SlideShare a Scribd company logo

Normas ABNT-NBR-ISO/IEC 17799 e 27001 para segurança da informação

A
andrealeixes
1 of 5
Download to read offline
Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP César Augusto Asciutti Agência USP de Inovação, São Paulo (SP), 3091-2933, asciutti@usp.br Resumo Este artigo apresenta uma breve descrição sobre a abrangência das normas técnicas brasileira sobre segurança da informação. Apresenta também um novo modelo arquitetônico para segurança de redes descrito pela associação internacional de segurança da informação. Finalmente apresenta uma ferramenta de trabalho que auxilia o responsável pela segurança computacional do instituto/departamento/órgão a planejar as implantações necessárias em atendimento às normas brasileiras. Palavras-Chave (exemplo): Segurança Computacional, NBR-17799 e NBR27001, Norma Técnica, Brigada de Segurança da Informação. 1. Introdução informação tem valor e deve ser protegido. As pessoas, seus conhecimentos, também são ativos, marca, Inicialmente devemos esclarecer o porquê de imagem, também são ativos, todos devem ser adotarmos determinadas normas, para posteriormente preservados e mantidos pelo valor que todos entendermos a sua abrangência e a sua aplicabilidade. representam. Após este entendimento do porque adotarmos ações Aqui, mais do que em qualquer lugar, o condizentes com as normas, passaremos a observar a conhecimento é o ativo, além de ativo, conhecimento é norma sobre a analise dos grandes grupos de ação o “produto” que a universidade “comercializa”. É na abrangidos tanto pela NBR-17799 como pela NBR- transferência deste conhecimento que reside a sua 27001. Posteriormente apresentaremos uma ferramenta missão, assim como também é sua missão, gerar mais de trabalho que facilita a visualização da situação na conhecimento. qual o instituto encontra-se parametrizado com a O conhecimento gerado na USP está nas pessoas, norma e os objetivos propostos para adaptação das mas também está nos computadores, sejam servidores operações com as exigências normativas. ou computadores pessoais, sendo nos computadores Normas são entendidas como um conjunto de regras que armazenamos estes ativos/conhecimentos. É no ou orientações que visam qualidade, na atuação de ambiente computacional que é armazenado, uma tarefa. As normas em estudo buscam tornar o manipulado, organizado, construído e disponibilizado ambiente computacional das empresas, neste caso os grande parte deste ativo/conhecimento. Defender de institutos ou órgãos ligados à USP, mais seguros com ataques externos e ataques internos é o objetivo da relação à mitigar os incidentes computacionais, além segurança computacional de orientar sobre ações a serem tomadas, quando estes incidentes ocorrerem. 1.2 Tecnologia por si só não garante segurança da informação, diz estudo Módulo Security News-30 Out 2006 - 1.1 Motivação para um ambiente seguro. “-Os dois itens mais importantes na hora de manter Aplicar normas de segurança em um ambiente as informações da empresa em segurança são: a computacional, é mais do que modismo, é uma forma elaboração de políticas de segurança e o de garantir a existência de coerência nas ações dos gerenciamento de suporte adequados, seguido do nível coordenadores e executores das tarefas de de conscientização dos funcionários. Este é o resultado administração dos ambientes computacionais. Adotar de um estudo conduzido pela ONG educacional padrões reconhecidamente eficientes minimiza-se especializada em certificar profissionais de segurança problemas de incidentes relacionados às operações The International Information Systems Security sustentadas por computadores. Certification Consortium, em parceria com a Inicialmente devemos entender que informação é consultoria IDC.“ um dos ativo de uma empresa/instituto. Como ativo, a
1.3 Nova Arquitetura para segurança de rede. Um breve histórico da evolução da norma até Proteger estruturas computacionais com aplicação chegar a ISO 27001: de barreiras por camadas é o modelo mais usual para a - 1995: publicada a primeira versão da BS 7799-1 blindagem das informações e dos recursos da rede. (BS 7799-1:1995 - Tecnologia da Informação - Código Com grande parte dos serviços e ambientes de prática para gestão da segurança da informação) computacionais suportado pela ethernet, novos - 1998: publicada a primeira versão da BS 7799-2 modelos de barragens estão sendo propostos. (BS 7799-2:1998 - Sistema de gestão da Segurança da Informação - Especificações e guia para uso) - 1999: publicada uma revisão da BS 7799-1 (BS 7799-1:1999 - Tecnologia da Informação - Código de prática para gestão da segurança da informação) - 2000: publicada a primeira versão da norma ISO/IEC 17799 (ISO/IEC 17799:2000 - Tecnologia da Informação - Código de prática para gestão da segurança da informação também referenciada como BS ISO/IEC 17799:2000) - 2001: publicada a primeira versão da norma no Brasil, NBR ISO/IEC 17799 (NBR ISO/IEC 17799:2001 - Tecnologia da Informação - Código de prática para gestão da segurança da informação) - 2002: publicada revisão da norma BS 7799 parte 2 (BS7799-2:2002 - Sistema de gestão da Segurança da Informação - Especificações e guia para uso). - Agosto/2005: publicada a segunda versão da Segurança por zona em três camadas, (ISSA Journal, abril 2006) norma no Brasil, NBR ISO/IEC 17799 (NBR ISO/IEC 17799:2005 - Tecnologia da Informação - Código de prática para gestão da segurança da informação); O modelo que apresentarei é uma nova abordagem - Outubro/2005: publicada a norma ISO 27001 arquitetônica para este bloqueio. A proposta (ISO/IEC 27001:2005 - Tecnologia da Informação - encontrada em publicações específicas, apresenta uma Técnicas de segurança - Sistema de gestão da nova forma de blindar os serviços e os recursos. Segurança da Informação - Requisitos). Baseado em virtualização do serviços e recursos, podemos formar uma barreira única de acesso 2.1 Tópicos Relevantes da ABNT NBR ISO/IEC- facilitando os serviços de controle e manutenção desta 17799 barreira. Ao virtualizar o data center, estas barreiras Segurança para sistemas de informações foi um dos facilitam o planejamento de ações minimizando os primeiros itens a definirem padrões. A gerência de recursos oferecidos aos essencialmente necessários. segurança da informação visa identificar os riscos e implantar medidas que de forma efetiva tornem estes riscos gerenciáveis e minimizados. A NBR ISO IEC 17799:2005 é um código de práticas de gestão de segurança da informação. Sua importância pode ser dimensionada pelo número crescente de pessoas e variedades de ameaças a que a informação é exposta na rede de computadores. 2.2 Os objetivos explícitos desta norma são: Estabelecer um referencial para as organizações desenvolverem, implementarem e avaliarem a gestão da segurança de informação. Em sua documentação a ABNT NBR-ISO/IEC- Nova Arquitetura de segurança, usuários com acesso por rede ao Virtual Data Center. (ISSA Journal, abril 2006) 17799:2005 aborda 11 tópicos principais: • 1. Política de segurança - onde descreve a importância e relaciona os principais assuntos que devem ser abordados numa política de segurança. • 2. Segurança organizacional - aborda a estrutura 2. Entendendo a NBR 17799 de uma gerência para a segurança de informação, assim como aborda o estabelecimento de 2.2 Linha do Tempo da Norma responsabilidades incluindo terceiros e fornecedores ISO /IEC 17799:2000 & ISO/IEC 27001:2005 de serviços.
