Uploaded by EP

FEUP seguranca da informacao ISO 27001

advertisement
Ana Vieira, Mª. Isabel Sousa
ISO 27001 Security Management Standard
Trabalho de Segurança da Informação do MCI 2009/2010
Draft do relatório
Docente: Prof. Tito Vieira
Faculdade de Engenharia da Universidade do Porto
Mestrado em Ciência da Informação
14 de Dezembro de 2009
ISO 27001
Resumo
O objectivo deste trabalho consistiu em realizar uma análise da ISO 27001 e para isso revelar
a sua estrutura e conteúdo.
Iremos começar por fazer uma apresentação da norma, e das suas componentes, como por
exemplos as áreas de controlos e alguns dos seus capítulos. Continuamos com a aplicação da norma,
abordamos o ciclo PDCA e a certificação da norma.
E por fim concluímos que esta ISO deve ser usada em organizações com o intuito de preservar
e garantir a segurança das suas informações, já que esta é uma norma certificada e com provas dadas
de confiança.
2
ISO 27001
Sumário
1. Introdução .......................................................................................................................................... 5
2. ISO 27001 ........................................................................................................................................... 6
2.1. O que é a ISO 27001 .................................................................................................................... 6
2.2. Porquê a ISO 27001? ................................................................................................................... 6
2.3. História da ISO 27001.................................................................................................................. 7
3. ISO 27001 versus ISO 27002 ............................................................................................................ 8
4. Áreas de Controlo.............................................................................................................................. 8
5. Capítulos da ISO 27001 .................................................................................................................... 9
5.1. Capitulo 4. Information security management system - Sistema de Gestão de Segurança da
Informação ........................................................................................................................................ 10
5.2. Capitulo 5. Management Resposibility - Responsabilidade de Gestão ...................................... 11
5.3. Capitulo 6. Internal ISMS audits - Auditorias internas de um ISMS ......................................... 11
5.4. Capitulo 7. Management review of the ISMS - Gestão de revisão do ISMS ............................. 11
5.5. Capitulo 8. ISMS improvement – Melhoramento do SGSI ....................................................... 11
5.6. Anexos da ISO 27001 ................................................................................................................ 12
6. Aplicação da ISO 27001 .................................................................................................................. 12
7. O ciclo PDCA ................................................................................................................................... 13
8. Certificação da ISO 27001 .............................................................................................................. 14
8.1. O modelo de certificação ........................................................................................................... 14
8.2. Conformidades de Manutenção ................................................................................................. 16
8.3. Processo versus Produto............................................................................................................. 16
9. Conclusões ........................................................................................................................................ 17
10. Referências Bibliográficas ............................................................................................................ 18
11. Anexo A …………………………………………………………………………………...19
3
ISO 27001
Índice de figuras
Figura 1 – Relação ISO 27001 e ISO 27002…………………………………………………………8
Figura 2 – Índice ISO 27001………………………………………………………………………...10
Figura 3 – Ciclo PDCA……………………………………………………………………………....13
Figura 4 – Esquema de acreditação………………………………………………………………….15
Abreviaturas
ISMS – Information Security Management System
OCDE – Organização para Cooperação e Desenvolvimento Económico
PDCA – Ciclo Plan-Do-Check-Act
SGSI – Sistema de Gestão de Segurança de Informação
4
ISO 27001
1. Introdução
Este trabalho foi realizado no âmbito da disciplina de Segurança de Informação do 1º ano do
Mestrado em Ciência da Informação, leccionada pelo Prof. Tito Vieira.
O tema a desenvolver no decorrer deste trabalho é a norma ISO 27001 e a forma como esta se
encontra estruturada.
Os motivos que nos levaram a escolher este tema entre tantos outros foi o nosso interesse em
particular pela ISO 27001, para além do facto de acharmos que este tema nos enriquecerá como
estudantes e nos será muito útil no futuro como profissionais da informação, uma vez que, o
crescimento da produção de informação nas organizações as obriga a tomarem medidas mais eficazes,
a fim de protegerem os seus conteúdos, sendo necessário recorrerem cada vez mais a normas
auxiliares para esse fim.
