Vous êtes sur la page 1sur 45

Segurança da Informação:

Conceitos e Modelo de Gestão

Sérgio Marinho
Novembro.2004

Segurança da Informação - 1
Direitos Reservados. Proibida Reprodução. Copyright 2004
Segurança da Informação
Sistemas de Gestão - Evolução

♦ Sistema de Gestão da Qualidade (ISO Série 9000 - 1987)

♦ Sistema de Gestão Ambiental (ISO Série 14000 - 1994)

♦ Sistema de Gestão da Segurança e Saúde Ocupacional (OHSAS 18001 - 1996)

e agora ...

SISTEMA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO (BS 7799-2 – 1999)

Segurança da Informação - 2
SEGURANÇA DA INFORMAÇÃO: Conceitos

Segurança da Informação - 3
Segurança da Informação
Conceitos

“O único sistema verdadeiramente seguro é aquele que


está desligado, desplugado, trancado num cofre de titanium,
lacrado, enterrado em um bunker de concreto, envolto por
gás nervoso e vigiado por guardas armados muito bem
pagos. Mesmo assim, eu não apostaria minha vida nisso.”

Gene Spafford
Diretor de Operações de Computador, Auditoria e Tecnologia da Segurança
Purdue University, França

Segurança da Informação - 4
Segurança da Informação
Conceitos

Segurança da Informação:
É a preservação da Confidencialidade, Integridade e
Disponibilidade da informação,
Onde:

Confidencialidade: é a garantia de que a informação seja acessível


apenas às pessoas autorizadas;
Integridade: é a proteção da exatidão e completeza da informação e
dos métodos de processamento;
Disponibilidade: é a garantia de que as pessoas autorizadas
tenham acesso às informações, bem como aos bens associados,
quando requeridos.
Segurança da Informação - 5
Segurança da Informação
Conceitos

Qual informação deve ser protegida ?

A Informação que está: A Informação que é:

Armazenada em computadores; Falada em conversas ao telefone;

Transmitida através de rede; Enviada por e-mail;

Impressa ou escrita em papel; Armazenada em banco de dados;

Enviada através de fax; Mantida em filmes e microfilmes;

Armazenada em fitas ou disco. Apresentada em projetores;

Segurança da Informação - 6
Segurança da Informação
Conceitos

Proteger a informação de que ?

Espionagem industrial; Acesso acidental;


Fraude; Empregado desleal;
Arrombamento; Crime organizado;
Gravação de comunicação; “Hacker” de computador;
Escuta telefônica; etc

Ameaças

Segurança da Informação - 7
Segurança da Informação
Conceitos

AMEAÇA
Uma causa potencial de um incidente indesejável com um ativo ou grupo de ativos de informação que pode
resultar em danos para a organização.
Ex: Inundação, Roubo, Erro de Usuário, Falha de Hardware.

VULNERABILIDADE
Uma fraqueza de um ativo ou grupo de ativos de informação que pode ser explorada por uma AMEAÇA.
Ex: Data Center ao lado de um rio, Portas destrancadas,
Alocação errada de direitos de senha, Falta de manutenção.

ATIVO DE INFORMAÇÃO
Todo bem da empresa que se relaciona com informação e que tenha valor para a organização.
Ex: Hardware, Software, Sistema, Documentação.

RISCO
É a medida do nível de incerteza associado à probabilidade de ocorrência de um evento e suas
conseqüências.
Risco = Probabilidade X Impacto

Segurança da Informação - 8
Segurança da Informação
Conceitos

Sem controles
Vulnerabilidade Com controles
Quantidade de

Tipos de Vulnerabilidades

Segurança da Informação - 9
Segurança da Informação
Conceitos

Vulnerabilidades
Vulnerabilidades

Controles Custo dos Controles


Segurança da Informação - 10
SEGURANÇA DA INFORMAÇÃO: Cases

Segurança da Informação - 11
Segurança da Informação
Cases

CASO 1: Deutsche Bank

♦ O Banco tinha 2 escritórios funcionando no World Trade Center e


já operava os seus sistemas quase que normalmente no dia
seguinte ao atentado terrorista de 11 de Setembro 2001.

