A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Administração e segurança de redes Aula 07 Políticas de segurança – Implementação Prof. Diovani Milhorim 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo.

Apresentações semelhantes


Apresentação em tema: "Administração e segurança de redes Aula 07 Políticas de segurança – Implementação Prof. Diovani Milhorim 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo."— Transcrição da apresentação:

1 Administração e segurança de redes Aula 07 Políticas de segurança – Implementação Prof. Diovani Milhorim 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo Auditoria e Segurança

2 Normas NBR ISO/IEC e 17799: Visão Geral Histórico Introdução às normas Segurança da informação ISO SGSI Responsabilidades da direção Auditorias internas Análise Crítica do SGSI Sistema de melhoria contínua 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo Auditoria e Segurança

3 Histórico 1995: publicada a primeira versão da BS (BS : Tecnologia da Informação - Código de prática para gestão da segurança da informação) 1998: publicada a primeira versão da BS (BS : Sistema de gestão da Segurança da Informação - Especificações e guia para uso) 1999: publicada uma revisão da BS (BS : Tecnologia da Informação - Código de prática para gestão da segurança da informação) 2000: publicada a primeira versão da norma ISO/IEC (ISO/IEC 17799: Tecnologia da Informação - Código de prática para gestão da segurança da informação também referenciada como BS ISO/IEC 17799:2000) 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo Auditoria e Segurança

4 Histórico : publicada a primeira versão da norma no Brasil, NBR ISO/IEC (NBR ISO/IEC 17799: Tecnologia da Informação - Código de prática para gestão da segurança da informação) : publicada revisão da norma BS 7799 parte 2 (BS7799-2: Sistema de gestão da Segurança da Informação - Especificações e guia para uso). - Agosto/2005: publicada a segunda versão da norma no Brasil, NBR ISO/IEC (NBR ISO/IEC 17799:2005) - Outubro/2005: publicada a norma ISO (ISO/IEC 27001: Tecnologia da Informação - Técnicas de segurança - Sistema de gestão da Segurança da Informação - Requisitos). 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo Auditoria e Segurança

5 Introdução às Normas Norma Provê um modelo de sistema de gestão da segurança da informação (SGSI) Permite a certificação de uma organização segundo seu referencial Baseia-se na abordagem de processo Aplica um sistema de processos, junto com a identificação e interação destes processos e asua gestão 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo Auditoria e Segurança

6 Introdução às Normas Norma Encoraja o uso do modelo PDCA Entendimento dos requisitos e necessidade de PSI Implementação e operação de controles Monitoração e análise crítica Melhoria contínua 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo Auditoria e Segurança

7 Introdução às Normas Norma NBR ISO/IEC 17799:2005 TI – Código de Prática para gestão da segurança da informação Estabelece diretrizes e princípios gerais para implantar um SGSI. Não permite a certificação de uma organização em relação ao seu modelo de referência Prescreve práticas para a) Política de Segurança da Informação b) Organização da infra-estrutura da informação c) Gestão de ativos 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo Auditoria e Segurança

8 Introdução às Normas Prescreve práticas para (continuação) d) Segurança em recursos humanos e) Segurança física e do ambiente f) Gerenciamento das operações e comunicações g) Controle de Acessos h) Aquisição, desenv. e manutenção de SI i) Gestão de incidentes de SI j) Gestão de continuidade de negócios k) Conformidade 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo Auditoria e Segurança

9 SGSI 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo Auditoria e Segurança Partes InteressadasOrganização Expectativas e requisitos de segurança da informação Segurança da informação gerenciada Plan Estabelece SGSI Do Implementa e Opera Check Monitora e Analisa criticamente Act Mantém e melhora NBR ISO/IEC 17799:2005

10 SGSI A organização deve estabelecer, implementar e operar, monitorar e analisar criticamente um SGSI Documentado Contextualizado em relação ao negócio Contextualizado em relação aos riscos Baseado no modelo PDCA 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo Auditoria e Segurança

11 SGSI - Plan Estabece a PSI, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da SI para produzir resultados de acordo com as políticas e objetivos globais de uma organização. 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo Auditoria e Segurança Plan Estabelece SGSI

