Download - Resumo Abnt Nbr Iso 27002 2005
-
5/28/2018 Resumo Abnt Nbr Iso 27002 2005
1/8
ABNT NBR ISO/IEC 27002:2005
Cdigo de prtica para a gesto da segurana da informao
0 Introduo0.1O que segurana da informao?
Informao
um ativo
Essencial Necessita ser
adequadamente
protegida.
Para osnegcios de
uma
organizao.
Segurana da
Informao
a proteo
da
informao
De vrios tipos
de ameaas.
Garantir a
continuidadedo negcio.
Minimizar o
risco ao
negcio.
Maximizar:
Retorno sobre
os
investimentos
Oportunidadesde negcio.
Obtida a partir da implementao
de um conjunto de controles
adequados.
A partir de 2007, a nova edio da ISO/IEC 17799 ser incorporada ao novoesquema de numerao como ISO/IEC 27002.
-
5/28/2018 Resumo Abnt Nbr Iso 27002 2005
2/8
0.2Por que a segurana da informao necessria?
Controles
Polticas.
Processos.Procedimentos
Estruturas
organizacionais
Funes de
software e
hardware.
Precisam ser:
Estabelecidos.
Implementados.
Monitorados.
Analisados
criticamente.
Melhorados.
Garantir o atendimento:
Objetivos do negcio.
Segurana da
organizao.
Convm que isto seja feitoem conjunto com outrosprocessos de gesto do
negcio.
Ativos para os negcios
Informao.
Processos de apoio.
Sistemas.
Redes.
-
5/28/2018 Resumo Abnt Nbr Iso 27002 2005
3/8
Segurana da informao
Asseguram
Competitividade.
Fluxo de caixa.
Lucratividade.
Atividades
Essenciais:
Definir,Alcanar.
Manter.Melhorar.
Atendimento:
Requisitos legais. Imagemda organizao junto
ao mercado.
Importante para o
negcio (setores pblico
/ privado).
Evitar ou reduzir os
riscos.
A tendncia da computaodistribuda reduz a eficcia daimplementao de um controlede acesso centralizado.
-
5/28/2018 Resumo Abnt Nbr Iso 27002 2005
4/8
0.3Como estabelecer requisitos de segurana da informao
Fontes principais de requisitos(3 fontes) 1 Fonte
Anlise /
avaliao de
riscos para a
organizao.
Considera Identifica
Objetivos e as
estratgias globais
de negcio da
organizao.
Ameaas aos
ativos e as
vulnerabilidades
destes.
Realiza
Estimativada
probabilidade de
ocorrncia das ameaas
e do impactopotencial
ao negcio.
Fontes principais de requisitos
(3 fontes) 2 Fonte
Legislao
vigente.Estatutos. Regulamentao Seu ambiente
sociocultural.
Clusulas
contratuais
(atender).Organizao.
Seus parceiros
comerciais.Contratados.
Provedores de
servio.
-
5/28/2018 Resumo Abnt Nbr Iso 27002 2005
5/8
0.4Analisando/avaliando os riscos de segurana da informao
Fontes principais de requisitos
(3 fontes) 3 Fonte
Conjunto particular
(do negcio):
Princpios. Objetivos. Requisitos.
Para oprocessamento da
informao (apoiaroperaes)
Os gastos com os controles...
Balanceados deacordo ...
Com os danoscausados aosnegcios...
Gerados pelas
potenciais falhas na
segurana da
informao.
Convmque a anlise/avaliao de riscos seja repetida periodicamente paracontemplar quaisquer mudanas que possam influenciar os resultados destaanlise/avaliao.
-
5/28/2018 Resumo Abnt Nbr Iso 27002 2005
6/8
0.5Seleo de controles
Uma vez identificados:
Requisitos de
segurana da
informao
Riscos
Convmque controles apropriados sejam selecionados e implementados paraassegurar que os riscos sejam reduzidos a um nvel aceitvel.
Seleo de controles
Desta Norma
(27002)Outro conjunto
de controles.Novos
controles.
Dependedas decises da
organizao, baseadas:
Nos critrios paraaceitao derisco.
Nas opes para
tratamento do risco.No enfoque geral da gesto de
risco aplicado organizao.
Convmque tambm esteja sujeito a todas as legislaes e regulamentaesnacionais e internacionais, relevantes.
-
5/28/2018 Resumo Abnt Nbr Iso 27002 2005
7/8
0.6Ponto de partida para a segurana da informao
Sob o ponto de vista legal:
a) Proteo de dados e privacidade de informaes pessoais (ver 15.1.4);b) Proteo de registros organizacionais (ver 15.1.3);c) Direitos de propriedade intelectual (ver 15.1.2).
Prticas para a segurana da informao
a) Documento da poltica de segurana da informao (ver 5.1.1);b) Atribuio de responsabilidades para a segurana da informao (ver 6.1.3);c) Conscientizao, educao e treinamento em segurana da informao (ver 8.2.2);d) Processamento correto nas aplicaes (ver 12.2);e) Gesto de vulnerabilidades tcnicas (ver 12.6);f) Gesto da continuidade do negcio (ver seo 14);
g) Gesto de incidentes de segurana da informao e melhorias (ver 13.2).
Embora o enfoque acima seja considerado um bom ponto de partida,ele no substitui a seleo de controles, baseado na anlise/avaliaode riscos.
-
5/28/2018 Resumo Abnt Nbr Iso 27002 2005
8/8
0.7Fatores crticos de sucesso
0.8Desenvolvendo suas prprias diretrizes
Poltica de segurana da informao, objetivos e atividades, que reflitam os objetivos donegcio;
a) Uma abordagem e uma estrutura para a implementao, manuteno, monitoramento e
melhoria da segurana da informao que seja consistente com a cultura
organizacional;
b) Comprometimento e apoio visvel de todosos nveis gerenciais;
c) Um bom entendimento dos requisitos de segurana da informao, da anlise/avaliao
de riscos e da gesto de risco;
d) Divulgao eficiente da segurana da informao para todos os gerentes, funcionrios e
outras partes envolvidas para se alcanar a conscientizao;
e) Distribuio de diretrizes e normas sobre a poltica de segurana da informao paratodos os gerentes, funcionrios e outras partes envolvidas;
f) Proviso de recursos financeiros para as atividades da gesto de segurana da
informao;
g) Proviso de conscientizao, treinamento e educao adequados;
h) Estabelecimento de um eficiente processo de gesto de incidentes de segurana da
informao;
i) Implementao de um sistema de medio, que seja usado para avaliar o desempenho
da gesto da segurana da informao e obteno de sugestes para a melhoria.
Nem todos os controles e diretrizes contidos nesta Norma podem ser aplicados.
Controles adicionais e recomendaes no includos nesta Norma podem ser
necessrios.
As mediesde segurana da informao esto fora do escopo destaNorma.