariamente tudo que normalmente uma organização considera que tem um valor. A organização deve determinar qual é o valor de um ativo no caso de um incidente: � Afeta a entrega de um produto ou serviço pela sua ausência ou deterioração; � Causa dano à organização através de perda de disponibilidade, integridade ou confidencialidade [ISO/IEC 27001:2005] 26 InformaçãoInformaçãoInformaçãoInformação “Informação é um ativo que, como qualquer outro ativo importante para os negócios, tem valor para a organização e consequentemente necessita ser adequadamente protegida” 27 Ativos Intangíveis da Organização Registro de fatos objetivos relacionados a eventos Dados dotados de relevância e propósito Informação interpretada e útil para a tomada de decisão Conhecimento que gera capacidades pessoais e coletivas SVEIBY, Karl E. A nova riqueza das organizações: gerenciando patrimônios de conhecimento. Rio de Janeiro: Campus, 1998. 28 Tipos de Informação Tipos de Informação Tipos de Informação Tipos de Informação � Impressa ou escrita em papel � Armazenada eletronicamente � Transmitida pelo correio ou por meios eletrônicos � Mostrada em vídeos � Verbal - falada em conversações “…Não importa a forma que a informação toma ou os meios pelos quais ela é compartilhada ou armazenada, ela deve sempre ser apropriadamente protegida.” 29 Fontes de Informação Fontes de Informação Fontes de Informação Fontes de Informação Internas a companhia - informação que você não gostaria que a concorrência soubesse Clientes e fornecedores - informação que eles não gostariam que você divulgasse Parceiros - informação que necessita ser compartilhada com outros parceiros comerciais 30 A informação pode ser:A informação pode ser:A informação pode ser:A informação pode ser: � Alterada � Armazenada � Cedida � Corrompida � Criada � Destruída � Distribuída � Divulgada � Editada � Perdida � Publicada� Processada � Reproduzida � Suprimida � Transmitida � Vendida 31 Segurança da InformaçãoSegurança da InformaçãoSegurança da InformaçãoSegurança da Informação Preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas [ABNT NBR ISO/IEC 27001:2005] 32 VulnerabilidadeVulnerabilidadeVulnerabilidadeVulnerabilidade Fraqueza associada aos ativos da organização. Vulnerabilidade = ponto fraco Por exemplo: Pessoas � Qualificação inadequada � Insuficiência de profissionais Instalação � Falta de monitoramento � Proteção física inadequada � Energia elétrica instável Banco de dados � Falta de backup � Armazenamento inadequado 33 AmeaçaAmeaçaAmeaçaAmeaça Prenúncio ou indício de um evento danoso ou prejudicial. Ameaça = ocorrência, fato Por exemplo: Pessoas � Erros e acidentes � Roubo de informações Instalação � Incêndio ou inundação � Invasão e sabotagem Banco de dados � Acesso remoto não autorizado � Corrupção da base de dados 34 Ameaças à InformaçãoAmeaças à InformaçãoAmeaças à InformaçãoAmeaças à Informação � Funcionários descontentes ou desmotivados � Baixa conscientização de segurança � Processamento distribuído � Aumento das ferramentas de “hacking” e vírus � E-mail � Inexistência de planos de recuperação � Desastres naturais ou não… (ex. incêndio, inundação, terremoto, terrorismo) � Falta de políticas e procedimentos implementados 35 ProbabilidadeProbabilidadeProbabilidadeProbabilidade Possibilidade real ou potencial de uma ameaça explorar uma vulnerabilidade. Probabilidade = possibilidade, chance Por exemplo: Fontes de Ameaças, Invasões e Ataques � Funcionários (24%) � Hackers (20 � Vírus (15%) � Spam (10%) � Fraudes (8%) [10ª Pesq. Nac. Seg. Inf., 2007] 36 Conceitos Conceitos Conceitos Conceitos - Impacto Impacto Impacto Impacto Dano ou prejuízo causado pela ocorrência da ameaça. Por exemplo: Prejuízos Financeiros � Perda de clientes e contratos � Danos à imagem � Perda de produtividade � Aumento no custo para conter, reparar e recuperar desastres � Aumento no custo de seguros � Penalidades e multas 37 Conceitos Conceitos Conceitos Conceitos - Requisitos da Informação Requisitos da Informação Requisitos da Informação Requisitos da Informação Confidencialidade: assegurar que a informação é acessível somente às pessoas autorizadas Integridade: proteger a exatidão e a completeza da informação e dos métodos de processamento. Disponibilidade: assegurar que os usuários autorizados tenham acesso à informação e ativos associados quando necessário. 38 Evento de Segurança da InformaçãoEvento de Segurança da InformaçãoEvento de Segurança da InformaçãoEvento de Segurança da Informação Uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação. [ISO/IEC TR 18044:2004] 39 Incidente de Segurança da Incidente de Segurança da Incidente de Segurança da Incidente de Segurança da InformaçãoInformaçãoInformaçãoInformação Um simples evento ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. [ISO/IEC TR 18044:2004] 40 Riscos de SegurançaRiscos de SegurançaRiscos de SegurançaRiscos de Segurança Potencial em que uma ameaça irá explorar vulnerabilidades para causar perda ou dano a um ativo ou grupo de ativos. Risco = Probabilidade x Impacto Tipos de Riscos � Internos ou Externos � Gerenciais ou Técnicos � Operacionais ou de Procedimentos � Pessoas ou Equipamentos � etc. 41 Gestão de RiscosGestão de RiscosGestão de RiscosGestão de Riscos Atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos. Inclui: � Identificação de riscos � Análise de riscos � Avaliação de riscos � Aceitação de riscos � Tratamento de riscos � Comunicação de riscos � Monitoração e revisão [ABNT ISO/IEC Guia 73:2005] 42 Gestão de RiscosGestão de RiscosGestão de RiscosGestão de Riscos Análise de Riscos Uso sistemático de informações para identificar fontes e estimar o risco [ABNT ISO/IEC Guia 73:2005] Avaliação de Riscos Processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco [ABNT ISO/IEC Guia 73:2005] 43 Tratamento do RiscoTratamento do RiscoTratamento do RiscoTratamento do Risco Processo de seleção e implementação de medidas (controles) para modificar um risco [ABNT ISO/IEC Guia 73:2005] Tipos de Respostas a Riscos � Detectar eventos indesejados � Evitar o risco � Transferir o risco (p. ex. seguro) � Reduzir: � Vulnerabilidades � Ameaças � Impactos � Aceitar o risco (residual) � Reagir e recuperar 44 ControlesControlesControlesControles Medidas adotadas para modificar um risco. Estão baseados nos resultados e conclusões do processo de avaliação de risco e tratamento de risco, requisitos legais ou regulatórios, obrigações contratuais e os requisitos de negócio da organização. [ISO/IEC 27001:2005] 45 Tipos de ControlesTipos de ControlesTipos de ControlesTipos de Controles PREVENTIVO : executado no início do processo. Previne erros ou irregularidades e minimiza os riscos na fonte. Controle pró- ativo (Maior eficácia) DETECTIVO : executado ao longo do processo. Detecta erros difíceis de definir ou prever (Controle reativo) AUTOMATIZADO : executado por sistemas automatizados, não depende de julgamentos pessoais. Para garantir consistência, precisão e tempestividade, é preciso ter um sistema seguro e confiável (Maior eficácia) MANUAL : executado por pessoas de forma manual. 