Baixe o app para aproveitar ainda mais
Prévia do material em texto
Seminário Anual 2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação Sub-título da Apresentação Data NP ISO/IEC 27001:2013 Norma Portuguesa de Segurança de Informação Paulo Coelho 4 de dezembro de 2013 Secretário Comissão Técnica 163 Seminário Anual 2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação 2 Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação Primeira norma portuguesa de segurança de informação Primeira norma nacional alinhada com a nova edição da ISO/IEC 27001 3 Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação Porque publicar a ISO/IEC 27001 como NP? Promover a implementação da ISO/IEC 27001 em Portugal o Alguns países com uma forte implementação da ISO/IEC 27001 possuem traduções nacionais (e.g. Japão, Espanha, Brasil) Disponibilizar uma norma portuguesa que possa ser referenciada em iniciativas de conformidade Padronizar a terminologia portuguesa de segurança de informação 4 Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação Instituições certificadas ISO/IEC 27001 em PT 0 5 10 15 20 25 30 35 40 2006 2007 2008 2009 2010 2011 2012 Fonte: ISO Survey of Management System (2012) 5 Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação Critérios de tradução Na tradução foi empregue, sempre que aplicável, os termos das seguintes Normas Portuguesas: NP ISO 31000:2012 - Gestão do risco - Princípios e linhas de orientação NP EN ISO 9001:2008 - Sistema de Gestão da Qualidade NP 3003-8:2003 - Vocabulário - Parte 8: Segurança Em caso de dúvida foi consultado: Glossário da Sociedade da Informação, APDSI 6 Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação Correspondência entre termos A norma possui um anexo com a correspondência entre os termos em inglês e em português Termo em Inglês Termo em Português Fonte Authorities Autoridades competentes Backup Salvaguarda NP 3003-8:2003 Clear desk Secretária limpa Contractor Prestador de serviço 7 Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação Publicada em 14 de Outubro de 2013 Disponível no site do IPQ 8 Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação Quais as principais novidades da nova edição? 9 Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação Hhhhh (NP) ISO/IEC 27001 Cláusulas • Objetivo e campo de aplicação • Contexto da organização • Liderança • Planeamento • Suporte • Operação • Avaliação de desempenho • Melhoria Controlos • Novos domínios • Criptografia • Segurança de operações • Segurança de comunicações • Relações com fornecedores • Novos controlos Alinhamento com a (NP) ISO 31000 Alinhamento com Anexo SL do ISO/IEC Directives Simplificação nos controlos 10 Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação Alteração nas cláusulas 11 Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação Variaveis externas Ambiente regulamentar Requisitos de segurança Partes interessadas (e.g. Clientes, Reguladores) Contexto da organização Capacidade de atingir objectivos de segurança Identificar todas as partes interessadas e os seus requisitos de segurança Analisar os condicionalismos que influenciam a capacidade de protecção da organização 4. Contexto da organização Variaveis internas Postura face ao risco Processos 12 Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação Para delimitar o âmbito do sistema de gestão é necessário atender a: Requisitos das partes interessadas Características da organização e o seu contexto Interfaces e dependências entre as atividades desempenhadas pela organização, e aquelas que são desempenhadas por outras organizações Adicionalmente é necessário identificar os processos subcontratados 4. Contexto da organização Organização Âmbito SGSI Entidades Terceiras 13 Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação 5. Liderança Versão 2005 Papel da gestão de topo Versão 2013 Aprovar politíca do SGSI Aprovar riscos residuais Authorizar implementar e operar o SGSI Determinar se as actividades de segurança estão a ser realizadas conforme definido A gestão de topo deve: demonstrar liderança e comprometimento para com o sistema de gestão de segurança apoiando outras funções de gestão relevantes A gestão de topo passa a ter um maior papel de governança, de criar condições para a gestão de segurança 14 Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação 5. Liderança Política de segurança da informação Política de segurança de informação: Substitui a “Politica do SGSI” Deixa de ser necessário incluir o alinhamento com a gestão de risco Objetivos de segurança devem ser compatíveis com o propósito de negócio da organização 15 Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação 6.1.2 