A apresentação explica a norma NBR ISO/IEC 27001, que fornece um modelo para estabelecer, implementar e melhorar um Sistema de Gestão de Segurança da Informação. A norma define requisitos para identificar e gerenciar riscos de segurança da informação. A adoção da norma pode reduzir riscos, melhorar a segurança e trazer benefícios como confiança de stakeholders.

1. SISTEMA DE GESTÃO
DE SEGURANÇA DA INFORMAÇÃO
1

2.  FAZER UMA EXPLANAÇÃO SOBRE A NORMA
NBR ISO/IEC 27001 AFIM DE TORNAR
CONHECIDO À TODOS PRESENTES A SUA
FINALIDADE.
2/30

3.  Introdução
◦ Conceitos
 Desenvolvimento
◦ O que é a norma ISO 27001?
◦ Para que serve?
◦ Em que consiste?
◦ Quais os benefícios para quem adotar?
◦ Quanto tempo demora a preparação da certificação?
◦ Alguns Objetivos de Controle e Controles
 Conclusão
 Referências
3/30

4.  NBR ISO/IEC 27001
1. NBR - Denominação de norma da Associação
Brasileira de Normas Técnicas (ABNT)
2. ISO - Organização Internacional para
Padronização
1. International Organization for Standardization
3. IEC - Comissão Eletrotécnica Internacional
1. International Electrotechnical Commission
4/30

5.  Família 27000 – ISO/IEC 27000 series - Descrição e
Vocabulário
 Organizações podem desenvolver e implementar uma
estrutura para gerenciar a segurança de seus ativos de
informação
 Se preparar para uma avaliação independente do seu
SGSI(Sistema de Gestão de Segurança da Informação) aplicado
à proteção de informações
 Normas
1. ISO/IEC 27002:2005 - Código de Prática para Gestão da
Segurança da Informação
2. ISO/IEC 27005:2011 - Gestão de Riscos de Segurança
da Informação
3. ISO/IEC 27007 :2012– Diretrizes para auditoria de SGSI
4. ISO/IEC 27014:2013 – Governança de segurança da
informação
5/30

6. Publicado o código
de prática pelo
governo inglês
Publicado pelo
BSI como BS 7799
1992 1995
1º Grande revisão
da BS 7799
1999
Republicado
como padrão
Internacional
ISO/IEC 17799-1
2000
Publicada BS
7799-2
Especificação do
SGSI
2002
Publicação
BS 7799-2=ISO/IEC 27001
E NBR ISO/IEC 17799
2005
ABNT publica a
NBR ISO/IEC
27001:2006
2006
ABNT publica a NBR
ISO/IEC
27002:2007(Correção e
Renomeação 17799-1)
2007 2013
27001:2013 substitui a
2005
6/30

7.  Conceitos
◦ Sistema
 Um conjunto de elementos inter-relacionados, cada
qual desempenhando uma função, para, de forma
integrada e coordenada, contribuir e garantir que o
objetivo do sistema seja atingido – Teoria Geral dos
Sistemas
7/30

8.  Conceitos
◦ Gestão
 São os mecanismos que têm de ser implantados para
que tendências instintivas (naturais) originadas no
auto-interesse das pessoas, sejam canalizadas para o
interesse da empresa. - Clemente Nobrega
8/30

9.  Conceitos
◦ Segurança da Informação
 Preservação da confidencialidade, integridade e
disponibilidade da informação; adicionalmente, outras
propriedades, tais como autenticidade,
responsabilidade, não repúdio e confiabilidade, podem
também estar envolvidas. - ABNT NBR ISO/IEC
17799:2005
9/30

