Wednesday, December 20, 2000

NBR ISO/IEC 17799

Fabio F. Ramos, CISSP, CISM, CIFI, consultor da Axur Information Security

É perceptível que o crescimento da economia mundial é impulsionado pela tecnologia da informação, e que os computadores são os grandes responsáveis pelo fenômeno – são eles os processadores e armazenadores destas informações, transmitidas entre organizações, clientes e parceiros de negócios.

Uma falha em um sistema informatizado, seja esta intencional ou não, pode causar a paralisação das atividades da organização com perdas muito significativas – quando não, irreparáveis.

A nova norma brasileira NBR ISO/IEC 17799 traz consigo a experiência da prática dos maiores players mundiais, perfazendo os mais diferentes segmentos de mercado. Esta norma é uma padronização dos controles mínimos, e deve ser implementada e gerenciada pelas empresas que consideram as suas informações como de importância crítica na sua estratégia de negócio.

Certificar-se por um órgão acreditado internacionalmente é tornar público seu interesse e preocupação com as informações do seu ambiente corporativo.

Uma gerência de segurança da informação bem implementada, além de manter sua organização preparada para eventualidades, marca suas informações confidenciais pela legitimidade.

Através de uma metodologia desenhada nos padrões e nos critérios de competência da NBR ISO/IEC 17799 é possível executar uma análise dos processos, envolvendo todas as unidades de negócio. As não-conformidades identificadas devem ser documentadas e avaliadas por um profissional com profundo conhecimento do negócio da empresa. Deve ser definido um plano para a normatização da situação de risco, em sintonia ao planejamento estratégico da organização, desta forma é possível mapear investimentos futuros e eqüalizar a relação entre custo e benefício.

A aplicação da análise normativa da NBR ISO/IEC 17799 pode ser aplicada a qualquer organização, não importando o segmento, tamanho ou a tecnologia utilizada na gestão do seu negócio. Já é comum observarmos a aplicação dos padrões em setores (ex.: financeiro) para depois estendê-la a toda a empresa.

A NBR ISO/IEC 17799 provê padrões consistentes para as organizações avaliarem qual o nível de segurança aplicado às suas regras de negócio em comparação ao mercado internacional. É uma ótima ferramenta de benchmark. Uma certificação NBR ISO/IEC 17799 evidencia a prática da melhor política de segurança, baseada no relato de auditores externos – portanto, imparciais.

A certificação deve também ser encarada com fundamental para o interesse de parceiros de negócios, com maior importância àqueles que confiam informações sensíveis à sua empresa (ex.: relação de e-business).

Política de Segurança da Informação

O primeiro passo, prescrito pela NBR ISO/IEC 17799, é a definição formal de um documento com as política de segurança da informação da empresa. A simples existência deste documento, que deve refletir a visão da Alta Administração frente à importância da informação, demonstra o comprometimento do grupo executivo com o plano estratégico de segurança da informação. É uma declaração simples que apresenta a informação como parte do negócio, um bem valiosíssimo e que deve ser salvaguardado.

Este documento deve ser claro. Será dividido em grupos, conforme o enfoque estratégico, tático e operacional. Deverá apresentar regras simples, sem o famoso ‘tecniquês’, utilizando sempre a NBR ISO/IEC 17799 como base. Alguns itens são escolhas individuais, e devem ser cuidadosamente avaliados para permitir uma adequação com impacto mínimo ao ambiente tecnológico e cultural da organização (ex.: “checagem de todas as mídias magnéticas em busca de vírus”). Para que uma política seja um documento verdadeiramente útil, deve deixar o detalhamento excessivo de lado, e imaginar como seria sua aplicação prática.

Análise de Risco

Os controles que deverão ser utilizados para a eliminação das não-conformidades ao padrão NBR ISO/IEC 17799, são apresentados após uma detalhada análise de risco. Esta análise deve ser executada ee documentada metodicamente. Cada classe de dados deve ser identificada e classificada com um valor correspondido em uma escala, determinada pelo especialista em segurança da informação em conjunto a equipe da sua organização, indicando a importância e criticidade da informação nos quesitos confidencialidade, integridade e disponibilidade.