A importância da segurança da informação é cada vez mais uma área reconhecida como sendo
de grande importância na vida de um Serviço de Informação e das organizações em geral.
O trabalho está dividido de forma genérica em dez partes. Iniciando com a introdução, em
seguida começamos por apresentar a ISO 27001, e todas as suas características e mais à frente
abordaremos outras questões relacionadas com a norma, como por exemplos referência á sua
aplicação, ao ciclo PDCA e à certificação da norma. Seguidamente apresentaremos as nossas
conclusões relativamente ao trabalho realizado, bem como as referências utilizadas para a elaboração
do trabalho.
5
ISO 27001
2. ISO 27001
2.1. O que é a ISO 27001
A ISO 27001 é um padrão reconhecido internacionalmente que apresenta os requisitos de auditoria
para um Sistema de Gestão de Segurança de Informação, ou em inglês – Information Security
Management System (ISMS). Esta norma foi a primeira da série ISO27XXX, a ser publicada pela
International Organization for Standardization. (ISO), em Outubro de 2005.
Pode-se dizer que a ISO 27001, apresenta um alto nível de natureza conceptual, bem como um âmbito
bastante alargado, e por estas razões, permite que seja aplicada em vários tipos de empresas e
utilizações.
A ISO 27001 é uma norma “standard” de segurança da informação, dedicada a este aspecto e aos
critérios de auditoria de gestão com critérios específicos de auditoria operacional.
Embora seja um padrão conceptual, a ISO 27001 não é:
 uma norma técnica;
 um produto ou uma tecnologia;
 ferramenta de avaliação metodológica.
A ISO 27001 é, no entanto a base para a gestão da segurança da informação que todos os programas
de segurança de informação deveriam usar de alguma maneira.
2.2. Porquê a ISO 27001?
O campo da segurança da informação tem sido tradicionalmente baseada nas “melhores práticas” e
“orientações”, contudo, mesmo que a sabedoria acumulada seja válida, também está sujeita a várias
interpretações e aplicações, nem sempre coerentes e harmoniosas, entre si. Além disso, a ISO 27001 é
na realidade a “melhor estimativa” para a segurança, sem a análise subjacente que torna a
implementação de controlo tanto justificável e defensável.
A ISO 27001 oferece os seguintes benefícios:
 Um sistema de gestão reconhecido internacionalmente que pode aumentar a
interoperabilidade da segurança de informações e confiança com os parceiros comerciais.
 Um critério para avaliar a eficácia do Programa de Segurança da Informação.
 Um veículo para certificar vários regulamentos de protecção de dados.
(ISO, 2005; CARLSON, 2008)
6
ISO 27001
Existem várias razões para a existência da ISO 27001, entre elas podemos enunciar as seguintes:
 para alguns sectores, uma área operacional certificada, com ISO 27001 pode tornar-se
uma exigência real.
 para as organizações sujeitas a regulação governamental, a ISO 27001 pode aumentar a
eficiência e eliminar a redundância de informação em conformidade com os vários
regulamentos de protecção através de uma gestão centralizada.
 para dados das organizações voltados para o cliente, o uso de uma área operacional
certificada da ISO 27001 pode oferecer uma vantagem de marketing.
 uma área operacional certificada com a ISO 27001 fornece um alto grau de confiança e
fiabilidade.
