Poltica de Segurana da Informao: A norma ISO 17799.

Por Maximilian Immo Orm Gorissen - CEO

No de hoje a necessidade de proteger as informaes sigilosas nas empresas. Contudo, devido disponibilidade de novas tecnologias e a exigncia do mercado por um maior e mais rpido acesso s informaes, a preocupao em relao ao sigilo e a segurana da informao aumentou. Infelizmente, cada vez mais comum, encontrar indivduos tentando utilizar a tecnologia disponvel, o despreparo e at a inocncia das pessoas, para realizar atividades ilegais, destrutivas ou no autorizadas. Essas atividades, que vo de um simples adolescente tentando atos de vandalismo em pginas Web at tentativas sofisticadas de roubar informaes de cartes de crdito de clientes, so decorrentes de vrias vulnerabilidades em processos e sistemas, a principal delas, o elemento humano, comprovadamente o ponto fraco em toda a cadeia que compe a segurana da informao. Por esse motivo, para a maioria das empresas, a segurana da informao um dos aspectos mais difceis e trabalhosos da sua operao. Como mencionado o aspecto humano sendo um fator crtico da segurana da informao, para que o gerenciamento seja efetivo e no dependa de talentos humanos, faz-se necessrio o desenvolvimento e implementao de uma Poltica de Segurana da Informao, dirigida especialmente organizao e completamente integrada ao negcio. A Poltica de Segurana da Informao a que me refiro, o conjunto de diretrizes, normas e procedimentos que devem ser seguidos e que visam conscientizar e orientar os funcionrios, clientes, parceiros e fornecedores para o uso seguro do ambiente, tanto fsico quanto o informatizado, com informaes sobre como gerenciar, distribuir e proteger seus principais ativos, as informaes. Uma das normas e padres mais utilizados e normalmente implementada pela CompuStream Security a ISO 17799, uma compilao de recomendaes para melhores prticas de segurana, que podem ser aplicadas por empresas, independentemente do seu porte ou setor. Ela foi criada com a inteno de ser um padro flexvel, nunca guiando seus usurios a seguirem uma soluo de segurana especfica em detrimento de outra. As recomendaes da ISO 17799 so neutras com relao tecnologia e no fornecem nenhuma ajuda na avaliao ou entendimento de medidas de segurana j existentes. A flexibilidade e impreciso da ISO 17799 so intencionais, pois muito difcil criar um padro que funcione para todos os diversos ambientes de TI. Ela simplesmente fornece um conjunto de regras, em uma indstria onde elas no existiam. As Onze sees de controle da ABNT NBR ISO/ IEC 17799:2005 (Tecnologia da informao Tcnicas de segurana cdigo de prtica para a gesto da segurana da informao) so:

w w w . co m p u st r e a m se cu r it y . co m . b r

5) Poltica de Segurana da Informao; Objetivo: Prover uma orientao e apoio para a segurana da informao de acordo com os requisitos do negcio e com as leis e regulamentaes relevantes. Controles: 5.1) Poltica de segurana da informao; 5.1.1) Documentao da poltica de segurana da informao; 5.1.2) Anlise crtica da poltica de segurana da informao. 6) Organizando a Segurana da Informao; Objetivo: Gerenciar a segurana da informao dentro da organizao. Controles: 6.1) Infra-estrutura da segurana da informao; 6.1.1) Comprometimento da direo com a segurana da informao; 6.1.2) Coordenao da segurana da informao; 6.1.3) Atribuio de responsabilidades para a segurana da informao. 6.1.4) Processo de autorizao para os recursos de processamento da informao; 6.1.5) Acordos de confidencialidade; 6.1.6) Contato com autoridades; 6.1.7)Contato com grupos especiais; 6.1.8) Anlise crtica independente de segurana da informao; 6.2)Partes externas; 6.2.1) Identificao dos riscos relacionados com partes externas; 6.2.2) Identificando a segurana da informao, quando tratando com clientes; 6.2.3) Identificando segurana da informao nos acordos com terceiros; 7) Gesto de Ativos; Objetivo: Alcanar e manter a proteo adequada dos ativos da organizao. Controles: 7.1) Responsabilidade pelos ativos; 7.1.1) Inventrio dos ativos; 7.1.2) Proprietrio dos ativos; 7.1.3) Uso aceitvel dos ativos; 7.2) Classificao da informao; 7.2.1) Recomendaes parar classificao; 7.2.2) Rtulos e tratamento da informao. 8) Segurana em Recursos Humanos; Objetivo: Assegurar que os funcionrios, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papis, e reduzir o risco de roubo, fraude ou mau uso de recursos. Controles: 8.1) Antes da Contratao; 8.1.1) Papis e responsabilidades; 8.1.2) Seleo; 8.1.3) Termos e condies de contratao; 8.2) Durante a contratao;