Grande parte dos eventos de segurança da informação podem ser caracterizado pelo cruzamento das variáveis “probabilidade da sua ocorrência” e “impactopotencial”. Esta escala deve ser precisa, a ponto de caracterizar todos os riscos e uma ordem crítica, apontando o melhor controle para cada vulnerabilidade.

Declaração da Aplicabilidade

Após a criação de uma coordenação interna para o processo de segurança da informação, nosso próximo passo será criar uma Declaração da Aplicação. Esta declaração pode ser criada de várias formas, mas a mais adequada talvez seja listar todos os controles da NBR ISO/IEC 17799 e identificar aqueles considerados ideais aos resultados da análise de riscos. Esta aproximação deverá corresponder positivamente aos benefícios mapeados pela Alta Administração e fornecerá material para a auditoria na revisão da documentação.

Resumindo, a declaração da aplicação responderá “Qual é o nosso objetivo?”, e servirá como métrica para responder “Até onde chegamos?”.

Gestão da Segurança

Depois de implementados os controles de segurança, faz-se necessária a criação de uma frente gestora para a manutenção do nível de segurança da informação alcançado. É imprescindível a criação de um documento de gestão, guia de referência à continuidade do processo de segurança, imaginando que cada novo processo inserido ao negócio deverá obrigatoriamente ser avaliado e protegido conforme um modelo padrão, atendendo os quesitos de qualidade e normatização.

Neste ponto incluímos a criação de um fluxograma de avaliação de riscos, treinamento dos recursos humanos, desenvolvimento de procedimentos e cheklists personalizados e etc.

Certificação

Assim como ocorre com outras certificações, a certificação NBR ISO/IEC 17799 não é um produto, é um processo que pode continuar indefinitivamente. Desenvolver e administrar um processo de segurança da informação em uma organização pode ser inicialmente difícil, mas com o tempo ganha-se experiência e isto permite que as ferramentas de gestão sejam melhor adaptadas, determinando uma sinergia cada vez maior entre o seu negócio e os mecanismos de proteção utilizados.

A auditoria é dividida da seguinte maneira: uma pré-auditoria, uma auditoria mensal e uma auditoria periódica.
Estas auditorias têm o objetivo de avaliar a eficiência e eficácia das práticas adotadas na organização. Seus pontos fundamentais são:

Análise de Riscos: revisão da documentação frente as mudanças na organização. Por exemplo, durante ou após um processo de fusão é necessário que seja realizada uma reflexão sobre os seus efeitos na segurança da informação.

Declaração de Aplicabilidade: documento que deve ser revisado em curtos intervalos de tempo. Reflete mudanças imediatas, mercado de atuação, metas, produtos, estratégias e etc.

Requerimentos Básicos para Certificação

Abaixo listarei os requerimentos mínimos para o processo de certificação:

I.) Plano de Gestão de Segurança da Informação;

II.) Criação de uma Coordenação de Segurança da Informação;

III.) Administração e controle dos processos, neste devem estar inclusos:

a. Revisão do Plano de Gestão;b. Formulários desta revisão;c. Modo para administração da documentação;d. Modo para administração das gravações digitais;e. Existência de uma base mínima de controles, como formulário para reportar incidentes, juntamente com sua análise e correção.

Além disso, a certificação dependerá da implementação dos mecanismos de controle selecionados. Todos os aspectos são igualmente necessários para a certificação, variam em forma mas não em conteúdo.

Veremos a seguir que alguns dos controles da NBR ISO/IEC 17799, quando bem adaptados, podem até mesmo diminuir custos dentro de uma empresa. O grande desafio do consultor é identificar os riscos e o seu grau de relevância, para não cercar com cuidados excessivos todo o tipo de informação.

