Post on 13-Jun-2015
description
Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste material sem a permissão expressa do autor.
Interpretação da normaNBR ISO/IEC 27001:2006
Curso e- Learning
Sistema deGestão de Segurança da Informação
Módulo 6
Interpretação das cláusulas4.2 a 4.3.3 da NBR ISO/IEC 27001:2005
Estrutura da Norma NBR ISO/IEC 27001:2006
Sistema de Gestão da SI
Melhoria Contínua
Responsabilidade da direção
Auditorias internas
Melhoria do SGSI
Análise crítica do SGSI pela direção
Entradas Saídas
4
6
7
85
RE
QU
ISIT
OS
SE
GU
RA
NÇ
A D
A
INF
OR
MA
ÇÃ
O
4.2 – Estabelecendo e gerenciando o SGSI 4.2.3 – Monitorar e revisar o SGSI
A organização deve:
a) Executar procedimentos de monitoração, análise crítica e outros controles para:
� Prontamente detectar erros nos resultados de processamentos
� Prontamente identificar tentativas e violações de segurança bem sucedidas, e incidentes de segurança da informação
� Permitir à direção determinar se as atividades de segurança da informação delegadas a pessoas ou implementadas por meio de tecnologias de informação são executadas conforme esperado
� Ajudar a detectar eventos de segurança da informação e assim prevenir incidentes pelo uso de indicadores
� Determinar se as ações tomadas para solucionar uma violação de segurança da informação foram eficazes.
b) Realizar análises críticas regulares da eficácia do SGSI (incluindo o atendimento da política e dos objetivos do SGSI, e a análise crítica de controles de segurança), levando em consideração os resultados de auditorias de segurança da informação, incidentes, resultados da eficácia das medições, sugestões e realimentação de todas as partes interessadas.
4.2 – Estabelecendo e gerenciando o SGSI 4.2.3 – Monitorar e revisar o SGSI
Exemplo de análise de dados utilizando o diagrama de Pareto:
Durante a realização do produto ou do serviço, podemos documentar as não-conformidades identificadas (por tipo de NC, por exemplo) e construir uma tabela para determinado período. Com estas informações poderemos construir o diagrama de Pareto como você poderá observar no próximo slide.
4.2 – Estabelecendo e gerenciando o SGSI 4.2.3 – Monitorar e revisar o SGSI
O diagrama de Pareto é uma forma visual para percebermos melhor o impacto de cada problema no processo, e decidir qual não-conformidade vamos tratar, isto é, pesquisar as possíveis causas desta não- conformidade e definir ações para eliminá-las, evitando sua repetição.
Exemplo de análise de dados utilizando o diagrama de Pareto:
4.2 – Estabelecendo e gerenciando o SGSI 4.2.3 – Monitorar e revisar o SGSI
A organização deve:
c) Medir a eficácia dos controles para verificar se os requisitos de SI estão sendo atingidos.
d) Revisar as análises/avaliações de risco a intervalos planejados e analisar criticamente os riscos residuais e os níveis de risco aceitáveis identificados, levando em consideração mudanças relativas a:
1) Organização
2) Tecnologias
3) Objetivos e processos do negócio
4) Ameaças identificadas
5) Eficácia dos controles implementados
6) Eventos externos, tais como mudanças nos ambientes legais ou regulamentares, alterações das obrigações contratuais e mudanças na conjuntura social
Sempre que uma mudança ocorre, poderemos ter alteração dos ativos, das ameaças e das vulnerabilidades, e portanto dos riscos.
4.2 – Estabelecendo e gerenciando o SGSI 4.2.3 – Monitorar e revisar o SGSI
A organização deve:
e) Conduzir auditorias internas a intervalos planejados.
Existem auditorias de primeira parte (internas), de segunda parte(realizadas pelos clientes na organização ou pela organização em seus fornecedores) e de terceira parte (realizadas por organismos independentes como por exemplo uma certificadora).
f) Realizar análises críticas do SGSI pela direção em períodos regulares, para assegurar que o escopo permanece adequado e que são identificadas melhorias nos processos do SGSI.
Estas análises críticas são reuniões com a direção onde diversos temas são discutidos sobre o desempenho do sistema de gestão. A ISO 27001 especifica os temas mínimos a serem discutidos, e diz que como saída deve haver um plano de ação definido.
g) Atualizar planos de segurança da informação para levar em consideração os resultados das atividades de monitoramento e análise crítica.
h) Registrar ações e eventos que poderiam ter impacto no desempenho ou na eficácia do SGSI.
4.2 – Estabelecendo e gerenciando o SGSI/ 4.2.4 – Manter e melhorar o SGSI
A organização deve regularmente:
a) Implementar as melhorias identificadas para o SGSI.
b) Realizar ações corretivas e preventivas apropriadas, e aplicar lições aprendidas com a experiência da própria organização ou de outras.
c) Comunicar as ações e melhorias para as partes interessadas com um nível de detalhe apropriado às circunstâncias e, se relevante, obter a concordância sobre como proceder.
d) Garantir que as melhorias atingem os objetivos determinados.
