Gestão de Segurança da Informação. Interpretação da norma NBR ISO/IEC 27001:2006. Curso e Learning Sistema de

Todos os direitos de cópia reservados. Não é permitida a distribuição  física ou eletrônica deste material sem a permissão expressa do autor. 

Interpretação da norma 

NBR ISO/IEC 27001:2006 

Gestão de Segurança 

da Informação

Interpretação das cláusulas 

Sistema de Gestão da SI

Melhoria Contínua

Responsabilidade da direção 

Auditorias 

internas 

Melhoria do 

SGSI 

Análise crítica do SGSI 

pela direção 

_Saídas 

4 

6 

7 

8 

5 

REQ

UISITOS 

SEG

UR

A

NÇ

A

 D

A

INFOR

M

A

Ç

Ã

O

A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente,  manter e melhorar um SGSI documentado dentro do contexto das atividades de  negócios globais da organização e dos riscos que ela enfrenta. 

Estabelecido 

Melhorado 

Implementado 

Mantido 

O sistema deve ser documentado e: 

Operado 

Cada sistema é 

composto por 

processos que se 

relacionam

A organização deve:  a) Definir o escopo e os limites do SGSI nos termos das características do negócio,  da organização, sua localização, ativos e tecnologia, incluindo detalhes e  justificativas para quaisquer exclusões do escopo (ver 1.2).  Exemplo de escopo:  Processo de desenvolvimento de software de sistemas de autenticação digital, realizado  na Alameda Manaus nº 100 – São Paulo –  SP, Brasil, conforme declaração de  aplicabilidade revisão 1. 

Escopo

A organização deve:  b) Definir uma política de SGSI nos termos das  características do negócio, da organização, sua  localização, ativos e tecnologia que:  1) inclua uma estrutura para definir objetivos e estabelecer  um direcionamento global e princípios para ações  relacionadas com a segurança da informação  2) considere requisitos de negócio, legais e/ou  regulamentares, e obrigações de segurança contratuais  3) esteja alinhada com o contexto estratégico de gestão de  riscos da organização no qual o estabelecimento e a  manutenção do SGSI irão ocorrer  4) estabeleça critérios em relação aos quais os riscos serão  avaliados  5) tenha sido aprovada pela direção 

Política de 

SGSI

Exemplo de política  §  Nossos serviços e projetos são bens de importância  fundamental para a empresa. A continuidade do  nosso negócio depende da qualidade,  confidencialidade, integridade e disponibilidade  destes bens.  §  Os gestores do projeto são responsáveis em proteger  estes ativos contra uso  não autorizado, recebimento,  processamento, armazenamento e transmissão das  informações  §  Todos os funcionários, prestadores de serviço e  consultores devem entender suas obrigações para  proteger estas informações e implementar os  procedimentos de segurança.  §  Todos os incidentes de segurança devem ser  comunicados para a área de segurança, para serem  tomadas as devidas ações corretivas.  §  Esta política é válida a partir de 20.08.2006. 

Política de 

SGSI

A organização deve:  c) Definir a abordagem de análise/avaliação de riscos  da organização.  1) Identificar uma metodologia de análise/avaliação de  riscos que seja adequada ao SGSI e aos requisitos  legais, regulamentares e de segurança da informação  identificados para o negócio.  2) Desenvolver critérios para a aceitação de riscos e  identificar os níveis aceitáveis de risco.  A metodologia de análise/avaliação de riscos  selecionada deve assegurar que as  análises/avaliações de risco produzam resultados  comparáveis e reproduzíveis.  Várias metodologias podem ser aplicadas. Análise/avaliação de riscos não é um  processo matemático – sempre haverá o uso do bom senso e dos sentimentos dos  analistas. Portanto é necessário que o processo de análise seja harmonizado entre os  profissionais que forem realizar esta atividade.

A organização deve:  d) Identificar os riscos.  1) Identificar os ativos dentro do escopo do SGSI, e os  proprietários destes ativos.  2) Identificar as ameaças a estes ativos.  3) Identificar as vulnerabilidades que podem ser exploradas pelas  ameaças.  4) Identificar os impactos que as perdas de confidencialidade,  integridade e disponibilidade podem causar aos ativos.  Exemplo:  § ATIVO: servidor utilizado para armazenar sites de clientes  § AMEAÇA: vírus  § VULNERABILIDADE: antivírus desatualizado  § IMPACTO: sites de clientes fora do ar

A organização deve:  e) Analisar e avaliar os riscos.  1) Avaliar os impactos para o negócio que podem resultar de falhas  de segurança, levando em consideração as conseqüências de  perda de confidencialidade, integridade ou disponibilidade dos  ativos.  2) Avaliar a probabilidade real da ocorrência de falhas de segurança à  luz de ameaças e vulnerabilidades prevalecentes, impactos  associados a estes ativos e  controles atualmente implementados.  3) Estimar os níveis de riscos.  4) Determinar se os riscos são aceitáveis ou se requerem tratamento  utilizando os critérios para aceitação estabelecidos.

