A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Administração e segurança de redes

Apresentações semelhantes


Apresentação em tema: "Administração e segurança de redes"— Transcrição da apresentação:

1 Administração e segurança de redes
Aula 07 Políticas de segurança – Implementação Prof. Diovani Milhorim Auditoria e Segurança 25/03/2017 Créditos Prof. Msc. Ronei Ferrigolo

2 Normas NBR ISO/IEC 270012006 e 17799:2005 - Visão Geral Histórico
Introdução às normas Segurança da informação ISO 27001 SGSI Responsabilidades da direção Auditorias internas Análise Crítica do SGSI Sistema de melhoria contínua Auditoria e Segurança 25/03/2017 Créditos Prof. Msc. Ronei Ferrigolo

3 Histórico 1995: publicada a primeira versão da BS (BS : Tecnologia da Informação - Código de prática para gestão da segurança da informação) 1998: publicada a primeira versão da BS (BS : Sistema de gestão da Segurança da Informação - Especificações e guia para uso) 1999: publicada uma revisão da BS (BS : Tecnologia da Informação - Código de prática para gestão da segurança da informação) 2000: publicada a primeira versão da norma ISO/IEC (ISO/IEC 17799: Tecnologia da Informação - Código de prática para gestão da segurança da informação também referenciada como BS ISO/IEC 17799:2000) Auditoria e Segurança 25/03/2017 Créditos Prof. Msc. Ronei Ferrigolo

4 Histórico 2001: publicada a primeira versão da norma no Brasil, NBR ISO/IEC (NBR ISO/IEC 17799: Tecnologia da Informação - Código de prática para gestão da segurança da informação) 2002: publicada revisão da norma BS 7799 parte 2 (BS7799-2: Sistema de gestão da Segurança da Informação - Especificações e guia para uso). Agosto/2005: publicada a segunda versão da norma no Brasil, NBR ISO/IEC (NBR ISO/IEC 17799:2005) Outubro/2005: publicada a norma ISO (ISO/IEC 27001: Tecnologia da Informação - Técnicas de segurança - Sistema de gestão da Segurança da Informação - Requisitos). Auditoria e Segurança 25/03/2017 Créditos Prof. Msc. Ronei Ferrigolo

5 Introdução às Normas Norma 27001
Provê um modelo de sistema de gestão da segurança da informação (SGSI) Permite a certificação de uma organização segundo seu referencial Baseia-se na abordagem de processo Aplica um sistema de processos, junto com a identificação e interação destes processos e asua gestão Auditoria e Segurança 25/03/2017 Créditos Prof. Msc. Ronei Ferrigolo

6 Introdução às Normas Norma 27001 Encoraja o uso do modelo PDCA
Entendimento dos requisitos e necessidade de PSI Implementação e operação de controles Monitoração e análise crítica Melhoria contínua Auditoria e Segurança 25/03/2017 Créditos Prof. Msc. Ronei Ferrigolo

7 Introdução às Normas Norma NBR ISO/IEC 17799:2005
TI – Código de Prática para gestão da segurança da informação Estabelece diretrizes e princípios gerais para implantar um SGSI. Não permite a certificação de uma organização em relação ao seu modelo de referência Prescreve práticas para Política de Segurança da Informação Organização da infra-estrutura da informação Gestão de ativos Auditoria e Segurança 25/03/2017 Créditos Prof. Msc. Ronei Ferrigolo

8 Introdução às Normas Prescreve práticas para (continuação)
Segurança em recursos humanos Segurança física e do ambiente Gerenciamento das operações e comunicações Controle de Acessos Aquisição, desenv. e manutenção de SI Gestão de incidentes de SI Gestão de continuidade de negócios Conformidade Auditoria e Segurança 25/03/2017 Créditos Prof. Msc. Ronei Ferrigolo

9 SGSI Plan Act Check Do Partes Interessadas Organização
Expectativas e requisitos de segurança da informação Plan Estabelece SGSI Act Mantém e melhora Check Monitora e Analisa criticamente Do Implementa e Opera Segurança da informação gerenciada NBR ISO/IEC 17799:2005 Auditoria e Segurança 25/03/2017 Créditos Prof. Msc. Ronei Ferrigolo

10 SGSI A organização deve estabelecer, implementar e operar, monitorar e analisar criticamente um SGSI Documentado Contextualizado em relação ao negócio Contextualizado em relação aos riscos Baseado no modelo PDCA Auditoria e Segurança 25/03/2017 Créditos Prof. Msc. Ronei Ferrigolo

11 Plan Estabelece SGSI SGSI - Plan Estabece a PSI, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da SI para produzir resultados de acordo com as políticas e objetivos globais de uma organização. Auditoria e Segurança 25/03/2017 Créditos Prof. Msc. Ronei Ferrigolo

