• Nenhum resultado encontrado

ABNT NBR ISO/IEC 17799:2005

N/A
N/A
Info
Descarregar agora
Protected

Academic year: 2021

Share "ABNT NBR ISO/IEC 17799:2005"

Copied!
25
0
0

Carregando.... (Ver texto completo agora)

Descarregar agora ( 25 páginas )

Texto

(1)

ABNT NBR ISO/IEC 17799:2005

(

Norma equivalente à ISO/IEC 17799:2005

)

Tecnologia da informação - Técnicas de

segurança - Código de prática para a

gestão da segurança da informação

Prof. Kelber de Souza Albeche kalbeche@gmail.com

(2)

DEFINIÇÕES NBR ISO/IEC 17799

 Segurança da informação é a proteção da informação de

vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio.

 A segurança da informação é obtida a partir da

implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. Convém que isto seja feito em conjunto com outros processos de gestão do negócio.

(3)

DEFINIÇÕES NBR ISO/IEC 17799

Por que a segurança da informação é necessária?

A informação e os processos de apoio, sistemas e redes

são importantes ativos para os negócios. Definir, alcançar, manter e melhorar a segurança da informação podem ser atividades essenciais para assegurar a competitividade, o fluxo de caixa, a lucratividade, o atendimento aos requisitos legais e a imagem da organização junto ao mercado.

A segurança da informação é importante para os negócios, tanto

do setor público como do setor privado, e para proteger as infra-estruturas críticas. Em ambos os setores, a função da segurança da informação é viabilizar os negócios como o governo eletrônico (e-gov) ou o comércio eletrônico (e-business), e evitar ou reduzir os riscos relevantes.

(4)

Estrutura da NBR ISO/IEC 17799

A NBR ISO/IEC 17799, está dividida em 11 seções:

a) Política de segurança da informação;

b) Organizando a segurança da informação; c) Gestão de ativos;

d) Segurança em recursos humanos; e) Segurança física e do ambiente;

f) Gestão das operações e comunicações; g) Controle de acessos;

h) Aquisição, desenvolvimento e manutenção de sistemas de informação; i) Gestão de incidentes de segurança da informação;

(5)

NORMA ISO/IEC 17799

 Compilação de recomendações para melhores práticas de

segurança, que podem ser aplicadas por empresas de qualquer porte ou setor.

 Padrão flexível, nunca guiando seus usuários a seguirem

uma solução de segurança específica em detrimento de outra.

 Neutra com relação à tecnologia.

 O grande objetivo da norma é o de garantir a continuidade

dos negócios por meio da implantação de controles, reduzindo muito as possibilidades de perda das informações.

(6)

Histórico

 Em 1987 o departamento de comércio e indústria do Reino

Unido (DTI) criou um centro de segurança de informações, o CCSC (Commercial Computer Security Centre).

 Tarefa de criar uma norma de segurança das informações para

o Reino Unido.

 Desde 1989 vários documentos preliminares foram publicados

por esse centro, até que, em 1995, surgiu a BS7799 (British Standart 7799).

 Esse documento foi disponibilizado em duas partes para

(7)

Histórico

 Em 1 de dezembro de 2000, após incorporar diversas

sugestões e alterações, a BS7799 ganhou status internacional com sua publicação na forma da ISO/IEC 17799:2000.

 Em setembro de 2001, a ABNT homologou a versão brasileira

da norma, denominada NBR ISO/IEC 17799.

 Em 24 de abril de 2003 foi realizado um encontro em Quebec,

no qual uma nova versão da norma revisada foi preparada. Essa nova versão da ISO/IEC 17799 foi lançada 2005.

(8)

NBR ISO/ IEC 17799:2005

Tecnologia de Informação – Técnicas de Segurança – Código de prática para a gestão da segurança da informação (http:// www.abntnet.com.br/fidetail.aspx?FonteID=6955).

 Possui onze seções de controle (macro-controles).

 Cada um destes controles é subdividido em vários outros controles (a norma possui um total de 137 controles de segurança).