• 3. Classificação e controle de ativos de c-) monitoração e analise crítica do desempenho e informação - trabalha a classificação, o registro e o eficácia do SGSI; e controle dos ativos da organização. d-) melhoria contínua baseada em medições • 4. Segurança em pessoas - tem como foco o risco objetivas. decorrente de atos intencionais ou acidentais feitos por Para a execução e implantação desta norma, é pessoas. Também é abordada a inclusão de sugerido uma atuação baseada no modelo PDCA. responsabilidades relativas à segurança na descrição "Plan-Do-Check-Act"(PDCA) dos cargos, a forma de contratação e o treinamento em assuntos relacionados à segurança. • 5. Segurança ambiental e física - aborda a necessidade de se definir áreas de circulação restrita e a necessidade de proteger equipamentos e a infra- estrutura de tecnologia de Informação. • 6. Gerenciamento das operações e comunicações - aborda as principais áreas que devem ser objeto de especial atenção da segurança. Dentre estas áreas destacam-se as questões relativas a procedimentos operacionais e respectivas responsabilidades, homologação e implantação de “Plan” – Planejar – Estabelecer o SGSI – sistemas, gerência de redes, controle e prevenção de Estabelecer a política, objetivos, processos e vírus, controle de mudanças, execução e guarda de procedimentos do SGSI, relevantes para a gestão de backup, controle de documentação, segurança de riscos e a melhoria da segurança da informação para correio eletrônico, entre outras. produzir resultados de acordo com as políticas e • 7. Controle de acesso - aborda o controle de objetivos globais de uma organização. acesso a sistemas, a definição de competências, o “Do” – Fazer – Implementar e Operar o SGSI - sistema de monitoração de acesso e uso, a utilização de Implementar e operar as políticas, controles, processos senhas, dentre outros assuntos. e procedimentos do SGSI. • 8. Desenvolvimento e manutenção de sistemas - “Check” – Checar/Monitorar/Analisar Criticamente são abordados os requisitos de segurança dos sistemas, – Avaliar e, quando aplicável, medir o desempenho de controles de criptografia, controle de arquivos e um processo frente à política, objetivos e experiências segurança do desenvolvimento e suporte de sistemas. práticas do SGSI e apresentar os resultados para a • 9. Gestão de incidentes de segurança - incluída analise crítica pela direção. na versão 2005, apresenta dois itens: Notificação de “Act” – Agir – Manter e melhorar o SGSI – fragilidades e eventos de segurança da informação e Executar as ações corretivas e preventivas, com base gestão de incidentes de segurança da informação e nos resultados da auditoria interna do SGSI e da melhorias. análise crítica pela direção ou outra informação • 10. Gestão da continuidade do negócio - reforça pertinente, para alcançar a melhoria contínua do SGSI. a necessidade de se ter um plano de continuidade e (ABNT ISO/IEC-27001) contingência desenvolvido, implementado, testado e atualizado. 3.1 Norma ABNT NBR ISO/IEC-27001-2005 • 11. Conformidade - aborda a necessidade de “- A nova família da série ISO IEC 27000-27009 observar os requisitos legais, tais como a propriedade está relacionada com os requisitos mandatários da intelectual e a proteção das informações de clientes. ISO/IEC 27001:2005, como, por exemplo, a definição do escopo do Sistema de Gestão da Segurança da 3. Entendendo a NBR 27001 Informação, a avaliação de riscos, a identificação de ativos e a eficácia dos controles implementados.” 3.1 Processo de Gestão (Módulo Security- acesso 01/11/2006 - A abordagem de processo para a gestão da http://www.modulo.com.br/checkuptool/artigo_15.htm) segurança da informação apresentada nesta norma Esta Norma promove a adoção de uma abordagem encoraja que seus usuários enfatizem a importância de: de processo para estabelecer e implementar, operar, a-) entendimento dos requisitos de segurança da monitorar, analisar criticamente, manter e melhorar o informação de uma organização e da necessidade de SGSI- Sistema de Gerenciamento da Segurança da estabelecer uma política e objetivos para a segurança Informação, de uma organização. da informação; Para esta abordagem, a norma orienta à observação b-) implantação e operação de controles para de um conjunto de ações e tarefas. Estas ações devem gerenciar os riscos de segurança da informação de uma ser planejadas visando à eficiência de sua aplicação. organização no contexto dos riscos de negócio globais Destaco como pontos importantes para a da organização; aplicabilidade da norma as ações referidas em 3.2, destaco ainda que todas as ações propostas devam ser
discutidas e aperfeiçoadas em conjunto com os Desenhar um mapa com estes requisitos, seus usuários envolvidos. Assim o sendo, a aplicabilidade desdobramentos, suas ações, as ações já implantadas torna-se um consenso e uma regra apoiada por todos. as em implantação as primordiais, as polêmicas, Obter o envolvimento e aprovação da direção é outro facilita as decisões necessárias. ponto fundamental para a adoção da regra. 