12 Estabelecendo e Gerenciando o SGSI
Plan Estabelece SGSI Escopo e os limites PSI Abordagem Análise de Risco Identifica Riscos Analisa e Avalia Riscos Opções tratamento riscos Seleciona objetivos de controle e risco Aprova com diretoria riscos residuais Autoriza com diretoria implem. operação SGSI Declaração Aplicabilidade Auditoria e Segurança 25/03/2017 Créditos Prof. Msc. Ronei Ferrigolo

13 Do Implementa e Opera SGSI - Do Implementar e operar a política, controles, processos e procedimentos do SGSI Auditoria e Segurança 25/03/2017 Créditos Prof. Msc. Ronei Ferrigolo

14 Implementar e operar o SGSI
Do Implementa e Opera Plano tratam de Riscos Implem. Plano trat. Riscos Implementa Controles selecionados Define medição da eficácia dos controles Conscientização e treinamento Gerenciar as Operações do SGSI Gerenciar os recursos para SGSI Controles para Detecção Eventos Auditoria e Segurança 25/03/2017 Créditos Prof. Msc. Ronei Ferrigolo

15 Check Monitora e Analisa criticamente SGSI - Check Avaliar, e quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiência prática do SGSI e apresentar os resultados para análise crítica pela direção Auditoria e Segurança 25/03/2017 Créditos Prof. Msc. Ronei Ferrigolo

16 Monitorar e analisar criticamente (AC) o SGSI
Check Executar Procedim Monitoração AC regulares eficácia Medir Eficácia controles AC as Análise de Risco Auditar internamente AC do SGSI pela Direção Atualizar Planos de segurança Registrar ações e eventos com Impacto no SGSI Auditoria e Segurança 25/03/2017 Créditos Prof. Msc. Ronei Ferrigolo

17 Act Mantém e melhora SGSI - Act Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI Auditoria e Segurança 25/03/2017 Créditos Prof. Msc. Ronei Ferrigolo

18 Manter e melhorar o SGSI
Act Implementar Melhorias identificadas Executar ações preventivas e corretivas Comunicar ações de melhoria (obter concordância?) Assegurar Atingimento dos obj. pretendidos Auditoria e Segurança 25/03/2017 Créditos Prof. Msc. Ronei Ferrigolo

19 SGSI - Controles Documentos Protegidos e controlados
Aprovados, analisados criticamente, íntegros, disponíveis, identificados e com a confidencialidade garantida Prevenido o uso não intencional Registros Estabelecidos e mantidos para fornecer evidências da operação eficaz do SGSI Auditoria e Segurança 25/03/2017 Créditos Prof. Msc. Ronei Ferrigolo

20 Responsabilidades da direção
Comprometimento da direção com o PDCA do SGSI deve ser evidente Determinar e prover os recursos para o PDCA do SGSI, inclusive fazendo análise crítica do mesmo Garantir as condições para treinamento, conscientização e determinação das competências de todo o pessoal com responsabilidades no SGSI Auditoria e Segurança 25/03/2017 Créditos Prof. Msc. Ronei Ferrigolo

21 Auditorias internas Auditorias internas a intervalos planejados para determinar se os controles planejados: Atendem os requisitos da norma e legislação Atendem requisitos de segurança identificados São mantidos e implementados com eficácia São executados conforme esperado Seguir regras básicas de auditoria Devem ser conduzidas a partir de procedimentos documentados Auditoria e Segurança 25/03/2017 Créditos Prof. Msc. Ronei Ferrigolo

22 Análise Crítica do SGSI
A direção deve realizar AC do SGSI a intervalos planejados, pelo menos 1 vez por ano e com resultados documentados Entradas Resultados das auditorias internas, Feedback das partes interessadas, Técnicas e produtos atualizados Situação das ações preventivas e corretivas Vulnerabilidades e ameaças Resultados da eficácia das medições Acompanhamento das ACs anteriores Mudanças que possam afetar o SGSI Recomendações externas para melhoria Auditoria e Segurança 25/03/2017 Créditos Prof. Msc. Ronei Ferrigolo

23 Análise Crítica do SGSI
Saídas (decisões e ações relativas a) Melhoria da eficácia do SGSI Atualização da análise/avaliação de riscos Modificações em procedimentos Necessidades de recursos Melhoria na forma como a eficácia dos controles está sendo medida Auditoria e Segurança 25/03/2017 Créditos Prof. Msc. Ronei Ferrigolo

24 Sistema de melhoria contínua
Continuamente deve melhorar a eficácia a partir de ações corretivas e preventivas Corretivas Buscam eliminar as causas de não-conformidades atuais do SGSI de forma a evitar sua repetição Preventivas Buscam eliminar as causas de não-conformidades potenciais do SGSI, de forma a evitar sua ocorrência. Auditoria e Segurança 25/03/2017 Créditos Prof. Msc. Ronei Ferrigolo


Carregar ppt "Administração e segurança de redes"

Apresentações semelhantes


Anúncios Google