Avaliação do risco de segurança da informação Versão 2005 Versão 2013 Ativos Ameaças Vulnerabilidade Riscos Impacto na Confidencialidade, Integridade e Disponibilidade Impacto na Confidencialidade, Integridade e Disponibilidade 16 Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação 6.1.2 Avaliação do risco de segurança da informação Fase Alteração Identificação de riscos Eliminação de referência à ameaças, vulnerabilidades e ativos Basta identificar riscos relacionados com perdas de confidencialidade, integridade e disponibilidade Ownership do risco O asset owner deixa de intervir na gestão do risco. É o responsável pelos riscos que aprova o plano de tratamento do risco e aceita os riscos residuais Tratamento do risco Não se enuncia as várias opções de tratamento (e.g. mitigação, transferência) Selecção de controlos Pode-se usar qualquer referencial, interno ou externo, desde que se mapeia os controlos com o Anexo A da norma 17 Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação 6.2 Objetivos de segurança da informação e planeamento para os alcançar A organização deve elaborar planos para concretizar os objetivos de segurança que definiu Objetivos de segurança devem ser: Mensuráveis (se exequível) Considerar requisitos de segurança e resultados da avaliação do risco Serem atualizados (regularmente) Possui o seguinte detalhe: Planos de acção para concretizar objectivos Atividades Recursos Responsável Datas Como os resultados serão avaliados 18 Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestãoda Segurança de Informação 9. Avaliação de desempenho Avaliação de desempenho Monitorização, medição, análise e avaliação Auditoria interna Revisão pela gestão A monitorização deve incluir: Objecto Recolha Análise • Processos de segurança • Controlos de segurança Métodos e frequência de recolha de dados Frequência e quem analisa os dados recolhidos 19 Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação 10. Melhoria Versão 2005 Versão 2013 Acções corretivas Acções corretivas Acções preventivas Na nova edição, as medidas preventivas são eliminadas, sendo o seu papel desempenhado pelas “oportunidades” para melhoria contínua que são identificadas aquando do planeamento do sistema de gestão de segurança da informação 20 Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação Alteração nos controlos 21 Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação Alterações nos controlos ISO/IEC 27001:2005 ISO/IEC 27001:2013 14 domínios 11 domínios 114 controlos 133 controlos 22 Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação A5. Políticas de segurança da informação A6. Organização de segurança da informação A7. Segurança na gestão de recursos humanos A8. Gestão de ativos A9. Controlo de acesso A10. Criptografia A11. Segurança física e ambiental A12. Segurança de operações A.13 Segurança de comunicações A14. Aquisição, desenvolvimento e manutenção de sistemas A15. Relações com fornecedores A16. Gestão de incidentes de segurança da informação A17. Aspetos de segurança da informação na gestão da continuidade do negócio A18. Conformidade A5. Security policy A6. Organization of information security A8. Human resources security A7. Asset management A.11 Access control A.9 Physical and environmental security A.10 Communications and operations managements A.10 Communications and operations management A.12 Information systems acquisition, development and maintenance A.13 Information security incident management A.14 Business continuity management A.15 Compliance Versão 2013 Versão 2005 Novos domínios 23 Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação 6.1.5 Segurança da informação na gestão de projeto 9.2.4 Utilização da informação secreta para autenticação 14.2.1 Política de desenvolvimento seguro 14.2.3 Revisão técnica de aplicações após alterações na plataforma de produção 14.2.5 Princípios de engenharia de sistemas seguros 14.2.6 Ambiente de desenvolvimento seguro 14.2.7 Desenvolvimento subcontratado 15.1.1 Política de segurança da informação para as relações com fornecedores 15.1.3 Cadeia de fornecimento de tecnologias de informação e comunicação 16.1.5 Resposta a incidentes de segurança da informação 17.1.2 Implementação da continuidade de segurança da informação 17.2.1 Disponibilidade dos recursos de processamento da informação Novos controlos 24 Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação Conclusões A NP ISO/IEC 27001 assegura: Maior alinhamento com outras normas de sistemas de gestão (e.g. ISO 9001) Maior flexibilidade na gestão do risco Uma lista de controlos mais concisa, mais ajustada aos desafios atuais 25 Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Compartilhar