Transcript Segurança e Auditoria de Sistemas

Normas ISO/IEC de Segurança da
Informação
 ISO/IEC 27001:
 Objetiva prover um modelo para estabelecer, implementar,
operar, monitorar, analisar criticamente, manter e
melhorar um Sistema de Gestão de Segurança da
Informação (SGSI), ou ISMS (Information Security
Management System);
 Ciclo PDCA;
 Dividida em cinco seções:
 O Sistema de Gestão da Segurança da Informação;
 A responsabilidade da administração;
 As auditorias internas do ISMS;
 A revisão do ISMS;
 A melhoria do ISMS.
Ciclo PDCA
 O modelo PDCA (ou ciclo de Deming) é usado para
controlar uma série de ações, com o objetivo de
controlar algum processo. Este modelo é baseado em
quatro etapas:
 Planejar (Plan)
 Executar (Do)
 Verificar (Check)
 Agir (Act)
Ciclo PDCA
Ciclo PDCA
ISO/IEC 27002 - Tecnologia da informação - Técnicas de
segurança - Código de prática para a gestão da segurança
da informação
 ISO/IEC 27002:
 Substitui a antiga ISO/IEC 17799;
 Dividida nas seguintes seções:
1.
2.
3.
4.
5.
6.
Política de segurança da informação;
Organizando a segurança da informação;
Gestão de ativos;
Segurança em recursos humanos;
Segurança física do ambiente;
Gestão das operações e comunicações;
ISO/IEC 27002 - Tecnologia da informação - Técnicas de
segurança - Código de prática para a gestão da segurança
da informação
7.
8.
9.
10.
11.
Controle de acesso
Aquisição, desenvolvimento e manutenção de sistemas de
informação;
Gestão de incidentes de segurança da informação;
Gestão da continuidade do negócio;
Conformidade.
ISO/IEC 27002 - Política de
segurança da informação
1.
Elaboração do Documento da Política de Segurança
da Informação
ISO/IEC 27002 - Organizando a
segurança da informação
Infra-estrutura da Segurança da Informação
2. Partes Externas
1.
ISO/IEC 27002 - Gestão de ativos
Responsabilidade Pelos Ativos
2. Classificação da Informação
1.
ISO/IEC 27002 – Segurança em
recursos humanos
Antes da Contratação
2. Durante a Contratação
3. Encerramento ou Mudança da Contratação
1.
ISO/IEC 27002 - Segurança física do
ambiente
Áreas Seguras
1.
1.
2.
3.
4.
5.
6.
Perímetro de segurança física
Controles de entrada física
Segurança em escritórios, salas e instalações
Proteção contra ameaças externas e do meio ambiente
Trabalhando em área seguras
Acesso do público, áreas de entrega e de carregamento
Segurança de Equipamentos
2.
1.
2.
3.
4.
5.
6.
7.
Instalação e proteção do equipamento
Utilidades
Segurança do cabeamento
Manutenção dos equipamentos
Segurança de equipamentos fora das dependências da organização
Reutilização e alienação segura de equipamentos
Remoção de propriedade
ISO/IEC 27002 - Gestão das
operações e comunicações
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
Procedimentos e Responsabilidades Operacionais
Gerenciamento de Serviços Terceirizados
Planejamento e Aceitação dos Sistemas
Proteção Contra Códigos Maliciosos e Códigos Móveis
Cópias de Segurança
Gerenciamento da Segurança em Redes
Manuseio de Mídias
Troca de Informações
Serviços de Comércio Eletrônico
Monitoramento
ISO/IEC 27002 - Controle de acesso
1.
2.
3.
4.
5.
6.
7.
Requisitos de Negócio Para Controle de Acesso
Gerenciamento de Acesso do Usuário
Responsabilidades dos Usuários
Controle de Acesso à Rede
Controle de Acesso ao Sistema Operacional
Controle de Acesso à Aplicação e à Informação
Computação Móvel e Trabalho Remoto
ISO/IEC 27002 - Aquisição, desenv.
e manut. de sist. de informação
1.
2.
3.
4.
