ISO/IEC 17799

Norma de Segurança da Norma de Segurança da Informação

Segurança da Informação

� Segundo a norma ISO/IEC 17799, é a proteção contra um grande número de ameaças às informações, de forma a assegurar a continuidade do negócio, minimizando danos continuidade do negócio, minimizando danos comerciais e maximizando o retorno de possibilidades e investimentos.

� o conceito não está restrito somente a sistemas computacionais, informações eletrônicas ou sistemas de armazenamento. Se aplica a todos os aspectos de proteção de informações .

NORMA ISO/IEC 17799

� Compilação de recomendações para melhores práticas de segurança, que podem ser aplicadas por empresas de qualquer porte ou setor.

� Padrão flexível, nunca guiando seus usuários a � Padrão flexível, nunca guiando seus usuários a seguirem uma solução de segurança específica em detrimento de outra.

� Neutra com relação à tecnologia.� O grande objetivo da norma é o de garantir a

continuidade dos negócios por meio da implantação de controles, reduzindo muito as possibilidades de perda das informações.

NBR ISO/ IEC 17799:2005

� Tecnologia de Informação – Técnicas de Segurança – Código de prática para a gestão da segurança da informação (http://www.abntnet.com.br/fidetail.aspx?Font(http://www.abntnet.com.br/fidetail.aspx?FonteID=6955).

� Possui onze seções de controle (macro-controles).

� Cada um destes controles é subdividido em vários outros controles (a norma possui um total de 137 controles de segurança).

1. Política de Segurança da Informação

� Documento que define parâmetros para gestão da Segurança da Informação;� Padrões a serem seguidos e ações a serem

tomadas;tomadas;� Descreve processos relativos à segurança;� Descreve responsabilidades sobre os processos;� Deve ser apoiado pela gerência;� Deve ser abordado em treinamentos;

2. Segurança da Organização

� Infra-estrutura de Segurança da Informação:� Define a infra-estrutura para gerência da

segurança da informação;� As responsabilidades e as regras devem estar

claramente definidas;claramente definidas;� Um gestor para cada ativo do ambiente;� Inclusão de novos recursos feita sob autorização

de um responsável;� Consultor interno ou externo disponível para

atuar em suspeitas de incidentes de segurança.

2. Segurança da Organização

� Segurança de acesso a terceiros:� Controle de acesso à locais críticos;� Tipo do controle definindo conforme riscos e valor

da informação;da informação;� Presença de terceiros mediante autorização e

acompanhamento;� Serviços terceirizados regulamentados por

contrato;

2. Segurança da Organização

� Terceirização:� Acordo contratual, flexível para suportar

alterações nos procedimentos;

3. Controle e Classificação de Ativos

� Contabilização dos ativos:� Mapeia todos os ativos da informação e atribui

responsáveis;� Associa ativos com níveis de segurança;� Associa ativos com níveis de segurança;

� Classificação da Informação:� Define a importância de um ativo;� Definição pode variar com o tempo;

4. Segurança em Pessoas

� Segurança na definição e nos recursos de trabalho:

� Diminuição dos riscos provenientes da atividade humana, como roubo de informações;informações;

� Contratos devem abordar questões de sigilo e segurança;

� Treinamento dos usuários:� Capacitar para o bom funcionamento das

políticas de segurança;

4. Segurança em Pessoas

� Respondendo aos incidentes de segurança e mau -funcionamento:

� Diminuição de danos causados por falhas;� Sistema de comunicação de incidentes;� Sistema de comunicação de incidentes;� Aprendizado armazenado em bases de

conhecimento;

5. Segurança Física e do Ambiente

� Áreas de segurança:� Controle de acesso à áreas restritas;� Nível de proteção proporcional aos riscos e importância;� Podem ser utilizados mecanismos de autenticação e

vigilância (câmeras);Equipamentos de segurança :� Equipamentos de segurança :� Proteção física dos equipamentos contra ameaças do

ambiente (rede elétrica, contato com substâncias);� Proteção do cabeamento de rede;

