questões nbr 27001

ABNT NBR ISO/IEC27001

Para Dataprev e Senado

Professor Thiago [email protected]

Slide1/63

segunda-feira, 13 de junho de 2011

As Normas NBR ISO/IEC 27001 - Requisitos para implantar

um SGSI

NBR ISO/IEC 27002 - Prticas para a gesto de SI

NBR ISO/IEC 27005 - Gesto de riscos de SI 27004 e 27003 - Gesto de SI (Medio) e Guia

de Impl. SGSI

27006 e 27007 - Requisitos e Diretrizes para auditoria de um SGSI

15999:1 e 15999:2 - Gesto de Continuidade de Negcios (Cdigo de Prtica e Requisitos)


Slide2/63



Slide3/63

NBR ISO/IEC 27001

MCT/2008 - Cargos diversos

[119] Uma organizao que deseje implantar um sistema de gesto de segurana da informao (SGSI) deve adotar como base a norma ABNT NBR ISO/IEC 27001:2006.

[120] A seo 5 da norma ISO/IEC 27001 trata de como a informao deve ser classificada, de acordo com a sua necessidade de segurana e controle de acesso.

[119 - A] A norma ISO 27001 adota o modelo plan-do-check-act (PDCA), que aplicado para estruturar todos os processos dos sistemas de gesto de segurana da informao information security management system (ISMS).

[120 - B] Dependendo de seu tamanho ou natureza, uma organizao pode considerar um ou mais requisitos da norma ISO 27001 como no-aplicveis e, ainda assim, continuar em conformidade com essa norma internacional.

Questes - Conceitos Bsicos



Slide4/63

NBR ISO/IEC 27001

ANAC 2009

[96] A norma em questo trata da definio de requisitos para um sistema de gesto de segurana da informao.

AFCE/TCU 2010

[177] A Norma NBR ISO/IEC 27001 estabelece o cdigo de prtica para a gesto da segurana da informao e a Norma NBR ISO/IEC 27002 trata dos requisitos dos sistemas de gesto de segurana da informao.

[178] Aplicando-se o ciclo PDCA (plan, do, check, act) aos processos do sistema de gesto da segurana da informao (SGSI), constata-se que, no SGSI, o do (fazer) equivale a executar as aes corretivas e preventivas para alcanar a melhoria contnua do SGSI.

Questes - Conceitos Bsicos



Slide5/63

Serpro 2010

[57] A NBR 27001 corresponde atualizao da norma internacional ISO/IEC 17799.

[58] Segundo a NBR 27001, um sistema de gesto da segurana da informao apresenta o seguinte ciclo: estabelecimento, implementao e operao, monitoramento e reviso, manuteno e melhoria do sistema.

Aneel 2010

[112] A melhoria contnua do SGSI ocorre na forma de aes corretivas e preventivas, entre outras. Um exemplo de ao corretiva a alterao na redao do documento da poltica de segurana da informao para melhorar sua compreensibilidade e eliminar ambiguidades que levaram a no conformidades no cumprimento dessa poltica. Um exemplo de ao preventiva a adoo de novos controles de acesso ao ambiente fsico.

NBR ISO/IEC 27001Questes - Conceitos Bsicos



Slide6/63

0. Introduo

1. Objetivo

2. Referncia normativa

3. Termos e definies

4. Sistema de gesto de segurana da informao

(Requisitos gerais / Estabelecendo e gerenciando o SGSI / Requisitos de

documentao)

5. Responsabilidades da direo

(Comprometimento da direo / Gesto de recursos)

6. Auditorias internas do SGSI

7. Anlise crtica do SGSI pela direo

(Geral / Entradas para a anlise crtica / Sadas da Anlise Crtica)

8. Melhoria do SGSI(Melhoria contnua / Ao corretiva / Ao preventiva)

NBR ISO/IEC 27001Estrutura


Anexos:Anexo A - normativo:

Objetivos de Controles e Controles (27002 - 5 a 15)

Anexo B - informativo:Princpios da OECD*

Anexo C - informativo:Correspondncia c/ ISO 9001 e ISO 14001

*Organizao para cooperao e desenvolvimento econmico

NBR ISO/IEC 27001Estrutura


Slide7/63



Slide8/63

Esta Norma foi preparada para prover um modelo para EIOMAMM um Sistema de Gesto

de Segurana da Informao (SGSI).

