7/29/2019 Abnt Nbr Iso-iec 27002-2005
1/31
Cdigo de prtica para a gesto da segurana da informao
Edio e Produo:
Fabiano Rabaneda
Advogado, professor da Universidade
Federal do Mato Grosso. Especializando em
Direito Eletrnico e Tecnologia da
Informao.
7/29/2019 Abnt Nbr Iso-iec 27002-2005
2/31
Norma ABNT NBR ISO IEC 27002 um cdigo de prtica para a gesto da Segurana daInformao
, consubstanciado nas melhores prticas mundialmente reconhecidas sobre oassunto.As organizaes ISO (InternationalOrganization for Standardization) e IEC (International
ElectrotechnicalCommission), contam com a participao de especialistas de vrios pasese tem como objetivo criar e gerenciar normas internacionais de Segurana da Informao,criando em 2000 a ISO IEC 17799, que foi revisada em 2005 e posteriormente numerada27002.Insta salientar que o Brasil, por meio da ABNT (Associao Brasileira de Normas Tcnicas),colaborou com valiosas sugestes e comentrios, sendo um dos poucos pases que
possuam profissionais especializados no tema. Como resultado do trabalho, o Brasil foi oprimeiro pas do mundo a traduzir a para sua lngua e public-la oficialmente como Normanacional, atravs da prpria ABNT.Apresentaremos os pontos essenciais da Norma Tcnica ABNT NBR ISO IEC 27002, queserviro de guia aos profissionais ao elaborarem polticas e instrumentos jurdicos deSegurana da Informao.
7/29/2019 Abnt Nbr Iso-iec 27002-2005
3/31
Processamento
Manipulao
Organizao Modificaono
conhecimento
Informao
Impressa Escrita Falada Eletrnico
Internet E-mail
7/29/2019 Abnt Nbr Iso-iec 27002-2005
4/31
Informao
Bens e direitos combenefcios futuros
(Ativo)
Representainovao = essencial
Necessita deadequadaproteo
Competitividade
Minimizar o riscoe maximizar o
retorno doinvestimento
7/29/2019 Abnt Nbr Iso-iec 27002-2005
5/31
Informao
Proteo da informaoControlesadequados Polticas
Procedimentos
Estrutura
organizacional
Processos
Funes de
software
Funes de
hardware
ControlesEstabelecidos
Monitorados
Implementados
Analizados
Melhorados
7/29/2019 Abnt Nbr Iso-iec 27002-2005
6/31
Informao
Proteo da informaoControlesadequados Polticas
Procedimentos
Estrutura
organizacional
Processos
Funes de
software
Funes de
hardware
ControlesEstabelecidos
Monitorados
Implementados
Analizados
Melhorados
Convm que seja feito em conjunto com outros processos de gestodo negcio.
7/29/2019 Abnt Nbr Iso-iec 27002-2005
7/31
Fraudes
Espionagem
Sabotagem
Vandalismo
Incndio eInundao
CdigoMalicioso
AtaqueDenial of
service
7/29/2019 Abnt Nbr Iso-iec 27002-2005
8/31
Importantepara os
negcios
Setor pblicoou privado
Protege asinfraestruturas
crticas
Viabilizanegcios (e-
business)
7/29/2019 Abnt Nbr Iso-iec 27002-2005
9/31
Importantepara os
negcios
Setor pblicoou privado
Protege asinfraestruturas
crticas
Viabilizanegcios (e-
business)
A tendncia da computao distribuda (cloud computing) reduza eficcia da implementao de controles de acesso centralizado.
7/29/2019 Abnt Nbr Iso-iec 27002-2005
10/31
Consultoria especializada
Participao de acionistas,fornecedores e terceiras partes
Comprometimento dos
funcionrios da organizao
Planejamento cuidadoso eateno aos detalhes
Muitos sistemasno foram
projetados paraserem seguros.
