SlideShare une entreprise Scribd logo

Resumo abnt nbr_iso_27002_2005

Vanderson Vawell
Vanderson Vawell

1) O documento discute os requisitos e práticas para a gestão da segurança da informação de acordo com a norma ABNT NBR ISO/IEC 27002:2005. 2) A norma fornece diretrizes para estabelecer requisitos de segurança, avaliar riscos, selecionar controles apropriados e um ponto de partida para a implementação inicial da segurança da informação. 3) Fatores cruciais para o sucesso incluem o comprometimento da gestão, entendimento dos riscos, conscientização dos funcionários, recursos adequados e medição

1  sur  8
Télécharger pour lire hors ligne
ABNT NBR ISO/IEC 27002:2005 Código de prática para a gestão da segurança da informação A partir de 2007, a nova edição da ISO/IEC 17799 será incorporada ao novo esquema de numeração como ISO/IEC 27002. 0 Introdução 0.1 O que é segurança da informação? Informação É um ativo Essencial Necessita ser adequadamente protegida. Para os negócios de uma organização. Segurança da Obtida a partir da implementação Informação de um conjunto de controles adequados. É a proteção De vários tipos da de ameaças. informação Maximizar: Garantir a Minimizar o continuidade risco ao do negócio. negócio. Retorno sobre Oportunidades os de negócio. investimentos
Políticas. Procedimentos Processos. Controles Funções de Estruturas software e organizacionais hardware. Precisam ser: Garantir o atendimento: Estabelecidos. Monitorados. Objetivos do negócio. Implementados. Segurança da Analisados organização. criticamente. Melhorados. Convém que isto seja feito em conjunto com outros processos de gestão do negócio. 0.2 Por que a segurança da informação é necessária? Processos de apoio. Informação. Sistemas. Ativos para os negócios Redes.
Atividades Importante para o Essenciais: negócio (setores público Segurança da informação / privado). Definir, Alcançar. Evitar ou reduzir os riscos. Manter. Asseguram Melhorar. Competitividade. Fluxo de caixa. Lucratividade. Atendimento: Requisitos legais. Imagem da organização junto ao mercado. A tendência da computação distribuída reduz a eficácia da implementação de um controle de acesso centralizado.
0.3 Como estabelecer requisitos de segurança da informação Fontes principais de requisitos (3 fontes) – 1ª Fonte Análise / avaliação de riscos para a organização. Considera Identifica Realiza Objetivos e as Ameaças aos Estimativa da estratégias globais ativos e as probabilidade de de negócio da vulnerabilidades ocorrência das ameaças organização. destes. e do impacto potencial ao negócio. Fontes principais de requisitos (3 fontes) – 2ª Fonte Legislação Estatutos. Regulamentação Seu ambiente vigente. sociocultural. Cláusulas Organização. contratuais Provedores de (atender). serviço. Seus parceiros Contratados. comerciais.
Fontes principais de requisitos (3 fontes) – 3ª Fonte Para o Conjunto particular processamento da (do negócio): informação (apoiar operações) Princípios. Objetivos. Requisitos. 0.4 Analisando/avaliando os riscos de segurança da informação Os gastos com os controles... Gerados pelas Balanceados de Com os danos potenciais falhas na acordo ... causados aos segurança da negócios... informação. Convém que a análise/avaliação de riscos seja repetida periodicamente para contemplar quaisquer mudanças que possam influenciar os resultados desta análise/avaliação.
0.5 Seleção de controles Uma vez identificados: Requisitos de Riscos segurança da informação Convém que controles apropriados sejam selecionados e implementados para assegurar que os riscos sejam reduzidos a um nível aceitável. Desta Norma Outro conjunto Novos (27002) de controles. controles. Seleção de controles Depende das decisões da organização, baseadas: Nos critérios para Nas opções para No enfoque geral da gestão de aceitação de tratamento do risco. risco aplicado à organização. risco. Convém que também esteja sujeito a todas as legislações e regulamentações nacionais e internacionais, relevantes.
0.6 Ponto de partida para a segurança da informação Sob o ponto de vista legal: a) Proteção de dados e privacidade de informações pessoais (ver 15.1.4); b) Proteção de registros organizacionais (ver 15.1.3); c) Direitos de propriedade intelectual (ver 15.1.2). Práticas para a segurança da informação a) Documento da política de segurança da informação (ver 5.1.1); b) Atribuição de responsabilidades para a segurança da informação (ver 6.1.3); c) Conscientização, educação e treinamento em segurança da informação (ver 8.2.2); d) Processamento correto nas aplicações (ver 12.2); e) Gestão de vulnerabilidades técnicas (ver 12.6); f) Gestão da continuidade do negócio (ver seção 14); g) Gestão de incidentes de segurança da informação e melhorias (ver 13.2). Embora o enfoque acima seja considerado um bom ponto de partida, ele não substitui a seleção de controles, baseado na análise/avaliação de riscos.
0.7 Fatores críticos de sucesso Política de segurança da informação, objetivos e atividades, que reflitam os objetivos do negócio; a) Uma abordagem e uma estrutura para a implementação, manutenção, monitoramento e melhoria da segurança da informação que seja consistente com a cultura organizacional; b) Comprometimento e apoio visível de todos os níveis gerenciais; c) Um bom entendimento dos requisitos de segurança da informação, da análise/avaliação de riscos e da gestão de risco; d) Divulgação eficiente da segurança da informação para todos os gerentes, funcionários e outras partes envolvidas para se alcançar a conscientização; e) Distribuição de diretrizes e normas sobre a política de segurança da informação para todos os gerentes, funcionários e outras partes envolvidas; f) Provisão de recursos financeiros para as atividades da gestão de segurança da informação; g) Provisão de conscientização, treinamento e educação adequados; h) Estabelecimento de um eficiente processo de gestão de incidentes de segurança da informação; i) Implementação de um sistema de medição, que seja usado para avaliar o desempenho da gestão da segurança da informação e obtenção de sugestões para a melhoria. As medições de segurança da informação estão fora do escopo desta Norma. 0.8 Desenvolvendo suas próprias diretrizes Nem todos os controles e diretrizes contidos nesta Norma podem ser aplicados. Controles adicionais e recomendações não incluídos nesta Norma podem ser necessários.