2.3. História da ISO 27001
A ISO 27001 é um procedente directo do British Standards Institute (BSI) Information Security
Management designada como norma BS 7799-2. A BSI tem sido pró-activa no campo da evolução da
Segurança da Informação. Em resposta às procuras da indústria, um grupo de trabalho dedicado à
Segurança da Informação foi criado no início dos anos 90, culminando com um “Código de Boas
Práticas de Gestão de Segurança da Informação” por volta de 1993. Esse trabalho evoluiu para a
primeira versão da norma BS 7799 lançado em 1995. No final da década de 1990, em resposta às
exigências da indústria, a BSI formou um programa de acreditação de empresas de auditoria, ou
“Organismos de Certificação”, como competente para auditar a BS 7799. Simultaneamente, foi
constituído um comité de direcção, culminando com a actualização e liberação da BS 7799 em 1998,
1999, 2000 e, finalmente, em 2002. Por esta altura, a segurança da informação teve um grande
impacto nas organizações e começou a tornar-se uma preocupação para os utilizadores de
computadores em todo o mundo. Enquanto algumas organizações utilizaram a norma BS 7799, as
necessidades foram aumentando, e foi necessário criar um padrão internacionalmente reconhecido de
segurança da informação, sob o abrigo de um órgão reconhecido internacionalmente, como a ISO.
Esta discussão levou à actualização da BS7799-2, e à publicação da ISO 27001, em Outubro de 2005.
(ISO, 2005; CARLSON, 2008)
7
ISO 27001
3. ISO 27001 versus ISO 27002
ISO 27001
ISO 27002
Uma norma de auditoria com base em
Um guia de execução, com base em sugestões
requisitos auditáveis.
de boas práticas.
Incide sobre os controlos de gestão que
Lista de controlos operacionais que uma
interessam às organizações.
organização deve considerar.
Usada para auditorias e para certificar
Usada como meio de avaliação da
Sistemas de gestão de segurança de
abrangência dos Programas de Segurança
Informação em organizações.
Informática nas organizações.
Figura 1 – Relação ISO 27001 e ISO 27002
(ISO, 2005; CARLSON, 2008)
4. Áreas de Controlo
A ISO 27001 define um sistema de gestão de segurança de informação de acordo com a estrutura
organizacional, com as politicas, as actividades de planeamento, as responsabilidades, as práticas, os
procedimentos, os processos e os recursos.
Define ainda um ISMS como parte do sistema global de gestão, baseado numa abordagem de risco,
para estabelecer, implementar, operar, monitorizar, rever, manter e melhorar a segurança da
informação. Essa abrangência faz com que uma norma ISO 27001 potencia a interacção entre os
departamentos da empresa e vários programas, tais como:
8
ISO 27001
 Recursos Humanos
 Legal
 Auditorias
 Instalações
 Continuidade de Negócios
 Operações
 Segurança Física
Para cumprir este objectivo, a ISO 27001 identificou 5 áreas de controlo, 12 objectivos de controlo, e
78 controles. Cada um é definido como um requisito sujeito a uma auditoria. È importante referir que
a implementação de um controle pode envolver a interacção com outros departamentos e programas
mencionados anteriormente. As áreas de controlo da ISO 27001, objectivos e os atributos-chave de
controlo estão resumidos a seguir, uma vez que, este é um trabalho que aborda a norma, mas não tem
como objectivo ser a norma em si, por isso para termos mais detalhes completos sobre a norma, o
melhor é consultá-la com cuidado e atenção.
(ISO, 2005; CARLSON, 2008)
5. Capítulos da ISO 27001
Nesta ISO existem controlos obrigatórios que são abordados desde o capítulo 4 a 8 da norma, para que
os sistemas de segurança das organizações estejam realmente em conformidade com a ISO 27001, e
serão esses capítulos que iremos de seguida apresentar.
Para termos uma ideia geral da estrutura desta norma apresentamos em baixo uma figura do índice da
ISSO 27001. Contudo, tal como já foi referido iremos apenas abordar os capítulos 4 a 8.
9
ISO 27001
Figura 2 – Índice da ISO 27001
(ISO, 2005)
5.1. Capítulo 4. Information security management system - Sistema de Gestão de
Segurança da Informação
Esta área de controlo dá conta a necessidade de estabelecer, implementar, operar monitorar, rever,
manter e melhorar um SGSI documentado, incluindo:
Criar e gerir o ISMS - criação e gestão de risco de um processo baseado na:
 Definição do SGSI, incluindo áreas de actuação e limites;
 Identificação de activos de risco e metodologias de tratamento
 Quadro de gestão para definir medição dos objectivos de controlo
10
ISO 27001
 Verificação do desempenho do ISMS.
