Serviços WEB - 2009/1

ABNT NBR ISO/IEC 17799:2005 (Norma equivalente à ISO/IEC 17799:2005 )

Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão da segurança da informação

Prof. Kelber de Souza Albechekalbeche@gmail.com

Serviços WEB - 2009/1

DEFINIÇÕES NBR ISO/IEC 17799 Segurança da informação é a proteção da informação de

vários tipos de ameaças para garantir a continuidade do negócio, minimizar o risco ao negócio, maximizar o retorno sobre os investimentos e as oportunidades de negócio.

A segurança da informação é obtida a partir da implementação de um conjunto de controles adequados, incluindo políticas, processos, procedimentos, estruturas organizacionais e funções de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessário, para garantir que os objetivos do negócio e de segurança da organização sejam atendidos. Convém que isto seja feito em conjunto com outros processos de gestão do negócio.

Serviços WEB - 2009/1

DEFINIÇÕES NBR ISO/IEC 17799Por que a segurança da informação é necessária?

− A informação e os processos de apoio, sistemas e redes são importantes ativos para os negócios. Definir, alcançar, manter e melhorar a segurança da informação podem ser atividades essenciais para assegurar a competitividade, o fluxo de caixa, a lucratividade, o atendimento aos requisitos legais e a imagem da organização junto ao mercado.

− A segurança da informação é importante para os negócios, tanto do setor público como do setor privado, e para proteger as infra-estruturas críticas. Em ambos os setores, a função da segurança da informação é viabilizar os negócios como o governo eletrônico (e-gov) ou o comércio eletrônico (e-business), e evitar ou reduzir os riscos relevantes.

Serviços WEB - 2009/1

Estrutura da NBR ISO/IEC 17799

A NBR ISO/IEC 17799, está dividida em 11 seções:a) Política de segurança da informação;b) Organizando a segurança da informação;c) Gestão de ativos;d) Segurança em recursos humanos;e) Segurança física e do ambiente;f) Gestão das operações e comunicações;g) Controle de acessos;h) Aquisição, desenvolvimento e manutenção de sistemas de informação;i) Gestão de incidentes de segurança da informação;j) Gestão da continuidade do negócio;k) Conformidade.

Serviços WEB - 2009/1

NORMA ISO/IEC 17799 Compilação de recomendações para melhores práticas de

segurança, que podem ser aplicadas por empresas de qualquer porte ou setor.

Padrão flexível, nunca guiando seus usuários a seguirem uma solução de segurança específica em detrimento de outra.

Neutra com relação à tecnologia. O grande objetivo da norma é o de garantir a continuidade

dos negócios por meio da implantação de controles, reduzindo muito as possibilidades de perda das informações.

Serviços WEB - 2009/1

Histórico

Em 1987 o departamento de comércio e indústria do Reino Unido (DTI) criou um centro de segurança de informações, o CCSC (Commercial Computer Security Centre).

Tarefa de criar uma norma de segurança das informações para o Reino Unido.

Desde 1989 vários documentos preliminares foram publicados por esse centro, até que, em 1995, surgiu a BS7799 (British Standart 7799).

Esse documento foi disponibilizado em duas partes para consulta pública, a 1ª em 1995 e a 2ª em 1998.

Serviços WEB - 2009/1

Histórico Em 1 de dezembro de 2000, após incorporar diversas

sugestões e alterações, a BS7799 ganhou status internacional com sua publicação na forma da ISO/IEC 17799:2000.

Em setembro de 2001, a ABNT homologou a versão brasileira da norma, denominada NBR ISO/IEC 17799.

Em 24 de abril de 2003 foi realizado um encontro em Quebec, no qual uma nova versão da norma revisada foi preparada. Essa nova versão da ISO/IEC 17799 foi lançada 2005.

Serviços WEB - 2009/1

NBR ISO/ IEC 17799:2005

Tecnologia de Informação – Técnicas de Segurança – Código de prática para a gestão da segurança da informação (http://www.abntnet.com.br/fidetail.aspx?FonteID=6955).

