itSMF PT CT163 NP ISO IEC 27001 2013 Paulo Coelho

Prévia do material em texto

Seminário Anual 2013
A NP ISO/IEC 27001:2013 e a certificação de 
Sistemas de Gestão da Segurança de Informação
Sub-título da Apresentação
Data
NP ISO/IEC 27001:2013
Norma Portuguesa de 
Segurança de 
Informação
Paulo Coelho
4 de dezembro de 2013
Secretário
Comissão Técnica 163
Seminário Anual 2013
A NP ISO/IEC 27001:2013 e a certificação de 
Sistemas de Gestão da Segurança de Informação
2
Seminário Anual – 04.12.2013
A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
 Primeira norma portuguesa de segurança de informação
 Primeira norma nacional alinhada com a nova edição da ISO/IEC 27001
3
Seminário Anual – 04.12.2013
A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Porque publicar a ISO/IEC 27001 como NP?
 Promover a implementação da ISO/IEC 27001 em 
Portugal
o Alguns países com uma forte implementação da ISO/IEC 
27001 possuem traduções nacionais (e.g. Japão, Espanha, 
Brasil)
 Disponibilizar uma norma portuguesa que possa ser 
referenciada em iniciativas de conformidade
 Padronizar a terminologia portuguesa de segurança de 
informação
4
Seminário Anual – 04.12.2013
A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Instituições certificadas ISO/IEC 27001 em PT
0
5
10
15
20
25
30
35
40
2006 2007 2008 2009 2010 2011 2012
Fonte: ISO Survey of Management System (2012) 
5
Seminário Anual – 04.12.2013
A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Critérios de tradução
Na tradução foi empregue, sempre que aplicável, os termos 
das seguintes Normas Portuguesas:
NP ISO 31000:2012 - Gestão do risco - Princípios e linhas de 
orientação
NP EN ISO 9001:2008 - Sistema de Gestão da Qualidade
NP 3003-8:2003 - Vocabulário - Parte 8: Segurança
Em caso de dúvida foi consultado:
Glossário da Sociedade da Informação, APDSI
6
Seminário Anual – 04.12.2013
A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Correspondência entre termos
A norma possui um anexo com a correspondência entre os 
termos em inglês e em português
Termo em Inglês Termo em Português Fonte
Authorities Autoridades competentes
Backup Salvaguarda NP 3003-8:2003
Clear desk Secretária limpa
Contractor Prestador de serviço
7
Seminário Anual – 04.12.2013
A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Publicada em 14 de 
Outubro de 2013
Disponível no site 
do IPQ
8
Seminário Anual – 04.12.2013
A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Quais as principais novidades da nova 
edição? 
9
Seminário Anual – 04.12.2013
A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Hhhhh
(NP) ISO/IEC 27001
Cláusulas
• Objetivo e campo de aplicação 
• Contexto da organização
• Liderança
• Planeamento
• Suporte
• Operação
• Avaliação de desempenho
• Melhoria
Controlos
• Novos domínios
• Criptografia
• Segurança de operações
• Segurança de comunicações
• Relações com fornecedores 
• Novos controlos
Alinhamento com a (NP) ISO 31000
Alinhamento com Anexo SL do ISO/IEC 
Directives
Simplificação nos controlos
10
Seminário Anual – 04.12.2013
A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Alteração nas cláusulas
11
Seminário Anual – 04.12.2013
A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Variaveis externas
Ambiente regulamentar
Requisitos de 
segurança
Partes 
interessadas
(e.g. Clientes, 
Reguladores)
Contexto da 
organização
Capacidade de 
atingir objectivos 
de segurança
 Identificar todas as partes interessadas e os seus requisitos de segurança
Analisar os condicionalismos que influenciam a capacidade de protecção 
da organização 
4. Contexto da organização
Variaveis internas
Postura face ao risco
Processos
12
Seminário Anual – 04.12.2013
A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Para delimitar o âmbito do sistema de 
gestão é necessário atender a:
Requisitos das partes interessadas
Características da organização e o 
seu contexto
 Interfaces e dependências entre as 
atividades desempenhadas pela 
organização, e aquelas que são 
desempenhadas por outras 
organizações
Adicionalmente é necessário identificar 
os processos subcontratados
4. Contexto da organização
Organização 
Âmbito SGSI
Entidades Terceiras
13
Seminário Anual – 04.12.2013
A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
5. Liderança
Versão 2005
Papel da gestão de topo
Versão 2013
 Aprovar politíca do SGSI 
 Aprovar riscos residuais
 Authorizar implementar e operar o 
SGSI
 Determinar se as actividades de 
segurança estão a ser realizadas
conforme definido
A gestão de topo deve: 
 demonstrar liderança e 
comprometimento para com o sistema 
de gestão de segurança
 apoiando outras funções de gestão 
relevantes
A gestão de topo passa a ter um maior papel de governança, de criar 
condições para a gestão de segurança
14
Seminário Anual – 04.12.2013
A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
5. Liderança
Política de segurança 
da informação
Política de segurança de informação:
Substitui a “Politica do SGSI”
Deixa de ser necessário incluir o alinhamento 
com a gestão de risco
Objetivos de segurança devem ser compatíveis 
com o propósito de negócio da organização
15
Seminário Anual – 04.12.2013
A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
6.1.2 Avaliação do risco de segurança da 
informação
Versão 2005 Versão 2013
Ativos
Ameaças
Vulnerabilidade
Riscos
Impacto na
Confidencialidade, 
Integridade e 
Disponibilidade
Impacto na
Confidencialidade, 
Integridade e 
Disponibilidade
16
Seminário Anual – 04.12.2013
A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
6.1.2 Avaliação do risco de segurança da 
informação
Fase Alteração
Identificação de riscos Eliminação de referência à ameaças, 
vulnerabilidades e ativos
Basta identificar riscos relacionados com perdas de 
confidencialidade, integridade e disponibilidade
Ownership do risco O asset owner deixa de intervir na gestão do risco. É 
o responsável pelos riscos que aprova o plano de 
tratamento do risco e aceita os riscos residuais
Tratamento do risco Não se enuncia as várias opções de tratamento (e.g. 