5.
6.
Requisitos de Segurança de Sistemas de Informação
Processamento Correto nas Aplicações
Controles Criptográficos
Segurança dos Arquivos do Sistema
Segurança em Processos de Desenvolvimento e
Suporte
Gestão de Vulnerabilidades Técnicas
ISO/IEC 27002 - Gestão de
incidentes de seg. da informação
Notificação de Fragilidades e Eventos de Segurança
da Informação
2. Gestão de Incidentes de Segurança da Informação e
Melhorias
1.
ISO/IEC 27002 - Gestão da
continuidade do negócio
1.
Aspectos da Gestão da Continuidade do Negócio,
Relativos à Segurança da Informação
ISO/IEC 27002 - Conformidade
Conformidade com Requisitos Legais
2. Conformidade com Normas e Políticas de Segurança
da Informação e Conformidade Técnica
3. Considerações Quanto à Auditoria de Sistemas de
Informação
1.
Normas ISO/IEC da série 27000 de
Segurança da Informação
 ISO/IEC 27000:2009 - Sistema de Gerenciamento de
Segurança - Explicação da série de normas, objetivos e
vocabulários;
 ISO/IEC 27001:2005 - Sistema de Gestão de Segurança da
Informação - Especifica requerimentos para estabelecer,
implementar, monitorar e rever, além de manter e
provisionar um sistema de gerenciamento completo. Utiliza
o PDCA como princípio da norma e é certificável para
empresas.
 ISO/IEC 27002:2005 - Código de Melhores Práticas para a
Gestão de Segurança da Informação - Mostra o caminho de
como alcançar os controles certificáveis na ISO 27001. Essa
ISO é certificável para profissionais e não para empresas.
Normas ISO/IEC da série 27000 de
Segurança da Informação
 ISO/IEC 27003:2010 - Diretrizes para Implantação de um Sistema
de Gestão da Segurança da Informação - Segundo a própria
ISO/IEC 27003, “O propósito desta norma é fornecer diretrizes
práticas para a implementação de um Sistema de Gestão da
Segurança da Informação (SGSI), na organização, de acordo com
a ABNT NBR ISO/IEC 27001:2005.
 ISO/IEC 27004:2009 - Gerenciamento de Métricas e Relatórios
para um Sistema de Gestão de Segurança da Informação - Mostra
como medir a eficácia do sistema de gestão de SI na corporação.
 ISO/IEC 27005:2008 - Gestão de Riscos de Segurança da
Informação - Essa norma é responsável por todo ciclo de controle
de riscos na organização, atuando junto à ISO 27001 em casos de
certificação ou através da ISO 27002 em casos de somente
implantação.
Normas ISO/IEC da série 27000 de
Segurança da Informação
 ISO/IEC 27006:2007 - Requisitos para auditorias
externas em um Sistema de Gerenciamento de
Segurança da Informação - Especifica como o processo
de auditoria de um sistema de gerenciamento de
segurança da informação deve ocorrer.
 ISO/IEC 27007 - Referências(guidelines) para
auditorias em um Sistema de Gerenciamento de
Segurança da Informação.
 ISO/IEC 27008 - Auditoria nos controles de um SGSI O foco são nos controles para implementação da ISO
27001.
Normas ISO/IEC da série 27000 de
Segurança da Informação
 ISO/IEC 27010 - Gestão de Segurança da Informação para
Comunicações Inter Empresariais- Foco nas melhores
formas de comunicar, acompanhar, monitorar grandes
incidentes e fazer com que isso seja feito de forma
transparente entre empresas particulares e governamentais.
 ISO/IEC 27011:2008 - Gestão de Segurança da Informação
para empresa de Telecomunicações baseada na ISO 27002 Entende-se que toda parte de telecomunicação é vital e
essencial para que um SGSI atinja seus objetivos
plenos(claro que com outras áreas), para tanto era
necessário normatizar os processos e procedimentos desta
área objetivando a segurança da informação corporativa de
uma maneira geral. A maneira como isso foi feito, foi tendo
como base os controles e indicações da ISO 27002.