♦ Requisitos da Norma:
! Cópias de Segurança (8.4.1).
! Gestão da continuidade do negócio (11);
Estes requisitos definem regras para evitar a interrupção do negócio e
proteger os processos críticos contra efeitos de falhas ou desastres
significativos.

♦ Resultado: atendido Preservação: disponibilidade

Segurança da Informação - 12
Segurança da Informação
Cases

CASO 2: Minist ério de Defesa Brit


Ministério ânico
Britânico

♦ Em abril de 2001 um notebook do Ministério de Defesa Britânico,


contendo segredos de segurança nacional, foi deixado em um táxi
por um oficial do exército.

♦ Requisitos da Norma:
! Computação Móvel (9.8.1)
Este requisito estabelece que quando se utilizam recursos da
computação móvel, cuidados especiais devem ser tomados, para garantir
que a informação não seja comprometida. A norma recomenda que seja
adotada uma política formal, incluindo requisitos para proteção física,
controles de acesso, técnicas criptográficas, cópias de segurança e
proteção contra vírus.

♦ Resultado: ! não atendido Comprometimento: confidencialidade


Segurança da Informação - 13
Segurança da Informação
Cases

CASO 3: Ataque de vvírus


írus na Samarco

♦ Em maio de 2000 o vírus “I love you” invadiu o servidor de correio


da Samarco provocando paralisação de 1 semana dos serviços.

♦ Requisitos da Norma:
! Controles contra software malicioso (8.3.1)
Este requisito estabelece que sejam adotadas medidas de precaução
para prevenir e detectar softwares maliciosos. A norma recomenda que
seja adotada uma política formal, análise crítica dos softwares,
procedimento para gerenciamento, planos de contingência e
monitoramento constante do ambiente computacional.

♦ Resultado: ! não atendido Comprometimento: disponibilidade

Segurança da Informação - 14
Segurança da Informação
Cases

CASO 4: Download de software n ão homologado pela TI


não
♦ Em junho de 2001 foi feito, por três usuários de Ubu, um
download, a partir da Internet, do software GATOR.EXE, provocando
uma baixa de performance muito grande na rede local, após
instalação do software.

♦ Requisitos da Norma:
! Aceitação de sistemas e softwares (8.2.2)
! Gerenciamento de privilégios (9.2.2)
Estes requisitos estabelecem que sejam adotadas medidas preventivas
para se evitar instalação e uso de softwares não homologados pela
organização. A norma recomenda que seja adotada uma política formal
de acesso à rede bem como às suas aplicações e recursos.

♦ Resultado: ! não atendido Comprometimento: disponibilidade


Segurança da Informação - 15
Melhores Práticas de SI: ISO/IEC 17799

Segurança da Informação - 16
Segurança da Informação
Melhores Práticas – ISO 17799

1. Objetivo:
Fornecer recomendações para gestão da segurança da informação nas
organizações, através da indicação das melhores práticas de SI.

2. A Segurança da Informação é obtida pela garantia da:

Confidencialidade Integridade Disponibilidade


Garantia de que os
Salvaguarda da exatidão
Garantia de que o acesso usuários autorizados
e completeza da
à informação seja obtido obtenham acesso á
informação e dos
somente por pessoas informação e aos ativos
métodos de
autorizadas. correspondentes sempre
processamento.
que necessário.

Segurança da Informação - 17
Segurança da Informação
Melhores Práticas – ISO 17799

3. Política de Segurança 8. Gerenciamento das operações


e comunicações

4. Segurança organizacional 9. Controle de acesso

5. Classificação e controle 10. Desenvolvimento e


de ativos de informação manutenção de sistemas

6. Segurança em pessoas 11. Gestão da continuidade do


negócio

7. Segurança física e do 12. Conformidade


ambiente

Segurança da Informação - 18
Segurança da Informação
Melhores Práticas – ISO 17799

3. Política de Segurança
Objetivo:
Prover à administração uma orientação e apoio para a segurança da informação.

Convém que Alta Direção estabeleça uma Política clara e demonstre apoio e
comprometimento com a segurança da informação através da emissão e
manutenção de uma política de segurança da informação para toda organização.

