ISO17799 Modulo4

Entendendo e implementando a Norma ABNT NBR ISO/IEC 17799:2005
Academia Latino-Americana de Segurana da Informao Aspectos tericos e prticos para implantao da Norma ABNT NBR ISO/IEC 17799:2005
Mdulo 4
Academia Latino-Americana de Segurana da Informao Introduo ABNT NBR ISO/IEC 17799:2005 - Mdulo 4 Microsoft TechNet
Pgina 1
Entendendo e implementando a Norma ABNT NBR ISO/IEC 17799:2005
Apostila desenvolvida pelo Instituto Online em parceria com a Microsoft Informtica
http://www.instonline.com.br/
Reviso 0.9 Setembro de 2006
AUTORES Luiz Gonzaga Fernando Fonseca Wagner Elias Renato Opice Blum e Camilla do Vale Jimene COORDENADORES TCNICOS Fernando Fonseca Arthur Roberto dos Santos Jnior
Pgina 2
COMO USAR ESSE MATERIAL

Este um material de apoio para o curso Entendendo e implementando a ABNT NBR ISO/IEC 17799:2005 ministrado pela Academia de Segurana Microsoft. Durante o curso sero apresentados vrios Webcasts com o contedo deste material acompanhado de slides e voz para ilustrar os conceitos e prticas. A cpia desses slides est em destaque na apostila, seguida de textos com informaes que sero abordadas pelo instrutor nos respectivos Webcasts.
Pgina 3
NDICE
12 AQUISIO, DESENVOLVIMENTO E MANUTENO DE SISTEMAS DE INFORMAO.........................7 Objetivos..................................................................................................................... 8 Uma viso dos critrios, normas e prticas aplicveis................................................... 9 A norma NBR ISO/IEC 12207...................................................................................... 11
processos fundamentais ........................................................................................................................................................ 12 Os processos de apoio .......................................................................................................................................................... 13 Processos organizacionais .................................................................................................................................................... 14
12.1 Requisitos de segurana de sistemas de informao .................. 15

12.1.1 anlise e especificao dos requisitos de segurana ............................................................................................... 15
12.2 Processamento correto nas aplicaes ............................................ 16

12.2.1 Validao dos dados de entrada .............................................................................................................................. 16 12.2.2 Controle do processamento interno ......................................................................................................................... 17 12.2.3 Integridade de mensagens....................................................................................................................................... 17 12.2.4 Validao de dados de sada ................................................................................................................................... 17
12.3 Controles criptogrficos ......................................................................... 19

12.3.1 Poltica para o uso de controles criptogrficos ......................................................................................................... 19 12.3.2 Gerenciamento de chaves ....................................................................................................................................... 19
12.4 Segurana dos arquivos do sistema ................................................... 21

12.4.1 Controle de software operacional ............................................................................................................................. 21 12.4.2 Proteo dos dados para teste de sistema .............................................................................................................. 22 12.4.3 Controle de acesso ao cdigo-fonte de programa .................................................................................................... 22
12.5 Segurana em processos de desenvolvimento e de suporte ..... 23

12.5.1 Procedimentos para controle de mudanas ............................................................................................................. 23 12.5.2 Anlise crtica tcnica das aplicaes aps mudanas no sistema operacional....................................................... 23
Pgina 4
12.5.3 Restries sobre mudanas em pacotes de software .............................................................................................. 24 12.5.4 Vazamento de informaes...................................................................................................................................... 24 12.5.5 Desenvolvimento terceirizado de software ............................................................................................................... 24
12.6 Gesto de vulnerabilidades tcnicas ................................................. 27

12.6.1 Controle de vulnerabilidades tcnicas ...................................................................................................................... 27
Concluso. ................................................................................................................... 28 Objetivos................................................................................................................... 30 13.1 - Gesto de incidentes de segurana da informao....................... 31

13.1.1 Notificao de eventos de segurana da informao .................................................................................................. 31 13.1.2 Notificando fragilidades de segurana da informao .............................................................................................. 33
13.2 Gesto de incidentes de segurana da informao e melhorias34

13.2.1 Responsabilidade e procedimentos ......................................................................................................................... 34 13.2.2 Aprendendo com os incidentes de segurana.......................................................................................................... 36 13.2.3 Coleta de evidncias................................................................................................................................................ 36
14 GESTO DE CONTINUIDADE DE NEGCIOS ................................................................................38 Objetivos................................................................................................................... 39 14.1 Aspectos da gesto da continuidade de negcios, relativos segurana da informao ................................................................................... 40
14.1.1 Incluindo segurana da informao no processo de gesto da continuidade de negcio. ........................................ 42 14.1.2 Continuidade de negcios e anlise/avaliao de riscos.......................................................................................... 43 14.1.3 Desenvolvimento e implementao de planos de continuidade relativos segurana da informao...................... 44 14.1.4 Estrutura do plano de continuidade de negcio........................................................................................................ 45 14.1.5 Testes, manuteno e reavaliao dos planos de continuidade de negcio. ........................................................... 46
Referncias .................................................................................................................. 47 15 CONFORMIDADE .....................................................................................................................48
Pgina 5
Objetivos................................................................................................................... 48 15 - Conformidades ............................................................................................... 50 15.1 - Conformidade com requisitos legais ................................................... 52

15.1.1 Identificao da legislao vigente........................................................................................................................... 54 15.1.2 Direitos de propriedade intelectual ........................................................................................................................... 55 15.1.3 Proteo de registros organizacionais...................................................................................................................... 56 15.1.4 Proteo de dados e privacidade de informaes pessoais ..................................................................................... 57 15.1.5 Preveno de mau uso de recursos de processamento da informao ................................................................... 58 15.1.6 Regulamentao de controles de criptografia .......................................................................................................... 59
15.2 - Conformidades com normas e polticas de segurana da informao e conformidade tcnica ............................................................... 61
15.2.1 Conformidade com as polticas e normas de segurana da informao................................................................... 62 15.2.2 Verificao da conformidade tcnica........................................................................................................................ 62
15.3 - Consideraes quanto auditoria de sistemas de informao . 63

15.3.1 Controles de auditoria de sistemas de informao................................................................................................... 63 15.3.2 Proteo de ferramentas de auditoria de sistemas de informao ........................................................................... 64
Encerramento............................................................................................................ 65
Pgina 6
Captulo
12
12 AQUISIO, DESENVOLVIMENTO E SISTEMAS INFORMAO MANUTENO DE SISTEMAS DE INFORMAO.
POR LUIZ GONZAGA.
NESTE CAPTULO APRESENTAREMOS CRITRIOS, NORMAS E PRTICAS ALM DOS CUIDADOS COM A SEGURANA DA INFORMAO - NECESSRIOS S ATIVIDADES DE AQUISIO, DESENVOLVIMENTO E MANUTENO DOS SISTEMAS DE INFORMAO.
Pgina 7
OBJETIVOS
O objetivo deste captulo possibilitar que o conhecimento e a adequada compreenso dos critrios, normas e prticas necessrios s atividades de aquisio, desenvolvimento e manuteno dos sistemas de informao, aliados utilizao das prticas recomendadas pela indstria e pelos organismos que promovem e divulgam estudos, pesquisas e tcnicas ligadas segurana da informao, possam servir de apoio realizao dessas atividades sem acrescentar riscos ou vulnerabilidades aos sistemas de informao e aos negcios. Ao final deste captulo voc estar apto a: Avaliar os critrios, normas e prticas aplicveis aos processos de aquisio, desenvolvimento e manuteno; Estabelecer parmetros para a tomada de deciso sobre aquisio, desenvolvimento e manuteno de sistemas de informao; Classificar e avaliar fornecedores e produtos de software e sistemas de informao; Validar os objetivos e efetivar os controles da norma NBR ISO/IEC 17799:2005 nos processos de aquisio, desenvolvimento e manuteno de sistemas de informao. De modo a garantir a segurana da informao.
Pgina 8
UMA VISO DOS CRITRIOS, NORMAS E PRTICAS APLICVEIS.