46 Aplicação de ControlesAplicação de ControlesAplicação de ControlesAplicação de Controles Processo de aplicação de controles: � Identificar os riscos � Identificar os controles existentes � Verificar se o risco residual é aceitável � Avaliar a necessidade de novos controles As normas ISO 27001 e ISO 27002 especificam 133 controles que podem ser implementados, mas a organização não está limitada a esse rol e pode aplicar outros controles identificados. 47 Exemplos de ControlesExemplos de ControlesExemplos de ControlesExemplos de Controles Exemplos de controles: A.11.5 Controle de Acesso ao sistema operacional � Procedimentos de entrada no sistema (log on) � Identificação e autenticação de usuário � Sistema de gerenciamento de senha � Uso de utilitários de sistema � Desconexão de terminal por inatividade � Limitação de horário de conexão 48 Avaliação de Risco e ControlesAvaliação de Risco e ControlesAvaliação de Risco e ControlesAvaliação de Risco e Controles 49 Avaliação e Tratamento do RiscoAvaliação e Tratamento do RiscoAvaliação e Tratamento do RiscoAvaliação e Tratamento do Risco Cláusula 4.2.1 da ISO/IEC 27001:2005: Uma avaliação de risco deve ser realizada para identificar ameaças aos ativos. Avaliação de risco � Identificação e valorização dos ativos � Identificação das vulnerabilidades � Identificação das ameaças � Avaliação de impactos � Análise e avaliação dos riscos � Priorização dos riscos Tratamento de risco � Definição do grau de garantia � Revisão de controles existentes � Identificação de novos controles � Implementação dos novos controles � Aceitação do risco residual 50 O que é um Sistema de Gestão... 51 Sistema de GestãoSistema de GestãoSistema de GestãoSistema de Gestão Sistema que rege, governa ou gere os negócios de uma organização. Um sistema de gestão inclui: � Estrutura organizacional � Políticas � Atividades de planejamento � Responsabilidades �Práticas � Procedimentos � Processos � Recursos [ISO/IEC 27001:2005] Sistema de Gestão da Petrobras 52 Sistema de GestãoSistema de GestãoSistema de GestãoSistema de Gestão Sistema que rege, governa ou gere os negócios de uma organização. Um sistema de gestão inclui: � Estrutura organizacional � Políticas � Atividades de planejamento � Responsabilidades � Práticas � Procedimentos � Processos � Recursos [ISO/IEC 27001:2005] Modelo de Excelência em Gestão FNQ - Fundação Nacional da Qualidade 53 Elementos de um Sistema de GestãoElementos de um Sistema de GestãoElementos de um Sistema de GestãoElementos de um Sistema de Gestão � Política (demonstração de compromisso e princípios para ação) � Planejamento (identificação das necessidades, recursos, estrutura e responsabilidades) � Implementação e operação (construção da consciência organizacional e treinamento) � Avaliação de Desempenho (monitoramento e medição, auditoria e tratamento de não- conformidades) � Melhoria (ação preventiva e corretiva, melhoria contínua) � Análise Crítica pela Direção 54 Normas de Sistemas de GestãoNormas de Sistemas de GestãoNormas de Sistemas de GestãoNormas de Sistemas de Gestão � ISO 9001 - Qualidade � ISO/IEC 20000 - Gestão de TI � ISO/IEC 27001 - Segurança da Informação � ISO 14001 - Ambiental � ISO 22001 - Alimentos � OHSAS 18001 - Segurança e Saúde Ocupacional � SAE AS 9100 - Aerospacial � TL 9000 - Telecomunicações � TS 16949 - Automotiva 55 Sistema de Gestão de Segurança da Sistema de Gestão de Segurança da Sistema de Gestão de Segurança da Sistema de Gestão de Segurança da InformaçãoInformaçãoInformaçãoInformação SGSI Parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação. [ISO/IEC 27001:2005] Projeto e Implementação Influenciados pelas necessidades e objetivos dos negócios, resultando em requisitos de segurança, processos definidos e estrutura da organização. O SGSI e os sistemas de apoio mudam com o tempo. 56 Fatores Críticos do SucessoFatores Críticos do SucessoFatores Críticos do SucessoFatores Críticos do Sucesso � Comprometimento e apoio visível de todos os níveis da direção � Provisão de recursos para as atividades de gerenciamento da segurança da informação � Divulgação, conscientização, educação e treinamento adequados � Política de segurança da informação, objetivos e atividades que refletindo os objetivos do negócio � Bom entendimento dos requisitos de segurança da informação, avaliação de risco e gerenciamento de risco � Implementação, manutenção, monitoramento, e melhoria da segurança da informação consistente com a cultura organizacional � Estabelecer um processo eficaz de gestão de incidentes de segurança da informação � Implementação de um sistema de medição que seja usado para avaliar o desempenho da gestão da segurança da informação e obtenção de sugestões para a melhoria 57 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 0, 1, 2, 3 - Índice 0 - Introdução 1 - Objetivo 2 - Referência normativa 3 - Termos e definições 4 - Sistema de gestão de segurança da informação 5 - Responsabilidade da direção 6 - Auditorias internas do SGSI 7 - Análise crítica do SGSI pela direção 8 - Melhoria do SGSI Anexo A - Objetivos de controle e controles Anexo B - Princípios da OECD e desta norma Anexo C - Correspondência com a NBR ISO 9001:2000 e 14001:2004 58 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 0, 1, 2, 3 - 0 Introdução / 0.1 Geral � A norma ISO 27001 foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação - SGSI. � A adoção de um SGSI deve ser uma decisão estratégica para uma organização. � O sistema a ser implementado deve depender dos objetivos, requisitos de segurança, processos empregados e estrutura da organização. � É esperado que o SGSI e os sistemas de apoio mudem com o tempo. � É esperado que a implementação de um SGSI seja escalada conforme as necessidades da organização, por exemplo, uma situação simples requer uma solução simples. � A norma ISO 27001 pode ser utilizada para avaliar a conformidade pelas partes interessadas internas e externas. 