RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS AULA DE HOJE METODOLOGIAS USADAS PARA RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS 2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 1 RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS ISO/IEC 27001:2006 (Resumo Pontual sobre as normas ISO/IEC, Modelos, boas práticas de serviços e gestão de TI) 2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 2 RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS Esta norma foi preparada com o objetivo de fornecer um modelo para: estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI). 2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 3 RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS Um SGSI deve ser uma decisão estratégica para uma organização. 2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 4 RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS A especificação e a implementação do SGSI de uma organização são influenciadas pelas suas necessidades e objetivos, requisitos de segurança, processos empregados e tamanho da estrutura organizacional. 2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 5 RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS Espera-se que este e os sistemas de apoio mudem com o passar do tempo. Espera-se que a implementação de um SGSI seja escalada conforme as necessidades da organização. 2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 6 RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS Por exemplo: uma situação simples exige uma solução de um SGSI simples. 2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 7 RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS ESTRUTURA DA ISO 27001:2006 0 – Introdução 1 – Objetivo 2 – Referência Normativa 3 – Termos e definições 4 – Sistema de Gestão de Segurança da Informação 2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 8 RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS (Requisitos Gerais, estabelecendo e gerenciando o SGSI, requisitos de documentação) 5 - Responsabilidades da Direção (comprometimento da direção e gestão de recursos) 6 – Auditorias Internas do SGSI 2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 9 RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS 7 – Análise Crítica do SGSI pela Direção (Geral; Entradas para a análise crítica; saídas da análise crítica) 8 – Melhoria do SGSI (Melhoria Contínua; Ação Corretiva; Ação Preventiva) 2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 10 RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS A ISO 27001 adota o modelo conhecido como PDCA Plan- Do- Check- Act) que é aplicado para estruturar todos os processos do SGSI. 2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 11 RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS Figura 01 – Modelo PDCA Fonte: http://edilms.eti.br Acesso em 20 de fevereiro de 2014 2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 12 RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS PDCA NA ISO 27001 PLAN (planejar – Estabelecer o SGSI) Estabelecer a política, os objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e melhoria da segurança da informação, para produzir resultados de acordo com as políticas e objetivos globais de uma organização. DO (fazer – implementar e operar o SGSI) Implementar e operar a política , controles, processos e procedimentos do SGSI CHECK (Checar – monitorar e analisar criticamente o SGSI) Avaliar e, quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiência prática do SGSI e apresentar os resultados para a análise critica pela direção. 2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 13 RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS ACT (agir – manter e melhorar o SGSI) Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente , para alcançar a melhoria contínua do SGSI 2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 14 RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS ISO/IEC 27002:2005 A norma ABNT NBR ISO/IEC 27002:2005 mostra que é imprescindível proteger a informação dos diversos tipos de ameaças existentes com o objetivo de garantir a continuidade do negócio, minimizar o risco para o negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócios para os usuários, empresas e instituições, sejam elas privadas ou públicas. 2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 15 RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS Esta Norma estabelece diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Os objetivos definidos nesta Norma fornecem diretrizes gerais sobre as metas geralmente aceitas para a gestão da segurança da informação. Os objetivos de controle e os controles desta Norma 2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 16 RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS têm como finalidade ser implementados para atender aos requisitos identificados por meio da análise/ avaliação de riscos. Esta Norma pode servir como um guia prático para desenvolver os procedimentos de segurança da informação da organização e as eficientes práticas de gestão da segurança e para ajudar a criar a confiança nas atividades interorganizacionais. 2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 17 RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS ESTRUTURA DA ISO 27002:2005 0 – Introdução 1 – Objetivo 2 – Termos e definições 3 – Estrutura da Norma 4 – Análise/Avaliação e tratamento de riscos 2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 18 RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS 5 – Política de Segurança da Informação 6 – Organizando a Segurança da Informação 7 – Gestão de Ativos 8 – Segurança em Recursos Humanos 9 – Segurança física e do ambiente 10 – Gerenciamento das operações e das comunicações 2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 19 RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS 11 – Controle de Acessos 12 – Aquisição, desenvolvimento e manutenção de sistemas 13 – Gestão de Incidentes de segurança da informação 14 – Gestão da continuidade do negócio 15 – Conformidade 2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 20 RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS ISSO/IEC 27005:2008 Esta Norma fornece diretrizes para a segurança da informação da gestão de riscos, tendo como objetivo fornecer um guia para a implementação da abordagem de gerenciamento de riscos orientada ao processo, para auxiliar na execução e no cumprimento satisfatório da implementação da gestão de riscos da informação, tendo como base os requisitos da Norma 2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 21 RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS da Norma ISSO/IEC 27001. Foi elaborada para facilitar uma implementação satisfatória da segurança da informação tendo como base a gestão de riscos. Aplica-se a todos os tipos de organização que pretendam gerenciar os riscos que poderiam comprometer a segurança da informação da organização 2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 22 RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS Nesta Norma encontra-se um conjunto de técnicas que são empregadas para orientar o gerenciamento dos riscos de segurança, incluindo recomendações sobre a avaliação de riscos, tratamento, aceitação, comunicação, monitoramento e revisão de riscos. 2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 23 RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS ESTRUTURA DA ISO 27005:2008 1 – Introdução 2 – Escopo 3 – Referências Normativas 4 – Termos e Definições 5 – Organização da Norma 2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 24 RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS 6 – Contextualização 7– Visão Geral do Processo de Gestão de Riscos de Segurança da Informação 8 – Definição do Contexto 9 – Análise/Avaliação de Riscos de SI 10– Tratamento de Riscos de SI 11 – Aceitação de Riscos de SI 12 – Comunicação de Riscos 13 – Monitoramento e Análise Crítica de Riscos de SI 2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 25 RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS Figura 02 ISO 27005 2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 26 RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS Figura 03 Tratamento De Riscos ISO 27005 2015 - 2. Sem. RIPCN (Profª Cristina Aranha) 27