CURSO SOBRE GESTO DA SEGURANA DA

INFORMAO, BASEADO NA NORMA

NBR ISO IEC 17799:2001

R ev: 0
Data:28.03.2005

Nota importante: Material para uso exclusivo dos alunos da Academia

Latino Americana de Segurana da Informao. Outras organizaes ou
instituies interessadas em usar este material devem enviar um pedido
formal a CQSI, pelo e-mail cqsisecure@aol.com

CONTEDO PROGRAMTICO
MDULO I:A IMPORTNCIA DA SEGURANA DA
INFORMAO PARA AS ORGANIZAES
MDULO II:CONCEITOS E DEFINIES
MDULO III:POLTICA DE SEGURANA DA
INFORMAO E SEGURANA ORGANIZACIONAL
MDULO IV:CLASSIFICAO E CONTROLE DOS
ATIVOS DE INFORMAO E SEGURANA EM
PESSOAS
MDULO V:SEGURANA FSICA E DO AMBIENTE E
GERENCIAMENTO DAS OPERAES E
COMUNICAES
MDULO VI:CONTROLE DE ACESSO E
DESENVOLVIMENTO E MANUTENO DE SISTEMAS
MDULO VII:GESTO DA CONTINUIDADE DO NEGCIO
E CONFORMIDADE
MDULO VIII:CASES STUDIES

MDULO I: A IMPORTNCIA DA SEGURANA DA INFORMAO

PARA AS ORGANIZAES
Cada vez mais no mundo dos negcios percebe-se, nitidamente, a
importncia de se proteger as informaes de uma organizao em relao
aos seus trs principais componentes, que so a confidencialidade a
integridade e a disponibilidade.
A informao um dos ativos de grande importncia para a organizao e
que, portanto, precisa ser muito bem protegida.
Vivemos atualmente em um mundo online onde a informao, cada vez mais,
est exposta a um elevado nmero de ameaas e vulnerabilidades.
Ao implantar um modelo de gesto da segurana da informao baseado nas
melhores prticas existentes no mercado, como a norma NBR ISO IEC
17799, as organizaes protegem as suas informaes das ameaas e
vulnerabilidades, assegurando com isto a continuidade dos seus negcios e
minimizando os riscos a que esto expostas.
Esta proteo feita a partir da implementao dos controles definidos na
norma NBR ISO IEC 17799. A depender da situao, outros controles alm
dos definidos na norma, podero tambm ser implementados.
Quando nos referimos s informaes, estas podem existir sob vrias formas
e podem estar armazenadas em diversos meios, a saber:

Armazenadas nos computadores

Transmitida por meio de redes
Impressa ou escrita em papel
Enviada por fax
Guardadas em fitas ou discos
Nos notebooks e palmtops
Armazenadas em dispositivos do tipo flash memory
Nos telefones celulares

PORQUE ADOTAR A NBR ISO IEC 17799

De um modo geral, as normas publicadas pela Organizao Internacional de
Normalizao, a ISO, tm uma grande aceitao no mercado. Um exemplo
disto a norma ISO 9001:2000, que trata da Gesto da Qualidade,
considerada como a mais difundida norma da ISO que existe no mundo.
No caso da NBR ISO IEC 17799 que um Cdigo de Boas Prticas para a
Segurana da Informao, a sua aplicao um pouco mais restrita que a
ISO 9001:2000, pois ela no uma norma voltada para fins certificao.

Entretanto, a NBR ISO IEC 17799 pode ser usada pela maioria dos setores
da economia, pois todas as organizaes, independentemente do seu porte
ou do ramo de atuao, precisam proteger as suas informaes sensveis e
crticas.
Embora existam normas sobre segurana da informao em vrios pases,
essas normas no tm a abrangncia da ISO IEC 17799, que no momento
est sendo atualizada e melhorada por um grupo de mais de 50 especialistas
de todas as partes do mundo.Foram cerca de trs anos de trabalho,
analisando mais de 1000 comentrios ao projeto da ISO IEC 17799.
A nova ISO IEC 17799, que estar disponvel a partir do segundo semestre
de 2005, uma norma global e que reflete os mais modernos conceitos
mundiais sobre Gesto da Segurana da Informao.
Os participantes deste curso precisaro fazer uma atualizao em relao
nova norma, a partir de setembro de 2005.

MDULO II :CONCEITOS E DEFINIES

Para os efeitos deste curso, aplicam-se as seguintes definies:
1 Ativo:qualquer coisa que tenha valor para a organizao
13335-1:2004)

(ISO/IEC IS

2 Recursos de processamento da informao:qualquer sistema de

processamento da informao, servio ou infra-estrutura, ou as instalaes
fsicas que os abriguem.
3 Segurana da Informao:preservao da confidencialidade, integridade
e disponibilidade da informao
4 Confidencialidade:garantia de que a informao acessvel somente por
pessoas autorizadas a terem acesso (NBR ISO IEC 17799:2000)
5 Integridade:salvaguarda da exatido e completeza da informao e dos
mtodos de processamento (NBR ISO IEC 17799:2000)
6 Disponibilidade:garantia de que os usurios autorizados obtenham
acesso informao e aos ativos correspondentes sempre que necessrio
(NBR ISO IEC 17799:2000)

7 Incidente
18044:2004)

de

segurana

da

informao:pendente(ISO/IEC

TR

9 Avaliao de risco:Processo global da anlise de risco e da valorao do

risco (ISO Guide 73:2002)
10 Tratamento do risco : processo de seleo e implementao de medidas
para modificar um risco (ISO Guide 73:2002)
11 Ameaa :causa potencial de um incidente indesejado, que pode resultar
em dano para um sistema ou para a organizao (ISO/IEC IS 13335-1:2004)
12 Vulnerabildade: fragilidade de um ativo ou grupo de ativos que pode ser
explorada por uma ameaa

