NBR ISO/IEC 27002 SEMINÁRIO

Começar. É Gratuito
ou inscrever-se com seu endereço de e-mail
NBR ISO/IEC 27002 SEMINÁRIO por Mind Map: NBR ISO/IEC 27002 SEMINÁRIO

1. Objetivo

1.1. Estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Isso também inclui a seleção, a implementação e o gerenciamento de controles, levando em conta os ambientes de risco encontrados na empresa.

2. Conceito

2.1. Ela serve como um guia prático que ajuda no desenvolvimento e implementação de métodos e controles da segurança da informação dentro de uma empresa. Sendo assim, o intuito de tornar ou de assegurar que os negócios terão prosseguimento ao mesmo tempo em que os riscos são minimizados e o retorno sobre investimento, bem como oportunidades da organização, são maximizados.

2.2. Ao todo existem cerca de quatro modelos de ataque que uma instituição pode sofrer, sendo eles:

2.3. Modificação;

2.4. Intercepção;

2.5. Fabricação;

2.6. Interrupção.

3. Introdução

3.1. O nome da norma se dá pelas empresas as quais são responsáveis pela criação, sendo elas a Organização Internacional de Normalização (ISO) e a Comissão Eletrônica Internacional (IEC).

3.2. A norma NBR ISO/IEC 27002 é o Código de Prática que visa a Gestão de Segurança da Informação, tendo por objetivo estabelecer normas, padrões, diretrizes e princípios gerais, para se implementar, manter e melhorar a gestão de segurança da informação em uma organização.

3.3. Também conhecida como ABNT 27002, foi criada no ano de 1995, ano por sinal em que foram criadas as diretrizes de série 27000. Dentro destas, no entando, se encontra o antigo padrão da 27002, que substititui a 17799 no ano de 2005.

3.4. Contudo, a partir de 2007 foi implementada a nova edição da 17799 e incorporada ao esquema de numeração ISO 27002, sendo então distribuída em 11 seções.

4. Termos e Definição

4.1. Recursos de processamento da informação: sistema, serviço ou infra-estrutura ou instalação física que os sabriguem.

4.2. Segurança da informação: confidencialidade, integridade e disponibilidade da informação.

4.3. Política: intenções e diretrizes globais formalmente expressas pela direção.

4.4. Terceira parte: pessoa ou organismo reconhecido como independente das partes envolvidas de um dado assunto.

4.5. Ameaça: causa potencial de um incidente.

4.6. Vulnerabilidade: fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.

5. Seções

5.1. Seção

5.2. 5. Políticas de Segurança da Informação

5.2.1. Categoria

5.2.2. 5.1 Orientação da Direção para Segurança da Informação

5.2.3. 5.1.1 Políticas para Segurança da Informação

5.2.3.1. Controles

5.2.4. 5.1.2 Análise crítica das políticas para segurança da informação.

5.3. 6. Organização da Segurança da Informação

5.3.1. 6.1 Organização Interna

5.3.2. 6.1.1 Responsabilidades e papéis da segurança da informação.

5.3.3. 6.1.2 Segregação de funções.

5.3.4. 6.1.3 Contato com autoridades.

5.3.5. 6.1.4 Contato com grupos especiais.

5.3.6. 6.1.5 Segurança da informação no gerenciamento de projetos.

5.3.7. 6.2 Dispositivos móveis e trabalho remoto

5.3.8. 6.2.1 Política para o uso de dispositivo móvel.

5.3.9. 6.2.2 Trabalho remoto.

5.4. 7. Gestão de Ativos

5.4.1. 8.1 Responsabilidade pelos ativos.

5.4.2. 8.1.1 Inventário dos ativos.

5.4.3. 8.1.2 Proprietário dos ativos.

5.4.4. 8.1.3 Uso aceitável dos ativos.

5.4.5. 8.1.4 Devolução de ativos.

5.4.6. 8.2 Classificação da informação

5.4.7. 8.2.1 Classificação da informação.

5.4.8. 8.2.2 Rótulos e tratamento da informação.

5.4.9. 8.2.3 Tratamento dos ativos.

5.4.10. 8.3 Tratamento de mídias

5.4.11. 8.3.1 Gerenciamento de mídias removíveis.

5.4.12. 8.3.2 Descarte de mídias.

5.4.13. 8.3.3 Transferência física de mídias.

5.5. 8. Segurança em Recursos Humanos

5.5.1. 7.1 Antes da Contratação.

5.5.2. 7.1.1 Seleção.