Processo de Certificação

A auditoria periódica para checagem dos processos da NBR ISO/IEC 17799 possui duas partes obrigatórias:

1- A primeira tem uma função muito parecida com as outras formas de certificação. Deverá ser preparada uma revisão de documentação interna. Para isso deverão ser preparados adendos com o resultado da avaliação dos documentos na gestão de segurança da informação corrente, refletindo todos os aspectos abordados na NBR ISO/IEC 17799. Estas obrigações deverão ser discutidas em cada auditoria.

2- O auditor trabalhará para desenvolver um plano que cubra todos os requerimentos considerados importantes verificados na análise de riscos. Serão efetuadas outras auditorias periódicas

Apresentarei agora os objetivos do padrão NBR ISO/IEC 17799 que serão listados e discutidos individualmente. Esta apresentação não deve ser exaustiva: espero que este documento seja útil na hora de definir o escopo da análise de sua organização. Conforme andar a certificação, o processo de auditoria ajudará, afinando cada vez mais o seu sistema.

Objetivos detalhados

Política de segurança da informação: prover à direção uma orientação e apoio para a segurança da informação. Convém que a direção estabeleça uma política clara e demonstre apoio e comprometimento com a segurança da informação através da emissão e manutenção de uma política de segurança da informação para toda a organização.
Infra-estrutura da segurança da informação: gerenciar a segurança dentro da organização. Convém que uma estrutura de gerenciamento seja estabelecida para iniciar e controlar a implementação da segurança da informação dentro da organização.

Segurança no acesso de prestadores de serviço: manter a segurança dos recursos de processamento de informação e ativos de informação organizacionais acessados por prestadores de serviço. Convém que seja controlado o acesso de prestadores de serviços aos recursos de processamento da informação da organização.

Terceirização: manter a segurança da informação quando a responsabilidade pelo processamento da informação é terceirizada para uma outra organização. Convém que o acordo de terceirização considere riscos, controles de segurança e procedimentos para os sistemas de informação, rede de computadores e/ou estações de trabalho no contrato entre as partes.

Contabilização dos ativos: manter a proteção adequada dos ativos da organização. Convém que todos os principais ativos de informação sejam inventariados e tenham um proprietário responsável.

Classificação da informação: assegurar que os ativos de informação recebam um nível adequado de proteção. Convém que a informação seja classificada para indicar a importância, a propriedade e o nível de proteção.

Segurança na definição e nos recursos de trabalho: reduzir os riscos de erro humano, roubo, fraude ou uso indevido das instalações. Convém que responsabilidades de segurança sejam atribuídas na fase de recrutamento, incluídas em contratos e monitoradas durante a vigência de cada contrato de trabalho.

Treinamento dos usuários: Assegurar que os usuários estão cientes das ameaças e das preocupações de segurança da informação e estão equipados para apoiar a política de segurança da organização durante a execução normal do seu trabalho. Convém que usuários sejam treinados nos procedimentos de segurança e no uso correto das instalações de processamento da informação, de forma a minimizar possíveis riscos de segurança.

Respondendo aos incidentes de segurança e ao mau funcionamento: Minimizar danos originados pelos incidentes de segurança e mau funcionamento, e monitorar e aprender com tais incidentes. Convém que os incidentes que afetam a segurança sejam reportados através dos canais apropriados o mais rapidamente possível.

Áreas de Segurança: prevenir acesso não autorizado, dano e interferência às informações e instalações físicas da organização. Convém que os recursos e instalações de processamento de informações críticas ou sensíveis do negócio sejam mantidos em áreas seguras, protegidas por um perímetro de segurança definido, com barreiras de segurança apropriadas e controle de acesso. Convém que estas sejam fisicamente protegidas de acesso não autorizado, dano ou interferência.

Segurança dos equipamentos: prevenir perda, dano ou comprometimento dos ativos, e a interrupção das atividades do negócio. Convém que os equipamentos seam fisicamente protegidos contra ameaças à sua segurança e perigos ambientais. A proteção dos equipamentos é necessária para reduzir o risco de acessos não autorizados a dados e para proteção contra perda ou dano.