Os requisitos de documentação - a identificação do tipo de documentação necessária para o ISMS,
bem como os requisitos para o controlo de ambos os documentos e registos.
(ISO, 2005; CARLSON, 2008)
5.2. Capítulo 5. Management Resposibility - Responsabilidade de Gestão
Esta área de controlo aborda as necessidades atribuídas às responsabilidades da gestão do ISMS
incluindo: 5.1 Compromisso de Gestão - identificação da gestão e comunicação de objectivos de
segurança da informação em termos de tolerância ao risco. 5.2 Resource Management - fornecimento
de recursos adequados para atender aos objectivos de controlo definidos e garantir competência na
execução dos mesmos.
(ISO, 2005; CARLSON, 2008)
5.3. Capítulo 6. Internal ISMS audits - Auditorias internas de um ISMS
Esta área aborda as necessidades de auditorias internas num ISMS incluindo um procedimento de
auditoria
documentado,
critérios
de
auditorias,
frequência
de
actuação,
metodologia
e
responsabilidades.
(ISO, 2005; CARLSON, 2008)
5.4. Capitulo 7. Management review of the ISMS - Gestão de revisão do ISMS
Esta área de aborda a necessidade de participação de gestão e apoio do ISMS, nomeadamente: 7.1
Geral - revisão periódicas programadas e documentadas do desempenho do ISMS. 7.2 Revisão de
entradas - as diversas fontes métricas necessárias para uma análise da gestão global. E por último 7.3
Revisão de saída - a gestão de vários critérios de revisão e decisão e a necessidade de controlar as
alterações resultantes destas decisões de gestão.
(ISO, 2005; CARLSON, 2008)
5.5. Capitulo 8. ISMS improvement – Melhoramento do SGSI
Esta área fala-nos da necessidade da existência de mecanismos para melhorar continuadamente o
SGSI incluindo: 8.1 Melhoria contínua - Ferramentas e técnicas para medir e vigiar o desempenho do
SGSI. 8.2 A acção correctiva - identificação reactiva e análise de causa de não-conformidades
11
ISO 27001
existentes no ISMS, bem como acompanhamento das soluções. 8.3 Acção preventiva - a identificação
pró-activa e análise de causa de potenciais problemas com o ISMS, bem como acompanhamento das
acções de alinhamento.
(ISO, 2005; CARLSON, 2008)
5.6. Anexos da ISO 27001
Fazem também parte desta norma anexos (A – Control objectives and controls, B – OEDC principles
and this International Standard e C – Correspondence between ISO 9001:2000, ISO 14001:2004 and
this Internacional Standard). Os anexos A são os mesmos que são detalhados na ISO 27002, mas sem
a orientação de execução prevista na ISO 27002, este anexo aborda completamente os controlos mas
não a forma de serem implementados. A postura amigável da ISO 27001 permite a aceitação do risco
baseada em critérios de risco organizacional de tolerância estabelecidos pelos órgãos de gestão.
Do anexo A fazem partes as seguintes áreas:
 Política de Segurança
 Organização de informações de segurança
 Gestão de segurança dos recursos humanos
 Segurança física e ambiental
 Gestão de comunicações e operações
 Controlos de acesso
 Aquisição de sistemas de informação, desenvolvimento e manutenção
 Gestão de incidentes de segurança
 Gestão continuada
 Observação.
(ISO, 2005; CARLSON, 2008)
6. Aplicação da ISO 27001
Um processo é considerado uma actividade, que utiliza recursos e os gere de forma a possibilitar a
transformação de entradas em saídas. A abordagem de processo é quando os processos individuais e
suas interacções são embaladas num pacote coeso, ou sistema, reservado para realizar algo. A ISO
27001 é implementada através da criação e manutenção de um Sistema de Gestão da Segurança da
Informação (ISMS) com o objectivo de realizar as seguintes tarefas: estabelecimento, implementação,
operação, monitorar, revisão, manutenção e melhoria da segurança da informação das organizações.
