ISO/IEC 17799

Norma de Segurana da Informao

Segurana da Informao

Segurana da Informao

Segundo a norma ISO/IEC 17799, a proteo contra um grande nmero de ameaas s informaes, de forma a assegurar a continuidade do negcio, minimizando danos comerciais e maximizando o retorno de possibilidades e investimentos. o conceito no est restrito somente a sistemas computacionais, informaes eletrnicas ou sistemas de armazenamento. Se aplica a todos os aspectos de proteo de informaes.

Exemplo

A Bolsa de Tquio, 8 de Janeiro de 2006:

Queda acentuada da bolsa; Alto volume de transaes; Sistema prximo a atingir sua capacidade mxima (estrutura tecnolgica); Fechamento das operaes 20 minutos mais cedo. Inmeros prejuzos.

A trade CIA

Confidencialidade: a garantia de que a informao s pode ser acessada e manipulada por pessoas autorizadas, ou seja, ela restrita a um conjunto de entidades, que podem ser seres humanos ou podem ser um sistema eletrnico. Integridade: implica que toda vez que uma informao manipulada ela est consistente, ou seja, que no foi alterada ou adulterada por um acesso legal ou ilegal.

A trade CIA

Disponibilidade das Informaes Crticas: garantia de que uma informao sempre poder ser acessada, pelas pessoas e processos autorizados, independentemente do momento em que ela requisitada e do local no qual est armazenada. *as ameaas segurana da informao so
relacionadas diretamente perda de uma de suas trs caractersticas principais.

NORMA ISO/IEC 17799

Compilao de recomendaes para melhores prticas de segurana, que podem ser aplicadas por empresas de qualquer porte ou setor. Padro flexvel, nunca guiando seus usurios a seguirem uma soluo de segurana especfica em detrimento de outra. Neutra com relao tecnologia. O grande objetivo da norma o de garantir a continuidade dos negcios por meio da implantao de controles, reduzindo muito as possibilidades de perda das informaes.

Histrico

Em 1987 o departamento de comrcio e indstria do Reino Unido (DTI) criou um centro de segurana de informaes, o CCSC (Commercial Computer Security Centre). Tarefa de criar uma norma de segurana das informaes para o Reino Unido. Desde 1989 vrios documentos preliminares foram publicados por esse centro, at que, em 1995, surgiu a BS7799 (British Standart 7799). Esse documento foi disponibilizado em duas partes para consulta pblica, a 1 em 1995 e a 2 em 1998.

Histrico

Em 1 de dezembro de 2000, aps incorporar diversas sugestes e alteraes, a BS7799 ganhou status internacional com sua publicao na forma da ISO/IEC 17799:2000. Em setembro de 2001, a ABNT homologou a verso brasileira da norma, denominada NBR ISO/IEC 17799. Em 24 de abril de 2003 foi realizado um encontro em Quebec, no qual uma nova verso da norma revisada foi preparada. Essa nova verso da ISO/IEC 17799 foi lanada 2005.

NBR ISO/ IEC 17799:2005

Tecnologia de Informao Tcnicas de Segurana Cdigo de prtica para a gesto da segurana da informao (http://www.abntnet.com.br/fidetail.aspx?Font eID=6955). Possui onze sees de controle (macrocontroles). Cada um destes controles subdividido em vrios outros controles (a norma possui um total de 137 controles de segurana).

1. Poltica de Segurana da Informao

Documento que define parmetros para gesto da Segurana da Informao;

Padres a serem seguidos e aes a serem tomadas; Descreve processos relativos segurana; Descreve responsabilidades sobre os processos; Deve ser apoiado pela gerncia; Deve ser abordado em treinamentos;

2. Segurana da Organizao

Infra-estrutura de Segurana da Informao:

Define a infra-estrutura para gerncia da segurana da informao; As responsabilidades e as regras devem estar claramente definidas; Um gestor para cada ativo do ambiente; Incluso de novos recursos feita sob autorizao de um responsvel; Consultor interno ou externo disponvel para atuar em suspeitas de incidentes de segurana.

