Curso ISO 27000 - Overview
1 gostou2,404 visualizações
Este documento apresenta um curso sobre a norma ISO 27000. O curso terá 40 horas de duração divididas em 5 aulas com intervalos. O instrutor é um especialista em segurança da informação com experiência em bancos e universidades. O documento também resume as principais normas de segurança da informação da ISO e onde elas podem ser aplicadas.
Curso ISO 27000 - Overview
- 1. © 2011 Marcelo Lau o Curso ISO 27000 Overview Prof. Marcelo Lau
- 2. © 2011 Marcelo Lau Estrutura do curso Carga horária: 40 horas. 5 aulas (8 horas) com 2 intervalos de 15 minutos e 1 intervalo de 1 hora (almoço). Necessária Frequência Mínima de 80%. 2
- 3. © 2011 Marcelo Lau Instrutor Prof. Msc. Marcelo Lau E-mail: marcelo.lau@datasecurity.com.br Diretor Executivo da Data Security. Atuou mais de 12 anos em bancos brasileiros em Segurança da Informação e Prevenção à Fraude. Atualmente ministra aulas de formação em Compliance pela FEBRABAN, e Forense Computacional na Universidade Presbiteriana Mackenzie e na FIAP. Foi professor no MBA de Segurança da Informação da FATEC/SP Coordenou o curso de Gestão em Segurança da Informação e Gerenciamento de Projetos no SENAC/SP. É Engenheiro eletrônico da EEM com pós graduação em administração pela FGV, mestre em ciência forense pela POLI/USP e pós graduado em comunicação e arte pelo SENAC-SP. Ministra curso em Países como: Angola, Argentina, Colômbia, Bolívia, Perú e Paraguai. É reconhecido pela imprensa Brasileira e Argentina com trabalhos realizados em vários países do mundo. 3
- 4. © 2011 Marcelo Lau O que é ISO? Sede: Genebra – Suíça. Fundação: 1946. Países integrantes: 161. Brasil: ABNT – Associação Brasileira de Normas Técnicas. Objetivo: Desenvolver e promover normas que possam ser utilizadas por todos os países do mundo. 4
- 5. © 2011 Marcelo Lau O que é IEC? International Electrotechnical Commission Fundação: 1906. Objetivo: Desenvolver e promover normas na área da tecnologia elétrica, incluindo eletrônica, eletroacústica, energia, etc. 5
- 6. © 2011 Marcelo Lau O que é AMN? Asociación Mercosur de Normalización Fundação: 1991 Objetivo: a promoção do desenvolvimento da normalização e atividades conexas, bem como da qualidade de produtos e serviços, nos países membros do Mercosul. Representada no Brasil pela ABNT (Associação Brasileira de Normas Técnicas). 6
- 7. © 2011 Marcelo Lau Segurança da Informação no Brasil Normas traduzidas pela ABNT: NBR ISO/IEC 17799:2005 – Tecnologia da Informação – Técnicas de Segurança – Código de Prática para Gestão de Segurança da Informação. Controles de segurança da informação. NBR ISO/IEC 27002:2005 – Política de Segurança - Segurança em Recursos Humanos - Segurança física e do ambiente - Controle de acessos - Aquisição, desenvolvimento e manutenção de sistemas de informação - Gestão de incidentes de segurança da informação - Gestão da continuidade do negócio - Conformidade 7
- 8. © 2011 Marcelo Lau Segurança da Informação no Brasil Normas traduzidas pela ABNT: NBR ISO/IEC 27001:2006 – Tecnologia da Informação – Técnicas de Segurança – Sistema de Gestão de Segurança da Informação – Requisitos. Requisitos de sistemas de gestão da informação. NBR ISO/IEC 27005:2008 – Tecnologia da informação - Técnicas de segurança - Gestão de riscos de segurança da informação 8
- 9. © 2011 Marcelo Lau Segurança da Informação no Brasil Normas traduzidas pela ABNT: NBR ISO/IEC 27011:2009 – Tecnologia da informação - Técnicas de segurança - Diretrizes para gestão da segurança da informação para organizações de telecomunicações baseadas na ABNT NBR ISO/IEC 27002:2009 NBR ISO/IEC 27004:2010 – Tecnologia da informação — Técnicas de segurança — Gestão da segurança da informação — Medição 9
- 10. © 2011 Marcelo Lau Onde aplicar as ISO 27000 e ISO 17799 ? Como metodologia estruturada com foco à segurança da informação. Como processo de segurança da informação (SGSI) para: Estabelecer. Implementar. Operar. Monitorar. Analisar Criticamente. Manter. Melhorar. Como controle. Abrangendo as melhores práticas em segurança da informação. Aplica-se à empresas/organizações: Independente do Tamanho / Tipo / Natureza. 10
- 11. © 2011 Marcelo Lau Onde aplicar as ISO 27000 e ISO 17799 ? Influências para especificação e implementação da SGSI. Necessidades e objetivos. Requisitos de segurança. Processos empregados. Tamanho e estrutura da organização. Espera-se que a SGSI. Seja aderente à evolução de seu: Ambiente; Sistema; e Empresa. Espera-se usar a norma para avaliar a conformidade por partes: Internas. (Ex: Auditorias internas). Externas. (Ex: Empresas certificadoras). 11
- 12. © 2011 Marcelo Lau Conteúdo completo da formação Introdução à ISO 27000 Termos e definições ISO 27001 - Sistema de Gestão de Segurança da Informação ISO 27002 – Controles ISO 27004 - Métricas para a Gestão da Segurança da Informação ISO 27005 – Gestão de Riscos de Segurança da Informação ISO 27011 – Diretrizes para gestão de segurança da informação para organizações de telecomunicações baseadas na ISO 27002 ISO 19011 – Diretrizes para auditorias de sistema de gestão da qualidade e/ou ambiental 12
- 13. © 2011 Marcelo Lau Referências adicionais para estudo Bibliografia Data Security (http://www.datasecurity.com.br) em: Análise de vulnerabilidade. Forense Computacional. Biometria. Segurança em Sistemas Operacionais. Ameaças aos sistemas computacionais. E muito mais... 13