Iso27002

Disponível somente no TrabalhosFeitos
  • Páginas : 10 (2444 palavras )
  • Download(s) : 0
  • Publicado : 5 de agosto de 2012
Ler documento completo
Amostra do texto
Qualidade de Software
Norma ISO 27.002
Segurança Aplicada a
Desenvolvimento de Sistemas

FAQI

Roselaine Gomes1, Fabio Silveira2, Vitor3,

Instituto de Informática – Faculdade QI (FAQI)
Gravataí –Rs

Abstract: This paper presents a compilation of recommendations for security best
practices that can be implemented by businesses of any size or sector andtailored to
meet the standardsof ISO27002 standards.The basement was obtained from the
edition of ISO/IEC 27.002:2005-Information technology – Security techniques-
Code of practice for information security management.

Resumo:O presente artigo apresenta uma Compilação de recomendações para melhores práticas de segurança, que podem ser aplicadas por empresas de qualquer porte ou setor e adequada de acordo com os padrõesdas normas ISO27002. O embasamento se obteve a partir da edição da ABNT NBR ISO/IEC 27.002:2005 - Tecnologia da informação – Técnicas de segurança –Código de prática para a gestão da segurança da informação.

1. O que é Segurança de Informação

Segundo a Norma Brasileira ABNT NBR ISO/IEC 27.002:2005, as informações de uma empresa é essencial para o negócio de uma organização, e precisa serprotegida,
principalmente com o aumento da interconectividade, agora exposta a grande variedade
de ameaças e vulnerabilidade. Segurança da informação é obtida a partir da
implementação de um conjunto de controles adequados incluindo políticas, processos,
procedimentos, estruturas organizacionais e funções de software e hardware.
É essencial que uma organização identifique os seus requisitos desegurança da
informação, analisando e avaliando riscos para a organização, como ameaças aos ativos
e as vulnerabilidades. Estimativas de probabilidade de ocorrência das ameaças e do
impacto potencial ao negócio. De acordo com a norma, outra fonte é a legislação
vigente, e as regras da organização estabelecem, além do ambiente sociocultural. Será
analisado também, os princípios, objetivos eos requisitos do negócio que apoiarão sua
organização. Uma vez que os requisitos estejam identificados, convém que controles
apropriados sejam selecionados a partir da Norma ou das necessidades da associação.
A Norma ISO 27000 é um padrão internacional sobre as boas práticas na Gestão da Segurança da Informação, que levam empresas ao nível máximo de excelência internacional em Segurança daInformação.
A segurança da informação é padronizada através da norma ISO 27000, que tem por objetivo a proteção das informações organizacionais e ativos de TI. Para muitas empresas, as informações tem mais valor $$ do que os ativos físicos.

Figura 2.1: O ciclo PDCA da ISO/IEC 27701 [MEL, 2008]

2. Principais controles

* Proteção de dados e privacidade de informações pessoais;
*Proteção de registros organizacionais;
* Direitos de propriedade intelectual;
* Documento da política de segurança de informação;
* Atribuição de responsabilidades;
* Conscientização, educação e treinamento em segurança da informação;
* Processamento correto nas aplicações;
* Gestão de vulnerabilidade técnicas;
* Gestão da continuidade do negócio;
* Gestão deincidentes de segurança da informação e melhorias;

3. Estrutura e forma da norma ISO/IEC 27002

A ISO/IEC 27002 é um código de boas práticas, ou seja, um documento consultivo genérico, e não verdadeiramente uma norma ou especificação formal, como a ISO/IEC 27001. Ela define um conjunto estruturado de controles, sugeridos para tratar os riscos de segurança das informações que abrangem osaspectos da confidencialidade, integridade e disponibilidade.
As organizações que adotam a norma ISO/IEC 27002 visam avaliar seus próprios riscos à segurança das informações e aplicar os controles adequados a fim de minimizá-los utilizando esta norma como orientação.
A norma sugere um vasto número de controles a serem vistos adiante, no entanto, ela não indica ou mostra quais controles podem ou...
tracking img