3. Política de Segurança
3.1. Política de Segurança da Informação
3.1.1. Documento da PSI
3.1.2. Análise crítica e avaliação

Segurança da Informação - 19
Segurança da Informação
Melhores Práticas – ISO 17799

4. Segurança Organizacional
Objetivo:
Gerenciar a segurança da informação na organização

Convém que uma Estrutura de Gerenciamento seja estabelecida para iniciar e


controlar a implementação da segurança da informação dentro da organização.

4. Segurança Organizacional
4.1. Infra-estrutura da SI 4.2. Segurança acesso prestadores de serviço
4.1.1. Gestão do Forum de SI 4.2.1. Identificação dos riscos de acesso
4.1.2. Coordenação da SI 4.2.1.1. Tipos de acesso
4.1.3. Atribuição das responsabilidades 4.2.1.2. Razões para o acesso
4.1.4. Processo de autorização para as 4.2.1.3. Contratados para serviços internos
instalações do processamento de 4.2.2. Requisitos de segurança nos contratos
informações 4.3. Terceirização
4.1.5. Consultoria especializada em SI 4.3.1. Requisitos de segurança nos contratos
4.1.6. Cooperação entre organizações
4.1.7. Análise crítica independente da SI

Segurança da Informação - 20
Segurança da Informação
Melhores Práticas – ISO 17799

5. Classificação e Controle de Ativos de Informação


Objetivo:
Manter a proteção adequada dos ativos da organização.

Convém que todos os principais ativos de informação sejam inventariados e tenham


um proprietário responsável.

5. Classificação e controle de ativos de informação


5.1. Contabilização dos ativos
5.1.1. Inventário dos ativos de informação
5.2. Classificação da informação
5.2.1. Recomendações para classificação
5.2.2. Rótulos e tratamento da informação

Segurança da Informação - 21
Segurança da Informação
Melhores Práticas – ISO 17799

6. Segurança em Pessoas
Objetivo:
Reduzir os riscos de erro humano, roubo, fraude ou uso indevido de instalações.

Convém que responsabilidades de segurança sejam atribuidas na fase de


recrutamento, incluidas em contratos e monitoradas durante a vigência de cada
contrato de trabalho.

6. Segurança em Pessoas
6.1. Segurança na definição e nos recursos trabalho 6.3. Respondendo aos incidentes de segurança
6.1.1 Incluindo segurança nas responsabilidades e ao mau funcionamento de SW
Trabalho 6.3.1. Notificando incidentes de segurança
6.1.2. Seleção e política de pessoal 6.3.2. Notificando falhas na segurança
6.1.3. Acordos de confidencialidade 6.3.3. Notificando mau funcionamento
6.1.4. Termos e condições de trabalho 6.3.4. Aprendendo com os incidentes
6.2. Treinamento dos usuários 6.3.5. Processo disciplinar
6.2.1. Educação e treinamento em SI

Segurança da Informação - 22
Segurança da Informação
Melhores Práticas – ISO 17799

7. Segurança Física e do Ambiente


Objetivo:
Prevenir o acesso não autorizado, dano, perda e interferência às instalações físicas
da organização.

Convém que os recursos e instalações de processamento de informações criticas


ou sensíveis do negócio sejam mantidos em áreas seguras, protegidas por um
perímetro de segurança definido, com barreiras de segurança apropriadas e
controle de acesso.

7. Segurança física e do ambiente


7.1. Áreas de segurança 7.2. Segurança dos equipamentos
7.1.1. Perímetro da segurança física 7.2.1. Instalação e proteção de eqptos.
7.1.2. Controles de entrada física 7.2.2. Fornecimento de energia
7.1.3. Segurança em escritórios, salas e 7.2.3. Segurança do cabeamento
instalações PD 7.2.4. Manutenção de eqptos.
7.1.4. Trabalhando em áreas de segurança 7.2.5. Segurança eqptos. fora das instalações
7.1.5. Isolamento das áreas de expedição e carga 7.2.6. Reutilização e alienação de eqptos.

