ISO/IEC 17799

Norma de Segurança da Informação

Segurança da Informação

informações eletrônicas ou sistemas de armazenamento.Segurança da Informação   Segundo a norma ISO/IEC 17799. . minimizando danos comerciais e maximizando o retorno de possibilidades e investimentos. o conceito não está restrito somente a sistemas computacionais. é a proteção contra um grande número de ameaças às informações. de forma a assegurar a continuidade do negócio. Se aplica a todos os aspectos de proteção de informações.

. Fechamento das operações 20 minutos mais cedo. Alto volume de transações.Exemplo  A Bolsa de Tóquio. Inúmeros prejuízos. 8 de Janeiro de 2006:      Queda acentuada da bolsa. Sistema próximo a atingir sua capacidade máxima (estrutura tecnológica).

ela é restrita a um conjunto de entidades. ou seja.A tríade “CIA”   Confidencialidade: a garantia de que a informação só pode ser acessada e manipulada por pessoas autorizadas. que podem ser seres humanos ou podem ser um sistema eletrônico. Integridade: implica que toda vez que uma informação é manipulada ela está consistente. ou seja. que não foi alterada ou adulterada por um acesso legal ou ilegal. .

independentemente do momento em que ela é requisitada e do local no qual está armazenada.A tríade “CIA”  Disponibilidade das Informações Críticas: garantia de que uma informação sempre poderá ser acessada. . *as ameaças à segurança da informação são relacionadas diretamente à perda de uma de suas três características principais. pelas pessoas e processos autorizados.

reduzindo muito as possibilidades de perda das informações. . Padrão flexível. Neutra com relação à tecnologia. O grande objetivo da norma é o de garantir a continuidade dos negócios por meio da implantação de controles. nunca guiando seus usuários a seguirem uma solução de segurança específica em detrimento de outra.NORMA ISO/IEC 17799     Compilação de recomendações para melhores práticas de segurança. que podem ser aplicadas por empresas de qualquer porte ou setor.

o CCSC (Commercial Computer Security Centre). Desde 1989 vários documentos preliminares foram publicados por esse centro. Esse documento foi disponibilizado em duas partes para consulta pública. Tarefa de criar uma norma de segurança das informações para o Reino Unido. em 1995. a 1ª em 1995 e a 2ª em 1998. até que. .Histórico     Em 1987 o departamento de comércio e indústria do Reino Unido (DTI) criou um centro de segurança de informações. surgiu a BS7799 (British Standart 7799).

Histórico    Em 1 de dezembro de 2000. denominada NBR ISO/IEC 17799. após incorporar diversas sugestões e alterações. Essa nova versão da ISO/IEC 17799 foi lançada 2005. a ABNT homologou a versão brasileira da norma. a BS7799 ganhou status internacional com sua publicação na forma da ISO/IEC 17799:2000. Em 24 de abril de 2003 foi realizado um encontro em Quebec. Em setembro de 2001. . no qual uma nova versão da norma revisada foi preparada.

aspx?Font eID=6955).abntnet. Cada um destes controles é subdividido em vários outros controles (a norma possui um total de 137 controles de segurança).com. .br/fidetail. Possui onze seções de controle (macrocontroles).NBR ISO/ IEC 17799:2005    Tecnologia de Informação – Técnicas de Segurança – Código de prática para a gestão da segurança da informação (http://www.

Descreve processos relativos à segurança. Descreve responsabilidades sobre os processos. Deve ser abordado em treinamentos.      Padrões a serem seguidos e ações a serem tomadas.1. Deve ser apoiado pela gerência. . Política de Segurança da Informação  Documento que define parâmetros para gestão da Segurança da Informação.

As responsabilidades e as regras devem estar claramente definidas. Segurança da Organização  Infra-estrutura de Segurança da Informação:      Define a infra-estrutura para gerência da segurança da informação.2. Consultor interno ou externo disponível para atuar em suspeitas de incidentes de segurança. Um gestor para cada ativo do ambiente. . Inclusão de novos recursos feita sob autorização de um responsável.