Continuação do exemplo:  §  ATIVO: servidor utilizado para armazenar sites de clientes  §  AMEAÇA: vírus  §  VULNERABILIDADE: antivírus desatualizado  §  IMPACTO: sites de clientes fora do ar  §  AVALIAÇÃO DO IMPACTO: desgaste com clientes, perda de clientes e multas  contratuais  §  PROBABILIDADE DE OCORRÊNCIA: 2% de chance  §  RISCO: um critério deve ser definido. Como exemplo podemos considerar o risco de 1  a 5, sendo 1 o menor e 5 o maior. Neste caso poderíamos considerar o risco = 1  devido à atualização automática de antivírus (controle já implantado)  §  NÍVEL DE RISCO ACEITÁVEL: na escala de 1 a 5 podemos definir, por exemplo:  aceitar riscos de níveis 1 a 3

A organização deve:  f) Identificar e avaliar as opções de tratamento de riscos.  Possíveis opções incluem:  1) Aplicar controles apropriados  2) Aceitar os riscos consciente e objetivamente, que satisfaçam claramente as políticas da  organização e os critérios de aceitação de riscos  3) Evitar riscos  4) Transferir os riscos associados ao negócio a outras partes. Por exemplo: seguradoras e  fornecedores  No exemplo do slide anterior consideramos que já havia um controle implantado  (atualização automática de antivírus). Porém se o ativo fosse de grande valor,  poderíamos considerar que somente este controle não seria suficiente, e poderíamos  decidir implantar um firewall ou utilizar servidores de uma empresa com mais infra­  estrutura (terceirizar a atividade e assim transferir o risco).

A organização deve:  g) Selecionar objetivos de controle e controles e para o tratamento de risco.  §  Objetivos de controle e controles devem ser selecionados e implementados para  atender aos requisitos identificados pela análise/avaliação de riscos e pelo processo de  tratamento de riscos. Esta seleção deve considerar tanto os critérios para aceitação de  riscos como também os requisitos legais, regulamentares e contratuais.  §  Os objetivos de controle e controles do anexo A devem ser selecionados como parte  deste processo, como adequados para cobrir os requisitos identificados.  §  Os objetivos de controle e controles listados no anexo A não são exaustivos, e  objetivos de controle e controles adicionais podem também ser selecionados.  Exemplo: item A.11.3 do Anexo A:  Responsabilidades dos usuários  §  Uso de senhas  §  Política de mesa limpa e tela limpa

A organização deve:  h) Obter aprovação da direção sobre os riscos  residuais propostos.  i)  Obter autorização da direção para implementar e  operar o SGSI.  Por mais controles que sejam implantados, sempre  haverá um risco residual. Não há sistema à prova  de falhas. Estas sempre poderão ocorrer por ações  deliberadas (de hackers, por exemplo) ou acidentais  (incêndio ou inundação, por exemplo). Se o risco  era de nível 4, implantamos um controle e  conseguimos que o risco baixasse para nível 3, nós  ainda não conseguimos eliminar o risco, e o dono  do ativo precisa aprovar que nenhum outro controle  necessite ser implantado.

dependências da empresa. Estando fora da empresa o consultor pode se conectar à rede  da organização através da internet.  Defina, para este ativo:  §Uma AMEAÇA possível  §Uma VULNERABILIDADE  do ativo que possa ser atacada por  esta ameaça  §Um IMPACTO possível caso a ameaça ocorresse  E também:  §AVALIE este IMPACTO identificando possíveis conseqüências  §Estime, do seu ponto de vista, a PROBABILIDADE DE OCORRÊNCIA deste evento  §Valorize o RISCO considerando uma escala de 1 a 5, sendo 1 o menor risco e 5 o maior  §Estime, do seu ponto de vista, o NÍVEL DE RISCO ACEITÁVEL utilizando uma  escala de  1 a 5, sendo 1 o menor e 5 o maior  §Considere que o risco não é aceitável e identifique um CONTROLE que possa minimizar  este risco