EIOMAMM = estabelecer, implementar, operar, monitorar, analisar criticamente, manter e

melhorar

NBR ISO/IEC 270010. Introduo



Slide9/63

- A adoo de um SGSI estratgica;

- Necessidades e objetivos, requisitos de segurana, processos empregados, tamanho e estrutura da organizao direcionam a implementao;

- SGSIs mudam ao longo do tempo;

- Norma pode ser usada para avaliar a conformidade pelas partes interessadas internas e externas.

- Para fins de certificao a 27001 a referncia (antiga BS7799-2).




Slide10/63

- Abordagem de processo: indica processos definidos, geridos e interativos;

- Baseada no ciclo PDCA.

Estabelecer Implementar e Operar

Monitorar e Anal. Criticamente

Manter eMelhorar




Slide11/63

Plan (planejar) - estabelecer a poltica, objetivos, processos e procedimentos do SGSI, relevantes para a gesto de riscos e a melhoria da segurana da informao para produzir resultados de acordo com as polticas e objetivos globais de uma organizao.Do (fazer) - implementar e operar a poltica, controles, processos e procedimentos do SGSI.Check (checar) - avaliar e, quando aplicvel, medir o desempenho de um processo frente poltica, objetivos e experincia prtica do SGSI e apresent. os resultados p/ a anlise crtica pela direo.Act (agir) - Executar as aes corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da anlise crtica pela direo ou outra informao pertinente, para alcanar a melhoria contnua do SGSI.




Slide12/63

Compatibilidade com outros sistemas de gesto:

- Esta Norma est alinhada s ABNT NBR ISO 9001:2000 e ABNT NBR ISO 14001:2004* para apoiar a implementao e a operao de forma consistente e integrada com normas de gesto relacionadas.

*Tratam do Sistema de Gesto da Qualidade e Sistema de Gesto Ambiental




Slide13/63

NBR ISO/IEC 270011. Objetivo1.1 Geral:

- A norma cobre todos os tipos de organizaes;- Especifica os requisitos para EIOMAMM um SGSI documentado dentro do contexto dos riscos de negcio globais da organizao;- Projetado para assegurar a seleo de controles de segurana adequados e proporcionados para proteger os ativos de informao e propiciar confiana s partes interessadas.



Slide14/63

NBR ISO/IEC 270011. Objetivo1.2 Aplicao: - Os requisitos definidos so genricos e aplicveis a todas as organizaes, independentemente de tipo, tamanho e natureza;

- A excluso de quaisquer dos requisitos em 4, 5, 6, 7, e 8 no aceitvel quando uma organizao reivindica conformidade com a norma;

- A menos que tais excluses no afetem a capacidade da organizao, e/ou responsabilidade de prover segurana da informao que atenda os requisitos de segurana determinados pela anlise/avaliao de riscos e por requisitos legais e regulamentares aplicveis.

- Excluso de controle considerado necessrio aos critrios de aceitao de riscos precisa ser justificada e evidncias de que os riscos associados foram aceitos pelas pessoas responsveis precisam ser fornecidas;



Slide15/63

O documento a seguir referenciado indispensvel para a aplicao desta Norma:

ABNT NBR ISO/IEC 17799:2005, Tecnologia da informao Tcnicas de segurana Cdigo de prtica para a gesto da segurana da informao.

*Ou seja, a 27002

NBR ISO/IEC 270012. Ref. Normativa



Slide16/63

NBR ISO/IEC 27001Gabaritando as Questes!MCT/2008 - Cargos diversos

[119] Uma organizao que deseje implantar um sistema de gesto de segurana da informao (SGSI) deve adotar como base a norma ABNT NBR ISO/IEC 27001:2006.

[120] A seo 5 da norma ISO/IEC 27001 trata de como a informao deve ser classificada, de acordo com a sua necessidade de segurana e controle de acesso.

[119 - A] A norma ISO 27001 adota o modelo plan-do-check-act (PDCA), que aplicado para estruturar todos os processos dos sistemas de gesto de segurana da informao information security management system (ISMS).

