Aula 10

Prévia do material em texto

Gestão da 
Segurança da 
Informação
Mairum Ceoldo 
Andrade
Aula 10
Conteúdo
• Segurança da Informação Segundo a 
NBR ISO/IEC 27001 e 27002 
– Introdução à ABNT NBR ISO/IEC 27000
–Normas ABNT NBR ISO/IEC 27001
–Normas ABNT NBR ISO/IEC 27002 
– ITIL
2
Normas de Segurança da Informação
• 27000 – Descrição e Vocabulário – proporciona 
terminologia e correspondência entre as normas 
27000.
• 27001 – Requisitos SGSI – proporciona os 
fundamentos de um SGSI
• 27002 – Código de práticas – proporciona as 
melhores praticas de controle para implantação 
do SGSI.
• 27003 – Guia para implantação – proporciona 
diretrizes detalhadas para a implantação de um 
SGSI
3
Normas de Segurança da Informação
• 27004 – Proporciona a metodologia para a 
mediação da efetividade do SGSI (27001) e dos 
controles (27002)
• 27005 - Gestão de riscos – proporciona uma 
metodologia para uso do SGSI (27001)
• 27006 - Requisitos para Acreditação – proporciona 
os requisitos para acreditação de organismos de 
certificação e de auditores para fins de certificação 
de SGSI (27001)
• 27007 – Orientações para Gestão de Auditoria de 
Sistemas de Segurança da Informação.
• 27008 – Orientações para Auditores de Sistema de 
Segurança da Informação.
4
Normas ABNT NBR ISO/IEC 27001
• A ABNT NBR ISO/IEC 27001 tem como 
objetivo especificar requisitos para o 
estabelecimento, implementação, operação, 
monitoração, análise crítica, manutenção e 
melhoria de um Sistema de Gestão de 
Segurança da Informação (SGSI).
• Todas as indicações devem ser 
implantadas.
5
Normas ABNT NBR ISO/IEC 27001
• A adoção de um SGSI deve ser uma decisão 
estratégica para a organização.
• A especificação e implementação do SGSI são 
influenciadas pela necessidades e objetivos, 
requisitos de segurança, processos empregados e 
tamanho e estrutura da organização.
• É esperado que este sistema de apoio mudem com o 
passar do tempo.
• É esperado que implementação de um SGSI seja 
escalada conforme as necessidades da organização, 
por exemplo, uma situação simples requer uma solução 
de um SGSI simples.
• Esta Norma pode ser usada para avaliar a 
conformidade pelas partes interessada internas e 
externas. 6
Normas ABNT NBR ISO/IEC 27001
7
Normas ABNT NBR ISO/IEC 27001
• Norma 27001 contém objetivos de controle que 
constam na ISO/IEC 27002:
1. políticas de segurança;
2. organização da segurança da informação;
3. gerenciamento de ativos;
4. segurança de recursos humanos;
5. segurança física e de ambientes;
6. gerenciamento de comunicação e operações
7. controle de acesso;
8. aquisição, desenvolvimento e manutenção de 
sistemas de informação;
9. gerenciamento de incidentes de segurança de 
informação;
10. gerenciamento de continuidade do negócio;
11. Compliance.
8
Normas ABNT NBR ISO/IEC 27002
• NBR ISO/IEC 27002 – Código de Pratica
para a Gestão de Segurança da 
Informação. 
• “Estabelecer diretrizes e princípios gerais 
para iniciar, implementar, manter e melhorar 
a gestão de segurança da informação em 
uma organização”.
9
Normas ABNT NBR ISO/IEC 27002
Política de Segurança da Informação: •
deve ser formalizada através de um 
documento e comunicada a todos de forma 
clara. Da mesma forma, tal política deve ser 
revisada periodicamente a fim de se 
analisar os padrões estabelecidos, se 
permanecerão ou deverão ser 
alterados/substituídos/extintos. 
10
Normas ABNT NBR ISO/IEC 27002
• Physical and Environmental securit
–Physical access to premises and support infrastructure (communications, power, air
conditioning etc.) must be monitored and restricted to prevent, detect and minimize 
the effects of unauthorized and inappropriate access, tampering, vandalism, criminal 
damage, theft etc.