7.3. Controles gerais


7.3.1. Política mesa limpa / tela limpa
7.3.2. Remoção de propriedades
Segurança da Informação - 23
Segurança da Informação
Melhores Práticas – ISO 17799

8. Gerenciamento das Operações e Comunicações


Objetivo:
Garantir a operação segura e correta dos recursos de processamento da
informação.

Convém que os procedimentos e responsabilidades pela gestão e operação de


todos os recursos sejam definidos. Isto abrange o desenvolvimento de
procedimentos operacionais apropriados e de resposta a incidentes.

Veja detalhe dos controles a seguir

Segurança da Informação - 24
Segurança da Informação
Melhores Práticas – ISO 17799

8. Gerenciamento das operações e comunicações


8.1. Procedimentos e responsabilidades operacionais 8.6. Segurança e tratamento de mídias
8.1.1. Documentação do procedimentos operação 8.6.1. Gerenciamento de mídias removíveis
8.1.2. Controle mudanças operacionais 8.6.2. Descarte de mídas
8.1.3. Prodecimento gerenciamento incidentes 8.6.3. Procedimento tratamento informação
8.1.4. Segregação de funções 8.6.4. Segurança da documentação sistemas
8.1.5. Separação ambientes: desenv. e operação 8.7. Troca de informações e softwares
8.1.6. Gestão recursos terceirizados 8.7.1. Acordos para a troca de informações e SW
8.2. Planejamento e aceitação dos sistemas 8.7.2. Segurança de mídias em trânsito
8.2.1. Planejamento da capacidade 8.7.3. Segurança do comércio eletrônico
8.2.2. Aceitação de sistemas 8.7.4. Segurança do correio eletrônico
8.3. Proteção contra software malicioso 8.7.4.1. Riscos de segurança
8.3.1. Controles contra software malicioso 8.7.4.2. Política de usu
8.4. Housekeeping 8.7.5. Segurança sistemas eletrônicos escritórios
8.4.1. Cópias de segurança 8.7.6. Sistemas disponíveis publicamente
8.4.2. Registros de operação 8.7.7. Outras formas troca de informação
8.4.3. Registros de falhas
8.5. Gerenciamento da rede
8.5.1. Controles da rede

Segurança da Informação - 25
Segurança da Informação
Melhores Práticas – ISO 17799

9. Controle de Acesso
Objetivo:
Controlar o acesso à informação.

Convém que o acesso à informação e processo do negócio seja controlado na base


dos requisitos de segurança e do negócio.

Veja detalhe dos controles a seguir

Segurança da Informação - 26
Segurança da Informação
Melhores Práticas – ISO 17799

9. Controle de acesso
9.1. Registros do negócio para controle acesso 9.5. Controle de acesso ao sistema operacional
9.1.1. Política de controle de acesso 9.5.1. Identificação automática de terminal
9.1.1.1. Requisitos do negócio e política 9.5.2. Procedimentos de entrada no sistema
9.1.1.2. Regras de controle de acesso 9.5.3. Identificação e autenticação de usuário
9.2. Gerenciamento de acesso do usuário 9.5.4. Sistema de gerenciamento de senha
9.2.1. Registro do usuário
9.5.5. Uso de programas utilitários
9.2.2. Gerenciamento de previlégios
9.5.6. Alarme de intimidação
9.2.3. Gerenciamento de senha dos usuários
9.5.7. Desconexão de terminal por inatividade
9.2.4. Análise crítica dos direitos acesso usuários
9.3. Responsabilidades do usuário 9.5.8. Limitação de tempo de conexão
9.3.1. Uso de senhas 9.6. Controle de acesso às aplicações
9.3.2. Eqpto. de usuário sem monitoração 9.6.1. Restrição de acesso à informação
9.4. Controle de acesso à rede 9.6.2. Isolamento de sistemas sensíveis
9.4.1. Política de utilização dos serviços de rede 9.7. Monitoração do uso e acesso ao sistema
9.4.2. Rota de rede obrigatória 9.7.1. Registro de eventos
9.4.3. Autenticação para conexão externa (usuário) 9.7.2. Monitoração do uso do sistema
9.4.4. Autenticação de nó 9.7.2.1. Procedimentos e áreas de risco
9.4.5. Proteção de portas de diagnóstico remotas
9.7.2.2. Fatores de risco
9.4.6. Segregação de redes
9.7.2.3. Registro e análise crítica eventos
9.4.7. Controle de conexão de redes
9.7.3. Sincronização dos relógios
9.4.8. Controle do roteamento de rede
9.8. Computação móvel e trabalho remoto
9.4.9. Segurança dos serviços de rede
9.8.1. Computação móvel
9.8.2. Trabalho remoto
Segurança da Informação - 27
Segurança da Informação
Melhores Práticas – ISO 17799