7/29/2019 Abnt Nbr Iso-iec 27002-2005
11/31
Definir
Alcanar
Manter
Melhorar
Atividades essenciais:
Competitividade
Fluxo de caixa
Lucratividade
Atendimento
Asseguram
7/29/2019 Abnt Nbr Iso-iec 27002-2005
12/31
Analise e avaliaode riscos
Jurdico
PlanejamentoEstratgico
Identificao dos requisitos de segurana dainformao.
7/29/2019 Abnt Nbr Iso-iec 27002-2005
13/31
Anlise e avaliao de riscospara a organizao
Considera Realiza Identifica
Objetivos eestratgias globais
de negcio daorganizao.
Ameaas aos ativose as
vulnerabilidades.
Estimativa daprobabilidade de
ocorrncia dasameaas e do
impacto potencial
ao negcio.
7/29/2019 Abnt Nbr Iso-iec 27002-2005
14/31
Legislao Estatutos Regulamentao
Clusulas contratuaisDeve atender
Organizao
Parceiroscomerciais
Provedoresde servio
7/29/2019 Abnt Nbr Iso-iec 27002-2005
15/31
Princpios
Objetivos
Requisitos
PlanejamentoEstra
tgico
Deve desenvolver paraapoiar suas operaes
So definidos comoo conjunto
particular donegcio
7/29/2019 Abnt Nbr Iso-iec 27002-2005
16/31
Os requisitos so identificadospor meio de anlises e avaliao
sistemtica dos Riscos
Danos aonegcio
gerado pelasfalhas
Investimento
Direcionar edeterminar as aes
gerenciaisapropriadas
Estabelecerprioridades
Implementar controlesselecionados para a
proteo
7/29/2019 Abnt Nbr Iso-iec 27002-2005
17/31
Os requisitos so identificadospor meio de anlises e avaliao
sistemtica dos Riscos
Gastos
Danos aonegciogerado
pelas falhas
Direcionar edeterminar as aes
gerenciaisapropriadas
Estabelecerprioridades
Implementar controlesselecionados para a
proteo
Convm que a anlise/avaliao de riscos seja repetidaperiodicamente para contemplar quaisquer mudanas
que possam influenciar os resultados desta anlise/avaliao..
7/29/2019 Abnt Nbr Iso-iec 27002-2005
18/31
Requisitos desegurana e riscos
identificados
Deciso paratratamento dosriscos tomadas
Convm que controlesapropriados sejamselecionadospara
assegurar que os riscossejam reduzidos a um nvel
aceitvel
7/29/2019 Abnt Nbr Iso-iec 27002-2005
19/31
Requisitos desegurana e riscos
identificados
Deciso paratratamento dosriscos tomadas
Convm que controlesapropriados sejamselecionadospara
assegurar que os riscossejam reduzidos a um nvel
aceitvel
a partir dessa normaoutro conjuntos de
controlesnovos controles
7/29/2019 Abnt Nbr Iso-iec 27002-2005
20/31
Requisitos desegurana e riscos
identificados
Deciso paratratamento dosriscos tomadas
Convm que controlesapropriados sejamselecionadospara
assegurar que os riscossejam reduzidos a um nvel
aceitvel
a partir dessa normaoutro conjuntos de
controlesnovos controles
Novos controles podem ser desenvolvidos paraatender s necessidades especficas, conforme apropriado.
7/29/2019 Abnt Nbr Iso-iec 27002-2005
21/31
base
A seleo de controledepende das decises da
organizao
Convm que estejasujeito a legislao
e regulamentaesnacionais e internacionais
relevantes
Critrios deaceitao de
risco
Opes detratamento
do risco
Enfoquegeral da
gesto derisco
7/29/2019 Abnt Nbr Iso-iec 27002-2005
22/31
Ponto de vista
legal
Melhores prticasde segurana da
informao usadas
ControlesControles
ControlesControles
ControlesControles
Controles
7/29/2019 Abnt Nbr Iso-iec 27002-2005
23/31
Proteo de dados eprivacidade de informaes
pessoais (15.1.4)
Convm que a privacidade
e proteo de dados sejamasseguradas conformeexigido nas legislaesrelevantes,regulamentaes e, seaplicvel, nas clusulascontratuais.