Possui onze seções de controle (macro-controles).Cada um destes controles é subdividido em vários outros

controles (a norma possui um total de 137 controles de segurança).

Serviços WEB - 2009/1

Política de Segurança da Informação Essa seção orienta a direção no estabelecimento de uma

política clara de segurança da informação, alinhada com os objetivos do negócio, com demonstração de seu apoio e comprometimento com a segurança da informação por meio da publicação, manutenção e divulgação da política para toda a organização. São fornecidas diretrizes para elaboração do documento e sua análise crítica

Documento que define parâmetros para gestão da Segurança da Informação;

− Padrões a serem seguidos e ações a serem tomadas;− Descreve processos relativos à segurança;− Descreve responsabilidades sobre os processos;− Deve ser apoiado pela gerência;− Deve ser abordado em treinamentos;

Serviços WEB - 2009/1

Organizando a segurança da informaçãoEssa seção da norma orienta a direção de como gerenciar a segurança da informação dentro da organização e, ainda, de como manter a segurança de seus recursos de processamento da informação, que são acessados, processados, comunicados ou gerenciados por partes externas.

− Define a infra-estrutura para gerência da segurança da informação;− As responsabilidades e as regras devem estar claramente definidas;− Um gestor para cada ativo do ambiente;− Inclusão de novos recursos feita sob autorização de um responsável;− Consultor interno ou externo disponível para atuar em suspeitas de

incidentes de segurança.

Serviços WEB - 2009/1

Organizando a Segurança da informaçãoSão fornecidas ainda diretrizes para o relacionamento com partes externas, naidentificação dos riscos relacionados e dos requisitos de segurança da informação necessários ao tratar com clientes e terceiros.

− Controle de acesso à locais críticos;− Tipo do controle definindo conforme riscos e valor da

informação;− Presença de terceiros mediante autorização e acompanhamento;− Serviços terceirizados regulamentados por contrato;

Serviços WEB - 2009/1

Controle e Classificação de AtivosEssa seção da norma orienta a direção a alcançar e manter a proteção adequada dos ativos da organização, além de assegurar que a informação seja classificada de acordo com seu nível adequado de proteção. São fornecidas diretrizes para realização de inventário dos ativos, definição de seus proprietários e regras para seu uso. Em relação à classificação da informação, a norma faz algumas recomendações e sugere a definição de procedimentos para rotulação e tratamento da informação.

Contabilização dos ativos:− Mapeia todos os ativos da informação e atribui responsáveis;− Associa ativos com níveis de segurança;

Classificação da Informação:− Define a importância de um ativo;− Definição pode variar com o tempo;

Serviços WEB - 2009/1

Segurança em PessoasEssa seção da norma orienta a direção a assegurar que funcionários, fornecedores e terceiros compreendam suas responsabilidades, estejam conscientes das ameaças relativas à segurança da informação e prontos para apoiar a política de segurança da informação da organização. São fornecidas diretrizes para definição de papéis e responsabilidades, inclusive da direção, seleção de pessoal, termos e condições de contratação, conscientização, educação e treinamento em segurança da informação, e processo disciplinar. Para os casos de encerramento ou mudança da contratação, são fornecidas diretrizes para encerramento de atividades, devolução de ativos e retirada de direitos de acesso. Essa seção abrange contratação temporária ou de longa duração de pessoas, nomeação e mudança de funções, atribuição de contratos e encerramento de qualquer uma dessas situações.

Serviços WEB - 2009/1

Essa seção da norma orienta a direção a prevenir acesso físico não autorizado, danos e interferências nas instalações e informações, assim como a impedir perdas, danos, furto ou comprometimento de ativos e interrupção das atividades da organização. São fornecidas diretrizes para áreas seguras, incluindo perímetro de segurança física, controles de entrada física, segurança em escritórios, salas e instalações, proteção contra ameaças externas e do meio ambiente e acesso do público, áreas de entrega e carregamento.

