Olá, pessoal. Tudo certo? No artigo de hoje veremos o Resumo da ISO 27001:2013, norma que trata do Sistema de Gestão de Segurança da Informação (SGSI).
Conforme a própria ABNT, esta Norma especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação dentro do contexto da organização.
Também inclui requisitos para a avaliação e tratamento de riscos de segurança da informação voltados para as necessidades da organização.
Vamos conhecer os principais pontos.
Para iniciar o Resumo da ISO 27001:2013, vejamos sobre o objetivo da norma e os requisitos.
O SGSI busca preservar a confidencialidade, integridade e disponibilidade da informação por meio da aplicação de um processo de gestão de riscos e fornece confiança para as partes interessadas (partes internas e externas).
A norma apresenta diversas definições, foquemos nas que podem causar algum tipo de confusão.
Ação corretiva: Ação para eliminar a causa de uma não conformidade e para prevenir a recorrência.
Ameaça: Causa potencial de um incidente indesejado, que pode resultar em danos a um sistema ou organização.
Evento de segurança da informação: Identifica uma possível violação da política de segurança da informação
Incidente de segurança da informação: Eventos de segurança da informação indesejados ou inesperados que têm uma probabilidade significativa de comprometer as operações.
Sobre riscos:
Risco: Efeito da incerteza sobre os objetivos.
Risco residual: Risco remanescente após o tratamento de risco.
Aceitação do risco: Decisão informada de assumir um risco específico
Análise de risco: Processo para compreender a natureza do risco e para determinar o nível de risco
Avaliação (assessment) de risco: Processo geral de identificação de risco, análise de risco e avaliação de risco.
Avaliação (evaluation) de risco: Processo de comparação dos resultados da análise de risco com os critérios
Requisito: Necessidade ou expectativa declarada, geralmente implícita ou obrigatória.
Os requisitos do SGSI conforme a ISO 27001:2013 estão separados em 7 seções, vamos conhecê-las.
Dando continuidade ao Resumo da ISO 27001:2013, vejamos sobre os Controles e objetivos de controles.
Basicamente, o anexo A apresenta os controles e objetivos de controles em seções 5 a 18, assim vamos conhecê-los de forma esquematizada.
Obs.: O custo-benefício de tentar decorar todos os itens é péssimo, busque entender a estrutura geral, nesse sentido teceremos apenas comentários em alguns itens.
A.5 Políticas de segurança da informação
A.5.1 Orientação da direção para segurança da informação
A.5.1.1 Políticas para segurança da informação
A.5.1.2 Análise crítica das políticas para segurança da informação
A.6 Organização da segurança da informação
A.6.1 Organização interna
A.6.1.1 Responsabilidades e papéis pela segurança da informação
A.6.1.2 Segregação de funções
A.6.1.3 Contato com autoridades
A.6.1.4 Contato com grupos especiais Ex. associações profissionais ou outros fóruns especializados em segurança da informação devem ser mantidos.
A.6.1.5 Segurança da informação no gerenciamento de projetos
A.6.2 Dispositivos móveis e trabalho remoto
A.6.2.1 Política para o uso de dispositivo móvel
A.6.2.2 Trabalho remoto
A.7 Segurança em recursos humanos
A.7.1 Antes da contratação: Assegurar que funcionários e partes externas entendem as suas responsabilidades e estão em conformidade com os papéis para os quais eles foram selecionados.
A.7.1.1 Seleção
A.7.1.2 Termos e condições de contratação
A.7.2 Durante a contratação: Assegurar que os funcionários e partes externas estão conscientes e cumprem as suas responsabilidades pela segurança da informação.
A.7.2.1 Responsabilidades da direção
A.7.2.2 Conscientização, educação e treinamento em segurança da informação
A.7.2.3 Processo disciplinar
A.7.3 Encerramento e mudança da contratação: Proteger os interesses da organização como parte do processo de mudança ou encerramento da contratação
A.7.3.1 Responsabilidades pelo encerramento ou mudança da contratação
A.8 Gestão de ativos
A.8.1. Responsabilidade pelos ativos
A.8.1.1 Inventário dos ativos
A.8.1.2 Proprietário dos ativos
A.8.1.3 Uso aceitável dos ativos
A.8.1.4 Devolução de ativos
A.8.2 Classificação da informação: Assegurar que a informação receba um nível adequado de proteção, de acordo com a sua importância para a organização.
A.8.2.1 Classificação da informação
A.8.2.2 Rótulos e tratamento da informação
A.8.2.3 Tratamento dos ativos: Procedimentos para o tratamento dos ativos devem ser desenvolvidos e implementados de acordo com o esquema de classificação da informação adotada pela organização.
A.8.3 Tratamento de mídias: Prevenir a divulgação não autorizada, modificação, remoção ou destruição da informação armazenada nas mídias.