5.5.3. 7.1.2 Termos e condições de contratação.

5.5.4. 7.2 Durante a contratação

5.5.5. 7.2.1 Responsabilidades da Direção.

5.5.6. 7.2.2 Conscientização, educação e treinamento em segurança da informação.

5.5.7. 7.2.3 Processo disciplinar.

5.5.8. 7.3 Encerramento e mudança da contratação.

5.5.9. 7.3.1 Responsabilidades pelo encerramento ou mudança da contratação.

5.6. 9. Controle de Acesso

5.6.1. 9.1 Requisitos do negócio para Controle de Acesso

5.6.2. 9.1.1 Política de controle de acesso.

5.6.3. 9.1.2 Acesso às redes e aos serviços de rede.

5.6.4. 9.2 Gerenciamento de Acesso do Usuário

5.6.5. 9.2.1 Registro e cancelamento de usuário.

5.6.6. 9.2.2 Provisionamento para acesso de usuário.

5.6.7. 9.2.3 Gerenciamento de direitos de acesso privilegiado.

5.6.8. 9.2.4 Gerenciamento da informação de autenticação secreta de usuários.

5.6.9. 9.2.5 Análise crítica dos direitos de acesso do usuário.

5.6.10. 9.2.6 Retirada ou ajuste dos direitos de acesso.

5.6.11. 9.3 Responsabilidades dos Usuários

5.6.12. 9.3.1 Uso da informação de autenticação secreta.

5.6.13. 9.4 Controle de Acesso ao Sistema e à Aplicação

5.6.14. 9.4.1 Restrição de acesso à informação.

5.6.15. 9.4.2 Procedimentos seguros de entrada no sistema (log-on).

5.6.16. 9.4.3 Sistema de gerenciamento de senha.

5.6.17. 9.4.4 Uso de programas utilitários privilegiados.

5.6.18. 9.4.5 Controle de acesso ao código-fonte de programas.

5.7. 10. Criptografia

5.7.1. 10.1 Controles Criptográficos

5.7.2. 10.1.1 Política para o uso de controles criptográficos.

5.7.3. 10.1.2 Gerenciamento de chaves.

5.8. 11. Segurança Física e do Ambiente

5.8.1. 11.1 Áreas Seguras

5.8.2. 11.1.1 Perímetro de segurança física.

5.8.3. 11.1.2 Controles de entrada física.

5.8.4. 11.1.3 Segurança em escritórios, salas e instalações.

5.8.5. 11.1.4 Proteção contra ameaças externas e do meio ambiente.

5.8.6. 11.1.5 Trabalhando em áreas seguras.

5.8.7. 11.1.6 Áreas de entrega e de carregamento.

5.8.8. 11.2 Equipamentos

5.8.9. 11.2.1 Localização e proteção do equipamento.

5.8.10. 11.2.2 Utilidades.

5.8.11. 11.2.3 Segurança do cabeamento.

5.8.12. 11.2.4 Manutenção dos equipamentos.

5.8.13. 11.2.5 Remoção de ativos.

5.8.14. 11.2.6 Segurança de equipamentos e ativos fora das dependências da organização.

5.8.15. 11.2.7 Reutilização e ou descarte seguro de equipamentos.

5.8.16. 11.2.8 Equipamento de usuário sem monitoração.

5.8.17. 11.2.9 Política de mesa limpa e tela limpa.

5.9. 12. Segurança nas Operações

5.9.1. 12.1 Responsabilidades e Procedimentos Operacionais

5.9.2. 12.1.1 Documentação dos procedimentos de operação.

5.9.3. 12.1.2 Gestão de mudanças.

5.9.4. 12.1.3 Gestão de capacidade.

5.9.5. 12.1.4 Separação dos ambientes de desenvolvimento, teste e de produção.

5.9.6. 12.2 Proteção Contra Malware

5.9.7. 12.2.1 Controles contra malware.

5.9.8. 12.3 Cópias de Segurança

5.9.9. 12.3.1 Cópias de segurança das informações.

5.9.10. 12.4 Registros e Monitoramento

5.9.11. 12.4.1 Registros de eventos.

5.9.12. 12.4.2 Proteção das informações dos registros de eventos (logs).

5.9.13. 12.4.3 Registros de eventos (log) de administrador e operador.

5.9.14. 12.4.4 Sincronização dos relógios.

5.9.15. 12.5 Controle de Software Operacional

5.9.16. 12.5.1 Instalação de software nos sistemas operacionais.