Governança da Segurança da Informação

� As decisões a respeito da segurança da informação não são discutidas a nível estratégico;

� A falta de investimento em segurança pode � A falta de investimento em segurança pode trazer problemas ao planejamento estratégico da organização;

� Propõe - se a criação de um modelo baseado em ISO/IEC 17799, ITIL e COBIT;

6. Gestão das comunicações e das operações

� Visa disponilizar mecanismos para o controle da troca de informações dentro e fora da organização.

1. Planejamento e Aceitação dos Sistemas1. Planejamento e Aceitação dos Sistemas2. Proteção contra softwares maliciosos3. Gerência de Rede4. Segurança e Manuseio de Mídias5. Housekeeping6. Troca de Informações e Softwares7. Procedimentos e Responsabilidades Operacionais

7. Controle de acesso

� Este controle visa evitar problemas de seguranças decorrentes do acesso lógico indevido a informação não privilegiada por parte de certos usuários.

1. Requisitos do negócio para controle de acesso2. Gerência de acesso dos usuários3. Responsabilidade dos usuários4. Controle de Acesso ao Sistema Operacional5. Controle de Acesso às aplicações6. Computação móvel e trabalho remoto7. Notificação do uso e acesso ao sistema8. Controle de Acesso à rede de modo geral

8. Manutenção e desenvolvimento de Sistemas

� A segurança deve ser abordada desde a fase de modelagem do sistema, inserindo-se os controles de segurança na fase de iniciação de projetos.

� Objetiva evitar que aplicações comprometam a integridade e confidencialidade dos dados, através da validação da entrada e saída de dados e de verificações periódicas sobre os dados.

� Deve-se garantir a integridade de arquivos associados a aplicações, controlando-se o acesso aos dados armazenados, deve-se também fornecer um sistema de controle de alterações e atualizações de arquivos.

9. Gestão da continuidade dos negócios

� A gestão da continuidade dos negócios tem por objetivo evitar interrupções nas atividades do negócio e proteger processos críticos do negócio contra os efeitos de grandes falhas ou desastres.

10. Conformidade

� Trata aspectos legais ligados a segurança.

� Objetiva evitar infração de qualquer lei civil e criminal, estatutária, regulamentadora ou de obrigações contratuais e de quaisquer requisitos de segurança.contratuais e de quaisquer requisitos de segurança.

� Visa a garantia de que a política e as normas de segurança são seguidas

� Garantir que processos de auditoria existam e sejam planejados e testados.

Checklist ISO 17799� Elaborado pelo instituto americano SANS (System

Administration, Networking and Security Institute) � Direcionado aos profissionais de TI e Segurança da

Informação que necessitam auditar o nível de segurança de suas empresas. segurança de suas empresas. � Versão não-oficial em PT:

http://www.linuxsecurity.com.br/info/general/iso17799.checklist.pt-BR.pdf

Considerações Finais� A segurança da informação está relacionada

com o faturamento de uma empresa, sua imagem e sua reputação.

� As conseqüências de incidentes de segurança � As conseqüências de incidentes de segurança podem ser desastrosas, mas podem ser evitadas.

� A ISO17799 cobre os mais diversos tópicos da área de segurança, possuindo um grande número de controles e requerimentos que devem ser atendidos para garantir a segurança das informações de uma empresa.

Considerações Finais� A norma é intencionalmente flexível e genérica.� O processo de implantação da Norma de

Segurança a um determinado ambiente não é simples e envolve muitos passos.

� a ISO17799 pode ser considerada a norma mais importante para a gestão da segurança da informação que já foi elaborada – ela estabelece uma linguagem internacional comum para todas as organizações do mundo.

� Deverá se tornar uma ferramenta essencial para empresas de qualquer tipo ou tamanho.