Exercício
Indique se é verdadeiro ou falso:
1) ( ) Revisar as avaliações de risco a intervalos regulares, os riscos residuais e os níveis de risco aceitáveis devido a alterações na organização é um procedimento obrigatório.
2) ( ) As partes interessadas não necessitam ser obrigatoriamente informadas das melhorias implementadas no SGSI.
3) ( ) As análises críticas do SGSI devem ser realizadas no mínimo anualmente.
4) ( ) Indicadores não são uma boa maneira de prevenir incidentes de segurança.
5) ( ) Os planos de segurança da informação devem ser anualmente atualizados para levar em consideração os resultados das atividades de monitoramento e análise crítica.
6) ( ) A organização deve identificar tentativas e violações de segurança bem sucedidas e incidentes de segurança da informação quando da análise dos relatórios de monitoramento.
7) ( ) Implementar programas de conscientização e treinamento é requisito obrigatório e deve incluir todas as pessoas da organização.
8) ( ) Plano é um documento que diz o que será feito, porque, como, quando, por quem e onde, também conhecido em inglês como 5W1H.
9) ( ) A organização precisa apenas implementar os controles selecionados para atender aos objetivos de controle. Não é necessário que todos os controles indicados pela ISO 27001 sejam implementados.
Respostas
Indique se é verdadeiro ou falso:
1) ( V ) Revisar as avaliações de risco a intervalos regulares, os riscos residuais e os níveis de risco aceitáveis devido a alterações na organização é um procedimento obrigatório.
2) ( F ) As partes interessadas não necessitam ser obrigatoriamente informadas das melhorias implementadas no SGSI.
3) ( F ) As análises críticas do SGSI devem ser realizadas no mínimo anualmente. (devem ser realizadas a intervalos planejados)
4) ( F ) Indicadores não são uma boa maneira de prevenir incidentes de segurança. (indicadores mostram as tendências, portanto orientam aumento ou redução de ocorrências, o que permite ações para prevenir incidentes)
5) ( F ) Os planos de segurança da informação devem ser anualmente atualizados para levar em consideração os resultados das atividades de monitoramento e análise crítica. (devem ser atualizados sempre que necessário)
Respostas
6) ( F ) A organização deve identificar tentativas e violações de segurança bem sucedidas e incidentes de segurança da informação quando da análise dos relatórios de monitoramento. (a organização deve prontamente identificar tentativas de violação e incidentes)
7) ( F ) Implementar programas de conscientização e treinamento é requisito obrigatório e deve incluir todas as pessoas da organização. (deve incluir obrigatoriamente as pessoas que têm responsabilidades atribuídas dentro do SGSI)
8) ( V ) Plano é um documento que diz o que será feito, porque, como, quando, por quem e onde, também conhecido em inglês como 5W1H.
9) ( V ) A organização precisa apenas implementar os controles selecionados para atender aos objetivos de controle. Não é necessário que todos os controles indicados pela ISO 27001 sejam implementados. (mas na declaração de aplicabilidade deve ser justificado quando um controle do Anexo A não for utilizado)
Estrutura da Norma NBR ISO/IEC 27001:2006
Sistema de Gestão da SI
Melhoria Contínua
Responsabilidade da direção
Auditorias internas
Melhoria do SGSI
Análise crítica do SGSI pela direção
Entradas Saídas
4
6
7
85
RE
QU
ISIT
OS
SE
GU
RA
NÇ
A D
A
INF
OR
MA
ÇÃ
O
4.3 – Requisitos de documentação 4.3.1 – Geral
� A documentação deve incluir registros de decisões da direção, assegurar que as ações sejam rastreáveis às políticas e decisões da direção, e assegurar que os resultados registrados sejam reproduzíveis.
As reuniões de análise crítica do sistema devem ser documentadas e o monitoramento deve ser registrado.
� É importante que se possa demonstrar a relação dos controles selecionados com os resultados da análise/avaliação de riscos e do processo de tratamento de riscos, e conseqüentemente com a política e objetivos do SGSI.
Quando elaboramos a matriz de riscos jápodemos indicar os controles e procedimentos relacionados. Isto facilita a demonstração dos controles selecionados com os resultados da análise/avaliação de riscos e do processo de tratamento de riscos.
Extensão da documentação do SGSI
Abrangência e detalhes da documentação depende de:
Tamanho e tipo da
empresa
Complexidade dos serviços, produtos e processos
Requisitos de clientes e regulamentaresCódigos e
normas da indústria
Educação, experiência e treinamento
Estabilidade da força de trabalho
Problemas de segurança no passado
4.3 – Requisitos de documentação 4.3.1 – Geral
A documentação deve incluir:
a) Declarações documentadas das políticas e dos objetivos do SGSI
b) O escopo do SGSI
c) Procedimentos e controles que apóiam o SGSI
d) Uma descrição da metodologia de análise/avaliação de riscos
f) O relatório de análise/avaliação de riscos
g) O plano de tratamento de riscos
h) Procedimentos documentados requeridos pela organização para assegurar o planejamento efetivo, a operação e o controle de seus processos de segurança da informação, e para descrever como medir a eficácia dos controles
i) Registros requeridos pela norma
j) A declaração de aplicabilidade
A documentação deve variar devido ao tamanho da organização, tipo de atividades, escopo e complexidade dos requisitos de segurança e do sistema gerenciado. Quando a norma cita apenas a palavra “procedimento” significa que o procedimento não precisa ser documentado. Se a norma disser “procedimento documentado”significa que o procedimento realmente precisa ser documentado.
