Estude fácil! Tem muito documento disponível na Docsity
Ganhe pontos ajudando outros esrudantes ou compre um plano Premium
Prepare-se para as provas
Estude fácil! Tem muito documento disponível na Docsity
Prepare-se para as provas com trabalhos de outros alunos como você, aqui na Docsity
Os melhores documentos à venda: Trabalhos de alunos formados
Prepare-se com as videoaulas e exercícios resolvidos criados a partir da grade da sua Universidade
Responda perguntas de provas passadas e avalie sua preparação.
Ganhe pontos para baixar
Ganhe pontos ajudando outros esrudantes ou compre um plano Premium
Comunidade
Peça ajuda à comunidade e tire suas dúvidas relacionadas ao estudo
Descubra as melhores universidades em seu país de acordo com os usuários da Docsity
Guias grátis
Baixe gratuitamente nossos guias de estudo, métodos para diminuir a ansiedade, dicas de TCC preparadas pelos professores da Docsity
Esta norma foi a primeira da série ISO27XXX, a ser publicada pela. International Organization for Standardization. (ISO), em Outubro de 2005.
Tipologia: Notas de estudo
1 / 19
Esta página não é visível na pré-visualização
Não perca as partes importantes!
Trabalho de Segurança da Informação do MCI 2009/ Draft do relatório
Docente: Prof. Tito Vieira
14 de Dezembro de 2009
Resumo
O objectivo deste trabalho consistiu em realizar uma análise da ISO 27001 e para isso revelar a sua estrutura e conteúdo.
Iremos começar por fazer uma apresentação da norma, e das suas componentes, como por exemplos as áreas de controlos e alguns dos seus capítulos. Continuamos com a aplicação da norma, abordamos o ciclo PDCA e a certificação da norma.
E por fim concluímos que esta ISO deve ser usada em organizações com o intuito de preservar e garantir a segurança das suas informações, já que esta é uma norma certificada e com provas dadas de confiança.
Índice de figuras
Figura 1 – Relação ISO 27001 e ISO 27002…………………………………………………………
Figura 2 – Índice ISO 27001………………………………………………………………………...
Figura 3 – Ciclo PDCA……………………………………………………………………………....
Figura 4 – Esquema de acreditação………………………………………………………………….
Abreviaturas
ISMS – Information Security Management System OCDE – Organização para Cooperação e Desenvolvimento Económico
SGSI – Sistema de Gestão de Segurança de Informação
Este trabalho foi realizado no âmbito da disciplina de Segurança de Informação do 1º ano do Mestrado em Ciência da Informação, leccionada pelo Prof. Tito Vieira.
O tema a desenvolver no decorrer deste trabalho é a norma ISO 27001 e a forma como esta se encontra estruturada.
Os motivos que nos levaram a escolher este tema entre tantos outros foi o nosso interesse em particular pela ISO 27001, para além do facto de acharmos que este tema nos enriquecerá como estudantes e nos será muito útil no futuro como profissionais da informação, uma vez que, o crescimento da produção de informação nas organizações as obriga a tomarem medidas mais eficazes, a fim de protegerem os seus conteúdos, sendo necessário recorrerem cada vez mais a normas auxiliares para esse fim.
A importância da segurança da informação é cada vez mais uma área reconhecida como sendo de grande importância na vida de um Serviço de Informação e das organizações em geral.
O trabalho está dividido de forma genérica em dez partes. Iniciando com a introdução, em seguida começamos por apresentar a ISO 27001, e todas as suas características e mais à frente abordaremos outras questões relacionadas com a norma, como por exemplos referência á sua aplicação, ao ciclo PDCA e à certificação da norma. Seguidamente apresentaremos as nossas conclusões relativamente ao trabalho realizado, bem como as referências utilizadas para a elaboração do trabalho.
Existem várias razões para a existência da ISO 27001, entre elas podemos enunciar as seguintes: para alguns sectores, uma área operacional certificada, com ISO 27001 pode tornar-se uma exigência real. para as organizações sujeitas a regulação governamental, a ISO 27001 pode aumentar a eficiência e eliminar a redundância de informação em conformidade com os vários regulamentos de protecção através de uma gestão centralizada. para dados das organizações voltados para o cliente, o uso de uma área operacional certificada da ISO 27001 pode oferecer uma vantagem de marketing. uma área operacional certificada com a ISO 27001 fornece um alto grau de confiança e fiabilidade.
