Segurança da Informação
Aula 2: ISO 27002
Prof. Roberto Franciscatto
Especialização
em Gestão de
TI – 01/2013
Free Powerpoint
Templates
Page 1
ISO 27002
• O que é a ISO 27002?
• Código de prática para a gestão da segurança
da informação
• A quem se aplica?
• Para quem precisa trabalhar/administrar
segurança em uma organização
• Deveria ser um código de conduta para qualquer
empresa !!!
Free Powerpoint Templates
Page 2
ISO 27002
• Para que serve uma normatização
• Definir regras e instrumentos de controle para
assegurar a conformidade:
• de um processo, produto ou serviço
Free Powerpoint Templates
Page 3
ISO 27002
• Objetivos da norma
•
•
•
•
Comunicação (fabricante/cliente)
Segurança (proteção)
Proteção do consumidor (qualidade de produtos)
Eliminação de barreiras técnicas e comerciais
Free Powerpoint Templates
Page 4
ISO 27002
• Como está dividida a família 27000
Free Powerpoint Templates
Page 5
ISO 27002
• Estrutura da ISO 27002
Free Powerpoint Templates
Page 6
ISO 27002
• Estrutura
da ISO
27002
Free Powerpoint Templates
Page 7
ISO 27002
• Como está estruturada a ISO 27002
Capítulo
Titulo
Nro. Sub-Capítulos
5
Política de Segurança da Informação
1
6
Organizando a Segurança da Informação
2
7
Gestão de Ativos
2
8
Segurança em Recursos Humanos
3
9
Segurança Física e do Ambiente
2
10
Gestão de Operações e Comunicações
10
11
Controle de Acesso
7
12
Aquisição, Desenvolvimento e Manutenção
de SI
6
13
Gestão de Incidentes de SI
2
14
Gestão da Continuidade do Negócio
1
15
Conformidade
3
Free Powerpoint Templates
Page 8
ISO 27002
• Estrutura da ISO 27002
Seção
Categoria
Objetivos
Controle
Diretrizes
Free Powerpoint Templates
Page 9
ISO 27002
Cap. 5 - Política de Segurança da Informação
5.1 – Política de Segurança da Informação
5.1.1 – Documento da Política de Segurança da Informação
(Como montar efetivamente)
5.1.2 – Análise crítica da Segurança da Informação
(Se basear na realidade de não na ficção, ter noção do todo da
organização)
Free Powerpoint Templates
Page 10
ISO 27002
Cap. 6 – Organizando a Segurança da Informação
6.1 – Orgazinação interna
(Gerenciar a segurança da informação dentro da organização)
6.1.1 – Comprometimento da direção com a SI
(Formular, analisar, criticar a PSI)
6.1.2 – Coordenação da SI
(Diferentes partes da Organização, com funções e papéis
relevantes)
6.1.3 – Atribuição de Responsabilidades para a SI
(quem é responsável por o que, dentro da empresa)
Free Powerpoint Templates
Page 11
ISO 27002
Cap. 6 – Organizando a Segurança da Informação
6.1.4 – Processo de Autorização para os recursos de
processamento da informação
(BYOD, controles necessários devem ser identificados e implementados)
6.1.5 – Acordos de Confidencialidade
(O que precisa ser protegido? Tempo de duração do acordo. Ações para
violação de acordo)
6.1.6 – Contato com autoridades
(Bombeiros, Provedor de Acesso a Internet, Empresa de Segurança)
Free Powerpoint Templates
Page 12
ISO 27002
Cap. 6 – Organizando a Segurança da Informação
6.2 – Partes Externas
(Manter a segurança da informação, dos recursos que são acessados,
processados, comunicados ou gerenciados por parte externas)
6.2.1 – Identificação dos riscos relacionados com partes
externas
(Que tipo de acesso? Físico, Lógico? Acesso Remoto? Acesso ao SGBD?)
6.2.2 – Identificando a segurança da Informação quando
tratando com clientes
(Cliente tem acesso a que informação da empresa, de que forma?)
Free Powerpoint Templates
Page 13
ISO 27002
Cap. 7 – Gestão de Ativos
7.1 – Responsabilidade pelos Ativos
(Ativos inventariados e um proprietário responsável)
7.1.1 – Inventário dos Ativos
(Software, Serviços, Intangíveis, Etiqueta, Papel?)