Recommandé

Gestao de servicos de Ti | Andracom
Gestao de servicos de Ti | AndracomGestao de servicos de Ti | Andracom
Gestao de servicos de Ti | AndracomAndracom Solutions
 
Sistema de Informação Gerencial – SIG
Sistema de Informação Gerencial – SIGSistema de Informação Gerencial – SIG
Sistema de Informação Gerencial – SIGMúsicaParaense.Org
 
Cap5e6
Cap5e6Cap5e6
Cap5e6Shirley Oliveira
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasGrupoAlves - professor
 
Gestão da Governança de TI | Andracom
Gestão da Governança de TI | AndracomGestão da Governança de TI | Andracom
Gestão da Governança de TI | AndracomAndracom Solutions
 
Aula2
Aula2Aula2
Aula2Universidade Of Lost
 
10990 4
10990 410990 4
10990 4vitoras
 
Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasCapitu Tel
 

Recommandé

Gestao de servicos de Ti | Andracom
Gestao de servicos de Ti | AndracomGestao de servicos de Ti | Andracom
Gestao de servicos de Ti | AndracomAndracom Solutions
 
Sistema de Informação Gerencial – SIG
Sistema de Informação Gerencial – SIGSistema de Informação Gerencial – SIG
Sistema de Informação Gerencial – SIGMúsicaParaense.Org
 
Cap5e6
Cap5e6Cap5e6
Cap5e6Shirley Oliveira
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasGrupoAlves - professor
 
Gestão da Governança de TI | Andracom
Gestão da Governança de TI | AndracomGestão da Governança de TI | Andracom
Gestão da Governança de TI | AndracomAndracom Solutions
 