4.1 Preparação dos Requisitos 3.2 Tabela dos principais requisitos referenciados O mapa conceitual destes requisitos deve refletir a na ABNT-NBR-27001 ligação entre as ações identificadas e os requisitos O planejamento das ações relativas à norma deve descritos nas normas. atender a um conjunto de requisitos. Na tabela a seguir Utilizando de cores, símbolos, marcas, sinais e apresento alguns destes macro requisitos. outros, o mapa torna claros os objetivos do plano de ação. Requisitos gerais 4.2 - Estabelecendo e Gerenciando o SGSI. 4.2 Preparação do Mapa 4.2.1 - Estabelecer o SGSI. O “Mapa Conceitual” construído a partir destes 4.2.2 - Implementar e operar o SGSI. requisitos deve refletir a ligação entre as ações 4.2.3 - Monitorar e analisar criticamente o identificadas e os requisitos normativos. SGSI. A construção do Mapa de Segurança deve observar 4.2.4 - Manter e melhorar o SGSI. a área sobre a qual se quer atuar, levando-se em conta 4.3 – Requisitos de Documentação a mais abrangente e completa avaliação como foco do 4.3.1 – A documentação de SGSI deve levantamento e desenho do SGSI. incluir. (disponibilize, publique, torne Para a construção do SGSI observamos a mais público) completa avaliação para mapearmos a área de atuação 4.3.2 – Controle de documentos. desejada. Devemos também planejar as etapas de (disponibilize, publique, torne público) implantação seguimentando o Mapa de Atuação, de 4.3.3 –Controle de registros uma forma aplicável levando-se em conta sempre o grau de maturidade existente no ambiente de sua 5 – Responsabilidade da direção. aplicação, “Não ser mais realista que o Rei”, 5.1 – Comprometimento da direção identificada no levantamento do mapa da situação 5.2 – Gestão de Risco atual de maturidade para segurança. 5.2.1 – Provisão de Recursos. O “Mapa” deve conter informações que permitam 5.2.2 – Treinamento, conscientização e identificar ações facilitadoras para a pulverização da competência cultura de segurança da informação como a construção 6 – Auditorias internas. de uma “Brigada de Segurança da Informação” nos 6.1 – Questões a serem auditadas. moldes de uma brigada de incêndio, com o objetivo de 7 – Analise crítica do SGSI. “Pulverizar e Conscientizar” sobre as práticas de 7.1 – Analisar com periodicidade, ao menos segurança da Informação. uma vez por ano. Deve constar no “Mapa” às ações de divulgação 7.2 - Entradas para analise crítica. planejadas para atingir as etapas previstas no SGSI, 7.3 – Saídas da analise crítica. devendo ainda desenhar os modelos de “Documentos 8 – Melhoria do SGSI. Padrão” que objetivam a divulgação bem como os 8.1 – Melhoria continuada. locais de afixação destes avisos facilitando a 8.2 – Ação corretiva. pulverização dos conceitos de segurança. 8.3 – Ação preventiva. Deverá ainda conter o plano de treinamento que Estes macro requisitos devem ser observados e será aplicado, contendo conteúdos, públicos alvos e seguidos para a composição do SGSI. possíveis datas para estas ações. Ao planejarmos os treinamentos, devemos fazê-lo para todos os níveis e 4. Ferramenta para trabalhar normalizado todos os envolvidos, Docentes, Discentes, Funcionários. Todas estas ações deverão estar contidas Elaborar um plano sobre segurança da informação no mapa de forma clara e objetiva, tornando-se uma requer uma metodologia. A metodologia aqui ferramenta de trabalho e planejamento do SGSI. apresentada relaciona as ações identificadas nas Ao término desta fase devemos ter em mãos dois normas e as ações identificadas no ambiente foco da mapas, um relativo aos itens abrangidos pela ação. normalização e um outro construído pela avaliação do Obter com clareza as ações necessárias, as ações escopo pretendido com a geração destas regras, o emergenciais, as ações facilitadoras, permite o SGSI. planejamento do SGSI. A ferramenta proposta, além de facilitar a visualização, facilita o acompanhamento e a localização das etapas já decorridas do SGSI.
4.3 Construção do Mapa 4.3 Aplicação do Mapa Para a construção do mapa conceitual deve-se partir O “Mapa de Segurança” como ferramenta para pelo objeto a ser construído, o SGSI, qual deve rápida visualização do SGSI adotado, deve ficar conectar-se aos requisitos exigidos pelas normas. exposto em lugar visível e de fácil acesso aos A junção dos dois “Mapas” apresentará um mapa envolvidos diretamente na implantação do SGSI, onde facilita a localização das ações do plano e os assim como poderá ser apresentado etapa por etapa aos requisitos das normas. demais membros da comunidade envolvida na Podemos então, utilizando-se de cores, símbolos, implantação do SGSI. marcas, sinais e outros métodos demarcadores de posição, utilizar o mapa com uma ótica mais clara para 5. Conclusão qualquer leitor, dos objetivos do plano de ação. Administrar ambientes computacionais implica em atender as normas e diretrizes da organização. A não conformidade às normas ou o descumprimento ou a não observância implica em penalização legal por omissão a estas. A alegação de desconhecimento não tem valor legal. Referências ABNT NBR ISO/IEC27001 de 03/2006 ABNT NBR ISO/IEC17799 de 2001 ABNT NBR ISO/IEC 13335-1:2004 ABNT NBR ISO/IEC TR 18044-1:2004 ABNT NBR ISO/IEC Guia 73:2005] ISSA-Information System Security Association Journal. Módulo Security News -visitado em 30 Out 2006– http://www.modulo.com.br/index.jsp?page=3&catid=7&o bjid=4885&pagecounter=0&idiom=0 Anexo 1 Vocabulário referencial para SI Ativo – qualquer coisa que tenha valor para a organização. [ISO/IEC 13335-1:2004] Disponibilidade – propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada. [ISO/IEC 13335-1:2004] Confiabilidade – propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados. [ISO/IEC 13335-1:2004] Segurança da informação – preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas. [ABNT NBR ISO/IEC 17799:2005] Evento de segurança da Informação – uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação. [ISO/IEC TR 18044-1:2004] Incidente de Segurança da Informação – um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. [ISO/IEC TR 18044-1:2004] SGSI – Sistema de gestão da segurança da informação – a parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação. (nota o sistema de gestão inclui estrutura organizacional, políticas, atividades de planejamento, responsabilidades, práticas, procedimentos, processos e recursos). Integridade – propriedade de salvaguarda da exatidão e completeza de ativos. [ISO/IEC 13335-1:2004] Risco residual – risco remanescente após o tratamento de riscos. [ABNT ISO/IEC Guia 73:2005] Aceitação do risco – decisão de aceitar um risco. [ABNT ISO/IEC Guia 73:2005] Análise de riscos – uso sistemático de informações para identificar fontes e estimar o risco. [ABNT ISO/IEC Guia 73:2005] Análise/Avaliação de riscos – processo completo de analise e avaliação de risco. [ABNT ISO/IEC Guia 73:2005] Avaliação de riscos – processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco. [ABNT ISO/IEC Guia 73:2005] Gestão de risco – atividade coordenada para direcionar e controlar uma organização no que se refere a risco. (nota- A gestão de riscos geralmente inclui a análise/avaliação de riscos, o tratamento de riscos, a aceitação de riscos e a comunicação de riscos. [ABNT ISO/IEC Guia 73:2005] Tratamento do risco – processo de selleção e implementação de medidas para modificar um risco. [ABNT ISO/IEC Guia 73:2005] Declaração de aplicabilidade – declaração documentada que descreve os objetivos de controle e controles que são pertinentes e aplicáveis ao SGSI da organização.

