Segurança da Informação - Normas e Padrões

GRADUAÇÃO À DISTÂNCIA ATIVIDADE ACADÊMICA: SEGURANÇA DA INFORMAÇÃO Módulo 4 – Normas e Padrões

NOME: Rodrigo de Araújo Rosa

Data: 30/05/2015

APRENDENDO SOBRE NORMAS E PADRÕES 1) Resumo das normas ISO/IEC, organizadas cronologicamente Ano 1995 1998

Norma/Padrão BS 7799 BS 7799-2

2000

ISO 17799:2000

2000

NBR ISO/IEC 17799:1

2005

ISO/IEC 27001

2005

ISO/IEC 27002

2009

ISO/IEC 27004

2010

ISO/IEC 27003

2011

ISO/IEC 27005

2011

ISO/IEC 27006

2011

ISO/IEC 27007

2011

ISO/IEC 27008

2012

ISO/IEC 27010

2012

ISO/IEC 27015

Objetivo Reunir as melhores práticas para o Gerenciamento da Segurança da Informação. Incluiu a especificação e guia de aplicação na Gestão de Sistemas de Informação. Definir regras, padrões e instrumentos de controle para orientar e criar sinergia entre as empresas que se deparam com o desafio da Gestão da Segurança da Informação. Servir como ponto de partida para gerar recomendações sobre Gestão da Segurança da Informação para uma determinada organização. Foi criada no Brasil pela ABNT após ajustes sugeridos em consultas públicas. Atualmente estas normas são conhecidas por ISO 27001 e 27002. Especificar os requisitos para: estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um Sistema de Gerenciamento de Segurança da Informação. Estabelecer diretrizes e princípios para: iniciar, implementar, manter e melhorar a gestão da Segurança da Informação em uma empresa. Contém as melhores práticas relacionadas a controle de objetivos de segurança, como: políticas de segurança, segurança física e ambiental, controle de acesso, segurança dos recursos humanos, gestão de ativos, conformidade, entre outros. Fornecer um guia propondo o desenvolvimento de métricas e medições para avaliar a efetividade de um Sistema de Gerenciamento de Segurança da Informação. Também serve para sugerir métricas de alinhamento com a ISO 27002. Apresentar os elementos para a elaboração de um plano de implementação de um Sistema de Gerenciamento de Segurança da Informação, que contemple desde a sua construção até a sua execução. Deve seguir os requisitos estabelecidos na ISO 27001. Fornecer diretrizes para a Gestão de Riscos na área de Tecnologia da Informação de uma organização. Deve seguir os requisitos estabelecidos na ISO 27001. Não define metodologia específica para o gerenciamento de riscos, isto permite que a organização defina a metodologia. Especificar requisitos e oferecer um guia para a realização de auditorias e certificações relacionadas a Sistemas de Gestão de Segurança da Informação. Fornecer diretrizes para gestão de um programa de auditoria do Sistema de Gestão de Segurança da Informação. Prover um guia para revisão da implementação e operação dos controles de Segurança da Informação. Também engloba a verificação técnica dos controles de Sistemas de Informação de uma organização, que estejam em conformidade com padrões de segurança. Fornecer diretrizes para implementar gerenciamento de Segurança de Informação em comunidades que compartilham informações. Pode ser aplicada em todas as formas de troca ou compartilhamento de informações confidenciais. Fornecer orientações complementares e controles de Segurança de Informação adicionais aos definidos na ISO 27002. Abordar como iniciar, implementar, manter e melhorar a segurança da informação em organizações que prestam serviços financeiros.

GRADUAÇÃO À DISTÂNCIA ATIVIDADE ACADÊMICA: SEGURANÇA DA INFORMAÇÃO Módulo 4 – Normas e Padrões

1) Resumo dos padrões COBIT e ITIL Padrão

COBIT

ITIL

Características  Framework que propõe como conduzir a gestão e o controle da Tecnologia da Informação (TI);  Orienta o que uma organização deve fazer para ter uma boa Gestão de TI, mas não informa como fazê-lo;  Aproximar a área de TI de uma organização aos objetivos de negócios, ou seja, alinhar ações de TI com objetivos corporativos;  Sua implementação busca a conscientização do valor das ações realizadas pela área de TI por todas as partes envolvidas na gestão corporativa;  Possui 5 princípios: atender às necessidades dos stakeholders, cobrir a empresa de ponta a ponta, aplicar um framework único e integrado, possibilitar uma abordagem holística e separar a governança da gestão;  Envolver os stakeholder no processo de definição da estratégia corporativa, permitindo que estabeleçam os valores desejados;  Estabelecer um modelo em cascata para a definição de objetivos, com as seguintes etapas: direcionamento dos stakeholders, que influenciam nos objetivos estratégicos, que são traduzidos em objetivos da TI e por fim, traduzidos em objetivos dos facilitadores; e  Enumerar as sete categorias de facilitadores em: princípios, políticas e frameworks; processos; estruturas organizacionais; cultura, ética e comportamento; informação; serviços, infraestrutura e aplicações; e pessoas, habilidades e competências.  Melhores práticas dos processos de gestão e suporte dos serviços de TI;  Considera que serviço de TI é formado pela combinação de: tecnologia, pessoas e processos;  Permitir às organizações: prover valor aos clientes; integrar a estratégia de serviços com a de negócio; medir, monitorar e aperfeiçoar os serviços de TI; e gerenciar os investimentos e orçamentos de TI, os riscos, o conhecimento, capacidades e recursos para a prestação eficiente de serviços;  Determina o ciclo de vida dos serviços de TI, com os seguintes estágios: desenho de serviços, transição de serviços, operações de serviços e melhoria contínua dos serviços;

REFERÊNCIAS IGNACZAK, Luciano. Segurança da informação. São Leopoldo: UNISINOS, 2013. MACHADO, Celso Pires. Gestão da tecnologia da informação. São Leopoldo: UNISINOS, 2012.