Segurança da Informação - Melhores Práticas – ISO 17799

March 25, 2018 | Author: guimanol | Category: Information Security, Computing, Technology, It/Computer Sciences, Science


Comments



Description

Segurança da Informação: Conceitos e Modelo de Gestão Sérgio Marinho Novembro.2004 Direitos Reservados. Proibida Reprodução. Copyright 2004 Segurança da Informação - 1 Segurança da Informação Sistemas de Gestão - Evolução ♦ Sistema de Gestão da Qualidade (ISO Série 9000 - 1987) ♦ Sistema de Gestão Ambiental (ISO Série 14000 - 1994) ♦ Sistema de Gestão da Segurança e Saúde Ocupacional (OHSAS 18001 - 1996) e agora ... SISTEMA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO (BS 7799-2 – 1999) Segurança da Informação - 2 SEGURANÇA DA INFORMAÇÃO: Conceitos Segurança da Informação - 3 Segurança da Informação Conceitos “O único sistema verdadeiramente seguro é aquele que está desligado, desplugado, trancado num cofre de titanium, lacrado, enterrado em um bunker de concreto, envolto por gás nervoso e vigiado por guardas armados muito bem pagos. Mesmo assim, eu não apostaria minha vida nisso.” Gene Spafford Diretor de Operações de Computador, Auditoria e Tecnologia da Segurança Purdue University, França Segurança da Informação - 4 Segurança da Informação Conceitos Segurança da Informação: É a preservação da Confidencialidade. Integridade: é a proteção da exatidão e completeza da informação e dos métodos de processamento. Segurança da Informação . bem como aos bens associados. quando requeridos.5 . Onde: Confidencialidade: é a garantia de que a informação seja acessível apenas às pessoas autorizadas. Disponibilidade: é a garantia de que as pessoas autorizadas tenham acesso às informações. Integridade e Disponibilidade da informação. Enviada através de fax. Armazenada em fitas ou disco. Transmitida através de rede. Mantida em filmes e microfilmes. A Informação que é: Falada em conversas ao telefone.6 . Apresentada em projetores. Enviada por e-mail.Segurança da Informação Conceitos Qual informação deve ser protegida ? A Informação que está: Armazenada em computadores. Impressa ou escrita em papel. Segurança da Informação . Armazenada em banco de dados. Acesso acidental. Empregado desleal. Gravação de comunicação.Segurança da Informação Conceitos Proteger a informação de que ? Espionagem industrial. etc Ameaças Segurança da Informação . “Hacker” de computador. Arrombamento.7 . Crime organizado. Fraude. Escuta telefônica. Segurança da Informação Conceitos AMEAÇA Uma causa potencial de um incidente indesejável com um ativo ou grupo de ativos de informação que pode resultar em danos para a organização. ATIVO DE INFORMAÇÃO Todo bem da empresa que se relaciona com informação e que tenha valor para a organização. Risco = Probabilidade X Impacto Segurança da Informação . Roubo. Falta de manutenção. Ex: Data Center ao lado de um rio. VULNERABILIDADE Uma fraqueza de um ativo ou grupo de ativos de informação que pode ser explorada por uma AMEAÇA.8 . Ex: Inundação. Sistema. Portas destrancadas. RISCO É a medida do nível de incerteza associado à probabilidade de ocorrência de um evento e suas conseqüências. Documentação. Erro de Usuário. Ex: Hardware. Alocação errada de direitos de senha. Falha de Hardware. Software. 9 .Segurança da Informação Conceitos Sem controles Com controles Quantidade de Vulnerabilidade Tipos de Vulnerabilidades Segurança da Informação . Segurança da Informação Conceitos Vulnerabilidades Vulnerabilidades Controles Custo dos Controles Segurança da Informação .10 . 11 .SEGURANÇA DA INFORMAÇÃO: Cases Segurança da Informação . 