Boas práticas para Segurança da Informação
18
Boas práticas para Segurança da Informação Aluno: Daniel H. Acorsi Alves Orientador: Mario Lemes Proença Jr.
description
Boas práticas para Segurança da Informação. Aluno: Daniel H. Acorsi Alves Orientador: Mario Lemes Proença Jr. Sumário. Objetivos Conceitos de Segurança da Informação Família de Normas ISO/IEC 27000 ISO/IEC 27002 ISO/IEC 27001 ISM³ ISM³ vs ISO/IEC 27001 Conclusão. Objetivos. - PowerPoint PPT Presentation
Transcript of Boas práticas para Segurança da Informação
Boas práticas para Segurança da Informação
Aluno: Daniel H. Acorsi AlvesOrientador: Mario Lemes Proença Jr.
Sumário
1. Objetivos2. Conceitos de Segurança da Informação3. Família de Normas ISO/IEC 270004. ISO/IEC 270025. ISO/IEC 270016. ISM³7. ISM³ vs ISO/IEC 270018. Conclusão
Objetivos
• O que é Segurança da Informação?• Porque da necessidade de Segurança da
Informação?• Como Estabelecer Requisitos de Segurança da
Informação?• Quais são as principais normas que tratam da
Segurança da Informação?
Conceitos de Segurança da Informação
Conceitos de Segurança da Informação
Família de Normas ISO/IEC 27000
Família de Normas ISO/IEC 27000
ISO/IEC 27002
• Código de Boas-Práticas para a Gestão da Segurança da Informação;
• Dividida em 11 Cláusulas/Capítulos + 1 capítulo introdutório sobre avaliação e tratamento de risco.o No total são 39 objetivos de controle e 139 controles.
• Baseada na Analise/Avaliação de Risco;
ISO/IEC 27002
• Genéricao Diz o que tem que ser feito,
mas não como tem que ser feito.
• Considera Processos, Pessoas, Ambiente e Tecnologias.
ISO/IEC 27002
ISO/IEC 27001
• Prove requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI.
• Aplicada a qualquer tipo/tamanho de organização.
• Organizações podem obter certificado.
ISO/IEC 27001
ISO/IEC 27001
• Fase “Plan” o Definir o escopo do SGSI.o Definir uma politica para o SGSI.o Definir Objetivos de metas.o Identificar e avaliar os riscos.o Selecionar Objetivos de controle e controles.o Preparar a declaração de aplicabilidade.
• Fase “Do” o Formular e implementar um plano de tratamento de risco.o Implementar os controles selecionados para atingir os objetivos de
controle.
ISO/IEC 27001
• Fase “Check”o Executar monitoramento dos processos.o Conduzir auditorias internas do SGSI em intervalos planejados.o Realizar análise críticas regulares da eficácia do SGSI.o Analisar criticamente os níveis de risco residual e riscos aceitáveis.
• Fase “Act”o Implementar as melhorias identificadas.o Tomar ações corretivas e preventivas apropriadas.o Comunicar os resultados e ações.o Garantir que as melhorias atendem aos objetivos pretendidos.
ISM³
• Framework para Sistemas de Gestão da Segurança da informação.
• Baseado em Níveis de maturidade.• Construído a partir das Melhores ideias de
sistemas de gestão e controles da ISO 9000, ITIL, CMMI, ISSO 27001.
• Abordagem orientada a Processos.o São 44 processos no total.o Práticas: Genéricas, Estratégicas, Táticas e Operacionais.
ISM³
• Defini Métricas para cada processo.• Business Friendly.• Adaptável.• Flexível.• Padrão Aberto.• Grande Número de referências.
ISM³ vs ISO/IEC 27001
Conclusão
• A segurança da informação é necessária a todas organizações independentemente de seu tamanho ou setor de atuação.
• A segurança da informação eficaz depende de um SGSI bem comunicado, documentado e consistente.
• Deve-se reconhecer o potencial do ISM3, como um complemento para padrões que tratam da gestão de segurança da informação.
