A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Desenvolvimento de Sistemas de Gestão da Segurança da Informação através da Integração das Normas ISO/IEC 27001:2006 e ISO/IEC 21827 (SSE-CMM) Josiane.

PublicouIago Abrantes Alterado mais de 10 anos atrás

Apresentações semelhantes

Apresentação em tema: "Desenvolvimento de Sistemas de Gestão da Segurança da Informação através da Integração das Normas ISO/IEC 27001:2006 e ISO/IEC 21827 (SSE-CMM) Josiane."— Transcrição da apresentação:

1 Desenvolvimento de Sistemas de Gestão da Segurança da Informação através da Integração das Normas ISO/IEC 27001:2006 e ISO/IEC (SSE-CMM) Josiane Kroll - Marcos C. d’Ornellas - Lisandra M. Fontoura - Laboratório de Computação Aplicada (LaCA) - Universidade Federal de Santa Maria (UFSM) Santa Maria, RS – Brasil

2 Roteiro 1. Motivação 2. O desenvolvimento de sistemas de gestão da segurança da informação (SGSI) 3. Normas da segurança 3.1 Norma ISO/IEC 27001:2006 3.2 Norma ISO/IEC (SSE-CMM) 4. Análise das normas 5. Combinação das normas de segurança ISO/IEC 27001:2006 e ISO/IEC (SSE-CMM) 5.1 A integração das normas ISO/IEC :2006 e ISO/IEC 6. A abrangência das normas de segurança no contexto organizacional CONCLUSÕES

3 Motivação As organizações que buscam desenvolver um SGSI procuram suporte nas documentações de segurança; Há várias ferramentas, métodos, checklists e normas para a construção de sistemas de gerenciamento da segurança da informação; A ISO/IEC 27001:2006 é uma referência para o desenvolvimento de SGSI e se estabelece como um guia para a organização. Outra norma que também é usada para o desenvolvimento de SGSI é ISO/IEC Problema: Qual a relação que uma norma de segurança possui com a outra? Objetivo: Verificar como essas normas podem ser integradas para o desenvolvimento de um SGSI que forneça maiores garantias de proteção.

4 O Desenvolvimento de Sistemas de Gestão da Segurança da Informação (SGSI)

5 Análise das normas apresentadas
Foram realizadas duas comparações: As características da norma ISO/IEC 27001:2006 foram comparadas com as da norma ISO/IEC 21827; Foram identificados os controles da norma ISO/IEC 17799:2005 que correspondem as PAs da norma ISO/IEC As informações para critério de comparação foram obtidas dos documentos ABNT NBR ISO/IEC 27001:2006 (ABNT NBR 27001, 2006), ABNT NBR ISO/IEC 17799:2005 (NBR ISO/IEC 17799, 2005) e Systems Security Engineering Capability Maturity Model (SSE-CMM) Model Description Document vesion 3.0 (SSE-CMM, 2003).

6 Norma ISO/IEC 27001:2006 Foi construída baseada na norma britânica BS7799 e na ISO/IEC 17799; Seu objetivo é proporcionar um modelo para o estabelecimento, implementação, funcionamento, acompanhamento, revisão, manutenção e melhoria de um SGSI documentado dentro do contexto dos riscos de negócio da organização ; Ela pode ser aplicada em todos os tipos de organizações; O SGSI projetado pela norma assegura a seleção de controles de segurança adequados e proporcionados para proteger os ativos de informação e propiciar confiança às partes interessadas; Incorpora o ciclo Plan-Do-Check-Act (PDCA).

7 Norma ISO/IEC 21827 (SSE-CMM)
Descreve as características essenciais que um processo de engenharia da segurança da informação deve possuir para assegurar a boa segurança; Não prescreve uma seqüência ou um processo particular, mas captura as práticas que são geralmente observadas na indústria; É designada para todos os tipos de organizações; A estrutura de desenvolvimento da norma dada por 22 PAs (Process Areas), divididas em dois grupos, Práticas Base de Segurança e Práticas Base Organizacionais e do Projeto e 5 Níveis de Maturidade; Adota o processo de melhoria e maturidade organizacional da IDEAL (Initiating - Diagnosing – Establishing – Acting – Learning).