Recommended

Gestao da politica de segurança e operação da informacao
Gestao da politica de segurança e operação da informacaoGestao da politica de segurança e operação da informacao
Gestao da politica de segurança e operação da informacaoRui Gomes
 
Gestão segurança informação 01
Gestão segurança informação 01Gestão segurança informação 01
Gestão segurança informação 01Marcone Siqueira
 
66053636 apostila-iso17799-modulo1
66053636 apostila-iso17799-modulo166053636 apostila-iso17799-modulo1
66053636 apostila-iso17799-modulo1SITEL IBERICA TELESERVICES
 
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Marcelo Veloso
 
Política de Segurança
Política de SegurançaPolítica de Segurança
Política de Segurançatrindade7
 
Política de segurança da informação Fícticia
Política de segurança da informação FícticiaPolítica de segurança da informação Fícticia
Política de segurança da informação FícticiaVitor Melo
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Giovani Sant'Anna
 
Aplicação de sistemas de gestão da segurança da informação para startups no b...
Aplicação de sistemas de gestão da segurança da informação para startups no b...Aplicação de sistemas de gestão da segurança da informação para startups no b...
Aplicação de sistemas de gestão da segurança da informação para startups no b...Thiago Rosa
 

Recommended

Gestao da politica de segurança e operação da informacao
Gestao da politica de segurança e operação da informacaoGestao da politica de segurança e operação da informacao
Gestao da politica de segurança e operação da informacaoRui Gomes
 
Gestão segurança informação 01
Gestão segurança informação 01Gestão segurança informação 01
Gestão segurança informação 01Marcone Siqueira
 
66053636 apostila-iso17799-modulo1
66053636 apostila-iso17799-modulo166053636 apostila-iso17799-modulo1
66053636 apostila-iso17799-modulo1SITEL IBERICA TELESERVICES
 
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...
Artigo FUMEC 2012 - ISO 31000 X ISO 27005: Comparação entre as normas para ge...Marcelo Veloso
 
Política de Segurança
Política de SegurançaPolítica de Segurança
Política de Segurançatrindade7
 
Política de segurança da informação Fícticia
Política de segurança da informação FícticiaPolítica de segurança da informação Fícticia
Política de segurança da informação FícticiaVitor Melo
 
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009
Como garantir a seguranca da informação - Congresso MACKENZIE Forense 2009Giovani Sant'Anna
 
Aplicação de sistemas de gestão da segurança da informação para startups no b...
Aplicação de sistemas de gestão da segurança da informação para startups no b...Aplicação de sistemas de gestão da segurança da informação para startups no b...
Aplicação de sistemas de gestão da segurança da informação para startups no b...Thiago Rosa
 
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaPaulo Garcia
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 prontoAngélica Mancini
 
Trabalho Segurança da Informação -
Trabalho Segurança da Informação - Trabalho Segurança da Informação -
Trabalho Segurança da Informação - Bruno Luiz A. de Pai Paiva
 
Iso iec-27001
Iso iec-27001Iso iec-27001
Iso iec-27001marcos.santosrs
 
Políticas de segurança da informação
Políticas de segurança da informaçãoPolíticas de segurança da informação
Políticas de segurança da informaçãoRafael Ferreira
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsiRafael Maia
 
Política de segurança da informação diretrizes gerais
Política de segurança da informação diretrizes geraisPolítica de segurança da informação diretrizes gerais
Política de segurança da informação diretrizes geraisAdriano Lima
 
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...Marcos Messias
 
Artigo impacto de implementação de normas de segurança de informação - nbr ...
Artigo impacto de implementação de normas de segurança de informação - nbr ...Artigo impacto de implementação de normas de segurança de informação - nbr ...
Artigo impacto de implementação de normas de segurança de informação - nbr ...Ismar Garbazza
 
Segurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a NegóciosSegurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a NegóciosCarlos Henrique Martins da Silva
 
ISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesCompanyWeb
 
O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013Adriano Martins Antonio
 
Introdução a Segurança da Informação
Introdução a Segurança da InformaçãoIntrodução a Segurança da Informação
Introdução a Segurança da InformaçãoRafael De Brito Marques
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoFernando Palma
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Carlos Henrique Martins da Silva
 
Resumo ISO 27002
Resumo ISO 27002 Resumo ISO 27002
Resumo ISO 27002 Fernando Palma
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoEfrain Saavedra
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002Fernando Palma
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TIWagner Silva
 
segurança da informação
segurança da informaçãosegurança da informação
segurança da informaçãoalexandre henrique baía ribeiro
 
Herramienta Pluma
Herramienta PlumaHerramienta Pluma
Herramienta Plumajeisondelacruz
 
Projeto Capas de Caderno - Apresentação Prévia
Projeto Capas de Caderno - Apresentação PréviaProjeto Capas de Caderno - Apresentação Prévia
Projeto Capas de Caderno - Apresentação PréviaFabio Fermo
 

More Related Content

What's hot

Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaPaulo Garcia
 
Políticas de segurança da informação
Políticas de segurança da informaçãoPolíticas de segurança da informação
Políticas de segurança da informaçãoRafael Ferreira
 
Política de segurança da informação diretrizes gerais
Política de segurança da informação diretrizes geraisPolítica de segurança da informação diretrizes gerais
Política de segurança da informação diretrizes geraisAdriano Lima
 
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...Marcos Messias
 
Artigo impacto de implementação de normas de segurança de informação - nbr ...
Artigo impacto de implementação de normas de segurança de informação - nbr ...Artigo impacto de implementação de normas de segurança de informação - nbr ...
Artigo impacto de implementação de normas de segurança de informação - nbr ...Ismar Garbazza
 
ISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesCompanyWeb
 
Introdução a Segurança da Informação
Introdução a Segurança da InformaçãoIntrodução a Segurança da Informação
Introdução a Segurança da InformaçãoRafael De Brito Marques
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoFernando Palma
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da InformaçãoEfrain Saavedra
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TIWagner Silva
 

What's hot (20)

Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurançaMemória de aula 05 segurança e auditoria de sistemas - organizando a segurança
Memória de aula 05 segurança e auditoria de sistemas - organizando a segurança
 
Seminario iso 27000 pronto
Seminario iso 27000 prontoSeminario iso 27000 pronto
Seminario iso 27000 pronto
 
Trabalho Segurança da Informação -
Trabalho Segurança da Informação - Trabalho Segurança da Informação -
Trabalho Segurança da Informação -
 
Iso iec-27001
Iso iec-27001Iso iec-27001
Iso iec-27001
 
Políticas de segurança da informação
Políticas de segurança da informaçãoPolíticas de segurança da informação
Políticas de segurança da informação
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
 
Política de segurança da informação diretrizes gerais
Política de segurança da informação diretrizes geraisPolítica de segurança da informação diretrizes gerais
Política de segurança da informação diretrizes gerais
 
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
 
Artigo impacto de implementação de normas de segurança de informação - nbr ...
Artigo impacto de implementação de normas de segurança de informação - nbr ...Artigo impacto de implementação de normas de segurança de informação - nbr ...
Artigo impacto de implementação de normas de segurança de informação - nbr ...
 
Segurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a NegóciosSegurança da Informação Aplicada a Negócios
Segurança da Informação Aplicada a Negócios
 
ISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos ControlesISO 27001- Resumo - Mapa Mental dos Controles
ISO 27001- Resumo - Mapa Mental dos Controles
 
O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013O que mudou na ISO 27002:2013
O que mudou na ISO 27002:2013
 
Introdução a Segurança da Informação
Introdução a Segurança da InformaçãoIntrodução a Segurança da Informação
Introdução a Segurança da Informação
 
Auditoria em tecnologia da informação
Auditoria em tecnologia da informaçãoAuditoria em tecnologia da informação
Auditoria em tecnologia da informação
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
 
Resumo ISO 27002
Resumo ISO 27002 Resumo ISO 27002
Resumo ISO 27002
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
 
Auditoria e Segurança em TI
Auditoria e Segurança em TIAuditoria e Segurança em TI
Auditoria e Segurança em TI
 
segurança da informação
segurança da informaçãosegurança da informação
segurança da informação
 

Viewers also liked

Projeto Capas de Caderno - Apresentação Prévia
Projeto Capas de Caderno - Apresentação PréviaProjeto Capas de Caderno - Apresentação Prévia
Projeto Capas de Caderno - Apresentação PréviaFabio Fermo
 
Rubik's act 2
Rubik's act 2Rubik's act 2
Rubik's act 2respine2
 
A série animada como divulgador cultural
A série animada como divulgador culturalA série animada como divulgador cultural
A série animada como divulgador culturalBruno Santos
 
El paleolitico
El paleoliticoEl paleolitico
El paleoliticopolly_puff
 
Programa de Actividades do Museu de São Roque de Lisboa - Outubro a Dezembro...
Programa de Actividades do Museu de São Roque de Lisboa - Outubro a Dezembro...Programa de Actividades do Museu de São Roque de Lisboa - Outubro a Dezembro...
Programa de Actividades do Museu de São Roque de Lisboa - Outubro a Dezembro...Domenico Condito
 

Viewers also liked (7)

Herramienta Pluma
Herramienta PlumaHerramienta Pluma
Herramienta Pluma
 
Projeto Capas de Caderno - Apresentação Prévia
Projeto Capas de Caderno - Apresentação PréviaProjeto Capas de Caderno - Apresentação Prévia
Projeto Capas de Caderno - Apresentação Prévia
 
Rubik's act 2
Rubik's act 2Rubik's act 2
Rubik's act 2
 
A série animada como divulgador cultural
A série animada como divulgador culturalA série animada como divulgador cultural
A série animada como divulgador cultural
 
El paleolitico
El paleoliticoEl paleolitico
El paleolitico
 
Programa de Actividades do Museu de São Roque de Lisboa - Outubro a Dezembro...
Programa de Actividades do Museu de São Roque de Lisboa - Outubro a Dezembro...Programa de Actividades do Museu de São Roque de Lisboa - Outubro a Dezembro...
Programa de Actividades do Museu de São Roque de Lisboa - Outubro a Dezembro...
 
Killrpdf
KillrpdfKillrpdf
Killrpdf
 

Similar to Normas ABNT-NBR-ISO/IEC 17799 e 27001 para segurança da informação

Unidade 1.2 segurança da informação, normas
Unidade 1.2 segurança da informação, normasUnidade 1.2 segurança da informação, normas
Unidade 1.2 segurança da informação, normasJuan Carlos Lamarão
 
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...TI Safe
 
Unidade 1.2 Segurança da Informação, Normas
Unidade 1.2 Segurança da Informação, NormasUnidade 1.2 Segurança da Informação, Normas
Unidade 1.2 Segurança da Informação, NormasJuan Carlos Lamarão
 
CLASS 2016 - Palestra Renato Mendes
CLASS 2016 - Palestra Renato Mendes CLASS 2016 - Palestra Renato Mendes
CLASS 2016 - Palestra Renato Mendes TI Safe
 
ISO 27001
ISO 27001ISO 27001
ISO 27001jcfarit
 
Lançamento CSA Guide em Português
Lançamento CSA Guide em PortuguêsLançamento CSA Guide em Português
Lançamento CSA Guide em PortuguêsLeo Goldim
 
Implementando segurança de redes com brazilfw firewall e router
Implementando segurança de redes com brazilfw firewall e routerImplementando segurança de redes com brazilfw firewall e router
Implementando segurança de redes com brazilfw firewall e routerAnderson Pontes
 
Normas de Segurança da Informação - Família ISO/IEC 27000
Normas de Segurança da Informação - Família ISO/IEC 27000Normas de Segurança da Informação - Família ISO/IEC 27000
Normas de Segurança da Informação - Família ISO/IEC 27000Kleber Silva
 
Especificações da ISO para gestão de Segurança da Informação
Especificações da ISO para gestão de Segurança da InformaçãoEspecificações da ISO para gestão de Segurança da Informação
Especificações da ISO para gestão de Segurança da InformaçãoLaís Berlatto
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...IsmaelFernandoRiboli
 
Nbr iso27005 consulta_abnt1
Nbr iso27005 consulta_abnt1Nbr iso27005 consulta_abnt1
Nbr iso27005 consulta_abnt1Toni Hebert
 
Segurança da informação - Parte 2
Segurança da informação - Parte 2Segurança da informação - Parte 2
Segurança da informação - Parte 2Fabrício Basto
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Cleber Fonseca
 
Resposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEMResposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEMSpark Security
 

Similar to Normas ABNT-NBR-ISO/IEC 17799 e 27001 para segurança da informação (20)

Unidade 1.2 segurança da informação, normas
Unidade 1.2 segurança da informação, normasUnidade 1.2 segurança da informação, normas
Unidade 1.2 segurança da informação, normas
 
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...
White Paper - O uso de padrões abertos para proteção de sistemas scada e de a...
 
Unidade 1.2 Segurança da Informação, Normas
Unidade 1.2 Segurança da Informação, NormasUnidade 1.2 Segurança da Informação, Normas
Unidade 1.2 Segurança da Informação, Normas
 
CLASS 2016 - Palestra Renato Mendes
CLASS 2016 - Palestra Renato Mendes CLASS 2016 - Palestra Renato Mendes
CLASS 2016 - Palestra Renato Mendes
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Lançamento CSA Guide em Português
Lançamento CSA Guide em PortuguêsLançamento CSA Guide em Português
Lançamento CSA Guide em Português
 
Palestra
PalestraPalestra
Palestra
 
Implementando segurança de redes com brazilfw firewall e router
Implementando segurança de redes com brazilfw firewall e routerImplementando segurança de redes com brazilfw firewall e router
Implementando segurança de redes com brazilfw firewall e router
 
Normas de Segurança da Informação - Família ISO/IEC 27000
Normas de Segurança da Informação - Família ISO/IEC 27000Normas de Segurança da Informação - Família ISO/IEC 27000
Normas de Segurança da Informação - Família ISO/IEC 27000
 
Especificações da ISO para gestão de Segurança da Informação
Especificações da ISO para gestão de Segurança da InformaçãoEspecificações da ISO para gestão de Segurança da Informação
Especificações da ISO para gestão de Segurança da Informação
 
Tutorialitil2
Tutorialitil2Tutorialitil2
Tutorialitil2
 
Tutorialitil2
Tutorialitil2Tutorialitil2
Tutorialitil2
 
Tutorialitil2
Tutorialitil2Tutorialitil2
Tutorialitil2
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
 
Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...Uma metodologia para implantação de um sistema de gestão de segurança da info...
Uma metodologia para implantação de um sistema de gestão de segurança da info...
 
