CTD 第2部(モジュール2) 記載例(モックアップ)CTD 第2部 記載例(モックアップ) ジーイー錠10mg 平成27年8月31日 日本ジェネリック製薬協会
CTD - Clubmaxi Todo · PDF fileISO 27002 – É um guia de ... continuidade do...
Transcript of CTD - Clubmaxi Todo · PDF fileISO 27002 – É um guia de ... continuidade do...
![Page 1: CTD - Clubmaxi Todo · PDF fileISO 27002 – É um guia de ... continuidade do negócio para Desaster and Recovery. ... • Permite revisão independente do Sistema de Gestão da segurança](https://reader035.fdocumentos.tips/reader035/viewer/2022062600/5a75f95d7f8b9a93088cc945/html5/thumbnails/1.jpg)
SEGURANÇA FÍSICA & LÓGICA DE REDES
Material Complementar de Estudos
![Page 2: CTD - Clubmaxi Todo · PDF fileISO 27002 – É um guia de ... continuidade do negócio para Desaster and Recovery. ... • Permite revisão independente do Sistema de Gestão da segurança](https://reader035.fdocumentos.tips/reader035/viewer/2022062600/5a75f95d7f8b9a93088cc945/html5/thumbnails/2.jpg)
2
O que é a Organização ISO
A ISO - Internacional Organization for
Stardardization - é maior organização para
Desenvolvimento e publicação de normas. Fazem o
Relacionamento entre os órgãos nacionais de
Organização não governamental, que forma uma
Ponte entre os setores público e privado. Sediada em
Genebra, na Suíça e fundada em 1946.
• Mais de 160 países integram a
Organização internacional, especializada em
Padronização e cujos membros. O Brasil é
Representado pela Associação Brasileira de normas
Técnicas – ABNT
• O propósito da ISO é desenvolver e promover Normas
que possam ser utilizadas igualmente por todos os países
do mundo.
![Page 3: CTD - Clubmaxi Todo · PDF fileISO 27002 – É um guia de ... continuidade do negócio para Desaster and Recovery. ... • Permite revisão independente do Sistema de Gestão da segurança](https://reader035.fdocumentos.tips/reader035/viewer/2022062600/5a75f95d7f8b9a93088cc945/html5/thumbnails/3.jpg)
As normas para segurança da informação
Adotadas e traduzidas pela ABNT, denominando-se:
• NBR ISO/IEC 27001:2005 –Tecnologia da
Informação –Técnica de segurança-Código de
Prática para Gestão de Segurança da informação
Situação no Brasil
Neste treinamento estas normas serão tratadas
Respectivamente por ISO 27001 e ISO 27002.
A norma ISO 27001 refere-se a quais requisitos de Sistemas de gestão
da informação devem ser Implementados pela organização;
ISO27002 é um Guia que orienta a utilização de controle de segurança
da informação .Esta normas são genéricas por natureza
• NBR ISO/IEC 27001:2006-Tecnologia da
Informação-Técnica de segurança – Sistema de Gestão de Segurança
da informação - Requisitos
![Page 4: CTD - Clubmaxi Todo · PDF fileISO 27002 – É um guia de ... continuidade do negócio para Desaster and Recovery. ... • Permite revisão independente do Sistema de Gestão da segurança](https://reader035.fdocumentos.tips/reader035/viewer/2022062600/5a75f95d7f8b9a93088cc945/html5/thumbnails/4.jpg)
Outras normas da família 27000:
• ISO/IEC 27000:2009 - Information tecnology – Security techniques –Information Security management
systems –OVERVIEW AND VOCABULARY
• ISO/IEC27005/;2008 – Information tecnoligy –SECURITY TECHNIQUES – Information
Securty Risck Management
• ISO/IEC27006:2007-Information techology-Security techniques - Requirementes for bodies providing
auditanda certification of information security Management systems
Evolução
![Page 5: CTD - Clubmaxi Todo · PDF fileISO 27002 – É um guia de ... continuidade do negócio para Desaster and Recovery. ... • Permite revisão independente do Sistema de Gestão da segurança](https://reader035.fdocumentos.tips/reader035/viewer/2022062600/5a75f95d7f8b9a93088cc945/html5/thumbnails/5.jpg)
As principais recomendações da NBR ISO IEC 17799 estão detalhadas nas 11 seções abaixo, totalizando
39 categorias principais de SI:
• Política de Segurança da Informação;
• Organizando a Segurança da Informação;
• Gestão de Ativos;
• Segurança em Recursos Humanos;
• Segurança Física e do Ambiente;
• Gerenciamento das Operações e Comunicações;
• Controle de Acesso;
• Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação;
• Gestão de Incidentes de Segurança da Informação;
• Gestão da Contunuidade de Negócios;
• Conformidade.
