RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE
NEGÓCIOS
AULA DE HOJE
METODOLOGIAS USADAS PARA RESPOSTAS A
INCIDENTES E PLANO DE
CONTINUIDADE DE NEGÓCIOS
2015 - 2. Sem. RIPCN (Profª Cristina Aranha)
1
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE
NEGÓCIOS
ISO/IEC 27001:2006
(Resumo Pontual sobre as normas ISO/IEC,
Modelos, boas práticas de serviços e gestão de TI)
2015 - 2. Sem. RIPCN (Profª Cristina Aranha)
2
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE
NEGÓCIOS
Esta norma foi preparada com o objetivo de
fornecer um modelo para:
estabelecer, implementar, operar, monitorar, analisar
criticamente, manter e melhorar um Sistema de
Gestão de Segurança da Informação (SGSI).
2015 - 2. Sem. RIPCN (Profª Cristina Aranha)
3
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE
NEGÓCIOS
Um SGSI deve ser uma decisão estratégica para uma
organização.
2015 - 2. Sem. RIPCN (Profª Cristina Aranha)
4
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE
NEGÓCIOS
A especificação e a implementação do SGSI de uma
organização são influenciadas pelas suas necessidades
e objetivos, requisitos de segurança, processos
empregados e tamanho da estrutura organizacional.
2015 - 2. Sem. RIPCN (Profª Cristina Aranha)
5
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE
NEGÓCIOS
Espera-se que este e os sistemas de apoio mudem
com o passar do tempo. Espera-se que a
implementação de um SGSI seja escalada conforme
as necessidades da organização.
2015 - 2. Sem. RIPCN (Profª Cristina Aranha)
6
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE
NEGÓCIOS
Por exemplo: uma situação simples exige uma solução
de um SGSI simples.
2015 - 2. Sem. RIPCN (Profª Cristina Aranha)
7
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE
NEGÓCIOS
ESTRUTURA DA ISO 27001:2006
0 – Introdução
1 – Objetivo
2 – Referência Normativa
3 – Termos e definições
4 – Sistema de Gestão de Segurança da Informação
2015 - 2. Sem. RIPCN (Profª Cristina Aranha)
8
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE
NEGÓCIOS
(Requisitos Gerais, estabelecendo e gerenciando o
SGSI, requisitos de documentação)
5 - Responsabilidades da Direção (comprometimento
da direção e gestão de recursos)
6 – Auditorias Internas do SGSI
2015 - 2. Sem. RIPCN (Profª Cristina Aranha)
9
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE
NEGÓCIOS
7 – Análise Crítica do SGSI pela Direção
(Geral; Entradas para a análise crítica; saídas da
análise crítica)
8 – Melhoria do SGSI (Melhoria Contínua; Ação
Corretiva; Ação Preventiva)
2015 - 2. Sem. RIPCN (Profª Cristina Aranha)
10
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE
NEGÓCIOS
A ISO 27001 adota o modelo conhecido como PDCA
Plan- Do- Check- Act) que é aplicado para estruturar
todos os processos do SGSI.
2015 - 2. Sem. RIPCN (Profª Cristina Aranha)
11
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE
NEGÓCIOS
Figura 01 – Modelo PDCA
Fonte: http://edilms.eti.br
Acesso em 20 de fevereiro de 2014
2015 - 2. Sem. RIPCN (Profª Cristina Aranha)
12
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE
NEGÓCIOS
PDCA NA ISO 27001
PLAN (planejar –
Estabelecer o SGSI)
Estabelecer a política, os objetivos,
processos e procedimentos do
SGSI, relevantes para a gestão de
riscos e melhoria da segurança da
informação, para produzir resultados de
acordo com as políticas e objetivos
globais de uma organização.
DO (fazer – implementar
e operar o SGSI)
Implementar e operar a política ,
controles, processos e procedimentos
do SGSI
CHECK (Checar – monitorar
e analisar criticamente
o SGSI)
Avaliar e, quando aplicável, medir o
desempenho de um processo frente
à política, objetivos e experiência
prática do SGSI e apresentar os
resultados para a análise critica pela
direção.
2015 - 2. Sem. RIPCN (Profª Cristina Aranha)
13
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE
NEGÓCIOS
ACT (agir – manter e melhorar
o SGSI)
Executar as ações corretivas e
preventivas, com base nos
resultados da auditoria interna do
SGSI e da análise crítica pela
direção ou outra informação
pertinente , para alcançar a
melhoria contínua do SGSI
2015 - 2. Sem. RIPCN (Profª Cristina Aranha)
14
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE
NEGÓCIOS
ISO/IEC 27002:2005
A norma ABNT NBR ISO/IEC 27002:2005 mostra que
é imprescindível proteger a informação dos diversos
tipos de ameaças existentes com o objetivo de
garantir a continuidade do negócio, minimizar o risco
para o negócio, maximizar o retorno sobre os
investimentos e as oportunidades de negócios para os
usuários, empresas e instituições, sejam elas privadas
ou públicas.
