Iso27001 sgsi
Transferir como PPTX, PDF4 gostaram1,714 visualizações
A apresentação explica a norma NBR ISO/IEC 27001, que fornece um modelo para estabelecer, implementar e melhorar um Sistema de Gestão de Segurança da Informação. A norma define requisitos para identificar e gerenciar riscos de segurança da informação. A adoção da norma pode reduzir riscos, melhorar a segurança e trazer benefícios como confiança de stakeholders.
Iso27001 sgsi
- 1. SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO 1
- 2. FAZER UMA EXPLANAÇÃO SOBRE A NORMA NBR ISO/IEC 27001 AFIM DE TORNAR CONHECIDO À TODOS PRESENTES A SUA FINALIDADE. 2/30
- 3. Introdução ◦ Conceitos Desenvolvimento ◦ O que é a norma ISO 27001? ◦ Para que serve? ◦ Em que consiste? ◦ Quais os benefícios para quem adotar? ◦ Quanto tempo demora a preparação da certificação? ◦ Alguns Objetivos de Controle e Controles Conclusão Referências 3/30
- 4. NBR ISO/IEC 27001 1. NBR - Denominação de norma da Associação Brasileira de Normas Técnicas (ABNT) 2. ISO - Organização Internacional para Padronização 1. International Organization for Standardization 3. IEC - Comissão Eletrotécnica Internacional 1. International Electrotechnical Commission 4/30
- 5. Família 27000 – ISO/IEC 27000 series - Descrição e Vocabulário Organizações podem desenvolver e implementar uma estrutura para gerenciar a segurança de seus ativos de informação Se preparar para uma avaliação independente do seu SGSI(Sistema de Gestão de Segurança da Informação) aplicado à proteção de informações Normas 1. ISO/IEC 27002:2005 - Código de Prática para Gestão da Segurança da Informação 2. ISO/IEC 27005:2011 - Gestão de Riscos de Segurança da Informação 3. ISO/IEC 27007 :2012– Diretrizes para auditoria de SGSI 4. ISO/IEC 27014:2013 – Governança de segurança da informação 5/30
- 6. Publicado o código de prática pelo governo inglês Publicado pelo BSI como BS 7799 1992 1995 1º Grande revisão da BS 7799 1999 Republicado como padrão Internacional ISO/IEC 17799-1 2000 Publicada BS 7799-2 Especificação do SGSI 2002 Publicação BS 7799-2=ISO/IEC 27001 E NBR ISO/IEC 17799 2005 ABNT publica a NBR ISO/IEC 27001:2006 2006 ABNT publica a NBR ISO/IEC 27002:2007(Correção e Renomeação 17799-1) 2007 2013 27001:2013 substitui a 2005 6/30
- 7. Conceitos ◦ Sistema Um conjunto de elementos inter-relacionados, cada qual desempenhando uma função, para, de forma integrada e coordenada, contribuir e garantir que o objetivo do sistema seja atingido – Teoria Geral dos Sistemas 7/30
- 8. Conceitos ◦ Gestão São os mecanismos que têm de ser implantados para que tendências instintivas (naturais) originadas no auto-interesse das pessoas, sejam canalizadas para o interesse da empresa. - Clemente Nobrega 8/30
- 9. Conceitos ◦ Segurança da Informação Preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas. - ABNT NBR ISO/IEC 17799:2005 9/30
- 10. Outros Conceitos ◦ Risco A possibilidade de uma determinada ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira prejudicando a organização - ◦ Ameaça Causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização ◦ Vulnerabilidade Fraqueza de um ativo ou controle , que pode ser explorada por uma ameaça ◦ Impacto Mudança adversa no nível obtido dos objetivos de negócios ◦ Ativo Qualquer coisa que tenha valor para a organização 10/30
- 11. 11/30 Integrity Responsibility Confidentiality Availability Integrity Information Security Confidentiality Authenticity Responsibility Non repudiation Confidentiality Availability Integrity Information Security Reliability Authenticity Responsibility Non repudiation PeopleProducts Partners Process
- 12. 12/30
- 13. É um modelo/padrão e referência internacional para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI. 13/30
- 14. Para que as organizações adotem um modelo adequado de estabelecimento, implementação, operação, monito rização, revisão e gestão de um Sistema de Gestão de Segurança da Informação. É independente de fabricantes ◦ Se destina ao estabelecimento Processos e Procedimento de acordo com realidade de cada organização 14/30
- 15. A norma padrão (Standard) ISO 27001 é composta por duas componentes relativamente distintas: 1. Onde são definidas as regras e os requisitos de cumprimento da norma 2. ANEXO A - Um conjunto de objetivos de controle e controles que as organizações devem adotar – NORMATIVO INFORMATIVOS 1. ANEXO B - Princípios da OECD(ORGANIZAÇÃO PARA A COOPERAÇÃO E DESENVOLVIMENTO ECONÓMICO) e desta Norma 2. ANEXO C – Correspondência às Nomas ISO 9001 E 14001 15/30
- 18. Reduz o risco de responsabilidade por não implantar um SGSI Identifica e corrige pontos fracos A alta direção assume a responsabilidade pela SI Permite revisão independente do SGSI Oferece confiança aos stakeholders Melhor consciência sobre Segurança Combina recursos com outros sistemas de gestão Mecanismo para medir o sucesso do Sistema 18/30
- 19. Varia de acordo com a realidade, maturidade e dimensão de cada organização, mas considera-se razoável estabelecer como tempo médio o período entre seis meses e um ano. 19/30
- 20. Política de segurança da informação ◦ Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes ◦ Objetivos de Controle Documento da política de segurança da informação Análise crítica da política de segurança da informação 20/30
- 21. 21/30
- 22. Aspectos da gestão da continuidade do negócio, relativos à segurança da informação ◦ Não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil, se for o caso. ◦ Objetivos de Controle Incluindo segurança da informação no processo de gestão da continuidade de negócio Desenvolvimento e implementação de planos de continuidade relativos à segurança da informação 22/30
- 23. 23/30
- 24. Responsabilidades dos usuários ◦ Prevenir o acesso não autorizado dos usuários e evitar o comprometimento ou roubo da informação e dos recursos de processamento da informação ◦ Objetivos de Controle Uso de senha Política de mesa limpa e tela limpa 24/30
- 25. 25/30
- 27. 27/30
- 28. A NORMA NBR ISO/IEC 27001 é um modelo/padrão de boa prática para se alcançar níveis de maturidade cada vez maiores na área de Segurança da Informação e atingir o objetivo de implementar um SGSI. 28/30
- 29. Normas da família 27000 29/30
- 30. 30/30