2. Segurana da Organizao

Segurana de acesso a terceiros:

Controle de acesso locais crticos; Tipo do controle definindo conforme riscos e valor da informao; Presena de terceiros mediante autorizao e acompanhamento; Servios terceirizados regulamentados por contrato;

2. Segurana da Organizao

Terceirizao:

Acordo contratual, flexvel para suportar alteraes nos procedimentos;

3. Controle e Classificao de Ativos

Contabilizao dos ativos:

Mapeia todos os ativos da informao e atribui responsveis; Associa ativos com nveis de segurana; Define a importncia de um ativo; Definio pode variar com o tempo;

Classificao da Informao:

4. Segurana em Pessoas

Segurana na definio e nos recursos de trabalho:

Diminuio dos riscos provenientes da atividade humana, como roubo de informaes; Contratos devem abordar questes de sigilo e segurana;

Treinamento dos usurios:

Capacitar para o bom funcionamento das polticas de segurana;

4. Segurana em Pessoas

Respondendo aos incidentes de segurana e mau-funcionamento:

Diminuio de danos causados por falhas; Sistema de comunicao de incidentes; Aprendizado armazenado em bases de conhecimento;

5. Segurana Fsica e do Ambiente

reas de segurana:

Controle de acesso reas restritas; Nvel de proteo proporcional aos riscos e importncia; Podem ser utilizados mecanismos de autenticao e vigilncia (cmeras); Proteo fsica dos equipamentos contra ameaas do ambiente (rede eltrica, contato com substncias); Proteo do cabeamento de rede; Diminuem o vazamento de informaes; Poltica Tela limpa, mesa limpa. O acesso negado s informaes sendo trabalhadas no momento;

Equipamentos de segurana:

Controles gerais:

Governana da Segurana da Informao

As decises a respeito da segurana da informao no so discutidas a nvel estratgico; A falta de investimento em segurana pode trazer problemas ao planejamento estratgico da organizao; (BALBO 2007) prope a criao de um modelo baseado em ISO/IEC 17799, ITIL e COBIT;

6. Gesto das comunicaes e das operaes

Visa disponilizar mecanismos para o controle da troca de informaes dentro e fora da organizao.
Planejamento e Aceitao dos Sistemas Proteo contra softwares maliciosos Gerncia de Rede Segurana e Manuseio de Mdias Housekeeping Troca de Informaes e Softwares Procedimentos e Responsabilidades Operacionais

1.

2.
3.

4.
5. 6. 7.

7. Controle de acesso

Este controle visa evitar problemas de seguranas decorrentes do acesso lgico indevido a informao no privilegiada por parte de certos usurios.
Requisitos do negcio para controle de acesso Gerncia de acesso dos usurios Responsabilidade dos usurios Controle de Acesso ao Sistema Operacional Controle de Acesso s aplicaes Computao mvel e trabalho remoto Notificao do uso e acesso ao sistema Controle de Acesso rede

1. 2. 3. 4. 5. 6.

7.
8.

8. Manuteno e desenvolvimento de Sistemas

Fornece critrios para o desenvolvimento de sistemas confiveis. A segurana deve ser abordada desde a fase de modelagem do sistema, inserindo-se os controles de segurana na fase de iniciao de projetos. Objetiva evitar que aplicaes comprometam a integridade e confidencialidade dos dados, atravs da validao da entrada e sada de dados e de verificaes peridicas sobre os dados. Deve-se garantir a integridade de arquivos associados a aplicaes, controlando-se o acesso aos dados armazenados, deve-se tambm fornecer um sistema de controle de alteraes e atualizaes de arquivos.

9. Gesto da continuidade dos negcios

A gesto da continuidade dos negcios tem por objetivo evitar interrupes nas atividades do negcio e proteger processos crticos do negcio contra os efeitos de grandes falhas ou desastres.

