Fundamentos básicos da ISO 27001
|
Gestão da segurança da informação↓ Quatro fases do sistema de gestão de segurança da informação↓ |
 |
Gestão da segurança da informação
A ISO 27001 define a organização da segurança da informação em qualquer tipo de organização, com ou sem fins lucrativos, privada ou pública, grande ou pequena. Pode-se dizer que essa norma é o fundamento da gestão de segurança da informação.
A ISO 27001 está para a segurança da informação como a ISO 9001 está para a qualidade; ela é uma norma escrita pelos melhores especialistas de todo o mundo em segurança da informação. Sua finalidade é fornecer uma metodologia para a implementação da segurança da informação em uma organização. Ela também permite que uma organização obtenha a certificação, o que significa que um organismo de certificação independente confirmou que a segurança da informação está sendo implementada da melhor maneira possível na organização.
Em função da importância da ISO 27001, muitas legislaturas adotaram esta norma como base para a elaboração de regulamentações diferentes na área de proteção de dados pessoais, proteção de informações confidenciais, proteção de sistemas de informação, gestão de riscos operacionais em instituições financeiras, etc.
Quatro fases do sistema de gestão de segurança da informação
A ISO 27001 indica como gerir a segurança da informação por meio de um sistema de gestão da segurança da informação. Esse sistema de gestão, assim como a ISO 9001 ou a ISO 14001, é composto por quatro fases que devem ser implementadas continuamente a fim de minimizar os riscos para a confidencialidade, integridade e disponibilidade das informações.
As fases são as seguintes:
- Plan (Planejar) – esta fase serve para planejar a organização básica da segurança da informação, definir objetivos de segurança da informação e escolher os controles de segurança adequados (a norma contém um catálogo com 133 controles possíveis)
- Do (Fazer) – esta fase representa a realização de todo o planejado na fase anterior
- Check (Verificar) – a finalidade desta fase é monitorar o funcionamento do SGSI por meio de diversos "canais" e verificar se os resultados atendem aos objetivos definidos
- Act (Agir) – a finalidade desta fase é aprimorar tudo o que foi identificado como não conforme na fase anterior
O ciclo dessas quatro fases nunca termina e todas as atividades devem ser implementadas em ciclo a fim de manter um SGSI eficaz.
Documentos para a ISO 27001
A ISO 27001 requer os seguintes documentos:
- o objetivo do SGSI
- a política do SGSI
- os procedimentos para controle de documentos, auditorias internas e procedimentos para ações corretivas e preventivas
- todos os outros documentos, dependendo dos controles aplicáveis
- metodologia de avaliação de riscos
- relatório de avaliação de riscos
- declaração de aplicabilidade
- plano de tratamento de riscos
- registros
A quantidade e a precisão da documentação depende do tamanho da organização e os requisitos de segurança. Isso significa que uma dúzia de documentos será suficiente para uma organização de pequeno porte, enquanto que as organizações complexas e de grande porte terão centenas de documentos em seu SGSI.
A fase Plan
A fase Plan é composta pelas seguintes etapas:
- determinação do objetivo do SGSI
- composição de uma Política de SGSI
- identificação da metodologia para a avaliação de risco e determinação dos critérios de aceitação de riscos
- identificação dos ativos, das vulnerabilidades e das ameaças
- avaliação da dimensão dos riscos
- identificação e avaliação das opções de tratamento de riscos
- seleção de controles para o tratamento de riscos
- obtenção de aprovação da gestão para riscos residuais
- obtenção de aprovação da gestão para implementação do SGSI
- composição de uma declaração de aplicabilidade que relaciona todos os controles aplicáveis, declara quais desses controles já foram implementados e declara quais não são aplicáveis
A fase Do
A fase Do é composta pelas seguintes atividades:
- composição de um plano de tratamento de riscos, descrevendo os controles aplicáveis a quem, como, quando e com que orçamento o plano deve ser implementado
- implementação do plano de tratamento de riscos
- implementação dos controles de segurança aplicáveis
- determinação de como medir a eficácia dos controles
- condução de programas de conscientização e treinamento de funcionários
- gestão do funcionamento normal do SGSI
- gestão dos recursos de SGSI
- implementação dos procedimentos para detecção e gestão de incidentes de segurança
A fase Check
Esta fase inclui o seguinte:
- implementação de procedimentos e outros controles para monitoramento e análise a fim de estabelecer qualquer violação, processamento incorreto de dados , se as atividades de segurança estão sendo realizadas conforme o esperado, etc.
- análises periódicas da eficácia do SGSI
- medição da eficácia dos controles
- análise periódica da avaliação de riscos
- auditorias internas a intervalos planejados
- análises críticas da gestão para garantir que o SGSI está funcionando e para identificar oportunidades de melhoria
- atualização dos planos de segurança levando em consideração outras atividades de monitoramento e análise
- manutenção de registros de atividades e incidentes que podem afetar a eficácia do SGSI
A fase Act
Esta fase inclui o seguinte:
- implementação das melhorias identificadas no SGSI
- tomada de ações corretivas e preventivas; aplicação de experiências de segurança próprias e de terceiros
- comunicação das atividades e melhorias a todos os interessados
- garantia de que as melhorias atendem aos objetivos desejados
Outras normas relacionadas à segurança da informação
Além da ISO 27001 (antiga BS 7799-2), a ISO 27002 (antiga ISO 17799) é uma norma "auxiliar" que fornece mais detalhes sobre como implementar os controles de segurança especificados na ISO 27001.
Outras normas que também podem ser úteis são a ISO 27005, que descreve os procedimentos de avaliação de riscos com mais detalhes, e a BS 25999-2, que fornece uma descrição detalhada da gestão de continuidade de negócios.