Proteo de registrosorganizacionais (15.1.3)
Convm que registros
importantes sejamprotegidos contra perda,destruio e falsificao, deacordo com os requisitosregulamentares,estatutrios, contratuais edo negcio.
Direitos de propriedadeintelectual (15.1.2)
Convm que
procedimentosapropriados sejamimplementados paragarantir a conformidadecom os requisitoslegislativos,regulamentares e
contratuais no uso dematerial, em relao aosquais pode haver direitosde propriedade intelectuale sobre o uso de produtosde software proprietrios.
7/29/2019 Abnt Nbr Iso-iec 27002-2005
24/31
Documento da poltica desegurana da informao
(5.1.1)
Convm que umdocumento da poltica desegurana da informaoseja aprovado pela direo,publicado e comunicadopara todos os funcionrios
e partes externasrelevantes.
Atribuio deresponsabilidades para asegurana da informao
(6.1.3)
Convm que todas asresponsabilidades pelasegurana da informao,estejam claramentedefinidas.
Conscientizao, educao etreinamento em segurana
da informao (8.2.2)
Convm que todos osfuncionrios daorganizao e, ondepertinente, fornecedores eterceiros recebam
treinamento apropriados
em conscientizao, eatualizaes regulares naspolticas e procedimentosorganizacionais, relevantespara as suas funes.
7/29/2019 Abnt Nbr Iso-iec 27002-2005
25/31
Processamento correto nasaplicaes (12.2)
Convm que controlesapropriados sejam incorporadosno projeto das aplicaes,
inclusive aquelas desenvolvidaspelos usurios, para assegurar oprocessamento correto.
Convm que esses controlesincluam a validao dos dadosde entrada, do processamentointerno e dos dados de sada.
Gesto de vulnerabilidadestcnicas (12.6)
Convm que a implementaoda gesto de vulnerabilidadestcnicas seja implementada de
forma efetiva, sistemtica e deforma repetvel com mediesde confirmao da efetividade.
Convm que estasconsideraes incluam sistemasoperacionais e quaisquer outrasaplicaes em uso.
Gesto de incidentes desegurana da informao e
melhorias (13.2)
Convm que responsabilidadese procedimentos estejamdefinidos para o manuseio
efetivo de eventos de seguranada informao e fragilidades,uma vez que estes tenham sidonotificados.
Convm que um processo demelhoria contnua seja aplicados respostas, monitoramento,avaliao e gesto total de
incidentes de segurana dainformao.
Convm que onde evidnciassejam exigidas, estas sejamcoletadas para assegurar aconformidade com as exignciaslegais.
7/29/2019 Abnt Nbr Iso-iec 27002-2005
26/31
Gesto da continuidade do negcio (14)
Convm que o processo de gesto da continuidade do negcio seja implementado para minimizarum impacto sobre a organizao e recuperar perdas de ativos da informao (que pode ser resultantede, por exemplo, desastres naturais, acidentes, falhas de equipamentos e aes intencionais) a umnvel aceitvel atravs da combinao de aes de preveno e recuperao.
Convm que este processo identifique os processos crticos e integre a gesto da segurana dainformao com as exigncias da gesto da continuidade do negcio com outros requisitos decontinuidade relativo a tais aspectos como operaes, funcionrios, materiais, transporte einstalaes.
Convm que as conseqncias de desastres, falhas de segurana, perda de servios e disponibilidadede servios estejam sujeitas a uma anlise de impacto nos negcios.
Convm que os planos de continuidade do negcio sejam desenvolvidos e implementados para
assegurar que as operaes essenciais sejam recuperadas dentro da requerida escala de tempo. Convm que a segurana da informao seja uma parte integrante do processo global de
continuidade de negcios e a gesto de outros processos dentro da organizao.
