Alinhando 17799 e 27001 a Adm Pub
Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública
Resumo
Este artigo apresenta uma breve descrição sobre a abrangência das normas técnicas brasileira sobre segurança da informação - SI. Apresenta também um novo modelo arquitetônico para segurança de redes descrito pela associação internacional de SI. Finalmente apresenta uma ferramenta de trabalho que auxilia o responsável pela segurança computacional do instituto/departamento/órgão a planejar as implantações necessárias em atendimento às normas brasileiras.
Palavras-Chave (exemplo): Segurança Computacional, NBR-17799 e NBR27001, Norma Técnica, Brigada de SI.
1. Introdução
Inicialmente devemos esclarecer o porquê de adotarmos determinadas normas, para posteriormente entendermos a sua abrangência e a sua aplicabilidade. Após este entendimento do porque adotarmos ações condizentes com as normas, passaremos a observar a norma sobre a análise dos grandes grupos de ação abrangidos tanto pela NBR-17799 como pela NBR-27001. Posteriormente apresentaremos uma ferramenta de trabalho que facilita a visualização da situação na qual o instituto encontra-se parametrizado com a norma e os objetivos propostos para adaptação das operações com as exigências normativas.
Normas são entendidas como um conjunto de regras ou orientações que visam qualidade, na atuação de uma tarefa. As normas em estudo buscam tornar o ambiente computacional das empresas, mais seguros com relação à mitigar os incidentes computacionais, além de orientar sobre ações a serem tomadas, quando estes incidentes ocorrerem.
1.1 Motivação para um ambiente seguro.
Aplicar normas de segurança em um ambiente computacional, é mais do que modismo, é uma forma de garantir a existência de coerência nas ações dos coordenadores e executores das tarefas de administração dos ambientes computacionais. Adotar padrões reconhecidamente eficientes minimiza-se problemas de incidentes relacionados às operações sustentadas por computadores.
Inicialmente devemos entender que info é um dos ativo de uma empresa/instituto. Como ativo, a informação tem valor e deve ser protegido. As pessoas, seus conhecimentos, também são ativos, marca, imagem, também são ativos, todos devem ser preservados e mantidos pelo valor que todos representam.
Aqui, mais do que em qualquer lugar, o conhecimento é o ativo, além de ativo, conhecimento é o “produto” que a empresa “comercializa”.
O conhecimento gerado nas empresas está nas pessoas, mas também está nos computadores, sejam servidores ou computadores pessoais, sendo nos computadores que armazenamos estes ativos/conhecimentos. É no ambiente computacional que é armazenado, manipulado, organizado, construído e disponibilizado grande parte deste ativo/conhecimento. Defender de ataques externos e ataques internos é o objetivo da segurança computacional
1.2 Tecnologia por si só não garante SI, diz estudo Módulo Security News-30 Out 2006 “-Os dois itens mais importantes na hora de manter as informações da empresa em segurança são: a elaboração de PSI e o gerenciamento de suporte adequados, seguido do nível de conscientização dos funcionários. Este é o resultado de um estudo conduzido pela ONG educacional especializada em certificar profissionais de segurança The IISSCC, em parceria com a consultoria IDC.“
1.3 Nova Arquitetura para segurança de rede.
Proteger estruturas computacionais com aplicação de barreiras por camadas é o modelo mais usual para a blindagem das informações e dos recursos da rede. Com grande parte dos serviços e ambientes computacionais suportado pela ethernet, novos modelos de barragens estão sendo propostos.
Segurança por zona em três camadas, (ISSA Journal, abril 2006)
O modelo que apresentarei é uma nova abordagem arquitetônica para este bloqueio. A proposta encontrada em publicações específicas, apresenta uma nova forma de blindar os serviços e os recursos. Baseado em virtualização do serviços e recursos, podemos formar uma barreira única de acesso facilitando os serviços de controle e manutenção desta barreira. Ao virtualizar o data center, estas barreiras facilitam o planejamento de ações minimizando os recursos oferecidos aos essencialmente necessários.