10. Desenvolvimento e Manutenção de Sistemas


Objetivos:
Garantir que a segurança seja parte integrando dos sistemas de informação.

Convém que todos os requisitos de segurança, incluindo a necessidade de acordos


de contingência, sejam, identificados na fase de levantamento de requisitos de um
projeto e justificados, acordados e documentados como parte do estudo de caso de
um negócio para um sistema de informação.

Veja detalhe dos controles a seguir

Segurança da Informação - 28
Segurança da Informação
Melhores Práticas – ISO 17799

10. Desenvolvimento e manutenção de sistemas


10.1. Requisitos de segurança de sistemas 10.4. Segurança de arquivo do sistema
10.1.1. Análise e especificação requisitos segurança 10.4.1. Controle de software em produção
10.2. Segurança nos sistemas de aplicação 10.4.2. Proteção de dados de teste do sistema
10.2.1. Validação de dados de entrada 10.4.3. Controle de acesso à biblioteca de fontes
10.5. Segurança nos processos de desenvolv. e suporte
10.2.2. Controle do processamento interno
10.5.1. Procedimentos de controle de mudanças
10.2.2.1. Áreas de risco
10.5.2. Análise crítica das mudanças técnicas do SO
10.2.2.2. Checagens e controles
10.5.3. Restrições nas mudanças dos pacotes SW
10.2.3. Autenticação de mensagem 10.5.4. Covert channels e cavalo de tróia
10.2.4. Validação dos dados de saída 10.5.5. Desenvolvimento terceirizado de SW
10.3. Controles de criptografia
10.3.1. Política para uso de controles de criptografia
10.3.2. Criptografia
10.3.3. Assinatura digitial
10.3.4. Serviços de não repúdio
10.3.5. Gerenciamento de chaves
10.3.5.1. Proteção de chaves criptográficas
10.3.5.2. Normas, procedimentos e métodos

Segurança da Informação - 29
Segurança da Informação
Melhores Práticas – ISO 17799

11. Gestão da Continuidade do Negócio


Objetivo:
Não permitir a interrupção das atividades do negócio e proteger os processos
críticos contra efeitos de grandes falhas ou desastres significativos.

Convém que o processo de gestão da continuidade seja implementado para reduzir,


para um nivel aceitável, a interrupção causada por desastres ou falhas da
segurança, através da combinação de ações de prevenção e recuperação.

11. Gestão da continuidade do negócio


11.1. Aspectos na gestão de continuidade dos negócios
11.1.1. Processo de gestão da continuidade dos negócios
11.1.2. Continuidade do negócio e análise de impacto
11.1.3. Documentando e implementando planos de continuidade do negócio
11.1.4. Estrutura do plano de continuidade do negócio
11.1.5. Testes, manutenção e reavaliação dos planos de continuidade do negócio
11.1.5.1. Teste dos planos
11.1.5.2. Manutenção e reavaliação dos planos

Segurança da Informação - 30
Segurança da Informação
Melhores Práticas – ISO 17799

12. Conformidade
Objetivo:
Evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou
obrigações contratuais e de quaisquer requisitos de segurança.