4. ♦ Resultado: atendido Preservação: disponibilidade Segurança da Informação .1). ! Gestão da continuidade do negócio (11).12 . Estes requisitos definem regras para evitar a interrupção do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos.Segurança da Informação Cases CASO 1: Deutsche Bank ♦ O Banco tinha 2 escritórios funcionando no World Trade Center e já operava os seus sistemas quase que normalmente no dia seguinte ao atentado terrorista de 11 de Setembro 2001. ♦ Requisitos da Norma: ! Cópias de Segurança (8. 8. cópias de segurança e proteção contra vírus. foi deixado em um táxi por um oficial do exército. incluindo requisitos para proteção física.13 . controles de acesso. técnicas criptográficas. A norma recomenda que seja adotada uma política formal. ♦ Resultado: ! não atendido Comprometimento: confidencialidade Segurança da Informação . cuidados especiais devem ser tomados. para garantir que a informação não seja comprometida.Segurança da Informação Cases CASO 2: Ministério de Defesa Britânico Ministério Britânico ♦ Em abril de 2001 um notebook do Ministério de Defesa Britânico.1) Este requisito estabelece que quando se utilizam recursos da computação móvel. contendo segredos de segurança nacional. ♦ Requisitos da Norma: ! Computação Móvel (9. A norma recomenda que seja adotada uma política formal. ♦ Resultado: ! não atendido Comprometimento: disponibilidade Segurança da Informação .Segurança da Informação Cases CASO 3: Ataque de vírus na Samarco vírus ♦ Em maio de 2000 o vírus “I love you” invadiu o servidor de correio da Samarco provocando paralisação de 1 semana dos serviços.14 . análise crítica dos softwares.1) Este requisito estabelece que sejam adotadas medidas de precaução para prevenir e detectar softwares maliciosos. procedimento para gerenciamento. planos de contingência e monitoramento constante do ambiente computacional. ♦ Requisitos da Norma: ! Controles contra software malicioso (8.3. 2. ♦ Resultado: ! não atendido Comprometimento: disponibilidade Segurança da Informação . a partir da Internet. ♦ Requisitos da Norma: ! Aceitação de sistemas e softwares (8. um download.Segurança da Informação Cases CASO 4: Download de software não homologado pela TI não ♦ Em junho de 2001 foi feito. provocando uma baixa de performance muito grande na rede local.EXE. A norma recomenda que seja adotada uma política formal de acesso à rede bem como às suas aplicações e recursos.15 .2) ! Gerenciamento de privilégios (9. após instalação do software.2) Estes requisitos estabelecem que sejam adotadas medidas preventivas para se evitar instalação e uso de softwares não homologados pela organização.2. por três usuários de Ubu. do software GATOR. Melhores Práticas de SI: ISO/IEC 17799 Segurança da Informação .16 . A Segurança da Informação é obtida pela garantia da: Confidencialidade Garantia de que o acesso à informação seja obtido somente por pessoas autorizadas.17 . através da indicação das melhores práticas de SI. Segurança da Informação . 2. Disponibilidade Garantia de que os usuários autorizados obtenham acesso á informação e aos ativos correspondentes sempre que necessário.Segurança da Informação Melhores Práticas – ISO 17799 1. Integridade Salvaguarda da exatidão e completeza da informação e dos métodos de processamento. Objetivo: Fornecer recomendações para gestão da segurança da informação nas organizações. Conformidade 4. Gestão da continuidade do negócio 12. Política de Segurança 8. Gerenciamento das operações e comunicações 9. Classificação e controle de ativos de informação 6. Segurança em pessoas 7. Segurança física e do ambiente Segurança da Informação . Segurança organizacional 5.Segurança da Informação Melhores Práticas – ISO 17799 3. Controle de acesso 10.18 . Desenvolvimento e manutenção de sistemas 11. 