Nova Arquitetura de segurança, usuários com acesso por rede ao Virtual Data Center. (ISSA Journal, abril 2006)
2. Entendendo a NBR 17799
2.2 Linha do Tempo da Norma
ISO /IEC 17799:2000 & ISO/IEC 27001:2005
Um breve histórico da evolução da norma até chegar a ISO 27001:
- 1995: publicada a primeira versão da BS 7799-1 (BS 7799-1:1995 - Tecnologia da Informação - Código de prática para GSI)
- 1998: publicada a primeira versão da BS 7799-2 (BS 7799-2:1998 - SGSI - Especificações e guia para uso)
- 1999: publicada uma revisão da BS 7799-1 (BS 7799-1:1999 - Tecnologia da Informação - Código de prática para GSI)
- 2000: publicada a primeira versão da norma ISO/IEC 17799 (ISO/IEC 17799:2000 - Tecnologia da Informação - Código de prática para GSI também referenciada como BS ISO/IEC 17799:2000)
- 2001: publicada a primeira versão da norma no Brasil, NBR ISO/IEC 17799 (NBR ISO/IEC 17799:2001 - Tecnologia da Informação - Código de prática para GSI)
- 2002: publicada revisão da norma BS 7799 parte 2 (BS7799-2:2002 - SGSI - Especificações e guia para uso).
- Agosto/2005: publicada a segunda versão da norma no Brasil, NBR ISO/IEC 17799 (NBR ISO/IEC 17799:2005 - Tecnologia da Informação - Código de prática para GSI);
- Outubro/2005: publicada a norma ISO 27001 (ISO/IEC 27001:2005 - Tecnologia da Informação - Técnicas de segurança - SGSI - Requisitos).
2.1 Tópicos Relevantes da ABNT NBR ISO/IEC-17799
Segurança para SI foi um dos primeiros itens a definirem padrões. A GSI visa identificar os riscos e implantar medidas que de forma efetiva tornem estes riscos gerenciáveis e minimizados.
A NBR ISO IEC 17799:2005 é um código de práticas de GSI. Sua importância pode ser dimensionada pelo número crescente de pessoas e variedades de ameaças a que a informação é exposta na rede de computadores.
2.2 Os objetivos explícitos desta norma são:
Estabelecer um referencial para as organizações desenvolverem, implementarem e avaliarem a gestão da segurança de informação.
Em sua documentação a ABNT NBR-ISO/IEC-17799:2005 aborda 11 tópicos principais:
• 1. PSI - onde descreve a importância e relaciona os principais assuntos que devem ser abordados numa política de segurança.
• 2. Segurança organizacional - aborda a estrutura de uma gerência para a SI, assim como aborda o estabelecimento de responsabilidades incluindo terceiros e fornecedores de serviços.
• 3. Classificação e controle de ativos de informação - trabalha a classificação, o registro e o controle dos ativos da organização.
• 4. Segurança em pessoas - tem como foco o risco decorrente de atos intencionais ou acidentais feitos por pessoas. Também é abordada a inclusão de responsabilidades relativas à segurança na descrição dos cargos, a forma de contratação e o treinamento em assuntos relacionados à segurança.
• 5. Segurança ambiental e física - aborda a necessidade de se definir áreas de circulação restrita e a necessidade de proteger equipamentos e a infra-estrutura de tecnologia de Informação.
• 6. Gerenciamento das operações e comunicações - aborda as principais áreas que devem ser objeto de especial atenção da segurança. Dentre estas áreas destacam-se as questões relativas a procedimentos operacionais e respectivas responsabilidades, homologação e implantação de sistemas, gerência de redes, controle e prevenção de vírus, controle de mudanças, execução e guarda de backup, controle de documentação, segurança de correio eletrônico, entre outras.
• 7. Controle de acesso - aborda o controle de acesso a sistemas, a definição de competências, o sistema de monitoração de acesso e uso, a utilização de senhas, dentre outros assuntos.
• 8. Desenvolvimento e manutenção de sistemas - são abordados os requisitos de segurança dos sistemas, controles de criptografia, controle de arquivos e segurança do desenvolvimento e suporte de sistemas.
• 9. Gestão de incidentes de segurança - incluída na versão 2005, apresenta dois itens: Notificação de fragilidades e eventos de segurança da informação e gestão de incidentes de segurança da informação e melhorias.
