7/29/2019 Abnt Nbr Iso-iec 27002-2005

1/31

Cdigo de prtica para a gesto da segurana da informao

Edio e Produo:

Fabiano Rabaneda

Advogado, professor da Universidade

Federal do Mato Grosso. Especializando em

Direito Eletrnico e Tecnologia da

Informao.

7/29/2019 Abnt Nbr Iso-iec 27002-2005

2/31

Norma ABNT NBR ISO IEC 27002 um cdigo de prtica para a gesto da Segurana daInformao

, consubstanciado nas melhores prticas mundialmente reconhecidas sobre oassunto.As organizaes ISO (InternationalOrganization for Standardization) e IEC (International

ElectrotechnicalCommission), contam com a participao de especialistas de vrios pasese tem como objetivo criar e gerenciar normas internacionais de Segurana da Informao,criando em 2000 a ISO IEC 17799, que foi revisada em 2005 e posteriormente numerada27002.Insta salientar que o Brasil, por meio da ABNT (Associao Brasileira de Normas Tcnicas),colaborou com valiosas sugestes e comentrios, sendo um dos poucos pases que

possuam profissionais especializados no tema. Como resultado do trabalho, o Brasil foi oprimeiro pas do mundo a traduzir a para sua lngua e public-la oficialmente como Normanacional, atravs da prpria ABNT.Apresentaremos os pontos essenciais da Norma Tcnica ABNT NBR ISO IEC 27002, queserviro de guia aos profissionais ao elaborarem polticas e instrumentos jurdicos deSegurana da Informao.

7/29/2019 Abnt Nbr Iso-iec 27002-2005

3/31

Processamento

Manipulao

Organizao Modificaono

conhecimento

Informao

Impressa Escrita Falada Eletrnico

Internet E-mail

7/29/2019 Abnt Nbr Iso-iec 27002-2005

4/31

Informao

Bens e direitos combenefcios futuros

(Ativo)

Representainovao = essencial

Necessita deadequadaproteo

Competitividade

Minimizar o riscoe maximizar o

retorno doinvestimento

7/29/2019 Abnt Nbr Iso-iec 27002-2005

5/31

Informao

Proteo da informaoControlesadequados Polticas

Procedimentos

Estrutura

organizacional

Processos

Funes de

software

Funes de

hardware

ControlesEstabelecidos

Monitorados

Implementados

Analizados

Melhorados

7/29/2019 Abnt Nbr Iso-iec 27002-2005

6/31

Informao

Proteo da informaoControlesadequados Polticas

Procedimentos

Estrutura

organizacional

Processos

Funes de

software

Funes de

hardware

ControlesEstabelecidos

Monitorados

Implementados

Analizados

Melhorados

Convm que seja feito em conjunto com outros processos de gestodo negcio.

7/29/2019 Abnt Nbr Iso-iec 27002-2005

7/31

Fraudes

Espionagem

Sabotagem

Vandalismo

Incndio eInundao

CdigoMalicioso

AtaqueDenial of

service

7/29/2019 Abnt Nbr Iso-iec 27002-2005

8/31

Importantepara os

negcios

Setor pblicoou privado

Protege asinfraestruturas

crticas

Viabilizanegcios (e-

business)

7/29/2019 Abnt Nbr Iso-iec 27002-2005

9/31

Importantepara os

negcios

Setor pblicoou privado

Protege asinfraestruturas

crticas

Viabilizanegcios (e-

business)

A tendncia da computao distribuda (cloud computing) reduza eficcia da implementao de controles de acesso centralizado.

7/29/2019 Abnt Nbr Iso-iec 27002-2005

10/31

Consultoria especializada

Participao de acionistas,fornecedores e terceiras partes

Comprometimento dos

funcionrios da organizao

Planejamento cuidadoso eateno aos detalhes

Muitos sistemasno foram

projetados paraserem seguros.

