ISO/IEC 17799

1
ISO/IEC 17799

• Norma de Segurança da Informação

Fernando Benedet Ghisi Vitor Luiz Barboza Wesley
Tiago Zapellini
2
Segurança da Informação
3
Segurança da Informação

• Segundo a norma ISO/IEC 17799, é a proteção
  contra um grande número de ameaças às
  informações, de forma a assegurar a continuidade
  do negócio, minimizando danos comerciais e
  maximizando o retorno de possibilidades e
  investimentos.
• o conceito não está restrito somente a sistemas
  computacionais, informações eletrônicas ou
  sistemas de armazenamento. Se aplica a todos os
  aspectos de proteção de informações.

4
Exemplo

• A Bolsa de Tóquio, 8 de Janeiro de 2006
• Queda acentuada da bolsa
• Alto volume de transações
• Sistema próximo a atingir sua capacidade máxima
  (estrutura tecnológica)
• Fechamento das operações 20 minutos mais cedo.
• Inúmeros prejuízos.

5
A tríade CIA

• Confidencialidade a garantia de que a informação
  só pode ser acessada e manipulada por pessoas
  autorizadas, ou seja, ela é restrita a um
  conjunto de entidades, que podem ser seres
  humanos ou podem ser um sistema eletrônico.
• Integridade implica que toda vez que uma
  informação é manipulada ela está consistente, ou
  seja, que não foi alterada ou adulterada por um
  acesso legal ou ilegal.

6
A tríade CIA

• Disponibilidade das Informações Críticas
  garantia de que uma informação sempre poderá ser
  acessada, pelas pessoas e processos autorizados,
  independentemente do momento em que ela é
  requisitada e do local no qual está armazenada.
• as ameaças à segurança da informação são
  relacionadas diretamente à perda de uma de suas
  três características principais.

7
NORMA ISO/IEC 17799

• Compilação de recomendações para melhores
  práticas de segurança, que podem ser aplicadas
  por empresas de qualquer porte ou setor.
• Padrão flexível, nunca guiando seus usuários a
  seguirem uma solução de segurança específica em
  detrimento de outra.
• Neutra com relação à tecnologia.
• O grande objetivo da norma é o de garantir a
  continuidade dos negócios por meio da implantação
  de controles, reduzindo muito as possibilidades
  de perda das informações.

8
Histórico

• Em 1987 o departamento de comércio e indústria do
  Reino Unido (DTI) criou um centro de segurança de
  informações, o CCSC (Commercial Computer Security
  Centre).
• Tarefa de criar uma norma de segurança das
  informações para o Reino Unido.
• Desde 1989 vários documentos preliminares foram
  publicados por esse centro, até que, em 1995,
  surgiu a BS7799 (British Standart 7799).
• Esse documento foi disponibilizado em duas partes
  para consulta pública, a 1ª em 1995 e a 2ª em
  1998.

9
Histórico

• Em 1 de dezembro de 2000, após incorporar
  diversas sugestões e alterações, a BS7799 ganhou
  status internacional com sua publicação na forma
  da ISO/IEC 177992000.
• Em setembro de 2001, a ABNT homologou a versão
  brasileira da norma, denominada NBR ISO/IEC
  17799.
• Em 24 de abril de 2003 foi realizado um encontro
  em Quebec, no qual uma nova versão da norma
  revisada foi preparada. Essa nova versão da
  ISO/IEC 17799 foi lançada 2005.

10
NBR ISO/ IEC 177992005

• Tecnologia de Informação Técnicas de Segurança
  Código de prática para a gestão da segurança da
  informação (http//www.abntnet.com.br/fidetail.asp
  x?FonteID6955).
• Possui onze seções de controle (macro-controles).
• Cada um destes controles é subdividido em vários
  outros controles (a norma possui um total de 137
  controles de segurança).

11
1. Política de Segurança da Informação

• Documento que define parâmetros para gestão da
  Segurança da Informação
• Padrões a serem seguidos e ações a serem tomadas
• Descreve processos relativos à segurança
• Descreve responsabilidades sobre os processos
• Deve ser apoiado pela gerência
• Deve ser abordado em treinamentos

12
2. Segurança da Organização

• Infra-estrutura de Segurança da Informação
• Define a infra-estrutura para gerência da
  segurança da informação
• As responsabilidades e as regras devem estar
  claramente definidas
• Um gestor para cada ativo do ambiente
• Inclusão de novos recursos feita sob autorização
  de um responsável
• Consultor interno ou externo disponível para
  atuar em suspeitas de incidentes de segurança.