59 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 0, 1, 2, 3 - 0.2 Abordagem de processo 60 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 0, 1, 2, 3 - 0.2 Abordagem de processo 61 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 0, 1, 2, 3 - 0.2 Abordagem de processo Planejar Estabelecer objetivos e processos Resultados p/ Clientes e Organização Fazer Implementar os processos Verificar Monitorar / Medir Processos e produtos (requisitos produtos) Agir Agir para melhorar continuamente o desempenho dos processos 62 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 0, 1, 2, 3 - 0.2 Abordagem de processo / Fase “Planejar” � Definir o escopo do SGSI � Definir uma política para o SGSI � Definir objetivos e metas � Identificar os riscos � Avaliar os riscos � Selecionar objetivos de controle e controles � Preparar uma Declaração de Aplicabilidade 63 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 0, 1, 2, 3 - 0.2 Abordagem de processo / Fase “Fazer” � Formular um Plano de Tratamento de Risco � Implementar o Plano de Tratamento de Risco � Implementar os controles selecionados para atingir os objetivos de controle 64 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 0, 1, 2, 3 - 0.2 Abordagem de processo / Fase “Verificar” � Executar monitoramento dos processos � Conduzir auditorias internas do SGSI em intervalos planejados � Realizar análises críticas regulares da eficácia do SGSI � Analisar criticamente os níveis de risco residual e riscos aceitáveis 65 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 0, 1, 2, 3 - 0.2 Abordagem de processo / Fase “Agir” � Implementar as melhorias identificadas � Tomar ações corretivas e preventivas apropriadas � Comunicar os resultados e ações � Garantir que as melhorias atendem aos objetivos pretendidos 66 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 0, 1, 2, 3 - 0.3 Compatibilidade com outros sistema de gestão � ISO 9001 - Gestão da Qualidade � ISO 14001 - Gestão do Meio Ambiente � ISO 20000 - Gestão de TI � OSHAS 18001 - Gestão de Saúde e Segurança do Trabalhador Obs.: Possível adaptação a sistemas já existentes na organização 67 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 0, 1, 2, 3 - 1 Objetivo / 1.1 Geral A norma ISO 27001:� Cobre todos os tipos de organizações. � Especifica requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto dos riscos de negócios globais da organização. � Especifica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes. O SGSI é projetado para assegurar a seleção de controles de segurança adequados e proporcionados para proteger os ativos de informação e propiciar confiança às partes interessadas. 68 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 0, 1, 2, 3 - 1.2 Aplicação Requisitos Genéricos Exclusões (itens não atendidos pela organização): � Requisitos especificados nas seções 4, 5, 6, 7 e 8 não podem ser excluídos � Quaisquer exclusões de controles (Anexo A) precisam ser justificadas para serem aceitas e não podem comprometer a capacidade da organização de atender requisitos de segurança da informação determinados pela análise /avaliação de riscos e por requisitos legais e regulamentares aplicáveis. A ISO 27001 é aplicável a quaisquer organizações Qualquer Tipo Qualquer Tamanho Qualquer Produto / Serviço 69 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 0, 1, 2, 3 - Declaração de Aplicabilidade Declaração documentada que descreve os objetivos de controle e controles que são pertinentes e aplicáveis ao SGSI da organização 70 Conclusões IniciaisConclusões IniciaisConclusões IniciaisConclusões Iniciais � A segurança da informação se materializa através de um conjunto adequado de controles, incluindo políticas, procedimentos, estrutura organizacional e funções de hardware e software � Cada organização estabelece suas exigências e requisitos de controle para os níveis requeridos de confidencialidade, integridade e disponibilidade. � Nem todos os controles e orientações estabelecidas são aplicáveis às organizações interessadas Clique para editar o estilo do subtítulo mestre 71 AULA 02 Interpretação da ISO/IEC 27001 Clique para editar o estilo do subtítulo mestre 72 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 0, 1, 2, 3 - 2 Referência Normativa NBR ISO/IEC 27001:2006 - Tecnologia da informação - Sistema de gerenciamento de segurança da informação - Requerimentos Clique para editar o estilo do subtítulo mestre 73 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 0, 1, 2, 3 - 3 - Termos e definições � Ativo - qualquer coisa que tenha valor para a organização � Disponibilidade - propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada. � Confidencialidade - propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados. � Segurança da informação - preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidos. � Evento de segurança da informação - uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação Clique para editar o estilo do subtítulo mestre 74 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 0, 1, 2, 3 - 3 - Termos e definições � Incidente de segurança da informação - um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. � Sistema de segurança da informação – SGSI - a parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação. � Integridade – propriedade de salvaguarda da exatidão e completeza de ativos. � Risco residual - risco remanescente após o tratamento de riscos. � Aceitação do risco - decisão de aceitar um risco. � Análise de riscos - uso sistemático de informações para identificar fontes e estimar o risco. Clique para editar o estilo do subtítulo mestre 75 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 0, 1, 2, 3 - 3 - Termos e definições � Análise/avaliação de riscos - processo completo de análise e avaliação de riscos. � Avaliação de riscos - processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco � Gestão de riscos - atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos � Tratamento de risco - processo de seleção e implementação de medidas para modificar um risco. � Declaração de aplicabilidade - declaração documentada que descreve os objetivos de controle e controles que são pertinentes e aplicáveis ao SGSI da organização. Clique para editar o estilo do subtítulo mestre 76 Estrutura da NBR ISO/IEC 27001:2006Estrutura da NBR ISO/IEC 27001:2006Estrutura da NBR ISO/IEC 27001:2006Estrutura da NBR ISO/IEC 27001:2006 Clique para editar o estilo do subtítulo mestre 77 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 4, 4.1, 4.2, 4.2.1, 4.2.2 - 4 Sistema de gestão de segurança da informação 4.1 Requisitos gerais A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negócios globais da organização e os riscos que ela enfrenta. O Sistema deve ser documentado e: Estabeleci do Implementa do Operad o Mantid o Melhorad o O sistema é composto por processos que se relacionam Clique para editar o estilo do subtítulo mestre 78 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 4, 4.1, 4.2, 4.2.1, 4.2.2 - 4 Sistema de gestão de segurança da informação 4.1 Requisitos gerais Para os efeitos desta norma, o processo usado está baseado no modelo PDCA. Clique para editar o estilo do subtítulo mestre 79 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 4, 4.1, 4.2, 4.2.1, 4.2.2 - 4.2 Estabelecendo e Gerenciando SGSI 4.2.1 Estabelecer o SGSI A organização deve: a) Definir o escopo e os limites do SGSI nos termos das características do negócio, da organização, sua localização, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer exclusões do escopo (ver 1.2). Exemplo de