Introdução: Segurança da Informação
A “mãe” ISO/IEC 17799
![Page 6: CTD - Clubmaxi Todo · PDF fileISO 27002 – É um guia de ... continuidade do negócio para Desaster and Recovery. ... • Permite revisão independente do Sistema de Gestão da segurança](https://reader035.fdocumentos.tips/reader035/viewer/2022062600/5a75f95d7f8b9a93088cc945/html5/thumbnails/6.jpg)
ISO/IEC 27001 é um padrão para sistema de gestão da segurança da informação (ISMS - Information Security Management System) publicado em outubro de 2005 pelo International Organization for Standardization e pelo International Electrotechnical Commision. Seu nome completo é ISO/IEC 27001:2005 - Tecnologia da informação - técnicas de segurança - sistemas de gerência da segurança da informação – requisitos; mas conhecido como "ISO 27001".
A norma ISO 27001:2005 é a evolução natural da norma BS7799-2:2002, sendo essa um padrão britânico que trata da definição de requisitos para um Sistema de Gestão de Segurança da Informação
“O requisito de segurança da informação não é só a segurança FÍSICA e LÓGICA como dizem em outros modelos de gestão, ela é: Física, Técnica, Procedimental (organizacionais) e em Pessoas – ISO/IEC-27002”
Introdução: Segurança da Informação
A família ISO/IEC 27000
![Page 7: CTD - Clubmaxi Todo · PDF fileISO 27002 – É um guia de ... continuidade do negócio para Desaster and Recovery. ... • Permite revisão independente do Sistema de Gestão da segurança](https://reader035.fdocumentos.tips/reader035/viewer/2022062600/5a75f95d7f8b9a93088cc945/html5/thumbnails/7.jpg)
A ISO 27001 combina recursos com outros Sistemas de Gestão, isso é, se a organização já é certificada em ISO 9001 o SGSI poderá utilizar processos já implantados pela ISO 9001.
ISO 27000 – Vocabulário e definições que serão utilizadas pelas restantes normas. Glossário de Segurança da Informação.
ISO 27001 – Define os requisitos que devem ser cumpridos para a certificação de um SGSI. O quê uma empresa deve cumprir/ter para estar de acordo com a ISO. “Certified to company”.
ISO 27002 – É um guia de boas práticas para se atuar uma empresa onde exista um SGSI. “Certified to person”
ISO 27003 – É um guia para implantação dos requisitos exigidos a ISO27001. Diz, COMO FAZER.
Introdução: Segurança da Informação
A família ISO/IEC 27000
![Page 8: CTD - Clubmaxi Todo · PDF fileISO 27002 – É um guia de ... continuidade do negócio para Desaster and Recovery. ... • Permite revisão independente do Sistema de Gestão da segurança](https://reader035.fdocumentos.tips/reader035/viewer/2022062600/5a75f95d7f8b9a93088cc945/html5/thumbnails/8.jpg)
ISO 27004 – Define como medir e quais são os meios para saber a eficiência de um SGSI, ou seja, avalia se a empresa está seguindo ou não a ISO27001 através de relatórios.
ISO 27005 - Orientações para Gestão de Riscos
ISO 27006 – Guia para entidades de auditoria além de planejar a continuidade do negócio para Desaster and Recovery.
Introdução: Segurança da Informação
A família ISO/IEC 27000
![Page 9: CTD - Clubmaxi Todo · PDF fileISO 27002 – É um guia de ... continuidade do negócio para Desaster and Recovery. ... • Permite revisão independente do Sistema de Gestão da segurança](https://reader035.fdocumentos.tips/reader035/viewer/2022062600/5a75f95d7f8b9a93088cc945/html5/thumbnails/9.jpg)
ISO/IEC 27002:2005-Tecnologia da informação –Técnica de
Segurança –Código de Prática para Gestão de Segurança da
Informação.