(9)

Política de Segurança da Informação

 Essa seção orienta a direção no estabelecimento de uma

política clara de segurança da informação, alinhada com os objetivos do negócio, com demonstração de seu apoio e

comprometimento com a segurança da informação por meio da publicação, manutenção e divulgação da política para toda a organização. São fornecidas diretrizes para elaboração do documento e sua análise crítica

 Documento que define parâmetros para gestão da

Segurança da Informação;

Padrões a serem seguidos e ações a serem tomadas;Descreve processos relativos à segurança;

Descreve responsabilidades sobre os processos;Deve ser apoiado pela gerência;

(10)

Organizando a segurança da informação

Essa seção da norma orienta a direção de como gerenciar a

segurança da informação dentro da organização e, ainda, de como manter a segurança de seus recursos de processamento da

informação, que são acessados, processados, comunicados ou gerenciados por partes externas.

− Define a infra-estrutura para gerência da segurança da informação;

− As responsabilidades e as regras devem estar claramente definidas;

− Um gestor para cada ativo do ambiente;

− Inclusão de novos recursos feita sob autorização de um responsável;

− Consultor interno ou externo disponível para atuar em suspeitas de

(11)

Organizando a Segurança da informação

São fornecidas ainda diretrizes para o relacionamento com partes externas, naidentificação dos riscos relacionados e dos requisitos de segurança da informação necessários ao tratar com clientes e terceiros.

− Controle de acesso à locais críticos;

− Tipo do controle definindo conforme riscos e valor da informação;

− Presença de terceiros mediante autorização e acompanhamento;

(12)

Controle e Classificação de Ativos

Essa seção da norma orienta a direção a alcançar e manter a proteção adequada dos ativos da organização, além de assegurar que a informação seja classificada de acordo com seu nível adequado de proteção. São fornecidas diretrizes para realização de inventário dos ativos, definição de seus proprietários e regras para seu uso. Em relação à classificação da informação, a norma faz algumas recomendações e sugere a definição de procedimentos para rotulação e tratamento da informação.

Contabilização dos ativos:

− Mapeia todos os ativos da informação e atribui responsáveis;

− Associa ativos com níveis de segurança;

(13)

Segurança em Pessoas

Essa seção da norma orienta a direção a assegurar que funcionários, fornecedores e terceiros compreendam suas responsabilidades, estejam conscientes das ameaças relativas à segurança da informação e prontos para apoiar a política de segurança da informação da organização. São fornecidas diretrizes para definição de papéis e responsabilidades, inclusive da direção, seleção de pessoal, termos e condições de contratação, conscientização, educação e treinamento em segurança da informação, e processo disciplinar. Para os casos de encerramento ou mudança da contratação, são fornecidas diretrizes para encerramento de atividades, devolução de ativos e retirada de direitos de acesso. Essa seção abrange contratação temporária ou de longa duração de pessoas, nomeação e mudança de funções, atribuição de contratos e encerramento de qualquer uma dessas situações.

(14)

Essa seção da norma orienta a direção a prevenir acesso físico não autorizado, danos e interferências nas instalações e informações, assim como a impedir perdas, danos, furto ou comprometimento de ativos e interrupção das atividades da organização. São fornecidas diretrizes para áreas seguras, incluindo perímetro de segurança física, controles de entrada física, segurança em escritórios, salas e instalações, proteção contra ameaças externas e do meio ambiente e acesso do público, áreas de entrega e carregamento.

(15)

Segurança Física e do Ambiente

 Áreas de segurança:

− Controle de acesso à áreas restritas;

− Nível de proteção proporcional aos riscos e importância;

− Podem ser utilizados mecanismos de autenticação e vigilância (câmeras);

 Equipamentos de segurança:

− Proteção física dos equipamentos contra ameaças do ambiente (rede elétrica, contato com substâncias);

− Proteção do cabeamento de rede;

 Controles gerais:

− Diminuem o vazamento de informações;

− Política “Tela limpa, mesa limpa”. O acesso é negado às informações sendo trabalhadas no momento;

(16)

Gestão das operações e comunicações

Essa seção da norma orienta a direção quanto aos procedimentos e responsabilidades operacionais, incluindo gestão de mudanças, segregação de funções e separação dos ambientes de produção, desenvolvimento e teste. São fornecidas diretrizes também para

gerenciamento de serviços terceirizados, planejamento e aceitação de sistemas, proteção contra códigos maliciosos e móveis, cópias de segurança, gerenciamento da segurança em redes, manuseio de mídias, troca de informações, serviços de correio eletrônico e, por fim, monitoramento.

