Post on 07-Jul-2015
description
POLÍTICA DE SEGURANÇA DA INFORMAÇÃO - CJF
Tópicos:
Ameaças Virtuais Política de Segurança da Informação Resolução No 006/2008-CJF Documentos Acessórios
Ameaças Virtuais
Matéria da RedeTV! no dia 18/06/2011:
“Dados sigilosos são alvo de crimes virtuais”
Link de acesso: http://www.redetv.com.br/Video.aspx?52,15,197993,jornalismo,redetv-news,dados-sigilosos-sao-alvo-de-crimes-virtuais
Ameaças Virtuais
Em 2010 o Brasil ficou entre os 10 países que mais enviou spams (ESET);
O número de spams no país saltou de 17,2 milhões em 2009 para 41 milhões
em 2010, um aumento de 138% (CERT.br);
Brasil ficou em 3º lugar no ranking de ataques virtuais em 2009 (Symantec);
Foram lançados cerca de 20 milhões de novos malwares em 2010 (McAfee
Labs).
Ameaças Virtuais
Resumo diário de entrada de e-mail no anti-spam – 11/09/2011:
Política de Segurança da Informação – Conceitos
Documento que norteia todas ações relacionados à segurança da informação
da organização;
Realizada em uma abordagem a partir do topo;
Visa promover ações pró-ativas para proteção e disponibilidade dos serviços;
Recomendação de normas internacionais (BS 7799 , ISO/IEC 17799, NBR
ISO/IEC 27001 e NBR ISO/IEC 27001).
Política de Segurança da Informação – Conceitos
Contempla os itens:
Definição de segurança
Meta
Escopo
Importância para organização
Política de Segurança da Informação – Conceitos
Recomenda-se para uma PSI:
Regras gerais e estruturais que se aplicam ao contexto de toda organização;
Abrangente o bastante para abarcar possíveis exceções;
Complementada com normas e procedimentos.
Política de Segurança da Informação – Conceitos
Aspectos de Segurança:
Tecnológicos
Humanos
Processuais
Jurídicos
Negociais
Resolução No 006/2008-CJF
Define as diretrizes e regulamentações relativas à segurança da informação no âmbito do Conselho da Justiça Federal e na Justiça Federal de primeiro e segundo graus.
Cada órgão responsável pela implantação da Política de Segurança da
Informação deverá elaborar documentos próprios e diferenciados.
Prazo de dois anos a partir de 22/04/2008.
Resolução No 006/2008-CJF
Agentes Responsáveis:
Comitê de Segurança da Informação da Justiça (CSI-Jus)
Comitê de Resposta a Incidentes de Segurança da Justiça (CRI-Jus)
Comissão Local de Segurança da Informação (CLSI)
✔ Tribunais Regionais Federais
✔ Seções Judiciárias
Comissão Local de Resposta a Incidentes de Segurança da Informação (CLRI)
✔ Tribunais Regionais Federais
✔ Seções Judiciárias
Resolução No 006/2008-CJF
Composição do CLSI:
Presidida pelo dirigente do órgão ou seu representante;
Chefia técnica da área de Segurança da Informação;
Área Administrativa;
Área Judiciária;
Área Jurídica.
Resolução No 006/2008-CJF
Cabe ao CLSI:
• Manter ações preventivas e educativas;
• Manter atualizados os documentos acessórios;
• Dar ciência ao CSI-Jus de todas as modificações e ajustes;
• Propor ações de treinamento e atualização necessárias;
• Coordenar as atividades e analisar os resultados do CLRI.
Obs: Cabe à área de TI a implementação e o cumprimento das práticas
propostas na política de segurança da informação no escopo de seu
órgão.
Documentos Acessórios
Contém as orientações e melhores práticas para as diversas disciplinas abordadas seguindo as especificidades de cada órgão participante;
Todos os documentos deverão possuir prazo de revisão sugerido explícito em seu bojo.
Documentos Acessórios
Tipos de Documentos:
Documentos Acessórios Comuns
Documentos Acessórios Diferenciados até o nível de Região
Documentos Acessórios Diferenciados até o nível de Seção Judiciária
Documentos Acessórios
Documentos Acessórios Comuns:
Padrão para Criação de Documentos
Política de Auditoria de Segurança da Informação
Política de Gestão de Risco
Política de Segurança para Aquisição, Desenvolvimento e Manutenção de
Sistemas
Metodologia de Avaliação de Efetividade da Implementação da Política de
Segurança
Documentos Acessórios
Diferenciados até o nível de Região:
Política de Segurança de Acesso Físico Política Permanente de Conscientização e Treinamento Penalidades
Documentos Acessórios
Diferenciados a nível de Seção Judiciária:
Política de Controle de Acesso Lógico Política de Utilização de Recursos de TI Política de Classificação de Informações Plano de Continuidade de Negócios
Considerações Finais
A Segurança da Informação é um trabalho cíclico, contínuo e persistente;
Representa um desafio de inédita magnitude para os profissionais do setor e,
também, para a organização como um todo;
As medidas de segurança devem reduzir as fragilidades da organização sem
impactar fortemente na produtividade;
A principal ameaça à segurança das transações corporativas são as pessoas.
Níveis de Maturidade de SI
Nível 1Inicial
Nível 1Inicial
Nível 2Conhecido
Nível 2Conhecido
Nível 3Padronizado
Nível 3Padronizado
Nível 4Gerenciado
Nível 4Gerenciado
Nível 5Otimizado
Nível 5Otimizado
✔ Nenhuma iniciativa da organização OU iniciativas pessoais isoladas;✔ Resistência à alterações das práticas existentes.
✔ Conhecimento básico de segurança para os principais colaboradores;✔ Estabelecimento de uma linguagem comum.
✔ Mapeamento dos processos desde o Planejamento Estratégico.✔ Metodologia desenvolvida, implantada, testada e em uso.✔ Informatização de partes da metodologia em uso.✔ Estrutura organizacional implantada e em uso.
✔ Habilidades avançadas em segurança da informação;✔ Alinhamento com os negócios;✔ Metodologia estabilizada com identificação e eliminação de causas de desvios da meta de segurança.
✔ Otimização dos processos com ganhos em prazos, custos e qualidade.✔ Grande experiência em segurança da informação e capacidade de assumir riscos maiores.
Níveis de Maturidade de SI
Qual o nível de maturidade da
JFCE?
É o fim.
Obrigado!