w w w . co m p u st r e a m se cu r it y . co m . b r

8.2.1) Responsabilidades da direo; 8.2.2) Concientizao, educao e treinamento em segurana da informao; 8.2.3) Processo disciplinar; 8.3) Encerramento ou mudana da contratao; 8.3.1) Encerramento de atividades; 8.3.2) evoluo de ativos; 8.3.3) Retirada de direitos de acesso; 9) Segurana Fsica e do Ambiente; Objetivo: Prevenir o acesso fsico no autorizado, danos e interferncias com as instalaes e informaes da organizao. Controles: 9.1) reas seguras 9.1.1) Permetro de segurana; 9.1.2) Controles de entrada fsica; 9.1.3) Segurana em escritrios, salas e instalaes; 9.1.4) Proteo contra ameaas externas e do meio ambiente; 9.1.5) Trabalhando em reas seguras; 9.1.6) Acesso do pblico, reas de entrega e de carregamento; 9.2) Segurana de equipamentos; 9.2.1) Instalao e proteo do equipamento; 9.2.2) Utilidades; 9.2.3) Segurana do cabeamento; 9.2.4) Manuteno dos equipamentos; 9.2.5) Segurana de equipamentos fora das dependncias da organizao; 9.2.6) Reutilizao e alienao segura de equipamentos; 9.2.7) Remoo de propriedade; 10) Gesto das Operaes e Comunicaes; Objetivo: Garantir a operao segura e correta dos recursos de processamento da informao. Controles: 10.1) Procedimentos e responsabilidades operacionais; 10.1.1) Documentao dos procedimentos de operao; 10.1.2) Gesto de mudanas; 10.1.3) Segregao de funes; 10.1.4) Separao dos recursos de desenvolvimento, teste e de produo; 10.2) Gerenciamento de servios terceirizados; 10.2.1) Entrega de servios; 10.2.2) Monitoramento e anlise crtica de servios terceirizados; 10.2.3) Gerenciamento de mudanas para servios terceirizados; 10.3) Planejamento e aceitao dos sistemas; 10.3.1) Gesto de capacidade; 10.3.2) Aceitao de sistemas; 10.4) Proteo contra cdigos maliciosos e cdigos mveis; 10.4.1) Controles contra cdigos maliciosos; 10.4.2) Controles contra cdigos mveis; 10.5) Cpias de segurana;

w w w . co m p u st r e a m se cu r it y . co m . b r

10.5.1) Cpias de segurana da informao; 10.6) Gerenciamento da segurana em redes; 10.6.1) Controles de redes; 10.6.2) Segurana dos servios de redes; 10.7) Manuseio de mdias; 10.7.1) Gerenciamento de mdias removveis; 10.7.2) Descarte de mdias; 10.7.3) Procedimentos para tratamento de informao; 10.7.4) Segurana da documentao dos sistemas; 10.8) Troca de informaes; 10.8.1) Polticas e procedimentos para a troca de informaes; 10.8.2) Acordos para a troca de informaes; 10.8.3) Mdias em trnsito; 10.8.4) Mensagens eletrnicas; 10.8.5) Sistemas de informao do negcio; 10.9) Servios de comrcio eletrnico; 10.9.1) Comrcio eletrnico; 10.9.2) Transaes on-line; 10.9.3) Informaes publicamente disponveis; 10.10) Monitoramento; 10.10.1) Registros de auditoria; 10.10.2) Monitoramento do uso de sistema; 10.10.3) Proteo das informaes dos registros (log); 10.10.4) Registros (log) de administrador e operador; 10.10.5) Registros (log) de falhas; 10.10.6) Sincronizao dos relgios; 11) Controle de Acesso; Objetivo: Controlar o acesso informao. Controles: 11.1) Requisitos de negcio para controle de acesso; 11.1.1) Poltica de controle de acesso; 11.2) Gerenciamento de acesso do usurio; 11.2.1) Gerenciamento de privilgios; 11.2.2) Gerenciamento de senha do usurio; 11.2.3) Anlise crtica dos direitos de acesso de usurio; 11.3) Responsabilidade dos usurios; 11.3.1) Uso de senhas; 11.3.2) Equipamento de usurio sem monitorao; 11.3.3) Poltica de mesa limpa e tela limpa; 11.4) Controle de acesso rede; 11.4.1) Poltica de uso dos servios de rede; 11.4.2) Autenticao para conexo externa do usurio; 11.4.3) Identificao de equipamento em redes; 11.4.4) Proteo e configurao de portas de diagnstico remotas; 11.4.5) Segregao de redes; 11.4.6) Controle de conexo de rede;