4.3 – Requisitos de documentação 4.3.2 – Controle de documentos
Os documentos requeridos pelo SGSI devem ser protegidos e controlados. Um procedimento documentado deve ser estabelecido para definir as ações de gestão necessárias para:
� Aprovar documentos para adequação antes de sua emissão
� Analisar criticamente e atualizar,quando necessário, e reaprovar documentos
� Assegurar que as alterações e a situação da revisão atual dos documentos sejam identificadas
� Assegurar que as versões pertinentes de documentos aplicáveis estejam disponíveis nos locais de uso
� Assegurar que os documentos permaneçam legíveis e prontamente identificáveis
� Assegurar que os documentos estejam disponíveis àqueles que deles precisam e sejam transferidos, armazenados e finalmente descartados conforme os procedimentos aplicáveis à sua classificação
� Assegurar que documentos de origem externa sejam identificados
� Assegurar que a distribuição de documentos seja controlada
� Prevenir o uso não intencional de documentos obsoletos
� Aplicar identificação adequada nos casos em que sejam retidos para qualquer propósito
Exercício
Indique se é verdadeiro ou falso:
1 - ( ) Um documento obsoleto não pode ser mantido disponível no processo.
2 - ( ) Normas não precisam ser controladas.
3 - ( ) Se o profissional de uma área levar em torno de 10 segundos para pegar um documento, podemos dizer que o documento estava disponível.
4 - ( ) Um procedimento necessita de 3 assinaturas para indicar elaboração, revisão e aprovação.
5 - ( ) Instruções de trabalho da produção precisam ficar na produção.
6 - ( ) A organização deve estabelecer um procedimento para controle de documentos, mas ele não precisa ser documentado.
Resposta
1 - ( F ) Um documento obsoleto não pode ser mantido disponível no processo. (é necessário que a documentação esteja claramente identificada)2 - ( F ) Normas não precisam ser controladas.(normas são documentos externos, e quando uma nova versão é emitida a versão anterior deve ser recolhida)3 - ( V ) Se o profissional de uma área levar em torno de 10 segundos para pegar um documento, podemos dizer que o documento estava disponível.(10 segundos é muito rápido, um documento não está disponível quando o profissional da área não consegue localizá-lo)4 - ( F ) Um procedimento necessita de 3 assinaturas para indicar elaboração, revisão e aprovação.(documentos devem ser elaborados, revisados e aprovados, mas pode ser um único profissional a realizar todas estas atividades)5 - ( V ) Instruções de trabalho da produção precisam ficar na produção.(documentos devem ficar disponíveis nos locais de uso)6 - ( F ) A organização deve estabelecer um procedimento para controle de documentos, mas ele não precisa ser documentado.(a norma exige um procedimento documentado)
4.3 – Requisitos de documentação4.3.3 – Controle de registros
� Registros devem ser estabelecidos e mantidos para prover evidência da conformidade aos requisitos e da operação eficaz do SGSI.
� Devem ser considerados quaisquer registros referentes a requisitos legais ou obrigações contratuais.
� Registros devem ser legíveis e prontamente identificáveis e recuperáveis.
� Controles devem ser definidos, documentados e implementados para: identificação, armazenamento, proteção, recuperação, tempo de retenção e disposição.
� Registros devem manter informações sobre o desempenho dos processos e de ocorrências significativas relacionadas ao SGSI.
Exemplo de registro: livros de visitantes, relatórios de auditoria, formulários de autorização de acesso, etc.
Documentação do SGSI
Procedimentos
Instruções de trabalho,listas, formulários
Registros
Manual de segurança
Nível 1
Nível 2
Nível 3
Nível 4 Fornece evidência objetiva da conformidade às exigências do SGSI,
cláusula 4.3.3
Descreve como as tarefas e atividades específicas são feitas
Descreve processos, quem, o que, quando e onde,
cláusula 4.1
Política, escopo, avaliação
de risco, declaração de aplicabilidade
Exercício
Para um registro de acesso determine:
� Como ele pode ser identificado
� Onde ele pode ser armazenado
� Como se garante que está protegido
� Como pode ser recuperado, por exemplo se for necessário apresentá-lo ao cliente
� Por quanto tempo fica retido (guardado)
� Como é descartado
Resposta
Para um registro de acesso podemos usar os seguintes controles:
� Identificação: normalmente é um livro numerado com as páginas numeradas
� Armazenamento: na gaveta da recepção
� Proteção: a gaveta da recepção
� Recuperação: basta solicitar ao recepcionista
� Tempo de retenção: um ano após o término do livro
� Descarte: jogado no lixo comum
Interpretação das cláusulas4.2 a 4.3.3 da NBR ISO/IEC 27001:2005
Fim do módulo 6