13
2. Segurança da Organização

• Segurança de acesso a terceiros
• Controle de acesso à locais críticos
• Tipo do controle definindo conforme riscos e
  valor da informação
• Presença de terceiros mediante autorização e
  acompanhamento
• Serviços terceirizados regulamentados por
  contrato

14
2. Segurança da Organização

• Terceirização
• Acordo contratual, flexível para suportar
  alterações nos procedimentos

15
3. Controle e Classificação de Ativos

• Contabilização dos ativos
• Mapeia todos os ativos da informação e atribui
  responsáveis
• Associa ativos com níveis de segurança
• Classificação da Informação
• Define a importância de um ativo
• Definição pode variar com o tempo

16
4. Segurança em Pessoas

• Segurança na definição e nos recursos de
  trabalho
• Diminuição dos riscos provenientes da atividade
  humana, como roubo de informações
• Contratos devem abordar questões de sigilo e
  segurança
• Treinamento dos usuários
• Capacitar para o bom funcionamento das políticas
  de segurança

17
4. Segurança em Pessoas

• Respondendo aos incidentes de segurança e
  mau-funcionamento
• Diminuição de danos causados por falhas
• Sistema de comunicação de incidentes
• Aprendizado armazenado em bases de conhecimento

18
5. Segurança Física e do Ambiente

• Áreas de segurança
• Controle de acesso à áreas restritas
• Nível de proteção proporcional aos riscos e
  importância
• Podem ser utilizados mecanismos de autenticação e
  vigilância (câmeras)
• Equipamentos de segurança
• Proteção física dos equipamentos contra ameaças
  do ambiente (rede elétrica, contato com
  substâncias)
• Proteção do cabeamento de rede
• Controles gerais
• Diminuem o vazamento de informações
• Política Tela limpa, mesa limpa. O acesso é
  negado às informações sendo trabalhadas no
  momento

19
Governança da Segurança da Informação

• As decisões a respeito da segurança da informação
  não são discutidas a nível estratégico
• A falta de investimento em segurança pode trazer
  problemas ao planejamento estratégico da
  organização
• (BALBO 2007) propõe a criação de um modelo
  baseado em ISO/IEC 17799, ITIL e COBIT

20
6. Gestão das comunicações e das operações

• Visa disponilizar mecanismos para o controle da
  troca de informações dentro e fora da
  organização.
• Planejamento e Aceitação dos Sistemas
• Proteção contra softwares maliciosos
• Gerência de Rede
• Segurança e Manuseio de Mídias
• Housekeeping
• Troca de Informações e Softwares
• Procedimentos e Responsabilidades Operacionais

21
7. Controle de acesso

• Este controle visa evitar problemas de seguranças
  decorrentes do acesso lógico indevido a
  informação não privilegiada por parte de certos
  usuários.
• Requisitos do negócio para controle de acesso
• Gerência de acesso dos usuários
• Responsabilidade dos usuários
• Controle de Acesso ao Sistema Operacional
• Controle de Acesso às aplicações
• Computação móvel e trabalho remoto
• Notificação do uso e acesso ao sistema
• Controle de Acesso à rede

22
8. Manutenção e desenvolvimento de Sistemas

• Fornece critérios para o desenvolvimento de
  sistemas confiáveis.
• A segurança deve ser abordada desde a fase de
  modelagem do sistema, inserindo-se os controles
  de segurança na fase de iniciação de projetos.
• Objetiva evitar que aplicações comprometam a
  integridade e confidencialidade dos dados,
  através da validação da entrada e saída de dados
  e de verificações periódicas sobre os dados.
• Deve-se garantir a integridade de arquivos
  associados a aplicações, controlando-se o acesso
  aos dados armazenados, deve-se também fornecer um
  sistema de controle de alterações e atualizações
  de arquivos.

23
9. Gestão da continuidade dos negócios

• A gestão da continuidade dos negócios tem por
  objetivo evitar interrupções nas atividades do
  negócio e proteger processos críticos do negócio
  contra os efeitos de grandes falhas ou desastres.

