Desenvolvimento de Sistemas de Gestão da Segurança da Informação através da Integração das Normas ISO/IEC 27001:2006 e ISO/IEC 21827 (SSE-CMM) Josiane.

Slides:



Advertisements
Apresentações semelhantes
Normas de Segurança da Informação
Advertisements

Análise e Projeto de Sistemas III
Administração e segurança de redes
ISO Processos do Ciclo de Vida do Software
Gerência de Projetos Wesley Peron Seno Introdução
GERENCIAMENTO DE INTEGRAÇÃO DO PROJETO
1. 2 Tecnologias de Informação e Risco O que esperamos das tecnologias de informação? Como atingir os objectivos das tecnologias de informação? Segurança.
Gerenciamento de Configuração
21-jun-2007Fórum de Documentos Digitais: Gestão x Legislação1 Novos caminhos para a preservação de documentos digitais: repositórios digitais confiáveis.
Título do Projeto Equipe Disciplina: Fundamentos em Sistemas de Informação Professora: Avanilde Kemczinski Joinville - SC, mês de ano.
Reutilização de Software
CMM(Capabililty Matury Model)
Código de Prática para a Gestão de Segurança de Informação.
Mario Lúcio Côrtes Assessoria da Qualidade
Planejamento do gerenciamento de riscos
SEPG Conference ´97.
Control Objectives for Information and related Technology
Visão Geral do Desenvolvimento de Sistemas e Papéis no Desenvolvimento de Software Marcely Dias
Infraestrutura de tecnologia da informação
Capítulo 4 Auditoria de Sistemas
PROIMPE Programa de Estímulo ao Uso de Tecnologia da Informação em Micro e Pequenas Empresas (MPE)
Intrudução Normas Mardoqueu de Lima n°05 3H15 Seções de controle.
Modelos de Maturidade de Processos de Software
Integrantes Gisely C. Oliveira Marcelo C. Ribeiro Maria Ap. Ferreira Rafael Vaz Walisson Junior Wesley C. Gomes.
Capability Maturity Model (CMM)
NBR ISO Diretrizes para planos de qualidade
Normas ISO/IEC de Segurança da Informação
Auditoria e Segurança da Informação
Prof. Alexandre Vasconcelos
Modelos de Maturidade de Processos de Software
Implantação e Melhoria de Processos de SOFTWARE
Modelos de Maturidade de Processos de Software
Normas para Segurança da Informação
Boas práticas para Segurança da Informação
CURSO TÉCNICO EM SEGURANÇA DO TRABALHO
Software engineering, the software process and their support M.M. Lehman Apresentadora: Tarciana Dias da Silva.
Processo de Aquisição Adilson de Almeida Cezar Meriguetti
Introdução à Gestão da Qualidade (Aula 8 – ISO 9004 & Auditoria da Qualidade) Professor Gustavo F Ribeiro PEÃO São Roque junho.
1) A série ISO 9000 é um conjunto de normas:
Professor: Ernesto Junior
Melhoria do processo de software brasileiro
Qualidade de Processo de Software CMM e CMMI Aldo Rocha.
Qualidade de Software Aula 4
4 – Políticas de Segurança
Políticas de Segurança
AVALIAÇÃO DE PROCESSOS
Instrutor: Objetivos do Workshop:.
EBEP – 2011 Introdução - GSI “SGI” Gestão de Sistemas Integrados
Antonio Nascimento Roteiro Introdução Objetivos Áreas de Conhecimento Certificações Conclusões Referências.
AVALIAÇÃO DE PROCESSOS DE SOFTWARE
Profª Eliane Costa Santana
SISTEMA DE GESTÃO AMBIENTAL - SGA DISCIPLINA: GESTÃO AMBIENTAL PROFª Drª Cláudia Rech – junho O QUE É ? ABNT NBR ISO 14001:2004 “Parte do sistema.
Certificação e Auditoria
Prof. Fábio Botelho Metodologia de Desenvolvimento de Software - MDS Padrões de Processo de Software: CMMI.
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS
RESPOSTAS A INCIDENTES E PLANO DE CONTINUIDADE DE NEGÓCIOS
ISO/IEC Prof. Dr. Sandro Ronaldo Bezerra Oliveira
ISO9001:2000 para Software Professor: Alexandre Vasconcelos Equipe: Amanda Pimentel Börje Karlsson Danielly Karine Erika Pessoa Jorge Cavalcanti Jose Edson.
Lenylda Albuquerque ISO Processos de Ciclo de Vida de Software Universidade Federal de Pernambuco.
Prof. Paulo Barreto  O gerenciamento da informação, segundo Davenport (1997), é um conjunto estruturado de atividades que espelha.
Programa criado em Apoio ao programa: Ministério da Ciência e Tecnologia da Finep Banco Interamericano de Desenvolvimento Universidades e Governo.
Introdução – ISO Conceitos relacionados a Norma NBR ISO/IEC 12207; Procedimentos de ciclo de vida e desenvolvimento de software; Objetivos e a estrutura.
ISO A ISO é uma evolução das série de normas ISO/IEC 9126 e e tem com objetivo principal fornecer uma visão geral do produto de software.
ITIL com COBIT.
PROJETO SPICE ISO Integrantes: Erickson Balzaneli
Ricardo de Andrade Kratz
Engenharia de Software Conceitos e elementos 1. Engenharia   Resolução de problemas através de soluções economicamente viáveis  Motivacão: Limitação.
Solução sistêmica para apoiar os processos de fiscalização da Arsesp Agosto/2015 IX Congresso Brasileiro de Regulação.
CMMI Capability Maturity Model Integration
2nd CONTECSI International Conference on Information Systems and Technology Management. TECSI/FEA/USP June, 2005 USP/São Paulo/SP 2º CONTECSI Congresso.
Transcrição da apresentação:

Desenvolvimento de Sistemas de Gestão da Segurança da Informação através da Integração das Normas ISO/IEC 27001:2006 e ISO/IEC 21827 (SSE-CMM) Josiane Kroll - josi.unc@gmail.com Marcos C. d’Ornellas - marcosdornellas@gmail.com Lisandra M. Fontoura - lisandramf@gmail.com Laboratório de Computação Aplicada (LaCA) - Universidade Federal de Santa Maria (UFSM) Santa Maria, RS – Brasil

Roteiro 1. Motivação 2. O desenvolvimento de sistemas de gestão da segurança da informação (SGSI) 3. Normas da segurança 3.1 Norma ISO/IEC 27001:2006 3.2 Norma ISO/IEC 21827 (SSE-CMM) 4. Análise das normas 5. Combinação das normas de segurança ISO/IEC 27001:2006 e ISO/IEC 21827 (SSE-CMM) 5.1 A integração das normas ISO/IEC 27001:2006 e ISO/IEC 21827 6. A abrangência das normas de segurança no contexto organizacional CONCLUSÕES

Motivação As organizações que buscam desenvolver um SGSI procuram suporte nas documentações de segurança; Há várias ferramentas, métodos, checklists e normas para a construção de sistemas de gerenciamento da segurança da informação; A ISO/IEC 27001:2006 é uma referência para o desenvolvimento de SGSI e se estabelece como um guia para a organização. Outra norma que também é usada para o desenvolvimento de SGSI é ISO/IEC 21827. Problema: Qual a relação que uma norma de segurança possui com a outra? Objetivo: Verificar como essas normas podem ser integradas para o desenvolvimento de um SGSI que forneça maiores garantias de proteção.

