Seminário Anual 2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
August 16, 2016 | Author: Flávio Casado Sabrosa | Category: N/A
Short Description
1 Seminário Anual 2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Seg...
Description
Seminário Anual 2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Sub-título da Apresentação Data
Seminário Anual 2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
NP ISO/IEC 27001:2013 Norma Portuguesa de Segurança de Informação
Paulo Coelho
Secretário Comissão Técnica 163 4 de dezembro de 2013
Primeira norma portuguesa de segurança de informação Primeira norma nacional alinhada com a nova edição da ISO/IEC 27001 Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
2
Porque publicar a ISO/IEC 27001 como NP? Promover a implementação da ISO/IEC 27001 em Portugal o Alguns países com uma forte implementação da ISO/IEC 27001 possuem traduções nacionais (e.g. Japão, Espanha, Brasil)
Disponibilizar uma norma portuguesa que possa ser referenciada em iniciativas de conformidade
Padronizar a terminologia portuguesa de segurança de informação Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
3
Instituições certificadas ISO/IEC 27001 em PT 40 35 30 25 20 15
10 5 0
2006
2007
2008
2009
2011
2010
2012
Fonte: ISO Survey of Management System (2012)
Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
4
Critérios de tradução Na tradução foi empregue, sempre que aplicável, os termos das seguintes Normas Portuguesas:
NP ISO 31000:2012 - Gestão do risco - Princípios e linhas de orientação
NP EN ISO 9001:2008 - Sistema de Gestão da Qualidade NP 3003-8:2003 - Vocabulário - Parte 8: Segurança
Em caso de dúvida foi consultado:
Glossário da Sociedade da Informação, APDSI Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
5
Correspondência entre termos A norma possui um anexo com a correspondência entre os termos em inglês e em português Termo em Inglês
Termo em Português
Authorities
Autoridades competentes
Backup
Salvaguarda
Clear desk
Secretária limpa
Contractor
Prestador de serviço
Fonte
NP 3003-8:2003
Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
6
Publicada em 14 de Outubro de 2013
Disponível no site do IPQ
Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
7
Quais as principais novidades da nova edição?
Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
8
(NP) ISO/IEC 27001
Hhhhh Alinhamento com Anexo SL do ISO/IEC Directives
Cláusulas • Objetivo e campo de aplicação
• Contexto da organização • Liderança • Planeamento • Suporte • Operação
Alinhamento com a (NP) ISO 31000
• Avaliação de desempenho • Melhoria
Controlos Simplificação nos controlos
• Novos domínios • Criptografia • Segurança de operações • Segurança de comunicações • Relações com fornecedores • Novos controlos
Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
9
Alteração nas cláusulas
Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
10
4. Contexto da organização Variaveis externas Ambiente regulamentar
Requisitos de segurança Partes interessadas (e.g. Clientes, Reguladores)
Contexto da organização
Capacidade de atingir objectivos de segurança
Variaveis internas Postura face ao risco Processos
Identificar todas as partes interessadas e os seus requisitos de segurança
Analisar os condicionalismos que influenciam a capacidade de protecção da organização Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
11
4. Contexto da organização Entidades Terceiras Organização
Para delimitar o âmbito do sistema de gestão é necessário atender a:
Requisitos das partes interessadas Âmbito SGSI
Características da organização e o seu contexto
Interfaces e dependências entre as atividades desempenhadas pela organização, e aquelas que são desempenhadas por outras organizações Adicionalmente é necessário identificar os processos subcontratados Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
12
5. Liderança Papel da gestão de topo Versão 2005
Aprovar politíca do SGSI Aprovar riscos residuais Authorizar implementar e operar o SGSI
Determinar se as actividades de segurança estão a ser realizadas conforme definido
Versão 2013
A gestão de topo deve:
demonstrar liderança e comprometimento para com o sistema de gestão de segurança
apoiando outras funções de gestão relevantes
A gestão de topo passa a ter um maior papel de governança, de criar condições para a gestão de segurança
Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
13
5. Liderança Política de segurança de informação:
Política de segurança da informação
Substitui a “Politica do SGSI” Deixa de ser necessário incluir o alinhamento com a gestão de risco
Objetivos de segurança devem ser compatíveis com o propósito de negócio da organização
Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
