Especificações da ISO para gestão de Segurança da Informação
1. Especificações da ISO
para gestão de
Segurança da
Informação
Laís Berlatto - 104493
Felipe Haack Schmitz - 106396
Carlos Adriani Lara Schaeffer
2. O que é segurança da Informação?
Segundo a norma ISO/IEC 17799:2000, segurança
da informação pode ser definida como a proteção
contra um grande número de ameaças às
informações, de forma a assegurar a continuidade do
negócio, minimizando danos comerciais e
maximizando o retorno de possibilidades e
investimentos.
3. BS7799 - British Standart 7799
O British Standart 7799 é uma norma de
segurança da informação. Criada na Inglaterra,
teve seu desenvolvimento iniciado em 1995.
Divide-se em duas partes, estando a primeira
parte homologada desde 2000 e, a segunda
parte, com homologação prevista para 2002.
A ISO/IEC 17799 é a versão internacional
da BS7799 homologada pela International
Standartization Organization em dezembro de
2000.
4. O que é ISO e IEC?
ISO significa International Standartization Organization.
Trata-se de uma organização internacional formada por um
conselho e comitês com membros oriundos da maioria dos
países. Seu objetivo é criar normas e padrões
universalmente aceitos sobre como realizar as mais
diversas atividades comerciais, industriais, científicas e
tecnológicas.
IEC significa International Engineering Consortium. É
uma organização voltada para o aprimoramento da
indústria da informação. Uma associação entre as duas
instituições produz normas e padronizações internacionais.
5. ISO/IEC 17799:2000
Segundo a ISO/IEC 17799:2000 a segurança da
informação é caracterizada pela preservação dos três
atributos básicos da informação: confidencialidade,
integridade e disponibilidade.
6. ISO/IEC 17799:2000
Esta norma fornece recomendações para gestão da
segurança da informação para uso por aqueles que são
responsáveis pela introdução, implementação ou
manutenção da segurança em suas organizações.
7. ISO/IEC 17799:2000
-Política de Segurança de Informação.
-Segurança Organizacional.
-Classificação dos Ativos da Organização.
-Segurança em Pessoas.
-Segurança Física e do Ambiente.
-Gerenciamento das operações e comunicações.
-Controle de Acesso
-Desenvolvimento e Manutenção de Sistemas.
-Gestão da Continuidade de Nogócio.
-Conformidade
8. ISO/IEC 17799:2000
-Política de Segurança de Informação.
-Segurança Organizacional.
-Classificação dos Ativos da Organização.
-Segurança em Pessoas.
-Segurança Física e do Ambiente.
-Gerenciamento das operações e comunicações.
-Controle de Acesso
-Desenvolvimento e Manutenção de Sistemas.
-Gestão da Continuidade de Nogócio.
-Conformidade
9. ISO/IEC 17799:2000
-Política de Segurança de Informação.
-Segurança Organizacional.
-Classificação dos Ativos da Organização.
-Segurança em Pessoas.
-Segurança Física e do Ambiente.
-Gerenciamento das operações e comunicações.
-Controle de Acesso
-Desenvolvimento e Manutenção de Sistemas.
-Gestão da Continuidade de Nogócio.
-Conformidade
10. ISO/IEC 27002
ISO/IEC 27002 é um padrão de segurança da informação publicado pela
International Organization for Standardization (ISO) e pela International
Electrotechnical Commission (IEC), entitulado tecnologia da informação -
Tecnologias de Segurança - código de pratica para gerenciamento de
segurança da informação.
ISO / IEC 27002:2005 foi desenvolvida a partir de BS7799, publicado em
meados da década de 1990. A British Standard foi adotado pela ISO/IEC como
ISO/IEC 17799:2000, revisto em 2005, e renumerado (mas de outra forma
inalterada) em 2007 para se alinhar com os outros ISO / IEC 27000 série de
padrões. ISO / IEC 27002 fornece recomendações de melhores práticas na
gestão da informação de segurança para uso pelos responsáveis pela
iniciação, implementação ou manutenção de Sistemas de Informação de
Gestão de Segurança (ISMS).
A segurança da informação é definida dentro do padrão no contexto da
tríade CIA: a preservação da confidencialidade (garantir que a informação é
acessível somente àqueles autorizados a ter acesso), integridade (salvaguarda
da exatidão e integridade das informações e métodos de processamento) e
disponibilidade (garantia de que usuários autorizados tenham acesso às
informações e ativos associados quando necessário).
11. ISO/IEC 27002
Após as sessões introdutórias, a norma contém as
seguintes sessões principais:
○ A avaliação de riscos;
○ A política de segurança: direcção, gestão;
○ Organização da segurança da informação: de governança da
segurança da informação;
○ A gestão de activos: inventário e classificação dos ativos de
informação
○ Segurança dos recursos humanos: aspectos de segurança para os
funcionários de união, movendo-se e sai de uma empresa;
○ Segurança física e ambiental: a protecção dos meios informáticos;
○ Comunicação e gestão de operações: gestão de controles técnicos de
segurança nos sistemas e redes;
○ O controle de acesso: restrição de direitos de acesso a redes,
sistemas, aplicações, funções e dados;
12. ISO/IEC 27002
○ Sistemas de informação desenvolvimento, aquisição e manutenção:
segurança do prédio em aplicações;
○ Informações de gerenciamento de incidentes de segurança: antecipar
e responder adequadamente às violações de segurança da
informação
○ Gestão de continuidade de negócios: proteção, manutenção e
recuperação de processos críticos de negócios e sistemas;
○ Compliance: assegurar a conformidade com as políticas de segurança
da informação, normas, leis e regulamentos.