MDULO III:POLTICA DE SEGURANA DA INFORMAO E

SEGURANA ORGANIZACIONAL
As principais recomendaes da NBR ISO IEC 17799 esto detalhadas nas
10 clusulas, nos 36 objetivos de controles e nos 127 controles da norma.
Deve-se deixar claro que nem todos os controles so, necessariamente,
aplicados a uma determinada organizao e que, a depender da situao,
controles adicionais podem ser recomendados.
Convm tambm esclarecer que a implantao dos requisitos da NBR ISO
IEC 17799 no garante, sob hiptese alguma, 100% de segurana.
O que se procura, isto sim, reduzir as ameaas e as vulnerabilidades a um
nvel aceitvel pela organizao.
A seguir so apresentados alguns dos principais controles recomendados
pela NBR ISO IEC 17799, acrescidos de sugestes em funo da experincia
do instrutor na implantao de Sistemas de Gesto da Segurana da
Informao.
Cada mdulo acompanhado com exerccios de fixao de conceitos.
Recomenda-se ao aluno da Academia Latino Amrica de Segurana da
Informao a leitura da norma NBR ISO IEC 17799:2001 . A norma pode ser
adquirida acessando o site www.abnt.org.br, ou o e-mail ....... (pendente).
3.POLTICA DE SEGURANA
Poltica de segurana da informao (item 3.1 da NBR ISO IEC 17799)
O principal objetivo deste controle fornecer alta direo, orientaes e
diretrizes relativas segurana da informao.

Uma das formas da alta direo demonstrar o seu comprometimento com a

segurana da informao por meio da publicao de uma poltica de
segurana da informao. Esta poltica deve ser assinada pela alta direo e
analisada criticamente a intervalos regulares para garantir que ela permanece
atualizada frente aos riscos advindos de mudanas ocorridas neste perodo
que possam afetar o ambiente organizacional.
Todos os usurios dos recursos de processamento da informao da
organizao, ou seja, funcionrios, prestadores de servios, pessoal
temporrio, estagirios, consultores, devem ser treinados na poltica de
segurana da informao.
A poltica deve contemplar os seguintes itens: atendimento legislao e aos
requisitos contratuais, esforos da organizao em relao educao e
treinamento em segurana da informao, conseqncias decorrentes das
violaes nas polticas e nos procedimentos de segurana da informao e
como a organizao assegura a continuidade dos seus negcios. A poltica
deve enfatizar a importncia da organizao preservar a confidencialidade, a
integridade e disponibilidade das suas informaes.
4.SEGURANA ORGANIZACIONAL
Infra-estrutura da segurana da informao (item 4.1 da NBR ISO IEC
17799)
O principal objetivo deste controle garantir que a segurana da informao
tenha um bom gerenciamento.
A norma recomenda que seja criada uma estrutura para estabelecer,
implementar e monitorar a segurana da informao dentro da organizao.
Isto pode ser feito de vrias formas, como por exemplo, por meio de um
comit ou de um frum de segurana da informao. desejvel que este
frum seja liderado pela alta direo.
As organizaes que tm tido sucesso na implantao de sistemas de gesto
da segurana da informao contam com a ativa participao da alta direo.
Como costuma dizer um renomado Guru da rea de gesto: Sem o
comprometimento da alta direo, nenhum modelo de gesto ser bem
sucedido.
De um modo geral a organizao cria um comit de gesto da segurana da
informao ou incorpora as atribuies de segurana da informao, em um
comit j existente.
Destacam-se como principais atribuies deste comit ou frum:
a)Propor, analisar criticamente e aprovar a poltica de segurana da
informao;
b)Estar atento s ameaas que os ativos de informao esto expostos, face
s constantes mudanas que ocorrem no ambiente da organizao;
c)Monitorar, periodicamente, os incidentes de segurana da informao que
causem impacto aos negcios da organizao, evitando a sua repetio e,

onde possvel, identificar potenciais incidentes de segurana da informao

para prevenir que eles ocorram.
recomendvel que representantes de reas como a Jurdica, Recursos
Humanos e Segurana Patrimonial, alm da rea de Tecnologia da
Informao participem deste comit.
Em funo das constantes mudanas que hoje passa uma organizao, em
termos de reestruturao organizacional, introduo de novas tecnologias,
novas regulamentaes definidas pelos organismos competentes, o comit
deve se reunir, no mnimo, a cada trs meses.
Novas instalaes, atualizaes, re-configuraes ou quaisquer trabalhos
feitos na infra-estrutura de segurana da informao, devem ser aprovados
nos nveis apropriados, inclusive pelo gestor de segurana da informao,
tecnicamente validados e documentados.
Para avaliar a eficcia da implementao da poltica de segurana da
informao recomendvel que ela seja analisada criticamente, de forma
independente, demonstrando assim que as prticas da organizao esto
alinhadas com as suas polticas, normas e procedimentos.
Segurana no acesso de prestadores de servios (item 4.2 da NBR ISO
IEC 17799)
O principal objetivo deste controle garantir a segurana dos recursos de
processamento da informao e dos ativos de informao da organizao,
que so acessados pelos prestadores de servios.
Cada vez mais as organizaes buscam repassar as atividades que no
constituem a sua principal finalidade, para outras empresas. Este nmero
vem crescendo a cada dia.
Estima-se que, atualmente, entre 30 a 50% da fora de trabalho de uma
organizao seja constituda de pessoas de outras empresas.Muitas dessas
pessoas acessam, processam e, s vezes at operam os recursos de
processamento da informao da organizao.Por esta razo, torna-se
indispensvel definir uma poltica para o acesso dos prestadores de servios.
O acesso do prestador de servio tanto pode ser fsico como, por exemplo,
acesso aos escritrios, salas de computadores, salas de reunies, ou lgico,
como por exemplo, acesso ao banco de dados ou aos sistemas de
informao da organizao.
Qualquer que seja o tipo de acesso recomenda-se tomar cuidados especiais
para evitar implicaes segurana da informao.
So exemplos de prestadores de servios, as equipes de suporte de software
e hardware, parceiros comerciais, pessoal de limpeza, guardas de
segurana, estagirios, consultores, pessoal contratado de curta durao.

