Gestao da politica de segurança e operação da informacao
1. Gestão da Política de Segurança e Operação da Informação Industry 2008/04/09 [email_address] As figuras da apresentação foram obtidas em www.images.com e são utilizadas exclusivamente para fins académicos. Esta apresentação foi optimizada para fontes Courier new e consola Master Course "IT Governance” Securing
2.
3. Securing Industry nota: resultados retirados factos, observações e casos de estudo (entidades, empresas, academias) que retratam o estado das TI nos hospitais em Portugal (2007) De que t rata o problema? Estado de “sítio” hospitais backups gestão de assets gestão risco plano continuidade negócio workflow electronic & hardcopy ? ? ? ? ? ? definição zonas críticas protecção incêndios aspectos legais auditoria gestão de incidências ? ? ? ? ? ? gestão pessoas gestão serviços (ITIL) controlo de acessos identificação informação gestão identidades ? ? ? ? ? ? … políticas hardening plano disaster recover conformidades credenciais SGRH ? ? ? ? ? ? ? ? políticas TI reduzido controlo Outsourcing comité segurança procedimentos ? ? ? ?
4. Industry Quais as orientações? Segurança: Prioridade do Governo hint: qualquer medida a iniciar já vai tarde! Compete à gestão TI local dos hospitais darem os primeiros passos… ? Não está clara a posição. Contudo, a prioridade parece ser a agilização de serviços Securing
5.
6.
7. ? Industry Procurar a certificação Segurança Sistemas: ISO/IEC 15408: internacional standard for computer security, FIPS Federal Information Processing Standard 140-2, Common Criteria nota: são normas que complementam aos requisitos de segurança de ISO 20000, COBIT, HIPAA, outras.. Gestão Segurança: ISO/IEC 27001:2005, requisitos de gestão de segurança da informação. Securing
8. nota: para simplificação é comum utilizar-se nomeações ISO27001 & ISO17799 Industry Origem da Certificação 1995: publicado BS 17799 parte 1 1998: publicado BS 17799 parte 2 1993: especialistas britânicos implementaram um “código de boas práticas” 2000: BS17799 parte 1-> ISO/IEC 17799:2000 2005: BS27001 parte 2-> ISO/IEC 27001:2005 2007: ISO/IEC 17799:2000->ISO/IEC 27002:2007 Securing
9. Industry Origem da Certificação Requisitos e Boas Práticas para a Gestão da Segurança da Informação Sistema de Gestão ISO 27001: Como implementar um mecanismo de análise de riscos e um sistema de controlo que proteja a informação dos riscos Boas práticas ISO 17799: Código de boas práticas de segurança da informação com 136 controlos Securing
10. nota: ISO 27001 é a unica certificação de gestão da segurança da informação para organismos Industry Origem da Certificação Securing
11. Industry Origem da Certificação Certificados ISO 27001 emitidos . . . . . . nota: Dados recolhidos em http://www.iso27001certificates.com a 4 SET 2007, direitos reservados, ISMS International User Group Securing País Total Japan 2280 UK 352 India 305 Taiwan 128 Germany 73 China 67 Hungary 58 Korea 50 Australia 53 USA 52 Italy 44 Netherlands 31 Hong Kong 30 Singapore 28 Czech Republic 26 Malaysia 20 Brazil, Ireland 17 Poland 16 Austria 15 Finland, Norway 14 Mexico, Switzerland, Turkey 12 Spain 11 Philippines, Saudi Arabia 9 Sweden, UAE, 8 Iceland 7 Kuwait, Russian Federation 6 Greece 5 Bahrain, Canada, Indonesia, Pakistan, Slovenia, Thailand 4 Argentina, France, Isle of Man, Macau, Romania, 3 Belgium, Colombia, Croatia, Denmark, Lithuania, Oman, Qatar, Slovak Republic, South Africa, Sri Lanka 2 Armenia, Bulgaria, Egypt, Gibraltar, Lebanon, Luxemburg, Macedónia, Moldova, Morocco, New Zealand, Peru, Ukraine, Uruguay, Vietnam, Yugoslavia, Portugal 1 Absolute Total 3890
12. Industry Sistema d e Boas Práticas nota: o Código não recomenda tecnologias mas unicamente estratégias a serem adaptadas à organização Código de Boas Práticas ISO 17799 Controlos de segurança da informação ( 11 areas ) Securing 1 Política de Segurança da Informação ISO/IEC-17799:2000 2 Organização da Segurança da Informação ISO/IEC-17799:2000 3 Gestão de Recursos (classificação de assets ) ISO/IEC-17799:2000 4 Gestão de Recursos Humanos ISO/IEC-17799:2000 5 Gestão da segurança física e ambiental ISO/IEC-17799:2000 6 Gestão das Comunicações e Operações ISO/IEC-17799:2000 7 Controlo de acessos ISO/IEC-17799:2000 8 Aquisições, manutenções e desenvolvimento de sistemas ISO/IEC-17799:2000 9 Gestão de incidentes de segurança da informação ISO/IEC-17799:2005 10 Plano de gestão da continuidade de negócio ISO/IEC-17799:2000 11 Conformidade com os aspectos legais ISO/IEC-17799:2000
25. Industry “ Sem uma gestão formal da segurança da informação, a segurança vai ser quebrada algures no tempo” Sistema d e Boas Práticas Visão adaptada do ISO/IEC-17799 para a Saúde (futuro ISO/IEC 27799) Securing