1 / 24

Administração e segurança de redes

Administração e segurança de redes. Aula 07 Políticas de segurança – Implementação Prof. Diovani Milhorim. Normas. NBR ISO/IEC 270012006 e 17799:2005 - Visão Geral Histórico Introdução às normas Segurança da informação ISO 27001 SGSI Responsabilidades da direção Auditorias internas

keiki
Télécharger la présentation

Administração e segurança de redes

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Administração e segurança de redes Aula 07 Políticas de segurança – Implementação Prof. Diovani Milhorim Auditoria e Segurança

  2. Normas • NBR ISO/IEC 270012006 e 17799:2005 - Visão Geral • Histórico • Introdução às normas • Segurança da informação • ISO 27001 • SGSI • Responsabilidades da direção • Auditorias internas • Análise Crítica do SGSI • Sistema de melhoria contínua Auditoria e Segurança

  3. Histórico • 1995: publicada a primeira versão da BS 7799-1 (BS 7799-1:1995 - Tecnologia da Informação - Código de prática para gestão da segurança da informação) • 1998: publicada a primeira versão da BS 7799-2 (BS 7799-2:1998 - Sistema de gestão da Segurança da Informação - Especificações e guia para uso) • 1999: publicada uma revisão da BS 7799-1 (BS 7799-1:1999 - Tecnologia da Informação - Código de prática para gestão da segurança da informação) • 2000: publicada a primeira versão da norma ISO/IEC 17799 (ISO/IEC 17799:2000 - Tecnologia da Informação - Código de prática para gestão da segurança da informação também referenciada como BS ISO/IEC 17799:2000) Auditoria e Segurança

  4. Histórico • 2001: publicada a primeira versão da norma no Brasil, NBR ISO/IEC 17799 (NBR ISO/IEC 17799:2001 - Tecnologia da Informação - Código de prática para gestão da segurança da informação) • 2002: publicada revisão da norma BS 7799 parte 2 (BS7799-2:2002 - Sistema de gestão da Segurança da Informação - Especificações e guia para uso). • Agosto/2005: publicada a segunda versão da norma no Brasil, NBR ISO/IEC 17799 (NBR ISO/IEC 17799:2005) • Outubro/2005: publicada a norma ISO 27001 (ISO/IEC 27001:2005 - Tecnologia da Informação - Técnicas de segurança - Sistema de gestão da Segurança da Informação - Requisitos). Auditoria e Segurança

  5. Introdução às Normas • Norma 27001 • Provê um modelo de sistema de gestão da segurança da informação (SGSI) • Permite a certificação de uma organização segundo seu referencial • Baseia-se na abordagem de processo • Aplica um sistema de processos, junto com a identificação e interação destes processos e asua gestão Auditoria e Segurança

  6. Introdução às Normas • Norma 27001 • Encoraja o uso do modelo PDCA • Entendimento dos requisitos e necessidade de PSI • Implementação e operação de controles • Monitoração e análise crítica • Melhoria contínua Auditoria e Segurança

  7. Introdução às Normas • Norma NBR ISO/IEC 17799:2005 • TI – Código de Prática para gestão da segurança da informação • Estabelece diretrizes e princípios gerais para implantar um SGSI. • Não permite a certificação de uma organização em relação ao seu modelo de referência • Prescreve práticas para • Política de Segurança da Informação • Organização da infra-estrutura da informação • Gestão de ativos Auditoria e Segurança

  8. Introdução às Normas • Prescreve práticas para (continuação) • Segurança em recursos humanos • Segurança física e do ambiente • Gerenciamento das operações e comunicações • Controle de Acessos • Aquisição, desenv. e manutenção de SI • Gestão de incidentes de SI • Gestão de continuidade de negócios • Conformidade Auditoria e Segurança

  9. SGSI Partes Interessadas Organização Expectativas e requisitos de segurança da informação Plan Estabelece SGSI Act Mantém e melhora Check Monitora e Analisa criticamente Do Implementa e Opera Segurança da informação gerenciada NBR ISO/IEC 17799:2005 Auditoria e Segurança

  10. SGSI • A organização deve estabelecer, implementar e operar, monitorar e analisar criticamente um SGSI • Documentado • Contextualizado em relação ao negócio • Contextualizado em relação aos riscos • Baseado no modelo PDCA Auditoria e Segurança