O Desenvolvimento de Sistemas de Gestão da Segurança da Informação (SGSI)

Análise das normas apresentadas Foram realizadas duas comparações: As características da norma ISO/IEC 27001:2006 foram comparadas com as da norma ISO/IEC 21827; Foram identificados os controles da norma ISO/IEC 17799:2005 que correspondem as PAs da norma ISO/IEC 21827. As informações para critério de comparação foram obtidas dos documentos ABNT NBR ISO/IEC 27001:2006 (ABNT NBR 27001, 2006), ABNT NBR ISO/IEC 17799:2005 (NBR ISO/IEC 17799, 2005) e Systems Security Engineering Capability Maturity Model (SSE-CMM) Model Description Document vesion 3.0 (SSE-CMM, 2003).

Norma ISO/IEC 27001:2006 Foi construída baseada na norma britânica BS7799 e na ISO/IEC 17799; Seu objetivo é proporcionar um modelo para o estabelecimento, implementação, funcionamento, acompanhamento, revisão, manutenção e melhoria de um SGSI documentado dentro do contexto dos riscos de negócio da organização ; Ela pode ser aplicada em todos os tipos de organizações; O SGSI projetado pela norma assegura a seleção de controles de segurança adequados e proporcionados para proteger os ativos de informação e propiciar confiança às partes interessadas; Incorpora o ciclo Plan-Do-Check-Act (PDCA).

Norma ISO/IEC 21827 (SSE-CMM) Descreve as características essenciais que um processo de engenharia da segurança da informação deve possuir para assegurar a boa segurança; Não prescreve uma seqüência ou um processo particular, mas captura as práticas que são geralmente observadas na indústria; É designada para todos os tipos de organizações; A estrutura de desenvolvimento da norma dada por 22 PAs (Process Areas), divididas em dois grupos, Práticas Base de Segurança e Práticas Base Organizacionais e do Projeto e 5 Níveis de Maturidade; Adota o processo de melhoria e maturidade organizacional da IDEAL (Initiating - Diagnosing – Establishing – Acting – Learning).

1ª. COMPARAÇÃO: Quadro comparativo de características das normas ISO/IEC 27001:2006 e ISO/IEC 21827

2ª. COMPARAÇÃO: Quadro comparativo das PAs da norma ISO/IEC 21827 com os controles da norma ISO/IEC 27001:2006 Observou-se: Todas as PAs de segurança da ISO/IEC 21827 possuem controles relacionados da ISO/IEC 17799:2005; Alguns controles não estavam diretamente ligados ao objetivo de nenhuma PA;

Combinação das normas de segurança ISO/IEC 27001:2006 e ISO/IEC 21827 Um modelo de referência para o desenvolvimento de SGSI: Obtido: Theoretical and Practical Knowledge Base (TPKB) produzida pelo International Systemas Security Professional Certification Scheme (ISSPCS), o qual colabora com o ISSEA.

A integração das normas ISO/IEC 27001:2006 e ISO/IEC 21827 (SSE-CMM) Alguns controles não estão diretamente ligados com a ISO/IEC 21827. Com isso, pode ser observado que a ISO/IEC 21827 é mais indicada para o gerenciamento de processos de segurança e não para a sua definição dos processos (controles) que serão implementados; Os controles que são selecionados da ISO/IEC 17799:2005 recomendados pela ISO/IEC 27001:2006 podem ganhar níveis de maturidade por meio da implementação da ISO/IEC 21827; A integração das normas está no desenvolvimento em conjunto das normas. Ganhando níveis de maturidade, os controles da ISO/IEC 17799:2005 podem ser gerenciados e monitorados assegurando o aprimoramento da segurança organizacional.

Benefícios da integração das normas Melhoria nos aspectos de definição da segurança fundamental; Desenvolvimento de projetos SGSI específicos; Determinação de níveis de maturidade para os processos de segurança; Atendimento dos requisitos legislativos; Redução de custos; Definição de estratégias de segurança; Reconhecimento organizacional.