Segurança da Organização  Segurança de acesso a terceiros:     Controle de acesso à locais críticos. Serviços terceirizados regulamentados por contrato. Presença de terceiros mediante autorização e acompanhamento.2. Tipo do controle definindo conforme riscos e valor da informação. .

2. flexível para suportar alterações nos procedimentos. Segurança da Organização  Terceirização:  Acordo contratual. .

Define a importância de um ativo. Definição pode variar com o tempo. Associa ativos com níveis de segurança.3. Controle e Classificação de Ativos  Contabilização dos ativos:   Mapeia todos os ativos da informação e atribui responsáveis.  Classificação da Informação:   .

4. Contratos devem abordar questões de sigilo e segurança. como roubo de informações. .    Treinamento dos usuários: Capacitar para o bom funcionamento das políticas de segurança. Segurança em Pessoas   Segurança na definição e nos recursos de trabalho: Diminuição dos riscos provenientes da atividade humana.

. Segurança em Pessoas  Respondendo aos incidentes de segurança e mau-funcionamento:    Diminuição de danos causados por falhas. Sistema de comunicação de incidentes. Aprendizado armazenado em bases de conhecimento.4.

Segurança Física e do Ambiente  Áreas de segurança:    Controle de acesso à áreas restritas.  Equipamentos de segurança:    Controles gerais:   . Podem ser utilizados mecanismos de autenticação e vigilância (câmeras). Política “Tela limpa. O acesso é negado às informações sendo trabalhadas no momento. Proteção do cabeamento de rede. Diminuem o vazamento de informações. mesa limpa”. Proteção física dos equipamentos contra ameaças do ambiente (rede elétrica. contato com substâncias).5. Nível de proteção proporcional aos riscos e importância.

(BALBO 2007) propõe a criação de um modelo baseado em ISO/IEC 17799. . ITIL e COBIT. A falta de investimento em segurança pode trazer problemas ao planejamento estratégico da organização.Governança da Segurança da Informação    As decisões a respeito da segurança da informação não são discutidas a nível estratégico.

3.6. 5. 2. 4. . Gestão das comunicações e das operações  Visa disponilizar mecanismos para o controle da troca de informações dentro e fora da organização. Planejamento e Aceitação dos Sistemas Proteção contra softwares maliciosos Gerência de Rede Segurança e Manuseio de Mídias Housekeeping Troca de Informações e Softwares Procedimentos e Responsabilidades Operacionais 1. 6. 7.

8. 7. . 4.7. Controle de acesso  Este controle visa evitar problemas de seguranças decorrentes do acesso lógico indevido a informação não privilegiada por parte de certos usuários. 3. 5. Requisitos do negócio para controle de acesso Gerência de acesso dos usuários Responsabilidade dos usuários Controle de Acesso ao Sistema Operacional Controle de Acesso às aplicações Computação móvel e trabalho remoto Notificação do uso e acesso ao sistema Controle de Acesso à rede 1. 6. 2.

controlando-se o acesso aos dados armazenados. A segurança deve ser abordada desde a fase de modelagem do sistema.8. através da validação da entrada e saída de dados e de verificações periódicas sobre os dados. Manutenção e desenvolvimento de Sistemas     Fornece critérios para o desenvolvimento de sistemas confiáveis. inserindo-se os controles de segurança na fase de iniciação de projetos. Deve-se garantir a integridade de arquivos associados a aplicações. . Objetiva evitar que aplicações comprometam a integridade e confidencialidade dos dados. deve-se também fornecer um sistema de controle de alterações e atualizações de arquivos.

9. . Gestão da continuidade dos negócios  A gestão da continuidade dos negócios tem por objetivo evitar interrupções nas atividades do negócio e proteger processos críticos do negócio contra os efeitos de grandes falhas ou desastres.

