A norma NBR ISO_IEC 27002 Código de Prática para a Gestão de Segurança da Informação, que tem como objetivo estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a ge

•

PUC-MINAS

0

eliane moreira dos santos

22/04/2024

E aí, curtiu este material?

Ajude a incentivar outros estudantes a melhorar o conteúdo

Gostou desse material? Compartilhe! 🧡

Concursos

316.006 Materiais compartilhados

Baixe o app para aproveitar ainda mais

Leia os materiais offline, sem usar a internet. Além de vários outros recursos!

Prévia do material em texto

A norma NBR ISO/IEC 27002 – Código de Prática para a Gestão de Segurança da Informação, tem como objetivo:
· estabelecer diretrizes e princípios gerais para:
· iniciar,
· implementar,
· manter e melhorar a gestão de segurança da informação em uma organização.
É uma norma voltada para a gestão de segurança da informação.
A ISO 27002 possui 133 controles e se encontra distribuída em 11 seções, que correspondem a controles de segurança da informação. A numeração dessas seções se inicia no número 5.
SEÇÃO 5 – POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
A organização ou empresa deve criar um documento sobre a política de segurança da informação, que deve conter:
· Os conceitos de segurança da informação,
· O comprometimento da direção com a política,
· Uma estrutura para estabelecer os objetivos de controle e os controles,
· A estrutura de análise, avaliação e gerenciamento de riscos,
· As políticas, princípios, normas e requisitos de conformidade de segurança da informação específicos para a organização.
Essa política também deve ser comunicada a todos, bem como analisada e revisada criticamente, em intervalos regulares ou quando mudanças se fizerem necessárias.
SEÇÃO 6 – ORGANIZANDO A SEGURANÇA DA INFORMAÇÃO
Para implementar a SI em uma organização é necessário que seja estabelecida uma estrutura para gerenciá-la.
Para tal, as atividades de segurança da informação devem ser coordenadas por representantes de diversas partes da organização, com funções e papéis relevantes.
SEÇÃO 7 – GESTÃO DE ATIVOS
Ativo, de acordo com a norma, “é qualquer coisa que tenha valor para a organização”.
Gestão de Ativos significa proteger e manter os ativos da organização.
As informações e os ativos devem ser classificados, conforme o nível de proteção recomendado para cada um deles, e seguir regras documentadas, que definem qual tipo de uso é permitido fazer com esses ativos.
Seção 8 - Segurança em Recursos Humanos:
Assegurar que os funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis, e reduzir o risco de furto, roubo, fraude ou mau uso de recursos;
Seção 9 - Segurança Física e do Ambiente: Prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização;
Seção 10 - Gestão das Operações e Comunicações: Garantir a operação segura e correta dos recursos de processamento da informação;
Seção 11 - Controle de Acesso: Controlar o acesso à informação com base nos requisitos de negócio e segurança da informação;
Seção 12 - Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação: Garantir que a segurança seja parte integrante de sistemas da informação;
Seção 13- Gestão de Incidentes de Segurança da Informação: Assegurar que fragilidades e eventos de segurança da informação associados aos sistemas de informação sejam comunicados, permitindo a tomada de ação em tempo hábil;
Seção 14 - Gestão da Continuidade do Negócio: Não permitirá interrupção das atividades dos negócios e proteger os processos críticos contra efeito de falhas ou desastres significativos e assegurar a sua retomada em tempo hábil;
Seção 15 - Conformidade: Adequar os requisitos de segurança para não permitir a violação de regulamentações ou leis estabelecidas, além de obrigações contratuais.
Entre estas 11 seções da Norma, temos uma que trata exclusivamente de segurança física para proteção da informação - esta seção possui 13 itens de controle para serem aplicados de acordo com a necessidade de cada organização. Elas estão distribuídas da seguinte forma:
1. Segurança física e do ambiente
1.1Áreas seguras
1.1.1 Perímetro de segurança física.
1.1.2 Controles de entrada física.
1.1.3 Segurança em escritórios salas e instalações.
1.1.4 Proteção contra ameaças externas e do meio ambiente.
1.1.5 O trabalho em áreas seguras.
1.1.6 Acesso do público, áreas de entrega e decarregamento.
1.2 Segurança de equipamentos
1.2.1 Instalação e proteção do equipamento.
1.2.2. Utilidades.
1.2.3 Segurança do cabeamento.
1.2.4 Manutenção dos equipamentos.
1.2.5 Segurança de equipamentos fora das dependências da organização.
1.2.6 Reutilização e alienação segura de equipamentos.
1.2.7 Remoção de propriedade.