10. Conformidade

Trata aspectos legais ligados a segurana.

Objetiva evitar infrao de qualquer lei civil e criminal, estatutria, regulamentadora ou de obrigaes contratuais e de quaisquer requisitos de segurana. Visa a garantia de que a poltica e as normas de segurana so seguidas

Garantir que processos de auditoria existam e sejam planejados e testados.

Checklist ISO 17799

Elaborado pelo instituto americano SANS (System Administration, Networking and Security Institute) mais de 156 mil profissionais de segurana, auditores, administradores de sistemas e redes. Direcionado aos profissionais de TI e Segurana da Informao que necessitam auditar o nvel de segurana de suas empresas.

http://www.sans.org/score/checklists/ISO_17799_checklist. pdf Verso no-oficial em PT: http://www.linuxsecurity.com.br/info/general/iso17799.chec klist.pt-BR.pdf

Consideraes Finais

A segurana da informao est relacionada com o faturamento de uma empresa, sua imagem e sua reputao. As conseqncias de incidentes de segurana podem ser desastrosas, mas podem ser evitadas. A ISO17799 cobre os mais diversos tpicos da rea de segurana, possuindo um grande nmero de controles e requerimentos que devem ser atendidos para garantir a segurana das informaes de uma empresa.

Consideraes Finais

A norma intencionalmente flexvel e genrica. O processo de implantao da Norma de Segurana a um determinado ambiente no simples e envolve muitos passos. a ISO17799 pode ser considerada a norma mais importante para a gesto da segurana da informao que j foi elaborada ela estabelece uma linguagem internacional comum para todas as organizaes do mundo. Dever se tornar uma ferramenta essencial para empresas de qualquer tipo ou tamanho.

Referncias Bibliogrficas

ABNT NET. Associao Brasileira de Normas Tcnicas. Disponvel em: http://www.abntnet.com.br/. ABNT NBR ISO/IEC 17799. Segunda Edio. Disponvel em: http://www.scribd.com/doc/2449992/Abnt-Nbr-Isoiec-17799-Tecnologia-daInformacao-Tecnicas-de-Seguranca-Codigo-de-Pratica-para-a-Gestao-daSeguranca-da-Informacao. IDG Now!. Bolsa de Tquio fecha mais cedo por pane em TI. Disponvel em: http://idgnow.uol.com.br/mercado/2006/01/18/idgnoticia.2006-0206.6752227625/. InformaBR. Segurana: 27 questes freqentemente formuladas sobre as normas BS e ISO17799. Disponvel em: http://www.informabr.com.br/nbr.htm. ISO 17799 World. Disponvel em: http://17799.macassistant.com/ Mdulo. 10 Pesquisa Nacional de Segurana da Informao. 2006. OLIVEIRA BALDO, Luciano de. Uma Abordagem Correlacional dos Modelos CobiT/ ITIL e da Norma ISO 17799 para o tema Segurana da Informao . So Paulo 2007.

Referncias Bibliogrficas

GONALVES, L. R. O. O surgimento da Norma Nacional de Segurana de Informao [NBR ISO/IEC-1779:2001]. 2004. Disponvel em: http://www.lockabit.coppe.ufrj.br/rlab/rlab_textos.php?id=85. GORISSEN, MAXIMILIAN. Poltica de Segurana da Informao: A norma ISO 17799. ISO 17799: Information and Resource Portal. Disponvel em: http://17799.denialinfo.com/. JUNIOR, A. F. NOVA NORMA GARANTE SEGURANA DA INFORMAO. Disponvel em: http://www.serasa.com.br/serasalegal/05-fev-02_m2.htm. The A-Z Guide for ISO 27001 and ISO 17799/ ISO 27002. Disponvel em: http://www.17799central.com/. VETTER, Fausto; REINERDT, Jonatas Davson. ISO/IEC 17799: Norma de Segurana da Informao. Florianpolis 2007. WIKIPDIA. Segurana da Informao. Disponvel em: http://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o.