2015 - 2. Sem. RIPCN (Profª Cristina Aranha)
15
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE
NEGÓCIOS
Esta Norma estabelece diretrizes e princípios gerais
para iniciar, implementar, manter e melhorar a gestão
de segurança da informação em uma organização.
Os objetivos definidos nesta Norma fornecem diretrizes
gerais sobre as metas geralmente aceitas para a
gestão da segurança da informação.
Os objetivos de controle e os controles desta Norma
2015 - 2. Sem. RIPCN (Profª Cristina Aranha)
16
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE
NEGÓCIOS
têm como finalidade ser implementados para atender
aos requisitos identificados por meio da análise/
avaliação de riscos. Esta Norma pode servir como um
guia prático para desenvolver os procedimentos de
segurança da informação da organização e as
eficientes práticas de gestão da segurança e para
ajudar a criar a confiança nas atividades interorganizacionais.
2015 - 2. Sem. RIPCN (Profª Cristina Aranha)
17
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE
NEGÓCIOS
ESTRUTURA DA ISO 27002:2005
0 – Introdução
1 – Objetivo
2 – Termos e definições
3 – Estrutura da Norma
4 – Análise/Avaliação e tratamento de riscos
2015 - 2. Sem. RIPCN (Profª Cristina Aranha)
18
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE
NEGÓCIOS
5 – Política de Segurança da Informação
6 – Organizando a Segurança da Informação
7 – Gestão de Ativos
8 – Segurança em Recursos Humanos
9 – Segurança física e do ambiente
10 – Gerenciamento das operações e das
comunicações
2015 - 2. Sem. RIPCN (Profª Cristina Aranha)
19
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE
NEGÓCIOS
11 – Controle de Acessos
12 – Aquisição, desenvolvimento e manutenção de
sistemas
13 – Gestão de Incidentes de segurança da informação
14 – Gestão da continuidade do negócio
15 – Conformidade
2015 - 2. Sem. RIPCN (Profª Cristina Aranha)
20
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE
NEGÓCIOS
ISSO/IEC 27005:2008
Esta Norma fornece diretrizes para a segurança da
informação da gestão de riscos, tendo como objetivo
fornecer um guia para a implementação da
abordagem de gerenciamento de riscos orientada ao
processo, para auxiliar na execução e no cumprimento
satisfatório da implementação da gestão de riscos da
informação, tendo como base os requisitos da Norma
2015 - 2. Sem. RIPCN (Profª Cristina Aranha)
21
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE
NEGÓCIOS
da Norma ISSO/IEC 27001.
Foi elaborada para facilitar uma implementação
satisfatória da segurança da informação tendo como
base a gestão de riscos.
Aplica-se a todos os tipos de organização que
pretendam gerenciar os riscos que poderiam
comprometer a segurança da informação da
organização
2015 - 2. Sem. RIPCN (Profª Cristina Aranha)
22
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE
NEGÓCIOS
Nesta Norma encontra-se um conjunto de técnicas
que são empregadas para orientar o gerenciamento
dos riscos de segurança, incluindo recomendações
sobre a avaliação de riscos, tratamento, aceitação,
comunicação, monitoramento e revisão de riscos.
2015 - 2. Sem. RIPCN (Profª Cristina Aranha)
23
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE
NEGÓCIOS
ESTRUTURA DA ISO 27005:2008
1 – Introdução
2 – Escopo
3 – Referências Normativas
4 – Termos e Definições
5 – Organização da Norma
2015 - 2. Sem. RIPCN (Profª Cristina Aranha)
24
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE
NEGÓCIOS
6 – Contextualização
7– Visão Geral do Processo de Gestão de Riscos
de Segurança da Informação
8 – Definição do Contexto
9 – Análise/Avaliação de Riscos de SI
10– Tratamento de Riscos de SI
11 – Aceitação de Riscos de SI
12 – Comunicação de Riscos
13 – Monitoramento e Análise Crítica de Riscos de SI
2015 - 2. Sem. RIPCN (Profª Cristina Aranha)
25
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE
NEGÓCIOS
Figura 02
ISO
27005
2015 - 2. Sem. RIPCN (Profª Cristina Aranha)
26
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE
NEGÓCIOS
Figura 03
Tratamento
De
Riscos
ISO
27005
2015 - 2. Sem. RIPCN (Profª Cristina Aranha)
27