–The list of people authorized to access secure areas must be reviewed and approved
periodically (at least once a year) by Administration or Physical Security Department, 
and cross-checked by their departmental managers.
–Photography or video recording is forbidden inside Restricted Areas without prior 
permission from the designated authority.
–Suitable video surveillance cameras must be located at all entrances and exits to the
premises and other strategic points such as Restricted Areas, recorded and stored for 
at least one month, and monitored around the clock by trained personnel.
–Access cards permitting time-limited access to general and/or specific areas may be
provided to trainees, vendors, consultants, third parties and other personnel who have
been identified, authenticated, and authorized to access those areas.
–Other than in public areas such as the reception foyer, and private areas such as rest
rooms, visitors should be escorted at all times by an employee while on the premises.
–The date and time of entry and departure of visitors along with the purpose of visits
must berecorded in a registermaintainedandcontrolledbySite Security orReception.
–Everyone on site (employees and visitors) must wear and display their valid, issued
pass at all times, and must present their pass for inspection on request by a manager, 
security guard or concerned employee.
–Access control systems must themselves be adequately secured against
unauthorized/inappropriate access and other compromises.
–Fire/evacuation drills must be conducted periodically (at least once a year).
–Smoking is forbidden inside the premises other than in designated Smoking Zones.
11
ITIL
• Principal metodologia para Governança de TI.
• Gestão de serviços de TI.
• Garante a Segurança da Informação nos níveis 
estratégicos, tático e operacional.
12
ITIL
• Políticas: indica os objetivos gerais que a 
organização pretende atingir.
• Processos: o que precisa ser feito para os 
objetivos serem atingidos.
• Procedimentos: descreve quem faz o que 
e quando para que os objetivos sejam 
atingidos.
• Instruções de Trabalho: passo-a-passo 
para executar ações específicas.
13
Gestão da 
Segurança da 
Informação
Mairum Ceoldo 
Andrade
Atividade 10
Pergunta 1/2
Analise as seguintes afirmativas sobre gestão de 
segurança da informação:
i.A lei Sarbanes-Oxley visa garantir a transparência na gestão 
fnanceira das organizações e a credibilidade de suas informações. 
ii.A norma ISO/IEC 27001 foi elaborada para prover um modelo de 
sistema de gestão de segurança da informação (SGSI) e também 
para avaliar a conformidade deste pelas partes interessadas internas 
e externas. 
iii.A norma NBR ISO/IEC 27002 sugere métricas e relatórios para um 
sistema de gestão de segurança da informação (SGSI).
Assinale a alternativa VERDADEIRA:
a)Apenas as afirmativas I e II estão corretas.
b)Apenas as afirmativas II e III estão corretas.
c)Apenas as afirmativas I e III estão corretas.
d)Todas as afirmativas estão corretas.
15
Pergunta 1/2
Analise as seguintes afirmativas sobre gestão de 
segurança da informação:
i.A lei Sarbanes-Oxley visa garantir a transparência na gestão 
financeira das organizações e a credibilidade de suas informações. 
ii.A norma ISO/IEC 27001 foi elaborada para prover um modelo de 
sistema de gestão de segurança da informação (SGSI) e também 
para avaliar a conformidade deste pelas partes interessadas internas 
e externas. 
iii.A norma NBR ISO/IEC 27002 sugere métricas e relatórios para um 
sistema de gestão de segurança da informação (SGSI).
Assinale a alternativa VERDADEIRA:
a)Apenas as afirmativas I e II estão corretas.
b)Apenas as afirmativas II e III estão corretas.
c)Apenas as afirmativas I e III estão corretas.
d)Todas as afirmativas estão corretas.
16
17
Pergunta 2/2
• Qual a relação do ITIL e a segurança 
computacional?Pergunta 2/2
Qual a relação do ITIL e a segurança •
computacional?
ITIL é um padrão de governança de TI que –
estabelece políticas, processos e 
procedimentos para garantir a 
disponibilidade e continuidade de serviço 
que se relacionam diretamente com a 
segurança.
18