• 10. Gestão da continuidade do negócio - reforça a necessidade de se ter um plano de continuidade e contingência desenvolvido, implementado, testado e atualizado.
• 11. Conformidade - aborda a necessidade de observar os requisitos legais, tais como a propriedade intelectual e a proteção das informações de clientes
3. Entendendo a NBR 27001
3.1 Processo de Gestão
A abordagem de processo para a GSI apresentada nesta norma encoraja que seus usuários enfatizem a importância de:
a-) entendimento dos requisitos de SI de uma organização e da necessidade de estabelecer uma política e objetivos para a SI;
b-) implantação e operação de controles para gerenciar os riscos de SI de uma organização no contexto dos riscos de negócio globais da organização;
c-) monitoração e analise crítica do desempenho e eficácia do SGSI; e
d-) melhoria contínua baseada em medições objetivas.
Para a execução e implantação desta norma, é sugerido uma atuação baseada no modelo PDCA.
"Plan-Do-Check-Act"(PDCA)
“Plan” – Planejar – Estabelecer o SGSI – Estabelecer a política, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização.
“Do” – Fazer – Implementar e Operar o SGSI - Implementar e operar as políticas, controles, processos e procedimentos do SGSI.
“Check” – Checar/Monitorar/Analisar Criticamente – Avaliar e, quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiências práticas do SGSI e apresentar os resultados para a analise crítica pela direção.
“Act” – Agir – Manter e melhorar o SGSI – Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI. (ABNT ISO/IEC-27001)
3.1 Norma ABNT NBR ISO/IEC-27001-2005
“- A nova família da série ISO IEC 27000-27009 está relacionada com os requisitos mandatários da ISO/IEC 27001:2005, como, por exemplo, a definição do escopo do SGSI, a avaliação de riscos, a identificação de ativos e a eficácia dos controles implementados.” (Módulo Security- acesso 01/11/2006 - http://www.modulo.com.br/checkuptool/artigo_15.htm)
Esta Norma promove a adoção de uma abordagem de processo para estabelecer e implementar, operar, monitorar, analisar criticamente, manter e melhorar o SGSI- Sistema de Gerenciamento da Segurança da Informação, de uma organização.
Para esta abordagem, a norma orienta à observação de um conjunto de ações e tarefas. Estas ações devem ser planejadas visando à eficiência de sua aplicação.
Destaco como pontos importantes para a aplicabilidade da norma as ações referidas em 3.2, destaco ainda que todas as ações propostas devam ser discutidas e aperfeiçoadas em conjunto com os usuários envolvidos. Assim o sendo, a aplicabilidade torna-se um consenso e uma regra apoiada por todos. Obter o envolvimento e aprovação da direção é outro ponto fundamental para a adoção da regra.
3.2 Tabela dos principais requisitos referenciados na ABNT-NBR-27001
O planejamento das ações relativas à norma deve atender a um conjunto de requisitos. Na tabela a seguir apresento alguns destes macro requisitos.
Requisitos gerais
4.2 - Estabelecendo e Gerenciando o SGSI.
4.2.1 - Estabelecer o SGSI.
4.2.2 - Implementar e operar o SGSI.
4.2.3 - Monitorar e analisar criticamente o SGSI.
4.2.4 - Manter e melhorar o SGSI.
4.3 – Requisitos de Documentação
4.3.1 – A documentação de SGSI deve incluir. (disponibilize, publique, torne público)
4.3.2 – Controle de documentos. (disponibilize, publique, torne público)
4.3.3 –Controle de registros
5 – Responsabilidade da direção.
5.1 – Comprometimento da direção
5.2 – Gestão de Risco
5.2.1 – Provisão de Recursos.
5.2.2 – Treinamento, conscientização e competência
6 – Auditorias internas.
6.1 – Questões a serem auditadas.
7 – Analise crítica do SGSI.
7.1 – Analisar com periodicidade, ao menos uma vez por ano.
7.2 - Entradas para analise crítica.
7.3 – Saídas da analise crítica.
8 – Melhoria do SGSI.
8.1 – Melhoria continuada.
8.2 – Ação corretiva.
8.3 – Ação preventiva.
Estes macro requisitos devem ser observados e seguidos para a composição do SGSI.