(ISO, 2005; CARLSON, 2008)
12
ISO 27001
7. O ciclo PDCA
Sendo fiel às suas origens em Gestão da qualidade, a ISO 27001 aprovou o circuito fechado PDCA,
mas conhecido por modelo (Plan – Do – Chech – Act).
O modelo PDCA é comum a outros sistemas de gestão, tais como as definidas dentro ISO9001
(qualidade) e ISO 14001 (Meio Ambiente) e também é compatível com as directrizes da OEDC (?).
Em baixo apresentamos um esquema elucidativo acerca do ciclo PDCA.
Figura 3 – Ciclo PDCA
(ISO, 2005; CARLSON, 2008)
13
ISO 27001
8. Certificação da ISO 27001
A ISO em si não participa em actividades de auditoria. No entanto, as suas normas
e orientações servem para harmonizar a nível mundial a avaliação de auditorias feitas por
independentes.
8.1. O modelo de certificação
O modelo de certificação inicia-se com o Conselho Nacional de Acreditação de cada respectivo
país.
Exemplos
respectivos
são
UKAS,
no
Reino
Conselhos
Nacional
de
Acreditação
Unido,
e
credenciam
RvA
na
pessoal
Holanda.
Estes
individualmente
ou
empresas como organismos de certificação, autorizados e competentes para auditar.
O organismo de certificação de auditoria de uma organização para a ISO 27001, é
susceptível de conduzir a certificação ISO 27001. Uma vez certificado conforme a ISO
27001, o SGSI torna-se registado, e sob a governação de registo. A validade da certificação e do
registo está assim a cargo do Conselho nacional de Acreditação de cada país.
14
ISO 27001
Figura 4 – Esquema de acreditação
(ISO, 2005; CARLSON, 2008)
Em algumas áreas, incluindo os E.U., o Conselho Nacional de Acreditação não tem (ainda)
credenciar um organismo de certificação ISO 27001. Sem um organismo de certificação acreditado, é
impossível
a
certificar
a
ISO
27001.
Uma
organização
poderá
optar
por
ter
um
Organismo de Certificação “não-certificado” a realizar a certificação, caso em que a validade do
certificado é derivado da reputação da não ser credenciado. Alternativamente, uma organização pode
optar por ser certificadas pelo Conselho Nacional de Acreditação de outro país. Desta forma o prazo
de validade do certificado é proveniente do Conselho Nacional de Acreditação do outro país em causa.
15
ISO 27001
8.2. Conformidades Manutenção
O
organismo
e
mantém
de
o
certificação
registo
deve
que
emitiu
aprovar
o
certificado
mudanças
na
original
de
infra-estrutura
Conformidade
de
segurança
definido dentro do propósito do registo. Pequenas alterações podem ser apresentadas por escrito, com
o fornecimento do avaliador com detalhes suficientes para determinar o impacto. Grandes mudanças
podem exigir uma nova auditoria. Visitas periódicas são realizadas anualmente, e uma re-certificação
da auditoria é necessária a cada três anos.
8.3. Processo versus Produto
Na indústria existe uma certa confusão em relação à abordagem e ao nível de esforço necessário para
implementar qualquer Programa de Segurança da Informação. Muitas organizações desejam
simplesmente começar com "normas de base" de infra-estruturas de segurança da informação. No
entando são incapazes de justificar de imediato o esforço extra necessário para a certificação. Contudo
esta base deixa as organizações bem posicionadas para avançar para a verdadeira certificação.
(ISO, 2005; CARLSON, 2008)
16
ISO 27001
9. Conclusões e críticas
Após a realização deste trabalho acerca de segurança de informação, podemos extrair as seguintes
conclusões: a ISO 27001 é o guia que especifica o que será feito em termos de segurança e da
qualidade inerente a um sistema de gestão.
