Este documento resume os principais requisitos para estabelecer um Sistema de Gestão de Segurança da Informação (SGSI) de acordo com a norma NBR ISO/IEC 27001:2006. Inicialmente, a organização deve definir o escopo e política do SGSI, realizar uma análise de riscos identificando ativos, ameaças, vulnerabilidades e impactos, e avaliar e tratar os riscos identificados. Em seguida, a organização deve selecionar objetivos e controles de acordo com a análise de riscos, obter aprovação
1. Todos os direitos de cópia reservados. Não é permitida a distribuição
física ou eletrônica deste material sem a permissão expressa do autor.
Interpretação da norma
NBR ISO/IEC 27001:2006
Curso e- Learning
Sistema de
Gestão de Segurança
da Informação
3. Estrutura da Norma NBR ISO/IEC 27001:2006
Sistema de Gestão da SI
Melhoria Contínua
Responsabilidade da direção
Auditorias
internas
Melhoria do
SGSI
Análise crítica do SGSI
pela direção
Entradas Saídas
4
6
7
8
5
REQUISITOS
SEGURANÇADA
INFORMAÇÃO
4. 4 – Sistema de Gestão de Segurança da Informação
4.1 – Requisitos gerais
A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente,
manter e melhorar um SGSI documentado dentro do contexto das atividades de
negócios globais da organização e dos riscos que ela enfrenta.
Estabelecido
Melhorado
Implementado
Mantido
O sistema deve ser documentado e:
Operado
Cada sistema é
composto por
processos que se
relacionam
5. 4 – Sistema de Gestão de Segurança da Informação
4.1 – Requisitos gerais
Para os efeitos desta norma, o processo usado está baseado no modelo PDCA.
6. 4.2 – Estabelecendo e gerenciando o SGSI
4.2.1 – Estabelecer o SGSI
A organização deve:
a) Definir o escopo e os limites do SGSI nos termos das características do negócio,
da organização, sua localização, ativos e tecnologia, incluindo detalhes e
justificativas para quaisquer exclusões do escopo (ver 1.2).
Exemplo de escopo:
Processo de desenvolvimento de software de sistemas de autenticação digital, realizado
na Alameda Manaus nº 100 – São Paulo – SP, Brasil, conforme declaração de
aplicabilidade revisão 1.
Escopo
7. 4.2 – Estabelecendo e gerenciando o SGSI
4.2.1 – Estabelecer o SGSI
A organização deve:
b) Definir uma política de SGSI nos termos das
características do negócio, da organização, sua
localização, ativos e tecnologia que:
1) inclua uma estrutura para definir objetivos e estabelecer
um direcionamento global e princípios para ações
relacionadas com a segurança da informação
2) considere requisitos de negócio, legais e/ou
regulamentares, e obrigações de segurança contratuais
3) esteja alinhada com o contexto estratégico de gestão de
riscos da organização no qual o estabelecimento e a
manutenção do SGSI irão ocorrer
4) estabeleça critérios em relação aos quais os riscos serão
avaliados
5) tenha sido aprovada pela direção
Política de
SGSI
8. 4.2 – Estabelecendo e gerenciando o SGSI
4.2.1 – Estabelecer o SGSI
Exemplo de política
Nossos serviços e projetos são bens de importância
fundamental para a empresa. A continuidade do
nosso negócio depende da qualidade,
confidencialidade, integridade e disponibilidade
destes bens.
Os gestores do projeto são responsáveis em proteger
estes ativos contra uso não autorizado, recebimento,
processamento, armazenamento e transmissão das
informações
Todos os funcionários, prestadores de serviço e
consultores devem entender suas obrigações para
proteger estas informações e implementar os
procedimentos de segurança.
Todos os incidentes de segurança devem ser
comunicados para a área de segurança, para serem
tomadas as devidas ações corretivas.
Esta política é válida a partir de 20.08.2006.
Política de
SGSI
9. 4.2 – Estabelecendo e gerenciando o SGSI
4.2.1 – Estabelecer o SGSI
A organização deve:
c) Definir a abordagem de análise/avaliação de riscos
da organização.
