Segurança e Auditoria de
Sistemas
Prof. Fabiano Sabha
PSI - Política de Segurança
da Informação
Continuação
Política de Segurança da
Informação
A política de segurança atribui direitos e
responsabilidades às pessoas que lidam com os
recursos computacionais de uma instituição e com
as informações neles armazenados. Ela também
define as atribuições de cada um em relação à
segurança dos recursos com os quais trabalham.
(Cert.br)
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
3
Política de Segurança da
Informação
Deve prever o que pode ser feito na rede da instituição e o
que será considerado inaceitável.
São definidas as penalidades às quais estão sujeitos
aqueles que não cumprirem a política.
Envolvimento da Alta Direção
Criação do Comitê de Segurança
Deve estar em conformidade legal
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
4
PSI – Segundo a 17799:2005
Capítulo 5.1
Objetivo: Prover uma orientação e apoio da direção para a
segurança da informação de acordo com os requisitos do
negócio e com as leis e regulamentações relevantes.
Convém que a direção estabeleça uma política clara,
alinhada com os objetivos do negócio e demonstre apoio e
comprometimento com a segurança da informação por
meio da publicação e manutenção de uma política de
segurança da informação para toda a organização.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
5
PSI – Segundo a 17799:2005
Capítulo 5.1.1
Controle
Convém que um documento da política de segurança da
informação seja aprovado pela direção, publicado e
comunicado para todos os funcionários e partes externas
relevantes.
Diretrizes para implementação
Convém que o documento da política de segurança da
informação declare o comprometimento da direção e
estabeleça o enfoque da organização para gerenciar a
segurança da informação. Convém que o documento da
política contenha declarações relativas a:
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
6
PSI – Segundo a 17799:2005
Capítulo 5.1.1
Controle
Convém que um documento da política de segurança da
informação seja aprovado pela direção, publicado e
comunicado para todos os funcionários e partes externas
relevantes.
Diretrizes para implementação
Convém que o documento da política de segurança da
informação declare o comprometimento da direção e
estabeleça o enfoque da organização para gerenciar a
segurança da informação. Convém que o documento da
política contenha declarações relativas a:
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
7
PSI – Segundo a 17799:2005
Capítulo 5.1.1
a) uma definição de segurança da informação, suas metas
globais, escopo e importância da segurança da informação
como um mecanismo que habilita o compartilhamento da
informação;
b) uma declaração do comprometimento da direção,
apoiando as metas e princípios da segurança da
informação, alinhada com os objetivos e estratégias do
negócio;
c) uma estrutura para estabelecer os objetivos de controle
e os controles, incluindo a estrutura de análise/avaliação e
gerenciamento de risco;
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
8
PSI – Segundo a 17799:2005
Capítulo 5.1.1
d) breve explanação das políticas, princípios, normas e
requisitos de conformidade de segurança da informação
específicos para a organização, incluindo:
1) conformidade com a legislação e com requisitos regulamentares e
contratuais;
2) requisitos de conscientização, treinamento e educação em segurança
da informação;
3) gestão da continuidade do negócio;
4) conseqüências das violações na política de segurança da informação;
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
9
PSI – Segundo a 17799:2005
Capítulo 5.1.1
e) definição das responsabilidades gerais e específicas na
gestão da segurança da informação, incluindo o registro
dos incidentes de segurança da informação;
f) referências à documentação que possam apoiar a
política, por exemplo, políticas e procedimentos de
segurança mais detalhados de sistemas de informação
específicos ou regras de segurança que os usuários
devem seguir.
Convém que esta política de segurança da
informação seja comunicada através de
toda a organização para os usuários de
forma que seja relevante, acessível e
compreensível para o leitor em foco.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
10
PSI – IMPORTANTE
 TODA PSI – é um documento vivo!
Plan
ACT
DO
Check
11
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
PSI – Exemplo
Diretrizes – Aspectos organizacionais e administrativos
Termo de responsabilidade e sigilo – TRS
Garantir que todos os colaboradores, terceirizados e prestadores
de serviços estejam comprometidos com a PSI da empresa
Vulkanix, por meio da assinatura do documento TRS – Termo de
Responsabilidade e Sigilo.
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
12
Implantando uma Política
de Segurança
Atividade em Sala
1- Crie 3 exemplos de políticas de segurança;
2- Crie um plano de divulgação / implantação de uma
Política de Segurança
Atividade a ser apresentada na próxima
aula como trabalho bimestral
Atividade em grupo!
Bom Trabalho!
Segurança e Auditoria de Sistemas - Prof. Fabiano Sabha
14
Download

Política de Segurança da Informação