w w w . co m p u st r e a m se cu r it y . co m . b r

11.4.7) Controle de roteamento de redes; 11.5) Controle de acesso ao sistema operacional; 11.5.1) Procedimentos seguros de entrada no sistema (log-on); 11.5.2) Identificao e autenticao de usurio; 11.5.3) Sistema de gerenciamento de senha; 11.5.4) Uso de utilitrios de sistema; 11.5.5) Desconexo de terminal por inatividade; 11.5.6) Limitao de horrio de conexo; 11.6) Controle de acesso aplicao e informao; 11.6.1) Restrio de acesso informao; 11.6.2) Isolamento de sistemas sensveis; 11.7) Computao mvel e trabalho remoto; 11.7.1) Computao e comunicao mvel; 11.7.2) Trabalho remoto; 12) Aquisio, Desenvolvimento e Manuteno de Sistemas de Informao; Objetivo: Garantir que segurana parte integrante de sistemas de informao. Controles: 12.1) Requisitos de segurana de sistemas de informao; 12.1.1) Anlise e especificao dos requisitos de segurana; 12.2) Processamento correto nas aplicaes; 12.2.1) Validao dos dados de entrada; 12.2.2) Controle do processamento interno; 12.2.3) Integridade de mensagens; 12.2.4) Validao de dados de sada; 12.3) Controles criptogrficos; 12.3.1) Poltica para o uso de controles criptogrficos; 12.3.2) Gerenciamento das chaves; 12.4) Segurana dos arquivos do sistema; 12.4.1) Controle de software operacional; 12.4.2) Proteo dos dados para teste de sistema; 12.4.3) Controle de acesso ao cdigo-fonte de programa; 12.5) Segurana em processos de desenvolvimento e de suporte; 12.5.1) Procedimentos parar controle de mudanas; 12.5.2) Anlise crtica tcnica das aplicaes aps mudanas n sistema operacional; 12.5.3) Restries sobre mudanas em pacotes de software; 12.5.4) Vazamento de informaes; 12.5.5) Desenvolvimento de terceirizado de software; 12.6) Gesto de vulnerabilidades tcnicas; 12.6.1) Controle de vulnerabilidades tcnicas; 13) Gesto de Incidentes e Segurana da Informao; Objetivo: Assegurar que fragilidades e eventos de segurana da informao associados com sistemas de informao sejam comunicados, permitindo a tomada de ao corretiva em tempo hbil. Controles: 13.1) Notificao de fragilidades e eventos de segurana da informao;

