09/09/2010 InformaBR

___________________________

Não se lamente pelos dados que foram roubados ou

perdidos sem antes se lamentar por não ter contratado
um profissional especializado em segurança!
_______________________________
by Claudio Rocha
Menu Introdução:
Como tudo começou.
Principal
FAQ

Mensagem 1

Em 1987 o departamento de
comércio e indústria do Reino Unido (DTI) criou um centro de
segurança de informações, o CCSC (Commercial Computer Security
Centre) que dentre suas atribuições tinha a tarefa de criar uma norma
de segurança das informações para o Reino Unido.

InformaBR Desde 1989 vários documentos preliminares foram publicados por

esse centro, até que, em 1995, surgiu a BS7799 (British Standart
O caminho certo da 7799). Esse documento foi disponibilizado em duas partes para
Informação consulta pública, a primeira em 1995 e a segunda em 1998. Em 1o
de dezembro de 2000, após incorporar diversas sugestões e
alterações, a BS7799 ganhou status internacional com sua
Mensagem 2
publicação na forma da ISO/IEC 17799:2000.

SEJAM Por fim, em setembro de 2001, a ABNT homologou a versão

BEM-VINDOS ! brasileira da norma, denominada NBR ISO/IEC 17799.

A ISO17799 cobre os mais diversos tópicos da área de segurança,

possuindo um grande número de controles e requerimentos que
devem ser atendidos para garantir a segurança das informações de
uma empresa, de forma que a obtenção da certificação pode ser um
processo demorado e muito trabalhoso.

Em contrapartida, a certificação é uma forma bastante clara de

mostrar a sociedade que a empresa dá a segurança de suas
informações e de seus clientes a importância que merecem, de tal
forma que prevê-se que em poucos anos todas as grandes empresas
terão aderido a norma e obtido suas certificações.
____________________________________________
Fonte: http://www.iso17799.hpg.ig.com.br/index.htm

[Back to Top]

FAQ:
A seguir, 27 questões freqüentemente formuladas sobre as normas BS e ISO17799.

http://www.informabr.com.br/nbr.htm 1/7
09/09/2010 InformaBR
O que é informação?
O que é segurança da informação?
O que é BS7799?
Qual é a diferença entre A BS7799-1 e a BS7799-2
O que é ISO/IEC 17799?
O que é NBR ISO/IEC 17799?
O que significa exatamente ISO/IEC?
Qual é a diferença entre as normas BS, ISO e NBR ISO17799?
Qual norma eu devo usar?
Qual é o conhecimento que existe hoje sobre essas normas?
Essas normas se aplicam a qualquer tipo de organização?
Além do Brasil, que outros países criaram suas adaptações da ISO17799?
Qual é a importância da ISO 17799?
O que é ISMS?
Eu posso usar essa norma para garantir a segurança de um programa ou
equipamento?
O que é certificação?
Para que serve a certificação?
Teremos segurança total se implantarmos a norma em nossa empresa?
O que são os controles da norma?
Para implantar a norma é obrigatório empregar todos os seus controles?
Afinal qual é o jeito da norma NBR ISO?
Quanto custa a norma?
Onde posso adquirir a norma?
Como posso obter mais informações sobre a norma?
Qual é o custo de uma certificação?
Muitas empresas já obtiveram a certificação?

O que é informação?

Segundo o AURÉLIO (1995), informação é um dado acerca de

alguém ou algo; o conhecimento; segundo a teoria da informação, a
medida da redução da incerteza.

[Back to Top]

O que é segurança da informação?

Segundo a norma ISO/IEC 17799:2000, segurança da informação

pode ser definida como a proteção contra um grande número de
ameaças às informações, de forma a assegurar a continuidade do
negócio, minimizando danos comerciais e maximizando o retorno de
possibilidades e investimentos. Ainda segundo a ISO/IEC
17799:2000 a segurança da informação é caracterizada pela
preservação dos três atributos básicos da informação:
confidencialidade, integridade e disponibilidade.

[Back to Top]

O que é BS7799?