19 .1. Documento da PSI 3.1. Política de Segurança 3. 3. Análise crítica e avaliação Segurança da Informação . Política de Segurança da Informação 3. Política de Segurança Objetivo: Prover à administração uma orientação e apoio para a segurança da informação.1. Convém que Alta Direção estabeleça uma Política clara e demonstre apoio e comprometimento com a segurança da informação através da emissão e manutenção de uma política de segurança da informação para toda organização.2.Segurança da Informação Melhores Práticas – ISO 17799 3.1. 4.1.3.1.2.1.2.7. Infra-estrutura da SI 4. Identificação dos riscos de acesso 4.1. Segurança acesso prestadores de serviço 4. Contratados para serviços internos 4.3. Consultoria especializada em SI 4.1.1. Requisitos de segurança nos contratos . Processo de autorização para as instalações do processamento de informações 4. Segurança Organizacional Objetivo: Gerenciar a segurança da informação na organização Convém que uma Estrutura de Gerenciamento seja estabelecida para iniciar e controlar a implementação da segurança da informação dentro da organização.1. Gestão do Forum de SI 4.1.1.5. Coordenação da SI 4.2. Atribuição das responsabilidades 4.6.2.2.2.3. 4.1.Segurança da Informação Melhores Práticas – ISO 17799 4. Requisitos de segurança nos contratos 4.20 4.1. Tipos de acesso 4.2. Razões para o acesso 4. Análise crítica independente da SI Segurança da Informação .3. Terceirização 4. Cooperação entre organizações 4.1.1.2.1.2. Segurança Organizacional 4.1. 2.2.1. Contabilização dos ativos 5.1. Classificação da informação 5.21 . 5.1. Recomendações para classificação 5.1. Inventário dos ativos de informação 5. Classificação e controle de ativos de informação 5.2.2. Convém que todos os principais ativos de informação sejam inventariados e tenham um proprietário responsável. Classificação e Controle de Ativos de Informação Objetivo: Manter a proteção adequada dos ativos da organização. Rótulos e tratamento da informação Segurança da Informação .Segurança da Informação Melhores Práticas – ISO 17799 5. 4.1 Incluindo segurança nas responsabilidades Trabalho 6.1. Respondendo aos incidentes de segurança 6.1. incluidas em contratos e monitoradas durante a vigência de cada contrato de trabalho. Segurança em Pessoas Objetivo: Reduzir os riscos de erro humano. Segurança em Pessoas 6.3. roubo.2. Acordos de confidencialidade 6.1.2.3. Treinamento dos usuários 6.3.3. Processo disciplinar Segurança da Informação .4. Notificando falhas na segurança 6.Segurança da Informação Melhores Práticas – ISO 17799 6.1.1. fraude ou uso indevido de instalações.3.3.5. Termos e condições de trabalho 6. Convém que responsabilidades de segurança sejam atribuidas na fase de recrutamento.3.1.22 . Segurança na definição e nos recursos trabalho 6. 6.1.3. Educação e treinamento em SI e ao mau funcionamento de SW 6. Seleção e política de pessoal 6. Aprendendo com os incidentes 6. Notificando incidentes de segurança 6. Notificando mau funcionamento 6.2.2. 5. Convém que os recursos e instalações de processamento de informações criticas ou sensíveis do negócio sejam mantidos em áreas seguras. Manutenção de eqptos. Reutilização e alienação de eqptos. Segurança física e do ambiente 7. 7.1. fora das instalações 7.1. Remoção de propriedades Segurança da Informação . Fornecimento de energia 7.3.2.3.23 .6. Áreas de segurança 7.2. Segurança em escritórios. 