Blog Comunidade Semana do Linux

 Blog Comunidade Semana do Linux

Segurança da Informação - Família ISO 27000

Segurança da Informação - Família ISO 27000

Com os adventos da tecnologia no mundo corporativo, em franco crescimento é importante conhecer como funciona a questão das normas diretivas de Segurança da Informação, ou seja, a família ISO 27000.

Importante lembrar que todas as normas são descritas de modo a ajudar, não impor, maneiras de alinhar as atividades de segurança das empresas de modo que e tenha um norte na aplicação das regras. Cada norma INDICA, como deve ser feito, qual a forma mais indicada de moldar as sessões aos processos de sua empresa sempre levando em consideração o alinhamento com o negócio.

Estarei colocando aqui como funcionam as normas e um breve resumo de como elas funcionam, fiquem livres pra comentar e contribuir.

Sobre a Família ISO 27000:

Vamos entender o que significa a ISO/IEC:

ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) formam um sistema especializado para padronização mundial. Orgãos nacionais que são membros da ISO/IEC participam do desenvolvimento das Normas Internacionais através de comitês técnicos estabelecidos pela respectiva organização para lidar com campos específicos de atividade técnica. Comitês técnicos da ISO/IEC colaboram em domínios de interesse mútuo. Outras organizações internacionais, governamentais e não-governamentais, afiliadas a ISO/IEC, também participam no trabalho. No campo da tecnologia da informação, a ISO/IEC estabeleceram um comitê técnico conjunto, ISO/IEC JTC 1.

As Normas:

Normas Internacionais para a gestão de sistemas fornecem um modelo a seguir na criação e operação de um sistema de gestão. Este modelo incorpora as características em que os peritos na área tenham atingido um consenso como sendo uma norma de padrão internacional. ISO/IEC JTC 1 /SC 27 mantém um comitê de especialistas dedicada ao desenvolvimento de normas internacionais de sistemas de gestão de segurança da informação, também conhecido como a família Security Management System da Informação (SGSI) das normas.

A Família: 

  • ISO/IEC 27000: É uma norma interessante sobretudo para iniciantes na gestão da segurança da informação. Inclui um glossário de termos que ajuda, inclusive, a quem está se preparando para certificação profissional ISO 27002 Foundation.

    Esta norma, define os requisitos para um Sistema de Gestão da Segurança da Informação (SGSI). O SGSI é descrito como um sistema parte do sistema de gestão global da organização, com base em uma abordagem de risco do negócio, para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a segurança da informação.

    O SGSI inclui estrutura organizacional, políticas, atividades de planejamento, responsabilidades, práticas, procedimentos, processos e recursos. A publicação é muito conhecida entre estudantes de concursos de TI. 

  • ISO 27001: É a principal norma que uma organização deve utilizar como base para obter a certificação empresarial em gestão da segurança da informação. Por isso, é conhecida como a única norma internacional auditável que define os requisitos para um Sistema de Gestão de Segurança da Informação (SGSI).

    Ela ajuda a empresa a adotar um sistema de gestão da segurança da Informação que permita mitigar os riscos de segurança atribuídos a seus ativos e adequar as necessidades a área de negócio. 

Alguns benefícios propostos pela Norma ISO 27001:

  • Reduz o risco de responsabilidade pela não implementação ou determinação de políticas e procedimentos
  • Oportunidade de identificar e corrigir pontos fracos
  • A alta direção assume a responsabilidade pela segurança da informação
  • Permite revisão independente do sistema de gestão da segurança da informação
  • Oferece confiança aos parceiros comerciais, partes interessadas, e clientes
  • Melhor conscientização sobre segurança
  • Combina recursos com outros Sistemas de Gestão
  • Mecanismo para se medir o sucesso do sistema

Estrutura da Norma ISO 27001:

0 – Introdução
1 – Objetivo
2 – Referência normativa
3 – Termos e definições
4 – Sistema de gestão de segurança da informação
5 – Responsabilidade da direção
6 – Auditorias internas do SGSI
7 – Análise crítica do SGSI pela direção
8 – Melhoria do SGSI

A certificação ISO 27001 pode ser obtida por empresas e não por profissionais.


Em breve postarei as demais normas.

Por que ainda as distribuições Linux não ganharam ...
Drupal 8 no Contêiner Docker