24
10. Conformidade

• Trata aspectos legais ligados a segurança.
• Objetiva evitar infração de qualquer lei civil e
  criminal, estatutária, regulamentadora ou de
  obrigações contratuais e de quaisquer requisitos
  de segurança.
• Visa a garantia de que a política e as normas de
  segurança são seguidas
• Garantir que processos de auditoria existam e
  sejam planejados e testados.

25
Checklist ISO 17799

• Elaborado pelo instituto americano SANS (System
  Administration, Networking and Security
  Institute) mais de 156 mil profissionais de
  segurança, auditores, administradores de sistemas
  e redes.
• Direcionado aos profissionais de TI e Segurança
  da Informação que necessitam auditar o nível de
  segurança de suas empresas.
• http//www.sans.org/score/checklists/ISO_17799_che
  cklist.pdf
• Versão não-oficial em PT http//www.linuxsecurity
  .com.br/info/general/iso17799.checklist.pt-BR.pdf

26
Considerações Finais

• A segurança da informação está relacionada com o
  faturamento de uma empresa, sua imagem e sua
  reputação.
• As conseqüências de incidentes de segurança podem
  ser desastrosas, mas podem ser evitadas.
• A ISO17799 cobre os mais diversos tópicos da área
  de segurança, possuindo um grande número de
  controles e requerimentos que devem ser atendidos
  para garantir a segurança das informações de uma
  empresa.

27
Considerações Finais

• A norma é intencionalmente flexível e genérica.
• O processo de implantação da Norma de Segurança a
  um determinado ambiente não é simples e envolve
  muitos passos.
• a ISO17799 pode ser considerada a norma mais
  importante para a gestão da segurança da
  informação que já foi elaborada ela estabelece
  uma linguagem internacional comum para todas as
  organizações do mundo.
• Deverá se tornar uma ferramenta essencial para
  empresas de qualquer tipo ou tamanho.

28
Referências Bibliográficas

• ABNT NET. Associação Brasileira de Normas
  Técnicas. Disponível em http//www.abntnet.com.br
  /.
• ABNT NBR ISO/IEC 17799. Segunda Edição.
  Disponível em http//www.scribd.com/doc/2449992/A
  bnt-Nbr-Isoiec-17799-Tecnologia-da-Informacao-Tecn
  icas-de-Seguranca-Codigo-de-Pratica-para-a-Gestao-
  da-Seguranca-da-Informacao.
• IDG Now!. Bolsa de Tóquio fecha mais cedo por
  pane em TI. Disponível em http//idgnow.uol.com.b
  r/mercado/2006/01/18/idgnoticia.2006-02-06.6752227
  625/.
• InformaBR. Segurança 27 questões freqüentemente
  formuladas sobre as normas BS e ISO17799.
  Disponível em http//www.informabr.com.br/nbr.htm
  .
• ISO 17799 World. Disponível em
  http//17799.macassistant.com/
• Módulo. 10ª Pesquisa Nacional de Segurança da
  Informação. 2006.
• OLIVEIRA BALDO, Luciano de. Uma Abordagem
  Correlacional dos Modelos CobiT/ ITIL e da Norma
  ISO 17799 para o tema Segurança da Informação .
  São Paulo 2007.

29
Referências Bibliográficas

• GONÇALVES, L. R. O. O surgimento da Norma
  Nacional de Segurança de Informação NBR
  ISO/IEC-17792001. 2004. Disponível em
  http//www.lockabit.coppe.ufrj.br/rlab/rlab_textos
  .php?id85.
• GORISSEN, MAXIMILIAN. Política de Segurança da
  Informação A norma ISO 17799.
• ISO 17799 Information and Resource Portal.
  Disponível em http//17799.denialinfo.com/.
• JUNIOR, A. F. NOVA NORMA GARANTE SEGURANÇA DA
  INFORMAÇÃO. Disponível em http//www.serasa.com.b
  r/serasalegal/05-fev-02_m2.htm.
• The A-Z Guide for ISO 27001 and ISO 17799/ ISO
  27002. Disponível em http//www.17799central.com/
  .
• VETTER, Fausto REINERDT, Jonatas Davson. ISO/IEC
  17799 Norma de Segurança da Informação.
  Florianópolis 2007.
• WIKIPÉDIA. Segurança da Informação. Disponível
  em http//pt.wikipedia.org/wiki/SeguranC3A7a_da
  _informaC3A7C3A3o.