Aula2
Aula2Aula2
Aula2Universidade Of Lost
 
10990 4
10990 410990 4
10990 4vitoras
 
Apostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasApostila auditoria e segurança de sistemas
Apostila auditoria e segurança de sistemasCapitu Tel
 
Analise de risco
Analise de riscoAnalise de risco
Analise de riscohrlima7
 
Aula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemasAula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemassorayaNadja
 
6932 adm sistinf
6932 adm sistinf6932 adm sistinf
6932 adm sistinfCliceres Mack Dal Bianco
 
Gestão de Segurança de Processos Baseada em Riscos (RBPS)
Gestão de Segurança de Processos Baseada em Riscos (RBPS)Gestão de Segurança de Processos Baseada em Riscos (RBPS)
Gestão de Segurança de Processos Baseada em Riscos (RBPS)Robson Peixoto
 
Exemplo de plano de continuidade de ti
Exemplo de plano de continuidade de tiExemplo de plano de continuidade de ti
Exemplo de plano de continuidade de tiFernando Palma
 
Visão geral sobre Governança em TI
Visão geral sobre Governança em TIVisão geral sobre Governança em TI
Visão geral sobre Governança em TIFernando Galdino
 
BIA - Business Impact Analysis
BIA - Business Impact AnalysisBIA - Business Impact Analysis
BIA - Business Impact AnalysisAllan Piter Pressi
 
Aula 1 sig s e si
Aula 1 sig s e siAula 1 sig s e si
Aula 1 sig s e siHumberto Rodrigues
 
2 sistemas
2 sistemas2 sistemas
2 sistemasFelipe Pereira
 
InFormaSeg 2010
InFormaSeg 2010InFormaSeg 2010
InFormaSeg 2010Akira Sato
 
Gestão de Continuidade de Negócios como Ferramenta Estratégica
Gestão de Continuidade de Negócios como Ferramenta EstratégicaGestão de Continuidade de Negócios como Ferramenta Estratégica
Gestão de Continuidade de Negócios como Ferramenta EstratégicaGledson Scotti
 
1 introducao auditoria
1 introducao auditoria1 introducao auditoria
1 introducao auditoriaBoechat79
 
Apostila de auditoria e segurança da informação - pronatec
Apostila de auditoria e segurança da informação - pronatecApostila de auditoria e segurança da informação - pronatec
Apostila de auditoria e segurança da informação - pronatecJefferson Santana
 
Aula 2 - Gestão de Riscos
Aula 2 - Gestão de RiscosAula 2 - Gestão de Riscos
Aula 2 - Gestão de RiscosCarlos Henrique Martins da Silva
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows ServerGuilherme Lima
 
Sistemas de Normatização Corporativos
Sistemas de Normatização CorporativosSistemas de Normatização Corporativos
Sistemas de Normatização CorporativosDocumentar Tecnologia e Informação
 
Elo Group Evoluindo De Uma GestãO Tradicional De Riscos Para Grc
Elo Group Evoluindo De Uma GestãO Tradicional De Riscos Para GrcElo Group Evoluindo De Uma GestãO Tradicional De Riscos Para Grc
Elo Group Evoluindo De Uma GestãO Tradicional De Riscos Para GrcEloGroup
 
Sistema de informação gerencial sig
Sistema de informação gerencial sigSistema de informação gerencial sig
Sistema de informação gerencial sigWanderson Alves
 
A fdd575dad7b0e9273cb28e5bd2dde658 sig_mt
A fdd575dad7b0e9273cb28e5bd2dde658 sig_mtA fdd575dad7b0e9273cb28e5bd2dde658 sig_mt
A fdd575dad7b0e9273cb28e5bd2dde658 sig_mtVinicius Santos
 
S.i.g
S.i.gS.i.g
S.i.gAlineh Sousa
 
Saude governance rg
Saude governance rgSaude governance rg
Saude governance rgRui Gomes
 
Segurança da informação em ambientes corporativos
Segurança da informação em ambientes corporativosSegurança da informação em ambientes corporativos
Segurança da informação em ambientes corporativosrcmenezes
 