Algumas instituies colaboradoras: CMM (2) MPS.BR (F e G) SA-CMM CMMI-AM (nvel 2) ISO/IEC 15504 (Spice) CoBit (domnio Aquisio e Implementao) Normas adicionais: ISO/IEC 9126 (estabelece as caractersticas de qualidade) ISO/IEC 14948 (processo de avaliao de produtos de software) ISO/IEC 12119 (requisitos de qualidade e testes de pacotes de software)
As atividades de aquisio, desenvolvimento e manuteno de sistemas esto, de forma intrnseca, ligadas Segurana da Informao. A Norma NBR ISO/IEC 17799:2005 estabelece objetivos e controles para essas atividades, com o intuito de garantir que a Segurana da Informao seja mantida ou promovida durante todo o processo. Diversas instituies tm colaborado na produo de normas, regulamentos e guias de melhores prticas aplicveis a essas atividades, sendo algumas bastante divulgadas, como por exemplo: CMM (2) MPS. BR (F e G) SA-CMM CMMI-AM (nvel 2) ISO/IEC 15504 (Spice) CoBit (domnio Aquisio e Implementao) Alm dessas, bom destacar que h um conjunto adicional que auxilia no estabelecimento de critrios objetivos voltados aos cuidados necessrios para a obteno de bons resultados nesses processos. Nesse aspecto cabe citar as seguintes normas: ISO/IEC 9126 (estabelece as caractersticas de qualidade) ISO/IEC 14948 (processo de avaliao de produtos de software) ISO/IEC 12119 (requisitos de qualidade e testes de pacotes de software)
Pgina 9
Todo o conhecimento oferecido por esse vasto material tem como objetivo dar condies para o estabelecimento de critrios objetivos e delineamento do processo de aquisio, desenvolvimento e manuteno de sistemas de informao. Esses critrios, aliados aos objetivos e controles estabelecidos pela Norma ISO/IEC 17799, compem os mecanismos que possibilitaro o emprego correto de esforo e de recursos da organizao no intuito de garantir a Segurana da Informao. Convm salientar que normas estabelecem prioritariamente o qu deve ser feito, e no como. De posse desses conhecimentos cabe cada organizao, em funo de suas caractersticas, regular os procedimentos de acordo com a sua poltica de segurana. O atendimento a legislao tambm deve ser uma constante preocupao dos responsveis pela gesto da segurana da informao e pelos processos de aquisio, desenvolvimento e manuteno dos sistemas de informao. Regulamentos legais como a Lei Federal 8.078/1990 (Cdigo de Defesa do Consumidor) e a Lei Federal 8.666/1993 (Lei das Licitaes) para organizaes do setor pblico - so importantes marcos regulatrios e fazem parte do ferramental a ser estudado, utilizado e observado. Fazer parte e manter constante intercmbio de informaes com rgos empresariais de classe, tais como a Assespro e a Sucesu, manter e atualizar informaes de fornecedores de produtos e servios, solicitar demonstraes e apresentaes, realizar diligncias e visitas aos fornecedores e seus clientes tambm so medidas que fazem parte do arsenal de melhores prticas para os condutores dos processos de aquisio, desenvolvimento e manuteno dos sistemas de informao, como requisito para a garantia da segurana da informao.
Pgina 10
A NORMA NBR ISO/IEC 12207
A norma ISO/IEC 12207 classifica o processo de aquisio de software como sendo todas as atividades e tarefas que devero ser realizadas pela organizao para concluir a aquisio. O processo inicia-se com a identificao da necessidade e a opo por adquirir um sistema, cujo desenvolvimento seja totalmente executado pelo fornecedor, pelo fato de adquirir um produto de software ou pacote ou contratar servios, seja de consultoria, anlise, desenvolvimento, fbrica de software, instalao, configurao, testes, suporte ou treinamento, entre outros. A Norma NBR ISO/IEC 12207 - Processos do Ciclo de Vida do Software - tem como principal objetivo fornecer uma estrutura comum para que os agentes (comprador, fornecedor, desenvolvedor, mantenedor, operador, gerentes e tcnicos) envolvidos com o desenvolvimento de software utilizem um padro de linguagem. Este padro estabelecido atravs de processos claramente definidos. A norma foi estruturada de maneira a ser flexvel, modular e adaptvel s necessidades dos usurios. Est baseada nos princpios de modularidade e responsabilidade. Essa caracterstica modular representada pelos processos com mnimo acoplamento e mxima coeso, e a responsabilidade representada pelo estabelecimento de um responsvel nico por cada processo, possibilitando a aplicao da norma mesmo em projetos nos quais h a necessidade do comprometimento de vrias pessoas, inclusive com implicaes legais.
Pgina 11
Como j citado, a norma composta por um conjunto de processos, atividades e tarefas que podem ser adaptados de acordo com os projetos de software. Estes processos so classificados em fundamentais, de apoio e organizacionais como mostrados na figura 1. Os processos de apoio e organizacionais devem existir independentemente da organizao e do projeto que est sendo executado. Os processos fundamentais so instanciados de acordo com a situao.
PROCESSOS FUNDAMENTAIS
So responsveis pela gerao dos produtos de software, constituindo o ciclo de vida de software propriamente dito. So representados pelos seguintes processos: a. Aquisio: Define as atividades para a organizao que busca a aquisio de um sistema ou produto de software. Este processo Inicia-se com a definio da necessidade de adquirir um sistema, um produto de software ou um servio de software, passando pela preparao e emisso de pedido de proposta, seleo de fornecedor e gerncia do processo de aquisio atravs da aceitao do sistema, produto de software ou servio de software. b. Fornecimento: Define as atividades do fornecedor ou organizao que oferta o produto de software. O processo inicia-se na deciso de apresentar uma proposta a um pedido de um cliente ou na assinatura de um contrato para fornecer o sistema, produto de software ou servio de software. E segue na determinao dos procedimentos e recursos necessrios para gerenciar e garantir a execuo do projeto, incluindo o desenvolvimento e a execuo dos planos de projeto, at a entrega do produto final, se j ele um sistema, produto de software ou servio de software. c. Desenvolvimento: Define as atividades do desenvolvedor, ou aquele que define e desenvolve o produto de software. O processo contm as atividades para anlise de requisitos, projeto, codificao, integrao, testes, instalao e aceitao relacionada aos produtos de software. d. Operao: Define as atividades do operador, ou seja, aquele que prov servio de operao de um sistema computacional no seu ambiente de funcionamento para seus usurios. O processo cobre a operao do produto de software e o suporte aos usurios. e. Manuteno: Define as atividades do responsvel pelos servios de manuteno do software, isto , gerenciamento de modificaes no software para mant-lo atualizado e em perfeitas condies de operao. Isso ocorre quando o esse produto submetido a modificaes no cdigo e
Pgina 12
na documentao associada, quer seja devido a um problema ou necessidade de melhoria ou adaptao. O objetivo modificar o produto de existente, preservando a sua integridade.
OS PROCESSOS DE APOIO
So processos que tm como objetivo auxiliar outros processos, objetivando principalmente a qualidade e o sucesso do projeto. So representados por: a. Documentao: Trata das atividades voltadas ao registro das informaes produzidas por um processo ou atividade do ciclo de vida. Contempla o conjunto de atividades que planeja, projeta, desenvolve, produz, edita, distribui e mantm os documentos necessrios a todos os envolvidos com o sistema ou produto de software. b. Gerncia de Configurao: Contempla as atividades para a aplicao de procedimentos administrativos e tcnicos durante todo o ciclo de vida de software, com o intuito de identificar e definir os itens em um sistema e estabelecer suas linhas bsicas, controlar as modificaes e liberaes dos itens, registrar e apresentar a situao dos itens e dos pedidos de modificao, garantir a adequao, a consistncia e a correo, e controlar o armazenamento, a manipulao e a distribuio dos itens. c. Garantia da Qualidade: Define as atividades para fornecer a garantia adequada de que os processos e produtos de software, no ciclo de vida do projeto, estejam em conformidade com os requisitos especificados e sejam aderentes aos planos estabelecidos. A abrangncia do processo inclui questes como garantia de qualidade do produto (NBR 13596 que corresponde ISO/IEC 9126), do processo e do sistema de qualidade. d. Verificao: Trata das atividades para verificao dos produtos de software. um processo para determinar se os produtos de uma atividade atendem completamente aos requisitos ou condies a eles impostas. e. Processo de Validao: Contempla as atividades para validao dos produtos produzidos pelo projeto de software. um processo para determinar se os requisitos e o produto final (sistema ou software) atendem ao uso especfico proposto. f. Processo de Reviso Conjunta: Define as atividades para avaliar a situao e produtos de uma atividade em um projeto, se apropriado. As revises conjuntas so feitas tanto nos nveis de gerenciamento do projeto, como nos nveis tcnicos e so executadas durante a vigncia do contrato. g. Processo de Auditoria: Estabelece as atividades para determinar adequao aos requisitos, planos e contrato, quando apropriado.
Pgina 13
h. Processo de Resoluo de Problemas: Define um processo para analisar e resolver os problemas (incluindo no-conformidades), de qualquer natureza ou fonte, que so descobertos durante a execuo do desenvolvimento, operao, manuteno ou outros processos. O objetivo prover os meios em tempo adequado e de forma responsvel e documentada para garantir que todos os problemas encontrados sejam analisados e resolvidos e tendncias sejam identificadas.
PROCESSOS ORGANIZACIONAIS
Tm como objetivo garantir e melhorar os processos dentro da organizao. So representados pelos: a. Processo de Gerncia: Define as atividades genricas que podem ser empregadas por quaisquer das partes que tm que gerenciar seu(s) respectivo(s) processo(s). O gerente responsvel pelo gerenciamento de produto, gerenciamento de projeto e gerenciamento de tarefa do(s) processo(s) aplicvel (eis), tais como: aquisio, fornecimento, desenvolvimento, operao, manuteno ou processos de apoio. b. Processo de Infra-estrutura: Define as atividades para estabelecer e manter a infra-estrutura necessria para qualquer outro processo. A infraestrutura pode incluir hardware, software, ferramentas, tcnicas, padres e recursos para o desenvolvimento, operao ou manuteno. c. Processo de Melhoria: Define as atividades bsicas que uma organizao (isto , adquirente, fornecedor, desenvolvedor, operador, mantenedor, ou o gerente de outro processo) executa para estabelecer, avaliar, medir, controlar e melhorar um processo de ciclo de vida de software. d. Processo de Treinamento: Define as atividades para prover e manter pessoal treinado. A aquisio, o fornecimento, o desenvolvimento, a operao ou a manuteno de produtos de software so extremamente dependentes de pessoal com conhecimento e qualificao. Portanto, essencial que o treinamento seja planejado e implementado com antecedncia para que o pessoal treinado esteja disponvel quando o produto de software for adquirido, fornecido, desenvolvido, operado ou mantido. A Norma tambm descreve o Processo de Adaptao que contm as atividades bsicas para adaptar a Norma a uma organizao ou projeto especfico. Uma vez implantada a metodologia, o atendimento aos requisitos de segurana definidos pela poltica de segurana da organizao podero ser facilmente implementados nesses processos, resultando em maior efetividade.
Pgina 14
12.1 REQUISITOS DE SEGURANA DE SISTEMAS DE INFORMAO
Visa garantir que segurana parte integrante de sistemas de informao, a partir do estabelecimento de mecanismos de controle que enfatizem essa caracterstica no processo de aquisio, desenvolvimento e manuteno dos sistemas de informao..
Uma vez estabelecido um mtodo para a execuo, acompanhamento e controle dos processos de aquisio, desenvolvimento e manuteno dos sistemas de informao, necessrio garantir a segurana como parte integrante dos sistemas de informao, desde o primeiro momento do projeto. O objetivo desse item da norma exatamente esse: garantir que segurana parte integrante de sistemas de informao, a partir do estabelecimento de mecanismos de controle que enfatizem essa caracterstica no processo de aquisio, desenvolvimento e manuteno dos sistemas de informao.
12.1.1 ANLISE E ESPECIFICAO DOS REQUISITOS DE SEGURANA

Este elemento de controle prioriza a aderncia aos requisitos de segurana estabelecidos pela poltica de segurana da organizao, tornando-os parte do processo de anlise e especificao. Desse modo, os requisitos para controles de segurana nas especificaes de requisitos de negcios devem ser estabelecidos e especificados, em consonncia com a poltica de segurana, quer seja para novos sistemas de informao a serem adquiridos, desenvolvidos, ou para a realizao de manuteno ou implementao de melhorias em sistemas j existentes. importante que esse elemento de controle esteja plenamente integrado aos processos de desenvolvimento interno ou externo, de forma que no apresente complexidade em sua operacionalizao e no comprometa os prazos, custos e objetivos dos sistemas de informao, pois, de outro modo, certamente ser deixado em segundo plano em caso de necessidade.
Pgina 15
12.2 PROCESSAMENTO CORRETO NAS APLICAES
Visa prevenir:
A ocorrncia de erros, Perdas de informaes Modificao no autorizada ou mal uso de informaes em aplicaes.
Atravs da:
Validao dos dados, Controle do processamento interno, Proteo da integridade da mensagem, Validao dos dados de sada.
Os principais objetivos dos requisitos de segurana dos processos de aquisio, desenvolvimento e manuteno dos sistemas de informao deve ser prevenir a ocorrncia de erros, perdas, modificao no autorizada ou mal uso de informaes em aplicaes. Convm salientar que tais ocorrncias representam perdas para o negcio, e boa parte delas expressam vulnerabilidades que expem a organizao a riscos. Um sistema de informaes seguro aquele que reduz o risco, se antecipa s ameaas e, principalmente, evita desvios no objetivo de sua aplicao. Com esse intuito, devem ser estabelecidos os mecanismos de controle que venham a garantir essa eficcia, a saber:
12.2.1 VALIDAO DOS DADOS DE ENTRADA