O primeiro passo, portanto, avaliar os riscos dos prestadores de servios

que acessam os recursos de processamento da informao e os ativos de
informao da organizao e ento identificar quais controles devem ser
implementados para minimizar esses riscos.
Terceirizao (item 4.3 da NBR ISO IEC 17799)
O principal objetivo deste controle garantir a segurana da informao,
quando o seu processamento repassado para uma outra organizao.
Uma das formas de proteger a organizao contra os riscos da terceirizao
ter um contrato assinado que definam claramente quais os requisitos de
segurana da informao, os controles a serem implementados e as
responsabilidades de ambas as partes.
Destacam-se como principais recomendaes da norma:
a)Considerar os requisitos legais a serem atendidos como, por exemplo, o
relativo proteo de dados;
b)Deixar claro quais so as responsabilidades pela segurana da informao
das partes envolvidas, no esquecendo de incluir os subfornecedores,
quando for o caso;
c)Informar como a confidencialidade e integridade sero mantidas, e como a
disponibilidade dos servios ser assegurada em caso de desastre ou falha
significativa;
d)Definir quais os nveis de segurana fsicos para os ativos terceirizados;
e)Estar ciente de que a organizao tem o direito de auditar.

EXERCCIOS DE FIXAO DE CONCEITOS

MDULO III:POLTICA DE SEGURANA DA INFORMAO E
SEGURANA ORGANIZACIONAL
NOME:
ORGANIZAO:
ASSINALE AS QUESTES ABAIXO, CONFIRMANDO(C) OU NO(NC), SE
SO RECOMENDAES DA NORMA NBR ISO IEC 17799
Recomenda-se ao aluno da Academia Latino Americana de Segurana
da Informao a leitura da norma NBR ISO IEC 17799:2000
Perguntas adicionais ao texto terico apresentado so tambm
colocadas para estimular o raciocnio do estudante e enriquecer os
seus conhecimentos sobre a norma.
1.A poltica de segurana da informao s deve ser do conhecimento dos
funcionrios da sua Organizao.
( )C
( )NC

2. A poltica de segurana da informao de uma organizao deve ser

analisada a cada 5 anos.
( )C
( )NC
3.A Poltica de Segurana da Informao pode ser assinada pelo Gestor da
Segurana da Informao.
( )C
( )NC
4.Os incidentes de segurana significativos no precisam, necessariamente,
ser discutidos na reunio do Comit de Gesto da Segurana da Informao.
( )C
( )NC
5.A Alta direo participa das reunies do Comit de Gesto da Segurana
da informao e preside o Comit.
( )C
( )NC
6.Os assuntos tratados nas reunies do Comit de Gesto da Segurana da
informao, no precisam ser formalmente registrados.
( )C
( )NC
7.Os responsveis pelos ativos de informao esto claramente definidos,
porm as suas responsabilidades no constam nas descries de funes
ou em documento equivalente.
( )C
( )NC
8.A introduo de um novo software ou hardware, no necessariamente,
precisa de aprovao.
( )C
( )NC
9.O Gestor da Segurana da Informao tem que tomar conhecimento da
utilizao de novos recursos de processamento da informao
( )C
( )NC
10.A anlise crtica independente, da implementao da poltica de
segurana da informao, no faz parte das atividades de um Sistema de
Gesto da Segurana da Informao
( )C
( )NC
11.O acesso dos prestadores de servios aos recursos de processamento da
informao precisam ser controlados.

( )C
( )NC
12.As equipes de suporte de software e hardware, que acessam os sistemas
de informaes ou compartilham as bases de dados no precisam ser
contempladas na avaliao de Risco
( )C
( )NC
13.Na identificao dos riscos, feita pela Avaliao de Risco, necessrio
considerar o pessoal da limpeza, os guardas de segurana e os consultores.
( )C
( )NC
14.Os contratos com os prestadores de servios que acessam os recursos de
processamento da informao, precisam fazer referncia aos requisitos de
segurana.
( )C
( )NC

15.O tipo de acesso dado aos prestadores de servios, seja fsico ou lgico,
precisa estar formalmente definido
( )C
( )NC
16.O acesso dos prestadores de servios informao e aos recursos de
processamento da informao, pela urgncia do trabalho, pode ser permitido,
antes da assinatura de um termo de confidencialidade e do cumprimento da
poltica de segurana da organizao
( )C
( )NC
17.O contrato com terceiros deve contemplar a indenizao a ser paga
organizao, nos casos de violao s normas e polticas da empresa
( )C
( )NC
18.O contrato com terceiros no precisa fazer meno aos eventuais subcontratados
( )C
( )NC

19.O contrato com terceiros deve assegurar o direito de auditar, monitorar e

de revogar as atividades do usurio
( )C
( )NC
20.Quando da terceirizao dos servios, devem ser definidos quais os
controles fsicos e lgicos a serem adotados, e como a disponibilidade dos
servios ser mantida em caso de desastre
( )C
( )NC