O Brithish Standart 7799 é uma norma de segurança da informação.

Criada na Inglaterra, teve seu desenvolvimento iniciado em 1995.
Divide-se em duas partes, estando a primeira parte homologada
desde 2000 e, a segunda parte, com homologação prevista para
2002.

http://www.informabr.com.br/nbr.htm 2/7
09/09/2010 InformaBR
[Back to Top]

Qual é a diferença entre A BS7799-1 e a BS7799-2?

A BS7799-1 é a primeira parte da norma, já homologada. Contém

uma introdução, definição de extensão e condições principais de uso
da norma. Disponibiliza 148 controles divididos em dez partes
distintas. É planejado como um documento de referência para
implementar "boas práticas" de segurança na empresa.
A BS7799-2 é a segunda parte da norma, ainda não homologada,
cujo objetivo é proporcionar uma base para gerenciar a segurança da
informação dos sistemas das empresas.

[Back to Top]

O que é ISO/IEC 17799?

A ISO/IEC 17799 é a versão internacional da BS7799, homologada

pela International Standartization Organization em dezembro de 2000.

[Back to Top]

O que é NBR ISO/IEC 17799?

A NBR ISO/IEC 17799 é a versão brasileira da norma ISO,

homologada pela ABNT em setembro de 2001.

[Back to Top]

O que significa exatamente ISO/IEC?

ISO significa International Standartization Organization. Trata-se de

uma organização internacional formada por um conselho e comitês
com membros oriundos da maioria dos países. Seu objetivo é criar
normas e padrões universalmente aceitos sobre como realizar as
mais diversas atividades comerciais, industriais, científicas e
tecnológicas.
IEC significa International Engineering Consortium. É uma
organização voltada para o aprimoramento da indústria da
informação. Uma associação entre as duas instituições produz
normas e padronizações internacionais.

[Back to Top]

Qual é a diferença entre as normas BS, ISO e NBR ISO17799?

A norma ISO é rigorosamente idêntica a a norma BS7799. A norma

brasileira é a tradução literal da norma ISO.

[Back to Top]

Qual norma eu devo usar?

Se você está no Brasil, deve optar pela NBR ISO/IEC 17799. Em

http://www.informabr.com.br/nbr.htm 3/7
09/09/2010 InformaBR
outros países, caso não exista uma versão nacional, pode-se
empregar a ISO/IEC 17799. Na inglaterra, por exemplo, a norma
nacional é a BS7799.

[Back to Top]

Qual é o conhecimento que existe hoje sobre essas normas?

A maioria das empresas e grande parte dos profissionais de

segurança da informação ainda desconhecem a existência da nroma,
ou, quando muito, sabem de sua existência mas não a conhecem em
maiores detalhes.

[Back to Top]

Essas normas se aplicam a qualquer tipo de organização?

As normas foram criadas e se adpatam bem a organizações

comerciais. Instituições de ensino, instituições públicas e outras
assemelhadas podem ter dificuldades em implantar certos controles
da norma devido a seus ambientes serem diferentes dos de uma
empresa comercial. Apesar disso, qualquer organização pode
aproveitar grande parte dos controles da norma para implementar
segurança da informação em suas instalações.

[Back to Top]

Além do Brasil, que outros países criaram suas adaptações da

ISO17799?

Os países da Comunidade Britânica, tais como Austrália e Nova

Zelândia foram os primeiros a criarem suas próprias versões da
BS7799.

[Back to Top]

Qual é a importância da ISO 17799?

Ela permite que uma empresa construa de forma muita rápida uma
política de segurança baseada em controles de segurança eficientes.
Os outros caminhos para se fazer o mesmo, sem a norma, são
constituir uma equipe para pesquisar o assunto ou contratar uma
consultoria para realizar essa tarefas. Ambas opções são caras e
demoradas.

[Back to Top]

O que é ISMS?