[120 - B] Dependendo de seu tamanho ou natureza, uma organizao pode considerar um ou mais requisitos da norma ISO 27001 como no-aplicveis e, ainda assim, continuar em conformidade com essa norma internacional.

C

E

C

E



Slide17/63

NBR ISO/IEC 27001Gabaritando as Questes!

Reflexo Sobre a Questo 120:

muito importante observar que o CESPE dificilmente deixa apenas um caminho para o candidato gabaritar a questo.

Na questo 120, mesmo que o candidato no soubesse / no houvesse decorado a estrutura da norma, seria possvel identificar o erro porque Classificar a Informao uma prtica (Controle), objeto da norma ABNT NBR ISO/IEC 27002.



Slide18/63


ANAC 2009

[96] A norma em questo trata da definio de requisitos para um sistema de gesto de segurana da informao.

AFCE/TCU 2010

[177] A Norma NBR ISO/IEC 27001 estabelece o cdigo de prtica para a gesto da segurana da informao e a Norma NBR ISO/IEC 27002 trata dos requisitos dos sistemas de gesto de segurana da informao.

[178] Aplicando-se o ciclo PDCA (plan, do, check, act) aos processos do sistema de gesto da segurana da informao (SGSI), constata-se que, no SGSI, o do (fazer) equivale a executar as aes corretivas e preventivas para alcanar a melhoria contnua do SGSI.

C

E

E



Slide19/63

Serpro 2010

[57] A NBR 27001 corresponde atualizao da norma internacional ISO/IEC 17799.

[58] Segundo a NBR 27001, um sistema de gesto da segurana da informao apresenta o seguinte ciclo: estabelecimento, implementao e operao, monitoramento e reviso, manuteno e melhoria do sistema.

Aneel 2010

[112] A melhoria contnua do SGSI ocorre na forma de aes corretivas e preventivas, entre outras. Um exemplo de aocorretiva a alterao na redao do documento da poltica de segurana da informao para melhorar sua compreensibilidade e eliminar ambiguidades que levaram a no conformidades no cumprimento dessa poltica. Um exemplo de ao preventiva a adoo de novos controles de acesso ao ambiente fsico.


E

X

C



Slide20/63

Petrobras 2007 / Infra

[137] A confidencialidade diz respeito garantia de que a informao ser acessada por qualquer um que dispuser de recursos tecnolgicos apropriados, explicitamente ou no.

[138] A integridade diz respeito garantia de que a informao s ser alterada ou deletada por quem tem autorizao explcita para tal.

[139] A disponibilidade diz respeito garantia de que ser possvel a qualquer pessoa acessar a informao sempre que for necessrio.

NBR ISO/IEC 27001Questes sobre Termos e Definies


Banco da Amaznia 2009

[51] Um incidente de segurana da informao refere-se a um ou mais riscos no desejados ou esperados que possuem significativa probabilidade de comprometer os ativos de informao e ameaam a segurana da informao

Anac 2009[100] O sistema de gesto de segurana da informao o sistema global de gesto, embasado em uma abordagem de risco, que permite definir, implementar, operacionalizar e manter a segurana da informao.[112] Um evento de segurana de informao uma ocorrncia em um sistema, servio ou estado de rede que indica, entre outras possibilidades, um possvel desvio em relao aos objetivos de segurana especficos da organizao, e um incidente de segurana de informao um evento nico ou uma srie de eventos indesejados de segurana da informao que possuem um impacto mediano sobre os negcios.

NBR ISO/IEC 27001


Slide21/63

Questes sobre Termos e Definies



Slide22/63

NBR ISO/IEC 270013. Termos e Definies3.1 ativo Qualquer coisa que tenha valor para a organizao[ISO/IEC 13335-1:2004]

3.2 disponibilidade Propriedade de estar acessvel e utilizvel sob demanda por uma entidade autorizada[ISO/IEC 13335-1:2004]

3.3 confidencialidade Propriedade de que a informao no esteja disponvel ou revelada a indivduos, entidades ou processos no autorizados[ISO/IEC 13335-1:2004]



Slide23/63

NBR ISO/IEC 270013. Termos e Definies3.4 segurana da informao Preservao da confidencialidade, integridade e disponibilidade da informao; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, no repdio e confiabilidade, podem tambm estar envolvidas[ABNT NBR ISO/IEC 17799:2005]