MDULO IV:CLASSIFICAO E CONTROLE DOS ATIVOS DE

INFORMAO E SEGURANA EM PESSOAS
5. CLASSIFICAO E CONTROLE DOS ATIVOS DE INFORMAO
Contabilizao dos ativos (item 5.1 da NBR ISO IEC 17799)
O principal objetivo deste controle assegurar que os ativos de informao
da organizao tenham proteo adequada.
Uma das formas de assegurar esta proteo realizar um inventrio de todos
os principais ativos e definir um responsvel por cada um desses ativos. A
organizao deve manter uma lista atualizada dos seus ativos, deixando
claro quem responsvel por esta atualizao.
So exemplos de ativos:ativos de informao (manuais, normas,
procedimentos que apiam as operaes, planos de continuidade), ativos de
software(aplicativos, utilitrios), ativos fsicos(PC, notebooks, roteadores,
celulares, mdias, no-break) e servios (servios de comunicao,
refrigerao)
A lista de inventrios deve definir, como mnimo, o nmero do ativo, a sua
classificao, quem o responsvel pelo ativo e a sua localizao.A lista
deve contemplar os ativos que so necessrios para assegurar a integridade
e disponibilidade da informao, como por exemplo, o fornecimento de
energia, as redes de incndio, os cofres de segurana, os planos de
recuperao de desastres, entre outros.
Classificao da informao (item 5.2 da NBR ISO IEC 17799)
O principal objetivo deste controle garantir uma proteo adequada dos
ativos de informao da organizao.
Uma das formas de proteo restringir o acesso informao apenas s
pessoas que dela precisam para executar as suas atividades. Isto feito por
meio da classificao da informao, que indica a importncia e o nvel de
proteo requerido.

Convm lembrar que a classificao deve ser feita apenas para as

informaes crticas e sensveis da organizao.
A norma recomenda que seja adotado um sistema de classificao, definindo
quais os nveis de proteo e que medidas especiais devem ser empregadas
para o tratamento da informao.
Este sistema, por exemplo, pode considerar trs nveis de classificao:
interno, confidencial e altamente confidencial.
Uma informao deve ser classificada como interno quando a sua
divulgao no autorizada, principalmente fora da organizao seria
inadequada ou inconveniente.

Uma informao deve ser classificada como confidencial quando a sua

divulgao no autorizada, mesmo dentro da organizao, pode causar
danos organizao. So exemplos de informaes classificadas como
confidencial:propostas comerciais, informaes de marketing, avaliao de
concorrentes, informaes sobre clientes, informaes sobre os funcionrios
Uma informao deve ser classificada como altamente confidencial quando
a sua divulgao no autorizada, mesmo dentro da organizao, pode causar
srios prejuzos aos negcios e imagem da organizao. So exemplos de
informaes classificadas como altamente confidencial: detalhes sobre
aquisies importantes e fuses, negcios de alto nvel, estratgias da
organizao e de concorrentes, avaliao de fornecedores e parceiros
crticos e informao sobre patentes.
Tratamento da informao
Todas as informaes classificadas, por exemplo, como de uso interno,
confidencial e altamente confidencial devem ter um rtulo indicando a sua
classificao e um tratamento compatvel com o seu nvel de importncia.
As informaes classificadas como altamente confidencial, devem ser
mantidas permanentemente em gavetas e armrios trancados, ou mesmo em
cofres, quando no estiverem em uso.
Se elas estiverem em meio eletrnico devem ser arquivadas de forma cifrada
e com controles de acesso lgico aplicveis.
A sua destruio deve ser feita sempre sob a superviso de um
representante da organizao usando, preferencialmente, um fragmentador
de modo a assegurar a eliminao completa da informao.
As informaes classificadas como altamente confidencial devem ser
entregues ao destinatrio pessoalmente, sempre que possvel. Caso sejam
transmitidas eletronicamente as mesmas devem ser cifradas.

A transmisso por voz deve ser expressamente proibida e, em nenhuma

hiptese, deve ser permitida a transmisso por fax.
6 SEGURANA EM PESSOAS
Segurana na definio e nos recursos de trabalho (item 6.1 da NBR ISO
IEC 17799)
O principal objetivo deste controle reduzir os riscos relacionados com o
mau uso dos recursos de processamento da informao, o erro humano,
roubo e as fraudes.

Uma das formas de reduzir esses riscos definir, nas descries de funes,
no perfil de competncia ou em um documento similar, regras e
responsabilidades pela segurana da informao. Estas regras devem estar
baseadas na poltica de segurana da informao da organizao.
Alm dos funcionrios, especial ateno deve ser dada aos prestadores de
servios, colaboradores temporrios e estagirios que acessam os recursos
de processamento da informao da organizao. No mnimo, essas pessoas
devem assinar um termo de confidencialidade.
A norma recomenda que a organizao realize uma srie de verificaes
antes da contratao de pessoas que venham a ter acesso s informaes
crticas e sensveis como, por exemplo, a apresentao de referencias
pessoais e profissionais e a checagem dos dados contidos no curriculum
vitae. Os registros relativos educao e qualificao tambm devem ser
confirmados.
Acordos de confidencialidade devem ser assinados tanto pelos funcionrios
da organizao como pelos prestadores de servios, pessoal temporrio e
estagirios, antes dos mesmos terem acesso aos recursos de processamento
da informao.
Treinamento dos usurios (item 6.2 da NBR ISO IEC 17799)
O principal objetivo deste controle assegurar que os usurios estejam
conscientes das ameaas aos ativos de informao e informao, e
preparados para apoiar e cumprir com as polticas e procedimentos relativos
segurana da informao.
Isto se consegue por meio de um processo de treinamento e educao bem
estruturado, destinado s pessoas que acessam os recursos de
processamento da informao e as informaes crticas e sensveis da
organizao, sejam eles funcionrios, prestadores de servios, pessoal
temporrio ou estagirios.