5.9.17. 12.6 Gestão de Vulnerabilidades Técnicas

5.9.18. 12.6.1 Gestão de vulnerabilidades técnicas.

5.9.19. 12.6.2 Restrições quanto à instalação de software.

5.9.20. 12.7 Considerações quanto à Auditoria de Sistemas de Informação

5.9.21. 12.7.1 Controles de auditoria de sistemas de informação.

5.10. 13. Segurança nas Comunicações

5.10.1. 13.1 Gerenciamento da Segurança em Redes

5.10.2. 13.1.1 Controles de redes.

5.10.3. 13.1.2 Segurança dos serviços de rede.

5.10.4. 13.1.3 Segregação de redes.

5.10.5. 13.2 Transferência de Informação

5.10.6. 13.2.1 Políticas e procedimentos para transferência de informações.

5.10.7. 13.2.2 Acordos para transferência de informações.

5.10.8. 13.2.3 Mensagens eletrônicas.

5.10.9. 13.2.4 Acordos de confidencialidade e não divulgação.

5.11. 14. Aquisição, Desenvolvimento e Manutenção de Sistemas

5.11.1. 14.1 Requisitos de Segurança de Sistemas de Informação

5.11.2. 14.1.1 Análise e especificação dos requisitos de segurança da informação.

5.11.3. 14.1.2 Serviços de aplicação seguros sobre redes públicas.

5.11.4. 14.1.3 Protegendo as transações nos aplicativos de serviços.

5.11.5. 14.2 Segurança em Processos de Desenvolvimento e de Suporte

5.11.6. 14.2.1 Política de desenvolvimento seguro.

5.11.7. 14.2.2 Procedimentos para controle de mudanças de sistemas.

5.11.8. 14.2.3 Análise crítica técnica das aplicações após mudanças nas plataformas operacionais.

5.11.9. 14.2.4 Restrições sobre mudanças em pacotes de software.

5.11.10. 14.2.5 Princípios para projetar sistemas seguros.

5.11.11. 14.2.6 Ambiente seguro para desenvolvimento.

5.11.12. 14.2.7 Desenvolvimento terceirizado.

5.11.13. 14.2.8 Teste de segurança do sistema.

5.11.14. 14.2.9 Teste de aceitação de sistemas.

5.11.15. 14.3 Dados para Teste

5.11.16. 14.3.1 Proteção dos dados para teste.

5.12. 15. Relacionamento na Cadeia de Suprimento

5.12.1. 15.1 Segurança da Informação na Cadeia de Suprimento

5.12.2. 15.1.1 Política de segurança da informação no relacionamento com os fornecedores.

5.12.3. 15.1.2 Identificando segurança da informação nos acordos com fornecedores.

5.12.4. 15.1.3 Cadeia de suprimento na tecnologia da informação e comunicação.

5.12.5. 15.2 Gerenciamento da Entrega do Serviço do Forncecedor

5.12.6. 15.2.1 Monitoramento e análise crítica de serviços com fornecedores.

5.12.7. 15.2.2 Gerenciamento de mudanças para serviços com fornecedores.

6. Quais benefícios a certificação oferece ao profissional de TI?

6.1. Melhor conscientização sobre a segurança da informação;

6.2. Melhor controle de ativos e informações sensíveis;

6.3. Oferece uma abordagem para implantação de políticas de controle;

6.4. Oportunidade de identificar e corrigir pontos fracos;

6.5. Redução do risco de responsabilidade pela não implementação de um SGSI ou determinação de políticas e procedimentos;

6.6. Torna-se um diferencial competitivo para a conquista de clientes que valorizam a certificação;

6.7. Melhor organização com processos e mecanismos bem desenhados e geridos;

6.8. Promove redução de custos com a prevenção de incidentes de segurança da informação;

6.9. Conformidade com a legislação e outras regulamentações.

7. Como tirar a certificação ISO 27002?

7.1. Possuir um certificado assegura que aquela empresa é responsável e possui qualidade em tudo o que oferece, sejam serviços ou produtos. Para isso, é possível que o candidato realize a prova EXIN ISO 27002 que, por sinal, é a única norma de gestão de segurança da informação que possui certificações para profissionais.

8. Referências Bibliográficas

8.1. ABNT - Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27002 - Tecnologia da Informação - Técnicas de Segurança - Código de prática para a gestão da informação. ABNT, 2007.

8.2. ISO 27002: Qual Sua Função e Como Obter a Certificação?