Escopo: O Sistema de Gestão se aplica a: ESCOPO DE FORNECIMENTO PRESTAÇÃO DE SERVIÇOS DE DATA CENTER (HOUSING E HOSTING), SERVIÇOS DE PROCESSAMENTO MULTI-CANAL DE TRANSAÇÕES ELETRÔNICAS E DESENVOLVIMENTO DE SOFTWARE. Declaração de Aplicabilidade Statement of Applicability Versão 1.0 29 Maio 2010 Clique para editar o estilo do subtítulo mestre 80 Interpretação da NBR ISO/IEC27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 4, 4.1, 4.2, 4.2.1, 4.2.2 - 4.2 Estabelecendo e Gerenciando SGSI 4.2.1 Estabelecer o SGSI A organização deve: b) Definir uma política do SGSI nos termos das características do negócio, da organização, sua localização, ativos e tecnologia que: 1) inclua uma estrutura para definir objetivos e estabeleça um direcionamento global e princípios para ações relacionadas com a segurança da informação; 2) considere requisitos de negócio, legais e/ou regulamentares, e obrigações de segurança contratuais; 3) esteja alinhada com o contexto estratégico de gestão de riscos da organização no qual o estabelecimento e manutenção do SGSI irão ocorrer; 4) estabeleça critérios em relação aos quais os riscos serão avaliados; e 5) tenha sido aprovada pela direção. Clique para editar o estilo do subtítulo mestre 81 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 4, 4.1, 4.2, 4.2.1, 4.2.2 - 4.2 Estabelecendo e Gerenciando SGSI 4.2.1 Estabelecer o SGSI Exemplo de Política Nossos serviços e projetos são bens de importância fundamental para a empresa. A continuidade do nosso negócio depende da qualidade, confidencialidade, integridade e disponibilidade destes. Os gestores do projeto são responsáveis em proteger estes ativos contra uso não autorizado, recebimento, processamento, armazenamento e transmissão das informações. Todos os funcionários, prestadores de serviço e consultores devem entender suas obrigações para proteger estas informações e implementar os procedimentos de segurança. Todos os incidentes de segurança devem ser comunicados para área de segurança para serem tomadas as devidas ações corretivas. Este política é valida a partir de 20.08.2006. Clique para editar o estilo do subtítulo mestre 82 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 4, 4.1, 4.2, 4.2.1, 4.2.2 - 4.2 Estabelecendo e Gerenciando SGSI 4.2.1 Estabelecer o SGSI A organização deve: c) Definir a abordagem de análise/avaliação de riscos da organização. 1) Identificar uma metodologia de análise / avaliação de riscos que seja adequada ao SGSI e aos requisitos legais, regulamentares e de segurança da informação, identificados para o negócio. 2) Desenvolver critérios para a aceitação de riscos e identificar os níveis aceitáveis de risco. A metodologia de análise/avaliação de riscos selecionada deve assegurar que as análises/avaliações de risco produzam resultados comparáveis e reproduzíveis. Várias metodologias de gerenciamento de riscos podem ser aplicadas. A organização deve definir o modelo de referência (framework ) e o processo mais adequados à natureza do seu negócio e às suas necessidades. Clique para editar o estilo do subtítulo mestre 83 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 4, 4.1, 4.2, 4.2.1, 4.2.2 - 4.2 Estabelecendo e Gerenciando SGSI 4.2.1 Estabelecer o SGSI A organização deve: d) Identificar os riscos. 1) Identificar os ativos dentro do escopo do SGSI e os proprietários destes ativos. 2) Identificar as ameaças a esses ativos. 3) Identificar as vulnerabilidades que podem ser exploradas pelas ameaças. 4) Identificar os impactos que as perdas de confidencialidade, integridade e disponibilidade podem causar aos ativos. Exemplo: Ativo Ameaça Vulnerabilidade Impacto • Servidor utilizado para armazenar sites de clientes • Vírus • Antivírus desatualizado • Sites de clientes fora do ar Clique para editar o estilo do subtítulo mestre 84 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 4, 4.1, 4.2, 4.2.1, 4.2.2 - 4.2 Estabelecendo e Gerenciando SGSI 4.2.1 Estabelecer o SGSI A organização deve: e) Analisar e avaliar os riscos. 1) Avaliar os impactos para o negócio da organização que podem resultar de falhas de segurança, levando em consideração as conseqüências de uma perda de confidencialidade, integridade ou disponibilidade dos ativos. 2) Avaliar a probabilidade real da ocorrência de falhas de segurança à luz de ameaças e vulnerabilidades prevalecentes, e impactos associados a estes ativos e os controles atualmente implementados. 3) Estimar os níveis de riscos. 4) Determinar se os riscos são aceitáveis ou se requerem tratamento utilizando os critérios para aceitação estabelecidos. Clique para editar o estilo do subtítulo mestre 85 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 4, 4.1, 4.2, 4.2.1, 4.2.2 - 4.2 Estabelecendo e Gerenciando SGSI 4.2.1 Estabelecer o SGSI A organização deve: e) Analisar e avaliar os riscos. 1) Avaliar os impactos para o negócio da organização que podem resultar de falhas de segurança, levando em consideração as conseqüências de uma perda de confidencialidade, integridade ou disponibilidade dos ativos. 2) Avaliar a probabilidade real da ocorrência de falhas de segurança à luz de ameaças e vulnerabilidades prevalecentes, e impactos associados a estes ativos e os controles atualmente implementados. 3) Estimar os níveis de riscos. 4) Determinar se os riscos são aceitáveis ou se requerem tratamento utilizando os critérios para aceitação estabelecidos. Clique para editar o estilo do subtítulo mestre 86 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 4, 4.1, 4.2, 4.2.1, 4.2.2 - 4.2 Estabelecendo e Gerenciando SGSI 4.2.1 Estabelecer o SGSI A organização deve: e) Analisar e avaliar os riscos. Exemplo: Ativo Ameaça Vulnerabilidade Impacto • Servidor utilizado para armazenar sites de clientes • Vírus • Antivírus desatualizado • Sites de clientes fora do ar Avaliação do impacto Probabilidade de ocorrência Risco Nível de risco aceitável • desgaste de imagem, perda de clientes e multas contratuais • 2% de chance • 1 (de 0 a 5), controle implantado (atualização de antivírus) • 1 a 3 Clique para editar o estilo do subtítulo mestre 87 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 4, 4.1, 4.2, 4.2.1, 4.2.2 - 4.2 Estabelecendo e Gerenciando SGSI 4.2.1 Estabelecer o SGSI A organização deve: f) Identificar e avaliar as opções para o tratamento de riscos. 