Respondendo aos incidentes de segurana da informao e ao mau

funcionamento (item 6.3 da NBR ISO IEC 17799)
O principal objetivo deste controle minimizar os impactos causados pelos
incidentes de segurana da informao e pelo mau funcionamento de
software, e aprender com esses incidentes.
Uma das formas de reduzir os danos causados pelos incidentes definir e
implementar um procedimento de modo que esses incidentes sejam
relatados s pessoas apropriadas, to logo quanto possvel. Todos os
usurios dos recursos de processamento da informao devem ser
orientados a notificar e reportar s funes pertinentes, quaisquer incidentes
de segurana da informao sejam eles reais ou suspeitos.Tambm deve ser
relatado o mau funcionamento de um software, principalmente os que tm
impacto na segurana da informao.
Alguns dos incidentes de segurana da informao devem ser usados nos
programas de treinamento e conscientizao para que se conhea exemplo
real do que No deve ser feito.
Outro objetivo deste tpico o de evitar a repetio de um mesmo problema
dentro da organizao ou, de forma preventiva, evitar a sua ocorrncia a
partir de exemplos conhecidos de outras organizaes.
Uma das grandes recomendaes da norma o item relativo ao processo
disciplinar. Toda violao s polticas e procedimentos de segurana da
informao da organizao, deve ser tratada por meio de um processo
disciplinar formal.
Este processo deve contar com a efetiva participao do pessoal da rea
Jurdica e de Recursos Humanos alm, obviamente, das reas onde o
problema ocorreu.

MDULO IV:CLASSIFICAO E CONTROLE DOS ATIVOS DE

INFORMAO E SEGURANA EM PESSOAS
EXERCCIOS DE FIXAO DE CONCEITOS
NOME:
ORGANIZAO:
ASSINALE AS QUESTES ABAIXO, CONFIRMANDO(C) OU NO(NC), SE
SO RECOMENDAES DA NORMA NBR ISO IEC 17799
Perguntas adicionais ao texto terico apresentado so tambm
colocadas para estimular o raciocnio do estudante e enriquecer os
seus conhecimentos sobre a norma.

1.No inventrio dos ativos de informao necessrio definir apenas o

proprietrio responsvel por cada ativo.
( )C
( )NC
2.Os ativos de informao a serem considerados no levantamento so os
ativos fsicos e ativos de software.
( )C
( )NC
3.Manuais de treinamento e procedimentos de operao, no so
considerados como ativos de informao.
( )C
( )NC
4.A reputao da organizao um dos mais importantes ativos de
informao.
( )C
( )NC
5.Todas as informaes da organizao precisam ser classificadas e
rotuladas.
( )C
( )NC
6. O proprietrio ou o autor deve participar da classificao da informao.
( )C
( )NC
7.Uma informao classificada como confidencial deve ser mantida como tal
por tempo indeterminado.
( )C
( )NC
8.Os ativos de informao a serem considerados so os existentes em meio
fsico.
( )C
( )NC
9.As responsabilidades pela segurana da informao devem ser definidas
na fase de recrutamento, includas nos contratos e monitorada durante a
vigncia de cada contrato de trabalho.
( )C
( )NC

10.O acordo de confidencialidade s precisa ser assinado pelos funcionrios

da Organizao.
( )C
( )NC
11.Uma verificao da idoneidade de crdito deve ser feita pela organizao,
para as pessoas que trabalham com informaes financeiras ou altamente
confidenciais.
( )C
( )NC
12.As pessoas novas ou inexperientes precisam ter autorizao para acessar
sistemas crticos ou sensveis.
( )C
( )NC
13.Sinais de estresse ou depresso, mudanas de comportamento ou de
estilo de vida, problemas financeiros e ausncias freqentes dos usurios
(funcionrios da Organizao ou contratados) que trabalham com
informaes crticas ou sensveis, devem ser levadas em considerao pela
organizao
( )C
( )NC
14.Os termos do contrato devem contemplar somente o perodo em que o
usurio (funcionrios da Organizao ou contratados) trabalhou na empresa
( )C
( )NC
15.Os consultores que tm acesso s instalaes de processamento das
informaes tambm devem assinar um termo de confidencialidade
( )C
( )NC
16.Todos os usurios que acessam os recursos de processamento das
informaes, devem ser treinados nas polticas e nos procedimentos de
segurana da informao da Organizao.
( )C
( )NC
17.Os incidentes relacionados com a segurana da informao devem ser
notificados dentro de um prazo mximo de 7dias
( )C

( )NC
18.Os diversos tipos de incidentes de segurana da informao(violao s
polticas e procedimentos da organizao, ameaas, fragilidades, mau
funcionamento) s devem ser notificados pelos funcionrios da Organizao.
( )C
( )NC
19.Deve ser estabelecido um processo disciplinar formal para tratar com os
usurios que cometam violaes na segurana da informao
( )C
( )NC
20.Alguns dos incidentes de segurana da informao devem ser utilizados
nos treinamentos de conscientizao dos usurios
( )C
( )NC

MDULO V:SEGURANA FSICA E DO AMBIENTE E

GERENCIAMENTO DAS OPERAES E COMUNICAES
7SEGURANA FSICA E DO AMBIENTE
reas de segurana (item 7.1 da NBR ISO IEC 17799)
O principal objetivo deste controle evitar o acesso no autorizado, danos e
interferncias s instalaes de processamento da informao e s
informaes da organizao.
Uma das formas de prevenir acessos no autorizados por meio do uso de
permetros de segurana fsica, com barreiras de segurana e controles de
acessos bem definidos.
Deve ser verificado se o projeto das instalaes levou em considerao
possibilidades de danos causados por fogo, inundaes, ou outras formas de
desastres, sejam causados pelo homem ou pela natureza.
Alguns cuidados so de fundamental importncia. Por exemplo, a
organizao deve verificar se os equipamentos de contingncia e as cpias
de segurana (backup) esto sendo guardadas a uma distncia suficiente da
instalao principal, para evitar que um desastre nesse local afete todo o
sistema.

