Este documento apresenta um resumo do Módulo 4 de um curso sobre a interpretação da norma NBR ISO/IEC 27001:2006. O módulo explica os termos e definições centrais da norma, como ativo, segurança da informação, risco e gestão de riscos. Também descreve os objetivos da norma de estabelecer requisitos para um Sistema de Gestão de Segurança da Informação e como ela pode ser aplicada em qualquer organização.
Slides Lição 6, Betel, Ordenança para uma vida de obediência e submissão.pptx
ISO 27001 4
1. Sistema de
Gestão de Segurança
da Informação
Todos os direitos de cópia reservados. Não é permitida a distribuição
física ou eletrônica deste material sem a permissão expressa do autor.
Interpretação da norma
NBR ISO/IEC 27001:2006
Curso e- Learning
3. Norma NBR ISO/IEC 27001 – Índice
0 – Introdução
1 – Objetivo
2 – Referência normativa
3 – Termos e definições
4 – Sistema de Gestão de Segurança da Informação
5 – Responsabilidade da direção
6 – Auditorias internas do SGSI
7 – Análise crítica do SGSI pela direção
8 – Melhoria do SGSI
Anexo A – Objetivos de controle e controles
Anexo B – Princípios da OECD e desta norma
Anexo C – Correspondência entre a ABNT NBR ISO 9001:2000, a ABNT NBR ISO
14001:2004 e esta norma
4. 0 – Introdução
0.1 – Geral
A norma ISO 27001 foi preparada para prover um modelo para estabelecer,
implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de
Gestão de Segurança da Informação – SGSI.
A adoção de um SGSI deve ser uma decisão estratégica para uma organização.
O sistema a ser implementado deve depender dos objetivos, requisitos de segurança,
processos empregados e estrutura da organização.
É esperado que o SGSI e os sistemas de apoio mudem com o tempo.
É esperado que a implementação de um SGSI seja escalada conforme as
necessidades da organização. Por exemplo, uma situação simples requer uma solução
simples.
A norma ISO 27001 pode ser utilizada para avaliar a conformidade pelas partes
interessadas internas e externas.
5. 0.2 – Abordagem de processo
Atividades e
recursos
Clientes externos e
internos atendidos
em relação ao
aumento da
segurança da
informação
• Necessidades de SI
• Expectativas de SI
• Requisitos
organizacionais
• Requisitos da ISO 27001
• Processos da
organização
Entrada Saída
6. 0.2 – Abordagem de processo
A
B
C
E
D
...
A) Entendimento e atendimento aos requisitos
B) Valor agregado
C) Resultado de desempenho e eficácia dos processos
D) Melhoria contínua com base em medições objetivas
7. 0.2 – Abordagem de processo
Planejar
Estabelecer objetivos e
processos
Resultados para clientes e
para a organização
Fazer
Implementar os processos
Verificar
Monitorar/medir
processos e produtos
Agir
Agir para melhorar
continuamente o
desempenho dos
processos
8. 0.2 – Abordagem de processo
Modelo do PDCA Aplicado ao SGSI
Partes
interessadas
Partes
interessadas
Estabelecer
Manter e
melhorar
Implementar
e operar
Monitorar
e revisar
Expectativas e
requisitos de
segurança da
informação
Segurança da
Informação
gerenciada
P
C
AD
Ciclo de
desenvolvimento,
manutenção e
melhoria
9. 0.2 – Abordagem de processo
Fase “planejar”
Definir o escopo do SGSI
Definir uma política para o SGSI
Definir objetivos e metas
Identificar os riscos
Avaliar os riscos
Selecionar objetivos de controle e controles
Preparar uma declaração de aplicabilidade
10. 0.2 – Abordagem de processo
Fase “fazer”
Formular um plano de tratamento de risco
Implementar o plano de tratamento de risco
Implementar os controles selecionados para atingir
os objetivos de controle
11. 0.2 – Abordagem de processo
Fase “verificar”
Executar monitoramento dos processos
Conduzir auditorias internas do SGSI em
intervalos planejados
Realizar análise críticas regulares da
eficácia do SGSI
Analisar criticamente os níveis de risco
residual e riscos aceitáveis
12. 0.2 – Abordagem de processo
Fase “agir”
Implementar as melhorias identificadas
Tomar ações corretivas e preventivas apropriadas
Comunicar os resultados e ações
Garantir que as melhorias atendem aos objetivos
pretendidos
13. 0.3 – Compatibilidade com outros sistema de gestão
ISO 27001 – Gestão de Segurança da
Informação é alinhada com:
ISO 9001 – Gestão da Qualidade e com
ISO 14001 – Gestão do Meio Ambiente e
com
OSHAS 18001 – Gestão de Saúde e
Segurança do Trabalhador
Possível adaptação a sistemas já existentes
na organização.
14. 1 – Objetivo
1.1 – Geral
A norma ISO 27001:
Cobre todos os tipos de organizações.
Especifica requisitos para estabelecer, implementar,
operar, monitorar, analisar criticamente, manter e
melhorar um SGSI documentado dentro do contexto
dos riscos de negócios globais da organização.
Especifica requisitos para a implementação de
controles de segurança personalizados para as
necessidades individuais de organizações ou suas
partes.
O SGSI é projetado para assegurar a seleção de controles de segurança
adequados e proporcionados para proteger os ativos de informação e
propiciar confiança às partes interessadas.