7/29/2019 Abnt Nbr Iso-iec 27002-2005

11/31

Definir

Alcanar

Manter

Melhorar

Atividades essenciais:

Competitividade

Fluxo de caixa

Lucratividade

Atendimento

Asseguram

7/29/2019 Abnt Nbr Iso-iec 27002-2005

12/31

Analise e avaliaode riscos

Jurdico

PlanejamentoEstratgico

Identificao dos requisitos de segurana dainformao.

7/29/2019 Abnt Nbr Iso-iec 27002-2005

13/31

Anlise e avaliao de riscospara a organizao

Considera Realiza Identifica

Objetivos eestratgias globais

de negcio daorganizao.

Ameaas aos ativose as

vulnerabilidades.

Estimativa daprobabilidade de

ocorrncia dasameaas e do

impacto potencial

ao negcio.

7/29/2019 Abnt Nbr Iso-iec 27002-2005

14/31

Legislao Estatutos Regulamentao

Clusulas contratuaisDeve atender

Organizao

Parceiroscomerciais

Provedoresde servio

7/29/2019 Abnt Nbr Iso-iec 27002-2005

15/31

Princpios

Objetivos

Requisitos

PlanejamentoEstra

tgico

Deve desenvolver paraapoiar suas operaes

So definidos comoo conjunto

particular donegcio

7/29/2019 Abnt Nbr Iso-iec 27002-2005

16/31

Os requisitos so identificadospor meio de anlises e avaliao

sistemtica dos Riscos

Danos aonegcio

gerado pelasfalhas

Investimento

Direcionar edeterminar as aes

gerenciaisapropriadas

Estabelecerprioridades

Implementar controlesselecionados para a

proteo

7/29/2019 Abnt Nbr Iso-iec 27002-2005

17/31

Os requisitos so identificadospor meio de anlises e avaliao

sistemtica dos Riscos

Gastos

Danos aonegciogerado

pelas falhas

Direcionar edeterminar as aes

gerenciaisapropriadas

Estabelecerprioridades

Implementar controlesselecionados para a

proteo

Convm que a anlise/avaliao de riscos seja repetidaperiodicamente para contemplar quaisquer mudanas

que possam influenciar os resultados desta anlise/avaliao..

7/29/2019 Abnt Nbr Iso-iec 27002-2005

18/31

Requisitos desegurana e riscos

identificados

Deciso paratratamento dosriscos tomadas

Convm que controlesapropriados sejamselecionadospara

assegurar que os riscossejam reduzidos a um nvel

aceitvel

7/29/2019 Abnt Nbr Iso-iec 27002-2005

19/31

Requisitos desegurana e riscos

identificados

Deciso paratratamento dosriscos tomadas

Convm que controlesapropriados sejamselecionadospara

assegurar que os riscossejam reduzidos a um nvel

aceitvel

a partir dessa normaoutro conjuntos de

controlesnovos controles

7/29/2019 Abnt Nbr Iso-iec 27002-2005

20/31

Requisitos desegurana e riscos

identificados

Deciso paratratamento dosriscos tomadas

Convm que controlesapropriados sejamselecionadospara

assegurar que os riscossejam reduzidos a um nvel

aceitvel

a partir dessa normaoutro conjuntos de

controlesnovos controles

Novos controles podem ser desenvolvidos paraatender s necessidades especficas, conforme apropriado.

7/29/2019 Abnt Nbr Iso-iec 27002-2005

21/31

base

A seleo de controledepende das decises da

organizao

Convm que estejasujeito a legislao

e regulamentaesnacionais e internacionais

relevantes

Critrios deaceitao de

risco

Opes detratamento

do risco

Enfoquegeral da

gesto derisco

7/29/2019 Abnt Nbr Iso-iec 27002-2005

22/31

Ponto de vista

legal

Melhores prticasde segurana da

informao usadas

ControlesControles

ControlesControles

ControlesControles

Controles

7/29/2019 Abnt Nbr Iso-iec 27002-2005

23/31

Proteo de dados eprivacidade de informaes

pessoais (15.1.4)

Convm que a privacidade

e proteo de dados sejamasseguradas conformeexigido nas legislaesrelevantes,regulamentaes e, seaplicvel, nas clusulascontratuais.

