Segurança da Informação
Aula 2: ISO 27002 Prof. Roberto Franciscatto Especialização Especia lização em Gestãot de TI 01/2 01/2013 013 Free Powerpoint Powerpoin Templates Templates –
Page 1
ISO 27002
O que é a ISO 27002?
•
Código de prática para a gestão da segurança da informação •
A quem se aplica?
•
Para quem precisa trabalhar/administrar Para segurança em uma organização •
Deveria ser um código de conduta para qualquer empresa !!! •
Free Powerpoint Powerpoin t Templates Templates
Page 2
ISO 27002
O que é a ISO 27002?
•
Código de prática para a gestão da segurança da informação •
A quem se aplica?
•
Para quem precisa trabalhar/administrar Para segurança em uma organização •
Deveria ser um código de conduta para qualquer empresa !!! •
Free Powerpoint Powerpoin t Templates Templates
Page 2
ISO 27002
Para que serve uma normatização
•
Definir regras e instrumentos de controle para assegurar a conformidade: •
de um processo, produto ou serviço
•
Free Powerpoint Powerpoin t Templates Templates
Page 3
ISO 27002
Objetivos da norma
•
Comunicação (fabricante/cliente) Segurança (proteção) Proteção do consumidor (qualidade de produtos) Eliminação de barreiras técnicas e comerciais
• • • •
Free Powerpoint Templates
Page 4
ISO 27002
Como está dividida a família 27000
•
Free Powerpoint Templates
Page 5
ISO 27002
Estrutura da ISO 27002
•
Free Powerpoint Templates
Page 6
ISO 27002
Estrutura da ISO 27002
•
Free Powerpoint Templates
Page 7
ISO 27002
Como está estruturada a ISO 27002
•
Capítulo
5 6 7 8 9 10 11 12 13 14 15
Titulo
Política de Segurança da Informação Organizando a Segurança da Informação Gestão de Ativos Segurança em Recursos Humanos Segurança Física e do Ambiente Gestão de Operações e Comunicações Controle de Acesso Aquisição, Desenvolvimento e Manutenção de SI Gestão de Incidentes de SI Gestão da Continuidade do Negócio Conformidade Free Powerpoint Templates
Nro. Sub-Capítulos
1 2 2 3 2 10 7 6 2 1 3
Page 8
ISO 27002 Estrutura da ISO 27002
•
Seção Categoria Objetivos
Controle
Diretrizes
Free Powerpoint Templates
Page 9
ISO 27002 Cap. 5 - Política de Segurança da Informação
5.1 – Política de Segurança da Informação 5.1.1 – Documento da Política de Segurança da Informação (Como montar efetivamente)
5.1.2 – Análise crítica da Segurança da Informação
(Se basear na realidade de não na ficção, ter noção do todo da organização)
Free Powerpoint Templates
Page 10
ISO 27002 Cap. 6
Organizando a Segurança da Informação
–
6.1 – Orgazinação interna
(Gerenciar a segurança da informação dentro da organização)
6.1.1 – Comprometimento da direção com a SI (Formular, analisar, criticar a PSI)
6.1.2 – Coordenação da SI
(Diferentes partes da Organização, com funções e papéis relevantes)
6.1.3 – Atribuição de Responsabilidades para a SI
(quem é responsável por o que, dentro da empresa)
Free Powerpoint Templates
Page 11
ISO 27002 Cap. 6
Organizando a Segurança da Informação
–
6.1.4 – Processo de Autorização para os recursos de processamento da informação (BYOD, controles necessários devem ser identificados e implementados)
6.1.5 – Acordos de Confidencialidade
(O que precisa ser protegido? Tempo de duração do acordo. Ações para violação de acordo)
6.1.6 – Contato com autoridades
(Bombeiros, Provedor de Acesso a Internet, Empresa de Segurança)
Free Powerpoint Templates
Page 12
ISO 27002 Cap. 6
Organizando a Segurança da Informação
–
6.2 – Partes Externas (Manter a segurança da informação, dos recursos que são acessados, processados, comunicados ou gerenciados por parte externas)
6.2.1 – Identificação dos riscos relacionados com partes externas
(Que tipo de acesso? Físico, Lógico? Acesso Remoto? Acesso ao SGBD?)
6.2.2 – Identificando a segurança da Informação quando tratando com clientes (Cliente tem acesso a que informação da empresa, de que forma?)
Free Powerpoint Templates
Page 13
ISO 27002 Cap. 7
Gestão de Ativos
–
7.1 – Responsabilidade pelos Ativos (Ativos inventariados e um proprietário responsável)
7.1.1 – Inventário dos Ativos
(Software, Serviços, Intangíveis, Etiqueta, Papel?)