A.8.3.1 Gerenciamento de mídias removíveis
A.8.3.2 Descarte de mídias
A.8.3.3 Transferência física de mídias
A.9 Controle de acesso
A.9.1 Requisitos do negócio para controle de acesso: Limitar o acesso à informação e aos recursos de processamento da informação.
A.9.1.1 Política de controle de acesso
A.9.1.2 Acesso às redes e aos serviços de rede
A.9.2 Gerenciamento de acesso do usuário: Assegurar acesso de usuário autorizado e prevenir acesso não autorizado a sistemas e serviços.
A.9.2.1 Registro e cancelamento de usuário
A.9.2.2 Provisionamento para acesso de usuário
A.9.2.3 Gerenciamento de direitos de acesso privilegiados:
A.9.2.4 Gerenciamento da informação de autenticação secreta de usuários
A.9.2.5 Análise crítica dos direitos de acesso de usuário
A.9.2.6 Retirada ou ajuste de direitos de acesso:
A.9.3 Responsabilidades dos usuários: Tornar os usuários responsáveis pela proteção das suas informações de autenticação.
A.9.3.1 Uso da informação de autenticação secreta
A.9.4 Controle de acesso ao sistema e à aplicação
A.9.4.1 Restrição de acesso à informação
A.9.4.2 Procedimentos seguros de entrada no sistema (logon)
A.9.4.3 Sistema de gerenciamento de senha
A.9.4.4 Uso de programas utilitários privilegiados: O uso de programas utilitários que podem ser capazes de sobrepor os controles dos sistemas e aplicações deve ser restrito e estritamente controlado.
A.9.4.5 Controle de acesso ao código-fonte de programas
A.10 Criptografia
A.10.1 Controles criptográficos
A.10.1.1 Política para o uso de controles criptográficos
A.10.1.2 Gerenciamento de chaves
A.11 Segurança física e do ambiente
A.11.1 Áreas seguras
A.11.1.1 Perímetro de segurança física
A.11.1.2 Controles de entrada física
A.11.1.3 Segurança em escritórios, salas e instalações
A.11.1.4 Proteção contra ameaças externas e do meio ambiente
A.11.1.5 Trabalhando em áreas seguras
A.11.1.6 Áreas de entrega e de carregamento
A.11.2 Equipamentos: Impedir perdas, danos, furto ou roubo, ou comprometimento de ativos e interrupção das operações da organização.
A.11.2.1 Escolha de local e proteção do equipamento
A.11.2.2 Utilidades: Os equipamentos devem ser protegidos contra falta de energia elétrica e outras interrupções causadas por falhas das utilidades.
A.11.2.3 Segurança do cabeamento
A.11.2.4 Manutenção dos equipamentos
A.11.2.5 Remoção de ativos
A.11.2.6 Segurança de equipamentos e ativos fora das dependências da organização
A.11.2.7 Reutilização e alienação seguras de equipamentos
A.11.2.8 Equipamento de usuário sem monitoração
A.11.2.9 Política de mesa limpa e tela limpa: Deve ser adotada uma política de mesa limpa de papéis e mídias de armazenamento removíveis e uma política de tela limpa para os recursos de processamento da informação.
A.12 Segurança nas operações
A.12.1 Responsabilidades e procedimentos operacionais
A.12.1.1 Documentação dos procedimentos de operação
A.12.1.2 Gestão de mudanças
A.12.1.3 Gestão de capacidade: projeções devem ser feitas para necessidades de capacidade futura para garantir o desempenho requerido do sistema.
A.12.1.4 Separação dos ambientes de desenvolvimento, teste e de produção:
A.12.2 Proteção contra malware
A.12.2.1 Controles contra malware
A.12.3 Cópias de segurança
A.12.3.1 Cópias de segurança das informações
A.12.4 Registros e monitoramento
A.12.4.1 Registros de eventos
A.12.4.2 Proteção das informações dos registros de eventos (logs)
A.12.4.3 Registros de eventos (log) de Administrador e Operador.
A.12.4.4 Sincronização dos relógios: As atividades dos administradores e operadores do sistema devem ser registradas e os registros (logs) devem ser protegidos e analisados criticamente, a intervalos regulares.