3.5 evento de segurana da informao Uma ocorrncia identificada de um estado de sistema, servio ou rede, indicando uma possvel violao da poltica de segurana da informao ou falha de controles, ou uma situao previamente desconhecida, que possa ser relevante para a segurana da informao[ISO/IEC TR 18044:2004]



Slide24/63

3.6 incidente de segurana da informao Um simples ou uma srie de eventos de segurana da informao indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operaes do negcio e ameaar a segurana da informao[ISO/IEC TR 18044:2004]

3.7 sist. de gesto da segurana da informao-SGSIA parte do sistema de gesto global, baseado na abordagem de riscos do negcio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurana da informaoNOTA

O sistema de gesto inclui estrutura organizacional, polticas, atividades de planejamento, responsabilidades, prticas, procedimentos, processos e recursos.

NBR ISO/IEC 270013. Termos e Definies



Slide25/63

NBR ISO/IEC 270013. Termos e Definies3.8 integridade Propriedade de salvaguarda da exatido e completeza de ativos[ISO/IEC 13335-1:2004]

3.9 risco residual Risco remanescente aps o tratamento de riscos[ABNT ISO/IEC Guia 73:2005]

3.10 aceitao do risco Deciso de aceitar um risco[ABNT ISO/IEC Guia 73:2005]



Slide26/63

3.11 anlise de riscos Uso sistemtico de informaes para identificar fontes e estimar o risco[ABNT ISO/IEC Guia 73:2005]

3.12 anlise/avaliao de riscos Processo completo de anlise e avaliao de riscos[ABNT ISO/IEC Guia 73:2005]

3.13 avaliao de riscos Processo de comparar o risco estimado com critrios de risco predefinidos para determinar a importncia do risco[ABNT ISO/IEC Guia 73:2005]




Slide27/63


3.14 gesto de riscos Atividades coordenadas para direcionar e controlar uma organizao no que se refere a riscos

NOTA

A gesto de riscos geralmente inclui a anlise/avaliao de riscos, o tratamento de riscos, a aceitao de riscos e a comunicao de riscos.[ABNT ISO/IEC Guia 73:2005]

3.15 tratamento do risco Processo de seleo e implementao de medidas para modificar um risco

NOTA

Nesta Norma o termo controle usado como um sinnimo para medida.[ABNT ISO/IEC Guia 73:2005]



Slide28/63

3.16 declarao de aplicabilidade Declarao documentada que descreve os objetivos de controle e controles que so pertinentes e aplicveis ao SGSI da organizao

NOTA

Os objetivos de controle e controles esto baseados nos resultados e concluses dos processos de anlise/avaliao de riscos e tratamento de risco, dos requisitos legais ou regulamentares, obrigaes contratuais e os requisitos de negcio da organizao para a segurana da informao.




Slide29/63

Petrobras 2007 / Infra

[137] A confidencialidade diz respeito garantia de que a informao ser acessada por qualquer um que dispuser de recursos tecnolgicos apropriados, explicitamente ou no.

[138] A integridade diz respeito garantia de que a informao s ser alterada ou deletada por quem tem autorizao explcita para tal.

[139] A disponibilidade diz respeito garantia de que ser possvel a qualquer pessoa acessar a informao sempre que for necessrio.


E

C(p)

E


NBR ISO/IEC 27001


Slide30/63

Reflexo - Questo 138

Primeiro ponto: A definio da norma no essa. Embora o comando da questo no referenciasse a norma, o edital deste certame o fazia.

Segundo ponto: O acesso por pessoas autorizadas garante integridade da informao? Jamais. Ou somente no CESPE...

Gabaritando as Questes!


Banco da Amaznia 2009

[51] Um incidente de segurana da informao refere-se a um ou mais riscos no desejados ou esperados que possuem significativa probabilidade de comprometer os ativos de informao e ameaam a segurana da informao

Anac 2009[100] O sistema de gesto de segurana da informao o sistema global de gesto, embasado em uma abordagem de risco, que permite definir, implementar, operacionalizar e manter a segurana da informao.[112] Um evento de segurana de informao uma ocorrncia em um sistema, servio ou estado de rede que indica, entre outras possibilidades, um possvel desvio em relao aos objetivos de segurana especficos da organizao, e um incidente de segurana de informao um evento nico ou uma srie de eventos indesejados de segurana da informao que possuem um impacto mediano sobre os negcios.