10.  Outros Conceitos
◦ Risco
 A possibilidade de uma determinada ameaça explorar
vulnerabilidades de um ativo ou de um conjunto de
ativos, desta maneira prejudicando a organização -
◦ Ameaça
 Causa potencial de um incidente indesejado, que pode
resultar em dano para um sistema ou organização
◦ Vulnerabilidade
 Fraqueza de um ativo ou controle , que pode ser explorada
por uma ameaça
◦ Impacto
 Mudança adversa no nível obtido dos objetivos de negócios
◦ Ativo
 Qualquer coisa que tenha valor para a organização
10/30

11. 11/30
Integrity
Responsibility
Confidentiality
Availability Integrity
Information
Security
Confidentiality
Authenticity Responsibility
Non
repudiation
Confidentiality
Availability Integrity
Information
Security
Reliability
Authenticity Responsibility
Non
repudiation
PeopleProducts
Partners Process

12. 12/30

13.  É um modelo/padrão e referência
internacional para
estabelecer, implementar, operar, monitorar,
analisar criticamente, manter e melhorar um
SGSI.
13/30

14.  Para que as organizações adotem um modelo
adequado de
estabelecimento, implementação, operação, monito
rização, revisão e gestão de um Sistema de Gestão
de Segurança da Informação.
 É independente de fabricantes
◦ Se destina ao estabelecimento
 Processos e Procedimento de acordo com realidade de
cada organização
14/30

15.  A norma padrão (Standard) ISO 27001 é
composta por duas componentes relativamente
distintas:
1. Onde são definidas as regras e os requisitos de
cumprimento da norma
2. ANEXO A - Um conjunto de objetivos de controle e
controles que as organizações devem adotar –
NORMATIVO
 INFORMATIVOS
1. ANEXO B - Princípios da OECD(ORGANIZAÇÃO PARA A
COOPERAÇÃO E DESENVOLVIMENTO ECONÓMICO) e
desta Norma
2. ANEXO C – Correspondência às Nomas ISO 9001 E
14001
15/30

16. 16/30
ANEXO A-
ISO27001:2006

17. 17/30
ANEXO A-
ISO27001:2006

18.  Reduz o risco de responsabilidade por não
implantar um SGSI
 Identifica e corrige pontos fracos
 A alta direção assume a responsabilidade pela SI
 Permite revisão independente do SGSI
 Oferece confiança aos stakeholders
 Melhor consciência sobre Segurança
 Combina recursos com outros sistemas de
gestão
 Mecanismo para medir o sucesso
do Sistema
18/30

19.  Varia de acordo com a realidade, maturidade
e dimensão de cada organização, mas
considera-se razoável estabelecer como
tempo médio o período entre seis meses e
um ano.
19/30

20.  Política de segurança da informação
◦ Prover uma orientação e apoio da direção para a
segurança da informação de acordo com os
requisitos do negócio e com as leis e
regulamentações relevantes
◦ Objetivos de Controle
 Documento da política de segurança da informação
 Análise crítica da política de segurança da informação
20/30

21. 21/30

22.  Aspectos da gestão da continuidade do
negócio, relativos à segurança da informação
◦ Não permitir a interrupção das atividades do
negócio e proteger os processos críticos contra
efeitos de falhas ou desastres significativos, e
assegurar a sua retomada em tempo hábil, se for o
caso.
◦ Objetivos de Controle
 Incluindo segurança da informação no processo de
gestão da continuidade de negócio
 Desenvolvimento e implementação de planos de
continuidade relativos à segurança da informação
22/30

23. 23/30

24.  Responsabilidades dos usuários
◦ Prevenir o acesso não autorizado dos usuários e
evitar o comprometimento ou roubo da informação
e dos recursos de processamento da informação
◦ Objetivos de Controle
 Uso de senha
 Política de mesa limpa e tela limpa
24/30

25. 25/30

26. Prioridade!!!
26/30

27. 27/30

28.  A NORMA NBR ISO/IEC 27001 é um
modelo/padrão de boa prática para se
alcançar níveis de maturidade cada vez
maiores na área de Segurança da Informação
e atingir o objetivo de implementar um SGSI.
28/30

29.  Normas da família 27000
29/30

30. 30/30