A abrangência das normas de segurança no contexto organizacional Uma norma de segurança pode satisfazer inúmeros requisitos de segurança, mas não pode abranger todos os aspectos que asseguram proteção; A ISO/IEC 27001:2006 foi adotada pela Instrução Normativa GSI Nº 1; O GSI não leva em consideração que as organizações possuem necessidades de segurança diferentes; Definir uma metodologia para a gestão da segurança da informação baseada na aplicação de apenas uma norma pode deixar lacunas na segurança; Uma norma não preenche e nem se enquadra a todos os aspectos de segurança necessários;

CONCLUSÕES A norma ISO/IEC 27001:2006 fornece uma estrutura bem definida para a implementação de um SGSI, enquanto a norma ISO/IEC 21827 pode ser usada para assegurar que os processos de segurança sejam desenvolvidos e mantidos em conformidade com a segurança, adquirindo níveis de maturidade; Com a existência de vários documentos de segurança, como o NIST, BS 7799, ISO/IEC 13335 entre outros, a ISO/IEC 21827 pode ser entendida como um sistema para a descrição das características essenciais do processo de engenharia de segurança da organização; As organizações podem usar o ISO/IEC 21827 para avaliar e refinar as práticas de engenharia de segurança e os clientes para avaliar o recurso de engenharia de segurança fornecido; A ISO/IEC 21827 deve ser usada pelas organizações para examinar a maturidade de um processo de segurança implementado em uma organização em comum acordo com a ISO/IEC 27001:2006 ou um dos documentos acima citados; Desta forma, a ISO/IEC 21827 pode e deve ser usada em conjunto com qualquer documento de segurança.

Referências BATISTA, Carlos F. A., 2007. Métricas de Segurança de Software. Dissertação do Programa de Pós-graduação em Informática do Departamento de Informática da PUC-Rio. Universidade Pontifícia Católica, Rio de Janeiro. BEZERRA, Edson K.; NAKAMURA, Emílio T.; RIBEIRO, Sérgio L., 2006. Maximizando Oportunidades com Gestão de Segurança e Gerenciamento de Riscos. Disponível em www.cpqd.com.br/file.upload/6-sic-1-artigoforum-riscos.pdf. Acessado em junho de 2009. FENZ, Stefan; GOLUCH, Gernot; EKELHART, Andreas; RIEDL, Bernhard; WEIPPL, Edgar, 2007. Information Security Fortification by Ontological Mapping of the ISO/IEC 27001 Standard. 13th IEEE International Symposium on Pacific Rim Dependable Computing. HANAHIRO, Maíra, 2007. Metodologia para Desenvolvimento de Procedimentos e Planejamento de Auditorias de TI Aplicadas à Administração Pública Federal. Dissertação de mestrado em engenharia elétrica. Universidade de Brasília-UnB. HUMPHREYES, Edward, 2007. Implementing the ISO/IEC 27001 Information Security Management System Standard. Artech House, Inc.  Norwood, MA, USA. KAJAVA, Jorma; ANTTILA, Juhani; VARONEN, Rauno; SAVOLA, Reijo; RONING, Juha, 2006. Information Security Standards and Global Business. Industrial Technology, 2006. ICIT 2006. IEEE International Conference.  NBR ISO/IEC 17799, 2005. Tecnologia da Informação. Código de Prática para a Gestão da Segurança da Informação. Rio de Janeiro. NBR ISO/IEC 27001, 2006. Tecnologia da Informação — Técnicas de segurança — Sistemas de gestão de segurança da informação — Requisitos. Associação Brasileira de Normas. Rio de Janeiro. SG-SBP, 2008. Recommendation for Creating a Comprehensive Framework for Risk Management and Compliance in the Financial Services and Insurance Industries. Information Technology Industry Council (ITI). Disponível em < www.incits.org/tc_home/sbp.htm> Acessado em junho de 2009.  WIANDER, Timo, 2007. ISO/IEC 17799 Standard’s Intended Usage and Actual Use by the Practitioners. 18th Australasian Conference on Information Systems. Toowoomba, 5-7.

Feedback: Política de Privacidade Feedback
Sobre projeto: SlidePlayer Termos de uso

© 2024 SlidePlayer.com.br Inc. All rights reserved.