ISO/IEC 17799

Norma de Segurana da
Informao
Fernando Benedet Ghisi
Vitor Luiz Barboza

Wesley Tiago Zapellini

Segurana da Informao

Segurana da Informao

Segundo a norma ISO/IEC 17799, a proteo

contra um grande nmero de ameaas s
informaes, de forma a assegurar a
continuidade do negcio, minimizando danos
comerciais e maximizando o retorno de
possibilidades e investimentos.
o conceito no est restrito somente a sistemas
computacionais, informaes eletrnicas ou
sistemas de armazenamento. Se aplica a todos
os aspectos de proteo de informaes.

Exemplo

A Bolsa de Tquio, 8 de Janeiro de 2006:

Queda acentuada da bolsa;

Alto volume de transaes;
Sistema prximo a atingir sua capacidade
mxima (estrutura tecnolgica);
Fechamento das operaes 20 minutos mais
cedo.
Inmeros prejuzos.

A trade CIA

Confidencialidade: a garantia de que a

informao s pode ser acessada e
manipulada por pessoas autorizadas, ou
seja, ela restrita a um conjunto de
entidades, que podem ser seres humanos ou
podem ser um sistema eletrnico.
Integridade: implica que toda vez que uma
informao manipulada ela est
consistente, ou seja, que no foi alterada ou
adulterada por um acesso legal ou ilegal.

A trade CIA

Disponibilidade das Informaes Crticas:

garantia de que uma informao sempre
poder ser acessada, pelas pessoas e
processos autorizados, independentemente
do momento em que ela requisitada e do
local no qual est armazenada.
*as ameaas segurana da informao so
relacionadas diretamente perda de uma de
suas trs caractersticas principais.

NORMA ISO/IEC 17799

Compilao de recomendaes para melhores

prticas de segurana, que podem ser aplicadas
por empresas de qualquer porte ou setor.
Padro flexvel, nunca guiando seus usurios a
seguirem uma soluo de segurana especfica em
detrimento de outra.
Neutra com relao tecnologia.
O grande objetivo da norma o de garantir a
continuidade dos negcios por meio da
implantao de controles, reduzindo muito as
possibilidades de perda das informaes.

Histrico

Em 1987 o departamento de comrcio e indstria

do Reino Unido (DTI) criou um centro de
segurana de informaes, o CCSC (Commercial
Computer Security Centre).
Tarefa de criar uma norma de segurana das
informaes para o Reino Unido.
Desde 1989 vrios documentos preliminares foram
publicados por esse centro, at que, em 1995,
surgiu a BS7799 (British Standart 7799).
Esse documento foi disponibilizado em duas partes
para consulta pblica, a 1 em 1995 e a 2 em
1998.

Histrico

Em 1 de dezembro de 2000, aps incorporar

diversas sugestes e alteraes, a BS7799 ganhou
status internacional com sua publicao na forma
da ISO/IEC 17799:2000.
Em setembro de 2001, a ABNT homologou a
verso brasileira da norma, denominada NBR
ISO/IEC 17799.
Em 24 de abril de 2003 foi realizado um encontro
em Quebec, no qual uma nova verso da norma
revisada foi preparada. Essa nova verso da
ISO/IEC 17799 foi lanada 2005.

NBR ISO/ IEC 17799:2005

Tecnologia de Informao Tcnicas de

Segurana Cdigo de prtica para a gesto
da segurana da informao
(http://www.abntnet.com.br/fidetail.aspx?Font
eID=6955).
Possui onze sees de controle (macrocontroles).
Cada um destes controles subdividido em
vrios outros controles (a norma possui um
total de 137 controles de segurana).

1. Poltica de Segurana da
Informao

Documento que define parmetros para

gesto da Segurana da Informao;

Padres a serem seguidos e aes a serem

tomadas;
Descreve processos relativos segurana;
Descreve responsabilidades sobre os processos;
Deve ser apoiado pela gerncia;
Deve ser abordado em treinamentos;

2. Segurana da Organizao

Infra-estrutura de Segurana da Informao:

Define a infra-estrutura para gerncia da

segurana da informao;
As responsabilidades e as regras devem estar
claramente definidas;
Um gestor para cada ativo do ambiente;
Incluso de novos recursos feita sob autorizao
de um responsvel;
Consultor interno ou externo disponvel para
atuar em suspeitas de incidentes de segurana.

