Desenvolvimento De Software Seguro

Anhanguera Educacional FAC3 Campinas-SP

4º e 5º Semestre - TADS

Disciplina: Desenvolvimento de Software Seguro

Tema: ISO 27001 – Definição de requisitos para implementação de um SGSI.

Alunos: Liliane Silva Alves RA: 4251864838

Thiago Matheus de Macedo RA: 5211956855

Professora: Regina Fedozzi

Campinas, 07 de Março de 2014.

RESUMO

Nesse trabalho abordaremos o estudo da Norma ABNT NBR ISO/IEC 27001 relatando desde o histórico até a sua implementação, apontando os pontos negativos e positivos para a implementação da Norma nas empresas, prazos e custos com alguns exemplos.

Sumário

RESUMO 2

1.1 Histórico 4

1.2 O que é a Norma ISO 27001? 5

1.3 Quais são as razões para adotar a Norma ISO 27001? 5

1.4 Requisitos da norma ISO 271001 6

1.5 Finalidade 7

1.6 - Pontos positivos e negativos 7

1.7 Benefícios para Empresas 8

2. CUSTOS 9

2.1 Custos de Implementação 9

2.1.1 Custo de livros especializados e treinamento: 9

2.1.2 Custo da ajuda externa: 9

2.1.3 Custo da tecnologia: 9

2.1.4 Custo do tempo dos funcionários: 10

2.1.5 Custo da certificação: 10

3. PRAZOS 10

3.1 Conceito 10

3.1.1 Auditoria de Documentação 10

3.1.2 Auditorias de Pré-Certificação 11

4 IMPORTANTES EXEMPLOS PARA IMPLEMENTAÇÃO 11

4.1 Política de Segurança da Informação 11

4.2 Controle de Acesso à Aplicação e à Informação 11

4.3 Partes Externas 11

4.4 Infraestrutura de Segurança da Informação 12

4.5 Áreas Seguras 12

4.6 Duração da Contratação 12

4.7 Responsabilidade dos Ativos 12

4.8 Encerramento ou Mudança da Contratação 12

4.9 Segurança de Equipamentos 13

4.10 Gerenciamento de Acesso de Usuário 13

4.11 Serviços de Correios Eletrônicos 13

5 REFERÊNCIAS 14

1. ABNT NBR ISO/IEC 27001

1.1 Histórico

A norma ISO 27001 se originou da norma BS 7799, publicada pelo British Standards Institute (BSI). Revisada pela International Organization for Standardization (ISO), incorporou melhorias e adaptações, contemplando o ciclo PDCA de melhorias e a visão de processos que as normas de sistemas de gestão já incorporaram. Através de um trabalho em conjunto que veio sendo realizado desde 2000, a revisão foi feita por um comitê formado pela ISO e pelo International Electrotechnical Commission (IEC) onde as sugestões de alterações foram sendo compiladas, discutidas e apresentadas ao longo do trabalho, culminando na publicação de outubro de 2005 que conhecemos.

1.2 O que é a Norma ISO 27001?

A norma ISO 27001 (Tecnologia da Informação – Sistemas de gestão de segurança da informação), trata sobre a implantação do Sistema de Gestão da Segurança da Informação (SGSI) através de requisitos para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de Segurança da Informação (SGSI) documentado dentro do contexto dos riscos de negócio globais da organização. Essa norma pode ser utilizada em conjunto com a ISO 27002 (Código de Boas Práticas da Gestão de Segurança da Informação).

A norma também estabelece critérios para a certificação. Para a empresa reivindicar a certificação, tem que estar em conformidade com todos requisitos da norma. É possível que alguns dos controles necessários para satisfazer aos critérios de aceitação de riscos sejam excluídos desde que as exclusões sejam justificadas e sejam apresentadas evidências de que os riscos associados foram aceitos pelos responsáveis. Nesse caso, as reivindicações de conformidade com a 27001 só serão aceitas se tais exclusões não afetem a capacidade da organização, e/ou a responsabilidade de prover segurança da informação que atenda os requisitos de segurança.

Atualmente, essas normas são as principais referências para todos os tipos de organizações (empreendimentos comerciais, agências governamentais, organizações sem fins lucrativos) que procuram tratar a questão da segurança da informação baseado em um modelo reconhecido internacionalmente.

1.3 Quais são as razões para adotar a Norma ISO 27001?

Proteção da informação crítica da organização contra perda, roubo, uso indevido ou divulgação não autorizada.

Assegurar a continuidade do negócio.

Assegurar aos parceiros, órgãos reguladores, fornecedores e cliente que a sua informação confidencial está segura.

Manter a reputação e confiança.

1.4 Requisitos da norma ISO 271001

Requisitos 1, 2 e 3 - Informativos; descreve a finalidade da norma, qual documento ela utiliza como referência (no caso, utiliza a norma ISO 27002) e também tem uma lista de termos e definições que são utilizados na norma.

Requisito 4 - Descreve a criação, implementação, monitoramento e melhoria do SGSI, é através deste requisito que definimos

...