Segurança e Auditoria de Sistemas Prof. Fabiano Sabha PSI - Política de Segurança da Informação Continuação Política de Segurança da Informação A política de segurança atribui direitos e responsabilidades às pessoas que lidam com os recursos computacionais de uma instituição e com as informações neles armazenados. Ela também define as atribuições de cada um em relação à segurança dos recursos com os quais trabalham. (Cert.br) Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 3 Política de Segurança da Informação Deve prever o que pode ser feito na rede da instituição e o que será considerado inaceitável. São definidas as penalidades às quais estão sujeitos aqueles que não cumprirem a política. Envolvimento da Alta Direção Criação do Comitê de Segurança Deve estar em conformidade legal Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 4 PSI – Segundo a 17799:2005 Capítulo 5.1 Objetivo: Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. Convém que a direção estabeleça uma política clara, alinhada com os objetivos do negócio e demonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização. Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 5 PSI – Segundo a 17799:2005 Capítulo 5.1.1 Controle Convém que um documento da política de segurança da informação seja aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes. Diretrizes para implementação Convém que o documento da política de segurança da informação declare o comprometimento da direção e estabeleça o enfoque da organização para gerenciar a segurança da informação. Convém que o documento da política contenha declarações relativas a: Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 6 PSI – Segundo a 17799:2005 Capítulo 5.1.1 Controle Convém que um documento da política de segurança da informação seja aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes. Diretrizes para implementação Convém que o documento da política de segurança da informação declare o comprometimento da direção e estabeleça o enfoque da organização para gerenciar a segurança da informação. Convém que o documento da política contenha declarações relativas a: Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 7 PSI – Segundo a 17799:2005 Capítulo 5.1.1 a) uma definição de segurança da informação, suas metas globais, escopo e importância da segurança da informação como um mecanismo que habilita o compartilhamento da informação; b) uma declaração do comprometimento da direção, apoiando as metas e princípios da segurança da informação, alinhada com os objetivos e estratégias do negócio; c) uma estrutura para estabelecer os objetivos de controle e os controles, incluindo a estrutura de análise/avaliação e gerenciamento de risco; Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 8 PSI – Segundo a 17799:2005 Capítulo 5.1.1 d) breve explanação das políticas, princípios, normas e requisitos de conformidade de segurança da informação específicos para a organização, incluindo: 1) conformidade com a legislação e com requisitos regulamentares e contratuais; 2) requisitos de conscientização, treinamento e educação em segurança da informação; 3) gestão da continuidade do negócio; 4) conseqüências das violações na política de segurança da informação; Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 9 PSI – Segundo a 17799:2005 Capítulo 5.1.1 e) definição das responsabilidades gerais e específicas na gestão da segurança da informação, incluindo o registro dos incidentes de segurança da informação; f) referências à documentação que possam apoiar a política, por exemplo, políticas e procedimentos de segurança mais detalhados de sistemas de informação específicos ou regras de segurança que os usuários devem seguir. Convém que esta política de segurança da informação seja comunicada através de toda a organização para os usuários de forma que seja relevante, acessível e compreensível para o leitor em foco. Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 10 PSI – IMPORTANTE TODA PSI – é um documento vivo! Plan ACT DO Check 11 Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha PSI – Exemplo Diretrizes – Aspectos organizacionais e administrativos Termo de responsabilidade e sigilo – TRS Garantir que todos os colaboradores, terceirizados e prestadores de serviços estejam comprometidos com a PSI da empresa Vulkanix, por meio da assinatura do documento TRS – Termo de Responsabilidade e Sigilo. Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 12 Implantando uma Política de Segurança Atividade em Sala 1- Crie 3 exemplos de políticas de segurança; 2- Crie um plano de divulgação / implantação de uma Política de Segurança Atividade a ser apresentada na próxima aula como trabalho bimestral Atividade em grupo! Bom Trabalho! Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha 14