Nbr iso27005 consulta_abnt1
Nbr iso27005 consulta_abnt1Nbr iso27005 consulta_abnt1
Nbr iso27005 consulta_abnt1
 
27001 consulta publica
27001 consulta publica27001 consulta publica
27001 consulta publica
 
Segurança da informação - Parte 2
Segurança da informação - Parte 2Segurança da informação - Parte 2
Segurança da informação - Parte 2
 
Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002Segurança da informação - Aula 7 - ISO 27002
Segurança da informação - Aula 7 - ISO 27002
 
Resposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEMResposta a Incidentes de Segurança com ferramentas SIEM
Resposta a Incidentes de Segurança com ferramentas SIEM
 

Normas ABNT-NBR-ISO/IEC 17799 e 27001 para segurança da informação

  • 1. Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP César Augusto Asciutti Agência USP de Inovação, São Paulo (SP), 3091-2933, asciutti@usp.br Resumo Este artigo apresenta uma breve descrição sobre a abrangência das normas técnicas brasileira sobre segurança da informação. Apresenta também um novo modelo arquitetônico para segurança de redes descrito pela associação internacional de segurança da informação. Finalmente apresenta uma ferramenta de trabalho que auxilia o responsável pela segurança computacional do instituto/departamento/órgão a planejar as implantações necessárias em atendimento às normas brasileiras. Palavras-Chave (exemplo): Segurança Computacional, NBR-17799 e NBR27001, Norma Técnica, Brigada de Segurança da Informação. 1. Introdução informação tem valor e deve ser protegido. As pessoas, seus conhecimentos, também são ativos, marca, Inicialmente devemos esclarecer o porquê de imagem, também são ativos, todos devem ser adotarmos determinadas normas, para posteriormente preservados e mantidos pelo valor que todos entendermos a sua abrangência e a sua aplicabilidade. representam. Após este entendimento do porque adotarmos ações Aqui, mais do que em qualquer lugar, o condizentes com as normas, passaremos a observar a conhecimento é o ativo, além de ativo, conhecimento é norma sobre a analise dos grandes grupos de ação o “produto” que a universidade “comercializa”. É na abrangidos tanto pela NBR-17799 como pela NBR- transferência deste conhecimento que reside a sua 27001. Posteriormente apresentaremos uma ferramenta missão, assim como também é sua missão, gerar mais de trabalho que facilita a visualização da situação na conhecimento. qual o instituto encontra-se parametrizado com a O conhecimento gerado na USP está nas pessoas, norma e os objetivos propostos para adaptação das mas também está nos computadores, sejam servidores operações com as exigências normativas. ou computadores pessoais, sendo nos computadores Normas são entendidas como um conjunto de regras que armazenamos estes ativos/conhecimentos. É no ou orientações que visam qualidade, na atuação de ambiente computacional que é armazenado, uma tarefa. As normas em estudo buscam tornar o manipulado, organizado, construído e disponibilizado ambiente computacional das empresas, neste caso os grande parte deste ativo/conhecimento. Defender de institutos ou órgãos ligados à USP, mais seguros com ataques externos e ataques internos é o objetivo da relação à mitigar os incidentes computacionais, além segurança computacional de orientar sobre ações a serem tomadas, quando estes incidentes ocorrerem. 1.2 Tecnologia por si só não garante segurança da informação, diz estudo Módulo Security News-30 Out 2006 - 1.1 Motivação para um ambiente seguro. “-Os dois itens mais importantes na hora de manter Aplicar normas de segurança em um ambiente as informações da empresa em segurança são: a computacional, é mais do que modismo, é uma forma elaboração de políticas de segurança e o de garantir a existência de coerência nas ações dos gerenciamento de suporte adequados, seguido do nível coordenadores e executores das tarefas de de conscientização dos funcionários. Este é o resultado administração dos ambientes computacionais. Adotar de um estudo conduzido pela ONG educacional padrões reconhecidamente eficientes minimiza-se especializada em certificar profissionais de segurança problemas de incidentes relacionados às operações The International Information Systems Security sustentadas por computadores. Certification Consortium, em parceria com a Inicialmente devemos entender que informação é consultoria IDC.“ um dos ativo de uma empresa/instituto. Como ativo, a
  • 2. 1.3 Nova Arquitetura para segurança de rede. Um breve histórico da evolução da norma até Proteger estruturas computacionais com aplicação chegar a ISO 27001: de barreiras por camadas é o modelo mais usual para a - 1995: publicada a primeira versão da BS 7799-1 blindagem das informações e dos recursos da rede. (BS 7799-1:1995 - Tecnologia da Informação - Código Com grande parte dos serviços e ambientes de prática para gestão da segurança da informação) computacionais suportado pela ethernet, novos - 1998: publicada a primeira versão da BS 7799-2 modelos de barragens estão sendo propostos. (BS 7799-2:1998 - Sistema de gestão da Segurança da Informação - Especificações e guia para uso) - 1999: publicada uma revisão da BS 7799-1 (BS 7799-1:1999 - Tecnologia da Informação - Código de prática para gestão da segurança da informação) - 2000: publicada a primeira versão da norma ISO/IEC 17799 (ISO/IEC 17799:2000 - Tecnologia da Informação - Código de prática para gestão da segurança da informação também referenciada como BS ISO/IEC 17799:2000) - 2001: publicada a primeira versão da norma no Brasil, NBR ISO/IEC 17799 (NBR ISO/IEC 17799:2001 - Tecnologia da Informação - Código de prática para gestão da segurança da informação) - 2002: publicada revisão da norma BS 7799 parte 2 (BS7799-2:2002 - Sistema de gestão da Segurança da Informação - Especificações e guia para uso). - Agosto/2005: publicada a segunda versão da Segurança por zona em três camadas, (ISSA Journal, abril 2006) norma no Brasil, NBR ISO/IEC 17799 (NBR ISO/IEC 17799:2005 - Tecnologia da Informação - Código de prática para gestão da segurança da informação); O modelo que apresentarei é uma nova abordagem - Outubro/2005: publicada a norma ISO 27001 arquitetônica para este bloqueio. A proposta (ISO/IEC 27001:2005 - Tecnologia da Informação - encontrada em publicações específicas, apresenta uma Técnicas de segurança - Sistema de gestão da nova forma de blindar os serviços e os recursos. Segurança da Informação - Requisitos). Baseado em virtualização do serviços e recursos, podemos formar uma barreira única de acesso 2.1 Tópicos Relevantes da ABNT NBR ISO/IEC- facilitando os serviços de controle e manutenção desta 17799 barreira. Ao virtualizar o data center, estas barreiras Segurança para sistemas de informações foi um dos facilitam o planejamento de ações minimizando os primeiros itens a definirem padrões. A gerência de recursos oferecidos aos essencialmente necessários. segurança da informação visa identificar os riscos e implantar medidas que de forma efetiva tornem estes riscos gerenciáveis e minimizados. A NBR ISO IEC 17799:2005 é um código de práticas de gestão de segurança da informação. Sua importância pode ser dimensionada pelo número crescente de pessoas e variedades de ameaças a que a informação é exposta na rede de computadores. 