Slide31/63

E

E

E


NBR ISO/IEC 27001SGSI, Resp. Direo, Anlise Crtica, Melhoria


Slide32/63

Aneel 2010[110] Os objetivos de controle e os controles pertinentes e aplicveis ao SGSI da organizao devem ser selecionados exclusivamente com base nos resultados e concluses dos processos de anlise/avaliao de riscos e de decises acerca de como controlar, evitar, transferir ou aceitar tais riscos.

[111] A anlise crtica do SGSI da organizao deve ser efetuada periodicamente pela alta direo, considerando os resultados de auditorias externas, entre outras informaes. Essa anlise assegura a contnua pertinncia, adequao e eficcia do SGSI, e produz verses atualizadas da anlise/avaliao de riscos e do plano de tratamento de riscos.


NBR ISO/IEC 27001


Slide33/63

ANAC 2009

[97] Na definio de um sistema de gesto de segurana da informao, deve-se definir o escopo, a poltica e a abordagem para a identificao de riscos, bem como identificar e avaliar alternativas para o tratamento dos mesmos.

[98] Apesar de recomendvel, a aceitao de riscos residuais no precisa necessariamente passar pela aprovao da gesto superior da organizao.

[99] Na implementao e operacionalizao do sistema de gesto de segurana da informao, deve-se medir a eficcia dos controles propostos.

96 e 100 j foram feitas.

SGSI, Resp. Direo, Anlise Crtica, Melhoria


NBR ISO/IEC 27001


Slide34/63

Anatel 2009 - Negcios(referindo-se a figura do PDCA)

[83] Considere as diferentes fases do ciclo de gesto no modelo da figura plan, do, check e act. A definio de critrios para a avaliao e para a aceitao dos riscos de segurana da informao que ocorrem no escopo para o qual o modelo da figura est sendo estabelecido, implementado, operado, monitorado, analisado criticamente, mantido e melhorado ocorre, primariamente, durante a fase do.

[85] A classificao da informao um objetivo de controle explicitamente enunciado pela norma ABNT NBR ISO/IEC 27001:2006 e que agrega dois controles, sendo um deles relacionado a recomendaes para classificao e o outro, ao uso de rtulos.



NBR ISO/IEC 27001


Slide35/63

TCU 2009

[170] Entre os documentos e registros cujo controle demandado pela norma ABNT NBR ISO/IEC 27001, destacam-se como documentos a declarao da poltica de segurana, o relatrio de anlise/avaliao de risco e a declarao de aplicabilidade; alm disso, destacam-se como registros os livros de visitantes, os relatrios de auditoria, as ocorrncias de incidentes de segurana e outros registros, inclusive de no conformidade.



NBR ISO/IEC 27001


Slide36/63

Serpro 2008 - Redes

[86] A declarao de aplicabilidade um documento que

deve detalhar os objetivos de controle e os controles a serem implementados para a segurana da informao. Os demais controles e objetivos de controle, no inclusos na declarao de aplicabilidade, devem fazer parte do documento de anlise de GAP.[87] A definio de critrios para aceitao de riscos uma das responsabilidades da alta administrao, segundo a norma NBR ISO/IEC 27001.[88] O estabelecimento da poltica do sistema de gesto de segurana da informao (SGSI) de responsabilidade da equipe de segurana da informao.



NBR ISO/IEC 27001


Slide37/63

Serpro 2008 - Redes

[89] Para assegurar que os controles, objetivos de controle e processos

sejam executados e implementados de forma eficaz, a norma NBR ISO/IEC 27001 recomenda a realizao de auditorias externas em intervalos regulares de, no mximo, seis meses.

[90] A identificao de no-conformidades potenciais e suas causas caracterizada como uma ao preventiva, segundo a norma NBR ISO/IEC 27001.

[91] Entre as atividades contempladas na fase agir (act) est a necessidade de identificar no-conformidades potenciais e suas causas, objetivando alcanar a melhoria contnua do sistema de gesto de segurana da informao.