Este item de controle estabelece que deva ser incorporados elementos de controle cujo objetivo garantir que os dados de entrada de aplicaes estejam corretos e sejam apropriados aos requisitos de negcio e aos requisitos de segurana. Para tanto, esses dados devem ser validados tambm sob a tica da poltica de segurana da organizao. Esses elementos so de fundamental importncia para a segurana da informao, pois sabido que a grande maioria das tragdias tem sua origem em falhas na validao inicial dos dados que possibilitam a insero de informaes que induzem os sistemas de informao a erro, quer seja pelo descuido, pelo desconhecimento ou despreparo, ou mesmo intencionalmente. O uso de
Pgina 16
ferramentas de automatizao do processo de teste da validao dos dados de entrada e a elaborao e aperfeioamento constante de check lists uma prtica altamente recomendvel.
12.2.2 CONTROLE DO PROCESSAMENTO INTERNO

um item de controle que implica no dever de incorporar, nas aplicaes, checagens de validao com o objetivo de detectar qualquer corrupo de informaes, por erros ou por aes deliberadas. Falhas no processamento interno das aplicaes geralmente implicam em perdas para a organizao e, alm disso, expem elementos internos fundamentais para a segurana da informao. Consequentemente representam vulnerabilidades e risco, que devem ser mitigados atravs desse controle. Se uma aplicao realmente segura, ento o resultado de um processamento interno deve ser conhecido ou esperado, e, portanto, pode ser objeto de validao.
12.2.3 INTEGRIDADE DE MENSAGENS

Mecanismos de controle precisam ser incorporados ao processo para assegurar que os requisitos de garantia de autenticidade e a proteo da integridade das mensagens das aplicaes sejam devidamente implementados. As mensagens das aplicaes so os elementos principais da comunicao com os usurios, e contm informaes importantes para o sistema e para o negcio. Da comunicao eficiente entre o sistema de informaes e os usurios deriva boa parte da segurana da informao das organizaes. Em funo disso, requisitos para garantir a autenticidade e proteger a integridade das mensagens em aplicaes devem ser identificados, e os controles apropriados, identificados e implementados.
12.2.4 VALIDAO DE DADOS DE SADA

Como dito anteriormente, caracterstica de uma aplicao segura a previsibilidade do processamento, de tal forma que os dados de sada possam ser validados. Esse item estabelece a necessidade de um controle, uma vez que os dados de sada das aplicaes devem ser validados para assegurar que o processamento das informaes armazenadas est correto e apropriado s circunstncias.
Pgina 17
importante notar que, de maneira muito freqente, os dados de sada de uma aplicao ou processamento constituir-se-o dados de entrada para outra aplicao ou processamento, internamente ou no ambiente externo da organizao.
Pgina 18
12.3 CONTROLES CRIPTOGRFICOS
Visa proteger a confidencialidade, autenticidade ou a integridade das informaes, atravs de:

Poltica para uso de controles criptogrficos, Gerenciamento de chaves
comum afirmar que a criptografia um eficiente meio de proteger a confidencialidade, autenticidade ou integridade das informaes. Por meios criptogrficos os sistemas de informao podem evitar o acesso indevido ou a corrupo dos dados. Esse item enumera os requisitos para o correto e proveitoso uso da criptografia nos sistemas de informao da organizao.
12.3.1 POLTICA PARA O USO DE CONTROLES CRIPTOGRFICOS

Esse elemento de controle objetiva estabelecer uma poltica para a aplicao da criptografia nos sistemas de informao. Deve ser desenvolvida e implementada uma poltica para o uso de controles criptogrficos para a proteo das informaes, sua correta classificao e a definio dos meios de acesso e circulao das informaes, alm da definio do nvel de acesso de cada usurio s informaes classificadas.
12.3.2 GERENCIAMENTO DE CHAVES

Elementos fundamentais para a segurana da informao, o gerenciamento das chaves criptogrficas merece especial cuidado e ateno. Esse mecanismo de controle tem por objetivo a definio e implementao de um processo de gerenciamento de chaves para apoiar o uso de tcnicas criptogrficas pela organizao.
Pgina 19
Especial ateno deve ser dada armazenagem, custdia e manuseio das chaves, com a responsabilizao formal e plenamente consciente de todos os que participarem desses processos.
Pgina 20
12.4 SEGURANA DOS ARQUIVOS DO SISTEMA
Visa controlar os acessos aos arquivos e aos programas de cdigo-fonte atravs de:
Controle de software operacional, Proteo dos dados de teste de sistema, Controle de acesso ao cdigo-fonte de programa.
Os arquivos do sistema sejam bibliotecas, rotinas ou arquivos de configurao, so alvos prediletos dos ataques intencionais. Alm disso, so tambm cruciais para garantir a disponibilidade das informaes e o correto funcionamento dos sistemas de informao. Um item elementar para a segurana das informaes a garantia da segurana de arquivos de sistema, atravs dos controles enumerados a seguir:
12.4.1 CONTROLE DE SOFTWARE OPERACIONAL

Um item de controle de fundamental importncia a definio de procedimentos para controlar a instalao de software em sistemas operacionais. O alto grau de dependncia entre os sistemas de informao e os sistemas operacionais, aliado ao fato de estes terem seu funcionamento e funcionalidades amplamente divulgados e estudados, representam um elevado grau de risco. Vulnerabilidades recm descobertas de sistemas operacionais, e falhas extremamente simples de configurao de sistemas de informao em ambientes de sistemas operacionais conhecidos so os alvos preferidos de ataques maliciosos, e representam um expressivo contingente de problemas de segurana da informao. Polticas de segurana que contemplem procedimentos relativamente simples de serem implementados e seguidos, porm compactos e consistentes - no que tange instalao de sistemas e controle do ambiente operacional - so um
Pgina 21
diferencial para o sucesso da garantia da segurana da informao em sistemas de informao.
12.4.2 PROTEO DOS DADOS PARA TESTE DE SISTEMA

Importante mecanismo de controle o que deve ser implementado visando segurana e a confiabilidade dos dados a serem utilizados para testes dos sistemas de informao e sistemas operacionais. Uma vez que tais dados devem refletir ao mximo possvel o ambiente real de operao dos sistemas e, na maioria das vezes so obtidos desse ambiente esses dados de teste devem ser selecionados com cuidado, protegidos durante seu manuseio, obedecendo aos mesmos requisitos de segurana dos dados do ambiente de produo, e o acesso a eles controlado. Fundamental importncia deve ser dada tambm ao descarte dos resultados dos testes, principalmente no caso de gerao de mdias ou documentos impressos.
12.4.3 CONTROLE DE ACESSO AO CDIGO-FONTE DE PROGRAMA

Um controle crucial e polmico o que deve ser estabelecido quanto ao acesso ao cdigo-fonte dos sistemas de informao. Por definio, o acesso ao cdigo-fonte deve ser restrito. O acesso, manuseio e o armazenamento desses devem estar submetidos a um rgido controle, e devem ser objeto de destaque na elaborao dos requisitos de segurana. Preferencialmente, deve ser evitado ou limitado o acesso ao conjunto dos cdigos-fonte, o qual dever ocorrer apenas no momento de gerao das verses executveis para teste e entrega, em ambiente especificamente preparado para isso e, evidentemente, seguro. O uso de produtos de controle de acesso e de verso altamente recomendvel, chegando mesmo a ser essencial. Cpias de segurana requerem tratamento especial, que deve ser claramente definido nos requisitos de segurana e na poltica de segurana da organizao. Deve ser evitada a utilizao de mdias removveis, e o transporte, se realmente necessrio, deve fazer uso da criptografia. Uma boa e salutar prtica tambm o apagamento seguro dos arquivos dos cdigos-fonte, quando houver a necessidade da utilizao destes em ambientes distintos.
Pgina 22
12.5 SEGURANA EM PROCESSOS DE DESENVOLVIMENTO E DE SUPORTE
Visa manter a segurana de sistemas aplicativos e da informao, atravs:

Procedimentos para controle de mudanas, Anlise crtica tcnica das aplicaes aps mudanas no sistema operacional, Restries sobre mudanas em pacotes de software, Aes preventivas contra vazamento de informaes, Superviso e monitoramento de desenvolvimento terceirizado de software.
Os processos de desenvolvimento e suporte a sistemas de informao trazem em si grande quantidade de riscos em potencial. Seja por falhas ou por aes intencionais, grande parte das vulnerabilidades decorrncia dessas etapas ou atividades. O objetivo dos controles preconizados nesse item manter a segurana de sistemas aplicativos e da informao durante o processo de desenvolvimento e as atividades de suporte operao dos sistemas de informao.
12.5.1 PROCEDIMENTOS PARA CONTROLE DE MUDANAS

Esse mecanismo de controle estabelece que a implementao de mudanas deva ser monitorado utilizando procedimentos formais de controle de mudanas. Uma boa referncia para a implementao desses mecanismos o que estabelece o PMBOK do PMI, no item 4.6 Controle Integrado de Mudanas. Especial ateno deve ser dada aos impactos das mudanas propostas em todos os aspectos do negcio e da segurana da informao. Aes preventivas e corretivas devem ser estabelecidas, e o tratamento da comunicao das mudanas requer planejamento e apoio, o que implica em comprometimento.
12.5.2 ANLISE
CRTICA TCNICA DAS APLICAES APS MUDANAS NO
SISTEMA OPERACIONAL
O objetivo desse mecanismo de controle possibilitar que aplicaes crticas de negcios sejam analisadas e testadas quando houver alteraes nos sistemas
Pgina 23
operacionais, para garantir que no haver nenhum impacto adverso nas operaes da organizao ou na segurana das informaes causada por falhas nos sistemas de informao. Um tpico pertinente a esse controle que deve ser objeto constante de monitoramento e aprimoramento a aplicao de patches de correo, cujo procedimento deve ser cuidadosamente planejado e exaustivamente testado, preferencialmente com o apoio dos fornecedores.
12.5.3 RESTRIES SOBRE MUDANAS EM PACOTES DE SOFTWARE

O controle proposto por esse item estabelece a expressa limitao de modificaes em pacotes de software. Mudanas no devem ser incentivadas e devem ser limitadas quelas estritamente necessrias. Todas as mudanas devem ser estritamente controladas por procedimentos formais definidos pelo controle de mudanas mencionado no item 12.5.1, e o impacto dessas mudanas deve ser calculado, planejado e deve servir de base para a preparao de aes preventivas e corretivas, de forma que no coloquem em risco a segurana da informao durante a sua operacionalizao.
12.5.4 VAZAMENTO DE INFORMAES

A identificao de oportunidades para o vazamento de informaes o objetivo desse controle. Sua implementao destina-se tambm preveno do vazamento de informaes e tambm deve planejar e estabelecer medidas de conteno e aes preventivas e corretivas no caso de ocorrncias dessa natureza. O acesso a informaes classificadas deve ser planejado de forma a, primeiramente, inibir o vazamento ou acesso indevido a essas informaes. E, caso esse vazamento venha a ocorrer, deve prover mecanismos de identificao e responsabilizao, tambm como forma de inibio. A utilizao de termos de sigilo e confidencialidade uma opo bastante eficaz a ser considerada, aliada aos j tradicionais dispositivos de tecnologia baseados em software e hardware.
12.5.5 DESENVOLVIMENTO TERCEIRIZADO DE SOFTWARE