Contenu connexe

Tendances

Analise de risco
Analise de riscoAnalise de risco
Analise de riscohrlima7
 
Aula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemasAula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemassorayaNadja
 
Gestão de Segurança de Processos Baseada em Riscos (RBPS)
Gestão de Segurança de Processos Baseada em Riscos (RBPS)Gestão de Segurança de Processos Baseada em Riscos (RBPS)
Gestão de Segurança de Processos Baseada em Riscos (RBPS)Robson Peixoto
 
Exemplo de plano de continuidade de ti
Exemplo de plano de continuidade de tiExemplo de plano de continuidade de ti
Exemplo de plano de continuidade de tiFernando Palma
 
Visão geral sobre Governança em TI
Visão geral sobre Governança em TIVisão geral sobre Governança em TI
Visão geral sobre Governança em TIFernando Galdino
 
BIA - Business Impact Analysis
BIA - Business Impact AnalysisBIA - Business Impact Analysis
BIA - Business Impact AnalysisAllan Piter Pressi
 
InFormaSeg 2010
InFormaSeg 2010InFormaSeg 2010
InFormaSeg 2010Akira Sato
 
Gestão de Continuidade de Negócios como Ferramenta Estratégica
Gestão de Continuidade de Negócios como Ferramenta EstratégicaGestão de Continuidade de Negócios como Ferramenta Estratégica
Gestão de Continuidade de Negócios como Ferramenta EstratégicaGledson Scotti
 
1 introducao auditoria
1 introducao auditoria1 introducao auditoria
1 introducao auditoriaBoechat79
 
Apostila de auditoria e segurança da informação - pronatec
Apostila de auditoria e segurança da informação - pronatecApostila de auditoria e segurança da informação - pronatec
Apostila de auditoria e segurança da informação - pronatecJefferson Santana
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows ServerGuilherme Lima
 
Elo Group Evoluindo De Uma GestãO Tradicional De Riscos Para Grc
Elo Group Evoluindo De Uma GestãO Tradicional De Riscos Para GrcElo Group Evoluindo De Uma GestãO Tradicional De Riscos Para Grc
Elo Group Evoluindo De Uma GestãO Tradicional De Riscos Para GrcEloGroup
 

Tendances (17)

Analise de risco
Analise de riscoAnalise de risco
Analise de risco
 
Aula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemasAula 04 coneitos de auditoria de sistemas
Aula 04 coneitos de auditoria de sistemas
 
6932 adm sistinf
6932 adm sistinf6932 adm sistinf
6932 adm sistinf
 
Gestão de Segurança de Processos Baseada em Riscos (RBPS)
Gestão de Segurança de Processos Baseada em Riscos (RBPS)Gestão de Segurança de Processos Baseada em Riscos (RBPS)
Gestão de Segurança de Processos Baseada em Riscos (RBPS)
 
Exemplo de plano de continuidade de ti
Exemplo de plano de continuidade de tiExemplo de plano de continuidade de ti
Exemplo de plano de continuidade de ti
 
Visão geral sobre Governança em TI
Visão geral sobre Governança em TIVisão geral sobre Governança em TI
Visão geral sobre Governança em TI
 
BIA - Business Impact Analysis
BIA - Business Impact AnalysisBIA - Business Impact Analysis
BIA - Business Impact Analysis
 
Aula 1 sig s e si
Aula 1 sig s e siAula 1 sig s e si
Aula 1 sig s e si
 
2 sistemas
2 sistemas2 sistemas
2 sistemas
 
InFormaSeg 2010
InFormaSeg 2010InFormaSeg 2010
InFormaSeg 2010
 
Gestão de Continuidade de Negócios como Ferramenta Estratégica
Gestão de Continuidade de Negócios como Ferramenta EstratégicaGestão de Continuidade de Negócios como Ferramenta Estratégica
Gestão de Continuidade de Negócios como Ferramenta Estratégica
 
1 introducao auditoria
1 introducao auditoria1 introducao auditoria
1 introducao auditoria
 