O uso de dispositivos de fotografia, incluindo telefones celulares, no deve

ser permitido no permetro de segurana, a menos que expressamente
autorizado.
Segurana dos equipamentos (item 7.2 da NBR ISO IEC 17799)
O principal objetivo deste controle evitar a perda ou o comprometimento
dos ativos e a interrupo das atividades da organizao.
Uma das formas de prevenir essa situao protegendo os equipamentos de
modo a reduzir os riscos de acesso no autorizado.
importante lembrar que os equipamentos remotos devem ser
contabilizados no inventrio e contemplados na avaliao de risco.
Devem ser estabelecidas polticas proibindo o uso de alimentao, bebidas e
fumo, prximo dos recursos de processamento da informao.
Cuidados para proteger os equipamentos contra falhas de energia e outras
anomalias na alimentao eltrica devem ser tomados como, por exemplo,
ter uma alimentao mltipla, usar o No-break (UPS) e ter disponvel um
gerador de emergncia.Este gerador deve ser testado regularmente, com
base nas instrues do fabricante.
A sada de qualquer equipamento de processamento da informao para fora
da organizao deve ser autorizada e uma poltica sobre esta questo deve
ser estabelecida. Por exemplo, os equipamentos no devem ser deixados
desprotegidos em locais pblicos, os notebooks devem ser transportados de
forma disfarada e sempre devem permanecer junto ao responsvel pelo
equipamento, mesmo em viagens de longa distncia.
Devem ser considerados tambm outros ativos que contenham informaes
sensveis e crticas da organizao, como agendas eletrnicas, celulares e
papis importantes.
Um outro cuidado a ser tomado com relao a trabalhos feitos em casa. Os
controles para minimizar os riscos decorrentes do uso de equipamentos fora
das instalaes da organizao, devem ser definidos com base em uma
avaliao de risco.
importante que exista um procedimento orientando sobre o uso de
equipamentos fora das instalaes da organizao, e proibindo atividades
como instalaes de jogos, acesso internet para fins de diverso, ou outras
atividades que possam comprometer a confidencialidade, integridade e
disponibilidade das informaes contidas no equipamento.
Controles Gerais (item 7.3 da NBR ISO IEC 17799)
O principal objetivo deste controle o de evitar o roubo ou a exposio da
informao e dos recursos de processamento da informao.

Uma das formas de evitar o roubo ou a exposio implantar uma poltica de

mesa limpa e tela protegida.
Alguns cuidados devem ser tomados como, por exemplo, guardar papis
importantes e mdias em armrios trancados, proteger os computadores
pessoais com senhas ou outros mecanismos quando no estiverem sendo
usados e travar as copiadoras fora do horrio normal de trabalho.
Devem existir mecanismos que assegurem que os envolvidos foram
treinados, conhecem e praticam as polticas e procedimentos da organizao.
8 GERENCIAMENTO DAS OPERAES E COMUNICAES
Procedimentos e responsabilidades operacionais (item 8.1 da NBR ISO
IEC 17799)
O principal objetivo deste controle garantir que os recursos de
processamento da informao operem de forma correta e segura
Uma das formas de garantir a operao correta elaborar procedimentos
operacionais que especifiquem a execuo detalhada de cada atividade.
Estes procedimentos devem ser periodicamente atualizados de modo a
refletir as novas tecnologias e mudanas do ambiente.
Os procedimentos devem, por exemplo, tratar de questes relacionadas com
restries de uso dos recursos do sistema, erros que ocorram na execuo
de uma tarefa, contato com pessoal de suporte, reincio e recuperao no
caso de falhas dos sistemas, gerao de cpias de seguranas, entre outros.
A norma recomenda que as modificaes nos sistemas e nos recursos de
processamento da informao sejam controladas como, por exemplo,
mudanas de equipamentos e aquisies de novos softwares.
Um dos procedimentos a serem estabelecidos o de gerenciamento de
incidentes para assegurar uma resposta rpida e eficaz aos incidentes
relacionados com a segurana da informao. Falhas dos sistemas,
inoperncia dos servios, no obteno do servio, violao da
confidencialidade so exemplos de incidentes de segurana da informao
que devem ser reportados.
Devem existir mecanismos que assegurem que os envolvidos foram
treinados, conhecem e praticam as polticas e procedimentos da organizao.
Housekeeping (item 8.4 da NBR ISO IEC 17799)
O principal objetivo deste controle assegurar a disponibilidade e integridade
dos servios de processamento da informao.
Uma das formas de garantir a disponibilidade elaborar um procedimento
para realizar cpias de segurana (backup) dos principais dados e softwares