8 1ª. COMPARAÇÃO: Quadro comparativo de características das normas ISO/IEC 27001:2006 e ISO/IEC 21827

9 2ª. COMPARAÇÃO: Quadro comparativo das PAs da norma ISO/IEC com os controles da norma ISO/IEC 27001:2006 Observou-se: Todas as PAs de segurança da ISO/IEC possuem controles relacionados da ISO/IEC 17799:2005; Alguns controles não estavam diretamente ligados ao objetivo de nenhuma PA;

10 Combinação das normas de segurança ISO/IEC 27001:2006 e ISO/IEC 21827
Um modelo de referência para o desenvolvimento de SGSI: Obtido: Theoretical and Practical Knowledge Base (TPKB) produzida pelo International Systemas Security Professional Certification Scheme (ISSPCS), o qual colabora com o ISSEA.

11 A integração das normas ISO/IEC 27001:2006 e ISO/IEC 21827 (SSE-CMM)
Alguns controles não estão diretamente ligados com a ISO/IEC Com isso, pode ser observado que a ISO/IEC é mais indicada para o gerenciamento de processos de segurança e não para a sua definição dos processos (controles) que serão implementados; Os controles que são selecionados da ISO/IEC 17799:2005 recomendados pela ISO/IEC 27001:2006 podem ganhar níveis de maturidade por meio da implementação da ISO/IEC ; A integração das normas está no desenvolvimento em conjunto das normas. Ganhando níveis de maturidade, os controles da ISO/IEC 17799:2005 podem ser gerenciados e monitorados assegurando o aprimoramento da segurança organizacional.

12 Benefícios da integração das normas
Melhoria nos aspectos de definição da segurança fundamental; Desenvolvimento de projetos SGSI específicos; Determinação de níveis de maturidade para os processos de segurança; Atendimento dos requisitos legislativos; Redução de custos; Definição de estratégias de segurança; Reconhecimento organizacional.

13 A abrangência das normas de segurança no contexto organizacional
Uma norma de segurança pode satisfazer inúmeros requisitos de segurança, mas não pode abranger todos os aspectos que asseguram proteção; A ISO/IEC 27001:2006 foi adotada pela Instrução Normativa GSI Nº 1; O GSI não leva em consideração que as organizações possuem necessidades de segurança diferentes; Definir uma metodologia para a gestão da segurança da informação baseada na aplicação de apenas uma norma pode deixar lacunas na segurança; Uma norma não preenche e nem se enquadra a todos os aspectos de segurança necessários;

14 CONCLUSÕES A norma ISO/IEC 27001:2006 fornece uma estrutura bem definida para a implementação de um SGSI, enquanto a norma ISO/IEC pode ser usada para assegurar que os processos de segurança sejam desenvolvidos e mantidos em conformidade com a segurança, adquirindo níveis de maturidade; Com a existência de vários documentos de segurança, como o NIST, BS 7799, ISO/IEC entre outros, a ISO/IEC pode ser entendida como um sistema para a descrição das características essenciais do processo de engenharia de segurança da organização; As organizações podem usar o ISO/IEC para avaliar e refinar as práticas de engenharia de segurança e os clientes para avaliar o recurso de engenharia de segurança fornecido; A ISO/IEC deve ser usada pelas organizações para examinar a maturidade de um processo de segurança implementado em uma organização em comum acordo com a ISO/IEC 27001:2006 ou um dos documentos acima citados; Desta forma, a ISO/IEC pode e deve ser usada em conjunto com qualquer documento de segurança.