1) Identificar uma metodologia de análise/avaliação de
riscos que seja adequada ao SGSI e aos requisitos
legais, regulamentares e de segurança da informação
identificados para o negócio.
2) Desenvolver critérios para a aceitação de riscos e
identificar os níveis aceitáveis de risco.
A metodologia de análise/avaliação de riscos
selecionada deve assegurar que as
análises/avaliações de risco produzam resultados
comparáveis e reproduzíveis.
Várias metodologias podem ser aplicadas. Análise/avaliação de riscos não é um
processo matemático – sempre haverá o uso do bom senso e dos sentimentos dos
analistas. Portanto é necessário que o processo de análise seja harmonizado entre os
profissionais que forem realizar esta atividade.
10. 4.2 – Estabelecendo e gerenciando o SGSI
4.2.1 – Estabelecer o SGSI
A organização deve:
d) Identificar os riscos.
1) Identificar os ativos dentro do escopo do SGSI, e os
proprietários destes ativos.
2) Identificar as ameaças a estes ativos.
3) Identificar as vulnerabilidades que podem ser exploradas pelas
ameaças.
4) Identificar os impactos que as perdas de confidencialidade,
integridade e disponibilidade podem causar aos ativos.
Exemplo:
ATIVO: servidor utilizado para armazenar sites de clientes
AMEAÇA: vírus
VULNERABILIDADE: antivírus desatualizado
IMPACTO: sites de clientes fora do ar
11. 4.2 – Estabelecendo e gerenciando o SGSI
4.2.1 – Estabelecer o SGSI
A organização deve:
e) Analisar e avaliar os riscos.
1) Avaliar os impactos para o negócio que podem resultar de falhas
de segurança, levando em consideração as conseqüências de
perda de confidencialidade, integridade ou disponibilidade dos
ativos.
2) Avaliar a probabilidade real da ocorrência de falhas de segurança à
luz de ameaças e vulnerabilidades prevalecentes, impactos
associados a estes ativos e controles atualmente implementados.
3) Estimar os níveis de riscos.
4) Determinar se os riscos são aceitáveis ou se requerem tratamento
utilizando os critérios para aceitação estabelecidos.
12. 4.2 – Estabelecendo e gerenciando o SGSI
4.2.1 – Estabelecer o SGSI
Continuação do exemplo:
ATIVO: servidor utilizado para armazenar sites de clientes
AMEAÇA: vírus
VULNERABILIDADE: antivírus desatualizado
IMPACTO: sites de clientes fora do ar
AVALIAÇÃO DO IMPACTO: desgaste com clientes, perda de clientes e multas
contratuais
PROBABILIDADE DE OCORRÊNCIA: 2% de chance
RISCO: um critério deve ser definido. Como exemplo podemos considerar o risco de 1 a
5, sendo 1 o menor e 5 o maior. Neste caso poderíamos considerar o risco = 1 devido à
atualização automática de antivírus (controle já implantado)
NÍVEL DE RISCO ACEITÁVEL: na escala de 1 a 5 podemos definir, por exemplo: aceitar
riscos de níveis 1 a 3
13. 4.2 – Estabelecendo e gerenciando o SGSI
4.2.1 – Estabelecer o SGSI
A organização deve:
f) Identificar e avaliar as opções de tratamento de riscos.
Possíveis opções incluem:
1) Aplicar controles apropriados
2) Aceitar os riscos consciente e objetivamente, que satisfaçam claramente as políticas da
organização e os critérios de aceitação de riscos
3) Evitar riscos
4) Transferir os riscos associados ao negócio a outras partes. Por exemplo: seguradoras e
fornecedores
No exemplo do slide anterior consideramos que já havia um controle implantado
(atualização automática de antivírus). Porém se o ativo fosse de grande valor,
poderíamos considerar que somente este controle não seria suficiente, e poderíamos
decidir implantar um firewall ou utilizar servidores de uma empresa com mais infra-
estrutura (terceirizar a atividade e assim transferir o risco).