7.4. Trabalhando em áreas de segurança 7.2.2.1.Segurança da Informação Melhores Práticas – ISO 17799 7.1. perda e interferência às instalações físicas da organização. Política mesa limpa / tela limpa 7.1. Segurança eqptos. Controles de entrada física 7. Isolamento das áreas de expedição e carga 7.2. dano. protegidas por um perímetro de segurança definido.3. com barreiras de segurança apropriadas e controle de acesso.1.1. Controles gerais 7.2.2. Perímetro da segurança física 7.1.2. 7. Segurança Física e do Ambiente Objetivo: Prevenir o acesso não autorizado.3.4. 7. salas e instalações PD 7. Instalação e proteção de eqptos.2.3.2.1. Segurança do cabeamento 7.5. Segurança dos equipamentos 7. Veja detalhe dos controles a seguir Segurança da Informação . Isto abrange o desenvolvimento de procedimentos operacionais apropriados e de resposta a incidentes. Gerenciamento das Operações e Comunicações Objetivo: Garantir a operação segura e correta dos recursos de processamento da informação.24 . Convém que os procedimentos e responsabilidades pela gestão e operação de todos os recursos sejam definidos.Segurança da Informação Melhores Práticas – ISO 17799 8. 2.7.2.2.25 . Planejamento da capacidade 8.2. Controles da rede 8.3. e operação 8. Segurança de mídias em trânsito 8. Acordos para a troca de informações e SW 8. Segurança do comércio eletrônico 8.7.1.7.1. Separação ambientes: desenv.7.3.2.2. Documentação do procedimentos operação 8.6.5.1. Gerenciamento das operações e comunicações 8.3. Registros de falhas 8. Segurança e tratamento de mídias 8.1.1.3.1.2.6.7.4.4.4.7.1.1.7.4. Housekeeping 8. Procedimentos e responsabilidades operacionais 8.3. Proteção contra software malicioso 8.6.Segurança da Informação Melhores Práticas – ISO 17799 8.4. Segurança da documentação sistemas 8.1. Segregação de funções 8.1. Sistemas disponíveis publicamente 8. Outras formas troca de informação Segurança da Informação .6.4.4. Gestão recursos terceirizados 8. Aceitação de sistemas 8.1.6. Riscos de segurança 8. Prodecimento gerenciamento incidentes 8.3.4. Registros de operação 8. Segurança do correio eletrônico 8.6.6.2.7.7. Segurança sistemas eletrônicos escritórios 8.7. Controle mudanças operacionais 8.1. Troca de informações e softwares 8. Planejamento e aceitação dos sistemas 8.4. Gerenciamento de mídias removíveis 8. Procedimento tratamento informação 8. Cópias de segurança 8.1.7.5. Controles contra software malicioso 8.1. Descarte de mídas 8.2. Política de usu 8.1.5. Gerenciamento da rede 8.5. Controle de Acesso Objetivo: Controlar o acesso à informação. Convém que o acesso à informação e processo do negócio seja controlado na base dos requisitos de segurança e do negócio.26 . Veja detalhe dos controles a seguir Segurança da Informação .Segurança da Informação Melhores Práticas – ISO 17799 9. 2.1. Rota de rede obrigatória 9.2. Registro do usuário 9.8. Proteção de portas de diagnóstico remotas 9.3.5.4. Uso de programas utilitários 9.1. Requisitos do negócio e política 9. Autenticação para conexão externa (usuário) 9. Segregação de redes 9.4. Desconexão de terminal por inatividade 9.8.1.2.3.2. Limitação de tempo de conexão 9. Gerenciamento de acesso do usuário 9.7.1.5.1.2.Segurança da Informação Melhores Práticas – ISO 17799 9. Controle de acesso às aplicações 9.3.5. Gerenciamento de senha dos usuários 9.4.2. Trabalho remoto Segurança da Informação . Regras de controle de acesso 9.2.5.2.6.1.7.4.2.5.6.7.1.7. Uso de senhas 9.4. Registro e análise crítica eventos 9.1.4.7.2.2. Monitoração do uso do sistema 9.6.7.1.3.3.2. Identificação e autenticação de usuário 9.1. Controle de acesso à rede 9.1. Eqpto. Análise crítica dos direitos acesso usuários 9.4.5.3. Computação móvel e trabalho remoto 9.1.2.2.8.5.7.3. Monitoração do uso e acesso ao sistema 9. Política de controle de acesso 9. Controle de acesso 9.1. Autenticação de nó 9.4.1. Responsabilidades