Controles gerais: evitar exposição ou roubo de informação e de recursos de processamento da informação. Convém que informações e recursos de processamento da informação sejam protegidos de divulgação, modificação ou roubo por pessoas não autorizadas, e que sejam adotados controles de forma a minimizar sua perda ou dano.

Procedimentos e responsabilidades operacionais: garantir a operação segura e correta dos recursos de processamento da informação. Convém que os procedimentos e responsabilidades pela gestão e operação de todos os recursos de processamento das informações sejam definidos.

Planejamento e Aceitação dos Sistemas: Minimizar o risco de falhas nos sistemas. Convém que projeções de demanda de recursos e de carga de máquina futura sejam feitas para reduzir o risco de sobrecarga dos sistemas.

Proteção contra software malicioso: Proteger a integridade do software e da informação. É necessário que se adotem precauções para prevenir e detectar a introdução de softwares maliciosos.

Housekeeping: Manter a integridadee disponibilidade dos serviços de comunicação e processamento da informação. Convém que sejam estabelecidos procedimentos de rotina para a execução das cópias de segurança e para a disponibilização dos recursos de reserva, conforme definido na estratégia de contingência, de forma a viabilizar a restauração em tempo hábil, controlando e registrando eventos e falhas e, quando necessário, monitorando o ambiente operacional.

Gerenciamento de rede: Garantir a salvaguarda das informações na rede e a proteção da infra-estrutura de suporte. O gerenciamento de segurança de rede que se estendam além dos limites físicos da organização requer particular atenção.

Segurança e tratamento de mídias: Prevenir danos aos ativos e interrupções das atividades do negócio. Convém que as mídias sejam controladas e fisicamente protegidas.

Troca de informação e software: Prevenir a perda, modificação ou mau uso de informações trocadas entre organizações. Convém que as trocas de informações e software entr organizações sejam controladas e estejam em conformidade com toda a legislação pertinente.

Requisitos do negócio para o controle de acesso: Controlar o acesso à informação. Convém que o acesso à informação e processos do negócio seja controlado na base dos requisitos de segurança e do negócio.

Gerenciamento de acessos do usuário: Prevenir acessos não autorizados aos sistemas de informação. Convém que procedimentos formais sejam estabelecidos para controlar a concessão de direitos de acesso aos sistemas de informação e serviços.

Responsabilidade do usuários: Prevenir acesso não autorizado dos usuários. Convém que os usuários estejam cientes de suas responsabildiades para a manutenção efetiva dos controle de acesso, considerando particularmente o uso de senhas e a segurança de seus equipamentos.

Controle de acesso à rede: Proteção dos serviços de rede. Convém que o acesso aos serviços de rede internos e externos seja controlado.

Controle de acesso ao sistema operacional: Prevenir acesso não autorizado ao computador. Convém que as funcionalidade de segurança do sistema operacional sejam usadas para restringir o acesso aos recursos computacionais.

Controle de acesso às aplicações: Prevenir acesso não autorizado à informação contida nos sistemas de informação. Convém que os recursos de segurança sejam utilizados para restringir o acesso aos sistemas de aplicação.

Monitoração do uso e acesso ao sistema: Descobrir atividades não autorizada. Convém que os sistemas sejam monitorados para detectar divergências entre a política de controle de acesso e os registros de eventos monitorados, fornecendo evidências no caso de incidentes de segurança.

Computação móvel: Garantir a segurança da informação quando se utilizam a computação móvel e os recursos de trabalho remoto. Convém que a proteção requerida seja proporcional com o risco desta forma específica de trabalho.

Requisitos de segurança de sistemas: Garantir que a segurança seja parte integrante dos sistemas de informação. Convém que todos os requisitos de segurança, incluindo a necessidade de acordos de contingência, sejam identificados na fase de levantamento de requisitos de um projeto e justificados, acordados e documentados como parte do estudo de caso de um negócio para um sistema de informação.