(17)

Controle de acesso

Essa seção da norma orienta a direção quanto aos controles de acesso à informação e aos recursos de processamento das informações. São fornecidas diretrizes para definição de requisitos de negócio para controle de acesso, gerenciamento de acesso e responsabilidades do usuário, controle de acesso à rede, sistema operacional, aplicação e informação, e, por fim, aspectos sobre computação móvel e trabalho remoto. Tais diretrizes englobam desde a definição de uma política de controle de acesso e o gerenciamento de privilégios até o isolamento de sistemas sensíveis.

Gerência de acesso dos usuários

Responsabilidade dos usuários

Controle de Acesso ao Sistema Operacional

Controle de Acesso às aplicações

Computação móvel e trabalho remoto

Notificação do uso e acesso ao sistema

(18)

Manutenção e desenvolvimento de Sistemas

Essa seção da norma orienta a direção quanto à definição dos requisitos necessários de segurança de sistemas de informação, medidas preventivas contra processamento incorreto das aplicações, uso de controles criptográficos, além de fornecer diretrizes para a segurança dos arquivos de sistema, segurança em processos de desenvolvimento e suporte, e gestão de vulnerabilidades técnicas.

Fornece critérios para o desenvolvimento de sistemas confiáveis.

A segurança deve ser abordada desde a fase de modelagem do sistema,

inserindo-se os controles de segurança na fase de iniciação de projetos.

Objetiva evitar que aplicações comprometam a integridade e

confidencialidade dos dados, através da validação da entrada e saída de dados e de verificações periódicas sobre os dados.

Deve-se garantir a integridade de arquivos associados a aplicações,

controlando-se o acesso aos dados armazenados, deve-se também fornecer um sistema de controle de alterações e atualizações de arquivos.

(19)

Gestão da continuidade dos negócios

Essa seção da norma orienta a direção para que fragilidades e eventos de segurança da informação associados com sistemas de informação sejam comunicados e gerenciados de forma consistente e efetiva, permitindo a tomada de ação corretiva em tempo hábil. São fornecidas diretrizes para notificação de eventos e fragilidades de segurança da informação, definição de responsabilidades e procedimentos de gestão desses eventos e fragilidades, além da coleta de evidências e do estabelecimento de mecanismos para análise dos incidentes recorrentes ou de alto impacto com vistas à sua quantificação e monitoramento.

(20)

Conformidade

Essa seção da norma orienta a direção a evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação, além de garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança da informação. São fornecidas diretrizes para identificação da legislação vigente, proteção dos direitos de propriedade intelectual, proteção dos registros organizacionais, proteção de dados e privacidade de informações pessoais, prevenção de mau uso de recursos de processamento da informação e regulamentação de controles de criptografia. Além disso, são feitas algumas considerações quanto à auditoria de sistemas de informação.

(21)

Serviços WEB - 2009/1

Checklist ISO 17799

 Elaborado pelo instituto americano SANS (System

Administration, Networking and Security Institute) –mais de 156 mil profissionais de segurança, auditores, administradores de sistemas e redes.

 Direcionado aos profissionais de TI e Segurança da

Informação que necessitam auditar o nível de segurança de suas empresas.

Versão não-oficial em PT:

(22)

Considerações Finais

 A segurança da informação está relacionada com o

faturamento de uma empresa, sua imagem e sua reputação.

 As conseqüências de incidentes de segurança podem ser

desastrosas, mas podem ser evitadas.

 A ISO17799 cobre os mais diversos tópicos da área de

segurança, possuindo um grande número de controles e requerimentos que devem ser atendidos para garantir a segurança das informações de uma empresa.

(23)

Considerações Finais

 A norma é intencionalmente flexível e genérica.

 O processo de implantação da Norma de Segurança a um

determinado ambiente não é simples e envolve muitos passos.

 a ISO17799 pode ser considerada a norma mais importante

para a gestão da segurança da informação que já foi elaborada – ela estabelece uma linguagem internacional comum para

todas as organizações do mundo.

 Deverá se tornar uma ferramenta essencial para empresas de

(24)

Referências Bibliográficas

ABNT NET. Associação Brasileira de Normas Técnicas. Disponível em: http://

www.abntnet.com.br/.

ABNT NBR ISO/IEC 17799. Segunda Edição. Disponível em:

http://www.scribd.com/doc/2449992/Abnt-Nbr-Isoiec-17799-Tecnologia-da-Informacao-Tecnicas-de-Seguranca-Codigo-de-Pratica-para-a-Gestao-da-Seguranca-da-Informacao

.