Segurança Física e do Ambiente

Serviços WEB - 2009/1

Segurança Física e do Ambiente

Áreas de segurança:− Controle de acesso à áreas restritas;− Nível de proteção proporcional aos riscos e importância;− Podem ser utilizados mecanismos de autenticação e vigilância

(câmeras); Equipamentos de segurança:

− Proteção física dos equipamentos contra ameaças do ambiente (rede elétrica, contato com substâncias);

− Proteção do cabeamento de rede; Controles gerais:

− Diminuem o vazamento de informações;− Política “Tela limpa, mesa limpa”. O acesso é negado às informações

sendo trabalhadas no momento;

Serviços WEB - 2009/1

Gestão das operações e comunicações

Essa seção da norma orienta a direção quanto aos procedimentos e responsabilidades operacionais, incluindo gestão de mudanças, segregação de funções e separação dos ambientes de produção, desenvolvimento e teste. São fornecidas diretrizes também para gerenciamento de serviços terceirizados, planejamento e aceitação de sistemas, proteção contra códigos maliciosos e móveis, cópias de segurança, gerenciamento da segurança em redes, manuseio de mídias, troca de informações, serviços de correio eletrônico e, por fim, monitoramento.

Serviços WEB - 2009/1

Controle de acessoEssa seção da norma orienta a direção quanto aos controles de acesso à informação e aos recursos de processamento das informações. São fornecidas diretrizes para definição de requisitos de negócio para controle de acesso, gerenciamento de acesso e responsabilidades do usuário, controle de acesso à rede, sistema operacional, aplicação e informação, e, por fim, aspectos sobre computação móvel e trabalho remoto. Tais diretrizes englobam desde a definição de uma política de controle de acesso e o gerenciamento de privilégios até o isolamento de sistemas sensíveis. Gerência de acesso dos usuáriosResponsabilidade dos usuáriosControle de Acesso ao Sistema OperacionalControle de Acesso às aplicaçõesComputação móvel e trabalho remoto Notificação do uso e acesso ao sistemaControle de Acesso à redeRequisitos do negócio para controle de acesso

Serviços WEB - 2009/1

Manutenção e desenvolvimento de SistemasEssa seção da norma orienta a direção quanto à definição dos requisitos necessários de segurança de sistemas de informação, medidas preventivas contra processamento incorreto das aplicações, uso de controles criptográficos, além de fornecer diretrizes para a segurança dos arquivos de sistema, segurança em processos de desenvolvimento e suporte, e gestão de vulnerabilidades técnicas.Fornece critérios para o desenvolvimento de sistemas confiáveis.A segurança deve ser abordada desde a fase de modelagem do sistema, inserindo-se os controles de segurança na fase de iniciação de projetos.Objetiva evitar que aplicações comprometam a integridade e confidencialidade dos dados, através da validação da entrada e saída de dados e de verificações periódicas sobre os dados.Deve-se garantir a integridade de arquivos associados a aplicações, controlando-se o acesso aos dados armazenados, deve-se também fornecer um sistema de controle de alterações e atualizações de arquivos.

Serviços WEB - 2009/1

Gestão da continuidade dos negócios

Essa seção da norma orienta a direção para que fragilidades e eventos de segurança da informação associados com sistemas de informação sejam comunicados e gerenciados de forma consistente e efetiva, permitindo a tomada de ação corretiva em tempo hábil. São fornecidas diretrizes para notificação de eventos e fragilidades de segurança da informação, definição de responsabilidades e procedimentos de gestão desses eventos e fragilidades, além da coleta de evidências e do estabelecimento de mecanismos para análise dos incidentes recorrentes ou de alto impacto com vistas à sua quantificação e monitoramento.

Serviços WEB - 2009/1

ConformidadeEssa seção da norma orienta a direção a evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação, além de garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança da informação. São fornecidas diretrizes para identificação da legislação vigente, proteção dos direitos de propriedade intelectual, proteção dos registros organizacionais, proteção de dados e privacidade de informações pessoais, prevenção de mau uso de recursos de processamento da informação e regulamentação de controles de criptografia. Além disso, são feitas algumas considerações quanto à auditoria de sistemas de informação.