Proteo de registrosorganizacionais (15.1.3)

Convm que registros

importantes sejamprotegidos contra perda,destruio e falsificao, deacordo com os requisitosregulamentares,estatutrios, contratuais edo negcio.

Direitos de propriedadeintelectual (15.1.2)

Convm que

procedimentosapropriados sejamimplementados paragarantir a conformidadecom os requisitoslegislativos,regulamentares e

contratuais no uso dematerial, em relao aosquais pode haver direitosde propriedade intelectuale sobre o uso de produtosde software proprietrios.

7/29/2019 Abnt Nbr Iso-iec 27002-2005

24/31

Documento da poltica desegurana da informao

(5.1.1)

Convm que umdocumento da poltica desegurana da informaoseja aprovado pela direo,publicado e comunicadopara todos os funcionrios

e partes externasrelevantes.

Atribuio deresponsabilidades para asegurana da informao

(6.1.3)

Convm que todas asresponsabilidades pelasegurana da informao,estejam claramentedefinidas.

Conscientizao, educao etreinamento em segurana

da informao (8.2.2)

Convm que todos osfuncionrios daorganizao e, ondepertinente, fornecedores eterceiros recebam

treinamento apropriados

em conscientizao, eatualizaes regulares naspolticas e procedimentosorganizacionais, relevantespara as suas funes.

7/29/2019 Abnt Nbr Iso-iec 27002-2005

25/31

Processamento correto nasaplicaes (12.2)

Convm que controlesapropriados sejam incorporadosno projeto das aplicaes,

inclusive aquelas desenvolvidaspelos usurios, para assegurar oprocessamento correto.

Convm que esses controlesincluam a validao dos dadosde entrada, do processamentointerno e dos dados de sada.

Gesto de vulnerabilidadestcnicas (12.6)

Convm que a implementaoda gesto de vulnerabilidadestcnicas seja implementada de

forma efetiva, sistemtica e deforma repetvel com mediesde confirmao da efetividade.

Convm que estasconsideraes incluam sistemasoperacionais e quaisquer outrasaplicaes em uso.

Gesto de incidentes desegurana da informao e

melhorias (13.2)

Convm que responsabilidadese procedimentos estejamdefinidos para o manuseio

efetivo de eventos de seguranada informao e fragilidades,uma vez que estes tenham sidonotificados.

Convm que um processo demelhoria contnua seja aplicados respostas, monitoramento,avaliao e gesto total de

incidentes de segurana dainformao.

Convm que onde evidnciassejam exigidas, estas sejamcoletadas para assegurar aconformidade com as exignciaslegais.

7/29/2019 Abnt Nbr Iso-iec 27002-2005

26/31

Gesto da continuidade do negcio (14)

Convm que o processo de gesto da continuidade do negcio seja implementado para minimizarum impacto sobre a organizao e recuperar perdas de ativos da informao (que pode ser resultantede, por exemplo, desastres naturais, acidentes, falhas de equipamentos e aes intencionais) a umnvel aceitvel atravs da combinao de aes de preveno e recuperao.

Convm que este processo identifique os processos crticos e integre a gesto da segurana dainformao com as exigncias da gesto da continuidade do negcio com outros requisitos decontinuidade relativo a tais aspectos como operaes, funcionrios, materiais, transporte einstalaes.

Convm que as conseqncias de desastres, falhas de segurana, perda de servios e disponibilidadede servios estejam sujeitas a uma anlise de impacto nos negcios.

Convm que os planos de continuidade do negcio sejam desenvolvidos e implementados para

assegurar que as operaes essenciais sejam recuperadas dentro da requerida escala de tempo. Convm que a segurana da informao seja uma parte integrante do processo global de

continuidade de negcios e a gesto de outros processos dentro da organizao.