do usuário 9. Identificação automática de terminal 9.4.1. Política de utilização dos serviços de rede 9. Gerenciamento de previlégios 9.6.4.4.2.3.8. Controle de acesso ao sistema operacional 9.5. Controle de conexão de redes 9.4. Procedimentos e áreas de risco 9. Segurança dos serviços de rede 9.8. Sistema de gerenciamento de senha 9.1.9. Procedimentos de entrada no sistema 9. Alarme de intimidação 9.5. Computação móvel 9. Registros do negócio para controle acesso 9. de usuário sem monitoração 9. Sincronização dos relógios 9. Fatores de risco 9.4.27 .7. Controle do roteamento de rede 9. Restrição de acesso à informação 9.5.5. Isolamento de sistemas sensíveis 9.2.6.2.7. Registro de eventos 9. 28 . Convém que todos os requisitos de segurança. acordados e documentados como parte do estudo de caso de um negócio para um sistema de informação. incluindo a necessidade de acordos de contingência. sejam. identificados na fase de levantamento de requisitos de um projeto e justificados.Segurança da Informação Melhores Práticas – ISO 17799 10. Desenvolvimento e Manutenção de Sistemas Objetivos: Garantir que a segurança seja parte integrando dos sistemas de informação. Veja detalhe dos controles a seguir Segurança da Informação . Segurança nos sistemas de aplicação 10.Segurança da Informação Melhores Práticas – ISO 17799 10. Requisitos de segurança de sistemas 10.5.3.2.3.5.2. Checagens e controles 10.2.2.2. Serviços de não repúdio 10.5. Proteção de dados de teste do sistema 10.1. Áreas de risco 10.3.1.5.4. Controle de acesso à biblioteca de fontes 10.3.5. Criptografia 10.4.3.2.3.29 .2.4. Controle de software em produção 10. Procedimentos de controle de mudanças 10.1. Controle do processamento interno 10.3.1. Análise e especificação requisitos segurança 10.2.4.2. Segurança nos processos de desenvolv.4.2.2. Proteção de chaves criptográficas 10.1. Validação dos dados de saída 10. Restrições nas mudanças dos pacotes SW 10. Normas.1. Análise crítica das mudanças técnicas do SO 10.3. procedimentos e métodos 10.5. Autenticação de mensagem 10.4.3. Validação de dados de entrada 10.1. Segurança de arquivo do sistema 10.2.5. e suporte 10.4.3.1.5. Política para uso de controles de criptografia 10. Controles de criptografia 10.2.3.2.5. Covert channels e cavalo de tróia 10.5. Assinatura digitial 10. Gerenciamento de chaves 10.3. Desenvolvimento e manutenção de sistemas 10.2.1. Desenvolvimento terceirizado de SW Segurança da Informação . 1. Aspectos na gestão de continuidade dos negócios 11. Documentando e implementando planos de continuidade do negócio 11. a interrupção causada por desastres ou falhas da segurança.1.4.1.5. Gestão da Continuidade do Negócio Objetivo: Não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de grandes falhas ou desastres significativos.1.Segurança da Informação Melhores Práticas – ISO 17799 11.2. Continuidade do negócio e análise de impacto 11.3.1. Manutenção e reavaliação dos planos Segurança da Informação . Teste dos planos 11.1. Gestão da continuidade do negócio 11.2. Processo de gestão da continuidade dos negócios 11. Testes.1. Convém que o processo de gestão da continuidade seja implementado para reduzir.1. através da combinação de ações de prevenção e recuperação. Estrutura do plano de continuidade do negócio 11. para um nivel aceitável.1.5.1. 11. manutenção e reavaliação dos planos de continuidade do negócio 11.5.30 . Veja detalhe dos controles a seguir Segurança da Informação . Convém que consultoria em requisitos legais específicos seja procurada em organizações de consultoria jurídica ou profissionais liberais. Conformidade Objetivo: Evitar violação de qualquer lei criminal ou civil. adequadamente qualificados nos aspectos legais.Segurança da Informação Melhores Práticas – ISO 17799 12. regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança.31 . estatutos. 