2.2 Os objetivos explícitos desta norma são: Estabelecer um referencial para as organizações desenvolverem, implementarem e avaliarem a gestão da segurança de informação. Em sua documentação a ABNT NBR-ISO/IEC- Nova Arquitetura de segurança, usuários com acesso por rede ao Virtual Data Center. (ISSA Journal, abril 2006) 17799:2005 aborda 11 tópicos principais: • 1. Política de segurança - onde descreve a importância e relaciona os principais assuntos que devem ser abordados numa política de segurança. • 2. Segurança organizacional - aborda a estrutura 2. Entendendo a NBR 17799 de uma gerência para a segurança de informação, assim como aborda o estabelecimento de 2.2 Linha do Tempo da Norma responsabilidades incluindo terceiros e fornecedores ISO /IEC 17799:2000 & ISO/IEC 27001:2005 de serviços.
  • 3. • 3. Classificação e controle de ativos de c-) monitoração e analise crítica do desempenho e informação - trabalha a classificação, o registro e o eficácia do SGSI; e controle dos ativos da organização. d-) melhoria contínua baseada em medições • 4. Segurança em pessoas - tem como foco o risco objetivas. decorrente de atos intencionais ou acidentais feitos por Para a execução e implantação desta norma, é pessoas. Também é abordada a inclusão de sugerido uma atuação baseada no modelo PDCA. responsabilidades relativas à segurança na descrição "Plan-Do-Check-Act"(PDCA) dos cargos, a forma de contratação e o treinamento em assuntos relacionados à segurança. • 5. Segurança ambiental e física - aborda a necessidade de se definir áreas de circulação restrita e a necessidade de proteger equipamentos e a infra- estrutura de tecnologia de Informação. • 6. Gerenciamento das operações e comunicações - aborda as principais áreas que devem ser objeto de especial atenção da segurança. Dentre estas áreas destacam-se as questões relativas a procedimentos operacionais e respectivas responsabilidades, homologação e implantação de “Plan” – Planejar – Estabelecer o SGSI – sistemas, gerência de redes, controle e prevenção de Estabelecer a política, objetivos, processos e vírus, controle de mudanças, execução e guarda de procedimentos do SGSI, relevantes para a gestão de backup, controle de documentação, segurança de riscos e a melhoria da segurança da informação para correio eletrônico, entre outras. produzir resultados de acordo com as políticas e • 7. Controle de acesso - aborda o controle de objetivos globais de uma organização. acesso a sistemas, a definição de competências, o “Do” – Fazer – Implementar e Operar o SGSI - sistema de monitoração de acesso e uso, a utilização de Implementar e operar as políticas, controles, processos senhas, dentre outros assuntos. e procedimentos do SGSI. • 8. Desenvolvimento e manutenção de sistemas - “Check” – Checar/Monitorar/Analisar Criticamente são abordados os requisitos de segurança dos sistemas, – Avaliar e, quando aplicável, medir o desempenho de controles de criptografia, controle de arquivos e um processo frente à política, objetivos e experiências segurança do desenvolvimento e suporte de sistemas. práticas do SGSI e apresentar os resultados para a • 9. Gestão de incidentes de segurança - incluída analise crítica pela direção. na versão 2005, apresenta dois itens: Notificação de “Act” – Agir – Manter e melhorar o SGSI – fragilidades e eventos de segurança da informação e Executar as ações corretivas e preventivas, com base gestão de incidentes de segurança da informação e nos resultados da auditoria interna do SGSI e da melhorias. análise crítica pela direção ou outra informação • 10. Gestão da continuidade do negócio - reforça pertinente, para alcançar a melhoria contínua do SGSI. a necessidade de se ter um plano de continuidade e (ABNT ISO/IEC-27001) contingência desenvolvido, implementado, testado e atualizado. 3.1 Norma ABNT NBR ISO/IEC-27001-2005 • 11. Conformidade - aborda a necessidade de “- A nova família da série ISO IEC 27000-27009 observar os requisitos legais, tais como a propriedade está relacionada com os requisitos mandatários da intelectual e a proteção das informações de clientes. ISO/IEC 27001:2005, como, por exemplo, a definição do escopo do Sistema de Gestão da Segurança da 3. Entendendo a NBR 27001 Informação, a avaliação de riscos, a identificação de ativos e a eficácia dos controles implementados.” 3.1 Processo de Gestão (Módulo Security- acesso 01/11/2006 - A abordagem de processo para a gestão da http://www.modulo.com.br/checkuptool/artigo_15.htm) segurança da informação apresentada nesta norma Esta Norma promove a adoção de uma abordagem encoraja que seus usuários enfatizem a importância de: de processo para estabelecer e implementar, operar, a-) entendimento dos requisitos de segurança da monitorar, analisar criticamente, manter e melhorar o informação de uma organização e da necessidade de SGSI- Sistema de Gerenciamento da Segurança da estabelecer uma política e objetivos para a segurança Informação, de uma organização. da informação; Para esta abordagem, a norma orienta à observação b-) implantação e operação de controles para de um conjunto de ações e tarefas. Estas ações devem gerenciar os riscos de segurança da informação de uma ser planejadas visando à eficiência de sua aplicação. organização no contexto dos riscos de negócio globais Destaco como pontos importantes para a da organização; aplicabilidade da norma as ações referidas em 3.2, destaco ainda que todas as ações propostas devam ser
  • 4. discutidas e aperfeiçoadas em conjunto com os Desenhar um mapa com estes requisitos, seus usuários envolvidos. Assim o sendo, a aplicabilidade desdobramentos, suas ações, as ações já implantadas torna-se um consenso e uma regra apoiada por todos. as em implantação as primordiais, as polêmicas, Obter o envolvimento e aprovação da direção é outro facilita as decisões necessárias. ponto fundamental para a adoção da regra. 