1) aplicar os controles apropriados; 2) aceitar os riscos consciente e objetivamente, desde que satisfaçam claramente às políticas da organização e aos critérios de aceitação de riscos (ver 4.2.1c)2)); 3) evitar riscos; e 4) transferir os riscos associados ao negócio a outras partes, por exemplo, seguradoras e fornecedores. Clique para editar o estilo do subtítulo mestre 88 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 4, 4.1, 4.2, 4.2.1, 4.2.2 - 4.2 Estabelecendo e Gerenciando SGSI 4.2.1 Estabelecer o SGSI A organização deve: g) Selecionar objetivos de controle e controles para o tratamento de risco. ��Objetivos de controle e controles devem ser selecionados e implementados para atender aos requisitos identificados pela análise / avaliação de riscos e pelo processo de tratamento de riscos. Esta seleção deve considerar os critérios para aceitação de riscos como também os requisitos legais, regulamentarese contratuais. ��Os objetivos de controle e controles do anexo A devem ser selecionados como parte deste processo, como adequados para cobrir os requisitos identificados. ��Os objetivos de controle e controles listados no anexo A não são exaustivos, e objetivos de controle e controles adicionais podem também ser selecionados. Exemplo: Anexo A, Item A.11.3 Responsabilidades dos Usuários �� Uso de senhas �� Política de mesa limpa e tela limpa Clique para editar o estilo do subtítulo mestre 89 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 4, 4.1, 4.2, 4.2.1, 4.2.2 - 4.2 Estabelecendo e Gerenciando SGSI 4.2.1 Estabelecer o SGSI A organização deve: h) Obter aprovação da direção dos riscos residuais propostos. i) Obter autorização da direção para implementar e operar o SGSI. Não há sistema a prova de falhas. Independente dos controles implantados sempre haverá riscos residuais. Ações deliberadas ou acidentais podem ultrapassar o nível de proteção fornecido pelo SGSI. Clique para editar o estilo do subtítulo mestre 90 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 4, 4.1, 4.2, 4.2.1, 4.2.2 - 4.2 Estabelecendo e Gerenciando SGSI 4.2.1 Estabelecer o SGSI A organização deve: j) Preparar a Declaração de Aplicabilidade, que deve incluir o seguinte: 1) Os objetivos de controle e controles selecionados e as razões para sua seleção; 2) Os objetivos de controle e os controles atualmente implementados; 3) A exclusão de quaisquer objetivos de controle e controles do anexo A e as justificativas para sua exclusão. A Declaração de Aplicabilidade provê um resumo das decisões relativas ao tratamento de riscos. A justificativa das exclusões provê uma checagem Cruzada e garante que nenhum controle foi omitido inadvertidamente. A ISO/IEC 27001:2005 contém 39 objetivos de controle e 133 controles. Clique para editar o estilo do subtítulo mestre 91 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 4, 4.1, 4.2, 4.2.1, 4.2.2 - 4.2 Estabelecendo e Gerenciando SGSI 4.2.2 Implementar e Operar o SGSI A organização deve: a) Formular um plano de tratamento de riscos que identifique a ação de gestão apropriada, recursos, responsabilidades e prioridades para a gestão dos riscos de segurança. b) Implementar o plano de tratamento de riscos para alcançar os objetivos e controles identificados, que inclua considerações de financiamento e atribuições de papéis e responsabilidades. c) Implementar os controles selecionados para atender aos objetivos de controle. d) Definir como medir a eficácia dos controles ou grupos de controles selecionados, e especificar como estas medidas devem ser usadas para avaliar a eficácia dos controles de modo a produzir resultados comparáveis e reproduzíveis. Clique para editar o estilo do subtítulo mestre 92 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 4, 4.1, 4.2, 4.2.1, 4.2.2 - 4.2 Estabelecendo e Gerenciando SGSI 4.2.2 Implementar e Operar o SGSI O que é um plano? R: documento que diz o que será feito, porque, como, quando, por quem e onde. Conhecido pelo acrônimo em inglês como 5W1H. � What - O que � Who - Quem � When - Quando � Where - Onde � Why - Porque � How - Como Clique para editar o estilo do subtítulo mestre 93 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 4, 4.1, 4.2, 4.2.1, 4.2.2 - 4.2 Estabelecendo e Gerenciando SGSI 4.2.2 Implementar e Operar o SGSI e) Implementar programas de conscientização e treinamento; A organização deve assegurar que todo pessoal que tem responsabilidades atribuídas definidas no SGSI seja competente para desempenhar as tarefas requeridas. g) Gerenciar as operações do SGSI; É importante que haja um profissional que seja responsável pelo sistema. i) Gerenciar os recursos para o SGSI; Sempre que houver necessidade de recursos humanos e materiais a direção deve ser informada e deve analisar as disponibilidades financeiras para decidir onde prover os recursos necessários. k) Implementar procedimentos e controles capazes de permitir a pronta detecção de eventos e resposta a incidentes de segurança da informação. Uma sistemática de documentação e tratamento dos incidentes identificados com ações imediatas para sanar o incidente e ações corretivas, quando aplicável para evitar a recorrência destes incidentes deve ser implementada. Clique para editar o estilo do subtítulo mestre 94 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 4.2.3, 4.2.4, 4.3, 4.3.1, 4.3.2, 4.3.3 - 4.2 Estabelecendo e Gerenciando SGSI 4.2.3 Monitorar e Revisar o SGSI A organização deve: a) Executar procedimentos de monitoração, análise crítica e outros controles para: 1) Prontamente detectar erros nos resultados de processamentos; 2) Prontamente identificar tentativas e violações de segurança bem sucedidas, e incidentes de segurança da informação; 3) Permitir à direção determinar se as atividades de segurança da informação delegadas a pessoas ou implementadas por meio de tecnologias de informação são executadas conforme esperado; 4) Ajudar a detectar eventos de segurança da informação e assim prevenir incidentes de segurança da informação pelo uso de indicadores; e 5) Determinar se as ações tomadas para solucionar uma violação de segurança da informação foram eficazes. Clique para editar o estilo do subtítulo mestre 95 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 4.2.3, 4.2.4, 4.3, 4.3.1, 4.3.2, 4.3.3 - 4.2 Estabelecendo e Gerenciando SGSI 4.2.3 Monitorar e Revisar o SGSI A organização deve: b) Realizar análises críticas regulares da eficácia do SGSI (incluindo o atendimento da política e dos objetivos do SGSI, e a análise crítica de controles de segurança), levando em consideração os resultados de auditorias de segurança da informação, incidentes, resultados da eficácia das medições, sugestões e realimentação de todas as partes interessadas. Clique para editar o estilo do subtítulo mestre 96 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 4.2.3, 4.2.4, 4.3, 4.3.1, 4.3.2, 4.3.3 - 4.2 Estabelecendo e Gerenciando SGSI 4.2.3 Monitorar e Revisar o SGSI Exemplo de análise de dados utilizando o Diagrama de Pareto: • Durante a realização do produto ou do serviço as não conformidades são identificadas por tipo e por período num Diagrama de Pareto. Clique para editar o estilo do subtítulo mestre 97 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 4.2.3, 4.2.4, 4.3, 4.3.1, 4.3.2, 4.3.3 - 4.2 Estabelecendo e Gerenciando SGSI 4.2.3 Monitorar e Revisar o SGSI Exemplo de análise de dados utilizando o Diagrama de Pareto: • O Diagrama de Pareto fornece uma representação