7.1.2 – Proprietário dos Ativos 7.1.3 – Uso aceitável dos Ativos
(regras para internet, uso de e-mail, uso de dispositivos móveis)
Free Powerpoint Templates
Page 14
ISO 27002 Cap. 7
Gestão de Ativos
–
7.2 – Classificação da Informação
(indicar a necessidade, prioridades e nível indicado de proteção)
7.2.1 – Recomendações para classificação
(valor, requisitos legais, sensibilidade e criticidade para a organização)
7.2.2 – Rótulos e Tratamento da Informação
(processamento seguro, armazenagem, transmissão, reclassificação e a destruição)
Free Powerpoint Templates
Page 15
ISO 27002 Cap. 8
Segurança em Recursos Humanos
–
8.1 – Antes da Contratação
(acordo de responsabilidade sobre a segurança, para funcionários, fornecedores e terceiros)
8.1.1 – Papéis e Responsabilidades
(papéis e resposabilidades pela segurança da informação de funcionários, fornecedores e terceiros)
8.1.2 - Seleção
(verificações do histórico do candidato – ética, leis e regulamentações)
8.1.3 – Termos e Condições de Contratação
(confidencialidade, ações por desrespeitar os requisitos de segurança)
Free Powerpoint Templates
Page 16
ISO 27002 Cap. 8
Segurança em Recursos Humanos
–
8.2 – Durante a Contratação
(Funcionários, fornecedores e terceiros estão cientes das ameaças, com intuito de reduzir o erro humano)
8.2.1 – Responsabilidades da Direção
(fazer aplicar a segurança da informação conforme as políticas e procedimentos da organização)
8.2.2 – Conscientização, educação e treinamento em segurança da informação (treinamento e atualização sobre segurança da informação)
8.2.3 – Processo Disciplinar
(processo disciplinar formal para funcionários que cometeram violação da segurança da informação) Free Powerpoint Templates
Page 17
ISO 27002 Cap. 8
Segurança em Recursos Humanos
–
8.3 – Encerramento ou mudança da contratação
(devolução de equipamentos, bloqueio de acesso, inutilização de contas)
8.3.1 – Encerramento das Atividades (RH, TI, Direção, Empresas Terceirizadas)
8.3.2 – Devolução de Ativos
(Devolução de equipamentos, documentos, software)
8.3.3 – Retirada de direitos de acesso
(acesso lógico e físico, chaves, cartões de identificação...)
Free Powerpoint Templates
Page 18
ISO 27002 Cap. 9
Segurança física e do ambiente
–
9.1 – Áreas Seguras
(prevenir o acesso físico não autorizado, danos e inteferências)
9.1.1 – Perímetro de Segurança Física
(paredes, portões de entrada, balcões de recepção com balconista)
9.1.2 – Controle de entrada física
(entrada de pessoas autorizadas: registro de data e hora, visitantes identificados, forma visível de identificação a funcionários)
9.1.3 – Segurança em escritórios, salas e instalações
(não deixar expostos a lista de funcionários e guias telefônicos internos, não expor a sala de processamento de dados, com letreiros, etc..)
Free Powerpoint Templates
Page 19
ISO 27002 Cap. 9
Segurança física e do ambiente
–
9.1.4 – Proteção contra ameaças externas e do meio ambiente (proteção física contra incêndios, enchentes, terremotos) 9.1.5 – Trabalhando com áreas seguras
(acesso por pessoas autorizadas, devidamente trancadas, sem a possibilidade de utilização de cameras, filmadoras, entre outros)
9.1.6 – Acesso ao público, áreas de entrega e de carregamento (evitar acesso não autorizado)
Free Powerpoint Templates
Page 20
ISO 27002 Cap. 9
Segurança física e do ambiente
–
9.2 – Segurança de Equipamentos
(impedir perdas, danos, furto ou roubo ou comprometimento de ativos e interrupção de atividades da organização)
9.2.1 – Instalação e Proteção do equipamento
(limites como comer, beber e fumar nas proximidades das instalações)
9.2.2 – Utilidades
(equipamentos protegidos contra falhas de energia elétrica: no-breaks, geradores de energia)
9.2.3 – Segurança do cabeamento
(cabeamento óptico (fibra), cabos de energia devidamento dispostos, para evitar interferências, documentação das conexões) Free Powerpoint Templates
Page 21
ISO 27002 Cap. 9
Segurança física e do ambiente
–
9.2.4 – Manutenção dos Equipamentos (manutenção correta para prover disponibilidade e integridade)
9.2.5 – Segurança de equipamentos fora das dependências da organização (seguro de equipamentos) 9.2.6 – Reutilização e alienação segura de equipamentos
(examinar mídias antes do descarte, dados removidos ou sobregravados)
9.2.7 – Remoção de Propriedade
(equipamentos, informações ou software não sejam retirados sem prévia autorização)
Free Powerpoint Templates
Page 22
ISO 27002 Cap. 10
Gerenciamento das operações e comunicações