A.12.5 Controle de software operacional
A.12.5.1 Instalação de software nos sistemas operacionais
12.6 Gestão de vulnerabilidades técnicas
A.12.6.1 Gestão de vulnerabilidades técnicas
A.12.6.2 Restrições quanto à instalação de software
A.12.7 Considerações quanto à auditoria de sistemas de informação
A.12.7.1 Controles de auditoria de sistemas de informação
A.13 Segurança nas comunicações
A.13.1 Gerenciamento da segurança em redes
A.13.1.1 Controles de redes
A.13.1.2 Segurança dos serviços de rede
A.13.1.3 Segregação de redes
A.13.2 Transferência de informação
A.13.2.1 Políticas e procedimentos para transferência de informações
A.13.2.2 Acordos para transferência de informações
A.13.2.3 Mensagens eletrônicas
A.13.2.4 Acordos de confidencialidade e não divulgação
A.14 Aquisição, desenvolvimento e manutenção de sistemas
A.14.1 Requisitos de segurança de sistemas de informação
A.14.1.1 Análise e especificação dos requisitos de segurança da informação
A.14.1.2 Serviços de aplicação seguros sobre redes públicas
A.14.1.3 Protegendo as transações nos aplicativos de serviços
A.14.2 Segurança em processos de desenvolvimento e de suporte: Garantir que a segurança da informação está projetada e implementada no ciclo de vida de desenvolvimento dos sistemas de informação. -> Relacionado a desenvolvimento, mudança e testes.
A.14.2.1 Política de desenvolvimento seguro
A.14.2.2 Procedimentos para controle de mudanças de sistemas
A.14.2.3 Análise crítica técnica das aplicações após mudanças nas plataformas operacionais
A.14.2.4 Restrições sobre mudanças em pacotes de Software
A.14.2.5 Princípios para projetar sistemas seguros
A.14.2.6 Ambiente seguro para desenvolvimento
A.14.2.7 Desenvolvimento terceirizado
A.14.2.8 Teste de segurança do sistema
A.14.2.9 Teste de aceitação de sistemas
A.14.3 Dados para teste: Assegurar a proteção dos dados usados para teste.
A.14.3.1 Proteção dos dados para teste
A.15 Relacionamento na cadeia de suprimento
A.15.1 Segurança da informação na cadeia de suprimento: Garantir a proteção dos ativos da organização que são acessíveis pelos fornecedores.
A.15.1.1 Política de segurança da informação no relacionamento com os fornecedores
A.15.1.2 Identificando segurança da informação nos acordos com fornecedores
A.15.1.3 Cadeia de suprimento na tecnologia da comunicação e informação
A.15.2 Gerenciamento da entrega do serviço do fornecedor: Manter um nível acordado de segurança da informação e de entrega de serviços em consonância com os acordos com fornecedores.
A.15.2.1 Monitoramento e análise crítica de serviços com fornecedores
A.15.2.2 Gerenciamento de mudanças para serviços com fornecedores
A.16 Gestão de incidentes de segurança da informação
A.16.1 Gestão de incidentes de segurança da informação e melhorias: Assegurar um enfoque consistente e efetivo para gerenciar os incidentes de segurança da informação, incluindo a comunicação sobre fragilidades e eventos de segurança da informação.
A.16.1.1 Responsabilidades e procedimentos
A.16.1.2 Notificação de eventos de segurança da informação
A.16.1.3 Notificando fragilidades de segurança da informação
A.16.1.4 Avaliação e decisão dos eventos de segurança da informação
A.16.1.5 Resposta aos incidentes de segurança da informação
A.16.1.6 Aprendendo com os incidentes de segurança da informação
A.16.1.7 Coleta de evidências
A.17 Aspectos da segurança da informação na gestão da continuidade do negócio
A.17.1 Continuidade da segurança da informação
A.17.1.1 Planejando a continuidade da segurança da informação
A.17.1.2 Implementando a continuidade da segurança da informação
A.17.1.3 Verificação, análise crítica e avaliação da continuidade da segurança da informação
A.17.2 Redundâncias -> redundância faz com que não pare (continuidade)
A.17.2.1 Disponibilidade dos recursos de processamento da informação
Para finalizar a última sessão do Resumo da ISO 27001:2013, vejamos sobre a conformidade.
A.18 Conformidade
A.18.1 Conformidade com requisitos legais e contratuais
A.18.1.1 Identificação da legislação aplicável e de requisitos contratuais
A.18.1.2 Direitos de propriedade intelectual
A.18.1.3 Proteção de registros
A.18.1.4 Proteção e privacidade de informações de identificação de pessoal
A.18.1.5 Regulamentação de controles de criptografia
A.18.2 Análise crítica da segurança da informação
A.18.2.1 Análise crítica independente da segurança da informação
A.18.2.2 Conformidade com as políticas e normas de segurança da informação: Os gestores devem analisar criticamente a conformidade dos procedimentos.
A.18.2.3 Análise crítica da conformidade técnica
Pessoal, chegamos ao final do artigo sobre o Resumo da ISO 27001:2013. Espero que tenham gostado.
Ainda, segue uma lista de exercícios para consolidar o que vimos no Resumo da ISO 27001:2013.
Por fim, não deixe de acompanhar o blog para mais resumos e notícias sobre concurso público.
Prepare-se com o melhor material e com quem mais aprova em Concursos Públicos em todo o país.
Prepare-se com o melhor material e com quem mais aprova em Concursos Públicos em todo o país.
Até mais e bons estudos!