[92] A norma NBR ISO/IEC 27001 recomenda a adoo de abordagem qualitativa para a realizao da anlise de risco.



NBR ISO/IEC 27001


Slide38/63

MPS 2010

[101] Risco residual aquele remanescente quando as medidas implementadas para modificar esse risco no conseguem elimin-lo.[102] A declarao de aplicabilidade define os ambientes ou as unidades da organizao alvo dos controles estabelecidos pelo sistema de gesto de segurana da informao (SGSI).[103] Integridade a propriedade que garante que uma informao no ser furtada da organizao.



NBR ISO/IEC 270014. SGSI


Slide39/63

Requisitos gerais

A organizao deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negcio globais da organizao e os riscos que ela enfrenta.




Slide40/63

Estabelecer o SGSI

A organizao deve:

Definir o escopo e os limites do SGSI nos termos das caractersticas do negcio, a organizao, sua localizao, ativos e tecnologia, incluindo detalhes e justificativas para quaisquer excluses do escopo




Slide41/63

A organizao deve:

- Definir a abordagem de anlise/avaliao de riscos da organizao (metodologia);

- Identificar os riscos (ativos/proprietrios);

- Analisar/avaliar riscos (probabilidades e impacto);

- Identificar e avaliar as opes de tratamento;

Estabelecer o SGSI




Slide42/63

- Selecionar os objetivos de controle para tratamento de riscos (anexo A);

- Obter aprovao da direo dos riscos residuais propostos;

- Obter autorizao da direo para implementar e operar o SGSI;

- Preparar uma Declarao de Aplicabilidade (controles aplicveis e justificativas de excluso).

Estabelecer o SGSI




Slide43/63

Implementar e Operar o SGSI

A organizao deve:

- Formular um plano de tratamento de riscos que identifique a ao de gesto apropriada, recursos, responsabilidades e prioridades para a gesto dos riscos de segurana;- Implementar o plano de tratamento de riscos para alcanar os objetivos de controle identificados, que inclua consideraes de financiamentos e atribuio de papis e responsabilidades.- Implementar os controles selecionados para atender aos objetivos de controle.- Definir como medir a eficcia dos controles selecionados;




Slide44/63

Implementar e Operar o SGSI

- Implementar programas de conscientizao e treinamento;

- Gerenciar as operaes do SGSI;

- Gerenciar os recursos para o SGSI;

- Implementar procedimentos e outros controles capazes de permitir a pronta deteco de eventos de SI e resposta a incidentes de segurana da informao




Slide45/63

Monitorar e Analisar Criticamente o SGSI

a)

Executar procedimentos de monitorao e anlise crtica e outros controles;

b)Realizar anlises crticas regulares da eficcia do SGSI (incluindo o atendimento da poltica e dos objetivos do SGSI, e a anlise crtica de controles de segurana), levando em considerao os resultados de auditorias de segurana da informao, incidentes de segurana da informao, resultados da eficcia das medies, sugestes e realimentao de todas as partes interessadas.

c)

Medir a eficcia dos controles para verificar que os requisitos de segurana da informao foram atendidos.




Slide46/63

Monitorar e Analisar Criticamente o SGSI

d)

Analisar criticamente as anlises/avaliaes de riscos a intervalos planejados e analisar criticamente os riscos residuais e os nveis de riscos aceitveis identificados;

e)

Conduzir auditorias internas do SGSI a intervalos planejados (Seo 6);

NOTA

Auditorias internas, s vezes chamadas de auditorias de primeira parte, so conduzidas por ou em nome da prpria organizao para propsitos internos.

f)

Realizar uma anlise crtica do SGSI pela direo em bases regulares para assegurar que o escopo permanece adequado e que so identificadas melhorias nos processos do SGSI


Manter e Melhorar o SGSI

a)

Implementar as melhorias identificadas no SGSI.

b) Executar as aes preventivas e corretivas apropriadas. Aplicar as lies aprendidas de experincias de segurana da informao de outras organizaes e aquelas da prpria organizao.

c) Comunicar as aes e melhorias a todas as partes interessadas com um nvel de detalhe apropriado s circunstncias e, se relevante, obter a concordncia sobre como proceder.

d) Assegurar-se de que as melhorias atinjam os objetivos pretendidos.



