Ana Vieira, Mª. Isabel Sousa ISO 27001 Security Management Standard Trabalho de Segurança da Informação do MCI 2009/2010 Draft do relatório Docente: Prof. Tito Vieira Faculdade de Engenharia da Universidade do Porto Mestrado em Ciência da Informação 14 de Dezembro de 2009 ISO 27001 Resumo O objectivo deste trabalho consistiu em realizar uma análise da ISO 27001 e para isso revelar a sua estrutura e conteúdo. Iremos começar por fazer uma apresentação da norma, e das suas componentes, como por exemplos as áreas de controlos e alguns dos seus capítulos. Continuamos com a aplicação da norma, abordamos o ciclo PDCA e a certificação da norma. E por fim concluímos que esta ISO deve ser usada em organizações com o intuito de preservar e garantir a segurança das suas informações, já que esta é uma norma certificada e com provas dadas de confiança. 2 ISO 27001 Sumário 1. Introdução .......................................................................................................................................... 5 2. ISO 27001 ........................................................................................................................................... 6 2.1. O que é a ISO 27001 .................................................................................................................... 6 2.2. Porquê a ISO 27001? ................................................................................................................... 6 2.3. História da ISO 27001.................................................................................................................. 7 3. ISO 27001 versus ISO 27002 ............................................................................................................ 8 4. Áreas de Controlo.............................................................................................................................. 8 5. Capítulos da ISO 27001 .................................................................................................................... 9 5.1. Capitulo 4. Information security management system - Sistema de Gestão de Segurança da Informação ........................................................................................................................................ 10 5.2. Capitulo 5. Management Resposibility - Responsabilidade de Gestão ...................................... 11 5.3. Capitulo 6. Internal ISMS audits - Auditorias internas de um ISMS ......................................... 11 5.4. Capitulo 7. Management review of the ISMS - Gestão de revisão do ISMS ............................. 11 5.5. Capitulo 8. ISMS improvement – Melhoramento do SGSI ....................................................... 11 5.6. Anexos da ISO 27001 ................................................................................................................ 12 6. Aplicação da ISO 27001 .................................................................................................................. 12 7. O ciclo PDCA ................................................................................................................................... 13 8. Certificação da ISO 27001 .............................................................................................................. 14 8.1. O modelo de certificação ........................................................................................................... 14 8.2. Conformidades de Manutenção ................................................................................................. 16 8.3. Processo versus Produto............................................................................................................. 16 9. Conclusões ........................................................................................................................................ 17 10. Referências Bibliográficas ............................................................................................................ 18 11. Anexo A …………………………………………………………………………………...19 3 ISO 27001 Índice de figuras Figura 1 – Relação ISO 27001 e ISO 27002…………………………………………………………8 Figura 2 – Índice ISO 27001………………………………………………………………………...10 Figura 3 – Ciclo PDCA……………………………………………………………………………....13 Figura 4 – Esquema de acreditação………………………………………………………………….15 Abreviaturas ISMS – Information Security Management System OCDE – Organização para Cooperação e Desenvolvimento Económico PDCA – Ciclo Plan-Do-Check-Act SGSI – Sistema de Gestão de Segurança de Informação 4 ISO 27001 1. Introdução Este trabalho foi realizado no âmbito da disciplina de Segurança de Informação do 1º ano do Mestrado em Ciência da Informação, leccionada pelo Prof. Tito Vieira. O tema a desenvolver no decorrer deste trabalho é a norma ISO 27001 e a forma