  11. Plan Estabelece SGSI SGSI - Plan • Estabece a PSI, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da SI para produzir resultados de acordo com as políticas e objetivos globais de uma organização. Auditoria e Segurança

  12. Plan Estabelece SGSI Estabelecendo e Gerenciando o SGSI Escopo e os limites PSI Abordagem Análise de Risco Identifica Riscos Analisa e Avalia Riscos Opções tratamento riscos Seleciona objetivos de controle e risco Aprova com diretoria riscos residuais Autoriza com diretoria implem. operação SGSI Declaração Aplicabilidade Auditoria e Segurança

  13. Do Implementa e Opera SGSI - Do • Implementar e operar a política, controles, processos e procedimentos do SGSI Auditoria e Segurança

  14. Do Implementa e Opera Implementar e operar o SGSI Plano tratam de Riscos Implem. Plano trat. Riscos Implementa Controles selecionados Define medição da eficácia dos controles Conscientização e treinamento Gerenciar as Operações do SGSI Gerenciar os recursos para SGSI Controles para Detecção Eventos Auditoria e Segurança

  15. Check Monitora e Analisa criticamente SGSI - Check • Avaliar, e quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiência prática do SGSI e apresentar os resultados para análise crítica pela direção Auditoria e Segurança

  16. Check Monitorar e analisar criticamente (AC) o SGSI Executar Procedim Monitoração AC regulares eficácia Medir Eficácia controles AC as Análise de Risco Auditar internamente AC do SGSI pela Direção Atualizar Planos de segurança Registrar ações e eventos com Impacto no SGSI Auditoria e Segurança

  17. Act Mantém e melhora SGSI - Act • Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI Auditoria e Segurança

  18. Act Manter e melhorar o SGSI Implementar Melhorias identificadas Executar ações preventivas e corretivas Comunicar ações de melhoria (obter concordância?) Assegurar Atingimento dos obj. pretendidos Auditoria e Segurança

  19. SGSI - Controles • Documentos • Protegidos e controlados • Aprovados, analisados criticamente, íntegros, disponíveis, identificados e com a confidencialidade garantida • Prevenido o uso não intencional • Registros • Estabelecidos e mantidos para fornecer evidências da operação eficaz do SGSI Auditoria e Segurança

  20. Responsabilidades da direção • Comprometimento da direção com o PDCA do SGSI deve ser evidente • Determinar e prover os recursos para o PDCA do SGSI, inclusive fazendo análise crítica do mesmo • Garantir as condições para treinamento, conscientização e determinação das competências de todo o pessoal com responsabilidades no SGSI Auditoria e Segurança

  21. Auditorias internas • Auditorias internas a intervalos planejados para determinar se os controles planejados: • Atendem os requisitos da norma e legislação • Atendem requisitos de segurança identificados • São mantidos e implementados com eficácia • São executados conforme esperado • Seguir regras básicas de auditoria • Devem ser conduzidas a partir de procedimentos documentados Auditoria e Segurança

  22. Análise Crítica do SGSI • A direção deve realizar AC do SGSI a intervalos planejados, pelo menos 1 vez por ano e com resultados documentados • Entradas • Resultados das auditorias internas, • Feedback das partes interessadas, • Técnicas e produtos atualizados • Situação das ações preventivas e corretivas • Vulnerabilidades e ameaças • Resultados da eficácia das medições • Acompanhamento das ACs anteriores • Mudanças que possam afetar o SGSI • Recomendações externas para melhoria Auditoria e Segurança

  23. Análise Crítica do SGSI • Saídas (decisões e ações relativas a) • Melhoria da eficácia do SGSI • Atualização da análise/avaliação de riscos • Modificações em procedimentos • Necessidades de recursos • Melhoria na forma como a eficácia dos controles está sendo medida Auditoria e Segurança

  24. Sistema de melhoria contínua • Continuamente deve melhorar a eficácia a partir de ações corretivas e preventivas • Corretivas • Buscameliminar as causas de não-conformidadesatuais do SGSI de forma a evitarsuarepetição • Preventivas • Buscameliminar as causas de não-conformidadespotenciais do SGSI, de forma a evitarsuaocorrência. Auditoria e Segurança

More Related