. Objetiva evitar infração de qualquer lei civil e criminal. Conformidade  Trata aspectos legais ligados a segurança. regulamentadora ou de obrigações contratuais e de quaisquer requisitos de segurança. Visa a garantia de que a política e as normas de segurança são seguidas    Garantir que processos de auditoria existam e sejam planejados e testados. estatutária.10.

sans. pdf Versão não-oficial em PT: http://www. administradores de sistemas e redes.pdf .Checklist ISO 17799   Elaborado pelo instituto americano SANS (System Administration.   http://www. auditores. Networking and Security Institute) – mais de 156 mil profissionais de segurança.com.org/score/checklists/ISO_17799_checklist.linuxsecurity.pt-BR.br/info/general/iso17799. Direcionado aos profissionais de TI e Segurança da Informação que necessitam auditar o nível de segurança de suas empresas.chec klist.

mas podem ser evitadas. . sua imagem e sua reputação. possuindo um grande número de controles e requerimentos que devem ser atendidos para garantir a segurança das informações de uma empresa.Considerações Finais    A segurança da informação está relacionada com o faturamento de uma empresa. As conseqüências de incidentes de segurança podem ser desastrosas. A ISO17799 cobre os mais diversos tópicos da área de segurança.

Considerações Finais     A norma é intencionalmente flexível e genérica. a ISO17799 pode ser considerada a norma mais importante para a gestão da segurança da informação que já foi elaborada – ela estabelece uma linguagem internacional comum para todas as organizações do mundo. O processo de implantação da Norma de Segurança a um determinado ambiente não é simples e envolve muitos passos. Deverá se tornar uma ferramenta essencial para empresas de qualquer tipo ou tamanho. .

Disponível em: http://17799. Luciano de. São Paulo 2007.com. OLIVEIRA BALDO.Referências Bibliográficas        ABNT NET. .com.br/mercado/2006/01/18/idgnoticia. IDG Now!. ABNT NBR ISO/IEC 17799.2006-0206. ISO 17799 World.com/ Módulo.htm.informabr. Disponível em: http://www. 2006. Associação Brasileira de Normas Técnicas.br/nbr. Segunda Edição.br/.6752227625/. Segurança: 27 questões freqüentemente formuladas sobre as normas BS e ISO17799. Disponível em: http://www. Uma Abordagem Correlacional dos Modelos CobiT/ ITIL e da Norma ISO 17799 para o tema Segurança da Informação .com/doc/2449992/Abnt-Nbr-Isoiec-17799-Tecnologia-daInformacao-Tecnicas-de-Seguranca-Codigo-de-Pratica-para-a-Gestao-daSeguranca-da-Informacao.abntnet. 10ª Pesquisa Nacional de Segurança da Informação.com.scribd. Bolsa de Tóquio fecha mais cedo por pane em TI. Disponível em: http://idgnow.macassistant.uol. InformaBR. Disponível em: http://www.

R. O surgimento da Norma Nacional de Segurança de Informação [NBR ISO/IEC-1779:2001].com/.Referências Bibliográficas        GONÇALVES.17799central. . Disponível em: http://www. F.br/serasalegal/05-fev-02_m2.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o. WIKIPÉDIA. A. Disponível em: http://www. Disponível em: http://pt. Segurança da Informação.com/. Disponível em: http://www. Política de Segurança da Informação: A norma ISO 17799.lockabit. Fausto. O. JUNIOR. The A-Z Guide for ISO 27001 and ISO 17799/ ISO 27002.serasa.br/rlab/rlab_textos. L.denialinfo. MAXIMILIAN.htm. REINERDT. Florianópolis 2007. GORISSEN. VETTER. 2004.com. Jonatas Davson. NOVA NORMA GARANTE SEGURANÇA DA INFORMAÇÃO. ISO 17799: Information and Resource Portal.php?id=85.wikipedia. Disponível em: http://17799.coppe.ufrj. ISO/IEC 17799: Norma de Segurança da Informação.

Sign up to vote on this title
UsefulNot useful