14
6.1.2 Avaliação do risco de segurança da informação Versão 2005
Versão 2013
Ameaças
Riscos Vulnerabilidade
Ativos
Impacto na Confidencialidade, Integridade e Disponibilidade
Impacto na Confidencialidade, Integridade e Disponibilidade
Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
15
6.1.2 Avaliação do risco de segurança da informação Fase
Alteração
Identificação de riscos
Eliminação de referência à ameaças, vulnerabilidades e ativos Basta identificar riscos relacionados com perdas de confidencialidade, integridade e disponibilidade
Ownership do risco
O asset owner deixa de intervir na gestão do risco. É o responsável pelos riscos que aprova o plano de tratamento do risco e aceita os riscos residuais
Tratamento do risco
Não se enuncia as várias opções de tratamento (e.g. mitigação, transferência)
Selecção de controlos
Pode-se usar qualquer referencial, interno ou externo, desde que se mapeia os controlos com o Anexo A da norma
Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
16
6.2 Objetivos de segurança da informação e planeamento para os alcançar A organização deve elaborar planos para concretizar os objetivos de segurança que definiu Objetivos de segurança devem ser:
Mensuráveis (se exequível) Considerar requisitos de segurança e resultados da avaliação do risco Serem atualizados (regularmente) Possui o seguinte detalhe: Atividades
Recursos
Responsável
Datas
Como os resultados serão avaliados
Planos de acção para concretizar objectivos Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
17
9. Avaliação de desempenho Avaliação de desempenho
Monitorização, medição, análise e avaliação
Auditoria interna
Revisão pela gestão
A monitorização deve incluir: Objecto
Recolha
Análise
• Processos de segurança • Controlos de segurança
Métodos e frequência de recolha de dados
Frequência e quem analisa os dados recolhidos
Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
18
10. Melhoria Versão 2005
Acções corretivas
Acções preventivas
Versão 2013
Acções corretivas
Na nova edição, as medidas preventivas são eliminadas, sendo o seu papel desempenhado pelas “oportunidades” para melhoria contínua que são identificadas aquando do planeamento do sistema de gestão de segurança da informação Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
19
Alteração nos controlos
Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
20
Alterações nos controlos
ISO/IEC 27001:2005
11 domínios
133 controlos
ISO/IEC 27001:2013
14 domínios
114 controlos
Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
21
Novos domínios Versão 2013
Versão 2005
A5. Políticas de segurança da informação
A5. Security policy
A6. Organização de segurança da informação
A6. Organization of information security
A7. Segurança na gestão de recursos humanos
A8. Human resources security
A8. Gestão de ativos
A7. Asset management
A9. Controlo de acesso
A.11 Access control
A10. Criptografia A11. Segurança física e ambiental
A.9 Physical and environmental security
A12. Segurança de operações
A.10 Communications and operations managements
A.13 Segurança de comunicações
A.10 Communications and operations management
A14. Aquisição, desenvolvimento e manutenção de sistemas
A.12 Information systems acquisition, development and maintenance
A15. Relações com fornecedores A16. Gestão de incidentes de segurança da informação A17. Aspetos de segurança da informação na gestão da continuidade do negócio A18. Conformidade
A.13 Information security incident management A.14 Business continuity management A.15 Compliance
Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
22
Novos controlos 6.1.5 Segurança da informação na gestão de projeto
9.2.4 Utilização da informação secreta para autenticação
14.2.1 Política de desenvolvimento seguro
14.2.3 Revisão técnica de aplicações após alterações na plataforma de produção
14.2.5 Princípios de engenharia de sistemas seguros
14.2.6 Ambiente de desenvolvimento seguro
14.2.7 Desenvolvimento subcontratado
15.1.1 Política de segurança da informação para as relações com fornecedores
15.1.3 Cadeia de fornecimento de tecnologias de informação e comunicação
16.1.5 Resposta a incidentes de segurança da informação
17.1.2 Implementação da continuidade de segurança da informação
17.2.1 Disponibilidade dos recursos de processamento da informação
Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
23
Conclusões A NP ISO/IEC 27001 assegura:
Maior alinhamento com outras normas de sistemas de gestão (e.g. ISO 9001)
Maior flexibilidade na gestão do risco Uma lista de controlos mais concisa, mais ajustada aos desafios atuais
Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
24
Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
25
View more...
Comments