Convém que consultoria em requisitos legais específicos seja procurada em


organizações de consultoria jurídica ou profissionais liberais, adequadamente
qualificados nos aspectos legais.

Veja detalhe dos controles a seguir

Segurança da Informação - 31
Segurança da Informação
Melhores Práticas – ISO 17799

12. Conformidade
12.1. Conformidade com requisitos legais 12.2. Análise crítica da política de segurança e da
12.1.1. Identificação da legislação vigente conformidade técnica
12.1.2. Direitos de propriedade intelectual 12.2.1. Conformidade com a política de
12.1.2.1. Direitos autorais segurança
12.1.2.2. Direitos autorais de software 12.2.2. Verificação da conformidade técnica
12.1.3. Salvaguarda de registros
organizacionais 12.3. Considerações quanto à auditorias de sistemas
12.1.4. Proteção de dados e privacidade da 12.3.1. Controles de auditorias de sistemas
informação pessoal
12.3.2. Proteção das ferramentas de auditoria de
12.1.5. Prevenção contra uso indevido de sistemas.
recursos de processamento da
informação
12.1.6. Regulamentação controles de
criptografia
12.1.7. Coleta de evidências
12.1.7.1. Regras para evidências
12.1.7.2. Admissibilidade da evidência
12.1.7.3. Qualidade e inteireza da
evidência

Segurança da Informação - 32
NORMA BS 7799-2: Histórico e Aplicação

Segurança da Informação - 33
Segurança da Informação
BS 7799-2 – Histórico e Aplicação

BS 7799 Part 1 ISO/IEC 17799


Code of Practice for Code of Practice for
Information Security Information Security
Management
Apresenta as “melhores práticas” a Management
serem utilizadas na gestão de ISO/IEC JTC1/SC27/WG1
segurança da informação. (publicada em 2000)
(publicada em 1995 e atualizada
em 1999)

BS 7799
BS 7799 Part 2 NBR ISO/IEC 17799
Specification for TI – Código de Prática para
Information Security a Gestão da Segurança
Management Systems da Informação
Apresenta uma estrutura de gestão ABNT CB-21/CE-21:204.01
e viabiliza a realização de auditorias
Apresenta as “melhores práticas” a
do sistema de gestão de Informação.
(publicada em 1998 e atualizada em serem utilizadas na gestão de
2002) segurança da informação.
(publicada em 2001)

Segurança da Informação - 34
Segurança da Informação
BS 7799-2 – Histórico e Aplicação

NBR ISO/IEC 17799 BS 7799 Part 2


TI – Código de Prática para Specification for
a Gestão da Segurança information security
da Informação management systems
ABNT CB-21/CE-21:204.01 Apresenta uma estrutura de
Apresenta as “melhores práticas” a gestão e viabiliza a realização
serem utilizadas na gestão de de auditorias do sistema de
gestão de Informação. (publicada
segurança da informação.
em 1998 e atualizada em 2002)
(publicada em 2001)

HISTÓRICO DA ISO 17799 HISTÓRICO DA BS 7799


♦ Ago 1999: Consulta do BSI aos países membros ♦ Mar 1993: Inglaterra – Código de Prática
da ISO/IEC ♦ Abr 1995: Norma Britânica – BS 7799-1:1995
♦ Out 1999: Formalização do “Fast track procedure”
♦ Fev 1998: Primeira publicação – BS 7799-2:1998
junto à ISO/IEC
♦ Jan 2000: ISO/IEC nomeiam o JTC1/SC27 para ♦ Mai 1999: Revisão das partes 1 e 2 – Consistência
conduzir o processo ♦ Set 2002: Publicação da revisão da parte 2,
♦ Jul 2000: Brasil envia posição favorável ao “Fast
track procedure” feita por uma equipe internacional (IUG),
♦ Out 2000: “Tokyo heating meeting” para alinhamento com outros Sistemas
♦ Dez 2000: A norma ISO/IEC 17799 é oficialmente de Gestão
publicada em Genebra
♦ Ago 2001: Brasil, através da ABNT/CB21, publica
a NBR ISO IEC 17799
Segurança da Informação - 35
REQUISITOS DA GESTÃO DE
SEGURANÇA DA INFORMAÇÃO