§  Uma AMEAÇA possível: roubo.  §  Uma VULNERABILIDADE do ativo que possa ser atacada por esta ameaça: uso do  equipamento nas instalações dos clientes.  §  Um IMPACTO possível caso a ameaça se tornasse um fato: perda de informação  armazenada no disco rígido do computador; dados de clientes e da organização  poderiam ser acessíveis a pessoas não autorizadas.  §  AVALIE este IMPACTO identificando possíveis conseqüências: o roubo teria que ser  relatado ao cliente, o que provocaria desgaste no relacionamento. E se as informações  fossem parar nas mãos de terceiros mal intencionados ou da concorrência, poderia  haver perda de imagem e de negócios.  §  Estime a PROBABILIDADE DE OCORRÊNCIA deste evento: 20% de chance.  §  Valorize o RISCO considerando uma escala de 1 a 5: risco = 3.  §  Estime o NÍVEL DE RISCO ACEITÁVEL utilizando uma  escala de 1 a 5: risco  aceitável = 1.  §  Considere que o risco não é aceitável e identifique um CONTROLE que possa  minimizar este risco: não utilizar o disco rígido do notebook, trabalhar via web  utilizando o sistema da empresa.

A organização deve:  j) Preparar a declaração de aplicabilidade, que deve incluir o seguinte:  1) Os objetivos de controle, os controles selecionados e as razões para sua seleção  2) Os objetivos de controle e os controles atualmente implementados  3) A exclusão de quaisquer objetivos de controle e de controles do anexo A, e  justificativas para sua exclusão  A declaração de aplicabilidade provê um resumo das decisões relativas ao tratamento  de riscos. A justificativa das exclusões provê uma checagem cruzada de que nenhum  controle foi omitido inadvertidamente.  A ISO/IEC 27001:2005 contém 39 objetivos de controle e 133 controles, que serão  detalhados nos módulos 9 e 10 deste treinamento.

Prepare um modelo de formulário que poderia ser usado para a documentação de uma  declaração de aplicabilidade.

1ª coluna: lista dos 133 controles definidos pela NBR ISO/IEC 27001 no seu anexo A.  2ª coluna: indicar, para cada um dos 133 controles, quais já estavam implementados  antes da ISO 27001. É boa prática identificar os documentos da organização que se  relacionam com estes controles.  3ª coluna: indicar quais dos 133 controles estão sendo implantados. É boa prática  identificar os documentos da organização que se relacionam com estes controles.  4ª coluna: indicar quais dos 133 controles não estão sendo implantados e esclarecer as  razões. Justificar adequadamente.

A organização deve:  a) Formular um plano de tratamento de riscos que identifique ação  de gestão apropriada, recursos, responsabilidades e prioridades  para a gestão dos riscos de segurança.  b) Implementar o plano de tratamento de riscos para alcançar os  objetivos e controles identificados, que inclua considerações de  financiamento e atribuições de papéis e responsabilidades.  c) Implementar os controles selecionados para atender aos  objetivos de controle.  d) Definir como medir a eficácia dos controles ou grupos de  controles selecionados, e especificar como estas medidas devem  ser usadas para avaliar a eficácia dos controles de modo a  produzir resultados comparáveis e reproduzíveis.

O que é um plano?  Plano é um documento que diz o que será  feito, por que, como, quando, por quem e  onde.  Também conhecido em inglês como 5W1H  §  What – O que  §  Why – Por que  §  How – Como  §  When – Quando  §  Who – Quem  §  Where – Onde

Elabore um formulário modelo para a documentação de um plano de tratamento de  riscos e preencha com um exemplo.

Contr.­CHECADO  Marcia Guerra 

N°  O que  porque  como  quando 

1  Prevenir acesso indevido  de pessoas que não sejam  funcionários as instalações  da organização  Existem áres de  desenvolvimento de  produto com  informações  confidenciais  Todos os funcionários  devem utilizar crachás  com código de barras  para terem acesso as  instalações  até 3/8/07  Márcia Guerra  onde  na matriz  e nas  filiais  Rev.  1/2/2007  PLANO DE AÇÃO  No. FADM 004 

Resp. Documento/Aprovado  Data ­ DATE 

quem 

A organização deve:  e) Implementar programas de conscientização e treinamento. A organização deve  assegurar que todo o pessoal que tem responsabilidades atribuídas definidas no  SGSI seja competente para desempenhar as tarefas requeridas.  f) Gerenciar as operações do SGSI. É importante que haja um profissional que seja  responsável pelo sistema.  g) Gerenciar os recursos para o SGSI. Sempre que houver necessidade de recursos  humanos e materiais, a direção deve ser informada e deve analisar as  disponibilidades financeiras para decidir onde prover os recursos necessários.  h) Implementar procedimentos e outros controles capazes de permitir a pronta detecção  de eventos de segurança da informação e resposta a incidentes de segurança da  informação. Deve ser implementada uma sistemática de documentação e tratamento  dos incidentes identificados, com ações imediatas para sanar o incidente e ações  corretivas (quando aplicável) para evitar a recorrência destes incidentes.

Interpretação das cláusulas