Seminário Anual 2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

Seminário Anual 2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

Sub-título da Apresentação Data

Seminário Anual 2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

NP ISO/IEC 27001:2013 Norma Portuguesa de Segurança de Informação

Paulo Coelho

Secretário Comissão Técnica 163 4 de dezembro de 2013

 Primeira norma portuguesa de segurança de informação  Primeira norma nacional alinhada com a nova edição da ISO/IEC 27001 Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

2

Porque publicar a ISO/IEC 27001 como NP?  Promover a implementação da ISO/IEC 27001 em Portugal o Alguns países com uma forte implementação da ISO/IEC 27001 possuem traduções nacionais (e.g. Japão, Espanha, Brasil)

 Disponibilizar uma norma portuguesa que possa ser referenciada em iniciativas de conformidade

 Padronizar a terminologia portuguesa de segurança de informação Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

3

Instituições certificadas ISO/IEC 27001 em PT 40 35 30 25 20 15

10 5 0

2006

2007

2008

2009

2011

2010

2012

Fonte: ISO Survey of Management System (2012)

Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

4

Critérios de tradução Na tradução foi empregue, sempre que aplicável, os termos das seguintes Normas Portuguesas:

 NP ISO 31000:2012 - Gestão do risco - Princípios e linhas de orientação

 NP EN ISO 9001:2008 - Sistema de Gestão da Qualidade  NP 3003-8:2003 - Vocabulário - Parte 8: Segurança

Em caso de dúvida foi consultado:

 Glossário da Sociedade da Informação, APDSI Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

5

Correspondência entre termos A norma possui um anexo com a correspondência entre os termos em inglês e em português Termo em Inglês

Termo em Português

Authorities

Autoridades competentes

Backup

Salvaguarda

Clear desk

Secretária limpa

Contractor

Prestador de serviço

Fonte

NP 3003-8:2003

Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

6

Publicada em 14 de Outubro de 2013

Disponível no site do IPQ

Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

7

Quais as principais novidades da nova edição?

Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

8

(NP) ISO/IEC 27001

Hhhhh Alinhamento com Anexo SL do ISO/IEC Directives

Cláusulas • Objetivo e campo de aplicação

• Contexto da organização • Liderança • Planeamento • Suporte • Operação

Alinhamento com a (NP) ISO 31000

• Avaliação de desempenho • Melhoria

Controlos Simplificação nos controlos

• Novos domínios • Criptografia • Segurança de operações • Segurança de comunicações • Relações com fornecedores • Novos controlos

Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

9

Alteração nas cláusulas

Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

10

4. Contexto da organização Variaveis externas Ambiente regulamentar

Requisitos de segurança Partes interessadas (e.g. Clientes, Reguladores)

Contexto da organização

Capacidade de atingir objectivos de segurança

Variaveis internas Postura face ao risco Processos

 Identificar todas as partes interessadas e os seus requisitos de segurança

 Analisar os condicionalismos que influenciam a capacidade de protecção da organização Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

11

4. Contexto da organização Entidades Terceiras Organização

Para delimitar o âmbito do sistema de gestão é necessário atender a:

 Requisitos das partes interessadas Âmbito SGSI

 Características da organização e o seu contexto

 Interfaces e dependências entre as atividades desempenhadas pela organização, e aquelas que são desempenhadas por outras organizações Adicionalmente é necessário identificar os processos subcontratados Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

12

5. Liderança Papel da gestão de topo Versão 2005

 Aprovar politíca do SGSI  Aprovar riscos residuais  Authorizar implementar e operar o SGSI

 Determinar se as actividades de segurança estão a ser realizadas conforme definido

Versão 2013

A gestão de topo deve:

 demonstrar liderança e comprometimento para com o sistema de gestão de segurança

 apoiando outras funções de gestão relevantes

A gestão de topo passa a ter um maior papel de governança, de criar condições para a gestão de segurança

Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

13

5. Liderança Política de segurança de informação:

Política de segurança da informação

 Substitui a “Politica do SGSI”  Deixa de ser necessário incluir o alinhamento com a gestão de risco

 Objetivos de segurança devem ser compatíveis com o propósito de negócio da organização

Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

14

6.1.2 Avaliação do risco de segurança da informação Versão 2005

Versão 2013

Ameaças

Riscos Vulnerabilidade

Ativos

Impacto na Confidencialidade, Integridade e Disponibilidade

Impacto na Confidencialidade, Integridade e Disponibilidade

Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

15

6.1.2 Avaliação do risco de segurança da informação Fase

Alteração

Identificação de riscos

Eliminação de referência à ameaças, vulnerabilidades e ativos Basta identificar riscos relacionados com perdas de confidencialidade, integridade e disponibilidade

Ownership do risco

O asset owner deixa de intervir na gestão do risco. É o responsável pelos riscos que aprova o plano de tratamento do risco e aceita os riscos residuais

Tratamento do risco

Não se enuncia as várias opções de tratamento (e.g. mitigação, transferência)

Selecção de controlos

Pode-se usar qualquer referencial, interno ou externo, desde que se mapeia os controlos com o Anexo A da norma

Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

16

6.2 Objetivos de segurança da informação e planeamento para os alcançar A organização deve elaborar planos para concretizar os objetivos de segurança que definiu Objetivos de segurança devem ser:

 Mensuráveis (se exequível)  Considerar requisitos de segurança e resultados da avaliação do risco  Serem atualizados (regularmente)  Possui o seguinte detalhe: Atividades

Recursos

Responsável

Datas

Como os resultados serão avaliados

 Planos de acção para concretizar objectivos Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

17

9. Avaliação de desempenho Avaliação de desempenho

Monitorização, medição, análise e avaliação

Auditoria interna

Revisão pela gestão

A monitorização deve incluir: Objecto

Recolha

Análise

• Processos de segurança • Controlos de segurança

Métodos e frequência de recolha de dados

Frequência e quem analisa os dados recolhidos

Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

18

10. Melhoria Versão 2005

Acções corretivas

Acções preventivas

Versão 2013

Acções corretivas

Na nova edição, as medidas preventivas são eliminadas, sendo o seu papel desempenhado pelas “oportunidades” para melhoria contínua que são identificadas aquando do planeamento do sistema de gestão de segurança da informação Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

19

Alteração nos controlos

Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

20

Alterações nos controlos

ISO/IEC 27001:2005

11 domínios

133 controlos

ISO/IEC 27001:2013

14 domínios

114 controlos

Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

21

Novos domínios Versão 2013

Versão 2005

A5. Políticas de segurança da informação

A5. Security policy

A6. Organização de segurança da informação

A6. Organization of information security

A7. Segurança na gestão de recursos humanos

A8. Human resources security

A8. Gestão de ativos

A7. Asset management

A9. Controlo de acesso

A.11 Access control

A10. Criptografia A11. Segurança física e ambiental

A.9 Physical and environmental security

A12. Segurança de operações

A.10 Communications and operations managements

A.13 Segurança de comunicações

A.10 Communications and operations management

A14. Aquisição, desenvolvimento e manutenção de sistemas

A.12 Information systems acquisition, development and maintenance

A15. Relações com fornecedores A16. Gestão de incidentes de segurança da informação A17. Aspetos de segurança da informação na gestão da continuidade do negócio A18. Conformidade

A.13 Information security incident management A.14 Business continuity management A.15 Compliance

Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

22

Novos controlos 6.1.5 Segurança da informação na gestão de projeto

9.2.4 Utilização da informação secreta para autenticação

14.2.1 Política de desenvolvimento seguro

14.2.3 Revisão técnica de aplicações após alterações na plataforma de produção

14.2.5 Princípios de engenharia de sistemas seguros

14.2.6 Ambiente de desenvolvimento seguro

14.2.7 Desenvolvimento subcontratado

15.1.1 Política de segurança da informação para as relações com fornecedores

15.1.3 Cadeia de fornecimento de tecnologias de informação e comunicação

16.1.5 Resposta a incidentes de segurança da informação

17.1.2 Implementação da continuidade de segurança da informação

17.2.1 Disponibilidade dos recursos de processamento da informação

Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

23

Conclusões A NP ISO/IEC 27001 assegura:

 Maior alinhamento com outras normas de sistemas de gestão (e.g. ISO 9001)

 Maior flexibilidade na gestão do risco  Uma lista de controlos mais concisa, mais ajustada aos desafios atuais

Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

24

Seminário Anual – 04.12.2013 A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação

25