15 Referências BATISTA, Carlos F. A., Métricas de Segurança de Software. Dissertação do Programa de Pós-graduação em Informática do Departamento de Informática da PUC-Rio. Universidade Pontifícia Católica, Rio de Janeiro. BEZERRA, Edson K.; NAKAMURA, Emílio T.; RIBEIRO, Sérgio L., Maximizando Oportunidades com Gestão de Segurança e Gerenciamento de Riscos. Disponível em Acessado em junho de 2009. FENZ, Stefan; GOLUCH, Gernot; EKELHART, Andreas; RIEDL, Bernhard; WEIPPL, Edgar, Information Security Fortification by Ontological Mapping of the ISO/IEC Standard. 13th IEEE International Symposium on Pacific Rim Dependable Computing. HANAHIRO, Maíra, Metodologia para Desenvolvimento de Procedimentos e Planejamento de Auditorias de TI Aplicadas à Administração Pública Federal. Dissertação de mestrado em engenharia elétrica. Universidade de Brasília-UnB. HUMPHREYES, Edward, Implementing the ISO/IEC Information Security Management System Standard. Artech House, Inc.  Norwood, MA, USA. KAJAVA, Jorma; ANTTILA, Juhani; VARONEN, Rauno; SAVOLA, Reijo; RONING, Juha, Information Security Standards and Global Business. Industrial Technology, ICIT IEEE International Conference.  NBR ISO/IEC 17799, Tecnologia da Informação. Código de Prática para a Gestão da Segurança da Informação. Rio de Janeiro. NBR ISO/IEC 27001, Tecnologia da Informação — Técnicas de segurança — Sistemas de gestão de segurança da informação — Requisitos. Associação Brasileira de Normas. Rio de Janeiro. SG-SBP, Recommendation for Creating a Comprehensive Framework for Risk Management and Compliance in the Financial Services and Insurance Industries. Information Technology Industry Council (ITI). Disponível em < Acessado em junho de 2009.  WIANDER, Timo, ISO/IEC Standard’s Intended Usage and Actual Use by the Practitioners. 18th Australasian Conference on Information Systems. Toowoomba, 5-7.

Carregar ppt "Desenvolvimento de Sistemas de Gestão da Segurança da Informação através da Integração das Normas ISO/IEC 27001:2006 e ISO/IEC 21827 (SSE-CMM) Josiane."

Apresentações semelhantes

Normas de Segurança da Informação

Normas de Segurança da Informação
Análise e Projeto de Sistemas III

Análise e Projeto de Sistemas III
Administração e segurança de redes

Administração e segurança de redes
ISO Processos do Ciclo de Vida do Software

ISO Processos do Ciclo de Vida do Software
Gerência de Projetos Wesley Peron Seno Introdução

Gerência de Projetos Wesley Peron Seno Introdução
GERENCIAMENTO DE INTEGRAÇÃO DO PROJETO

GERENCIAMENTO DE INTEGRAÇÃO DO PROJETO
1. 2 Tecnologias de Informação e Risco O que esperamos das tecnologias de informação? Como atingir os objectivos das tecnologias de informação? Segurança.

1. 2 Tecnologias de Informação e Risco O que esperamos das tecnologias de informação? Como atingir os objectivos das tecnologias de informação? Segurança.
Gerenciamento de Configuração

Gerenciamento de Configuração
21-jun-2007Fórum de Documentos Digitais: Gestão x Legislação1 Novos caminhos para a preservação de documentos digitais: repositórios digitais confiáveis.

21-jun-2007Fórum de Documentos Digitais: Gestão x Legislação1 Novos caminhos para a preservação de documentos digitais: repositórios digitais confiáveis.
Título do Projeto Equipe Disciplina: Fundamentos em Sistemas de Informação Professora: Avanilde Kemczinski Joinville - SC, mês de ano.

Título do Projeto Equipe Disciplina: Fundamentos em Sistemas de Informação Professora: Avanilde Kemczinski Joinville - SC, mês de ano.
Reutilização de Software

Reutilização de Software
CMM(Capabililty Matury Model)

CMM(Capabililty Matury Model)
Código de Prática para a Gestão de Segurança de Informação.

Código de Prática para a Gestão de Segurança de Informação.
Mario Lúcio Côrtes Assessoria da Qualidade

Mario Lúcio Côrtes Assessoria da Qualidade
Planejamento do gerenciamento de riscos

Planejamento do gerenciamento de riscos
SEPG Conference ´97.

SEPG Conference ´97.
Control Objectives for Information and related Technology

Control Objectives for Information and related Technology
Visão Geral do Desenvolvimento de Sistemas e Papéis no Desenvolvimento de Software Marcely Dias marcely.dias@unibratec.edu.br.

Visão Geral do Desenvolvimento de Sistemas e Papéis no Desenvolvimento de Software Marcely Dias
Infraestrutura de tecnologia da informação

Infraestrutura de tecnologia da informação
Capítulo 4 Auditoria de Sistemas

Capítulo 4 Auditoria de Sistemas

Apresentações semelhantes

Anúncios Google