visual do impacto de cada problema, ajuda a pesquisar as possíveis causas de “não conformidades” e definir ações para eliminá-las, evitando sua repetição. Clique para editar o estilo do subtítulo mestre 98 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação daNBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 4.2.3, 4.2.4, 4.3, 4.3.1, 4.3.2, 4.3.3 - 4.2 Estabelecendo e Gerenciando SGSI 4.2.3 Monitorar e Revisar o SGSI A organização deve: c) Medir a eficácia dos controles para verificar se os requisitos de SI estão sendo atingidos. d) Revisar as análises/avaliações de risco a intervalos planejados e analisar os riscos residuais e os níveis de risco aceitáveis identificados, levando em consideração mudanças relativas a: 1) Organização; 2) Tecnologias; 3) Objetivos e processos do negócio; 4) Ameaças identificadas; 5) Eficácia dos controles implementados; 6) Eventos externos, tais como mudanças nos ambientes legais ou regulamentares, alterações das obrigações contratuais e mudanças na conjuntura social. Sempre que uma mudança ocorre poderemos ter alteração dos ativos, das ameaças, das vulnerabilidades e portanto dos riscos. Clique para editar o estilo do subtítulo mestre 99 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 4.2.3, 4.2.4, 4.3, 4.3.1, 4.3.2, 4.3.3 - 4.2 Estabelecendo e Gerenciando SGSI 4.2.3 Monitorar e Revisar o SGSI A organização deve: e) Conduzir auditorias internas a intervalos planejados Existem auditorias de primeira parte – internas, de segunda parte – realizadas pelos clientes na organização ou pela organização em seus fornecedores e de terceira parte – realizadas por organismos independentes como por exemplo uma certificadora. g) Realizar análises críticas do SGSI pela direção em períodos regulares para assegurar que o escopo permanece adequado e que são identificadas melhorias nos processos do SGSI. Essas análises críticas são reuniões com a direção onde diversos temas são discutidos sobre o desempenho do sistema de gestão e a ISO 27001 especifica os temas mínimos a serem discutidos e que como saída deve haver um plano de ação definido. Clique para editar o estilo do subtítulo mestre 100 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 4.2.3, 4.2.4, 4.3, 4.3.1, 4.3.2, 4.3.3 - 4.2 Estabelecendo e Gerenciando SGSI 4.2.3 Monitorar e Revisar o SGSI A organização deve: g) Atualizar planos de segurança da informação para levar em consideração os resultados das atividades de monitoramento e análise crítica. j) Registrar ações e eventos que poderiam ter impacto no desempenho ou na eficácia do SGSI. Clique para editar o estilo do subtítulo mestre 101 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 4.2.3, 4.2.4, 4.3, 4.3.1, 4.3.2, 4.3.3 - 4.2 Estabelecendo e Gerenciando SGSI 4.2.4 Manter e Melhorar o SGSI A organização deve regularmente: a) Implementar as melhorias identificadas para o SGSI. b) Realizar ações corretivas e preventivas apropriadas e aplicar lições aprendidas com a experiência da própria organização ou de outras. c) Comunicar as ações e melhorias para as partes interessadas com um nível de detalhe apropriado às circunstâncias e, se relevante, obter a concordância sobre como proceder. d) Garantir que as melhorias atingem os objetivos determinados Clique para editar o estilo do subtítulo mestre 102 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 4.2.3, 4.2.4, 4.3, 4.3.1, 4.3.2, 4.3.3 - 4.3 Requisitos da Documentação 4.3.1 Geral � A documentação deve incluir registros de decisões da direção, assegurar que as ações sejam rastreáveis às políticas e decisões da direção, e assegurar que os resultados registrados sejam reproduzíveis. As reuniões de análise crítica do sistema devem ser documentadas e o monitoramento deve ser registrado. � É importante que se possa demonstrar a relação dos controles selecionados com os resultados da análise/avaliação de riscos e do processo de tratamento de riscos, e conseqüentemente com a política e objetivos do SGSI. Quando elaboramos a matriz de riscos já podemos indicar os controles e procedimentos relacionados, isto facilita a demonstração dos controles selecionados com os resultados da análise/avaliação de riscos e do processo de tratamento de riscos. Clique para editar o estilo do subtítulo mestre 103 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 4.2.3, 4.2.4, 4.3, 4.3.1, 4.3.2, 4.3.3 - Extensão da Documentação do SGSI A abrangência e detalhes depende de: � Tamanho e tipo da empresa � Complexidade de serviços, produtos e processos � Requisitos de clientes e regulamentares � Códigos e normas da Industria � Educação, experiência e treinamento � Estabilidade da força de trabalho � Problemas de segurança no passado A documentação pode variar devido ao tamanho e atividades, da organização escopo e complexidade dos requisitos de segurança e do sistema. Clique para editar o estilo do subtítulo mestre 104 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 4.2.3, 4.2.4, 4.3, 4.3.1, 4.3.2, 4.3.3 - 4.3 Requisitos da Documentação 4.3.1 Geral A documentação deve incluir: a) Declarações documentadas de políticas e objetivos do SGSI; b) Escopo do SGSI; c) Procedimentos e controles que do SGSI; d) Descrição da metodologia de análise/avaliação de riscos; e) Relatório de análise/avaliação de riscos; f) Plano de tratamento de riscos; g) Procedimentos documentados requeridos pela organização para assegurar o planejamento efetivo, a operação e o controle de seus processos de segurança de informação e para descrever como medir a eficácia dos controles; h) Registros requeridos por esta Norma; i) Declaração de Aplicabilidade. Clique para editar o estilo do subtítulo mestre 105 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 4.2.3, 4.2.4, 4.3, 4.3.1, 4.3.2, 4.3.3 - 4.3 Requisitos da Documentação 4.3.2 Controle de documentos Os documentos requeridos pelo SGSI devem ser protegidos e controlados. Um procedimento documentado deve ser estabelecido para definir as ações de gestão necessárias para: a) aprovar documentos para adequação antes de sua emissão; b) analisar criticamente, atualizar e, quando necessário, reaprovar documentos; c) assegurar que as alterações e a situação da revisão atual dos documentos sejam identificadas; d) assegurar que as versões pertinentes de documentos aplicáveis estejam disponíveis nos locais de uso; e) assegurar que os documentos permaneçam legíveis e prontamente identificáveis; Clique para editar o estilo do subtítulo mestre 106 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 4.2.3, 4.2.4, 4.3, 4.3.1, 4.3.2, 4.3.3 - 4.3 Requisitos da Documentação 4.3.2 Controle de documentos Os documentos requeridos pelo SGSI devem ser protegidos e controlados. Um procedimento documentado deve ser estabelecido para definir as ações de gestão necessárias para: f) assegurar que os documentos estejam disponíveis àqueles que deles precisam e sejam