14. 4.2 – Estabelecendo e gerenciando o SGSI
4.2.1 – Estabelecer o SGSI
A organização deve:
g) Selecionar objetivos de controle e controles e para o tratamento de risco.
Objetivos de controle e controles devem ser selecionados e implementados para
atender aos requisitos identificados pela análise/avaliação de riscos e pelo processo de
tratamento de riscos. Esta seleção deve considerar tanto os critérios para aceitação de
riscos como também os requisitos legais, regulamentares e contratuais.
Os objetivos de controle e controles do anexo A devem ser selecionados como parte
deste processo, como adequados para cobrir os requisitos identificados.
Os objetivos de controle e controles listados no anexo A não são exaustivos, e
objetivos de controle e controles adicionais podem também ser selecionados.
Exemplo: item A.11.3 do Anexo A:
Responsabilidades dos usuários
Uso de senhas
Política de mesa limpa e tela limpa
15. 4.2 – Estabelecendo e gerenciando o SGSI
4.2.1 – Estabelecer o SGSI
A organização deve:
h) Obter aprovação da direção sobre os riscos
residuais propostos.
i) Obter autorização da direção para implementar e
operar o SGSI.
Por mais controles que sejam implantados, sempre
haverá um risco residual. Não há sistema à prova
de falhas. Estas sempre poderão ocorrer por ações
deliberadas (de hackers, por exemplo) ou acidentais
(incêndio ou inundação, por exemplo). Se o risco
era de nível 4, implantamos um controle e
conseguimos que o risco baixasse para nível 3, nós
ainda não conseguimos eliminar o risco, e o dono
do ativo precisa aprovar que nenhum outro controle
necessite ser implantado.
16. Exercício
Considere um notebook de uma organização utilizado por um consultor dentro e fora das
dependências da empresa. Estando fora da empresa o consultor pode se conectar à rede
da organização através da internet.
Defina, para este ativo:
Uma AMEAÇA possível
Uma VULNERABILIDADE do ativo que possa ser atacada por
esta ameaça
Um IMPACTO possível caso a ameaça ocorresse
E também:
AVALIE este IMPACTO identificando possíveis conseqüências
Estime, do seu ponto de vista, a PROBABILIDADE DE OCORRÊNCIA deste evento
Valorize o RISCO considerando uma escala de 1 a 5, sendo 1 o menor risco e 5 o maior
Estime, do seu ponto de vista, o NÍVEL DE RISCO ACEITÁVEL utilizando uma escala de
1 a 5, sendo 1 o menor e 5 o maior
Considere que o risco não é aceitável e identifique um CONTROLE que possa minimizar
este risco
17. Resposta
Uma AMEAÇA possível: roubo.
Uma VULNERABILIDADE do ativo que possa ser atacada por esta ameaça: uso do
equipamento nas instalações dos clientes.
Um IMPACTO possível caso a ameaça se tornasse um fato: perda de informação
armazenada no disco rígido do computador; dados de clientes e da organização poderiam
ser acessíveis a pessoas não autorizadas.
AVALIE este IMPACTO identificando possíveis conseqüências: o roubo teria que ser
relatado ao cliente, o que provocaria desgaste no relacionamento. E se as informações
fossem parar nas mãos de terceiros mal intencionados ou da concorrência, poderia haver
perda de imagem e de negócios.
Estime a PROBABILIDADE DE OCORRÊNCIA deste evento: 20% de chance.
Valorize o RISCO considerando uma escala de 1 a 5: risco = 3.
Estime o NÍVEL DE RISCO ACEITÁVEL utilizando uma escala de 1 a 5: risco aceitável =
1.
Considere que o risco não é aceitável e identifique um CONTROLE que possa minimizar
este risco: não utilizar o disco rígido do notebook, trabalhar via web utilizando o sistema
da empresa.