como esta se encontra estruturada. Os motivos que nos levaram a escolher este tema entre tantos outros foi o nosso interesse em particular pela ISO 27001, para além do facto de acharmos que este tema nos enriquecerá como estudantes e nos será muito útil no futuro como profissionais da informação, uma vez que, o crescimento da produção de informação nas organizações as obriga a tomarem medidas mais eficazes, a fim de protegerem os seus conteúdos, sendo necessário recorrerem cada vez mais a normas auxiliares para esse fim. A importância da segurança da informação é cada vez mais uma área reconhecida como sendo de grande importância na vida de um Serviço de Informação e das organizações em geral. O trabalho está dividido de forma genérica em dez partes. Iniciando com a introdução, em seguida começamos por apresentar a ISO 27001, e todas as suas características e mais à frente abordaremos outras questões relacionadas com a norma, como por exemplos referência á sua aplicação, ao ciclo PDCA e à certificação da norma. Seguidamente apresentaremos as nossas conclusões relativamente ao trabalho realizado, bem como as referências utilizadas para a elaboração do trabalho. 5 ISO 27001 2. ISO 27001 2.1. O que é a ISO 27001 A ISO 27001 é um padrão reconhecido internacionalmente que apresenta os requisitos de auditoria para um Sistema de Gestão de Segurança de Informação, ou em inglês – Information Security Management System (ISMS). Esta norma foi a primeira da série ISO27XXX, a ser publicada pela International Organization for Standardization. (ISO), em Outubro de 2005. Pode-se dizer que a ISO 27001, apresenta um alto nível de natureza conceptual, bem como um âmbito bastante alargado, e por estas razões, permite que seja aplicada em vários tipos de empresas e utilizações. A ISO 27001 é uma norma “standard” de segurança da informação, dedicada a este aspecto e aos critérios de auditoria de gestão com critérios específicos de auditoria operacional. Embora seja um padrão conceptual, a ISO 27001 não é: uma norma técnica; um produto ou uma tecnologia; ferramenta de avaliação metodológica. A ISO 27001 é, no entanto a base para a gestão da segurança da informação que todos os programas de segurança de informação deveriam usar de alguma maneira. 2.2. Porquê a ISO 27001? O campo da segurança da informação tem sido tradicionalmente baseada nas “melhores práticas” e “orientações”, contudo, mesmo que a sabedoria acumulada seja válida, também está sujeita a várias interpretações e aplicações, nem sempre coerentes e harmoniosas, entre si. Além disso, a ISO 27001 é na realidade a “melhor estimativa” para a segurança, sem a análise subjacente que torna a implementação de controlo tanto justificável e defensável. A ISO 27001 oferece os seguintes benefícios: Um sistema de gestão reconhecido internacionalmente que pode aumentar a interoperabilidade da segurança de informações e confiança com os parceiros comerciais. Um critério para avaliar a eficácia do Programa de Segurança da Informação. Um veículo para certificar vários regulamentos de protecção de dados. (ISO, 2005; CARLSON, 2008) 6 ISO 27001 Existem várias razões para a existência da ISO 27001, entre elas podemos enunciar as seguintes: para alguns sectores, uma área operacional certificada, com ISO 27001 pode tornar-se uma exigência real. para as organizações sujeitas a regulação governamental, a ISO 27001 pode aumentar a eficiência e eliminar a redundância de informação em conformidade com os vários regulamentos de protecção através de uma gestão centralizada. para dados das organizações voltados para o cliente, o uso de uma área operacional certificada da ISO 27001 pode oferecer uma vantagem de marketing. uma área operacional certificada com a ISO 27001 fornece um alto grau de confiança e fiabilidade. 2.3. História da ISO 27001 A ISO 27001 é um procedente directo do British Standards Institute (BSI) Information Security Management designada como norma BS 7799-2. A BSI tem sido pró-activa no campo da evolução da Segurança da Informação. Em resposta às procuras da indústria, um grupo de trabalho dedicado à Segurança da Informação foi criado no início dos anos 90, culminando com um “Código de Boas Práticas de Gestão de Segurança da Informação” por volta de 1993. Esse trabalho evoluiu para a primeira versão da norma BS 7799 lançado em 1995. No final da década de 1990, em resposta às exigências da indústria, a BSI formou um programa de acreditação de empresas de auditoria, ou “Organismos de Certificação”, como competente para auditar a BS 7799. Simultaneamente, foi constituído um comité de direcção, culminando com a actualização e liberação da BS 7799 em 1998, 1999, 2000 e, finalmente, em 2002. Por esta altura, a segurança da informação teve um grande impacto nas organizações e começou a tornar-se uma preocupação para