1. Identificação da legislação vigente 12.1. Análise crítica da política de segurança e da conformidade técnica 12.7. Prevenção contra uso indevido de recursos de processamento da informação 12. Admissibilidade da evidência 12.1.1. Qualidade e inteireza da evidência 12.2. Regras para evidências 12.1.2.6. Regulamentação controles de criptografia 12.2. Salvaguarda de registros organizacionais 12.5.2. Direitos de propriedade intelectual 12.32 . Proteção das ferramentas de auditoria sistemas. Controles de auditorias de sistemas 12.2. Direitos autorais de software 12.3. Conformidade 12.2. Direitos autorais 12.2. Conformidade com a política de segurança 12.1.1. Coleta de evidências 12.1. Proteção de dados e privacidade da informação pessoal 12.7.2.3.1.1. de Segurança da Informação .3.Segurança da Informação Melhores Práticas – ISO 17799 12. Considerações quanto à auditorias de sistemas 12.1.2. Verificação da conformidade técnica 12.7.1.2.1.3.1.1.1.3.1.1.4. Conformidade com requisitos legais 12.7. 33 .NORMA BS 7799-2: Histórico e Aplicação Segurança da Informação . 01 Apresenta as “melhores práticas” a serem utilizadas na gestão de segurança da informação. (publicada em 1998 e atualizada em 2002) NBR ISO/IEC 17799 TI – Código de Prática para a Gestão da Segurança da Informação ABNT CB-21/CE-21:204. (publicada em 2001) Segurança da Informação .34 .Segurança da Informação BS 7799-2 – Histórico e Aplicação BS 7799 Part 1 Code of Practice for Information Security Management Apresenta as “melhores práticas” a serem utilizadas na gestão de segurança da informação. (publicada em 1995 e atualizada em 1999) ISO/IEC 17799 Code of Practice for Information Security Management ISO/IEC JTC1/SC27/WG1 (publicada em 2000) BS 7799 BS 7799 Part 2 Specification for Information Security Management Systems Apresenta uma estrutura de gestão e viabiliza a realização de auditorias do sistema de gestão de Informação. para alinhamento com outros Sistemas de Gestão Segurança da Informação .35 . (publicada em 1998 e atualizada em 2002) HISTÓRICO DA BS 7799 ♦ ♦ ♦ ♦ ♦ Ago 1999: Consulta do BSI aos países membros da ISO/IEC Out 1999: Formalização do “Fast track procedure” junto à ISO/IEC Jan 2000: ISO/IEC nomeiam o JTC1/SC27 para conduzir o processo Jul 2000: Brasil envia posição favorável ao “Fast track procedure” Out 2000: “Tokyo heating meeting” Dez 2000: A norma ISO/IEC 17799 é oficialmente publicada em Genebra Ago 2001: Brasil. publica a NBR ISO IEC 17799 Mar 1993: Inglaterra – Código de Prática Abr 1995: Norma Britânica – BS 7799-1:1995 Fev 1998: Primeira publicação – BS 7799-2:1998 Mai 1999: Revisão das partes 1 e 2 – Consistência Set 2002: Publicação da revisão da parte 2.01 Apresenta as “melhores práticas” a serem utilizadas na gestão de segurança da informação. (publicada em 2001) HISTÓRICO DA ISO 17799 ♦ ♦ ♦ ♦ ♦ ♦ ♦ BS 7799 Part 2 Specification for information security management systems Apresenta uma estrutura de gestão e viabiliza a realização de auditorias do sistema de gestão de Informação. feita por uma equipe internacional (IUG).Segurança da Informação BS 7799-2 – Histórico e Aplicação NBR ISO/IEC 17799 TI – Código de Prática para a Gestão da Segurança da Informação ABNT CB-21/CE-21:204. através da ABNT/CB21. 36 .REQUISITOS DA GESTÃO DE SEGURANÇA DA INFORMAÇÃO Segurança da Informação . 