15. Requisitos genéricos
Exclusões (itens não atendidos pela organização):
• Requisitos especificados nas seções 4, 5, 6, 7 e 8 não podem ser excluídos.
• Quaisquer exclusões de controles (Anexo A) precisam ser justificadas para serem
aceitas, e não podem comprometer a capacidade da organização de atender requisitos
de segurança da informação determinados pela análise/avaliação de riscos e por
requisitos legais e regulamentares aplicáveis.
1.2 – Aplicação
Qualquer tipo
Qualquer tamanho
Qualquer produto/serviço
A ISO 27001
é aplicável
a qualquer
organização
16. NBR ISO/IEC 17799:2005 – Tecnologia
da Informação – Técnicas de Segurança
– Código de prática para a Gestão de
Segurança da Informação
2 – Referência normativa
17. 3 – Termos e definições
Ativo – qualquer coisa que tenha valor para a organização
Disponibilidade – propriedade de estar acessível e utilizável sob demanda por uma
entidade autorizada
Confidencialidade – propriedade de que a informação não esteja disponível ou seja
revelada a indivíduos, entidades ou processos não autorizados
Segurança da informação – preservação da confidencialidade, integridade e
disponibilidade da informação; adicionalmente, outras propriedades, tais como
autenticidade, responsabilidade, não-repúdio e confiabilidade podem também estar
envolvidos
Evento de segurança da informação – uma ocorrência identificada de um estado de
sistema, serviço ou rede, indicando uma possível violação da política de segurança da
informação ou falha de controles, ou uma situação previamente desconhecida que
possa ser relevante para a segurança da informação
18. 3 – Termos e definições
Incidente de segurança da informação – um ou uma série de eventos de segurança
da informação indesejados ou inesperados, que tenham uma grande probabilidade de
comprometer as operações do negócio e ameaçar a segurança da informação
Sistema de Gestão de Segurança da Informação – SGSI – a parte do sistema de
gestão global, baseado na abordagem de riscos do negócio, para estabelecer,
implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança
da informação
Integridade – propriedade de salvaguarda da exatidão e complexidade de ativos
Risco residual – risco remanescente após o tratamento de riscos
Aceitação do risco – decisão de aceitar um risco
Análise de riscos – uso sistemático de informações para identificar fontes e estimar o
risco
19. 3 – Termos e definições
Análise/avaliação de riscos – processo completo de análise e avaliação de riscos
Avaliação de riscos – processo de comparar o risco estimado com critérios de risco
pré-definidos para determinar a importância do risco
Gestão de riscos – atividades coordenadas para direcionar e controlar uma
organização no que se refere a riscos
Tratamento de risco – processo de seleção e implementação de medidas para
modificar um risco
Declaração de aplicabilidade – declaração documentada que descreve os objetivos
de controle e controles que são pertinentes e aplicáveis ao SGSI da organização
20. Exercício
Indique se é verdadeiro ou falso:
1 - ( ) A norma ISO 27001 foi preparada para prover um modelo para estabelecer, implementar, operar,
monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da
Informação – SGSI.
2 - ( ) Não é esperado que o SGSI e os sistemas de apoio mudem com o tempo.
3 - ( ) A norma ISO 27001 não pode ser utilizada para avaliar a conformidade pelas partes interessadas
internas e externas.
4 - ( ) Processo é um conjunto de atividades que transforma entradas em saídas (produtos), utilizando
recursos humanos e materiais na realização das atividades.
5 - ( ) Identificar e avaliar riscos estão contidos na fase “fazer”.
6 - ( ) Integridade para a ISO 27001 é a propriedade de salvaguarda da exatidão e complexidade de
ativos.
7 - ( ) Quaisquer exclusões de controles (Anexo A da ISO 27001 ) não precisam ser justificadas para
serem aceitas.
8 - ( ) Risco residual não é risco remanescente após o tratamento de riscos
9 - ( ) O PDCA deve ser aplicado no desenvolvimento, implantação, monitoramento e manutenção de
um SGSI conforme a ISO 27001.
21. Resposta
Indique se é verdadeiro ou falso:
1 - ( V ) A norma ISO 27001 foi preparada para prover um modelo para estabelecer, implementar,
operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da
Informação – SGSI.
2 - ( F ) Não é esperado que o SGSI e os sistemas de apoio mudem com o tempo.
3 - ( F ) A norma ISO 27001 não pode ser utilizada para avaliar a conformidade pelas partes
interessadas internas e externas. (a ISO 27001 é utilizada para auditorias, a ISO 17799 é apenas
orientativa)
4 - ( V ) Processo é um conjunto de atividades que transforma entradas em saídas (produtos), utilizando
recursos humanos e materiais na realização das atividades.
5 - ( F ) Identificar e avaliar riscos estão contidos na fase “fazer”. (estão contidos na fase “planejar”)
6 - ( V ) Integridade para a ISO 27001 é a propriedade de salvaguarda da exatidão e complexidade de
ativos.
7 - ( F ) Quaisquer exclusões de controles (Anexo A da ISO 27001 ) não precisam ser justificadas para
serem aceitas.
8 - ( F ) Risco residual não é risco remanescente após o tratamento de riscos
9 - ( V ) O PDCA deve ser aplicado no desenvolvimento, implantação, monitoramento e manutenção de
um SGSI conforme a ISO 27001.