Vocabulário referencial para SI
Ativo – qualquer coisa que tenha valor para a organização. [ISO/IEC 13335-1:2004]
Disponibilidade – propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada. [ISO/IEC 13335-1:2004]
Confiabilidade – propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados. [ISO/IEC 13335-1:2004]
Segurança da informação – preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas. [ABNT NBR ISO/IEC 17799:2005]
Evento de segurança da Informação – uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação. [ISO/IEC TR 18044-1:2004]
Incidente de Segurança da Informação – um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. [ISO/IEC TR 18044-1:2004]
SGSI – Sistema de gestão da segurança da informação – a parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação. (nota o sistema de gestão inclui estrutura organizacional, políticas, atividades de planejamento, responsabilidades, práticas, procedimentos, processos e recursos).
Integridade – propriedade de salvaguarda da exatidão e completeza de ativos. [ISO/IEC 13335-1:2004]
Risco residual – risco remanescente após o tratamento de riscos. [ABNT ISO/IEC Guia 73:2005]
Aceitação do risco – decisão de aceitar um risco. [ABNT ISO/IEC Guia 73:2005]
Análise de riscos – uso sistemático de informações para identificar fontes e estimar o risco. [ABNT ISO/IEC Guia 73:2005]
Análise/Avaliação de riscos – processo completo de analise e avaliação de risco. [ABNT ISO/IEC Guia 73:2005]
Avaliação de riscos – processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco. [ABNT ISO/IEC Guia 73:2005]
Gestão de risco – atividade coordenada para direcionar e controlar uma organização no que se refere a risco. (nota- A gestão de riscos geralmente inclui a análise/avaliação de riscos, o tratamento de riscos, a aceitação de riscos e a comunicação de riscos. [ABNT ISO/IEC Guia 73:2005]
Tratamento do risco – processo de selleção e implementação de medidas para modificar um risco. [ABNT ISO/IEC Guia 73:2005]
Declaração de aplicabilidade – declaração documentada que descreve os objetivos de controle e controles que são pertinentes e aplicáveis ao SGSI da organização.
Resumo
Este artigo apresenta uma breve descrição sobre a abrangência das normas técnicas brasileira sobre segurança da informação - SI. Apresenta também um novo modelo arquitetônico para segurança de redes descrito pela associação internacional de SI. Finalmente apresenta uma ferramenta de trabalho que auxilia o responsável pela segurança computacional do instituto/departamento/órgão a planejar as implantações necessárias em atendimento às normas brasileiras.
Palavras-Chave (exemplo): Segurança Computacional, NBR-17799 e NBR27001, Norma Técnica, Brigada de SI.
1. Introdução
Inicialmente devemos esclarecer o porquê de adotarmos determinadas normas, para posteriormente entendermos a sua abrangência e a sua aplicabilidade. Após este entendimento do porque adotarmos ações condizentes com as normas, passaremos a observar a norma sobre a análise dos grandes grupos de ação abrangidos tanto pela NBR-17799 como pela NBR-27001. Posteriormente apresentaremos uma ferramenta de trabalho que facilita a visualização da situação na qual o instituto encontra-se parametrizado com a norma e os objetivos propostos para adaptação das operações com as exigências normativas.
Normas são entendidas como um conjunto de regras ou orientações que visam qualidade, na atuação de uma tarefa. As normas em estudo buscam tornar o ambiente computacional das empresas, mais seguros com relação à mitigar os incidentes computacionais, além de orientar sobre ações a serem tomadas, quando estes incidentes ocorrerem.
1.1 Motivação para um ambiente seguro.
Aplicar normas de segurança em um ambiente computacional, é mais do que modismo, é uma forma de garantir a existência de coerência nas ações dos coordenadores e executores das tarefas de administração dos ambientes computacionais. Adotar padrões reconhecidamente eficientes minimiza-se problemas de incidentes relacionados às operações sustentadas por computadores.
Inicialmente devemos entender que info é um dos ativo de uma empresa/instituto. Como ativo, a informação tem valor e deve ser protegido. As pessoas, seus conhecimentos, também são ativos, marca, imagem, também são ativos, todos devem ser preservados e mantidos pelo valor que todos representam.