Convm que a gesto da continuidade do negcio inclua controles para identificar e reduzir riscos,em complementao ao processo de anlise/avaliao de riscos global, limite as conseqncias aosdanos do incidente e garanta que as informaes requeridas para os processos do negcio estejamprontamente disponveis.

7/29/2019 Abnt Nbr Iso-iec 27002-2005

27/31

Gesto da continuidade do negcio (14)

Convm que o processo de gesto da continuidade do negcio seja implementado para minimizarum impacto sobre a organizao e recuperar perdas de ativos da informao (que pode ser resultantede, por exemplo, desastres naturais, acidentes, falhas de equipamentos e aes intencionais) a umnvel aceitvel atravs da combinao de aes de preveno e recuperao.

Convm que este processo identifique os processos crticos e integre a gesto da segurana dainformao com as exigncias da gesto da continuidade do negcio com outros requisitos decontinuidade relativo a tais aspectos como operaes, funcionrios, materiais, transporte einstalaes.

Convm que as conseqncias de desastres, falhas de segurana, perda de servios e disponibilidadede servios estejam sujeitas a uma anlise de impacto nos negcios.

Convm que os planos de continuidade do negcio sejam desenvolvidos e implementados para

assegurar que as operaes essenciais sejam recuperadas dentro da requerida escala de tempo. Convm que a segurana da informao seja uma parte integrante do processo global de

continuidade de negcios e a gesto de outros processos dentro da organizao.

Convm que a gesto da continuidade do negcio inclua controles para identificar e reduzir riscos,em complementao ao processo de anlise/avaliao de riscos global, limite as conseqncias aosdanos do incidente e garanta que as informaes requeridas para os processos do negcio estejamprontamente disponveis.

Embora o enfoque acima seja considerado um bom ponto de partida,ele no substitui a seleo de controles, baseado na anlise/avaliao de

riscos.

7/29/2019 Abnt Nbr Iso-iec 27002-2005

28/31

a) Uma abordagem e uma estrutura para a implementao, manuteno, monitoramento e

melhoria da segurana da informao que seja consistente com a cultura

organizacional;

b) Comprometimento e apoio visvel de todos os nveis gerenciais;

c) Um bom entendimento dos requisitos de segurana da informao, da anlise/avaliao

de riscos e da gesto de risco;

d) Divulgao eficiente da segurana da informao para todos os gerentes, funcionrios e

outras partes envolvidas para se alcanar a conscientizao;

e) Distribuio de diretrizes e normas sobre a poltica de segurana da informao para

todos os gerentes, funcionrios e outras partes envolvidas;

f) Proviso de recursos financeiros para as atividades da gesto de segurana da

informao;g) Proviso de conscientizao, treinamento e educao adequados;

h) Estabelecimento de um eficiente processo de gesto de incidentes de segurana da

informao;

i) Implementao de um sistema de medio, que seja usado para avaliar o desempenho

da gesto da segurana da informao e obteno de sugestes para a melhoria.

7/29/2019 Abnt Nbr Iso-iec 27002-2005

29/31

Nem todos os controles podem seraplicados.

Controles adicionais e recomendaesno includos podem ser necessrios.

7/29/2019 Abnt Nbr Iso-iec 27002-2005

30/31

7/29/2019 Abnt Nbr Iso-iec 27002-2005

31/31

FabianoRabaneda, 2010.Todos os direitos reservadosProibida a reproduo comercial desta obra.ABNTNBR ISO IEC 27002:2005ABNT, 2005.A menos que especificado de outro modo, nenhuma parte da norma pode ser reproduzida ou por qualquer meio,

eletrnico ou mecnico, incluindo fotocpia e microfilme, sem permisso por escrito pela ABNT.

Material no comercial destinado pesquisa e ensino.

http://www.rabaneda.adv.br/