4 Manter e Melhorar o SGSI Partes Interessadas Expectativas e Requisitos do Sistema de Informação 4.2.1 Estabelecer o SGSI Fazer Agir Partes Interessadas 4.2.2.2 Implementar e Operar o SGSI Ciclo de Desenvolvimento.Segurança da Informação BS 7799-2 – PDCA Modelo PDCA aplicado aos processos do SGSI Planejar 4. Manutenção e Melhoria Verificar 4.37 .2.3 Monitorar e Revisar o SGSI Segurança da Informação Gerenciada Segurança da Informação . Identificar e validar as opções para tratamento dos riscos.1 Estabelecer o SGSI (Plan) A organização deve: a.38 .2. Avaliar os riscos dos ativos considerando o impacto na confidencialidade. e. Definir uma Política de Segurança da Informação que: • • • • c. Selecionar os objetivos de controle e os controles para tratamento dos riscos (ISO 17799) Preparar uma Declaração de Aplicabilidade (Statement of Applicability) Segurança da Informação . ativos e tecnologia. Tenha o comprometimento da Alta Direção. g. d. Definir o escopo do SGSI em função da característica do negócio. f. Identificar os riscos dos ativos considerados no escopo do SGSI. da localização. Inclua claramente os objetivos de segurança para toda a organização e estabeleça os princípios a serem seguidos. b. da organização. integridade e disponibilidade dos mesmos.Segurança da Informação BS 7799-2 – Requisitos da Gestão de SI 4. Esteja alinhada à estratégia organizacional e gerenciamento de riscos. Considere a conformidade com a legislação e cláusulas contratuais. o registro. Implementar o plano de tratamento dos riscos para atender os objetivos de controles definidos. b. Gerenciar os recursos. Implementar programas de treinamento e conscientização.2 Implantar e Operar o SGSI (Do) A organização deve: a. d.Segurança da Informação BS 7799-2 – Requisitos da Gestão de SI 4. Formular um plano de tratamento dos riscos que identifique as ações apropriadas de gerenciamento. c. Implementar os controles selecionados de acordo com os objetivos de controle. f. Gerenciar as operações.39 . g. e. Segurança da Informação . as responsabilidades e prioridades para gerenciamento dos riscos de segurança da informação.2. Implementar procedimentos e outros controles para possibilitar acompanhamento e resposta no caso dos incidentes de segurança. 3 Monitorar e Revisar o SGSI (Check) A organização deve: a. em intervalos regulares e planejados. incidentes. Verificar regularmente a eficiência do SGSI considerando os resultados das auditorias de segurança. Promover revisão do SGSI em intervalos regulares (pelo menos uma vez por ano) para assegurar que a adequação do escopo e que o processo de melhorias do sistema são identificados. . c. Rever regularmente o nível de risco residual. Determinar se as ações executadas para resolver uma falha de segurança estão de acordo com as prioridades do negócio. Identificar falhas e insucessos em função de brechas e incidentes de segurança. Gerenciar se a delegação de atividades seguras para pessoas ou as implementações da TI estão sendo realizadas de acordo com as expectativas. Promover auditorias internas do SGSI. Detectar erros dos resultados de processamentos. Executar procedimentos de monitoração e outros controles para: • • • • b. d.Segurança da Informação BS 7799-2 – Requisitos da Gestão de SI 4. Segurança da Informação . sugestões e feedback de todas as partes interessadas.2. e.40 f. Registrar ações e eventos que possam impactar a eficiência e performance do SGSI. c. d. b.3 da Norma e considerar as lições de aprendizado com as experiências de segurança de outras organizações e as internas.Segurança da Informação BS 7799-2 – Requisitos da Gestão de SI 4. Segurança da Informação . Comunicar os resultados e ações acordadas com as partes interessadas. Assegurar que as melhorias estão atingindo os objetivos propostos. Implementar as melhorias identificadas para o SGSI.4 Manter e Melhorar o SGSI (Act) A organização deve: a.41 .2 e 7. Realizar as ações corretivas e preventivas de acordo com os requisitos 7.2. 