Serviços WEB - 2009/1

Checklist ISO 17799Elaborado pelo instituto americano SANS (System

Administration, Networking and Security Institute) –mais de 156 mil profissionais de segurança, auditores, administradores de sistemas e redes.

Direcionado aos profissionais de TI e Segurança da Informação que necessitam auditar o nível de segurança de suas empresas.

http://www.sans.org/score/checklists/ISO_17799_checklist.pdf

− Versão não-oficial em PT: − http://www.linuxsecurity.com.br/info/general/iso17799.checklist.pt-BR.pdf

Serviços WEB - 2009/1

Considerações Finais A segurança da informação está relacionada com o

faturamento de uma empresa, sua imagem e sua reputação. As conseqüências de incidentes de segurança podem ser

desastrosas, mas podem ser evitadas. A ISO17799 cobre os mais diversos tópicos da área de

segurança, possuindo um grande número de controles e requerimentos que devem ser atendidos para garantir a segurança das informações de uma empresa.

Serviços WEB - 2009/1

Considerações Finais A norma é intencionalmente flexível e genérica. O processo de implantação da Norma de Segurança a um

determinado ambiente não é simples e envolve muitos passos. a ISO17799 pode ser considerada a norma mais importante

para a gestão da segurança da informação que já foi elaborada – ela estabelece uma linguagem internacional comum para todas as organizações do mundo.

Deverá se tornar uma ferramenta essencial para empresas de qualquer tipo ou tamanho.

Serviços WEB - 2009/1

Referências Bibliográficas

ABNT NET. Associação Brasileira de Normas Técnicas. Disponível em: http://www.abntnet.com.br/.

ABNT NBR ISO/IEC 17799. Segunda Edição. Disponível em: http://www.scribd.com/doc/2449992/Abnt-Nbr-Isoiec-17799-Tecnologia-da-Informacao-Tecnicas-de-Seguranca-Codigo-de-Pratica-para-a-Gestao-da-Seguranca-da-Informacao.

IDG Now!. Bolsa de Tóquio fecha mais cedo por pane em TI. Disponível em: http://idgnow.uol.com.br/mercado/2006/01/18/idgnoticia.2006-02-06.6752227625/.

InformaBR. Segurança: 27 questões freqüentemente formuladas sobre as normas BS e ISO17799. Disponível em: http://www.informabr.com.br/nbr.htm.

ISO 17799 World. Disponível em: http://17799.macassistant.com/

Módulo. 10ª Pesquisa Nacional de Segurança da Informação. 2006.

OLIVEIRA BALDO, Luciano de. Uma Abordagem Correlacional dos Modelos CobiT/ ITIL e da Norma ISO 17799 para o tema Segurança da Informação . São Paulo 2007.

Serviços WEB - 2009/1

Referências Bibliográficas

GONÇALVES, L. R. O. O surgimento da Norma Nacional de Segurança de Informação [NBR ISO/IEC-1779:2001]. 2004. Disponível em: http://www.lockabit.coppe.ufrj.br/rlab/rlab_textos.php?id=85.

GORISSEN, MAXIMILIAN. Política de Segurança da Informação: A norma ISO 17799.

ISO 17799: Information and Resource Portal. Disponível em: http://17799.denialinfo.com/.

JUNIOR, A. F. NOVA NORMA GARANTE SEGURANÇA DA INFORMAÇÃO. Disponível em: http://www.serasa.com.br/serasalegal/05-fev-02_m2.htm.

The A-Z Guide for ISO 27001 and ISO 17799/ ISO 27002. Disponível em: http://www.17799central.com/.

VETTER, Fausto; REINERDT, Jonatas Davson. ISO/IEC 17799: Norma de Segurança da Informação. Florianópolis 2007.

WIKIPÉDIA. Segurança da Informação. Disponível em: http://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o.