–
10.1 – Procedimentos e responsabilidades operacionais
(operação segura e correta dos recursos de processamento da informação)
10.1.1 – Documentação dos procedimentos de operação
(backup, início e fim de tarefas, contatos de suporte, procedimento para reinício e recuperação em caso de falha no sistema)
10.1.2 – Gestão de Mudanças
(modificações nos recursos de processamento sejam controladas)
10.1.3 – Segregação de funções
(útil e importante. Para pequenas empresas controles específicos, como por exemplo o monitoramento)
10.1.4 – Separação dos recursos de desenvolvimento, teste e de produção (separar para reduzir o risco acessos ouTemplates modificações não autorizadas) Freede Powerpoint
Page 23
ISO 27002 Cap. 10
Gerenciamento das operações e comunicações
–
10.2 – Gerenciamento de serviços terceirizados
10.2.1 – Entrega de Serviços 10.2.2 – Monitoramento e análise crítica de serviços terceirizados 10.2.3 – Gerenciamento de mudanças para serviços terceirizados
10.3 – Planejamento e aceitação dos Sistemas 10.3.1 – Gestão de capacidade 10.3.2 – Aceitação de Sistemas
10.4 – Proteção contra códigos maliciosos e códigos móveis 10.4.1 – Controle contra códigos maliciosos 10.4.2 - Controle contra códigos móveis
Free Powerpoint Templates
Page 24
ISO 27002 Cap. 10
Gerenciamento das operações e comunicações
–
10.5 – Cópias de Segurança
10.5.1 – Cópias de Segurança das Informações
10.6 – Gerenciamento da Segurança em Redes 10.6.1 – Controle de Redes 10.6.2 – Segurança dos serviços de Rede
10.7 – Manuseio de Mídias
10.7.1 – Gerenciamento de Mídias Removíveis 10.7.2 – Descarte de mídias 10.7.3 – Procedimentos para tratamento da informação 10.7.4 – Segurança da documentação dos sistemas
Free Powerpoint Templates
Page 25
ISO 27002 Cap. 10
Gerenciamento das operações e comunicações
–
10.8 – Troca de Informações
10.8.1 – Políticas e procedimentos para troca de informações 10.8.2 – Acordos para a troca de informações 10.8.3 – Mídias em trânsito 10.8.4 – Mensagens eletrônicas 10.8.5 – Sistemas de Informações do Negócio
10.9 – Serviços de Comércio Eletrônico 10.9.1 – Comércio Eletrônico 10.9.2 – Transações on-line 10.9.3 – Informações publicamente disponíveis
Free Powerpoint Templates
Page 26
ISO 27002 Cap. 10
Gerenciamento das operações e comunicações
–
10.10 – Monitoramento
10.10.1 – Registro de auditoria 10.10.2 – Monitoramento do uso do sistema 10.10.3 – Proteção das informações dos registros (logs) 10.10.4 – Registros (logs) de administrador e operador 10.10.5 – Regsitros logs de falhas 10.10.6 – Sincronização dos relógios
Free Powerpoint Templates
Page 27
ISO 27002 Cap. 11
Controle de Acessos
–
11.1 – Requisitos de negócio para controle de acesso 11.1.1 – Política de controle de acesso
11.2 – Gerenciamento de acesso do usuário
11.2.1 – Registro de usuário 11.2.2 – Gerenciamento de Privilégios 11.2.3 – Gerenciamento de senha do usuário 11.2.4 – Análise crítica dos direitos de acesso do usuário
11.3 – Responsabilidade dos usuários
11.3.1 – Uso de senhas 11.3.2 – Equipamento de usuário sem monitoração 11.3.3 – Política de mesa limpa e tela limpa
Free Powerpoint Templates
Page 28
ISO 27002 Cap. 11
Controle de Acessos
–
11.4 – Controle de Acesso a Rede 11.5 – Controle de Acesso ao SO 11.6 – Controle de Acesso à aplicação e a Informação 11.7 – Computação Móvel e Trabalho Remoto
Free Powerpoint Templates
Page 29
ISO 27002 Cap. 12 Aquisição, desenvolvimento e manutenção de sistemas de informação –
12.1 – Requisitos de Segurança de sistemas de informação 12.2 – Processamento correto das aplicações 12.3 – Controles Criptográficos 12.4 – Segurança dos arquivos do sistema 12.5 - Segurança em processos de desenvolvimento e de suporte 12.6 – Gestão de vulnerabilidades técnicas
Free Powerpoint Templates
Page 30
ISO 27002 Cap. 13 Gestão de Incidentes de segurança da Informação –
13.1 – Notificação de fragilidades e eventos de segurança da informação 13.2 – Gestão de Incidentes de Segurança da Informação e melhorias
Free Powerpoint Templates
Page 31
ISO 27002 Cap. 14
Gestão da Continuidade do Negócio
–
14.1 – Aspectos da Gestão da continuidade do negócio, relativos a segurança da informação
Free Powerpoint Templates
Page 32
ISO 27002 Cap. 15
Conformidade
–
15.1 – Conformidade com requisitos legais 15.2 – Conformidade com normas e políticas de segurança da informação e conformidade técnica 15.3 – Considerações quanto a auditoria de sistemas de informação
Free Powerpoint Templates
Page 33