os utilizadores de computadores em todo o mundo. Enquanto algumas organizações utilizaram a norma BS 7799, as necessidades foram aumentando, e foi necessário criar um padrão internacionalmente reconhecido de segurança da informação, sob o abrigo de um órgão reconhecido internacionalmente, como a ISO. Esta discussão levou à actualização da BS7799-2, e à publicação da ISO 27001, em Outubro de 2005. (ISO, 2005; CARLSON, 2008) 7 ISO 27001 3. ISO 27001 versus ISO 27002 ISO 27001 ISO 27002 Uma norma de auditoria com base em Um guia de execução, com base em sugestões requisitos auditáveis. de boas práticas. Incide sobre os controlos de gestão que Lista de controlos operacionais que uma interessam às organizações. organização deve considerar. Usada para auditorias e para certificar Usada como meio de avaliação da Sistemas de gestão de segurança de abrangência dos Programas de Segurança Informação em organizações. Informática nas organizações. Figura 1 – Relação ISO 27001 e ISO 27002 (ISO, 2005; CARLSON, 2008) 4. Áreas de Controlo A ISO 27001 define um sistema de gestão de segurança de informação de acordo com a estrutura organizacional, com as politicas, as actividades de planeamento, as responsabilidades, as práticas, os procedimentos, os processos e os recursos. Define ainda um ISMS como parte do sistema global de gestão, baseado numa abordagem de risco, para estabelecer, implementar, operar, monitorizar, rever, manter e melhorar a segurança da informação. Essa abrangência faz com que uma norma ISO 27001 potencia a interacção entre os departamentos da empresa e vários programas, tais como: 8 ISO 27001 Recursos Humanos Legal Auditorias Instalações Continuidade de Negócios Operações Segurança Física Para cumprir este objectivo, a ISO 27001 identificou 5 áreas de controlo, 12 objectivos de controlo, e 78 controles. Cada um é definido como um requisito sujeito a uma auditoria. È importante referir que a implementação de um controle pode envolver a interacção com outros departamentos e programas mencionados anteriormente. As áreas de controlo da ISO 27001, objectivos e os atributos-chave de controlo estão resumidos a seguir, uma vez que, este é um trabalho que aborda a norma, mas não tem como objectivo ser a norma em si, por isso para termos mais detalhes completos sobre a norma, o melhor é consultá-la com cuidado e atenção. (ISO, 2005; CARLSON, 2008) 5. Capítulos da ISO 27001 Nesta ISO existem controlos obrigatórios que são abordados desde o capítulo 4 a 8 da norma, para que os sistemas de segurança das organizações estejam realmente em conformidade com a ISO 27001, e serão esses capítulos que iremos de seguida apresentar. Para termos uma ideia geral da estrutura desta norma apresentamos em baixo uma figura do índice da ISSO 27001. Contudo, tal como já foi referido iremos apenas abordar os capítulos 4 a 8. 9 ISO 27001 Figura 2 – Índice da ISO 27001 (ISO, 2005) 5.1. Capítulo 4. Information security management system - Sistema de Gestão de Segurança da Informação Esta área de controlo dá conta a necessidade de estabelecer, implementar, operar monitorar, rever, manter e melhorar um SGSI documentado, incluindo: Criar e gerir o ISMS - criação e gestão de risco de um processo baseado na: Definição do SGSI, incluindo áreas de actuação e limites; Identificação de activos de risco e metodologias de tratamento Quadro de gestão para definir medição dos objectivos de controlo 10 ISO 27001 Verificação do desempenho do ISMS. Os requisitos de documentação - a identificação do tipo de documentação necessária para o ISMS, bem como os requisitos para o controlo de ambos os documentos e registos. (ISO, 2005; CARLSON, 2008) 5.2. Capítulo 5. Management Resposibility - Responsabilidade de Gestão Esta área de controlo aborda as necessidades atribuídas às responsabilidades da gestão do ISMS incluindo: 5.1 Compromisso de Gestão - identificação da gestão e comunicação de objectivos de segurança da informação em termos de tolerância ao risco. 5.2 Resource Management - fornecimento de recursos adequados para atender aos objectivos de controlo definidos e garantir competência na execução dos mesmos. (ISO, 2005; CARLSON, 2008) 5.3. Capítulo 6. Internal ISMS audits - Auditorias internas de um ISMS Esta área aborda as necessidades de auditorias internas num ISMS incluindo um procedimento de auditoria documentado, critérios de auditorias, frequência de actuação, metodologia e responsabilidades. (ISO, 2005; CARLSON, 2008) 5.4. Capitulo 7. Management review of the ISMS - Gestão de revisão do ISMS Esta área de aborda a necessidade de participação de gestão e apoio do ISMS, nomeadamente: 7.1 Geral - revisão periódicas programadas e documentadas do desempenho do ISMS. 7.2 Revisão de entradas - as diversas fontes métricas necessárias para uma análise da gestão global. E por último 7.3 Revisão de saída - a gestão de vários critérios de revisão e decisão e a necessidade de controlar as alterações resultantes destas decisões de gestão. (ISO, 2005; CARLSON, 2008) 5.5. Capitulo 8. ISMS improvement – Melhoramento do SGSI Esta área fala-nos da necessidade da existência de mecanismos para melhorar continuadamente o SGSI incluindo: 8.1 Melhoria contínua - Ferramentas e técnicas para medir e vigiar o desempenho do SGSI. 8.2 A acção correctiva - identificação reactiva e análise de causa de não-conformidades 11 ISO 27001 existentes no ISMS, bem como acompanhamento das soluções. 