Este item de controle estabelece que a organizao deva supervisionar e monitorar o desenvolvimento terceirizado de software.
Pgina 24
Item essencial segurana da informao, o desenvolvimento terceirizado deve ser tratado com especial ateno. Parceiros comerciais comprometidos no desenvolvimento de sistemas de informaes seguro devem submeter-se s mesmas polticas de segurana da informao. Termos de sigilo e confidencialidade devem ter itens comuns de co-responsabilizao, e a atuao dos terceiros avalizadas por rgos da classe empresarial tambm fundamental. Os j mencionados aspectos de seleo dos fornecedores e parceiros, as normas e recomendaes aplicveis, a previso de inspees peridicas e a divulgao das polticas de segurana aliada exigncia do estrito cumprimento so fatores de sucesso no relacionamento com terceiros e na garantia do desenvolvimento de software seguro. Dada complexidade da gesto do desenvolvimento terceirizado de software, apresentamos alguns itens de ateno e recomendaes resumidas das melhores prticas a serem adotadas e exigidas dos colaboradores e parceiros: Cuidados no desenvolvimento: Criar e usar funes intrinsecamente seguras; Sempre testar o retorno das funes chamadas; Documentar corretamente as funes (entrada, processamento e sada); Verificar o tratamento de caracteres especiais; Manter uma poltica de verso consistente; S usar componentes e bibliotecas confiveis; Evitar manter informaes sensveis em arquivos temporrios; No colocar senhas e chaves de criptografia no cdigo; Tratar todas as entradas como no confiveis; Exercer rgido controle de verso e acesso a cdigo-fonte; Gerao de cdigo executvel em ambiente especfico e controlado; Controle da distribuio e instalao de cdigo executvel; Ter em mente que a reduo dos erros nos sistemas de informao significa a reduo de riscos e de vulnerabilidades.
Cuidados com as equipes: Educao, informao e formao contnua so essenciais no processo de desenvolvimento; Lembrar que o desconhecido sempre representa risco; Duvidar sempre, por princpio, no somente por hbito; Outros podem conhecer as falhas do software; Novos profissionais chegam ao mercado sem o treinamento e a experincia em escrever - e testar - cdigo seguro;
Pgina 25
Profissionais experientes podem estar desinformados dos ataques e ameaas mais recentes, uma vez que geralmente esto mais envolvidos com as demandas dirias; Excesso de confiana representa um maior risco; Funcionrios, fornecedores e terceiros: o Se voc contratar, confie. Se no pode confiar, no contrate! o Contratos e termos de sigilo e confidencialidade realmente funcionam como inibidores; o Conscincia das ameaas e preocupaes ajudam na preveno e conteno dos riscos e reduo das vulnerabilidades; Conhecimento e apoio poltica de segurana; Substituir a abordagem policial por uma abordagem colaborativa, atravs do conhecimento e apoio poltica de segurana, do respeito mtuo e do comprometimento de todos os membros das equipes e da organizao.
Cuidados com o treinamento: Estabelecer e cumprir um treinamento obrigatrio de segurana para toda a equipe do projeto; Atualizao constante (pelo menos uma reciclagem anual); Treinamento bsico comum, e avanado especfico por funo: o Para a Gerncia do Projeto; o Para a equipe de desenvolvimento; o Para a equipe de testes; o Para a equipe de suporte; Treinamento interno ou externo baseado no tamanho da organizao; Definir mtricas de treinamento: o Quantidade e % da equipe treinada por perodo; o Conscientizao e educao contnua;
Cuidados com a propriedade intelectual e com o direito autoral: Conhecer e divulgar a legislao pertinente: Leis Federais 9.609/1998 e 9.610/1998; Providenciar o registro no rgo competente (INPI); O contrato deve ser expressamente claro nesses aspectos.
Pgina 26
12.6 GESTO DE VULNERABILIDADES TCNICAS
Visa reduzir os riscos decorrentes da explorao de vulnerabilidades tcnicas conhecidas. Para isso:
Obtenha informaes sobre vulnerabilidades tcnicas dos sistemas de informao, Avalie a exposio da organizao a estas vulnerabilidades, Tome medidas apropriadas para lidar com os riscos associados.
Grande parte dos atos de violao da segurana da informao advm da explorao de vulnerabilidades conhecidas. Em funo disso, o objetivo da gesto de vulnerabilidades exatamente reduzir os riscos resultantes da explorao dessas vulnerabilidades tcnicas.
12.6.1 CONTROLE DE VULNERABILIDADES TCNICAS
Esse mecanismo de controle deve ser estabelecido com o intuito de se obter informao suficiente e em tempo hbil sobre vulnerabilidades tcnicas dos sistemas de informao em uso, para que seja avaliada a exposio da organizao a estas vulnerabilidades, e tomadas s medidas apropriadas para lidar com os riscos associados. Com a velocidade da circulao da informao na atualidade, esse controle deve ser planejado para utilizar todos os meios disponveis, incluindo a comunicao pessoal mvel, de modo a permitir que aes preventivas e corretivas sejam adotadas antes que as vulnerabilidades tcnicas possam ser exploradas ou, em no sendo possvel, que se possa fazer uma anlise aprofundada dos riscos aos quais a organizao estar sujeita.
Pgina 27
CONCLUSO.
Os processos de aquisio, desenvolvimento e manuteno dos sistemas de informao so fundamentais para a preservao da segurana da informao nas organizaes. Devido sua complexidade inerente, e do envolvimento de grande parte das organizaes em todo o processo, necessrio um contnuo aprimoramento dos mtodos para adequ-los s necessidades de cada organizao e torn-los cada vez mais eficaz. Nesse tpico abordamos o captulo especfico da norma ISO/IEC 17799 destinada de aquisio, desenvolvimento e manuteno dos sistemas de informao, agregando informaes de outras fontes aliadas s melhores prticas, no intuito de fornecer as bases para a implementao dessas recomendaes como forma de garantia da segurana da informao.
Pgina 28
Capitulo
13
13 GESTO DE INCIDENTES DE SEGURANA DA INFORMAO. POR: FERNANDO FONSECA TRATAREMOS NESTE CAPTULO SOBRE AS AES QUE DEVEM SER TOMADAS EM CASO DE INCIDENTES DE SEGURANA DA INFORMAO.
Pgina 29
OBJETIVOS
O objetivo deste captulo alertar para as medidas que devem ser tomadas em caso de incidentes de segurana da informao, bem como na deteco de possveis fragilidades do sistema. Ao final deste captulo voc estar apto a: Saber quais os procedimentos adequados a serem criados, para que aes rpidas possam ser desencadeadas em caso de incidentes de segurana; Saber da importncia da notificao de eventos de segurana; Entender a necessidade da coleta e manuteno de evidncias de eventos de segurana da informao.
Pgina 30
13.1 - GESTO DE INCIDENTES DE SEGURANA DA INFORMAO
Visa a que fragilidades e eventos de segurana da informao sejam comunicados permitindo tomadas de decises. Obtido atravs de:
Processos de notificao de eventos de segurana da informao; Notificao de fragilidades de segurana da informao.
Para que um sistema de gesto seja bem sucedido, importante que se institucionalizem alguns aspectos bsicos do comportamento organizacional e tambm que nos certifiquemos que o mesmo possua uma srie de decises rpidas previamente definidas, evitando um dispendioso atraso na tomada de decises. Algumas das comunicaes mais importantes dizem respeito notificao de incidentes de segurana da informao. Deve existir um caminho fcil e bem documentado a ser seguido por todos os funcionrios, fornecedores e terceiros que possam vir a identificar um evento como este.
13.1.1 NOTIFICAO DE EVENTOS DE SEGURANA DA INFORMAO

Quando uma violao da poltica de segurana ocorre, este sem dvida o momento em que a empresa mais necessita de uma seqncia de aes precisa e inequvoca. Para que isso acontea, todos devem conhecer um ponto de contato sempre disponvel para as notificaes destes eventos. Um processo formal de notificao assegura que uma resposta rpida ao incidente seja iniciada e que o procedimento adequando de escalonamento seja utilizado.
Pgina 31
Para que se obtenha uma ao eficiente dos colaboradores da organizao, necessrio que todos saibam identificar um incidente de segurana da informao e que conheam sua responsabilidade de notific-los. Para o sucesso deste processo, so recomendados alguns passos importantes: a) A criao de um formulrio interno (eletrnico ou no) no qual o colaborador possa relatar o incidente sem se esquecer de nenhum detalhe importante; b) A documentao e treinamento dos colaboradores quanto ao comportamento correto a ser tomado no momento do incidente. Esta documentao inclui itens como: Anotar minuciosamente todos os detalhes, por mais que no paream importantes; Informar o fato imediatamente ao posto de contato sem tomar nenhuma atitude prpria; No tomar nenhuma atitude que modifique o status do computador (desligar, fechar o programa, etc.); c) Criar um processo disciplinar que fortalea a poltica de segurana, estabelecendo penalidades para os colaboradores que cometerem violaes poltica de segurana. Para que a poltica de segurana no caia em descrdito, necessrio que a alta administrao se comprometa a apoiar as aes disciplinares, sem concesses ou excees.
Quando se fala em incidente de segurana, logo se pensa em uma invaso. Mas temos que manter em mente que um incidente de segurana qualquer coisa que viole a poltica de segurana da empresa, o que geralmente significa algo que prejudique a integridade, disponibilidade e a confidencialidade dos dados. Alguns exemplos de eventos e segurana da informao so: Mau funcionamento de um sistema; Erros humanos; Violao da segurana fsica do ambiente; Mau funcionamento de um hardware (servidor, roteador, switch, etc.); Presena de vrus em um computador.
Um simples mau funcionamento de um sistema pode ser conseqncia de uma invaso do equipamento, de um ataque de vrus ou de uma falha iminente de hardware. Por este motivo recomendado que se notifiquem todas as anomalias detectadas no ambiente para que elas possam ser avaliadas por um profissional e identificadas.
Pgina 32
13.1.2 NOTIFICANDO FRAGILIDADES DE SEGURANA DA INFORMAO

Melhor do que notificar um vento de segurana da informao notificar uma fragilidade que possa gerar este evento. Muitas vezes as pessoas envolvidas nos processos tm uma viso de uma fragilidade que no de conhecimento da rea responsvel. Deve-se procurar estimular os colaboradores para que auxiliem com a melhoria do processo e da segurana final do ambiente.
Pgina 33
13.2 GESTO DE INCIDENTES DE SEGURANA DA INFORMAO E MELHORIAS
Defina responsabilidades da gesto de eventos de segurana da informao; Crie procedimentos de monitoramento de sistemas e alertas; Cuide da manuteno das evidncias do evento de segurana da informao; Quantifique e monitore os custos e quantidades dos incidentes de segurana da informao; Colete, armazene e apresente evidncias.
Uma vez detectado um incidente de segurana da informao, necessrio que se estabelea um processo de reavaliao das contramedidas aplicadas e dos processos de identificao de eventos de segurana. Outro ponto importante do processo a apropriada manuteno das evidncias do evento. Neste ponto recorremos a uma tcnica de percia forense denominada Cadeia de custdia. O termo percia forense diz respeito anlise das evidncias para serem utilizadas em um processo judicial. J a cadeia de custdia consiste na seqncia de aes que visa proteger as evidncias da mesma forma que foram encontradas, utilizando mtodos formais desde a coleta de evidncias at a apresentao na corte.
13.2.1 RESPONSABILIDADE E PROCEDIMENTOS