que so necessrios ao negcio. As cpias de segurana devem ser testadas

regularmente e guardadas longe das instalaes principais, para evitar que
um desastre na instalao principal (incndio, exploso, ao terrorista) afete
tambm as cpias de segurana. Cuidados devem ser tomados para proteger
as mdias usadas nas cpias de segurana, tanto do ponto de vista de
proteo fsica, para evitar o acesso indevido, quanto do ponto de vista de
armazenamento, para prevenir quanto deteriorao.
Devem existir mecanismos que assegurem que os envolvidos foram
treinados, conhecem e praticam as polticas e procedimentos da organizao.
Segurana e tratamento de mdias (item 8.6 da NBR ISO IEC 17799)
O principal objetivo deste controle proteger as mdias magnticas e
documentos contra roubo, acesso indevido e danos.
Uma das formas de garantir esta proteo elaborar um procedimento para
o gerenciamento das mdias, incluindo o seu descarte.
Alguns cuidados devem ser tomados com as mdias removveis (fitas, discos,
cartuchos, flash memory) como, por exemplo, apagar o contedo da mdia
que no ser mais utilizada pela organizao, solicitar autorizao para a
remoo da mdia da organizao, armazenar a mdia de acordo com as
especificaes do fabricante e em um ambiente seguro.
O descarte das mdias deve ser feito de maneira a evitar que as informaes
sensveis e crticas sejam acessadas por pessoas no autorizadas.
Devem existir mecanismos que assegurem que os envolvidos foram
treinados, conhecem e praticam as polticas e procedimentos da organizao.
Troca de informaes e software (item 8.7 da NBR ISO IEC 17799)
O principal objetivo deste controle evitar a perda ou o mau uso das
informaes trocadas entre as organizaes.
Uma das formas de prevenir contra a perda ou mau uso das informaes
elaborar e implementar um procedimento que contemple o transporte seguro
das mdias, que defina regras para o comrcio eletrnico, onde as transaes
so feitas online por meio de redes pblicas, que estabelea polticas para o
uso do correio eletrnico, e que defina cuidados para proteger a integridade
da informao divulgada eletronicamente por meio de sistemas disponveis
ao pblico.
Devem existir mecanismos que assegurem que os envolvidos foram
treinados, conhecem e praticam as polticas e procedimentos da organizao.
Cuidados tambm devem ser tomados para outras formas de troca de
informao como, por exemplo, as informaes verbais, por fax e vdeo,
especialmente no caso de telefones celulares, quando usado em um
ambiente pblico.

MDULO V: SEGURANA FSICA E DO AMBIENTE E

GERENCIAMENTO DAS OPERAES E COMUNICAES
EXERCCIOS DE FIXAO DE CONCEITOS
NOME:
ORGANIZAO:
ASSINALE AS QUESTES ABAIXO, CONFIRMANDO(C) OU NO(NC), SE
SO RECOMENDAES DA NORMA NBR ISO IEC 17799
Perguntas adicionais ao texto terico apresentado so tambm
colocadas para estimular o raciocnio do estudante e enriquecer os
seus conhecimentos sobre a norma.
1.A norma recomenda que seja praticada a poltica de mesa limpa para
reduzir o risco de acesso no autorizado ou danos a papis, mdias, recursos
e instalaes de processamento das informaes.
( )C
( )NC
2.Um permetro de segurana fsica , por exemplo, uma parede , uma porta
com controle de entrada baseado em um carto, ou at mesmo um balco de
controle de acesso registrado manualmente.
( )C
( )NC
3.As barreiras e a sua localizao so implantadas independentemente do
resultado da avaliao de risco (RA).
( )C
( )NC
4.Barreiras fsicas devem ser implantadas, onde necessrio, para evitar
acessos no autorizados ou contaminao ambiental, tais como as
provocadas pelo fogo ou por inundaes.
( )C
( )NC
5.Todos os visitantes que acessam as reas de segurana devem ser
checados, mas no necessrio o registro da data e hora de sua entrada e
sada.
( )C
( )NC

6. As portas de incndio situadas no permetro de segurana devem possuir

sensores de alarme e molas para fechamento automtico.
( )C
( )NC
7.O acesso s informaes sensveis, instalaes e recursos de
processamento da informao deve ser controlado e restrito apenas ao
pessoal autorizado.
( )C
( )NC
8.Uma trilha de auditoria contendo todos os acessos fsicos que ocorreram
deve ser mantida pela organizao.
( )C
( )NC
9.Os direitos de acesso s reas de segurana no precisam ser atualizados
e valem por tempo indeterminado.
( )C
( )NC
10.As atividades de processamento de informaes devem estar indicadas
de forma explcita, tanto externa como internamente ao prdio.
( )C
( )NC
11.As fotocopiadoras e mquinas de fax podem ser instaladas em uma rea
de livre circulao.
( )C
( )NC
12.Os sistemas de deteco de intrusos devem ser instalados por
profissionais especializados e testados a intervalos definidos, em todas as
portas externas e janelas acessveis.
( )C
( )NC
13.Os equipamentos de contingncia e os meios magnticos de reserva
(backup) podem ser guardados prximo das instalaes principais.
( )C
( )NC

14.O trabalho nas reas de segurana deve ser feito sempre sob superviso,
no apenas por questes de segurana, como principalmente para evitar
possibilidades de atividades maliciosas.
( )C
( )NC
15.As reas de segurana no ocupadas, dispensam da necessidade de
verificao peridica.
( )C
( )NC
16.O acesso do pessoal de suporte s reas de segurana ou s instalaes
de processamento das informaes sensveis precisa somente de
autorizao .
( )C
( )NC
17.O uso de bebidas, alimento e fumo nas proximidades das instalaes de
processamento das informaes no proibido.
( )C
( )NC
18.Os geradores de reserva devem ser testados regularmente, seguindo as
instrues do fabricante, e o fornecimento de leo deve assegurar a
utilizao do gerador por um perodo de tempo prolongado.
( )C
( )NC
19.Todos os prdios devem ter proteo contra relmpagos e filtros de
proteo contra raios devem ser instalados nas linhas de comunicao
externas.
( )C
( )NC
20.O plano de manuteno dos equipamentos elaborado de acordo com a
experincia do gerente de manuteno, que no considera, necessariamente,
as recomendaes do fabricante.
( )C
( )NC
21.Os procedimentos de operao devem especificar a execuo detalhada
de tarefas incluindo requisitos de sincronismo, interdependncias com outros
sistemas, a hora mais cedo de incio e a hora mais tarde do trmino de
tarefas.
( )C
( )NC