Apostila de auditoria e segurança da informação - pronatec
Apostila de auditoria e segurança da informação - pronatecApostila de auditoria e segurança da informação - pronatec
Apostila de auditoria e segurança da informação - pronatec
 
Aula 2 - Gestão de Riscos
Aula 2 - Gestão de RiscosAula 2 - Gestão de Riscos
Aula 2 - Gestão de Riscos
 
Segurança da Informação com Windows Server
Segurança da Informação com Windows ServerSegurança da Informação com Windows Server
Segurança da Informação com Windows Server
 
Sistemas de Normatização Corporativos
Sistemas de Normatização CorporativosSistemas de Normatização Corporativos
Sistemas de Normatização Corporativos
 
Elo Group Evoluindo De Uma GestãO Tradicional De Riscos Para Grc
Elo Group Evoluindo De Uma GestãO Tradicional De Riscos Para GrcElo Group Evoluindo De Uma GestãO Tradicional De Riscos Para Grc
Elo Group Evoluindo De Uma GestãO Tradicional De Riscos Para Grc
 

Similaire à Resumo abnt nbr_iso_27002_2005

Sistema de informação gerencial sig
Sistema de informação gerencial sigSistema de informação gerencial sig
Sistema de informação gerencial sigWanderson Alves
 
A fdd575dad7b0e9273cb28e5bd2dde658 sig_mt
A fdd575dad7b0e9273cb28e5bd2dde658 sig_mtA fdd575dad7b0e9273cb28e5bd2dde658 sig_mt
A fdd575dad7b0e9273cb28e5bd2dde658 sig_mtVinicius Santos
 
Saude governance rg
Saude governance rgSaude governance rg
Saude governance rgRui Gomes
 
Segurança da informação em ambientes corporativos
Segurança da informação em ambientes corporativosSegurança da informação em ambientes corporativos
Segurança da informação em ambientes corporativosrcmenezes
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02asbgrodrigo
 
Gestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosGestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosAlvaro Gulliver
 
Cyber risk indicators
Cyber risk indicatorsCyber risk indicators
Cyber risk indicatorsEduardo Poggi
 
Gestão de Ativos de Software
Gestão de Ativos de SoftwareGestão de Ativos de Software
Gestão de Ativos de SoftwareMarcus Garcia
 
Otimização de Painéis de Negócio com BIG DATA
Otimização de Painéis de Negócio com BIG DATA Otimização de Painéis de Negócio com BIG DATA
Otimização de Painéis de Negócio com BIG DATA Elcio Queiroz
 
Gestao de Serviços de TI - 2009
Gestao de Serviços de TI - 2009Gestao de Serviços de TI - 2009
Gestao de Serviços de TI - 2009Márcio Amaro
 
Controle de acesso baseado em gestão de riscos
Controle de acesso baseado em gestão de riscosControle de acesso baseado em gestão de riscos
Controle de acesso baseado em gestão de riscosfelipetsi
 
Software overview portuguese
Software overview portugueseSoftware overview portuguese
Software overview portugueseLilian Schaffer
 
Painel De Controle Operacional
Painel De Controle OperacionalPainel De Controle Operacional
Painel De Controle OperacionalProcnet
 
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...Sidney Modenesi, MBCI
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Módulo Security Solutions
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...IsmaelFernandoRiboli
 

Similaire à Resumo abnt nbr_iso_27002_2005 (20)

Sistema de informação gerencial sig
Sistema de informação gerencial sigSistema de informação gerencial sig
Sistema de informação gerencial sig
 
A fdd575dad7b0e9273cb28e5bd2dde658 sig_mt
A fdd575dad7b0e9273cb28e5bd2dde658 sig_mtA fdd575dad7b0e9273cb28e5bd2dde658 sig_mt
A fdd575dad7b0e9273cb28e5bd2dde658 sig_mt
 
S.i.g
S.i.gS.i.g
S.i.g
 
Saude governance rg
Saude governance rgSaude governance rg
Saude governance rg
 
Segurança da informação em ambientes corporativos
Segurança da informação em ambientes corporativosSegurança da informação em ambientes corporativos
Segurança da informação em ambientes corporativos
 