Para que se tenha uma resposta rpida a eventos, faz-se necessrio que se identifique o responsvel por cada ao a ser tomada durante um incidente, assim como os procedimentos adequados. Em um primeiro momento necessrio que se tenham procedimentos de deteco e reao a eventos como: Perda de disponibilidade de servios de informao; Uso imprprio de sistemas; Negao de servio; Infeco por cdigos maliciosos;
Pgina 34
Invaso em sistemas de informao; Falha de disponibilidade de dados.
Alm da reao ao evento em si e a garantia da continuidade da operao, faz-se necessrio que estes procedimentos contenham aes que garantam o correto diagnstico da causa do evento e a gerao de informaes importantes para eventuais melhorias nos sistemas de informao existentes. Algumas dessas aes devem visar: Identificao da causa do incidente; Comunicao com os colaboradores afetados pelo evento; Notificao do ocorrido autoridade apropriada quando necessrio; Gerao de dados para planejamento de ao corretiva na vulnerabilidade responsvel pelo acontecimento do evento.
Outra ao importantssima para o processo de deteco de fragilidades e adoo de contramedidas a apropriada configurao do sistema para que sejam criadas trilhas de auditoria, que possam ser coletadas, copiadas, protegidas e analisadas para a melhor compreenso dos eventos. Estes registros e eventos sero de extrema utilidade para anlise de problemas internos, uso forense e negociaes de ressarcimento e compensao por perdas. Neste ponto, torna-se evidente a importncia de um procedimento bem estabelecido de controle de logs dentro de qualquer organizao. Para se obter as informaes necessrias sobre um evento, deve-se considerar desde a correta configurao de coleta de dados at a forma de backup dos registros para consultas futuras. Uma vez que o incidente est ocorrendo, necessrio que se tomem determinados cuidados para que as aes de recuperao do sistema sejam cuidadosamente controladas, evitando que um dano maior ocorra, ou que as evidncias dos eventos sejam destrudas no processo de restabelecimento do ambiente. Uma ao importante para o sucesso deste processo cuidar para que todas as aes de recuperao sejam documentadas detalhadamente. Isso permitir que se possa avaliar o impacto das mesmas no estado das evidncias, a fim de que se identifique um possvel problema criado pelo prprio procedimento de recuperao e finalmente para que a anlise do evento contribua para o aperfeioamento do processo como um todo.
Pgina 35
13.2.2 APRENDENDO COM OS INCIDENTES DE SEGURANA

Uma das mximas do gerenciamento a que s se controla o que se mede. Desta forma, com os incidentes de segurana no poderia ser diferente. O registro adequando dos incidentes valiosa fonte de informao para que se possa avaliar recursividade de determinados eventos e a necessidade de se implantar controles adicionais para determinados sistemas. Um histrico bem documentado pode servir para verificar falhas no processo, nas ferramentas e at mesmo justificar um investimento maior em um controle especfico devido a um alto nmero de incidentes de mesma natureza.
13.2.3 COLETA DE EVIDNCIAS

Para que se possa demonstrar que determinado fato realmente ocorreu em um ambiente informatizado, necessrio que se respeite a devida seqncia de proteo destas provas, garantindo que as mesmas cheguem ao seu destino sem a contaminao por parte de pessoas envolvidas no processo. Na hiptese em que o caso pode ir corte, necessrio que se estabelea uma cadeia de custdia que garanta que a evidencia seja aceitvel, de acordo com a legislao local em vigor. Para garantir que determinada vidncia seja aceita em juzo, as empresas devem se certificar que seus sistemas esto de acordo com a norma ou cdigo de prtica vigente para coleta de evidncia admissvel. Existem vrios aspectos relevantes manuteno da cadeia de custdia que devem ser analisados antes de agir em um ambiente atacado, ou melhor, dizendo na cena do crime. Alguns destes procedimentos so: Assegurar-se que a empresa est coletando as provas de maneira legal; Estabelecer um processo de coleta de evidncias em memria voltil; Nunca se trabalhar diretamente na evidncia, uma cpia fiel da evidncia deve ser tirada para que possa ser utilizada para localizao de dados relevantes; Proteger a integridade da evidncia com transporte e armazenamento adequado; Proteger a credibilidade da evidncia lacrando-a e sempre sendo acessada por dois ou mais elementos simultaneamente.
Pgina 36
Como ltima considerao, vemos que as evidncias nem sempre esto restritas a nossa empresa ou pas. Nestes casos torna-se mais complexa a obteno de evidncias, tomando-se o cuidado necessrio para que no se tome nenhuma atitude que as tornem inaceitveis perante a corte.
Pgina 37
Captulo
14
CONTINUIDADE 14 GESTO DE CONTINUIDADE DE NEGCIOS

. POR: WAGNER ELIAS TRATAREMOS NESSE CAPTULO A GESTO DE CONTINUIDADE DE NEGCIOS. O QUE UM PLANO DE CONTINUIDADE DE NEGCIOS? QUAIS AS EQUIPES ENVOLVIDAS? E SUA RELAO COM A NBR ISO/IEC 17799.
Pgina 38
OBJETIVOS
Este captulo aborda a gesto de continuidade de negcios. Ao final deste captulo voc estar apto a: Elaborar um plano de continuidade de negcios; Realizar manuteno em um plano de continuidade de negcios; Testar um plano de continuidade de negcios.
Pgina 39
14.1 ASPECTOS DA GESTO DA CONTINUIDADE DE NEGCIOS, RELATIVOS

SEGURANA DA INFORMAO
Motivador: No permitir interrupes das atividades do negcio e proteger os processos crticos contra falhas ou desatres, assegurando a retomada em tempo hbil.
Um plano de continuidade de negcios compreende uma srie de atividades desenvolvidas para suportar o negcio em uma situao adversa, situao em que, os ativos que suportam os processos de negcio no estejam disponveis ou aptos a sustentar o negcio. Devemos considerar ativos de todos os tipos: TECNOLOGIA DA INFORMAO o Servidores; o Sistema operacional; o Software bsico; o Software aplicativo; o Controladoras de discos; o Impressoras corporativas; o Rede Lan e Wan. NO TI o Catracas, controles de acesso; o Equipamentos de escritrio; o Mquinas industriais; o Antenas e estaes de transmisso; o Central telefnica, etc. INFRA-ESTRUTURA o No-break; o Geradores;
Pgina 40
o Ar condicionado; o Transportes; o Abastecimentos (leo, gs, etc.). PROVEDORES E PARCEIROS o Provedores de telefonia; o Suporte s redes e infra-estrutura; o Servios de comunicao; o Servios de entrega, guarda e manuseio; o Suporte tcnico e manuteno geral. RECURSOS HUMANOS o Funcionrios; o Consultores; o Sub-contratados.
Equipes definidas no Plano de Continuidade de Negcios

Para facilitar a execuo dos planos definido um Comit de Continuidade de Negcios que entre outras atribuies ter que definir as equipes que estaro envolvidas na execuo do Plano de Continuidade de Negcio. Segue um modelo de equipes e suas responsabilidades: Equipe Executiva: garantir que a restaurao do processamento ocorra dentro do prazo estipulado no Plano de Contingncia conforme criticidade de cada sistema; Hardware e Software: identificar o hardware mnimo necessrio para processamento dos sistemas muito crticos e crticos. Garantir a disponibilidade do software bsico e de apoio necessrios operacionalidade; Salvamento e Rescaldo: combater o sinistro, prestar os primeiros socorros, salvar o que puder ser salvo, avaliar a extenso dos danos s instalaes, equipamentos e recursos humanos. Prover a EQUIPE EXECUTIVA de informaes; Logstica: assegurar a disponibilidade de recursos necessrios, de servios administrativos e de comunicaes para as demais equipes, imediatamente aps a ocorrncia do desastre e da deciso de ativar o Plano; Comunicao: garantir que as vias de comunicao entre as equipes esto disponveis.
Pgina 41
Plano de Continuidade de Negcios e a Cadeia de Valor

Para desenvolver um Plano de Continuidade de Negcio efetivo, necessrio mapear a cadeia de valor do negcio. O mapeamento da cadeia de valores feito entendo os processos que suportam o negcio, as interdependncias entre eles e conseqentemente os ativos que suportam os processos.
14.1.1 INCLUINDO SEGURANA DA INFORMAO NO PROCESSO DE GESTO DA CONTINUIDADE DE NEGCIO.

O processo de Gesto da Continuidade de Negcios deve ser referenciado na parte que trata de disponibilidade das informaes na poltica de segurana da empresa. Na poltica de segurana da informao ser endereado a Norma de Continuidade de Negcios, norma que dentre outras informaes, ir descrever principalmente: quais as responsabilidades da equipe de continuidade de negcios, riscos aceitveis pela empresa e definir o que ser considerado um incidente para o comit de continuidade de negcios. O comit de continuidade de negcios dever ser institudo no incio das atividades de elaborao da avaliao de riscos e da elaborao dos planos. Ele ser constitudo por profissionais com habilidades distintas e complementares,
Pgina 42
alguns dos profissionais so: Especialistas jurdicos; Especialistas em marketing e comunicao; Especialistas em Tecnologia; Especialistas em Segurana da Informao e Patrimonial; e Principais Stakeholders.
14.1.2 CONTINUIDADE DE NEGCIOS E ANLISE/AVALIAO DE RISCOS.

A primeira etapa de elaborao de um Plano de Continuidade dos Negcios aps a fase inicial que se resume a planejamento e gesto de projetos, a fase de avaliao de riscos e Anlise de Impactos no Negcio (BIA Business Impact Analysis). Essa fase do projeto tem como objetivo levantar as ameaas a que o negcio est exposto; uma inspeo fsica realizada nos sites onde h processamento de dados ou operao de processos considerados crticos para o negcio, essa inspeo fsica busca controles de segurana fsica nas instalaes. De posse dessa anlise, e atravs de entrevistas com pessoas envolvidas com a manuteno e operao das instalaes possvel fazer uma anlise de risco que ser base para implementao de controles que mitigam esses riscos e anlise de uma possvel estratgia de contingncia. J a Anlise de Impactos nos Negcios feita buscando identificar os processos crticos que suportam a cadeia de valor, e qual impacto para o negcio caso as ameaas mapeadas venham a se concretizar. O Comit de Continuidade de Negcios junto com os especialistas envolvidos ir definir qual o impacto que determinado risco ir causar ao negcio caso seja concretizado. Por se tratar de uma anlise quantitativa os pesos devem ser lanados usando classificaes que identifiquem o nvel de impacto. Exemplo de classificao de impactos: 1. 2. 3. 4. 5. Muito Baixo; Baixo; Mdio; Alto; Muito Alto.
Exemplo de impactos ao negcio:
Pgina 43
Abalo na Imagem da Empresa; Alterao na Quantidade de pessoal necessrio a operao do processo; Aumento nos custos operacionais; Comprometimento em Negcios Futuros; Dano integridade fsica de funcionrios / clientes / outras pessoas; Exposio negativa na mdia; Aumento no Fluxo de Trabalho; Financeiro (perdas derivadas de natureza diversa); Multas e/ou sanes de qualquer natureza; No atendimento de normativas e determinaes Legais (ANEEL, ANATEL, ANP, BACEN); Parada no Negcio da Empresa; Perda da capacidade de gesto e controle; Perda de Ativos (recriando registros e Transaes); Perda de Confiana dos Clientes Patrocinadores; Perda de mercado; Perda ou diminuio de Receita; Perda de vantagem competitiva; Processos legais decorrentes da paralisao; Quebra de clusulas contratuais; Reduo do lucro; Sade, Segurana e Meio Ambiente; Sindicais; Suspenso do servio para o cliente (interno); Suspenso do servio para o cliente (externo).
14.1.3 DESENVOLVIMENTO E IMPLEMENTAO DE PLANOS DE CONTINUIDADE RELATIVOS SEGURANA DA INFORMAO.

TIPOS DE PLANOS QUE COMPEM UM PLANO DE CONTINUIDADE DOS NEGCIOS Business Continuity Plan: fornece procedimentos para suprir as necessidades operacionais dos processos crticos priorizados pela Anlise de Impactos no Negcio; Business Recovery (or Resumption) Plan (BRP): fornece procedimentos para recuperao dos ativos no TI; Continuity of Operations Plan (COOP): fornece estratgias para gesto de crise e restabelecimento do negcio; Continuity of Support Plan/IT Contingency Plan: fornece procedimentos para sustentar os sistemas crticos em contingncia;
Pgina 44
Crisis Communications Plan: fornece procedimentos para acionamento e comunicao em situao de crise; Disaster Recovery Plan (DRP): fornece procedimentos para recuperao dos ativos no TI; Occupant Emergency Plan (OEP): fornecer procedimentos coordenados minimizando a perda de vida ou de ferimento de pessoas.
Os planos que compem o plano de continuidade so elaborados atravs de metodologia que se baseia em entrevistas e coleta de informaes na empresa. Atravs de entrevistas de tecnologia possvel identificar cenrios de falhas e estudar os procedimentos para restabelecer ativos de tecnologia ou executar procedimentos de contingncia. Entrevistas especficas levantam informaes para elaborar procedimentos para operao em situao de crise em ativos no TI.
14.1.4 ESTRUTURA DO PLANO DE CONTINUIDADE DE NEGCIO.

Atualmente existe uma srie de entidades e grupos apoiando o estudo sobre Continuidade de Negcios. Entre esses grupos os principais so: DRII (Disaster Recovery Institute International) e BCI (Business Continuity Institute). O DRII situado nos Estados Unidos divide as atividades de desenvolvimento de um Plano de Continuidade em 10 fases, que o mesmo intitula de Dez prticas profissionais: 1. Project Initiation and Management; 2. Risk Evaluation and Control; 3. Business Impact Analysis; 4. Developing Business Continuity Strategies; 5. Emergency Response and Operations; 6. Developing and Implementing Business Continuity Plans; 7. Awareness and Training Programs; 8. Maintaining and Exercising Business Continuity Plans; 9. Crisis Communications;Coordination With External Agencies.
Pgina 45
O BCI com forte atuao na Europa divide as atividades em cinco fases intituladas como: 1. Understanding Your Business; 2. Business Continuity Management Strategies; 3. Develop and Implement a Business Continuity Management Response; 4. Building and Embedding a Business Continuity Management Culture; 5. Exercising, Maintenance and Audit.
14.1.5 TESTES, MANUTENO E REAVALIAO DOS PLANOS DE CONTINUIDADE DE NEGCIO.

Uma das atividades mais importantes da gesto de continuidade de negcios so os testes, atravs de testes possvel mensurar e identificar a real eficcia do plano de continuidade de negcios. Os testes e simulaes tambm possibilitam uma manuteno e atualizao adequada dos planos. Os planos de continuidade de negcios devem estar alinhados com o negcio e prover suporte para continuidade da empresa em situaes adversas. Para isso os planos devem estar atualizados e eficientes, os planos se mantero atualizados quando existir um procedimento que associe o plano aos processos de gesto de incidente, configurao e mudanas e atravs de testes constantes. Os testes devem ter uma periodicidade mnima de seis meses, buscando desvios ou procedimentos ineficientes no plano. Durante esse perodo podem acontecer mudanas significativas que devero ser analisadas nos processos de gesto de incidentes, configurao e mudanas. Caso seja identificada alguma mudana que torne o plano ineficiente a mesma deve ser submetida a uma avaliao e atualizao. Para um teste efetivo necessrio estabelecer um cenrio de teste e definir qual tipo de teste ser possvel realizar e qual ir fornecer as evidncias necessrias para uma auditoria. Dentre os tipos de testes destacam os seguintes: Structured Walkthrough: o tipo o mais bsico de teste, ocorre em uma
Pgina 46
reunio onde a finalidade principal assegurar que o pessoal crtico de todas as reas est familiarizado com o BCP. Tabletop: definido um cenrio especfico e executados os planos. Os objetivos principais so praticar a interao da equipe, as tomadas de deciso e habilidades para resolver o problema: o Functional Testing: realizado para testar funes especficas, geralmente voltados a teste de gerenciamento de crises e execuo de procedimentos que envolvam pessoas. o Full Scale: o tipo mais detalhado de teste. Com este teste, todo o ou a maioria dos planos so postos em ao. Os objetivos principais aqui so simular uma situao real de recuperao. Os exerccios neste caso so geralmente mais longos.
REFERNCIAS
DRII's Professional Practices document http://www.drii.org/displaycommon.cfm?an=2 The BCI Guide http://www.thebci.org/gpg.htm
Pgina 47
Capitulo
15
15 CONFORMIDADE
. POR: RENATO OPICE BLUM E CAMILLA DO VALE JIMENE TRATAREMOS NESTE CAPTULO DE CONCEITOS
OBJETIVOS
O objetivo deste captulo Ao final deste captulo voc estar apto a: Avaliar os riscos de segurana relacionados n conformidade Avaliar possveis infraes de direitos de propriedade intelectual
Pgina 48
Criar recomendaes de manuteno de registros Lidar com questes relativas privacidade dentro da empresa Analisar os recursos de criptografia sobre a tica de conformidade Dimensionar controles de auditoria
Pgina 49
15 - CONFORMIDADES
Objetivo: Evitar a violao de qualquer lei criminal ou civil, estatutos, regulamentaes contratuais e de quaisquer requisitos de segurana da informao.
Nos dias atuais, pode-se afirmar que o que h de mais importante no mundo corporativo a informao. Os detentores obtm larga vantagem na disputa pelo exigente mercado, porm s isso no basta, imprescindvel ainda garantir a disponibilidade e o acesso mesma.
Outrossim, os meios eletrnicos por onde trafegam a informao so expostos constantemente a todo tipo de ameaa, tais como: espionagem, concorrncia desleal, fraudes eletrnicas, sabotagem, e at mesmo seqestro de informaes essenciais para a organizao.
Desse modo, as questes relacionadas Segurana da Informao conquistaram lugar de destaque nas estratgias corporativas em mbito mundial. Proteger a informao das inmeras ameaas tornou-se essencial para garantir a continuidade do negcio, minimizando riscos e maximizando o retorno sobre os investimentos.
Diversas normas regem os procedimentos relativos Segurana da Informao, dentre elas a ABNT NBR ISO/IEC 17799:2005, que constantemente revisada e atualizada para acompanhar o dinamismo da rea de tecnologia da informao.
Pgina 50
No entanto, no podemos esquecer que o universo corporativo est alocado em um Estado de Direito, onde o exerccio aos direitos sociais e individuais assegurado, como valores supremos da sociedade, atravs de vasta legislao.
Mas em que ponto a Segurana da Informao e o Estado de Direito convergem?
Ora, a adoo e a implementao do cdigo de prticas para a gesto da segurana da informao devem estar obrigatoriamente alinhadas s leis, estatutos, regulamentaes ou obrigaes contratuais inerentes, sob pena de sofrer sanes legalmente previstas. Em que pese referidas prticas, mormente estarem restritas ao universo corporativo, em hiptese alguma deve deixar-se de considerar os aspectos legais envolvidos.
Nesse passo, estudaremos uma das sees de maior relevncia da norma, cujo teor essencialmente trata das questes legais e jurdicas inerentes gesto da segurana da informao.
Como notrio, as questes jurdicas so consideradas de difcil compreenso para os profissionais no especializados na rea, entretanto a norma apresenta estrutura extremamente clara, facilitando consideravelmente a utilizao do documento.
Certamente, a anlise de referidas questes no dispensa o apoio de consultoria jurdica especializada, pois se trata de apertada sntese de objetivos, controles, conceitos e diretrizes para implementao, porm, no deixam de ser de grande valia para os administradores que pretendem adotar as tcnicas de segurana previstas na ABNT ISO/IEC NBR 17799:2005.
Pgina 51
15.1 - CONFORMIDADE COM REQUISITOS LEGAIS
Neste item da norma h especificao direta sobre o assunto abordado, tendo por escopo evitar a violao de qualquer legislao, seja civil ou criminal, bem como de estatutos, regulamentaes ou obrigaes contratuais inerentes aos requisitos de segurana da informao.
A categoria em comento frisa ainda que o projeto, a operao, o uso e a gesto dos sistemas de informao podem eventualmente estar em seara submetida a requisitos contratuais, regulamentares ou estatutrios.
Nesse sentido, vlido se faz trazer baila algumas definies conceituais jurdicas, as quais sero certamente elucidadoras. Vejamos:
Legislao: conjunto de leis decretadas ou promulgadas em um pas, disciplinando matria em carter geral ou especfico. Ex.: Constituio Federal, Cdigo Civil, Cdigo Penal, Consolidao das Leis do Trabalho, Lei do Software, Lei da Propriedade Industrial;
Estatutos: complexo de regras estabelecidas e observadas por uma instituio jurdica a serem adotadas como lei orgnica, que fixam os princpios institucionais de uma corporao pblica ou privada. Ex.: Estatuto Social, Estatuto dos Funcionrios Pblicos;
Regulamentos: conjunto de normas ou regras, em que se fixam o modo de direo ou conduo de uma instituio ou associao. Ex.: Regulamento de Segurana da Informao;
Obrigaes Contratuais: obrigaes oriundas de acordo de duas ou mais pessoas fsicas ou jurdicas para entre si, constituir, regular ou extinguir uma
Pgina 52
relao jurdica. Ex.: Contrato de Compra e Venda, Contrato de Trabalho, Contrato com Empresas Terceirizadas.
Aps as definies acima citadas, restam evidentes quais so os instrumentos jurdicos que devem ser observados para a implementao de gesto de segurana da informao nos moldes da ABNT NBR ISO/IEC 17799:2005, a fim de evitar a violao dos mesmos. Inoportuno seria deixar de salientar que em nosso ordenamento jurdico ningum pode alegar desconhecimento da lei para se eximir de seus efeitos, com apoio no art. 3, do Decreto-Lei n. 4.657/42 (Lei de Introduo ao Cdigo Civil Brasileiro). E mais: a prpria norma alerta para o fato de que os requisitos legislativos podem variar de pas para pas, o que torna a anlise jurdica imperiosa nesse sentido, evitando demandas judiciais em face das corporaes.
Tal procedimento resguarda no s a organizao, como tambm os administradores, os empregados e terceiros envolvidos em todas as esferas do Direito.
Nesse sentido, o Cdigo Civil Brasileiro, em seu art. 186, prev a responsabilidade civil para aquele que viola direito ou causa dano a outrem, ainda que exclusivamente moral, por ao ou omisso voluntria, negligncia ou imprudncia, configurando-se ato ilcito, ficando obrigado a repar-lo
independentemente de culpa, quando a atividade normalmente desenvolvida pelo autor do dano implicar por natureza em risco para outrem (art. 927,Cdigo Civil ). Ainda na mesma trilha de entendimento, referido diploma legal preconiza, atravs do art. 1.016, a responsabilidade solidria dos administradores perante a sociedade e terceiros prejudicados no desempenho de suas funes.
Desse modo, resta evidente a enorme importncia da efetiva aplicao do item 15.1 da ABNT NBR ISO/IEC 17799:2005 no desenvolvimento da estrutura para
Pgina 53
blindar juridicamente a corporao na gesto da segurana da informao, considerando-se que o objetivo maior das corporaes na adoo da norma a minimizao dos riscos inerentes e no a gerao de mais riscos.
15.1.1 IDENTIFICAO DA LEGISLAO VIGENTE

No mesmo sentido, o sub-item 15.1.1 relata a necessidade da identificao da legislao vigente e, conforme anteriormente exposto, imperiosa a identificao minuciosa de toda a legislao vigente no pas. Entretanto, h previso de controle especfico para gerir esse procedimento. Vejamos:
O tipo de controle sugerido para a identificao da legislao vigente fundamentado na verificao atravs de documentao. A norma preconiza que todos os requisitos estatutrios, regulamentares e contratuais relevantes, bem como o enfoque da organizao para atender tais requisitos, sejam
explicitamente definidos, documentados e mantidos atualizados para cada sistema de informao.
No tocante s diretrizes para implementao, estas tambm indicam a documentao como a melhor maneira de implementar os controles especficos e as responsabilidades individuais para atender aos requisitos de maneira similar ao controle sugerido.
Assim, podemos afirmar que todo o processo de anlise jurdica da legislao vigente, suas atualizaes, bem como a relao de todas as normas inerentes a serem observadas e, por fim, a atribuio de responsabilidades para atendimento de tais requisitos, devem ser documentados pela organizao de maneira formal e segura.
Pgina 54
15.1.2 DIREITOS DE PROPRIEDADE INTELECTUAL
Tratando de assunto mais especfico e no menos importante, o sub- item 15.1.2 relaciona os procedimentos a serem adotados quanto aos direitos de propriedade intelectual. A observncia de tal previso da norma de extrema importncia considerando o prejuzo iminente caso a corporao descumpra a legislao vigente.
Primeiramente, o controle sugerido defende a aplicao de procedimentos apropriados para garantir a conformidade com os aspectos legais no uso de material, os quais podem estar sob proteo de direitos de propriedade intelectual e uso de software. Mais adiante, nas diretrizes para implementao, so feitas consideraes muito relevantes para proteo de material que possa ser considerado propriedade intelectual.
Dentre tais consideraes, a norma elenca as principais posturas a serem adotadas, quais sejam:
divulgao de poltica de conformidades com direitos de propriedade intelectual, que contenha definio expressa sobre o uso legal de software. Seria adequado que a poltica mencionasse a legislao vigente sobre o tema;
aquisio de software somente por meio de fontes idneas para assegurar que o direito autoral no seja violado;
conscientizar os empregados atravs de polticas e adotar aes disciplinares em face dos que violarem tais polticas. Seria adequado que as aes disciplinares culminassem at em demisso por justa causa;
manter o registro de ativos e identificar todos os ativos possivelmente relacionados aos direitos de propriedade intelectual. Assim, deve-se
Pgina 55
verificar e registrar tudo dentro da organizao que esteja submetido legislao pertinente; manter provas da propriedade de licenas, tais como contrato de licena, recibos, manuais, discos mestres; implementao de controles para que o nmero de usurios permitidos seja compatvel com o nmero de licenas adquiridas, tal recomendao de extrema importncia, haja vista o disposto na Lei n. 9609/98 (lei do software); proceder a constantes verificaes para que somente sejam instalados produtos de software autorizados e licenciados na corporao; criar normas para manuteno das condies adequadas de licenas; adotar contratos para transferncia de software para terceiros; utilizar ferramentas adequadas de auditoria ; identificar e respeitar termos e condies para software obtidos a partir de redes pblicas; no duplicar, alterar para outro formato ou ainda extrair registros de filme ou udio alm do que permitido pela lei de direito autoral, qual seja, Lei n. 9610/98; no copiar livros, artigos ou outros documentos, fora dos padres admitidos pela lei de direitos autorais n. 9610/98.
Finalizando tal sub-item, as informaes adicionais esclarecem que os direitos de propriedade intelectual incluem os direitos sobre software. Isto porque a lei de propriedade intelectual brasileira equipara os programas de computadores s obras que contenham criao de esprito.
15.1.3 PROTEO DE REGISTROS ORGANIZACIONAIS
Pgina 56
Partindo para o sub-item 15.1.3, verificamos que esse relaciona controles e diretrizes para a proteo de registros organizacionais. No tocante ao controle, sugere que os registros importantes para a organizao sejam protegidos contra perda, destruio e falsificao, nos moldes dos requisitos regulamentares, contratuais, estatutrios ou do negcio.
Outrossim, a premissa de maior relevncia inserta em referido tpico a reteno de alguns registros de forma segura que podem ser exigidos eventualmente para subsidiar defesas adequadas em processos cveis e criminais. Nesse passo, adequada ainda a ideal proteo de tais registros, no s para defesas judiciais, como tambm propositura de demandas a fim de resguardar os direitos da corporao, incluindo-se os registros relativos seara do Direito Tributrio e Trabalhista.
17799
apenas
faz breve
meno
sobre
proteo
dos registros
organizacionais, frisando que a ISO 15489-1 trata mais especificamente do gerenciamento de registros organizacionais.
15.1.4 PROTEO DE DADOS E PRIVACIDADE DE INFORMAES PESSOAIS
Ainda na trilha de protees, o item subseqente 15.1.4 sugere como controle essencial o cumprimento das legislaes aplicveis privacidade e a proteo de dados, sendo esta a nica opo segura s corporaes para evitar ofensas s leis pertinentes.
A adoo de contratos para regulamentar o tema em comento, e a comunicao a todas as pessoas envolvidas no processamento de informaes pessoais so as diretrizes para implementao indicadas pela norma. Ademais, a norma preconiza tambm a indicao de pessoa responsvel pelo controle apropriado e
Pgina 57
gesto da privacidade de informaes pessoais e proteo de dados, formalizando-se atravs de um "gestor de proteo de dados", o que minimiza consideravelmente a violao de legislao nesse sentido, pois o gestor ser responsvel pelas orientaes gerais a serem fornecidas a todos os gerentes, usurios e provedores de servios sobre as responsabilidades de cada um e os procedimentos especficos recomendados.
A ttulo de precauo, a norma salienta, ainda, que alguns pases tm promulgado leis que regulamentam a coleta, processamento e transmisso de dados pessoais, impondo responsabilidades sobre aqueles que coletam, processam e disseminam informaes pessoais.
15.1.5 PREVENO
INFORMAO
DE MAU USO DE RECURSOS DE PROCESSAMENTO DA
Prosseguindo em nossos estudos, passamos para o prximo sub-item, que trata da preveno ao mau uso de recursos de processamento da informao, qual seja, o 15.1.5, indicando como controle o convencimento dos usurios a no utilizar os recursos de processamento da informao para propsitos no autorizados.
Posto isso, adequado que a direo indique claramente quais so os propsitos no relacionados ao negcio ou os no autorizados atravs de instrumento especfico, considerando o uso imprprio tudo o que fugir dos parmetros estabelecidos, implantando-se dispositivos que verifiquem a conformidade com a poltica de uso dos recursos de processamento da informao.
Pgina 58
A norma considera a monitorao como dispositivo vlido para viabilizar supra citada verificao, frisando a imprescindibilidade de assessoria legal antes da implementao de tal dispositivo.
Inoportuno seria deixar de salientar que o Tribunal Superior do Trabalho, bem como os Tribunais Regionais do Trabalho Brasileiros, vm cristalizando a jurisprudncia ptria no sentido de permitir o monitoramento dos meios eletrnicos da corporao para verificao do mau uso dos recursos de processamento da informao, o que possibilita inclusive a dispensa motivada por justa causa, inexistindo expectativa de privacidade por parte dos empregados da organizao.
Acertadamente, e a fim de evitar maiores discusses, a norma sugere que todos os usurios estejam conscientes do escopo de suas permisses de acesso e da monitorao realizada, o que pode ser viabilizado atravs de registro de autorizaes por escrito devidamente assinadas por funcionrios, fornecedores e terceiros envolvidos na organizao, o que mormente denominado de termo de uso dos sistemas de informao.
A norma ainda sugestiona uma tima opo para as corporaes, que consiste em apresentar mensagem no momento da conexo inicial advertindo ao usurio que o recurso de processamento da informao utilizado de propriedade da organizao e que no so permitidos acessos no autorizados, necessitando de confirmao do usurio para o prosseguimento do processo de conexo.
15.1.6 REGULAMENTAO DE CONTROLES DE CRIPTOGRAFIA
Finalizando a categoria das conformidades legais, o sub-item 15.1.6 vem regulamentar os controles de criptografia, instituindo como itens a ser
Pgina 59
considerados pertinentes:
para
conformidade
com
leis,
acordos
regulamentaes
verificao das restries importao e exportao de hardware e software para execuo de funes criptogrficas, bem como de programas que foram projetados com funes criptogrficas embutidas;
restries especficas ao uso de criptografia; questes relacionadas ao acesso das autoridades dos pases informao cifrada por hardware ou software para fornecer confidencialidade ao contedo.
Novamente a norma atenta para a necessidade de apoio jurdico especializado para verificar qual a legislao vigente sobre criptografia, garantindo a conformidade legal, bem como a ajuda de consultoria para enviar informaes cifradas ou controles de criptografia para outros pases.
Pgina 60
15.2 - CONFORMIDADES COM NORMAS E POLTICAS DE SEGURANA DA

INFORMAO E CONFORMIDADE TCNICA
Garantir conformidade dos sistemas com as polticas e normas organizacionais de segurana da informao, atravs de:
Conformidade com as polticas e normas de segurana da informao; Verificao da conformidade tcnica com as normas de segurana da informao.
Primeiramente, insta salientar que houve alterao na nomenclatura do tpico principal e de todas as categorias relacionadas na nova verso da ISO/IEC 17799 editada em 2005, excetuando-se o sub- item 15.2.2, que continua com a mesma denominao de "verificao de conformidade tcnica".
A seo 15.2 tem por escopo garantir a conformidade e compatibilidade dos sistemas com as polticas de segurana da informao, analisando-se a segurana dos sistemas em intervalos regulares e programados, guiando-se atravs das polticas institudas e auditando-se as plataformas tcnicas.
Pgina 61
15.2.1 CONFORMIDADE
INFORMAO
COM AS POLTICAS E NORMAS DE SEGURANA DA
Na ordem subseqente, o sub-item 15.2.1 estabelece como controle a atribuio de responsabilidade aos gestores, que verificariam se todos os procedimentos de segurana dentro da sua rea esto sendo executados adequadamente nos moldes previstos no regulamento de segurana da informao adotada pela corporao.
Anlises crticas a intervalos regulares da conformidade do processamento da informao com a poltica de segurana devem ser realizadas pelos gestores, e caso alguma no-conformidade seja detectada, o gestor deve adotar o seguinte procedimento: determinar a causa da no conformidade; avaliar a real necessidade de ao para que a no-conformidade no se repita novamente; aplicar ao corretiva, e, por fim, registrar e manter todo o ocorrido, relatando os resultados para as pessoas competentes, o que vem a ser medida de cautela que resguarda os direitos do gestor, haja vista a grande responsabilidade atribuda ao mesmo.
15.2.2 VERIFICAO DA CONFORMIDADE TCNICA
Finalizando tal categoria, a norma traz o tema verificao da conformidade tcnica (15.2.2), sugestionando como controle a verificao peridica dos sistemas de informao em conformidade com as normas de segurana implementadas na organizao, sendo referida verificao tcnica realizada manualmente por engenheiro de sistemas, gerando relatrio tcnico para interpretao por tcnico especialista.
Pgina 62
15.3 - CONSIDERAES QUANTO AUDITORIA DE SISTEMAS DE INFORMAO
Objetivo: elevar ao mximo a eficcia e diminuir a interferncia no processo de auditoria dos sistemas de informao, protegendo-se a integridade das ferramentas de auditoria.
Por fim, encerrando a ABNT ISO/IEC 17799:2005, a categoria 15.3 relata consideraes quanto auditoria de sistemas de informao, objetivando elevar ao mximo a eficcia e diminuir a interferncia no processo de auditoria dos sistemas de informao, protegendo-se a integridade das ferramentas de auditoria.
15.3.1 CONTROLES DE AUDITORIA DE SISTEMAS DE INFORMAO

Como em toda a extenso da norma h controle previsto para auditoria de sistemas de informao (15.3.1), aconselhando que a auditoria e suas atividades inerentes, quando envolvida na verificao dos sistemas operacionais, sejam minuciosamente planejadas e acordadas internamente a fim de evitar quaisquer riscos de interrupo nos procedimentos e processos do negcio.
As diretrizes para implementao no assunto em testilha tm carter bastante sinttico, porm no de menor importncia, seno vejamos os aspectos mais relevantes. Os acordos relativos aos requisitos de auditoria devem ser acordados com o nvel apropriado de administrao (observncia de hierarquia); objetivo da verificao da auditoria deve ser acordado e controlado, limitando-se a verificao apenas a acesso para leitura de software e dados. Caso haja necessidade de acessos que ultrapassem os limites da leitura, devem ser permitidos apenas e to somente atravs de cpias dos arquivos do sistema, apagando-se os mesmos ao final da auditoria, e caso, eventualmente, exista a necessidade de guardar
Pgina 63
referidos arquivos como documentos de auditoria, que seja realizado com a proteo apropriada; monitorao de todo acesso; documentao de todo o procedimento, bem como que os auditores no tenham nenhum vnculo com as reas auditadas.
Tais diretrizes certamente tm por finalidade a preservao da idoneidade do procedimento de auditoria, gerando confiabilidade inequvoca nas concluses apresentadas.
15.3.2 PROTEO
INFORMAO
DE FERRAMENTAS DE AUDITORIA DE SISTEMAS DE
Encerrando definitivamente a 17799, o sub-item 15.3.2 trata da proteo das ferramentas de auditoria dos sistemas de informao, adotando como controle a restrio e proteo ao acesso a referidas ferramentas, prevenindo assim o uso inadequado ou o comprometimento das ferramentas.
No tocante s diretrizes para implementao, a norma estabelece que o acesso s ferramentas, tais como software ou arquivo de dados, seja devidamente separado de sistemas em operao ou desenvolvimento, vedando-se o arquivamento em reas de livre acesso aos usurios do sistema, a menos que seja criado um nvel de proteo apropriado.
Quanto
aos
terceiros
envolvidos
na
auditoria
(empresas
terceirizadas
especializadas em auditagem, por exemplo), a norma salienta o risco de mau uso de ferramentas e da informao acessada por tais profissionais. Dessa forma, para evitar maiores riscos, recomendado controle para avaliao de riscos e restrio de acesso fsico, previstos na prpria 17799:2005.
Pgina 64
ENCERRAMENTO
Diante de todo o exposto, resta evidente a extrema importncia da seo 15 da ABNT ISO/IEC 17799:2005, que alerta e direciona a conduta a ser adotada pelas corporaes no tocante aos aspectos legais inerentes Segurana da Informao, frisando-se sempre a necessidade de apoio de consultoria jurdica especializada no assunto, haja vista as peculiaridades da legislao, propiciando a adoo de postura adequada e segura, sempre resguardando os direitos das corporaes. Autores: Renato Opice Blum - Advogado e economista; Professor da FGV, PUC, IBMEC/IBTA, UFRJ, FIAP, ITA/CTA (convidado) e outras; rbitro da FGV, da Cmara de Mediao e Arbitragem de So Paulo (FIESP), do Tribunal Arbitral do Comrcio e outras; Presidente do Conselho de Comrcio Eletrnico da Federao do Comrcio/SP; Autor/ Colaborador das Obras: "Direito Eletrnico - a internet e os tribunais", Novo Cdigo Civil questes controvertidas, O direito na Sociedade da Informao, Internet Legal, Conflitos sobre Nomes de Domnios, "Comrcio Eletrnico", "Direito & Internet - aspectos jurdicos relevantes, Direito da Informtica temas polmicos, "Responsabilidade Civil do Fabricante e Intermedirios por Defeitos de Equipamentos e Programas de Informtica", "O Bug do Ano 2000 - aspectos jurdicos e econmicos e outras. Camilla do Vale Jimene - Advogada atuante nas esferas cvel e trabalhista, com nfase em Direito Eletrnico e da Informtica. Ps-graduanda em Processo Civil pela PUC-SP. Cursou Aperfeioamento em Processo Trabalhista, junto ao PrimaIelf. Desenvolveu estudos sobre a NBR ISO/IEC 17799:2005 (Tecnologia da Informao). Palestrante convidada no Seminrio Riscos do Outsourcing e Internet realizado na Bovespa, o qual originou matria publicada em edio da revista Banco Hoje; atuou como Presidente de Mesa e Palestrante no curso Controle de E-mails, Segurana da Informao e os Tribunais na Academia de Desenvolvimento Profissional e Organizacional (ADPO); congressista no Congresso de Auditoria de Sistemas e Segurana da Informao (CNASI), participante do seminrio Prticas, Polticas e Instrumentos sobre o Uso da Internet nas Empresas no Canal Executivo. Autora de diversos artigos relacionados ao Direito da Informtica e Internet.
Pgina 65

ISO17799 Modulo4

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

ISO17799 Modulo4

Загружено:

Авторское право:

Доступные форматы

Entendendo e implementando a Norma ABNT NBR ISO/IEC 17799:2005

Entendendo e implementando a Norma ABNT NBR ISO/IEC 17799:2005

Apostila desenvolvida pelo Instituto Online em parceria com a Microsoft Informtica

Reviso 0.9 Setembro de 2006

COMO USAR ESSE MATERIAL

12.1 Requisitos de segurana de sistemas de informao .................. 15

12.2 Processamento correto nas aplicaes ............................................ 16

12.3 Controles criptogrficos ......................................................................... 19

12.4 Segurana dos arquivos do sistema ................................................... 21

12.5 Segurana em processos de desenvolvimento e de suporte ..... 23

12.6 Gesto de vulnerabilidades tcnicas ................................................. 27

13.2 Gesto de incidentes de segurana da informao e melhorias34

Referncias .................................................................................................................. 47 15 CONFORMIDADE .....................................................................................................................48

15.3 - Consideraes quanto auditoria de sistemas de informao . 63

UMA VISO DOS CRITRIOS, NORMAS E PRTICAS APLICVEIS.

A NORMA NBR ISO/IEC 12207

12.1 REQUISITOS DE SEGURANA DE SISTEMAS DE INFORMAO

12.1.1 ANLISE E ESPECIFICAO DOS REQUISITOS DE SEGURANA

12.2 PROCESSAMENTO CORRETO NAS APLICAES

12.2.1 VALIDAO DOS DADOS DE ENTRADA

12.2.2 CONTROLE DO PROCESSAMENTO INTERNO

12.2.3 INTEGRIDADE DE MENSAGENS

12.2.4 VALIDAO DE DADOS DE SADA

12.3 CONTROLES CRIPTOGRFICOS

Visa proteger a confidencialidade, autenticidade ou a integridade das informaes, atravs de:

12.3.1 POLTICA PARA O USO DE CONTROLES CRIPTOGRFICOS

12.3.2 GERENCIAMENTO DE CHAVES

12.4 SEGURANA DOS ARQUIVOS DO SISTEMA

12.4.1 CONTROLE DE SOFTWARE OPERACIONAL

diferencial para o sucesso da garantia da segurana da informao em sistemas de informao.

12.4.2 PROTEO DOS DADOS PARA TESTE DE SISTEMA

12.4.3 CONTROLE DE ACESSO AO CDIGO-FONTE DE PROGRAMA

12.5 SEGURANA EM PROCESSOS DE DESENVOLVIMENTO E DE SUPORTE

Visa manter a segurana de sistemas aplicativos e da informao, atravs:

12.5.1 PROCEDIMENTOS PARA CONTROLE DE MUDANAS

CRTICA TCNICA DAS APLICAES APS MUDANAS NO

12.5.3 RESTRIES SOBRE MUDANAS EM PACOTES DE SOFTWARE

12.5.4 VAZAMENTO DE INFORMAES

12.5.5 DESENVOLVIMENTO TERCEIRIZADO DE SOFTWARE

12.6 GESTO DE VULNERABILIDADES TCNICAS

12.6.1 CONTROLE DE VULNERABILIDADES TCNICAS

13.1 - GESTO DE INCIDENTES DE SEGURANA DA INFORMAO

13.1.1 NOTIFICAO DE EVENTOS DE SEGURANA DA INFORMAO

13.1.2 NOTIFICANDO FRAGILIDADES DE SEGURANA DA INFORMAO

13.2 GESTO DE INCIDENTES DE SEGURANA DA INFORMAO E MELHORIAS

13.2.1 RESPONSABILIDADE E PROCEDIMENTOS

Invaso em sistemas de informao; Falha de disponibilidade de dados.

13.2.2 APRENDENDO COM OS INCIDENTES DE SEGURANA

13.2.3 COLETA DE EVIDNCIAS

CONTINUIDADE 14 GESTO DE CONTINUIDADE DE NEGCIOS

14.1 ASPECTOS DA GESTO DA CONTINUIDADE DE NEGCIOS, RELATIVOS

Equipes definidas no Plano de Continuidade de Negcios

Plano de Continuidade de Negcios e a Cadeia de Valor

14.1.1 INCLUINDO SEGURANA DA INFORMAO NO PROCESSO DE GESTO DA CONTINUIDADE DE NEGCIO.

14.1.2 CONTINUIDADE DE NEGCIOS E ANLISE/AVALIAO DE RISCOS.

Exemplo de impactos ao negcio:

14.1.3 DESENVOLVIMENTO E IMPLEMENTAO DE PLANOS DE CONTINUIDADE RELATIVOS SEGURANA DA INFORMAO.

14.1.4 ESTRUTURA DO PLANO DE CONTINUIDADE DE NEGCIO.

14.1.5 TESTES, MANUTENO E REAVALIAO DOS PLANOS DE CONTINUIDADE DE NEGCIO.

DRII's Professional Practices document http://www.drii.org/displaycommon.cfm?an=2 The BCI Guide http://www.thebci.org/gpg.htm

Mas em que ponto a Segurana da Informao e o Estado de Direito convergem?

15.1 - CONFORMIDADE COM REQUISITOS LEGAIS

15.1.1 IDENTIFICAO DA LEGISLAO VIGENTE