mitigação, transferência) 
Selecção de controlos Pode-se usar qualquer referencial, interno ou 
externo, desde que se mapeia os controlos com o 
Anexo A da norma
17
Seminário Anual – 04.12.2013
A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
6.2 Objetivos de segurança da informação e 
planeamento para os alcançar
A organização deve elaborar planos para concretizar os objetivos de 
segurança que definiu
Objetivos de segurança devem ser: 
 Mensuráveis (se exequível)
 Considerar requisitos de segurança e resultados da avaliação do risco
 Serem atualizados (regularmente)
 Possui o seguinte detalhe:
 Planos de acção para concretizar objectivos
Atividades Recursos Responsável Datas Como os resultados serão avaliados
18
Seminário Anual – 04.12.2013
A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestãoda Segurança de Informação
9. Avaliação de desempenho
Avaliação de desempenho
Monitorização, medição, 
análise e avaliação
Auditoria interna Revisão pela gestão
A monitorização deve incluir:
Objecto Recolha Análise
• Processos de segurança
• Controlos de segurança
Métodos e frequência de 
recolha de dados
Frequência e quem analisa 
os dados recolhidos
19
Seminário Anual – 04.12.2013
A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
10. Melhoria
Versão 2005 Versão 2013
Acções
corretivas
Acções
corretivas
Acções
preventivas
Na nova edição, as medidas preventivas são eliminadas, sendo o seu papel 
desempenhado pelas “oportunidades” para melhoria contínua que são 
identificadas aquando do planeamento do sistema de gestão de segurança 
da informação
20
Seminário Anual – 04.12.2013
A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Alteração nos controlos
21
Seminário Anual – 04.12.2013
A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Alterações nos controlos
ISO/IEC 27001:2005
ISO/IEC 27001:2013 14 domínios 
11 domínios
114 controlos
133 controlos
22
Seminário Anual – 04.12.2013
A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
A5. Políticas de segurança da informação
A6. Organização de segurança da informação 
A7. Segurança na gestão de recursos humanos 
A8. Gestão de ativos
A9. Controlo de acesso
A10. Criptografia 
A11. Segurança física e ambiental 
A12. Segurança de operações
A.13 Segurança de comunicações
A14. Aquisição, desenvolvimento e manutenção de 
sistemas
A15. Relações com fornecedores
A16. Gestão de incidentes de segurança da 
informação
A17. Aspetos de segurança da informação na gestão 
da continuidade do negócio
A18. Conformidade
A5. Security policy
A6. Organization of information security
A8. Human resources security
A7. Asset management
A.11 Access control
A.9 Physical and environmental security
A.10 Communications and operations managements
A.10 Communications and operations management
A.12 Information systems acquisition, development and
maintenance
A.13 Information security incident management
A.14 Business continuity management
A.15 Compliance
Versão 2013 Versão 2005
Novos domínios
23
Seminário Anual – 04.12.2013
A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
6.1.5
Segurança da 
informação na gestão 
de projeto
9.2.4 
Utilização da informação 
secreta para 
autenticação
14.2.1 
Política de 
desenvolvimento seguro
14.2.3 
Revisão técnica de 
aplicações após
alterações na 
plataforma de produção
14.2.5 
Princípios de 
engenharia de sistemas 
seguros
14.2.6 
Ambiente de 
desenvolvimento seguro
14.2.7 
Desenvolvimento 
subcontratado
15.1.1 
Política de segurança 
da informação
para as relações com 
fornecedores
15.1.3 
Cadeia de fornecimento 
de tecnologias
de informação e 
comunicação
16.1.5 
Resposta a incidentes 
de segurança da
informação
17.1.2 
Implementação da 
continuidade de
segurança da 
informação
17.2.1 
Disponibilidade dos 
recursos de
processamento da 
informação
Novos controlos
24
Seminário Anual – 04.12.2013
A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Conclusões
A NP ISO/IEC 27001 assegura:
 Maior alinhamento com outras normas de sistemas de gestão 
(e.g. ISO 9001) 
 Maior flexibilidade na gestão do risco
 Uma lista de controlos mais concisa, mais ajustada aos desafios 
atuais
25
Seminário Anual – 04.12.2013
A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação