Issuu on Google+

Conhecendo a ABNT NBR ISO/IEC 27001 Por Aléxia Lage de Faria – 24 de outubro de 2010

SEÇÃO 0 - INTRODUÇÃO A norma sugere a adoção de uma abordagem de processo para um SGSI, ou seja, que a organização deve identificar e gerenciar os processos envolvidos em um Sistema de Gestão de Segurança da Informação, bem como reconhecer suas interações. Além disso, a ABNT NBR ISO/IEC 27001 também adota o ciclo denominado PDCA (Plan, Do, Check, Act) para estruturar todos os processos envolvidos em um SGSI. O PDCA é uma ferramenta gerencial que possibilita a melhoria contínua de processos e a solução de problemas. A ABNT NBR ISO/IEC 27001 – Sistemas de gestão de segurança da informação Requisitos especifica requisitos para um Sistema de Gestão de Segurança da Informação (SGSI). E o que é um SGSI? É um sistema de gestão desenvolvido para a segurança da informação de uma organização, baseado em uma abordagem de riscos do negócio. O documento da norma é estruturado em oito seções. As seções 0 a 3 referem-se à Introdução, Objetivo, Referência Normativa e Termos e Definições. Já os requisitos propriamente ditos se localizam nas seções 4 a 8. Para facilitar o entendimento, serão apresentadas primeiramente as seções 0 a 2. A seção 3 referente aos Termos e Definições não será abordada. Apenas quando se fizer necessário, um ou outro termo será aqui esclarecido.

Figura 1 – Ciclo PDCA aplicado aos processos de um Sistema de Gestão de Segurança da Informação. Fonte: ABNT, 2006, p. v.

Na fase Plan, devem ser estabelecidos a política, os objetivos, os processos e os procedimentos de um Sistema de Gestão de Segurança da Informação. Na etapa Do, a política, os controles, os processos e os procedimentos do sistema são implementados e entram em operação. Na fase Check, o SGSI é monitorado e avaliado (com medição de desempenho, quando aplicável) e seus resultados são apresentados para a direção para que sejam analisados criticamente. Por fim, na fase Act, as ações corretivas e preventivas identificadas em auditorias, em análise crítica da direção ou por qualquer outra forma pertinente, são implementadas. Ressalta-se que a ABNT NBR ISO/IEC 27001 está alinhada às normas ABNT NBR ISO 9001:2000 e ABNT NBR ISO 14001:2004, de forma a permitir que seja compatível com outros sistemas de gestão.

FARIA, Aléxia Lage de. Conhecendo a ABNT NBR ISO/IEC 27001 – Parte 1. Belo Horizonte, Blog QualIT News, 2010. Disponível em: <http://qualitnews.blogspot.com/2010/10/conhecendo-abnt-nbrisoiec-27001-parte.html>. Acesso em: 24 out. 2010.

Página | 1


Conhecendo a ABNT NBR ISO/IEC 27001 Por Aléxia Lage de Faria – 24 de outubro de 2010

SEÇÃO 1 - OBJETIVO A ABNT NBR ISO/IEC 27001 tem como objetivo especificar requisitos para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação (SGSI). Os requisitos são genéricos de maneira a permitir que sejam aplicáveis a quaisquer organizações, independentemente do tipo, tamanho e natureza. É importante salientar que não é aceitável que uma organização que pretenda estar conforme a norma exclua quaisquer requisitos descritos nas seções 4 a 8. Porém, é observado que: “Qualquer exclusão de controles considerada necessária para satisfazer aos critérios de aceitação de riscos precisa ser justificada e as evidências de que os riscos associados foram aceitos pelas pessoas responsáveis precisam ser fornecidas. Onde quaisquer controles forem excluídos, reivindicações de conformidade a esta Norma não são aceitáveis, a menos que tais exclusões não afetem a capacidade da organização, e/ou responsabilidade de prover segurança da informação que atenda os requisitos de segurança determinados pela análise/avaliação de riscos e por requisitos legais e regulamentares aplicáveis (ABNT, 2006, p. 2).”

SEÇÃO 2 – REFERÊNCIA NORMATIVA A norma ABNT NBR ISO/IEC 17799:2005 é referenciada como indispensável para a aplicação da norma ABNT NBR ISO/IEC 27001. Contudo, a ABNT NBR ISO/IEC 17799:2005 foi cancelada e substituída pela ABNT NBR ISO/IEC 27002. Você pode saber um pouco mais sobre essa norma em Conheça a NBR ISO/IEC 27002 – Parte 1

SEÇÃO 3 REFERENTE AOS TERMOS E DEFINIÇÕES Como dito anteriormente, não será aqui abordada.

SEÇÃO 4 – SISTEMA DE GESTÃO DE SEGURANÇA DA INFORMAÇÃO Conforme visto anteriormente, a norma adota o ciclo PDCA (Plan, Do, Check, Act) para estruturar todos os processos envolvidos em um Sistema de Gestão de Segurança da Informação (SGSI). Cada uma dessas fases será apresentada a seguir.

FARIA, Aléxia Lage de. Conhecendo a ABNT NBR ISO/IEC 27001 – Parte 1. Belo Horizonte, Blog QualIT News, 2010. Disponível em: <http://qualitnews.blogspot.com/2010/10/conhecendo-abnt-nbrisoiec-27001-parte.html>. Acesso em: 24 out. 2010.

Página | 2


Conhecendo a ABNT NBR ISO/IEC 27001 Por Aléxia Lage de Faria – 24 de outubro de 2010

ESTABELECER SGSI (PLAN) Esta fase compreende toda a preparação necessária para a implementação do SGSI na organização, a qual deve: 

Definir o escopo (abrangência) do SGSI considerando-se características do negócio, a organização, sua localização, ativos e tecnologia. Exclusões de escopo deverão ser justificadas, se houver;

Definir uma Política de SGSI aprovada pela direção, que contenha princípios para ações relacionadas à Segurança da Informação;

Definir uma metodologia para identificação, análise e avaliação de riscos, bem como a definição de opções de tratamento desses riscos que seja adequada ao SGSI e aos requisitos identificados para o negócio, contendo identificação de ativos, ameaças, vulnerabilidades e impactos desses riscos aos ativos, critérios e níveis para aceitação de riscos, considerando-se os impactos para o negócio, a avaliação da probabilidade real da ocorrência, a estimativa de níveis de riscos e se esses riscos serão aceitos ou se será necessário tratá-los.

Selecionar objetivos de controle e quais controles serão utilizados para tratar os riscos. Esta norma sugere como ponto de partida controles derivados da norma ABNT NBR ISO/IEC 27002, que são apresentados no Anexo A da norma 27001;

Obter aprovação da direção dos riscos residuais propostos, bem como da autorização para implementar e operar o SGSI;

Preparar a Declaração de Aplicabilidade, que fornece um resumo das decisões relativas ao tratamento de riscos (lista dos objetivos de controle e controles selecionados e atualmente implementados, bem como quaisquer um deles que tenha sido excluído, devidamente justificado).

IMPLEMENTAR E OPERAR SGSI (DO) Esta fase compreende o funcionamento do SGSI na organização, a qual deve: 

Elaborar e implementar um plano de tratamento de riscos, identificando ação apropriada, recursos, responsabilidades e prioridades para a gestão de riscos de segurança;

Implementar controles selecionados anteriormente para atender aos objetivos de controle;

Definir a medição da eficácia dos controles, bem como as medidas que devem ser utilizadas para avaliação da eficácia;

FARIA, Aléxia Lage de. Conhecendo a ABNT NBR ISO/IEC 27001 – Parte 1. Belo Horizonte, Blog QualIT News, 2010. Disponível em: <http://qualitnews.blogspot.com/2010/10/conhecendo-abnt-nbrisoiec-27001-parte.html>. Acesso em: 24 out. 2010.

Página | 3


Conhecendo a ABNT NBR ISO/IEC 27001 Por Aléxia Lage de Faria – 24 de outubro de 2010

Implementar programas de conscientização e treinamento;

Gerenciar operações e recursos para o SGSI;

Implementar procedimentos e outros controles para detectar e responder prontamente a incidentes de segurança da informação.

MONITORAR E ANALISAR CRITICAMENTE SGSI (CHECK) 

É através desta fase que são verificados o desempenho e a eficácia do SGSI na organização, a qual deve:

Executar procedimentos de monitoração e análise crítica para detectar erros, tentativas, violações de segurança e incidentes prontamente; possibilitar à direção verificar se as atividades designadas a pessoas ou implementadas via tecnologia são executadas conforme esperado e verificar se as ações tomadas para solucionar violações foram eficazes;

Realizar regularmente análises críticas da eficácia do SGSI, considerando-se resultados das auditorias de SGSI, incidentes, resultados das medições de eficácia, sugestões, etc.;

Medir a eficácia dos controles;

Realizar análise crítica periódica das avaliações de riscos para verificar e considerar mudanças ocorridas ao longo do tempo;

Realizar auditorias internas periódicas do SGSI;

Realizar periodicamente a análise crítica do SGSI pela direção;

Atualizar planos de segurança conforme resultados obtidos na monitoração e análise crítica;

Registrar eventos e ações que possam impactar na eficácia ou no desempenho do SGSI.

MANTER E MELHORAR SGSI (ACT) Esta fase foca na manutenção e no aprimoramento contínuo do SGSI da organização, a qual deve: 

Implementar melhorias identificadas no SGSI;

Executar ações preventivas e corretivas aplicando-se as lições aprendidas de outras organizações e/ou advindas da própria experiência organizacional;

Comunicar ações e melhorias para as partes interessadas; FARIA, Aléxia Lage de. Conhecendo a ABNT NBR ISO/IEC 27001 – Parte 1. Belo Horizonte, Blog QualIT News, 2010. Disponível em: <http://qualitnews.blogspot.com/2010/10/conhecendo-abnt-nbrisoiec-27001-parte.html>. Acesso em: 24 out. 2010.

Página | 4


Conhecendo a ABNT NBR ISO/IEC 27001 Por Aléxia Lage de Faria – 24 de outubro de 2010

Garantir que as melhorias realmente estejam atingindo os objetivos pretendidos.

No próximo artigo, serão abordados mais requisitos, tais como documentação, responsabilidades da direção, entre outros.

REQUISITOS DE DOCUMENTAÇÃO Devem estar incluídos na documentação do SGSI as declarações documentadas da política, os objetivos e o escopo do SGSI; os procedimentos documentados e controles, incluindo aqueles relacionados ao planejamento, à operação e ao controle dos processos de segurança da informação; a metodologia descrita para análise e avaliação de riscos e o relatório dessa avaliação; o plano de tratamento de riscos; os registros descritos na norma no item Controle de Registros (descrito mais adiante) e a Declaração de Aplicabilidade. As decisões da Direção também devem ser registradas e os registros dos resultados devem ser reproduzíveis. Também é importante que os controles selecionados sejam relacionados com os resultados da análise e avaliação dos riscos. Segundo a norma, o termo procedimento documentado significa que o procedimento é estabelecido, documentado, implementado e mantido.

CONTROLE DE DOCUMENTOS Um procedimento documentado deve ser estabelecido definindo ações para aprovar e atualizar documentos; assegurar que as alterações e as versões dos documentos sejam identificadas e estejam disponíveis quando necessárias; garantir a legibilidade, a identificação, o armazenamento, o controle da distribuição e o descarte dos documentos; identificar documentos de origem externa e prevenir o uso não intencional de documentos obsoletos.

CONTROLE DE REGISTROS Os registros são elementos utilizados para evidenciar a conformidade aos requisitos e a eficácia da operação de um SGSI. Eles devem ser controlados, sendo identificados, armazenados, protegidos, recuperáveis prontamente e com tempo de retenção definido. Registros do desempenho do processo e de todas as ocorrências de incidentes devem ser mantidos.

FARIA, Aléxia Lage de. Conhecendo a ABNT NBR ISO/IEC 27001 – Parte 1. Belo Horizonte, Blog QualIT News, 2010. Disponível em: <http://qualitnews.blogspot.com/2010/10/conhecendo-abnt-nbrisoiec-27001-parte.html>. Acesso em: 24 out. 2010.

Página | 5


Conhecendo a ABNT NBR ISO/IEC 27001 Por Aléxia Lage de Faria – 24 de outubro de 2010

SEÇÃO 5 - RESPONSABILIDADES DA DIREÇÃO O comprometimento da Direção com o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação deve ser evidenciado através do estabelecimento da política do SGSI; da garantia de que os planos e os objetivos do SGSI são estabelecidos; de que papéis e responsabilidades pela segurança da informação foram estabelecidos; da comunicação com a organização informando a importância do atendimento dos objetivos de segurança da informação; da provisão suficiente de recursos para o SGSI; da definição de critérios para aceitação de riscos e dos níveis de riscos aceitáveis; da garantia da execução das auditorias internas e da realização de análises críticas pela Direção.

GESTÃO DE RECURSOS A organização deve determinar e prover recursos para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação. Ela também deve assegurar que as pessoas têm as competências necessárias para executar atividades relacionadas à segurança da informação, contratando pessoal capacitado ou fornecendo treinamentos, quando necessário. Deve ainda registrar a educação, o treinamento, as habilidades, as experiências e a qualificação do pessoal.

SEÇÃO 6 – AUDITORIAS INTERNAS DO SGSI As auditorias internas devem ser planejadas para determinar se objetivos de controle, os controles, os processos e procedimentos do SGSI atendem à norma, à legislação pertinente, aos requisitos de segurança da informação identificados, se são mantidos e implementados de modo eficaz e, sobretudo, se são executados conforme definidos. Devem ser definidos ainda os critérios de auditoria, escopo, frequência e métodos a serem utilizados, bem como devem ser selecionados auditores que assegurem objetividade e imparcialidade à auditoria. Ressalta-se que as responsabilidades e os requisitos para planejar e executar auditorias, relatar resultados e manter registros devem estar definidos em procedimento documentado.

SEÇÃO 7 – ANÁLISE CRÍTICA DO SGSI PELA DIREÇÃO O SGSI deve ser analisado criticamente pela Direção em intervalos planejados (ao menos uma vez por ano), incluindo a avaliação de oportunidades para melhoria e necessidades de mudança do SGSI. Os resultados dessas análises devem ser documentados e os registros mantidos. A tabela abaixo exibe as FARIA, Aléxia Lage de. Conhecendo a ABNT NBR ISO/IEC 27001 – Parte 1. Belo Horizonte, Blog QualIT News, 2010. Disponível em: <http://qualitnews.blogspot.com/2010/10/conhecendo-abnt-nbrisoiec-27001-parte.html>. Acesso em: 24 out. 2010.

Página | 6


Conhecendo a ABNT NBR ISO/IEC 27001 Por Aléxia Lage de Faria – 24 de outubro de 2010

entradas que devem ser incluídas para realizar a análise crítica, bem como as decisões e ações advindas dessa análise (saídas).

Tabela 1 – Entradas e Saídas da Análise Crítica do SGSI pela Direção. Fonte: ABNT, 2006, p. 11-2.

SEÇÃO 8 – MELHORIA DO SGSI A organização deve continuamente melhorar o SGSI através da política de segurança da informação, dos resultados das auditorias, das análises de eventos monitorados, da análise crítica pela Direção e das ações corretivas e preventivas. Devem existir procedimentos documentados para essas ações, conforme mostrado na tabela abaixo:

Tabela 2 – Requisitos para procedimento documentado de Ação Corretiva e Ação Preventiva. Fonte: ABNT, 2006, p. 12-3. FARIA, Aléxia Lage de. Conhecendo a ABNT NBR ISO/IEC 27001 – Parte 1. Belo Horizonte, Blog QualIT News, 2010. Disponível em: <http://qualitnews.blogspot.com/2010/10/conhecendo-abnt-nbrisoiec-27001-parte.html>. Acesso em: 24 out. 2010.

Página | 7


Conhecendo a ABNT NBR ISO/IEC 27001 Por Aléxia Lage de Faria – 24 de outubro de 2010

CONCLUSÃO Como visto, a norma ABNT NBR ISO/IEC 27001 contempla requisitos para o estabelecimento, implementação, operação, monitoração, análise crítica, manutenção e melhoria de um Sistema de Gestão de Segurança da Informação. Ela foi concebida prevendo sua compatibilidade com as normas ABNT NBR ISO 9001 (ainda que seja relacionada à versão 2000) e à ABNT NBR ISO 14001:2004 (vide Anexo C da norma: Correspondência entre a ABNT NBR ISO 9001:2000 e ABNT NBR ISO 14001:2004 e esta Norma). Portanto, organizações que tiverem seus sistemas de gestão certificados nessas normas poderão alinhar e integrar um SGSI com os requisitos desses sistemas de gestão de forma consistente.

REFERÊNCIA BIBLIOGRÁFICA: ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27001 - Tecnologia da informação - Técnicas de segurança – Sistemas de gestão de segurança da informação - Requisitos. ABNT, 2006.

FARIA, Aléxia Lage de. Conhecendo a ABNT NBR ISO/IEC 27001 – Parte 1. Belo Horizonte, Blog QualIT News, 2010. Disponível em: <http://qualitnews.blogspot.com/2010/10/conhecendo-abnt-nbrisoiec-27001-parte.html>. Acesso em: 24 out. 2010.

Página | 8


Teste