7.1.2 – Proprietário dos Ativos
7.1.3 – Uso aceitável dos Ativos
(regras para internet, uso de e-mail, uso de dispositivos móveis)
Free Powerpoint Templates
Page 14
ISO 27002
Cap. 7 – Gestão de Ativos
7.2 – Classificação da Informação
(indicar a necessidade, prioridades e nível indicado de proteção)
7.2.1 – Recomendações para classificação
(valor, requisitos legais, sensibilidade e criticidade para a organização)
7.2.2 – Rótulos e Tratamento da Informação
(processamento seguro, armazenagem, transmissão, reclassificação e a
destruição)
Free Powerpoint Templates
Page 15
ISO 27002
Cap. 8 – Segurança em Recursos Humanos
8.1 – Antes da Contratação
(acordo de responsabilidade sobre a segurança, para funcionários,
fornecedores e terceiros)
8.1.1 – Papéis e Responsabilidades
(papéis e resposabilidades pela segurança da informação de funcionários,
fornecedores e terceiros)
8.1.2 - Seleção
(verificações do histórico do candidato – ética, leis e regulamentações)
8.1.3 – Termos e Condições de Contratação
(confidencialidade, ações por desrespeitar os requisitos de segurança)
Free Powerpoint Templates
Page 16
ISO 27002
Cap. 8 – Segurança em Recursos Humanos
8.2 – Durante a Contratação
(Funcionários, fornecedores e terceiros estão cientes das ameaças,
com intuito de reduzir o erro humano)
8.2.1 – Responsabilidades da Direção
(fazer aplicar a segurança da informação conforme as políticas e
procedimentos da organização)
8.2.2 – Conscientização, educação e treinamento em
segurança da informação
(treinamento e atualização sobre segurança da informação)
8.2.3 – Processo Disciplinar
(processo disciplinar formal para funcionários que cometeram violação da
segurança da informação)
Free Powerpoint Templates
Page 17
ISO 27002
Cap. 8 – Segurança em Recursos Humanos
8.3 – Encerramento ou mudança da contratação
(devolução de equipamentos, bloqueio de acesso, inutilização de contas)
8.3.1 – Encerramento das Atividades
(RH, TI, Direção, Empresas Terceirizadas)
8.3.2 – Devolução de Ativos
(Devolução de equipamentos, documentos, software)
8.3.3 – Retirada de direitos de acesso
(acesso lógico e físico, chaves, cartões de identificação...)
Free Powerpoint Templates
Page 18
ISO 27002
Cap. 9 – Segurança física e do ambiente
9.1 – Áreas Seguras
(prevenir o acesso físico não autorizado, danos e inteferências)
9.1.1 – Perímetro de Segurança Física
(paredes, portões de entrada, balcões de recepção com balconista)
9.1.2 – Controle de entrada física
(entrada de pessoas autorizadas: registro de data e hora, visitantes
identificados, forma visível de identificação a funcionários)
9.1.3 – Segurança em escritórios, salas e instalações
(não deixar expostos a lista de funcionários e guias telefônicos internos,
não expor a sala de processamento de dados, com letreiros, etc..)
Free Powerpoint Templates
Page 19
ISO 27002
Cap. 9 – Segurança física e do ambiente
9.1.4 – Proteção contra ameaças externas e do meio
ambiente (proteção física contra incêndios, enchentes, terremotos)
9.1.5 – Trabalhando com áreas seguras
(acesso por pessoas autorizadas, devidamente trancadas, sem a
possibilidade de utilização de cameras, filmadoras, entre outros)
9.1.6 – Acesso ao público, áreas de entrega e de
carregamento (evitar acesso não autorizado)
Free Powerpoint Templates
Page 20
ISO 27002
Cap. 9 – Segurança física e do ambiente
9.2 – Segurança de Equipamentos
(impedir perdas, danos, furto ou roubo ou comprometimento de ativos e
interrupção de atividades da organização)
9.2.1 – Instalação e Proteção do equipamento
(limites como comer, beber e fumar nas proximidades das instalações)
9.2.2 – Utilidades
(equipamentos protegidos contra falhas de energia elétrica: no-breaks,
geradores de energia)
9.2.3 – Segurança do cabeamento
(cabeamento óptico (fibra), cabos de energia devidamento dispostos, para
evitar interferências, documentação das conexões)
Free Powerpoint Templates
Page 21
ISO 27002
Cap. 9 – Segurança física e do ambiente
9.2.4 – Manutenção dos Equipamentos
(manutenção correta para prover disponibilidade e integridade)
9.2.5 – Segurança de equipamentos fora das dependências
da organização (seguro de equipamentos)
9.2.6 – Reutilização e alienação segura de equipamentos
(examinar mídias antes do descarte, dados removidos ou sobregravados)
9.2.7 – Remoção de Propriedade
(equipamentos, informações ou software não sejam retirados sem prévia
autorização)
Free Powerpoint Templates
Page 22
ISO 27002
Cap. 10 – Gerenciamento das operações e comunicações
10.1 – Procedimentos e responsabilidades operacionais
