Post on 06-Dec-2015
description
Seminário Anual 2013
A NP ISO/IEC 27001:2013 e a certificação de
Sistemas de Gestão da Segurança de Informação
Sub-título da Apresentação
Data
NP ISO/IEC 27001:2013
Norma Portuguesa de
Segurança de
Informação
Paulo Coelho
4 de dezembro de 2013
Secretário
Comissão Técnica 163
Seminário Anual 2013
A NP ISO/IEC 27001:2013 e a certificação de
Sistemas de Gestão da Segurança de Informação
2Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Primeira norma portuguesa de segurança de informação
Primeira norma nacional alinhada com a nova edição da ISO/IEC 27001
3Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Porque publicar a ISO/IEC 27001 como NP? Promover a implementação da ISO/IEC 27001 em
Portugal
o Alguns países com uma forte implementação da ISO/IEC 27001 possuem traduções nacionais (e.g. Japão, Espanha, Brasil)
Disponibilizar uma norma portuguesa que possa ser referenciada em iniciativas de conformidade
Padronizar a terminologia portuguesa de segurança de informação
4Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Instituições certificadas ISO/IEC 27001 em PT
0
5
10
15
20
25
30
35
40
2006 2007 2008 2009 2010 2011 2012
Fonte: ISO Survey of Management System (2012)
5Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Critérios de tradução
Na tradução foi empregue, sempre que aplicável, os termos
das seguintes Normas Portuguesas:
NP ISO 31000:2012 - Gestão do risco - Princípios e linhas de
orientação
NP EN ISO 9001:2008 - Sistema de Gestão da Qualidade
NP 3003-8:2003 - Vocabulário - Parte 8: Segurança
Em caso de dúvida foi consultado:
Glossário da Sociedade da Informação, APDSI
6Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Correspondência entre termos
A norma possui um anexo com a correspondência entre os
termos em inglês e em português
Termo em Inglês Termo em Português Fonte
Authorities Autoridades competentes
Backup Salvaguarda NP 3003-8:2003
Clear desk Secretária limpa
Contractor Prestador de serviço
7Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Publicada em 14 de
Outubro de 2013
Disponível no site
do IPQ
8Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Quais as principais novidades da nova
edição?
9Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Hhhhh
(NP) ISO/IEC 27001
Cláusulas
• Objetivo e campo de aplicação
• Contexto da organização
• Liderança
• Planeamento
• Suporte
• Operação
• Avaliação de desempenho
• Melhoria
Controlos
• Novos domínios
• Criptografia
• Segurança de operações
• Segurança de comunicações
• Relações com fornecedores
• Novos controlos
Alinhamento com a (NP) ISO 31000
Alinhamento com Anexo SL do ISO/IEC
Directives
Simplificação nos controlos
10Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Alteração nas cláusulas
11Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Variaveis externas
Ambiente regulamentar
Requisitos de
segurançaPartes
interessadas
(e.g. Clientes,
Reguladores)
Contexto da
organizaçãoCapacidade de
atingir objectivos
de segurança
Identificar todas as partes interessadas e os seus requisitos de segurança
Analisar os condicionalismos que influenciam a capacidade de protecção
da organização
4. Contexto da organização
Variaveis internas
Postura face ao risco
Processos
12Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Para delimitar o âmbito do sistema de
gestão é necessário atender a:
Requisitos das partes interessadas
Características da organização e o
seu contexto
Interfaces e dependências entre as
atividades desempenhadas pela
organização, e aquelas que são
desempenhadas por outras
organizações
Adicionalmente é necessário identificar
os processos subcontratados
4. Contexto da organização
Organização
Âmbito SGSI
Entidades Terceiras
13Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
5. Liderança
Versão 2005
Papel da gestão de topo
Versão 2013
Aprovar politíca do SGSI
Aprovar riscos residuais
Authorizar implementar e operar o
SGSI
Determinar se as actividades de
segurança estão a ser realizadas
conforme definido
A gestão de topo deve:
demonstrar liderança e
comprometimento para com o sistema
de gestão de segurança
apoiando outras funções de gestão
relevantes
A gestão de topo passa a ter um maior papel de governança, de criar
condições para a gestão de segurança
14Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
5. Liderança
Política de segurança
da informação
Política de segurança de informação:
Substitui a “Politica do SGSI”
Deixa de ser necessário incluir o alinhamento
com a gestão de risco
Objetivos de segurança devem ser compatíveis
com o propósito de negócio da organização
15Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
6.1.2 Avaliação do risco de segurança da
informação
Versão 2005 Versão 2013
Ativos
Ameaças
VulnerabilidadeRiscos
Impacto na
Confidencialidade,
Integridade e
Disponibilidade
Impacto na
Confidencialidade,
Integridade e
Disponibilidade
16Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
6.1.2 Avaliação do risco de segurança da
informação
Fase Alteração
Identificação de riscos Eliminação de referência à ameaças,
vulnerabilidades e ativos
Basta identificar riscos relacionados com perdas de
confidencialidade, integridade e disponibilidade
Ownership do risco O asset owner deixa de intervir na gestão do risco. É
o responsável pelos riscos que aprova o plano de
tratamento do risco e aceita os riscos residuais
Tratamento do risco Não se enuncia as várias opções de tratamento (e.g.