Slide47/63




Slide48/63

Requisitos de Documentao

- A documentao deve incluir registros de decises da direo, assegurar que as aes sejam rastreveis s polticas e decises da direo, e assegurar que os resultados registrados sejam reproduzveis;

- Deve incluir declaraes documentadas da poltica, escopo, procedimentos e controles que apoiam o SGSI, metodologia e relatrio da anlise/aval. de riscos, procedimentos documentados para EIOMAMM o SGSI e declarao de aplicabilidade;

- Controle de documentos;

- Controle de registros.


NBR ISO/IEC 270015. Resp. da Direo


Slide49/63

5.1 Comprometimento da Direo:

A Direo deve fornecer evidncia do seu comprometimento com o EIOMAMM do SGSI mediante:

a)

o estabelecimento da poltica do SGSI; b) a garantia de que so estabelecidos os planos e objetivos do SGSI;c)

o estabelecimento de papis e responsabilidades pela segurana de informao;d) a comunicao organizao da importncia em atender aos objetivos de segurana da informao e conformidade;




Slide50/63

5.1 Comprometimento da Direo:

e) a proviso de recursos suficientes para EIOMAMM o SGSI;

f)

a definio de critrios para aceitao de riscos e dos nveis de riscos aceitveis;

g) a garantia de que as auditorias internas do SGSI sejam realizadas;

h) a conduo de anlises crticas do SGSI pela direo.




Slide51/63

5.2 Gesto dos Recursos:

5.2.1 - Proviso de recursos;

5.2.2 - Treinamento, conscientizao e competncia.


A organizao deve conduzir auditorias internas do SGSI a intervalos planejados para determinar se os objetivos de controle, controles, processos e procedimentos do seu SGSI so executados como esperado, se so eficazes e atendem aos requisitos de conformidade e de SI.

NBR ISO/IEC 270016. Auditorias Internas


Slide52/63


NBR ISO/IEC 270017. Anlise Crtica pela Direo


Slide53/63

A direo deve analisar criticamente o SGSI da organizao a intervalos planejados (pelo menos uma vez por ano) para assegurar a sua contnua pertinncia, adequao e eficcia.Entradas: - resultados de auditorias do SGSI e anlises crticas; - realimentao das partes interessadas; - situao das aes preventivas e corretivas; - vulnerabilidades ou ameaas no contempladas ant.; - resultados da eficcia das medies; - acompanhamento das aes oriundas de anlises crticas anteriores; - recomendaes para melhoria.


Sadas:

a) Melhoria da eficcia do SGSI.

b) Atualizao da anlise/avaliao de riscos e do plano de tratamento de riscos.

c)

Modificao de procedimentos e controles que afetem a segurana da informao

d) Necessidade de recursos.

e) Melhoria de como a eficcia dos controles est sendo medida.

NBR ISO/IEC 270017. Anlise Crtica pela Direo


Slide54/63


NBR ISO/IEC 270018. Melhoria do SGSI


Slide55/63

Melhoria contnua

A organizao deve continuamente melhorar a eficcia do SGSI por meio do uso da poltica de segurana da informao, objetivos de segurana da informao, resultados de auditorias, anlises de eventos monitorados, aes corretivas e preventivas e anlise crtica pela direo.

Aes corretivas e preventivas

Identificar no-conformidades; Determinar as causas de no-conformidades; Avaliar a necessidade de aes para assegurar que no haja recorrncia; Determinar e implementar as aes necessrias; Registrar os resultados das aes executadas; Analisar Criticamente as Aes.




Slide56/63

Aneel 2010[110] Os objetivos de controle e os controles pertinentes e aplicveis ao SGSI da organizao devem ser selecionados exclusivamente com base nos resultados e concluses dos processos de anlise/avaliao de riscos e de decises acerca de como controlar, evitar, transferir ou aceitar tais riscos.

[111] A anlise crtica do SGSI da organizao deve ser efetuada periodicamente pela alta direo, considerando os resultados de auditorias externas, entre outras informaes. Essa anlise assegura a contnua pertinncia, adequao e eficcia do SGSI, e produz verses atualizadas da anlise/avaliao de riscos e do plano de tratamento de riscos.

E

E

Exclusivamente? E os requisitos de conformidade? E o negcio?