4.1 Preparação dos Requisitos 3.2 Tabela dos principais requisitos referenciados O mapa conceitual destes requisitos deve refletir a na ABNT-NBR-27001 ligação entre as ações identificadas e os requisitos O planejamento das ações relativas à norma deve descritos nas normas. atender a um conjunto de requisitos. Na tabela a seguir Utilizando de cores, símbolos, marcas, sinais e apresento alguns destes macro requisitos. outros, o mapa torna claros os objetivos do plano de ação. Requisitos gerais 4.2 - Estabelecendo e Gerenciando o SGSI. 4.2 Preparação do Mapa 4.2.1 - Estabelecer o SGSI. O “Mapa Conceitual” construído a partir destes 4.2.2 - Implementar e operar o SGSI. requisitos deve refletir a ligação entre as ações 4.2.3 - Monitorar e analisar criticamente o identificadas e os requisitos normativos. SGSI. A construção do Mapa de Segurança deve observar 4.2.4 - Manter e melhorar o SGSI. a área sobre a qual se quer atuar, levando-se em conta 4.3 – Requisitos de Documentação a mais abrangente e completa avaliação como foco do 4.3.1 – A documentação de SGSI deve levantamento e desenho do SGSI. incluir. (disponibilize, publique, torne Para a construção do SGSI observamos a mais público) completa avaliação para mapearmos a área de atuação 4.3.2 – Controle de documentos. desejada. Devemos também planejar as etapas de (disponibilize, publique, torne público) implantação seguimentando o Mapa de Atuação, de 4.3.3 –Controle de registros uma forma aplicável levando-se em conta sempre o grau de maturidade existente no ambiente de sua 5 – Responsabilidade da direção. aplicação, “Não ser mais realista que o Rei”, 5.1 – Comprometimento da direção identificada no levantamento do mapa da situação 5.2 – Gestão de Risco atual de maturidade para segurança. 5.2.1 – Provisão de Recursos. O “Mapa” deve conter informações que permitam 5.2.2 – Treinamento, conscientização e identificar ações facilitadoras para a pulverização da competência cultura de segurança da informação como a construção 6 – Auditorias internas. de uma “Brigada de Segurança da Informação” nos 6.1 – Questões a serem auditadas. moldes de uma brigada de incêndio, com o objetivo de 7 – Analise crítica do SGSI. “Pulverizar e Conscientizar” sobre as práticas de 7.1 – Analisar com periodicidade, ao menos segurança da Informação. uma vez por ano. Deve constar no “Mapa” às ações de divulgação 7.2 - Entradas para analise crítica. planejadas para atingir as etapas previstas no SGSI, 7.3 – Saídas da analise crítica. devendo ainda desenhar os modelos de “Documentos 8 – Melhoria do SGSI. Padrão” que objetivam a divulgação bem como os 8.1 – Melhoria continuada. locais de afixação destes avisos facilitando a 8.2 – Ação corretiva. pulverização dos conceitos de segurança. 8.3 – Ação preventiva. Deverá ainda conter o plano de treinamento que Estes macro requisitos devem ser observados e será aplicado, contendo conteúdos, públicos alvos e seguidos para a composição do SGSI. possíveis datas para estas ações. Ao planejarmos os treinamentos, devemos fazê-lo para todos os níveis e 4. Ferramenta para trabalhar normalizado todos os envolvidos, Docentes, Discentes, Funcionários. Todas estas ações deverão estar contidas Elaborar um plano sobre segurança da informação no mapa de forma clara e objetiva, tornando-se uma requer uma metodologia. A metodologia aqui ferramenta de trabalho e planejamento do SGSI. apresentada relaciona as ações identificadas nas Ao término desta fase devemos ter em mãos dois normas e as ações identificadas no ambiente foco da mapas, um relativo aos itens abrangidos pela ação. normalização e um outro construído pela avaliação do Obter com clareza as ações necessárias, as ações escopo pretendido com a geração destas regras, o emergenciais, as ações facilitadoras, permite o SGSI. planejamento do SGSI. A ferramenta proposta, além de facilitar a visualização, facilita o acompanhamento e a localização das etapas já decorridas do SGSI.
  • 5. 4.3 Construção do Mapa 4.3 Aplicação do Mapa Para a construção do mapa conceitual deve-se partir O “Mapa de Segurança” como ferramenta para pelo objeto a ser construído, o SGSI, qual deve rápida visualização do SGSI adotado, deve ficar conectar-se aos requisitos exigidos pelas normas. exposto em lugar visível e de fácil acesso aos A junção dos dois “Mapas” apresentará um mapa envolvidos diretamente na implantação do SGSI, onde facilita a localização das ações do plano e os assim como poderá ser apresentado etapa por etapa aos requisitos das normas. demais membros da comunidade envolvida na Podemos então, utilizando-se de cores, símbolos, implantação do SGSI. marcas, sinais e outros métodos demarcadores de posição, utilizar o mapa com uma ótica mais clara para 5. Conclusão qualquer leitor, dos objetivos do plano de ação. Administrar ambientes computacionais implica em atender as normas e diretrizes da organização. A não conformidade às normas ou o descumprimento ou a não observância implica em penalização legal por omissão a estas. A alegação de desconhecimento não tem valor legal. Referências ABNT NBR ISO/IEC27001 de 03/2006 ABNT NBR ISO/IEC17799 de 2001 ABNT NBR ISO/IEC 13335-1:2004 ABNT NBR ISO/IEC TR 18044-1:2004 ABNT NBR ISO/IEC Guia 73:2005] ISSA-Information System Security Association Journal. Módulo Security News -visitado em 30 Out 2006– http://www.modulo.com.br/index.jsp?page=3&catid=7&o bjid=4885&pagecounter=0&idiom=0 Anexo 1 Vocabulário referencial para SI Ativo – qualquer coisa que tenha valor para a organização. [ISO/IEC 13335-1:2004] Disponibilidade – propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada. [ISO/IEC 13335-1:2004] Confiabilidade – propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados. [ISO/IEC 13335-1:2004] Segurança da informação – preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas. [ABNT NBR ISO/IEC 17799:2005] Evento de segurança da Informação – uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação. [ISO/IEC TR 18044-1:2004] Incidente de Segurança da Informação – um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. [ISO/IEC TR 18044-1:2004] SGSI – Sistema de gestão da segurança da informação – a parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação. (nota o sistema de gestão inclui estrutura organizacional, políticas, atividades de planejamento, responsabilidades, práticas, procedimentos, processos e recursos). Integridade – propriedade de salvaguarda da exatidão e completeza de ativos. [ISO/IEC 13335-1:2004] Risco residual – risco remanescente após o tratamento de riscos. [ABNT ISO/IEC Guia 73:2005] Aceitação do risco – decisão de aceitar um risco. [ABNT ISO/IEC Guia 73:2005] Análise de riscos – uso sistemático de informações para identificar fontes e estimar o risco. [ABNT ISO/IEC Guia 73:2005] Análise/Avaliação de riscos – processo completo de analise e avaliação de risco. [ABNT ISO/IEC Guia 73:2005] Avaliação de riscos – processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco. [ABNT ISO/IEC Guia 73:2005] Gestão de risco – atividade coordenada para direcionar e controlar uma organização no que se refere a risco. (nota- A gestão de riscos geralmente inclui a análise/avaliação de riscos, o tratamento de riscos, a aceitação de riscos e a comunicação de riscos. [ABNT ISO/IEC Guia 73:2005] Tratamento do risco – processo de selleção e implementação de medidas para modificar um risco. [ABNT ISO/IEC Guia 73:2005] Declaração de aplicabilidade – declaração documentada que descreve os objetivos de controle e controles que são pertinentes e aplicáveis ao SGSI da organização.