mitigação, transferência)
Selecção de controlos Pode-se usar qualquer referencial, interno ou
externo, desde que se mapeia os controlos com o
Anexo A da norma
17Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
6.2 Objetivos de segurança da informação e
planeamento para os alcançar
A organização deve elaborar planos para concretizar os objetivos de
segurança que definiu
Objetivos de segurança devem ser:
Mensuráveis (se exequível)
Considerar requisitos de segurança e resultados da avaliação do risco
Serem atualizados (regularmente)
Possui o seguinte detalhe:
Planos de acção para concretizar objectivos
Atividades Recursos Responsável Datas Como os resultados serão avaliados
18Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
9. Avaliação de desempenho
Avaliação de desempenho
Monitorização, medição,
análise e avaliaçãoAuditoria interna Revisão pela gestão
A monitorização deve incluir:
Objecto Recolha Análise
• Processos de segurança
• Controlos de segurança
Métodos e frequência de
recolha de dados
Frequência e quem analisa
os dados recolhidos
19Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
10. Melhoria
Versão 2005 Versão 2013
Acções
corretivas
Acções
corretivas
Acções
preventivas
Na nova edição, as medidas preventivas são eliminadas, sendo o seu papel
desempenhado pelas “oportunidades” para melhoria contínua que são
identificadas aquando do planeamento do sistema de gestão de segurança
da informação
20Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Alteração nos controlos
21Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Alterações nos controlos
ISO/IEC 27001:2005
ISO/IEC 27001:2013 14 domínios
11 domínios
114 controlos
133 controlos
22Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
A5. Políticas de segurança da informação
A6. Organização de segurança da informação
A7. Segurança na gestão de recursos humanos
A8. Gestão de ativos
A9. Controlo de acesso
A10. Criptografia
A11. Segurança física e ambiental
A12. Segurança de operações
A.13 Segurança de comunicações
A14. Aquisição, desenvolvimento e manutenção de
sistemas
A15. Relações com fornecedores
A16. Gestão de incidentes de segurança da
informação
A17. Aspetos de segurança da informação na gestão
da continuidade do negócio
A18. Conformidade
A5. Security policy
A6. Organization of information security
A8. Human resources security
A7. Asset management
A.11 Access control
A.9 Physical and environmental security
A.10 Communications and operations managements
A.10 Communications and operations management
A.12 Information systems acquisition, development and
maintenance
A.13 Information security incident management
A.14 Business continuity management
A.15 Compliance
Versão 2013 Versão 2005
Novos domínios
23Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
6.1.5
Segurança da
informação na gestão
de projeto
9.2.4
Utilização da informação
secreta para
autenticação
14.2.1
Política de
desenvolvimento seguro
14.2.3
Revisão técnica de
aplicações após
alterações na
plataforma de produção
14.2.5
Princípios de
engenharia de sistemas
seguros
14.2.6
Ambiente de
desenvolvimento seguro
14.2.7
Desenvolvimento
subcontratado
15.1.1
Política de segurança
da informação
para as relações com
fornecedores
15.1.3
Cadeia de fornecimento
de tecnologias
de informação e
comunicação
16.1.5
Resposta a incidentes
de segurança da
informação
17.1.2
Implementação da
continuidade de
segurança da
informação
17.2.1
Disponibilidade dos
recursos de
processamento da
informação
Novos controlos
24Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação
Conclusões
A NP ISO/IEC 27001 assegura:
Maior alinhamento com outras normas de sistemas de gestão
(e.g. ISO 9001)
Maior flexibilidade na gestão do risco
Uma lista de controlos mais concisa, mais ajustada aos desafios
atuais
25Seminário Anual – 04.12.2013A NP ISO/IEC 27001:2013 e a certificação de Sistemas de Gestão da Segurança de Informação