2. Segurana da Organizao

Segurana de acesso a terceiros:

Controle de acesso locais crticos;

Tipo do controle definindo conforme riscos e valor
da informao;
Presena de terceiros mediante autorizao e
acompanhamento;
Servios terceirizados regulamentados por
contrato;

2. Segurana da Organizao

Terceirizao:

Acordo contratual, flexvel para suportar

alteraes nos procedimentos;

3. Controle e Classificao de
Ativos

Contabilizao dos ativos:

Mapeia todos os ativos da informao e atribui

responsveis;
Associa ativos com nveis de segurana;

Classificao da Informao:

Define a importncia de um ativo;

Definio pode variar com o tempo;

4. Segurana em Pessoas
Segurana na definio e nos recursos
de trabalho:

Diminuio dos riscos provenientes da

atividade humana, como roubo de
informaes;
Contratos devem abordar questes de sigilo
e segurana;

Treinamento dos usurios:

Capacitar para o bom funcionamento das

polticas de segurana;

4. Segurana em Pessoas
Respondendo aos incidentes de
segurana e mau-funcionamento:

Diminuio de danos causados por falhas;

Sistema de comunicao de incidentes;
Aprendizado armazenado em bases de
conhecimento;

5. Segurana Fsica e do
Ambiente

reas de segurana:

Equipamentos de segurana:

Controle de acesso reas restritas;

Nvel de proteo proporcional aos riscos e importncia;
Podem ser utilizados mecanismos de autenticao e
vigilncia (cmeras);
Proteo fsica dos equipamentos contra ameaas do
ambiente (rede eltrica, contato com substncias);
Proteo do cabeamento de rede;

Controles gerais:

Diminuem o vazamento de informaes;

Poltica Tela limpa, mesa limpa. O acesso negado s
informaes sendo trabalhadas no momento;

Governana da Segurana da
Informao

As decises a respeito da segurana da

informao no so discutidas a nvel
estratgico;
A falta de investimento em segurana pode
trazer problemas ao planejamento
estratgico da organizao;
(BALBO 2007) prope a criao de um
modelo baseado em ISO/IEC 17799, ITIL e
COBIT;

6. Gesto das comunicaes e

das operaes

Visa disponilizar mecanismos para o controle

da troca de informaes dentro e fora da
organizao.

1.

Planejamento e Aceitao dos Sistemas

Proteo contra softwares maliciosos
Gerncia de Rede
Segurana e Manuseio de Mdias
Housekeeping
Troca de Informaes e Softwares
Procedimentos e Responsabilidades Operacionais

2.

3.
4.
5.
6.

7.

7. Controle de acesso

Este controle visa evitar problemas de

seguranas decorrentes do acesso lgico
indevido a informao no privilegiada por
parte de certos usurios.

1.

Requisitos do negcio para controle de acesso

Gerncia de acesso dos usurios
Responsabilidade dos usurios
Controle de Acesso ao Sistema Operacional
Controle de Acesso s aplicaes
Computao mvel e trabalho remoto
Notificao do uso e acesso ao sistema
Controle de Acesso rede

2.
3.
4.
5.
6.
7.

8.

8. Manuteno e
desenvolvimento de Sistemas

Fornece critrios para o desenvolvimento de sistemas confiveis.

A segurana deve ser abordada desde a fase de modelagem do
sistema, inserindo-se os controles de segurana na fase de
iniciao de projetos.
Objetiva evitar que aplicaes comprometam a integridade e
confidencialidade dos dados, atravs da validao da entrada e
sada de dados e de verificaes peridicas sobre os dados.
Deve-se garantir a integridade de arquivos associados a aplicaes,
controlando-se o acesso aos dados armazenados, deve-se tambm
fornecer um sistema de controle de alteraes e atualizaes de
arquivos.

9. Gesto da continuidade dos

negcios

A gesto da continuidade dos negcios tem

por objetivo evitar interrupes nas
atividades do negcio e proteger processos
crticos do negcio contra os efeitos de
grandes falhas ou desastres.