Segurança nos sistemas de aplicação: Prevenir perda, modificação ou uso impróprio de dados do usuário nos sistemas de aplicações. Convém que os controles apropriados e trilhas de auditoria ou registro de atividades sejam previstos para os sistemas de apllicação, incluindo escritas pelo usuários. Convém que estes incluam a validação dos dados de entrada, processamento interno e dados de saída.

Controles de criptografia: proteger a confidencialidade, autenticidade ou integridade das informações.

Segurança de arquivos do sistema: garantir que os projetos de tecnologia da informação e as atividaedes de suporte serão conduzidas de maneira segura. Convém que o acesso aos arquivos do sistema seja controlado.

Segurança nos processos de desenvolvimento e suporte: Manter a segurança do software e da informação do sistema de aplicação. Convém que os ambientes de desenvolvimento e suporte sejam rigidamente controlados.

Aspectos da gestão da continuiade do negócio: Não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos. Convém que o processo de gestão da continuidade seja implementado para reduzir, para um nível aceitável, a interrupção causada por desastres ou falhas de segurança através da combinação de ações de prevenção e recuperação.

Conformidade com requisitos legais: Evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaiquer requisitos de segurança. Convém que consultoria em requisitos legais específicos seja procurada em organizações de consultoria jurídica ou em profissionais liberais, adequadamente qualificados nos aspectos legais.

Análise crítica da política de segurança e da conformidade técnica: Garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança. Convém que a segurança dos sistemas de informação seja analisada criticamente a intervalos regulares.

Considerações quanto à auditoria de sistemas: Maximizar a eficácia e minimizar a interferência no processo de auditoria de sistema. Convém que existam controles para a salvaguarda dos sistemas operacionais e ferramentas de auditoria durante as auditorias de sistema.

4 comments:

Normas Técnicas said...

Quem quiser esta Norma NBR 17.799 eu a tenho e envio via e-mail.
mortematica@hotmail.com

Unknown said...

Gostaria que me enviasse esta norma. diegodrumond@gmail.com.

Obrigado!

stev4n said...

VACUUM FORM TOOL MAKING IN MDF, RESIN BOARD AND ALUMINIUM FOR VACUUM FORMING OF PARTS IN HOUSE OR INDUSTRIAL MOULDERS. TRIMMING AND ROUTING FIXTURES TO FINISH PARTS DESIGNED AND MADE .

FIBREGLASS OR COMPOSITE PARTS MADE USING OUR PATTERNS IN WOOD AND OR RESIN BOARD.

PROTOTYPING AND SCALE MODELMAKING USING, CNC MACHINING, RAPID PROTOTYPING THEN FINISHED & PAINTED IF REQUIRED BY HAND. SPECIAL PURPOSE JIGS AND FIXTURES INCLUDING PNUEMATIC CONTROL OPTIONS, MADE TO PRINT OR DESIGNED ON CAD TO SUPPORT CUSTOMER BRIEF OR SKETCH.

CMM INSPECTION 100% FULL REPORTING USING DELCAM POWER INSPECT ON 3X2 METRE BED

RIM AND POLYURETHANE MOULDING USING TOOLS MADE IN HOUSE OFFERS METAL CORES WITH FIXING POINTS TO BE OVERMOULDED.

CNC MACHINING ON FOUR MACHINES UP TO 3.5 METRES. FTP DATA EXCHANGE TO RECEIVE CUSTOMER NATIVE DATA FOR CAD/CAM .

CRAFTSMANSHIP AND DESIGN ON CAD OR STYLING BY DESIGNER, BESPOKE REQUIREMENTS ARE SUPPORTED

Unknown said...

Twenty-five years ago last month, Lynda Fort of Ulysses was one of nine people to show up for meetings organized by the Kansas State University Small Business Development department that she said focused on “promoting alternate income for families in the late 1980s after the wheat embargo to Russia caused many farmers into bankruptcy.” risco limo service