18. 4.2 – Estabelecendo e gerenciando o SGSI
4.2.1 – Estabelecer o SGSI
A organização deve:
j) Preparar a declaração de aplicabilidade, que deve incluir o seguinte:
1) Os objetivos de controle, os controles selecionados e as razões para sua seleção
2) Os objetivos de controle e os controles atualmente implementados
3) A exclusão de quaisquer objetivos de controle e de controles do anexo A, e justificativas
para sua exclusão
A declaração de aplicabilidade provê um resumo das decisões relativas ao tratamento de
riscos. A justificativa das exclusões provê uma checagem cruzada de que nenhum
controle foi omitido inadvertidamente.
A ISO/IEC 27001:2005 contém 39 objetivos de controle e 133 controles, que serão
detalhados nos módulos 7 e 8 deste treinamento.
19. Exercício
Prepare um modelo de formulário que poderia ser usado para a documentação de uma
declaração de aplicabilidade.
20. Resposta
1ª coluna: lista dos 133 controles definidos pela NBR ISO/IEC 27001 no seu anexo A.
2ª coluna: indicar, para cada um dos 133 controles, quais já estavam implementados antes
da ISO 27001. É boa prática identificar os documentos da organização que se relacionam
com estes controles.
3ª coluna: indicar quais dos 133 controles estão sendo implantados. É boa prática identificar
os documentos da organização que se relacionam com estes controles.
4ª coluna: indicar quais dos 133 controles não estão sendo implantados e esclarecer as
razões. Justificar adequadamente.
21. 4.2 – Estabelecendo e gerenciando o SGSI
4.2.2 – Implementar e operar o SGSI
A organização deve:
a) Formular um plano de tratamento de riscos que identifique ação
de gestão apropriada, recursos, responsabilidades e prioridades
para a gestão dos riscos de segurança.
b) Implementar o plano de tratamento de riscos para alcançar os
objetivos e controles identificados, que inclua considerações de
financiamento e atribuições de papéis e responsabilidades.
c) Implementar os controles selecionados para atender aos
objetivos de controle.
d) Definir como medir a eficácia dos controles ou grupos de
controles selecionados, e especificar como estas medidas devem
ser usadas para avaliar a eficácia dos controles de modo a
produzir resultados comparáveis e reproduzíveis.
22. 4.2 – Estabelecendo e gerenciando o SGSI
4.2.2 – Implementar e operar o SGSI
O que é um plano?
Plano é um documento que diz o que será
feito, por que, como, quando, por quem e
onde.
Também conhecido em inglês como 5W1H
What – O que
Why – Por que
How – Como
When – Quando
Who – Quem
Where – Onde
24. Resposta
Contr.-CHECADO
Marcia Guerra
N° O que porque como quando
1
Prevenir acesso indevido
de pessoas que não sejam
funcionários as instalações
da organização
Existem áres de
desenvolvimento de
produto com
informações
confidenciais
Todos os funcionários
devem utilizar crachás
com código de barras
para terem acesso as
instalações
até 3/8/07
Márcia Guerra
onde
na matriz
e nas
filiais
Rev.
1/2/2007
PLANO DE AÇÃO No. FADM 004
Resp. Documento/Aprovado Data - DATE
quem
Celso
25. 4.2 – Estabelecendo e gerenciando o SGSI
4.2.2 – Implementar e operar o SGSI
A organização deve:
e) Implementar programas de conscientização e treinamento. A organização deve assegurar
que todo o pessoal que tem responsabilidades atribuídas definidas no SGSI seja
competente para desempenhar as tarefas requeridas.
f) Gerenciar as operações do SGSI. É importante que haja um profissional que seja
responsável pelo sistema.
g) Gerenciar os recursos para o SGSI. Sempre que houver necessidade de recursos
humanos e materiais, a direção deve ser informada e deve analisar as disponibilidades
financeiras para decidir onde prover os recursos necessários.
h) Implementar procedimentos e outros controles capazes de permitir a pronta detecção de
eventos de segurança da informação e resposta a incidentes de segurança da informação.
Deve ser implementada uma sistemática de documentação e tratamento dos incidentes
identificados, com ações imediatas para sanar o incidente e ações corretivas (quando
aplicável) para evitar a recorrência destes incidentes.