8.3 Acção preventiva - a identificação pró-activa e análise de causa de potenciais problemas com o ISMS, bem como acompanhamento das acções de alinhamento. (ISO, 2005; CARLSON, 2008) 5.6. Anexos da ISO 27001 Fazem também parte desta norma anexos (A – Control objectives and controls, B – OEDC principles and this International Standard e C – Correspondence between ISO 9001:2000, ISO 14001:2004 and this Internacional Standard). Os anexos A são os mesmos que são detalhados na ISO 27002, mas sem a orientação de execução prevista na ISO 27002, este anexo aborda completamente os controlos mas não a forma de serem implementados. A postura amigável da ISO 27001 permite a aceitação do risco baseada em critérios de risco organizacional de tolerância estabelecidos pelos órgãos de gestão. Do anexo A fazem partes as seguintes áreas: Política de Segurança Organização de informações de segurança Gestão de segurança dos recursos humanos Segurança física e ambiental Gestão de comunicações e operações Controlos de acesso Aquisição de sistemas de informação, desenvolvimento e manutenção Gestão de incidentes de segurança Gestão continuada Observação. (ISO, 2005; CARLSON, 2008) 6. Aplicação da ISO 27001 Um processo é considerado uma actividade, que utiliza recursos e os gere de forma a possibilitar a transformação de entradas em saídas. A abordagem de processo é quando os processos individuais e suas interacções são embaladas num pacote coeso, ou sistema, reservado para realizar algo. A ISO 27001 é implementada através da criação e manutenção de um Sistema de Gestão da Segurança da Informação (ISMS) com o objectivo de realizar as seguintes tarefas: estabelecimento, implementação, operação, monitorar, revisão, manutenção e melhoria da segurança da informação das organizações. (ISO, 2005; CARLSON, 2008) 12 ISO 27001 7. O ciclo PDCA Sendo fiel às suas origens em Gestão da qualidade, a ISO 27001 aprovou o circuito fechado PDCA, mas conhecido por modelo (Plan – Do – Chech – Act). O modelo PDCA é comum a outros sistemas de gestão, tais como as definidas dentro ISO9001 (qualidade) e ISO 14001 (Meio Ambiente) e também é compatível com as directrizes da OEDC (?). Em baixo apresentamos um esquema elucidativo acerca do ciclo PDCA. Figura 3 – Ciclo PDCA (ISO, 2005; CARLSON, 2008) 13 ISO 27001 8. Certificação da ISO 27001 A ISO em si não participa em actividades de auditoria. No entanto, as suas normas e orientações servem para harmonizar a nível mundial a avaliação de auditorias feitas por independentes. 8.1. O modelo de certificação O modelo de certificação inicia-se com o Conselho Nacional de Acreditação de cada respectivo país. Exemplos respectivos são UKAS, no Reino Conselhos Nacional de Acreditação Unido, e credenciam RvA na pessoal Holanda. Estes individualmente ou empresas como organismos de certificação, autorizados e competentes para auditar. O organismo de certificação de auditoria de uma organização para a ISO 27001, é susceptível de conduzir a certificação ISO 27001. Uma vez certificado conforme a ISO 27001, o SGSI torna-se registado, e sob a governação de registo. A validade da certificação e do registo está assim a cargo do Conselho nacional de Acreditação de cada país. 14 ISO 27001 Figura 4 – Esquema de acreditação (ISO, 2005; CARLSON, 2008) Em algumas áreas, incluindo os E.U., o Conselho Nacional de Acreditação não tem (ainda) credenciar um organismo de certificação ISO 27001. Sem um organismo de certificação acreditado, é impossível a certificar a ISO 27001. Uma organização poderá optar por ter um Organismo de Certificação “não-certificado” a realizar a certificação, caso em que a validade do certificado é derivado da reputação da não ser credenciado. Alternativamente, uma organização pode optar por ser certificadas pelo Conselho Nacional de Acreditação de outro país. Desta forma o prazo de validade do certificado é proveniente do Conselho Nacional de Acreditação do outro país em causa. 