A ISO 27001 é um procedente directo do British Standards Institute (BSI) Information Security Management designada como norma BS 77 99 - 2. A BSI tem sido pró-activa no campo da evolução da Segurança da Informação. Em resposta às procuras da indústria, um grupo de trabalho dedicado à Segurança da Informação foi criado no início dos anos 90, culminando com um “Código de Boas Práticas de Gestão de Segurança da Informação” por volta de 1993. Esse trabalho evoluiu para a primeira versão da norma BS 7799 lançado em 1995. No final da década de 1990, em resposta às exigências da indústria, a BSI formou um programa de acreditação de empresas de auditoria, ou “Organismos de Certificação”, como competente para auditar a BS 7799. Simultaneamente, foi constituído um comité de direcção, culminando com a actualização e liberação da BS 7799 em 1998, 1999, 2000 e, finalmente, em 2002. Por esta altura, a segurança da informação teve um grande impacto nas organizações e começou a tornar-se uma preocupação para os utilizadores de computadores em todo o mundo. Enquanto algumas organizações utilizaram a norma BS 7799, as necessidades foram aumentando, e foi necessário criar um padrão internacionalmente reconhecido de segurança da informação, sob o abrigo de um órgão reconhecido internacionalmente, como a ISO. Esta discussão levou à actualização da BS7799-2, e à publicação da ISO 27001, em Outubro de 2005.
3. ISO 27001 versus ISO 27002
ISO 27001 ISO 27002 Uma norma de auditoria com base em requisitos auditáveis.
Um guia de execução, com base em sugestões de boas práticas. Incide sobre os controlos de gestão que interessam às organizações.
Lista de controlos operacionais que uma organização deve considerar. Usada para auditorias e para certificar Sistemas de gestão de segurança de Informação em organizações.
Usada como meio de avaliação da abrangência dos Programas de Segurança Informática nas organizações.
Figura 1 – Relação ISO 27001 e ISO 27002 (ISO, 2005; CARLSON, 2008)
4. Áreas de Controlo
A ISO 27001 define um sistema de gestão de segurança de informação de acordo com a estrutura organizacional, com as politicas, as actividades de planeamento, as responsabilidades, as práticas, os procedimentos, os processos e os recursos.
Define ainda um ISMS como parte do sistema global de gestão, baseado numa abordagem de risco, para estabelecer, implementar, operar, monitorizar, rever, manter e melhorar a segurança da informação. Essa abrangência faz com que uma norma ISO 27001 potencia a interacção entre os departamentos da empresa e vários programas, tais como:
Figura 2 – Índice da ISO 27001
(ISO, 2005)
Esta área de controlo dá conta a necessidade de estabelecer, implementar, operar monitorar, rever, manter e melhorar um SGSI documentado, incluindo:
Criar e gerir o ISMS - criação e gestão de risco de um processo baseado na: Definição do SGSI, incluindo áreas de actuação e limites; Identificação de activos de risco e metodologias de tratamento Quadro de gestão para definir medição dos objectivos de controlo
Verificação do desempenho do ISMS.
Os requisitos de documentação - a identificação do tipo de documentação necessária para o ISMS, bem como os requisitos para o controlo de ambos os documentos e registos. (ISO, 2005; CARLSON, 2008)
Esta área de controlo aborda as necessidades atribuídas às responsabilidades da gestão do ISMS incluindo: 5.1 Compromisso de Gestão - identificação da gestão e comunicação de objectivos de segurança da informação em termos de tolerância ao risco. 5.2 Resource Management - fornecimento de recursos adequados para atender aos objectivos de controlo definidos e garantir competência na execução dos mesmos. (ISO, 2005; CARLSON, 2008)
Esta área aborda as necessidades de auditorias internas num ISMS incluindo um procedimento de auditoria documentado, critérios de auditorias, frequência de actuação, metodologia e responsabilidades. (ISO, 2005; CARLSON, 2008)
Esta área de aborda a necessidade de participação de gestão e apoio do ISMS, nomeadamente: 7. Geral - revisão periódicas programadas e documentadas do desempenho do ISMS. 7.2 Revisão de entradas - as diversas fontes métricas necessárias para uma análise da gestão global. E por último 7. Revisão de saída - a gestão de vários critérios de revisão e decisão e a necessidade de controlar as alterações resultantes destas decisões de gestão. (ISO, 2005; CARLSON, 2008)
Esta área fala-nos da necessidade da existência de mecanismos para melhorar continuadamente o SGSI incluindo: 8.1 Melhoria contínua - Ferramentas e técnicas para medir e vigiar o desempenho do SGSI. 8.2 A acção correctiva - identificação reactiva e análise de causa de não-conformidades
7. O ciclo PDCA
Sendo fiel às suas origens em Gestão da qualidade, a ISO 27001 aprovou o circuito fechado PDCA, mas conhecido por modelo (Plan – Do – Chech – Act).
