Como implantar um Sistema de Gestão de Segurança da Informação – SGSI – parte 10
Chegamos ao último post da primeira série Como implantar um Sistema de Gestão de Segurança da Informação e iremos falar sobre os itens 16, 17 e 18 da norma 27002 que são os controles para os requisitos da 27001.
Gestão de Incidentes de Segurança da Informação, devemos definir os procedimento e as responsabilidade de tal modo que possamos garantir uma resposta rápida, assertiva e ordenada, com enfoque consistente e efetivo incluindo comunicação sobre fragilidade e eventos de segurança da informação.
Comunicar a direção em canais apropriados o mais rápido que possível sobre eventos de segurança da informação.
Os funcionários e partes externas devem ser instruídos a registrar qualquer fragilidade do sistema de informação a respeito da segurança, suspeita ou observada, nos sistemas e serviços.
Os eventos de segurança da informação devem ser avaliados e decidido se são classificados como incidentes de segurança da informação, e devem ser tratados de acordo com os procedimento documentados.
A organização deve elaborar procedimento para identificação, coleta e preservação de informações que possam servir de evidências.
Aspectos da Segurança da Informação da Gestão da Continuidade do Negócio, primeiramente deveremos contemplar a continuidade da Segurança das Informações no PCN corporativo.
Para isso a organização deverá determinar a continuidade da segurança da informação em situações adversas como uma crise ou desastre, para isso a organização deverá estabelecer, documentar implementar e manter processos, procedimentos e controles apropriados para assegurar o nível requerido de continuidade da segurança da informação em situação adversa. Verificando os controles estabelecidos e implementados á intervalos planejados para garantir que eles são validos e eficazes.
Os recursos de processamento de informação devem ser implementados com redundância para atender os requisitos de disponibilidade e seguindo as recomendações de boas e reconhecidas práticas de mercado.
Conformidade, devemos garantir a não violação de requisitos legais, estatutários, regulamentares ou contratuais relacionadas á segurança da informação e de qualquer requisitos de segurança, para isso devemos identificar esses requisitos e a perspectiva da organização para atende-los, devem ser explicitamente identificados, documentados e mantidos atualizados.
Procedimentos apropriados devem ser implementados para garantir a conformidade com os requisitos legislativos, regulamentares e contratuais relacionados aos direitos de propriedade intelectual e sobre o uso de produtos proprietários.
Leis que toda empresa em território nacional deve estar em conformidade:
LEI Nº 9.609 , DE 19 DE FEVEREIRO DE 1998.
Dispõe sobre a proteção da propriedade intelectual de programa de computador, sua comercialização no País, e dá outras providências.
LEI Nº 9.610, DE 19 DE FEVEREIRO DE 1998.
Altera, atualiza e consolida a legislação sobre direitos autorais e dá outras providências.
LEI Nº 12.737, DE 30 DE NOVEMBRO DE 2012.
Dispõe sobre a tipificação criminal de delitos informáticos; altera o Decreto-Lei no 2.848, de 7 de dezembro de 1940 – Código Penal; e dá outras providências.
Devemos garantir a proteção de registros contra perda, destruição, falsificação, acesso e liberação não autorizada de acordo com os requisitos legais e contratuais.
A privacidade e a proteção das informações de identificação pessoal devem ser asseguradas conforme requerido por requisitos legais e contratuais pertinentes e quando aplicável.
Controles criptográfico devem ser usados em conformidade com todos os requisitos legais, regulamentares e acordos pertinentes.
A segurança da informação, devem ser analisados criticamente de forma independente, a intervalos planejados, ou quando houverem mudanças significativas, assim como os gestores devem analisar criticamente, a intervalos regulares a conformidade dentro dos seus próprios departamentos ou áreas de responsabilidades, com as normas e políticas ou quaisquer outros requisitos de segurança da informação.
Os sistemas de informação também devem ser analisados a intervalos regulares quando a conformidade com as normas, políticas e requisitos de segurança da informação.
Aqui concluímos nossa abordagem aos itens da norma 27002 e agora iniciaremos da norma 27001. Ainda nessa série pretendemos abordar outras normas que fazem parte do bundle 27000 e que nos ajudarão na implantação do SGSI como, 27003, 27004, 27005, 27007 e 270014, onde passaremos rapidamente sobre elas e futuramente disponibilizaremos materiais de apoio como ferramentas de modelo para uma gestão simplificada da segurança no ambiente das organizações.