Cuidado! A 27001 fala em auditorias INTERNAS.


NBR ISO/IEC 27001


Slide57/63

ANAC 2009

[97] Na definio de um sistema de gesto de segurana da informao, deve-se definir o escopo, a poltica e a abordagem para a identificao de riscos, bem como identificar e avaliar alternativas para o tratamento dos mesmos.

[98] Apesar de recomendvel, a aceitao de riscos residuais no precisa necessariamente passar pela aprovao da gesto superior da organizao.

[99] Na implementao e operacionalizao do sistema de gesto de segurana da informao, deve-se medir a eficcia dos controles propostos.

96 e 100 j foram feitas.

C

E

C



NBR ISO/IEC 27001


Slide58/63

Comentrio sobre a 99:

A norma diz que a organizao deve:- Definir como medir a eficcia dos controles selecionados;- O descrito no item 99 refere-se ao Check ou Monitorar e Analisar Criticamente;- Mais uma para a conta do CESPE ...



NBR ISO/IEC 27001


Slide59/63

Anatel 2009 - Negcios(referindo-se a figura do PDCA)

[83] Considere as diferentes fases do ciclo de gesto no modelo da figura plan, do, check e act. A definio de critrios para a avaliao e para a aceitao dos riscos de segurana da informao que ocorrem no escopo para o qual o modelo da figura est sendo estabelecido, implementado, operado, monitorado, analisado criticamente, mantido e melhorado ocorre, primariamente, durante a fase do.

[85] A classificao da informao um objetivo de controle explicitamente enunciado pela norma ABNT NBR ISO/IEC 27001:2006 e que agrega dois controles, sendo um deles relacionado a recomendaes para classificao e o outro, ao uso de rtulos.

E

C!

Polmica! Consta nos Anexos ...



NBR ISO/IEC 27001


Slide60/63

TCU 2009

[170] Entre os documentos e registros cujo controle demandado pela norma ABNT NBR ISO/IEC 27001, destacam-se como documentos a declarao da poltica de segurana, o relatrio de anlise/avaliao de risco e a declarao de aplicabilidade; alm disso, destacam-se como registros os livros de visitantes, os relatrios de auditoria, as ocorrncias de incidentes de segurana e outros registros, inclusive de no conformidade.

C



NBR ISO/IEC 27001


Slide61/63

Serpro 2008 - Redes

[86] A declarao de aplicabilidade um documento que

deve detalhar os objetivos de controle e os controles a serem implementados para a segurana da informao. Os demais controles e objetivos de controle, no inclusos na declarao de aplicabilidade, devem fazer parte do documento de anlise de GAP.[87] A definio de critrios para aceitao de riscos uma das responsabilidades da alta administrao, segundo a norma NBR ISO/IEC 27001.[88] O estabelecimento da poltica do sistema de gesto de segurana da informao (SGSI) de responsabilidade da equipe de segurana da informao.

E

C

E



NBR ISO/IEC 27001


Slide62/63

Serpro 2008 - Redes

[89] Para assegurar que os controles, objetivos de controle e processos

sejam executados e implementados de forma eficaz, a norma NBR ISO/IEC 27001 recomenda a realizao de auditorias externas em intervalos regulares de, no mximo, seis meses.

[90] A identificao de no-conformidades potenciais e suas causas caracterizada como uma ao preventiva, segundo a norma NBR ISO/IEC 27001.

[91] Entre as atividades contempladas na fase agir (act) est a necessidade de identificar no-conformidades potenciais e suas causas, objetivando alcanar a melhoria contnua do sistema de gesto de segurana da informao.

[92] A norma NBR ISO/IEC 27001 recomenda a adoo de abordagem qualitativa para a realizao da anlise de risco.

E

C

E

E



NBR ISO/IEC 27001


Slide63/63

MPS 2010

[101] Risco residual aquele remanescente quando as medidas implementadas para modificar esse risco no conseguem elimin-lo.[102] A declarao de aplicabilidade define os ambientes ou as unidades da organizao alvo dos controles estabelecidos pelo sistema de gesto de segurana da informao (SGSI).[103] Integridade a propriedade que garante que uma informao no ser furtada da organizao.

C

E

E



questões nbr 27001

Documents