Segurança da Informação - 36
Segurança da Informação
BS 7799-2 – PDCA

Modelo PDCA aplicado aos processos do SGSI

Planejar
4.2.1
Estabelecer o
SGSI

Fazer Agir
Partes 4.2.2 Ciclo de 4.2.4
Partes
Interessadas Implementar e Desenvolvimento, Manter e Interessadas
Operar o SGSI Manutenção e Melhorar o SGSI
Melhoria
Verificar
Expectativas e 4.2.3 Segurança da
Requisitos do Monitorar e Informação
Sistema de Revisar o SGSI Gerenciada
Informação

Segurança da Informação - 37
Segurança da Informação
BS 7799-2 – Requisitos da Gestão de SI

4.2.1 Estabelecer o SGSI (Plan)


A organização deve:
a. Definir o escopo do SGSI em função da característica do negócio, da organização, da
localização, ativos e tecnologia.
b. Definir uma Política de Segurança da Informação que:
• Inclua claramente os objetivos de segurança para toda a organização e estabeleça
os princípios a serem seguidos;
• Considere a conformidade com a legislação e cláusulas contratuais;
• Esteja alinhada à estratégia organizacional e gerenciamento de riscos;
• Tenha o comprometimento da Alta Direção.
c. Identificar os riscos dos ativos considerados no escopo do SGSI.
d. Avaliar os riscos dos ativos considerando o impacto na confidencialidade, integridade e
disponibilidade dos mesmos.
e. Identificar e validar as opções para tratamento dos riscos.
f. Selecionar os objetivos de controle e os controles para tratamento dos riscos (ISO
17799)
g. Preparar uma Declaração de Aplicabilidade (Statement of Applicability)
Segurança da Informação - 38
Segurança da Informação
BS 7799-2 – Requisitos da Gestão de SI

4.2.2 Implantar e Operar o SGSI (Do)


A organização deve:
a. Formular um plano de tratamento dos riscos que identifique as ações apropriadas de
gerenciamento, as responsabilidades e prioridades para gerenciamento dos riscos de
segurança da informação.
b. Implementar o plano de tratamento dos riscos para atender os objetivos de controles
definidos.
c. Implementar os controles selecionados de acordo com os objetivos de controle.
d. Implementar programas de treinamento e conscientização.
e. Gerenciar as operações.
f. Gerenciar os recursos.
g. Implementar procedimentos e outros controles para possibilitar o registro,
acompanhamento e resposta no caso dos incidentes de segurança.

Segurança da Informação - 39
Segurança da Informação
BS 7799-2 – Requisitos da Gestão de SI

4.2.3 Monitorar e Revisar o SGSI (Check)


A organização deve:
a. Executar procedimentos de monitoração e outros controles para:
• Detectar erros dos resultados de processamentos;
• Identificar falhas e insucessos em função de brechas e incidentes de segurança;
• Gerenciar se a delegação de atividades seguras para pessoas ou as
implementações da TI estão sendo realizadas de acordo com as expectativas;
• Determinar se as ações executadas para resolver uma falha de segurança estão
de acordo com as prioridades do negócio;
b. Verificar regularmente a eficiência do SGSI considerando os resultados das auditorias de
segurança, incidentes, sugestões e feedback de todas as partes interessadas.
c. Rever regularmente o nível de risco residual.
d. Promover auditorias internas do SGSI, em intervalos regulares e planejados.
e. Promover revisão do SGSI em intervalos regulares (pelo menos uma vez por ano) para
assegurar que a adequação do escopo e que o processo de melhorias do sistema são
identificados.
f. Registrar ações e eventos que possam impactar a eficiência e performance do SGSI.