12 Estabelecendo e Gerenciando o SGSI 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo Auditoria e Segurança Plan Estabelece SGSI Escopo e os limites PSI Abordagem Análise de Risco Identifica Riscos Analisa e Avalia Riscos Opções tratamento riscos Seleciona objetivos de controle e risco Aprova com diretoria riscos residuais Autoriza com diretoria implem. operação SGSI Declaração Aplicabilidade

13 SGSI - Do Implementar e operar a política, controles, processos e procedimentos do SGSI 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo Auditoria e Segurança Do Implementa e Opera

14 Implementar e operar o SGSI 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo Auditoria e Segurança Plano tratam de Riscos Implem. Plano trat. Riscos Implementa Controles selecionados Define medição da eficácia dos controles Conscientização e treinamento Gerenciar as Operações do SGSI Gerenciar os recursos para SGSI Controles para Detecção Eventos Do Implementa e Opera

15 SGSI - Check Avaliar, e quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiência prática do SGSI e apresentar os resultados para análise crítica pela direção 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo Auditoria e Segurança Check Monitora e Analisa criticamente

16 Monitorar e analisar criticamente (AC) o SGSI 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo Auditoria e Segurança Executar Procedim Monitoração AC regulares eficácia Medir Eficácia controles AC as Análise de Risco Auditar internamente AC do SGSI pela Direção Atualizar Planos de segurança Registrar ações e eventos com Impacto no SGSI Check

17 SGSI - Act Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo Auditoria e Segurança Act Mantém e melhora

18 Manter e melhorar o SGSI 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo Auditoria e Segurança Implementar Melhorias identificadas Executar ações preventivas e corretivas Comunicar ações de melhoria (obter concordância?) Assegurar Atingimento dos obj. pretendidos Act

19 SGSI - Controles Documentos Protegidos e controlados Aprovados, analisados criticamente, íntegros, disponíveis, identificados e com a confidencialidade garantida Prevenido o uso não intencional Registros Estabelecidos e mantidos para fornecer evidências da operação eficaz do SGSI 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo Auditoria e Segurança

20 Responsabilidades da direção Comprometimento da direção com o PDCA do SGSI deve ser evidente Determinar e prover os recursos para o PDCA do SGSI, inclusive fazendo análise crítica do mesmo Garantir as condições para treinamento, conscientização e determinação das competências de todo o pessoal com responsabilidades no SGSI 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo Auditoria e Segurança

21 Auditorias internas Auditorias internas a intervalos planejados para determinar se os controles planejados: Atendem os requisitos da norma e legislação Atendem requisitos de segurança identificados São mantidos e implementados com eficácia São executados conforme esperado Seguir regras básicas de auditoria Devem ser conduzidas a partir de procedimentos documentados 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo Auditoria e Segurança

22 Análise Crítica do SGSI A direção deve realizar AC do SGSI a intervalos planejados, pelo menos 1 vez por ano e com resultados documentados Entradas Resultados das auditorias internas, Feedback das partes interessadas, Técnicas e produtos atualizados Situação das ações preventivas e corretivas Vulnerabilidades e ameaças Resultados da eficácia das medições Acompanhamento das ACs anteriores Mudanças que possam afetar o SGSI Recomendações externas para melhoria 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo Auditoria e Segurança

23 Análise Crítica do SGSI Saídas (decisões e ações relativas a) Melhoria da eficácia do SGSI Atualização da análise/avaliação de riscos Modificações em procedimentos Necessidades de recursos Melhoria na forma como a eficácia dos controles está sendo medida 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo Auditoria e Segurança

24 Sistema de melhoria contínua Continuamente deve melhorar a eficácia a partir de ações corretivas e preventivas Corretivas Buscam eliminar as causas de não- conformidades atuais do SGSI de forma a evitar sua repetição Preventivas Buscam eliminar as causas de não- conformidades potenciais do SGSI, de forma a evitar sua ocorrência. 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo Auditoria e Segurança


Carregar ppt "Administração e segurança de redes Aula 07 Políticas de segurança – Implementação Prof. Diovani Milhorim 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo."

Apresentações semelhantes


Anúncios Google