w w w . co m p u st r e a m se cu r it y . co m . b r

13.1.1) Notificao de eventos de segurana da informao; 13.1.2) Notificando fragilidades de segurana da informao; 13.2) Gesto de incidentes de segurana da informao e melhorias; 13.2.1) Responsabilidades e procedimentos; 13.2.2) Aprendendo com os incidentes de segurana da informao; 13.2.3) Coleta de evidncias; 14) Gesto da Continuidade do Negcio; Objetivo: No permitir a interrupo das atividades do negcio e proteger os processos crticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hbil, se for o caso. Controles: 14.1) Aspectos da gesto da continuidade do negcio, relativos segurana da informao; 14.1.1) Incluindo segurana da informao no processo de gesto da continuidade de negcio; 14.1.2) Continuidade de negcios e anlise/ avaliao de riscos; 14.1.3) Desenvolvimento e implantao de planos de continuidade relativos segurana da informao; 14.1.4) Estrutura do plano de continuidade do negcio; 14.1.5) Testes, manuteno e reavaliao dos planos de continuidade do negcio; 15) Conformidade; Objetivo: Evitar violao de qualquer lei criminal ou civil, estatutos, regulamentaes ou obrigaes contratuais e de quaisquer requisitos de segurana da informao. Controles: 15.1) Conformidade com requisitos legais; 15.1.1) Identificao da legislao vigente; 15.1.2) Direitos de propriedade intelectual; 15.1.3) Proteo de registros organizacionais; 15.1.4) Proteo de dados e privacidade de informaes pessoais; 15.1.5) Preveno de mau uso de recursos de processamento da informao; 15.1.6) Regulamentao de controles de criptografia; 15.2) Conformidade com normas e polticas de segurana da informao e conformidade tcnica; 15.2.1) Conformidade com as polticas e normas de segurana da informao; 15.2.2) Verificao da conformidade tcnica; 15.3) Consideraes quanto auditoria de sistemas de informao; 15.3.1) Controles de auditoria de sistemas de informao; 15.3.2) Proteo de ferramentas de auditoria de sistemas de informao; OBS: A ordem das sees no significa o seu grau de importncia ou criticidade. Dependendo das circunstncias todas as sees podem ser importantes e crticas. Como mencionado anteriormente, a norma ISO 17799 intencionalmente flexvel e genrica e, como pode ser observado pelos diversos controles, complexa. Por este motivo e para a obteno de melhores resultados, requer de ferramentas complementares.

w w w . co m p u st r e a m se cu r it y . co m . b r

A CompuStream Security adotou o padro do PMI* (Project Management Institute) de Gerenciamento de Projetos complementado por processos administrativos racionais, associados s experincia de seus profissionais, para o desenvolvimento e implementao da ISO 17799.

A CompuStream Security
COMPUSTREAM SECURITY tem como misso prover consultoria especializada na rea de Gesto da Segurana da Informao com o objetivo de proteger as informaes e assegurar a continuidade dos negcios de seus clientes. Integrando nossos servios s normas e tecnologias disponveis, oferecemos solues para empresas em todos os segmentos de mercado sempre seguindo estas premissas em todos os nossos projetos: Independncia relativa a fabricantes: A COMPUSTREAM SECURITY realizar uma escolha contnua e criteriosa de todos os produtos e servios de segurana da informao, oferecendo sempre a soluo que melhor se adapta s necessidades tcnicas e econmicas de cada cliente. Solues que se integram com a infra-estrutura existente: Uma soluo de segurana um meio e no um fim, pelo que a COMPUSTREAM SECURITY sempre optar por abordar os problemas relativos a este tema sob o ponto de vista do cliente, de modo que estas sejam integradas na infra-estrutura existente com o mnimo tempo de interrupo dos servios em produo. Continuidade da Soluo: A segurana pode abarcar muito mais do que a estrita realizao de um projeto. Por esse motivo, a COMPUSTREAM SECURITY, oferecer uma variedade de servios de segurana que complementam as necessidades do cliente, aportando-lhe um maior nvel de controle na sua soluo e um melhor acompanhamento por parte dos especialistas de segurana. Utilizao de Polticas e melhores Prticas de Gesto: A COMPUSTREAM SECURITY ir basear seus servios na BS 7799 e NBR ISO/IEC 1 7799 e nas recomendaes e melhores prticas estabelecidas no PMBOK - PMI* para a definio e implantao de projetos e no uso da Poltica de Segurana. A CompuStream Security uma Unidade de Negcios da CompuStream Consultoria Ltda, uma empresa de desenvolvimento de negcios dedicada a ajudar empresas internacionais de Tecnologia e de Telecomunicaes a se estabelecer no Brasil.
* 2005 Project Management Institute, Inc. Todos os direitos reservados.

Contato
Telefone: 11-5096-2704 E-mail: compustream@compustream.com.br

w w w . co m p u st r e a m se cu r it y . co m . b r

This document was created with Win2PDF available at http://www.win2pdf.com. The unregistered version of Win2PDF is for evaluation or non-commercial use only.