IDG Now!. Bolsa de Tóquio fecha mais cedo por pane em TI. Disponível em:

http://idgnow.uol.com.br/mercado/2006/01/18/idgnoticia.2006-02-06.6752227625/.

InformaBR. Segurança: 27 questões freqüentemente formuladas sobre as normas BS e ISO17799. Disponível em: http://www.informabr.com.br/nbr.htm.

ISO 17799 World. Disponível em: http://17799.macassistant.com/

Módulo. 10ª Pesquisa Nacional de Segurança da Informação. 2006.

OLIVEIRA BALDO, Luciano de. Uma Abordagem Correlacional dos Modelos

(25)

Referências Bibliográficas

 GONÇALVES, L. R. O. O surgimento da Norma Nacional de Segurança de

Informação [NBR ISO/IEC-1779:2001]. 2004. Disponível em: http://

www.lockabit.coppe.ufrj.br/rlab/rlab_textos.php?id=85.

 GORISSEN, MAXIMILIAN. Política de Segurança da Informação: A norma ISO 17799.

 ISO 17799: Information and Resource Portal. Disponível em:

http://17799.denialinfo.com/.

 JUNIOR, A. F. NOVA NORMA GARANTE SEGURANÇA DA INFORMAÇÃO. Disponível em: http://www.serasa.com.br/serasalegal/05-fev-02_m2.htm.

 The A-Z Guide for ISO 27001 and ISO 17799/ ISO 27002. Disponível em:

http://www.17799central.com/.

 VETTER, Fausto; REINERDT, Jonatas Davson. ISO/IEC 17799: Norma de Segurança da Informação. Florianópolis 2007.

 WIKIPÉDIA. Segurança da Informação. Disponível em:

Referências

Descarregar agora ( PDF - 25 páginas - 165.84 KB )

Documentos relacionados

Auditory effects among young musicians of a philharmonic band

Although none of the musicians that parti- cipated in this study had any hearing loss, there were many complaints related to hearing ability, such as discomfort with loud

ANIMAÇÃO TURÍSTICA EM UM PEQUENO MUNICÍPIO BRASILEIRO: CULTURA E TRADIÇÕES DO MUNDO RURAL EM SÃO JOÃO DO POLÊSINE, RS, BRASIL

Herdeiros culturais de um povo rural, os habitantes do município de São João do Polêsine, ainda mantém vivas no cotidiano da população residente no local,

XXXII RAID FERRARIA. Informação da Prova. Centro Cultural Recreativo e Desportivo da Ferraria.

318 José Manescas Pedro Manescas 472 FRANCO SPORT Yamaha YXZ 1000 R TT 2 Yamaha Open V. 343 David Vieira Sérgio Faria 333 GRUPO SANTAG / JPRMOTORS / PEDRINHA Can-Am X3 TT 1 Can

Revista Processus de Estudos de Gestão, Jurídicos e Financeiros ISSN: (impresso) / L-ISSN:

Art. 6º Deverá ser juntada aos autos Planilha Comparativa de Preços composta de, no mínimo, 03 valores válidos, obedecendo aos parâmetros estabelecidos no art. 4°, observadas as

XXXVI ENCONTRO NACIONAL DE ENGENHARIA DE PRODUCÃO

Contribuições da Engenharia de Produção para Melhores Práticas de Gestão e Modernização do Brasil.. João Pessoa/PB, Brasil, de 03 a 06 de outubro

BACKUP 101: PLANEJAMENTOS E FERRAMENTAS

A velocidade é outro fator que deve ser levado em conta, não somente no momento em que os dados são copiados, mas também o tempo necessário para recuperá-los caso os mesmos sejam

GESTÃO DE DOCUMENTOS ARQUIVÍSTICOS ELETRÔNICOS: IMPLANTAÇÃO DO SISTEMA SEI EM ÓRGÃOS PÚBLICOS

Sendo considerado como a “capacidade de um documento sustentar os fatos que atesta.” (MACNEIL apud ROCHA, 2007, p.16). 14) a gestão arquivística de documentos "compreende

2ª Feira, 1 de fevereiro Ser misericordioso

Jesus arrisca noventa e nove ovelhas para ir atrás da ovelha perdida, mostrando-nos o nosso dever misericordioso de acolher a todos e indica-nos qual deve ser o nosso modo de ser e de