• Baseada na BS 7799-1:1999
• Utilização como documentos de referência
• Fornece um conjunto completo de controles de Segurança
• Baseada nas melhores práticas de segurança da Informação
• Consiste em 11 capítulos (mais um Capitulo introdutório
sobre avaliação e tratamento de risco), 39 objetivos de
controle e 133 controles
• Não pode ser usada em auditorias e certificações
ISO/IEC 27002:2005 – Código de Prática para SGSI
![Page 10: CTD - Clubmaxi Todo · PDF fileISO 27002 – É um guia de ... continuidade do negócio para Desaster and Recovery. ... • Permite revisão independente do Sistema de Gestão da segurança](https://reader035.fdocumentos.tips/reader035/viewer/2022062600/5a75f95d7f8b9a93088cc945/html5/thumbnails/10.jpg)
SÃO
Uma metodologia estruturada reconhecida
Internacionalmente, dedicatória à segurança da Informação
UM processo definido para avaliar, implementar, manter e
gerenciar a segurança da informação
Um grupo completo de controles contendo as melhores práticas
para segurança da Informação (SGSI)
Não são
Dirigidas para produtos ou tecnologia
Uma metodologia para avaliação de equipamentos
A ISO 27002 e a ISO 27001
![Page 11: CTD - Clubmaxi Todo · PDF fileISO 27002 – É um guia de ... continuidade do negócio para Desaster and Recovery. ... • Permite revisão independente do Sistema de Gestão da segurança](https://reader035.fdocumentos.tips/reader035/viewer/2022062600/5a75f95d7f8b9a93088cc945/html5/thumbnails/11.jpg)
• A ISO 27002 define as melhores práticas para a Gestão da segurança da
informação
• A ISO27001 considera:segurança física, técnica, Procedimentos para
pessoal
• Sem um sistemas de Gestão da segurança da Informação formal, existe um
brande risco a Segurança ser quebrada
• A segurança da informação é um processo de Gestão,
não é um processo tecnológico
• A ISO 27001 é a única norma internacional que pode ser
auditada por uma terceira parte
A ISO 27002 e a ISO 27001
![Page 12: CTD - Clubmaxi Todo · PDF fileISO 27002 – É um guia de ... continuidade do negócio para Desaster and Recovery. ... • Permite revisão independente do Sistema de Gestão da segurança](https://reader035.fdocumentos.tips/reader035/viewer/2022062600/5a75f95d7f8b9a93088cc945/html5/thumbnails/12.jpg)
• A incorporam um processo do escalonamento de risco e valorização de ativos
• O grau em que os sistema é formal e contém processos estruturados irá facilitar a
Replicação do sistema de um local para outro
• O investimento no compromisso da direção e em treinamentos dos funcionários
Reduz a probabilidade de ameaças bem sucedidas
• A infra-estrutura (sistemas de gestão e processos) pode ser desenvolvida
Centralmente e então desdobrada globalmente
• Controles adicionais podem ser incorporados ao SGSI se assim for desejado
Visão Geral ISO 27002 e ISO 27001
![Page 13: CTD - Clubmaxi Todo · PDF fileISO 27002 – É um guia de ... continuidade do negócio para Desaster and Recovery. ... • Permite revisão independente do Sistema de Gestão da segurança](https://reader035.fdocumentos.tips/reader035/viewer/2022062600/5a75f95d7f8b9a93088cc945/html5/thumbnails/13.jpg)
Razões para se adotar
![Page 14: CTD - Clubmaxi Todo · PDF fileISO 27002 – É um guia de ... continuidade do negócio para Desaster and Recovery. ... • Permite revisão independente do Sistema de Gestão da segurança](https://reader035.fdocumentos.tips/reader035/viewer/2022062600/5a75f95d7f8b9a93088cc945/html5/thumbnails/14.jpg)
• Dificuldade na direção do escopo
• Dificuldade para desenvolver uma abordagem
Sistemática ,simples e clara para a Gestão de risco
• Mesmo existindo Planos de continuidade de
Negócio, raramente eles são testando de alguma forma
• Designação da área de TI como responsável por
Desenvolvimento o projeto
• Falta de visão em “mente aberta” ao estabelecer os
Parâmetros dos controles identificados na forma
• Falta de ação para identificar e usar controles fora de forma
• Limitação de orçamento
Desafios na Implantação de SGSI
![Page 15: CTD - Clubmaxi Todo · PDF fileISO 27002 – É um guia de ... continuidade do negócio para Desaster and Recovery. ... • Permite revisão independente do Sistema de Gestão da segurança](https://reader035.fdocumentos.tips/reader035/viewer/2022062600/5a75f95d7f8b9a93088cc945/html5/thumbnails/15.jpg)
• Reduz o risco de responsabilidade pela não implementação de um SGSI ou
• Oportunidade de identificar e corrigir pontos fracos
• A altar direção assume a responsabilidade pela segurança da informação
• Permite revisão independente do Sistema de Gestão da segurança da informação
• Oferece confiança aos parceiros comerciais,partes interessadas e clientes
• Melhor conscientização sobre segurança
• Combina recursos com outros Sistemas de Gestão
• Mecanismo par medir o sucesso do sistema
Benefícios na implantação das ISO 27001/2
![Page 16: CTD - Clubmaxi Todo · PDF fileISO 27002 – É um guia de ... continuidade do negócio para Desaster and Recovery. ... • Permite revisão independente do Sistema de Gestão da segurança](https://reader035.fdocumentos.tips/reader035/viewer/2022062600/5a75f95d7f8b9a93088cc945/html5/thumbnails/16.jpg)
Salvaguardar a
Confidencialidade, Integridade
e Disponibilidade da
Informação escrita, falada e
Eletrônica; em coerência com a
Autenticidade e Legalidade.
====== “CIDAL”
Meta das NBR ISO/IEC 27002 e 27001
![Page 17: CTD - Clubmaxi Todo · PDF fileISO 27002 – É um guia de ... continuidade do negócio para Desaster and Recovery. ... • Permite revisão independente do Sistema de Gestão da segurança](https://reader035.fdocumentos.tips/reader035/viewer/2022062600/5a75f95d7f8b9a93088cc945/html5/thumbnails/17.jpg)