Podemos igualmente dizer que um Programa de Segurança de Informação supervisiona a iniciativa das
organizações de protecção de informações, e pode ter responsabilidade sobre várias áreas
operacionais.
Embora a ISO 27002, não fosse o objecto de estudo do nosso trabalho, achamos importante referir que
é um guia que implementa, e sugere o que deve ser feito com base nas melhores práticas reconhecidas
internacionalmente e portanto, como resultado serve como uma excelente base para construir um
Programa de Segurança da Informação nas organizações.
Podemos acrescentar que nas organizações as diferentes áreas operacionais podem servir como base
para estabelecer o âmbito de certificação de uma ISO 27001.
Há
uma
procura
crescente
para
a
certificação
de
segurança
da
informação.
Este
fenómeno foi impulsionado por vários factores, incluindo: exigências reguladoras que requerem
segurança da informação; incentivos de marketing, especialmente no comércio e finanças; os
incentivos financeiros, tais como reduções de prémio de seguro.
É necessário ter muito cuidado com a aplicação de medidas de segurança nas organizações que não
sejam acreditadas, pois podem criar uma falsa sensação de segurança para as organizações, uma vez
que estas pensam que a posse das políticas de "segurança" é tudo o que é necessário.
A implementação de um sistema de segurança de informação, pode utilizar uma ferramenta como
ponto de partida da discussão para a questão da segurança, mas, tem de ter em conta o comportamento
organizacional para ser bem aplicado a todos os níveis organizacionais, bem como ter em conta o
ambiente legal e regulamentar das organizações, reconhecendo a cultura e valores das instituições.
Como resultado da implementação irá produzir os requisitos sobre os riscos que incluem segurança,
processos, funções e actividades necessárias para a selecção da norma.
Podemos terminar dizendo que todos estes exemplos representam oportunidades de crescimento e
desafios para todos os profissionais e estudantes de segurança da informação, já que esta área se
encontra em franca expansão no mercado.
17
ISO 27001
10. Referências Bibliográficas
BEEKEY, Michael. 2008. Leveraging ISO 27001 for your compliance Requirements. CTG Security
Solutions. Disponivel em:
http://www.ctg.com/infosecurity/pdf/iso27001-compliance-v2.pdf
CARLSON, Tom. 2008. Understanding ISO 27001. Orange Parachute. Disponível em:
http://www.pdf-search-engine.com/online-pdfview.php?pdf=http://www.gqex.net/files/UnderstandingISO27001.pdf
ISO 27001. 2005. Disponível em: http://www.27001-online.com/
ISO 27001 Overview. 2005. Disponível em:
http://www.iso27001security.com/ISO27k_ISO27001_overview_from_Howard_Smith.pdf
ISO 27001 Consulting. 2005. 7safe services. Disponível em:
http://www.7safe.com/assets/pdfs/ISO_Consulting.pdf
ISO 27001: the Standard for Due Care. 2005. Network Computing Architects, Inc. Disponível em:
http://www.ncanet.com/documents/NCAISO27001ISMS-STD-1.pdf
IT Governance Ltd 2005, 2006. Information Security and ISO27001 – an Introduction. Disponivel
em:
http://www.pdf-search-engine.com/online-pdfview.php?pdf=http://www.itgovernance.co.uk/files/Infosec_101v1.1.pdf
Providing Global Information Asset Protection and Network Security Solutions. 2005.
BEWGLOBAL. Disponível em:
http://www.bewglobal.com/user_files/file_15.pdf
SAS 70 vs. an ISO 27001 ISMS. Network Computing Architects, Inc. Disponível em:
http://www.ncanet.com/documents/NCAISO27001ISMS-SAS70-3.pdf
The ISO 27001 Information Security Management System Specification. Disponivel em:
http://www.w3j.com/5/s3.koman.html
Using ISO 27001 to your advantage. 2007. Computer Task Group Inc. Disponivel em:
http://www.ctg.com/infosecurity/pdf/Using_ISO27001_to_Your_Advantage.pdf
18
ISO 27001
Anexo A - ISO 27001 Overview
19
Download