Segurança da Informação - 40
Segurança da Informação
BS 7799-2 – Requisitos da Gestão de SI

4.2.4 Manter e Melhorar o SGSI (Act)


A organização deve:
a. Implementar as melhorias identificadas para o SGSI.
b. Realizar as ações corretivas e preventivas de acordo com os requisitos 7.2 e 7.3 da
Norma e considerar as lições de aprendizado com as experiências de segurança de
outras organizações e as internas.
c. Comunicar os resultados e ações acordadas com as partes interessadas.
d. Assegurar que as melhorias estão atingindo os objetivos propostos.

Segurança da Informação - 41
Segurança da Informação
BS 7799-2 – Requisitos da Gestão de SI

4.3.2 Controle de Documentos


Documentos requeridos pelo SGSI devem ser protegidos e controlados. Um procedimento de
documentação deve ser estabelecido para definir as ações de gerenciamento necessárias
para:
a. Aprovar documentos de acordo com a prioridades dos assuntos;
b. Rever e atualizar os documentos necessários e re-aprová-los;
c. Assegurar que as alterações e a revisão atual dos documentos são identificadas;
d. ...

4.3.3 Controle de Registros


Registros devem ser estabelecidos e mantidos para prover evidências de conformidade com
os requisitos do SGSI. Eles devem ser controlados. O SGSI deve guardar qualquer
requerimento legal relevante. Registros devem estar legíveis, identificados e prontamente
recuperáveis. Os controles necessários para identificação, armazenamento, proteção,
recuperação, tempo de retenção e disposição dos registros devem ser documentados. Um
processo de gerenciamento deve determinar a necessidade e abrangência dos registros.
Segurança da Informação - 42
Segurança da Informação
BS 7799-2 – Requisitos da Gestão de SI

5.1 Comprometimento da Alta Direção


A Alta Direção deve prover evidências de seu comprometimento com o estabelecimento,
implementação, operação, monitoramento, revisão, manutenção e evolução do SGSI:

a. Estabelecendo a Política de Segurança da Informação;

b. Assegurando que os planos e objetivos de segurança da informação sejam definidos;

c. Estabelecendo regras e responsabilidades de segurança da informação;

d. Comunicando para a organização a importância dos objetivos de segurança e a


conformidade com a Política de Segurança da Informação, a observância e respeito às
leis e a necessidade de melhoria contínua;

e. Providenciando os recursos necessários para o desenvolvimento, implementação,


operação e manutenção do SGSI;

f. Definindo o nível de risco aceitável;

g. Conduzindo as revisões do SGSI.

Segurança da Informação - 43
Segurança da Informação
BS 7799-2 – Requisitos da Gestão de SI

5.2.1 Provisão de Recursos


A organização deve determinar e providenciar os recursos necessários para:
a. Estabelecer, implementar, operar e manter o SGSI
b. Assegurar que os procedimentos de segurança da informação suportem os
requerimentos de negócio;
c. Identificar leis e outros requisitos e obrigações contratuais relativas à segurança;
d. Manter segurança adequada através da aplicação correta de todos os controles
implementados;
e. Promover revisões quando necessário e implementar apropriadamente os
resultados destas revisões;
f. Quando requerido, melhorar a eficiência do SGSI.

5.2.2 Treinamento, conscientização e competência


A organização deve assegurar que todas as pessoas que tenham alguma
responsabilidade definida no SGSI sejam competentes para executar as atividades
definidas.

Segurança da Informação - 44
Segurança da Informação
BS 7799-2 – Requisitos da Gestão de SI

6.4 Auditorias Internas do SGSI


A organização deve conduzir auditorias internas do SGSI, em intervalos planejados, para
determinar a situação dos objetivos de controle, controles, processos e procedimentos do
SGSI.

7.1 Melhoria Contínua


A organização deve continuamente melhorar a eficiência do SGSI através do uso da Política
de Segurança da Informação, objetivos de segurança, resultados das auditorias, análise e
monitoramento de eventos, ações corretivas e preventivas.

7.2 Ações Corretivas

7.3 Ações Preventivas

Segurança da Informação - 45