Convm que a gesto da continuidade do negcio inclua controles para identificar e reduzir riscos,em complementao ao processo de anlise/avaliao de riscos global, limite as conseqncias aosdanos do incidente e garanta que as informaes requeridas para os processos do negcio estejamprontamente disponveis.
7/29/2019 Abnt Nbr Iso-iec 27002-2005
27/31
Gesto da continuidade do negcio (14)
Convm que o processo de gesto da continuidade do negcio seja implementado para minimizarum impacto sobre a organizao e recuperar perdas de ativos da informao (que pode ser resultantede, por exemplo, desastres naturais, acidentes, falhas de equipamentos e aes intencionais) a umnvel aceitvel atravs da combinao de aes de preveno e recuperao.
Convm que este processo identifique os processos crticos e integre a gesto da segurana dainformao com as exigncias da gesto da continuidade do negcio com outros requisitos decontinuidade relativo a tais aspectos como operaes, funcionrios, materiais, transporte einstalaes.
Convm que as conseqncias de desastres, falhas de segurana, perda de servios e disponibilidadede servios estejam sujeitas a uma anlise de impacto nos negcios.
Convm que os planos de continuidade do negcio sejam desenvolvidos e implementados para
assegurar que as operaes essenciais sejam recuperadas dentro da requerida escala de tempo. Convm que a segurana da informao seja uma parte integrante do processo global de
continuidade de negcios e a gesto de outros processos dentro da organizao.
Convm que a gesto da continuidade do negcio inclua controles para identificar e reduzir riscos,em complementao ao processo de anlise/avaliao de riscos global, limite as conseqncias aosdanos do incidente e garanta que as informaes requeridas para os processos do negcio estejamprontamente disponveis.
Embora o enfoque acima seja considerado um bom ponto de partida,ele no substitui a seleo de controles, baseado na anlise/avaliao de
riscos.
7/29/2019 Abnt Nbr Iso-iec 27002-2005
28/31
a) Uma abordagem e uma estrutura para a implementao, manuteno, monitoramento e
melhoria da segurana da informao que seja consistente com a cultura
organizacional;
b) Comprometimento e apoio visvel de todos os nveis gerenciais;
c) Um bom entendimento dos requisitos de segurana da informao, da anlise/avaliao
de riscos e da gesto de risco;
d) Divulgao eficiente da segurana da informao para todos os gerentes, funcionrios e
outras partes envolvidas para se alcanar a conscientizao;
e) Distribuio de diretrizes e normas sobre a poltica de segurana da informao para
todos os gerentes, funcionrios e outras partes envolvidas;
f) Proviso de recursos financeiros para as atividades da gesto de segurana da
informao;g) Proviso de conscientizao, treinamento e educao adequados;
h) Estabelecimento de um eficiente processo de gesto de incidentes de segurana da
informao;
i) Implementao de um sistema de medio, que seja usado para avaliar o desempenho
da gesto da segurana da informao e obteno de sugestes para a melhoria.
7/29/2019 Abnt Nbr Iso-iec 27002-2005
29/31
Nem todos os controles podem seraplicados.
Controles adicionais e recomendaesno includos podem ser necessrios.
7/29/2019 Abnt Nbr Iso-iec 27002-2005
30/31
7/29/2019 Abnt Nbr Iso-iec 27002-2005
31/31
FabianoRabaneda, 2010.Todos os direitos reservadosProibida a reproduo comercial desta obra.ABNTNBR ISO IEC 27002:2005ABNT, 2005.A menos que especificado de outro modo, nenhuma parte da norma pode ser reproduzida ou por qualquer meio,
eletrnico ou mecnico, incluindo fotocpia e microfilme, sem permisso por escrito pela ABNT.
Material no comercial destinado pesquisa e ensino.
http://www.rabaneda.adv.br/Top Related