O modelo PDCA é comum a outros sistemas de gestão, tais como as definidas dentro ISO (qualidade) e ISO 14001 (Meio Ambiente) e também é compatível com as directrizes da OEDC (?).
Em baixo apresentamos um esquema elucidativo acerca do ciclo PDCA.
Figura 3 – Ciclo PDCA (ISO, 2005; CARLSON, 2008)
8. Certificação da ISO 27001
A ISO em si não participa em actividades de auditoria. No entanto, as suas normas e orientações servem para harmonizar a nível mundial a avaliação de auditorias feitas por independentes.
O modelo de certificação inicia-se com o Conselho Nacional de Acreditação de cada respectivo país. Exemplos são UKAS, no Reino Unido, e RvA na Holanda. Estes respectivos Conselhos Nacional de Acreditação credenciam pessoal individualmente ou empresas como organismos de certificação, autorizados e competentes para auditar.
O organismo de certificação de auditoria de uma organização para a ISO 27001, é susceptível de conduzir a certificação ISO 27001. Uma vez certificado conforme a ISO 27001, o SGSI torna-se registado, e sob a governação de registo. A validade da certificação e do registo está assim a cargo do Conselho nacional de Acreditação de cada país.
O organismo de certificação que emitiu o certificado original de Conformidade e mantém o registo deve aprovar mudanças na infra-estrutura de segurança definido dentro do propósito do registo. Pequenas alterações podem ser apresentadas por escrito, com o fornecimento do avaliador com detalhes suficientes para determinar o impacto. Grandes mudanças podem exigir uma nova auditoria. Visitas periódicas são realizadas anualmente, e uma re-certificação da auditoria é necessária a cada três anos.
Na indústria existe uma certa confusão em relação à abordagem e ao nível de esforço necessário para implementar qualquer Programa de Segurança da Informação. Muitas organizações desejam simplesmente começar com "normas de base" de infra-estruturas de segurança da informação. No entando são incapazes de justificar de imediato o esforço extra necessário para a certificação. Contudo esta base deixa as organizações bem posicionadas para avançar para a verdadeira certificação. (ISO, 2005; CARLSON, 2008)
9. Conclusões e críticas
Após a realização deste trabalho acerca de segurança de informação, podemos extrair as seguintes conclusões: a ISO 27001 é o guia que especifica o que será feito em termos de segurança e da qualidade inerente a um sistema de gestão.
Podemos igualmente dizer que um Programa de Segurança de Informação supervisiona a iniciativa das organizações de protecção de informações, e pode ter responsabilidade sobre várias áreas operacionais.
Embora a ISO 27002, não fosse o objecto de estudo do nosso trabalho, achamos importante referir que é um guia que implementa, e sugere o que deve ser feito com base nas melhores práticas reconhecidas internacionalmente e portanto, como resultado serve como uma excelente base para construir um Programa de Segurança da Informação nas organizações.
Podemos acrescentar que nas organizações as diferentes áreas operacionais podem servir como base para estabelecer o âmbito de certificação de uma ISO 27001.
Há uma procura crescente para a certificação de segurança da informação. Este fenómeno foi impulsionado por vários factores, incluindo: exigências reguladoras que requerem segurança da informação; incentivos de marketing, especialmente no comércio e finanças; os incentivos financeiros, tais como reduções de prémio de seguro.
É necessário ter muito cuidado com a aplicação de medidas de segurança nas organizações que não sejam acreditadas, pois podem criar uma falsa sensação de segurança para as organizações, uma vez que estas pensam que a posse das políticas de "segurança" é tudo o que é necessário.
A implementação de um sistema de segurança de informação, pode utilizar uma ferramenta como ponto de partida da discussão para a questão da segurança, mas, tem de ter em conta o comportamento organizacional para ser bem aplicado a todos os níveis organizacionais, bem como ter em conta o ambiente legal e regulamentar das organizações, reconhecendo a cultura e valores das instituições.
Como resultado da implementação irá produzir os requisitos sobre os riscos que incluem segurança, processos, funções e actividades necessárias para a selecção da norma.
Podemos terminar dizendo que todos estes exemplos representam oportunidades de crescimento e desafios para todos os profissionais e estudantes de segurança da informação, já que esta área se encontra em franca expansão no mercado.
Anexo A - ISO 27001 Overview