Aula 101217070257-phpapp02
Aula 101217070257-phpapp02Aula 101217070257-phpapp02
Aula 101217070257-phpapp02
 
Gestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de NegóciosGestão de Riscos e Continuidade de Negócios
Gestão de Riscos e Continuidade de Negócios
 
Cyber risk indicators
Cyber risk indicatorsCyber risk indicators
Cyber risk indicators
 
Gestão de Ativos de Software
Gestão de Ativos de SoftwareGestão de Ativos de Software
Gestão de Ativos de Software
 
Otimização de Painéis de Negócio com BIG DATA
Otimização de Painéis de Negócio com BIG DATA Otimização de Painéis de Negócio com BIG DATA
Otimização de Painéis de Negócio com BIG DATA
 
Gestao de Serviços de TI - 2009
Gestao de Serviços de TI - 2009Gestao de Serviços de TI - 2009
Gestao de Serviços de TI - 2009
 
Controle de acesso baseado em gestão de riscos
Controle de acesso baseado em gestão de riscosControle de acesso baseado em gestão de riscos
Controle de acesso baseado em gestão de riscos
 
Software overview portuguese
Software overview portugueseSoftware overview portuguese
Software overview portuguese
 
Segurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a NegóciosSegurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a Negócios
 
GRC - Palestra Gf 12nov2009
GRC - Palestra Gf 12nov2009GRC - Palestra Gf 12nov2009
GRC - Palestra Gf 12nov2009
 
Painel De Controle Operacional
Painel De Controle OperacionalPainel De Controle Operacional
Painel De Controle Operacional
 
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
DCIM (Data Center Infrastructure Management) E SEUS IMPACTOS NA CONTINUIDADE ...
 
LGPD - Governança de Dados - BRAVO DPO
LGPD - Governança de Dados - BRAVO DPO LGPD - Governança de Dados - BRAVO DPO
LGPD - Governança de Dados - BRAVO DPO
 
Plano estratégico de segurança da informação
Plano estratégico de segurança da informação Plano estratégico de segurança da informação
Plano estratégico de segurança da informação
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...
 