Information Security Management System, ou Sistema de

Gerenciamento da Segurança da Informação é o resultado da
aplicação planejada de objetivos, diretrizes, políticas, procedimentos,
modelos e outras medidas administrativas que, de forma conjunta,
definem como são reduzidos os riscos para segurança da
http://www.informabr.com.br/nbr.htm 4/7
09/09/2010 InformaBR
informação. Uma empresa que implante a norma BS/ISO acaba por
constituir um ISMS.

[Back to Top]

Eu posso usar essa norma para garantir a segurança de um

programa ou equipamento?

Essa norma foi criada para possibilitar a implantação de segurança

da informação em empresas. Para processos, hardware e software,
existem normas especificamente criadas com esse fim tal como a
Tsec, ITSec e Commum Critéria.

[Back to Top]

O que é certificação?

A certificação é um documento emitido por uma entidade

certificadora independente que garante que uma dada empresa
implantou corretamente todos os controles da norma aplicáveis. A
certificação é emitida após um procedimento de verificação de
conformidade da empresa pela entidade certificadora.

[Back to Top]

Para que serve a certificação?

Ela comprova, para a empresa certificada, que a segurança da

informação está assegurada de forma efetiva, o que não significa
contudo, que a empresa esteja imune a violações de segurança.
Além disse, a certificação comprova, para os clientes e fornecedores
da empresa o zêlo que esta tem com a segurança da informação,
reforçando a imagem da empresa junto ao mercado. Dependendo da
atividade da empresa, essa certificação pode ser essencial para
realização de cerots negócios.

[Back to Top]

Teremos segurança total se implantarmos a norma em nossa

empresa?

Segurança total não existe. A implantação dos controles da norma

asseguram um bom nível de segurança sobre os aspectos do
hardware, do software e do peopleware.

[Back to Top]

O que são os controles da norma?

São pontos específicos sobre hardware, software ou peopleware que

definem o que deve ser feito para assegurar aquele item. Na prática
consiste em um parágrafo de texto como no exemplo abaixo.

8.6.4 b) A relação de pessoas com acesso autorizado à documentação de

http://www.informabr.com.br/nbr.htm 5/7
09/09/2010 InformaBR
sistemas deve ser a menor possível e autorizada pelo responsável pelo sistema.

[Back to Top]

Para implantar a norma em uma empresa é obrigatório

empregar todos os seus controles?

Não. Aplicam-se somente os controles para os serviços, facilidades,

espaços e condições existentes na empresa. Por exemplo, se a
empresa não tem acesso remoto de usuários, todos os controles
referentes a esse tipo de acesso podem ser ignorados.

[Back to Top]

Afinal qual é o jeito da norma NBR ISO?

A norma NBR ISO/IEC 17799 tem 50 páginas. Veja a primeira

página da norma em Imagens.

[Back to Top]

Quanto custa a norma?

Os seguintes preços, praticados pela ABNT, são sujeitos a

alterações:

Norma ISO 17799: R$ 290,00

NBR ISO/IEC 17799: R$30,00

No site da BSI a norma BS7799 pode ser adquirida por 41 libras.

[Back to Top]

Onde posso adquirir a norma?

Clique em Links para uma relação de sites que comercializam a

norma BS, a ISO e a NBR ISO.

[Back to Top]

Como posso obter mais informações sobre a norma?

Procure nas páginas Artigos, Textos e Links.

[Back to Top]

Qual é o custo de uma certificação?

O custo depende de vários fatores, tal como quanto tempo o

responsável pela certificação levará para se convencer sobre a
conformidade das instalações da empresa com relação a norma, o
tamanho e a complexidade da empresa e de seus sistemas. Como
referência, a c:cure (certificadora britânica) indica um custo médio de
900 libras por dia por cada auditor qualificado como certificador.

http://www.informabr.com.br/nbr.htm 6/7
09/09/2010 InformaBR
[Back to Top]

Muitas empresas já obtiveram a certificação?

Até o início de 2002, poucas empresas o fizeram, a maioria na

Inglaterra onde inicialmente surgiu a BS7799.

_____________________________
Fonte: http://www.iso17799.hpg.ig.com.br/index.htm

[Back to Top]

Retornar

http://www.informabr.com.br/nbr.htm 7/7