10. Conformidade

Trata aspectos legais ligados a segurana.

Objetiva evitar infrao de qualquer lei civil e criminal,

estatutria, regulamentadora ou de obrigaes
contratuais e de quaisquer requisitos de segurana.

Visa a garantia de que a poltica e as normas de

segurana so seguidas

Garantir que processos de auditoria existam e sejam

planejados e testados.

Checklist ISO 17799

Elaborado pelo instituto americano SANS (System

Administration, Networking and Security Institute)
mais de 156 mil profissionais de segurana,
auditores, administradores de sistemas e redes.
Direcionado aos profissionais de TI e Segurana da
Informao que necessitam auditar o nvel de
segurana de suas empresas.

http://www.sans.org/score/checklists/ISO_17799_checklist.
pdf
Verso no-oficial em PT:
http://www.linuxsecurity.com.br/info/general/iso17799.chec
klist.pt-BR.pdf

Consideraes Finais

A segurana da informao est relacionada

com o faturamento de uma empresa, sua
imagem e sua reputao.
As conseqncias de incidentes de segurana
podem ser desastrosas, mas podem ser
evitadas.
A ISO17799 cobre os mais diversos tpicos da
rea de segurana, possuindo um grande
nmero de controles e requerimentos que
devem ser atendidos para garantir a segurana
das informaes de uma empresa.

Consideraes Finais

A norma intencionalmente flexvel e genrica.

O processo de implantao da Norma de
Segurana a um determinado ambiente no
simples e envolve muitos passos.
a ISO17799 pode ser considerada a norma mais
importante para a gesto da segurana da
informao que j foi elaborada ela estabelece
uma linguagem internacional comum para todas as
organizaes do mundo.
Dever se tornar uma ferramenta essencial para
empresas de qualquer tipo ou tamanho.

Referncias Bibliogrficas

ABNT NET. Associao Brasileira de Normas Tcnicas. Disponvel em:

http://www.abntnet.com.br/.
ABNT NBR ISO/IEC 17799. Segunda Edio. Disponvel em:
http://www.scribd.com/doc/2449992/Abnt-Nbr-Isoiec-17799-Tecnologia-daInformacao-Tecnicas-de-Seguranca-Codigo-de-Pratica-para-a-Gestao-daSeguranca-da-Informacao.
IDG Now!. Bolsa de Tquio fecha mais cedo por pane em TI. Disponvel em:
http://idgnow.uol.com.br/mercado/2006/01/18/idgnoticia.2006-0206.6752227625/.
InformaBR. Segurana: 27 questes freqentemente formuladas sobre as
normas BS e ISO17799. Disponvel em: http://www.informabr.com.br/nbr.htm.
ISO 17799 World. Disponvel em: http://17799.macassistant.com/
Mdulo. 10 Pesquisa Nacional de Segurana da Informao. 2006.
OLIVEIRA BALDO, Luciano de. Uma Abordagem Correlacional dos Modelos
CobiT/ ITIL e da Norma ISO 17799 para o tema Segurana da Informao .
So Paulo 2007.

Referncias Bibliogrficas

GONALVES, L. R. O. O surgimento da Norma Nacional de Segurana de

Informao [NBR ISO/IEC-1779:2001]. 2004. Disponvel em:
http://www.lockabit.coppe.ufrj.br/rlab/rlab_textos.php?id=85.
GORISSEN, MAXIMILIAN. Poltica de Segurana da Informao: A norma
ISO 17799.
ISO 17799: Information and Resource Portal. Disponvel em:
http://17799.denialinfo.com/.
JUNIOR, A. F. NOVA NORMA GARANTE SEGURANA DA INFORMAO.
Disponvel em: http://www.serasa.com.br/serasalegal/05-fev-02_m2.htm.
The A-Z Guide for ISO 27001 and ISO 17799/ ISO 27002. Disponvel em:
http://www.17799central.com/.
VETTER, Fausto; REINERDT, Jonatas Davson. ISO/IEC 17799: Norma de
Segurana da Informao. Florianpolis 2007.
WIKIPDIA. Segurana da Informao. Disponvel em:
http://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o.