(operação segura e correta dos recursos de processamento da informação)
10.1.1 – Documentação dos procedimentos de operação
(backup, início e fim de tarefas, contatos de suporte, procedimento para
reinício e recuperação em caso de falha no sistema)
10.1.2 – Gestão de Mudanças
(modificações nos recursos de processamento sejam controladas)
10.1.3 – Segregação de funções
(útil e importante. Para pequenas empresas controles específicos, como
por exemplo o monitoramento)
10.1.4 – Separação dos recursos de desenvolvimento, teste
e de produção
(separar para reduzir o risco
acessos ouTemplates
modificações não autorizadas)
FreedePowerpoint
Page 23
ISO 27002
Cap. 10 – Gerenciamento das operações e comunicações
10.2 – Gerenciamento de serviços terceirizados
10.2.1 – Entrega de Serviços
10.2.2 – Monitoramento e análise crítica de serviços terceirizados
10.2.3 – Gerenciamento de mudanças para serviços terceirizados
10.3 – Planejamento e aceitação dos Sistemas
10.3.1 – Gestão de capacidade
10.3.2 – Aceitação de Sistemas
10.4 – Proteção contra códigos maliciosos e códigos móveis
10.4.1 – Controle contra códigos maliciosos
10.4.2 - Controle contra códigos móveis
Free Powerpoint Templates
Page 24
ISO 27002
Cap. 10 – Gerenciamento das operações e comunicações
10.5 – Cópias de Segurança
10.5.1 – Cópias de Segurança das Informações
10.6 – Gerenciamento da Segurança em Redes
10.6.1 – Controle de Redes
10.6.2 – Segurança dos serviços de Rede
10.7 – Manuseio de Mídias
10.7.1
10.7.2
10.7.3
10.7.4
–
–
–
–
Gerenciamento de Mídias Removíveis
Descarte de mídias
Procedimentos para tratamento da informação
Segurança da documentação dos sistemas
Free Powerpoint Templates
Page 25
ISO 27002
Cap. 10 – Gerenciamento das operações e comunicações
10.8 – Troca de Informações
10.8.1
10.8.2
10.8.3
10.8.4
10.8.5
–
–
–
–
–
Políticas e procedimentos para troca de informações
Acordos para a troca de informações
Mídias em trânsito
Mensagens eletrônicas
Sistemas de Informações do Negócio
10.9 – Serviços de Comércio Eletrônico
10.9.1 – Comércio Eletrônico
10.9.2 – Transações on-line
10.9.3 – Informações publicamente disponíveis
Free Powerpoint Templates
Page 26
ISO 27002
Cap. 10 – Gerenciamento das operações e comunicações
10.10 – Monitoramento
10.10.1
10.10.2
10.10.3
10.10.4
10.10.5
10.10.6
–
–
–
–
–
–
Registro de auditoria
Monitoramento do uso do sistema
Proteção das informações dos registros (logs)
Registros (logs) de administrador e operador
Regsitros logs de falhas
Sincronização dos relógios
Free Powerpoint Templates
Page 27
ISO 27002
Cap. 11 – Controle de Acessos
11.1 – Requisitos de negócio para controle de acesso
11.1.1 – Política de controle de acesso
11.2 – Gerenciamento de acesso do usuário
11.2.1
11.2.2
11.2.3
11.2.4
–
–
–
–
Registro de usuário
Gerenciamento de Privilégios
Gerenciamento de senha do usuário
Análise crítica dos direitos de acesso do usuário
11.3 – Responsabilidade dos usuários
11.3.1 – Uso de senhas
11.3.2 – Equipamento de usuário sem monitoração
11.3.3 – Política de mesa limpa e tela limpa
Free Powerpoint Templates
Page 28
ISO 27002
Cap. 11 – Controle de Acessos
11.4
11.5
11.6
11.7
–
–
–
–
Controle de Acesso a Rede
Controle de Acesso ao SO
Controle de Acesso à aplicação e a Informação
Computação Móvel e Trabalho Remoto
Free Powerpoint Templates
Page 29
ISO 27002
Cap. 12 – Aquisição, desenvolvimento e manutenção de
sistemas de informação
12.1 – Requisitos de Segurança de sistemas de informação
12.2 – Processamento correto das aplicações
12.3 – Controles Criptográficos
12.4 – Segurança dos arquivos do sistema
12.5 - Segurança em processos de desenvolvimento e de
suporte
12.6 – Gestão de vulnerabilidades técnicas
Free Powerpoint Templates
Page 30
ISO 27002
Cap. 13 – Gestão de Incidentes de segurança da
Informação
13.1 – Notificação de fragilidades e eventos de segurança
da informação
13.2 – Gestão de Incidentes de Segurança da Informação e
melhorias
Free Powerpoint Templates
Page 31
ISO 27002
Cap. 14 – Gestão da Continuidade do Negócio
14.1 – Aspectos da Gestão da continuidade do negócio,
relativos a segurança da informação
Free Powerpoint Templates
Page 32
ISO 27002
Cap. 15 – Conformidade
15.1 – Conformidade com requisitos legais
15.2 – Conformidade com normas e políticas de segurança
da informação e conformidade técnica
15.3 – Considerações quanto a auditoria de sistemas de
informação
Free Powerpoint Templates
Page 33
ISO 27002
• Referências
http://www.iso27001security.com/html/iso27k_toolkit.html
ABNT NBR ISO/IEC 27002:2006.
Código de Prática para a Gestão da Segurança da Informação, 2006.
Free Powerpoint Templates
Page 34