Aqui, mais do que em qualquer lugar, o conhecimento é o ativo, além de ativo, conhecimento é o “produto” que a empresa “comercializa”.
O conhecimento gerado nas empresas está nas pessoas, mas também está nos computadores, sejam servidores ou computadores pessoais, sendo nos computadores que armazenamos estes ativos/conhecimentos. É no ambiente computacional que é armazenado, manipulado, organizado, construído e disponibilizado grande parte deste ativo/conhecimento. Defender de ataques externos e ataques internos é o objetivo da segurança computacional
1.2 Tecnologia por si só não garante SI, diz estudo Módulo Security News-30 Out 2006 “-Os dois itens mais importantes na hora de manter as informações da empresa em segurança são: a elaboração de PSI e o gerenciamento de suporte adequados, seguido do nível de conscientização dos funcionários. Este é o resultado de um estudo conduzido pela ONG educacional especializada em certificar profissionais de segurança The IISSCC, em parceria com a consultoria IDC.“
1.3 Nova Arquitetura para segurança de rede.
Proteger estruturas computacionais com aplicação de barreiras por camadas é o modelo mais usual para a blindagem das informações e dos recursos da rede. Com grande parte dos serviços e ambientes computacionais suportado pela ethernet, novos modelos de barragens estão sendo propostos.
Segurança por zona em três camadas, (ISSA Journal, abril 2006)
O modelo que apresentarei é uma nova abordagem arquitetônica para este bloqueio. A proposta encontrada em publicações específicas, apresenta uma nova forma de blindar os serviços e os recursos. Baseado em virtualização do serviços e recursos, podemos formar uma barreira única de acesso facilitando os serviços de controle e manutenção desta barreira. Ao virtualizar o data center, estas barreiras facilitam o planejamento de ações minimizando os recursos oferecidos aos essencialmente necessários.
Nova Arquitetura de segurança, usuários com acesso por rede ao Virtual Data Center. (ISSA Journal, abril 2006)
2. Entendendo a NBR 17799
2.2 Linha do Tempo da Norma
ISO /IEC 17799:2000 & ISO/IEC 27001:2005
Um breve histórico da evolução da norma até chegar a ISO 27001:
- 1995: publicada a primeira versão da BS 7799-1 (BS 7799-1:1995 - Tecnologia da Informação - Código de prática para GSI)
- 1998: publicada a primeira versão da BS 7799-2 (BS 7799-2:1998 - SGSI - Especificações e guia para uso)
- 1999: publicada uma revisão da BS 7799-1 (BS 7799-1:1999 - Tecnologia da Informação - Código de prática para GSI)
- 2000: publicada a primeira versão da norma ISO/IEC 17799 (ISO/IEC 17799:2000 - Tecnologia da Informação - Código de prática para GSI também referenciada como BS ISO/IEC 17799:2000)
- 2001: publicada a primeira versão da norma no Brasil, NBR ISO/IEC 17799 (NBR ISO/IEC 17799:2001 - Tecnologia da Informação - Código de prática para GSI)
- 2002: publicada revisão da norma BS 7799 parte 2 (BS7799-2:2002 - SGSI - Especificações e guia para uso).
- Agosto/2005: publicada a segunda versão da norma no Brasil, NBR ISO/IEC 17799 (NBR ISO/IEC 17799:2005 - Tecnologia da Informação - Código de prática para GSI);
- Outubro/2005: publicada a norma ISO 27001 (ISO/IEC 27001:2005 - Tecnologia da Informação - Técnicas de segurança - SGSI - Requisitos).
2.1 Tópicos Relevantes da ABNT NBR ISO/IEC-17799
Segurança para SI foi um dos primeiros itens a definirem padrões. A GSI visa identificar os riscos e implantar medidas que de forma efetiva tornem estes riscos gerenciáveis e minimizados.
A NBR ISO IEC 17799:2005 é um código de práticas de GSI. Sua importância pode ser dimensionada pelo número crescente de pessoas e variedades de ameaças a que a informação é exposta na rede de computadores.
2.2 Os objetivos explícitos desta norma são:
Estabelecer um referencial para as organizações desenvolverem, implementarem e avaliarem a gestão da segurança de informação.