4. recuperação. Um procedimento de documentação deve ser estabelecido para definir as ações de gerenciamento necessárias para: a. . Eles devem ser controlados..3. c.. d.3 Controle de Registros Registros devem ser estabelecidos e mantidos para prover evidências de conformidade com os requisitos do SGSI. Segurança da Informação .42 .3.Segurança da Informação BS 7799-2 – Requisitos da Gestão de SI 4. Rever e atualizar os documentos necessários e re-aprová-los. Os controles necessários para identificação. O SGSI deve guardar qualquer requerimento legal relevante. armazenamento. b. proteção. Assegurar que as alterações e a revisão atual dos documentos são identificadas.2 Controle de Documentos Documentos requeridos pelo SGSI devem ser protegidos e controlados. Aprovar documentos de acordo com a prioridades dos assuntos. Registros devem estar legíveis. Um processo de gerenciamento deve determinar a necessidade e abrangência dos registros. tempo de retenção e disposição dos registros devem ser documentados. identificados e prontamente recuperáveis. operação e manutenção do SGSI. Conduzindo as revisões do SGSI. Estabelecendo a Política de Segurança da Informação. Segurança da Informação . b. operação. Comunicando para a organização a importância dos objetivos de segurança e a conformidade com a Política de Segurança da Informação. implementação. Assegurando que os planos e objetivos de segurança da informação sejam definidos. g. Providenciando os recursos necessários para o desenvolvimento. e. d.1 Comprometimento da Alta Direção A Alta Direção deve prover evidências de seu comprometimento com o estabelecimento. Estabelecendo regras e responsabilidades de segurança da informação. c. implementação. f.43 . Definindo o nível de risco aceitável. monitoramento. a observância e respeito às leis e a necessidade de melhoria contínua. manutenção e evolução do SGSI: a.Segurança da Informação BS 7799-2 – Requisitos da Gestão de SI 5. revisão. conscientização e competência A organização deve assegurar que todas as pessoas que tenham alguma responsabilidade definida no SGSI sejam competentes para executar as atividades definidas. Estabelecer.Segurança da Informação BS 7799-2 – Requisitos da Gestão de SI 5.2 Treinamento. melhorar a eficiência do SGSI. b. implementar.2.2.44 . Quando requerido. d. Identificar leis e outros requisitos e obrigações contratuais relativas à segurança. Manter segurança adequada através da aplicação correta de todos os controles implementados. operar e manter o SGSI Assegurar que os procedimentos de segurança da informação suportem os requerimentos de negócio.1 Provisão de Recursos A organização deve determinar e providenciar os recursos necessários para: a. Segurança da Informação . e. c. 5. Promover revisões quando necessário e implementar apropriadamente os resultados destas revisões. f. para determinar a situação dos objetivos de controle.45 .2 Ações Corretivas 7. controles. processos e procedimentos do SGSI. ações corretivas e preventivas. resultados das auditorias.1 Melhoria Contínua A organização deve continuamente melhorar a eficiência do SGSI através do uso da Política de Segurança da Informação.Segurança da Informação BS 7799-2 – Requisitos da Gestão de SI 6. em intervalos planejados. análise e monitoramento de eventos.3 Ações Preventivas Segurança da Informação . objetivos de segurança. 7. 7.4 Auditorias Internas do SGSI A organização deve conduzir auditorias internas do SGSI.
Copyright © 2024 DOKUMEN.SITE Inc.