Baixe o app para aproveitar ainda mais
Prévia do material em texto
Gestão da Segurança da Informação Mairum Ceoldo Andrade Aula 10 Conteúdo • Segurança da Informação Segundo a NBR ISO/IEC 27001 e 27002 – Introdução à ABNT NBR ISO/IEC 27000 –Normas ABNT NBR ISO/IEC 27001 –Normas ABNT NBR ISO/IEC 27002 – ITIL 2 Normas de Segurança da Informação • 27000 – Descrição e Vocabulário – proporciona terminologia e correspondência entre as normas 27000. • 27001 – Requisitos SGSI – proporciona os fundamentos de um SGSI • 27002 – Código de práticas – proporciona as melhores praticas de controle para implantação do SGSI. • 27003 – Guia para implantação – proporciona diretrizes detalhadas para a implantação de um SGSI 3 Normas de Segurança da Informação • 27004 – Proporciona a metodologia para a mediação da efetividade do SGSI (27001) e dos controles (27002) • 27005 - Gestão de riscos – proporciona uma metodologia para uso do SGSI (27001) • 27006 - Requisitos para Acreditação – proporciona os requisitos para acreditação de organismos de certificação e de auditores para fins de certificação de SGSI (27001) • 27007 – Orientações para Gestão de Auditoria de Sistemas de Segurança da Informação. • 27008 – Orientações para Auditores de Sistema de Segurança da Informação. 4 Normas ABNT NBR ISO/IEC 27001 • A ABNT NBR ISO/IEC 27001 tem como objetivo especificar requisitos para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação (SGSI). • Todas as indicações devem ser implantadas. 5 Normas ABNT NBR ISO/IEC 27001 • A adoção de um SGSI deve ser uma decisão estratégica para a organização. • A especificação e implementação do SGSI são influenciadas pela necessidades e objetivos, requisitos de segurança, processos empregados e tamanho e estrutura da organização. • É esperado que este sistema de apoio mudem com o passar do tempo. • É esperado que implementação de um SGSI seja escalada conforme as necessidades da organização, por exemplo, uma situação simples requer uma solução de um SGSI simples. • Esta Norma pode ser usada para avaliar a conformidade pelas partes interessada internas e externas. 6 Normas ABNT NBR ISO/IEC 27001 7 Normas ABNT NBR ISO/IEC 27001 • Norma 27001 contém objetivos de controle que constam na ISO/IEC 27002: 1. políticas de segurança; 2. organização da segurança da informação; 3. gerenciamento de ativos; 4. segurança de recursos humanos; 5. segurança física e de ambientes; 6. gerenciamento de comunicação e operações 7. controle de acesso; 8. aquisição, desenvolvimento e manutenção de sistemas de informação; 9. gerenciamento de incidentes de segurança de informação; 10. gerenciamento de continuidade do negócio; 11. Compliance. 8 Normas ABNT NBR ISO/IEC 27002 • NBR ISO/IEC 27002 – Código de Pratica para a Gestão de Segurança da Informação. • “Estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização”. 9 Normas ABNT NBR ISO/IEC 27002 Política de Segurança da Informação: • deve ser formalizada através de um documento e comunicada a todos de forma clara. Da mesma forma, tal política deve ser revisada periodicamente a fim de se analisar os padrões estabelecidos, se permanecerão ou deverão ser alterados/substituídos/extintos. 10 Normas ABNT NBR ISO/IEC 27002 • Physical and Environmental securit –Physical access to premises and support infrastructure (communications, power, air conditioning etc.) must be monitored and restricted to prevent, detect and minimize the effects of unauthorized and inappropriate access, tampering, vandalism, criminal damage, theft etc. –The list of people authorized to access secure areas must be reviewed and approved periodically (at least once a year) by Administration or Physical Security Department, and cross-checked by their departmental managers. –Photography or video recording is forbidden inside Restricted Areas without prior permission from the designated authority. –Suitable video surveillance cameras must be located at all entrances and exits to the premises and other strategic points such as Restricted Areas, recorded and stored for at least one month, and monitored around the clock by trained personnel. –Access cards permitting time-limited access to general and/or specific areas may be provided to trainees, vendors, consultants, third parties and other personnel who have been identified, authenticated, and authorized to access those areas. –Other than in public areas such as the reception foyer, and private areas such as rest rooms, visitors should be escorted at all times by an employee while on the premises. –The date and time of entry and departure of visitors along with the purpose of visits must berecorded in a registermaintainedandcontrolledbySite Security orReception. –Everyone on site (employees and visitors) must wear and display their valid, issued pass at all times, and must present their pass for inspection on request by a manager, security guard or concerned employee. –Access control systems must themselves be adequately secured against unauthorized/inappropriate access and other compromises. –Fire/evacuation drills must be conducted periodically (at least once a year). –Smoking is forbidden inside the premises other than in designated Smoking Zones. 11 ITIL • Principal metodologia para Governança de TI. • Gestão de serviços de TI. • Garante a Segurança da Informação nos níveis estratégicos, tático e operacional. 12 ITIL • Políticas: indica os objetivos gerais que a organização pretende atingir. • Processos: o que precisa ser feito para os objetivos serem atingidos. • Procedimentos: descreve quem faz o que e quando para que os objetivos sejam atingidos. • Instruções de Trabalho: passo-a-passo para executar ações específicas. 13 Gestão da Segurança da Informação Mairum Ceoldo Andrade Atividade 10 Pergunta 1/2 Analise as seguintes afirmativas sobre gestão de segurança da informação: i.A lei Sarbanes-Oxley visa garantir a transparência na gestão fnanceira das organizações e a credibilidade de suas informações. ii.A norma ISO/IEC 27001 foi elaborada para prover um modelo de sistema de gestão de segurança da informação (SGSI) e também para avaliar a conformidade deste pelas partes interessadas internas e externas. iii.A norma NBR ISO/IEC 27002 sugere métricas e relatórios para um sistema de gestão de segurança da informação (SGSI). Assinale a alternativa VERDADEIRA: a)Apenas as afirmativas I e II estão corretas. b)Apenas as afirmativas II e III estão corretas. c)Apenas as afirmativas I e III estão corretas. d)Todas as afirmativas estão corretas. 15 Pergunta 1/2 Analise as seguintes afirmativas sobre gestão de segurança da informação: i.A lei Sarbanes-Oxley visa garantir a transparência na gestão financeira das organizações e a credibilidade de suas informações. ii.A norma ISO/IEC 27001 foi elaborada para prover um modelo de sistema de gestão de segurança da informação (SGSI) e também para avaliar a conformidade deste pelas partes interessadas internas e externas. iii.A norma NBR ISO/IEC 27002 sugere métricas e relatórios para um sistema de gestão de segurança da informação (SGSI). Assinale a alternativa VERDADEIRA: a)Apenas as afirmativas I e II estão corretas. b)Apenas as afirmativas II e III estão corretas. c)Apenas as afirmativas I e III estão corretas. d)Todas as afirmativas estão corretas. 16 17 Pergunta 2/2 • Qual a relação do ITIL e a segurança computacional?Pergunta 2/2 Qual a relação do ITIL e a segurança • computacional? ITIL é um padrão de governança de TI que – estabelece políticas, processos e procedimentos para garantir a disponibilidade e continuidade de serviço que se relacionam diretamente com a segurança. 18
Compartilhar