transferidos, armazenados e finalmente descartados conforme os procedimentos aplicáveis à sua classificação; g) assegurar que documentos de origem externa sejam identificados; h) assegurar que a distribuição de documentos seja controlada; i) prevenir o uso não intencional de documentos obsoletos; j) aplicar identificaçãoadequada nos casos em que sejam retidos para qualquer propósito. Clique para editar o estilo do subtítulo mestre 107 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 4.2.3, 4.2.4, 4.3, 4.3.1, 4.3.2, 4.3.3 - 4.3 Requisitos da Documentação 4.3.3 Controle de registros � Registros devem ser estabelecidos e mantidos para prover evidência da conformidade aos requisitos e da operação eficaz do SGSI, � Devem ser considerados quaisquer registros referentes a requisitos legais ou obrigações contratuais, � Registros devem ser legíveis e prontamente identificáveis e recuperáveis, � Controles devem ser definidos, documentados e implementados para: identificação, armazenamento, proteção, recuperação, tempo de retenção e disposição � Registros devem manter informações sobre o desempenho dos processos e de ocorrências significativas relacionadas ao SGSI Exemplo de registros: livros de visitantes, relatórios de auditoria, formulários de autorização de acesso, etc. Clique para editar o estilo do subtítulo mestre 108 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 4.2.3, 4.2.4, 4.3, 4.3.1, 4.3.2, 4.3.3 - Documentação do SGSI Clique para editar o estilo do subtítulo mestre 109 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 5, 6, 7 e 8 - 5 Responsabilidade da Direção 5.1 Comprometimento da Direção A Direção deve fornecer evidência de seu comprometimento com o estabelecimento, implementação, operação, monitoramento, análise crítica e melhoria do SGSI, mediante: a) Estabelecimento da política do SGSI; b) Garantia de que são estabelecidos os planos e objetivos do SGSI; c) Estabelecimento de papéis e responsabilidades pela segurança de informação; d) Comunicação à organização da importância em atender aos objetivos de segurança da informação e a conformidade com a política de segurança de informação, suas responsabilidades perante a lei e a necessidade para melhoria contínua; Clique para editar o estilo do subtítulo mestre 110 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 5, 6, 7 e 8 - 5 Responsabilidade da Direção 5.1 Comprometimento da Direção A Direção deve fornecer evidência de seu comprometimento com o estabelecimento, implementação, operação, monitoramento, análise crítica e melhoria do SGSI, mediante: e) Provisão de recursos suficientes para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar o SGSI; f) Definição de critérios para aceitação de riscos e dos níveis de riscos aceitáveis; g) Garantia de que as auditorias internas do SGSI sejam realizadas; h) Condução de análises críticas do SGSI pela direção. Clique para editar o estilo do subtítulo mestre 111 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 5, 6, 7 e 8 - 5 Responsabilidade da Direção 5.1 Comprometimento da Direção “Envolvimento é a participação formal nas atividades, iniciativas e projetos por força de relações de trabalho do indivíduo com a organização” Hidalberto Chiavenato Clique para editar o estilo do subtítulo mestre 112 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 5, 6, 7 e 8 - 5 Responsabilidade da Direção 5.1 Comprometimento da Direção “Comprometimento é a disposição do indivíduo de alocar todos os recursos, colocar todo o seu potencial e empenhar todos os esforços necessários em prol dos objetivos da organização” Hidalberto Chiavenato Clique para editar o estilo do subtítulo mestre 113 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 5, 6, 7 e 8 - 5 Responsabilidade da Direção 5.2.1 Provisão de Recursos A organização deve determinar e prover os recursos necessários para: a) Estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI; b) Assegurar que os procedimentos de segurança da informação apoiam os requisitos de negócio; c) Identificar e tratar os requisitos legais e regulamentares e obrigações contratuais de segurança da informação; d) Manter a segurança da informação adequada pela aplicação correta de todos os controles implementados; e) Realizar análises críticas, quando necessário, e reagir adequadamente aos resultados destas análises críticas; e f) Onde requerido, melhorar a eficácia do SGSI. Clique para editar o estilo do subtítulo mestre 114 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 5, 6, 7 e 8 - 5 Responsabilidade da Direção 5.2.2 Treinamento, Conscientização e Competência A organização deve assegurar que todo o pessoal que tem responsabilidades atribuídas definidas no SGSI seja competente para desempenhar as tarefas: a) Determinando as competências necessárias para o pessoal que executa trabalhos que afetam o SGSI; b) Fornecendo treinamento ou executando outras ações (por exemplo, contratar pessoal competente) para satisfazer essas necessidades; c) Avaliando a eficácia das ações executadas; e d) Mantendo registros de educação, treinamento, habilidades, experiências e qualificações. A organização deve também assegurar que todo o pessoal pertinente esteja consciente da relevância e importância das suas atividades de segurança da informação e como eles contribuem para o alcance dos objetivos do SGSI. Clique para editar o estilo do subtítulo mestre 115 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 5, 6, 7 e 8 - 5 Responsabilidade da Direção 5.2.2 Treinamento, Conscientização e Competência A organização deve assegurar que todo o pessoal que tem responsabilidades atribuídas definidas no SGSI seja competente para desempenhar as tarefas: a) Determinando as competências necessárias para o pessoal que executa trabalhos que afetam o SGSI; b) Fornecendo treinamento ou executando outras ações (por exemplo, contratar pessoal competente) para satisfazer essas necessidades; c) Avaliando a eficácia das ações executadas; e d) Mantendo registros de educação, treinamento, habilidades, experiências e qualificações. Garantir a conscientização dos colaboradores internos e externos sobre a relevância e importância das atividades de segurança da informação e como eles podem contribuir para o alcance dos objetivos do SGSI. Clique para editar o estilo do subtítulo mestre 116 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 5, 6, 7 e 8 - 5 Responsabilidade da Direção 5.2.2 Treinamento, Conscientização e Competência COMPETÊNCIA “Conjunto de Conhecimentos, Habilidades e Atitudes que habilitam uma pessoa a desempenhar suas funções”. Conhecimentos Competência Teórica Habilidades Competência Técnica Atitudes Competência Comportamental RABAGLIO, Maria O. Gestão por Competências: ferramentas para atração e captação de talentos humanos. QualityMark, 2010. Clique para editar o estilo do subtítulo mestre 117 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretaçãoda NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 5, 6, 7 e 8 - 6 Auditorias Internas do SGSI A Direção deve conduzir auditorias internas em intervalos planejados para determinar se os objetivos de controle e controles, processos e procedimentos do SGSI: a) atendem aos requisitos desta Norma e à legislação ou regulamentações pertinentes; b) atendem aos requisitos de segurança da informação identificados; c) estão mantidos e implementados eficazmente; e d) são executados conforme esperado. Clique para editar o estilo do subtítulo mestre 118 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 5, 6, 7 e 8 - 6 Auditorias Internas do SGSI � Deve ser elaborado um programa de auditoria levando em consideração a importância dos processos e resultados anteriores; � Devem ser definidos: critérios de auditoria, escopo, freqüência, e métodos; � Auditores não devem auditar seu próprio trabalho; � Um procedimento deve ser documentado; � Auditados são responsáveis por eliminar não conformidades e suas causas; � As ações de acompanhamento devem incluir a verificação das ações executadas e o relato dos resultados destas verificações; � A norma ISO 19011 orienta a realização de auditorias e a qualificação de auditores. Clique para editar o estilo do subtítulo mestre 119 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 5, 6, 7 e 8 - 7 Análise Crítica do SGSI 7.1 Geral � A Direção deve analisar o SGSI em intervalos planejados (pelo menos 1 vez ao ano) para garantir sua apropriada continuidade, adequação e eficácia. � A análise crítica deve incluir a avaliação de oportunidades de melhoria e a necessidade do SGSI, incluindo a política e objetivos de segurança da informação. � Os resultados dessas análises críticas devem ser claramente documentados e os registros devem ser mantidos. Clique para editar o estilo do subtítulo mestre 120 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 5, 6, 7 e 8 - 7 Análise Crítica do SGSI 7.2 Entradas para a análise crítica As entradas para a análise crítica pela direção devem incluir: a) resultados de auditorias do SGSI e análises críticas; b) realimentação das partes interessadas; c) técnicas, produtos ou procedimentos que podem ser usados na organização para melhorar o desempenho e a eficácia do SGSI ; d) situação das ações preventivas e corretivas; e) vulnerabilidades ou ameaças não contempladas adequadamente nas análises/avaliações de risco anteriores; f) resultados da eficácia das medições ; g) acompanhamento das ações oriundas de análises críticas anteriores pela direção; h) quaisquer mudanças que possam afetar o SGSI; e i) recomendações para melhoria. Clique para editar o estilo do subtítulo mestre 121 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 5, 6, 7 e 8 - 7 Análise Crítica do SGSI 7.3 Saídas da análise crítica As saídas da análise crítica pela direção devem incluir quaisquer decisões e ações relacionadas a: a) Melhoria da eficácia do SGSI. b) Atualização da análise/avaliação de riscos e do plano de tratamento de riscos. c) Modificação de procedimentos e controles que afetem a segurança da informação, quando necessário, para responder a eventos internos ou externos que possam impactar no SGSI; d) Necessidade de recursos. e) Melhoria de como a eficácia dos controles está sendo medida. Clique para editar o estilo do subtítulo mestre 122 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 5, 6, 7 e 8 - 7 Análise Crítica do SGSI 7.3 Saídas da análise crítica As saídas da análise crítica pela direção devem incluir quaisquer decisões e ações relacionadas a: c) Modificação de procedimentos e controles que afetem a segurança da informação, quando necessário, para responder a eventos internos ou externos que possam impactar no SGSI, incluindo mudanças de: 1) requisitos de negócio; 2) requisitos de segurança da informação; 3) processos de negócio que afetem os requisitos de negócio existentes; 4) requisitos legais ou regulamentares; 5) obrigações contratuais; e 6) níveis de riscos e/ou critérios de aceitação de riscos. Clique para editar o estilo do subtítulo mestre 123 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 5, 6, 7 e 8 - 8 Melhoria do SGSI 8.1 Melhoria contínua A organização deve melhorar a eficácia do SGSI continuamente por meio do uso de (a,o): � Política de segurança da informação � Objetivos de segurança da informação � Resultados de auditorias � Análises de eventos monitorados � Ações corretivas e preventivas � Análise crítica pela direção Clique para editar o estilo do subtítulo mestre 124 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 5, 6, 7 e 8 - 8 Melhoria do SGSI 8.2 Ação corretiva A organização deve executar ações para eliminar as causas de não- conformidades com os requisitos do SGSI, de forma a evitar a sua repetição. O procedimento documentado para ação corretiva deve definir requisitos para: a) identificar não-conformidades; b) determinar as causas de não-conformidades; c) avaliar a necessidade de ações para assegurar que aquelas não- conformidades não ocorram novamente; d) determinar e implementar as ações corretivas necessárias; e) registrar os resultados das ações executadas; f) analisar criticamente as ações corretivas executadas. Clique para editar o estilo do subtítulo mestre 125 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 5, 6, 7 e 8 - 8 Melhoria do SGSI 8.3 Ação preventiva A organização deve determinar ações para eliminar causas de não-conformidades com os requisitos do SGSI, de forma a evitar a sua ocorrência. As ações preventivas tomadas devem ser apropriadas aos impactos dos potenciais problemas. O procedimento documentado de ação preventiva deve definir requisitos para: a) identificar não-conformidades potenciais e suas causas; b) avaliar a necessidade de ações para evitar a ocorrência de não-conformidades; c) determinar e implementar as ações preventivas necessárias; d) registrar os resultados de ações executadas (ver 4.3.3); e e) analisar criticamente as ações preventivas executadas. Clique para editar o estilo do subtítulo mestre 126 Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006Interpretação da NBR ISO/IEC 27001:2006 - Cláusulas 5, 6, 7 e 8 - 8 Melhoria do SGSI 8.3 Ação preventiva A organização deve identificar mudanças nos riscos e identificar requisitos de ações preventivas focando a atenção nos riscos significativamente alterados. A prioridade de ações preventivas deve ser determinada com base nos resultados da análise/avaliação de riscos. Clique para editar o estilo do subtítulo mestre 127 AULA 03 Interpretação do Anexo A (Objetivos e Controles) Clique para editar o estilo do subtítulo mestre 128 ABNT NBR ISO/IEC 20000:2008 Gerenciamento de Serviços de Tecnologia da Informação 129 GERENCIAMENTO DE SERVIÇOS DE TECNOLOGIA DA INFORMAÇÃO Versão 20100722-V001 © Copyright 2010, by Stefanini Training Treinamento