Resumo abnt nbr_iso_27002_2005

  • 1. ABNT NBR ISO/IEC 27002:2005 Código de prática para a gestão da segurança da informação A partir de 2007, a nova edição da ISO/IEC 17799 será incorporada ao novo esquema de numeração como ISO/IEC 27002. 0 Introdução 0.1 O que é segurança da informação? Informação É um ativo Essencial Necessita ser adequadamente protegida. Para os negócios de uma organização. Segurança da Obtida a partir da implementação Informação de um conjunto de controles adequados. É a proteção De vários tipos da de ameaças. informação Maximizar: Garantir a Minimizar o continuidade risco ao do negócio. negócio. Retorno sobre Oportunidades os de negócio. investimentos
  • 2. Políticas. Procedimentos Processos. Controles Funções de Estruturas software e organizacionais hardware. Precisam ser: Garantir o atendimento: Estabelecidos. Monitorados. Objetivos do negócio. Implementados. Segurança da Analisados organização. criticamente. Melhorados. Convém que isto seja feito em conjunto com outros processos de gestão do negócio. 0.2 Por que a segurança da informação é necessária? Processos de apoio. Informação. Sistemas. Ativos para os negócios Redes.
  • 3. Atividades Importante para o Essenciais: negócio (setores público Segurança da informação / privado). Definir, Alcançar. Evitar ou reduzir os riscos. Manter. Asseguram Melhorar. Competitividade. Fluxo de caixa. Lucratividade. Atendimento: Requisitos legais. Imagem da organização junto ao mercado. A tendência da computação distribuída reduz a eficácia da implementação de um controle de acesso centralizado.
  • 4. 0.3 Como estabelecer requisitos de segurança da informação Fontes principais de requisitos (3 fontes) – 1ª Fonte Análise / avaliação de riscos para a organização. Considera Identifica Realiza Objetivos e as Ameaças aos Estimativa da estratégias globais ativos e as probabilidade de de negócio da vulnerabilidades ocorrência das ameaças organização. destes. e do impacto potencial ao negócio. Fontes principais de requisitos (3 fontes) – 2ª Fonte Legislação Estatutos. Regulamentação Seu ambiente vigente. sociocultural. Cláusulas Organização. contratuais Provedores de (atender). serviço. Seus parceiros Contratados. comerciais.
  • 5. Fontes principais de requisitos (3 fontes) – 3ª Fonte Para o Conjunto particular processamento da (do negócio): informação (apoiar operações) Princípios. Objetivos. Requisitos. 0.4 Analisando/avaliando os riscos de segurança da informação Os gastos com os controles... Gerados pelas Balanceados de Com os danos potenciais falhas na acordo ... causados aos segurança da negócios... informação. Convém que a análise/avaliação de riscos seja repetida periodicamente para contemplar quaisquer mudanças que possam influenciar os resultados desta análise/avaliação.
  • 6. 0.5 Seleção de controles Uma vez identificados: Requisitos de Riscos segurança da informação Convém que controles apropriados sejam selecionados e implementados para assegurar que os riscos sejam reduzidos a um nível aceitável. Desta Norma Outro conjunto Novos (27002) de controles. controles. Seleção de controles Depende das decisões da organização, baseadas: Nos critérios para Nas opções para No enfoque geral da gestão de aceitação de tratamento do risco. risco aplicado à organização. risco. Convém que também esteja sujeito a todas as legislações e regulamentações nacionais e internacionais, relevantes.
  • 7. 0.6 Ponto de partida para a segurança da informação Sob o ponto de vista legal: a) Proteção de dados e privacidade de informações pessoais (ver 15.1.4); b) Proteção de registros organizacionais (ver 15.1.3); c) Direitos de propriedade intelectual (ver 15.1.2). Práticas para a segurança da informação a) Documento da política de segurança da informação (ver 5.1.1); b) Atribuição de responsabilidades para a segurança da informação (ver 6.1.3); c) Conscientização, educação e treinamento em segurança da informação (ver 8.2.2); d) Processamento correto nas aplicações (ver 12.2); e) Gestão de vulnerabilidades técnicas (ver 12.6); f) Gestão da continuidade do negócio (ver seção 14); g) Gestão de incidentes de segurança da informação e melhorias (ver 13.2). Embora o enfoque acima seja considerado um bom ponto de partida, ele não substitui a seleção de controles, baseado na análise/avaliação de riscos.
  • 8. 0.7 Fatores críticos de sucesso Política de segurança da informação, objetivos e atividades, que reflitam os objetivos do negócio; a) Uma abordagem e uma estrutura para a implementação, manutenção, monitoramento e melhoria da segurança da informação que seja consistente com a cultura organizacional; b) Comprometimento e apoio visível de todos os níveis gerenciais; c) Um bom entendimento dos requisitos de segurança da informação, da análise/avaliação de riscos e da gestão de risco; d) Divulgação eficiente da segurança da informação para todos os gerentes, funcionários e outras partes envolvidas para se alcançar a conscientização; e) Distribuição de diretrizes e normas sobre a política de segurança da informação para todos os gerentes, funcionários e outras partes envolvidas; f) Provisão de recursos financeiros para as atividades da gestão de segurança da informação; g) Provisão de conscientização, treinamento e educação adequados; h) Estabelecimento de um eficiente processo de gestão de incidentes de segurança da informação; i) Implementação de um sistema de medição, que seja usado para avaliar o desempenho da gestão da segurança da informação e obtenção de sugestões para a melhoria. As medições de segurança da informação estão fora do escopo desta Norma. 0.8 Desenvolvendo suas próprias diretrizes Nem todos os controles e diretrizes contidos nesta Norma podem ser aplicados. Controles adicionais e recomendações não incluídos nesta Norma podem ser necessários.