Em sua documentação a ABNT NBR-ISO/IEC-17799:2005 aborda 11 tópicos principais:
• 1. PSI - onde descreve a importância e relaciona os principais assuntos que devem ser abordados numa política de segurança.
• 2. Segurança organizacional - aborda a estrutura de uma gerência para a SI, assim como aborda o estabelecimento de responsabilidades incluindo terceiros e fornecedores de serviços.
• 3. Classificação e controle de ativos de informação - trabalha a classificação, o registro e o controle dos ativos da organização.
• 4. Segurança em pessoas - tem como foco o risco decorrente de atos intencionais ou acidentais feitos por pessoas. Também é abordada a inclusão de responsabilidades relativas à segurança na descrição dos cargos, a forma de contratação e o treinamento em assuntos relacionados à segurança.
• 5. Segurança ambiental e física - aborda a necessidade de se definir áreas de circulação restrita e a necessidade de proteger equipamentos e a infra-estrutura de tecnologia de Informação.
• 6. Gerenciamento das operações e comunicações - aborda as principais áreas que devem ser objeto de especial atenção da segurança. Dentre estas áreas destacam-se as questões relativas a procedimentos operacionais e respectivas responsabilidades, homologação e implantação de sistemas, gerência de redes, controle e prevenção de vírus, controle de mudanças, execução e guarda de backup, controle de documentação, segurança de correio eletrônico, entre outras.
• 7. Controle de acesso - aborda o controle de acesso a sistemas, a definição de competências, o sistema de monitoração de acesso e uso, a utilização de senhas, dentre outros assuntos.
• 8. Desenvolvimento e manutenção de sistemas - são abordados os requisitos de segurança dos sistemas, controles de criptografia, controle de arquivos e segurança do desenvolvimento e suporte de sistemas.
• 9. Gestão de incidentes de segurança - incluída na versão 2005, apresenta dois itens: Notificação de fragilidades e eventos de segurança da informação e gestão de incidentes de segurança da informação e melhorias.
• 10. Gestão da continuidade do negócio - reforça a necessidade de se ter um plano de continuidade e contingência desenvolvido, implementado, testado e atualizado.
• 11. Conformidade - aborda a necessidade de observar os requisitos legais, tais como a propriedade intelectual e a proteção das informações de clientes
3. Entendendo a NBR 27001
3.1 Processo de Gestão
A abordagem de processo para a GSI apresentada nesta norma encoraja que seus usuários enfatizem a importância de:
a-) entendimento dos requisitos de SI de uma organização e da necessidade de estabelecer uma política e objetivos para a SI;
b-) implantação e operação de controles para gerenciar os riscos de SI de uma organização no contexto dos riscos de negócio globais da organização;
c-) monitoração e analise crítica do desempenho e eficácia do SGSI; e
d-) melhoria contínua baseada em medições objetivas.
Para a execução e implantação desta norma, é sugerido uma atuação baseada no modelo PDCA.
"Plan-Do-Check-Act"(PDCA)
“Plan” – Planejar – Estabelecer o SGSI – Estabelecer a política, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização.
“Do” – Fazer – Implementar e Operar o SGSI - Implementar e operar as políticas, controles, processos e procedimentos do SGSI.
“Check” – Checar/Monitorar/Analisar Criticamente – Avaliar e, quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiências práticas do SGSI e apresentar os resultados para a analise crítica pela direção.
“Act” – Agir – Manter e melhorar o SGSI – Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI. (ABNT ISO/IEC-27001)
3.1 Norma ABNT NBR ISO/IEC-27001-2005
“- A nova família da série ISO IEC 27000-27009 está relacionada com os requisitos mandatários da ISO/IEC 27001:2005, como, por exemplo, a definição do escopo do SGSI, a avaliação de riscos, a identificação de ativos e a eficácia dos controles implementados.” (Módulo Security- acesso 01/11/2006 - http://www.modulo.com.br/checkuptool/artigo_15.htm)
Esta Norma promove a adoção de uma abordagem de processo para estabelecer e implementar, operar, monitorar, analisar criticamente, manter e melhorar o SGSI- Sistema de Gerenciamento da Segurança da Informação, de uma organização.