15 ISO 27001 8.2. Conformidades Manutenção O organismo e mantém de o certificação registo deve que emitiu aprovar o certificado mudanças na original de infra-estrutura Conformidade de segurança definido dentro do propósito do registo. Pequenas alterações podem ser apresentadas por escrito, com o fornecimento do avaliador com detalhes suficientes para determinar o impacto. Grandes mudanças podem exigir uma nova auditoria. Visitas periódicas são realizadas anualmente, e uma re-certificação da auditoria é necessária a cada três anos. 8.3. Processo versus Produto Na indústria existe uma certa confusão em relação à abordagem e ao nível de esforço necessário para implementar qualquer Programa de Segurança da Informação. Muitas organizações desejam simplesmente começar com "normas de base" de infra-estruturas de segurança da informação. No entando são incapazes de justificar de imediato o esforço extra necessário para a certificação. Contudo esta base deixa as organizações bem posicionadas para avançar para a verdadeira certificação. (ISO, 2005; CARLSON, 2008) 16 ISO 27001 9. Conclusões e críticas Após a realização deste trabalho acerca de segurança de informação, podemos extrair as seguintes conclusões: a ISO 27001 é o guia que especifica o que será feito em termos de segurança e da qualidade inerente a um sistema de gestão. Podemos igualmente dizer que um Programa de Segurança de Informação supervisiona a iniciativa das organizações de protecção de informações, e pode ter responsabilidade sobre várias áreas operacionais. Embora a ISO 27002, não fosse o objecto de estudo do nosso trabalho, achamos importante referir que é um guia que implementa, e sugere o que deve ser feito com base nas melhores práticas reconhecidas internacionalmente e portanto, como resultado serve como uma excelente base para construir um Programa de Segurança da Informação nas organizações. Podemos acrescentar que nas organizações as diferentes áreas operacionais podem servir como base para estabelecer o âmbito de certificação de uma ISO 27001. Há uma procura crescente para a certificação de segurança da informação. Este fenómeno foi impulsionado por vários factores, incluindo: exigências reguladoras que requerem segurança da informação; incentivos de marketing, especialmente no comércio e finanças; os incentivos financeiros, tais como reduções de prémio de seguro. É necessário ter muito cuidado com a aplicação de medidas de segurança nas organizações que não sejam acreditadas, pois podem criar uma falsa sensação de segurança para as organizações, uma vez que estas pensam que a posse das políticas de "segurança" é tudo o que é necessário. A implementação de um sistema de segurança de informação, pode utilizar uma ferramenta como ponto de partida da discussão para a questão da segurança, mas, tem de ter em conta o comportamento organizacional para ser bem aplicado a todos os níveis organizacionais, bem como ter em conta o ambiente legal e regulamentar das organizações, reconhecendo a cultura e valores das instituições. Como resultado da implementação irá produzir os requisitos sobre os riscos que incluem segurança, processos, funções e actividades necessárias para a selecção da norma. Podemos terminar dizendo que todos estes exemplos representam oportunidades de crescimento e desafios para todos os profissionais e estudantes de segurança da informação, já que esta área se encontra em franca expansão no mercado. 17 ISO 27001 10. Referências Bibliográficas BEEKEY, Michael. 2008. Leveraging ISO 27001 for your compliance Requirements. CTG Security Solutions. Disponivel em: http://www.ctg.com/infosecurity/pdf/iso27001-compliance-v2.pdf CARLSON, Tom. 2008. Understanding ISO 27001. Orange Parachute. Disponível em: http://www.pdf-search-engine.com/online-pdfview.php?pdf=http://www.gqex.net/files/UnderstandingISO27001.pdf ISO 27001. 2005. Disponível em: http://www.27001-online.com/ ISO 27001 Overview. 2005. Disponível em: http://www.iso27001security.com/ISO27k_ISO27001_overview_from_Howard_Smith.pdf ISO 27001 Consulting. 2005. 7safe services. Disponível em: http://www.7safe.com/assets/pdfs/ISO_Consulting.pdf ISO 27001: the Standard for Due Care. 2005. Network Computing Architects, Inc. Disponível em: http://www.ncanet.com/documents/NCAISO27001ISMS-STD-1.pdf IT Governance Ltd 2005, 2006. Information Security and ISO27001 – an Introduction. Disponivel em: http://www.pdf-search-engine.com/online-pdfview.php?pdf=http://www.itgovernance.co.uk/files/Infosec_101v1.1.pdf Providing Global Information Asset Protection and Network Security Solutions. 2005. BEWGLOBAL. Disponível em: http://www.bewglobal.com/user_files/file_15.pdf SAS 70 vs. an ISO 27001 ISMS. Network Computing Architects, Inc. Disponível em: http://www.ncanet.com/documents/NCAISO27001ISMS-SAS70-3.pdf The ISO 27001 Information Security Management System Specification. Disponivel em: http://www.w3j.com/5/s3.koman.html Using ISO 27001 to your advantage. 2007. Computer Task Group Inc. Disponivel em: http://www.ctg.com/infosecurity/pdf/Using_ISO27001_to_Your_Advantage.pdf 18 ISO 27001 Anexo A - ISO 27001 Overview 19