Para esta abordagem, a norma orienta à observação de um conjunto de ações e tarefas. Estas ações devem ser planejadas visando à eficiência de sua aplicação.
Destaco como pontos importantes para a aplicabilidade da norma as ações referidas em 3.2, destaco ainda que todas as ações propostas devam ser discutidas e aperfeiçoadas em conjunto com os usuários envolvidos. Assim o sendo, a aplicabilidade torna-se um consenso e uma regra apoiada por todos. Obter o envolvimento e aprovação da direção é outro ponto fundamental para a adoção da regra.
3.2 Tabela dos principais requisitos referenciados na ABNT-NBR-27001
O planejamento das ações relativas à norma deve atender a um conjunto de requisitos. Na tabela a seguir apresento alguns destes macro requisitos.
Requisitos gerais
4.2 - Estabelecendo e Gerenciando o SGSI.
4.2.1 - Estabelecer o SGSI.
4.2.2 - Implementar e operar o SGSI.
4.2.3 - Monitorar e analisar criticamente o SGSI.
4.2.4 - Manter e melhorar o SGSI.
4.3 – Requisitos de Documentação
4.3.1 – A documentação de SGSI deve incluir. (disponibilize, publique, torne público)
4.3.2 – Controle de documentos. (disponibilize, publique, torne público)
4.3.3 –Controle de registros
5 – Responsabilidade da direção.
5.1 – Comprometimento da direção
5.2 – Gestão de Risco
5.2.1 – Provisão de Recursos.
5.2.2 – Treinamento, conscientização e competência
6 – Auditorias internas.
6.1 – Questões a serem auditadas.
7 – Analise crítica do SGSI.
7.1 – Analisar com periodicidade, ao menos uma vez por ano.
7.2 - Entradas para analise crítica.
7.3 – Saídas da analise crítica.
8 – Melhoria do SGSI.
8.1 – Melhoria continuada.
8.2 – Ação corretiva.
8.3 – Ação preventiva.
Estes macro requisitos devem ser observados e seguidos para a composição do SGSI.
Vocabulário referencial para SI
Ativo – qualquer coisa que tenha valor para a organização. [ISO/IEC 13335-1:2004]
Disponibilidade – propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada. [ISO/IEC 13335-1:2004]
Confiabilidade – propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados. [ISO/IEC 13335-1:2004]
Segurança da informação – preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas. [ABNT NBR ISO/IEC 17799:2005]
Evento de segurança da Informação – uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação. [ISO/IEC TR 18044-1:2004]
Incidente de Segurança da Informação – um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. [ISO/IEC TR 18044-1:2004]
SGSI – Sistema de gestão da segurança da informação – a parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação. (nota o sistema de gestão inclui estrutura organizacional, políticas, atividades de planejamento, responsabilidades, práticas, procedimentos, processos e recursos).
Integridade – propriedade de salvaguarda da exatidão e completeza de ativos. [ISO/IEC 13335-1:2004]
Risco residual – risco remanescente após o tratamento de riscos. [ABNT ISO/IEC Guia 73:2005]
Aceitação do risco – decisão de aceitar um risco. [ABNT ISO/IEC Guia 73:2005]
Análise de riscos – uso sistemático de informações para identificar fontes e estimar o risco. [ABNT ISO/IEC Guia 73:2005]
Análise/Avaliação de riscos – processo completo de analise e avaliação de risco. [ABNT ISO/IEC Guia 73:2005]
Avaliação de riscos – processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco. [ABNT ISO/IEC Guia 73:2005]
Gestão de risco – atividade coordenada para direcionar e controlar uma organização no que se refere a risco. (nota- A gestão de riscos geralmente inclui a análise/avaliação de riscos, o tratamento de riscos, a aceitação de riscos e a comunicação de riscos. [ABNT ISO/IEC Guia 73:2005]
Tratamento do risco – processo de selleção e implementação de medidas para modificar um risco. [ABNT ISO/IEC Guia 73:2005]
Declaração de aplicabilidade – declaração documentada que descreve os objetivos de controle e controles que são pertinentes e aplicáveis ao SGSI da organização.
Comentários