22.A organizao deve tambm elaborar procedimentos documentados para

as atividades de inicializao e encerramento das atividades dos
computadores, gerao de cpias de segurana (back-up) e manuteno de
equipamentos.
( )C
( )NC
23.As modificaes nos sistemas e recursos de processamento da
informao no precisam ser controladas.
( )C
( )NC
24.A organizao deve estabelecer um procedimento para o gerenciamento
de incidente que cubra os principais tipos de incidentes de segurana, tais
como: falhas dos sistemas de informao e inoperncia de servios, no
obteno de servio, erros resultantes de dados incompletos ou
inconsistentes e violao de confidencialidade.
( )C
( )NC
25.Os procedimentos para o gerenciamento de incidentes devem contemplar
tambm, uma anlise e identificao das causas do incidente, o
planejamento e implementao de medidas para evitar a reocorrncia do
incidente, a coleta de trilhas de auditoria e evidncias similares, a
comunicao com as pessoas afetadas ou envolvidas na recuperao de
incidentes e o relato autoridade apropriada.
( )C
( )NC
26.As trilhas de auditoria e evidncias similares devem ser coletadas e
mantidas de forma segura, para permitir uma anlise de problemas internos,
como evidncia para o caso de uma potencial violao de contrato ou de
normas reguladoras, ou em casos de delitos civis ou criminais, tais como os
relacionados ao uso doloso de computadores ou legislao de proteo dos
dados.
( )C
( )NC
27. A segregao de atividades que requeiram cumplicidade importante
para se evitar a concretizao de uma fraude, como por exemplo, a pessoa
que emite um pedido de compra, no deve ser a mesma responsvel pela
confirmao do recebimento da compra.
( )C
( )NC

28.Cpias de segurana dos dados e de software essenciais ao negcio

devem ser feitas regularmente e os backups dos sistemas individuais devem
ser testados, para garantir os requisitos do plano de continuidade dos
negcios.
( )C
( )NC
29.As cpias de segurana e os procedimentos de recuperao podem ser
mantidos em qualquer local, desde que devidamente protegidos.
( )C
( )NC
30.A organizao deve manter registros das atividades de pessoal de
operao, incluindo o horrio de incio e trmino dos processamentos, os
erros e as aes corretivas adotadas, a confirmao do correto tratamento
dos arquivos de dados e dos resultados gerados nos processamentos, bem
como a identificao de quem est realizando as operaes.
( )C
( )NC
31.O prestador de servios de coleta e descarte de papel, de equipamentos e
de mdias magnticas, no necessita adotar cuidados especiais, uma vez que
a informao ser destruda.
( )C
( )NC
32.A organizao deve estabelecer um procedimento para o tratamento da
informao contida em documentos, sistemas de computadores, computao
mvel, redes de computadores, correio eletrnico, correio de voz, uso de fax,
para proteger tais informaes, contra a divulgao ou uso indevido.
( )C
( )NC
33.O armazenamento das mdias deve ser feito em um ambiente compatvel
com as especificaes do fabricante.
( )C
( )NC
34.A organizao deve definir uma poltica clara para o uso do correio
eletrnico, contemplando orientaes sobre quando no se deve utilizar o
correio eletrnico, proteo de anexos e uso de tcnicas de criptografia,
quando necessrio, para proteger a confidencialidade e integridade das
mensagens eletrnicas.
( )C
( )NC

MDULO VI:CONTROLE DE ACESSO E DESENVOLVIMENTO

DE MANUTENO DE SISTEMAS
9 CONTROLE DE ACESSO
Requisitos do negcio para controle de acesso (item 9.1 da NBR ISO IEC
17799)
O principal objetivo deste controle monitorar o acesso informao e aos
processos do negcio.
Uma das formas de monitorar o acesso elaborar e implementar uma poltica
de controle de acesso aos sistemas de informao e informao.
Devem existir mecanismos que assegurem que os envolvidos foram
treinados, conhecem e praticam as polticas e procedimentos da organizao.
neste item da norma que se aplicam dois grandes conceitos. O primeiro o
conceito need to know, ou seja, as pessoas somente precisam acessar os
sistemas necessrios execuo das suas atividades.
A seguinte pergunta deve ser regularmente feita: Porque esta pessoa precisa
acessar essas informaes da organizao ?
O segundo conceito parte da premissa de que Tudo proibido, a menos que
expressamente permitido, ao invs de Tudo permitido, a menos que
expressamente proibido
Gerenciamento de acessos do usurio (item 9.2 da NBR ISO IEC 17799)
O principal objetivo deste controle prevenir o acesso no autorizado aos
sistemas de informao.
Uma das formas de evitar o acesso no autorizado elaborar e implementar
procedimentos formais para controlar o acesso dos usurios, autorizando e
quando necessrio, cancelando o acesso aos sistemas de informao e aos
servios.
Os acessos devem ser formalmente controlados e registrados.
Convm lembrar que as pessoas que so remanejadas para outra rea
devem ser imediatamente removidas das listas de acesso.
Cuidados especiais devem ser tomados em relao aos administradores e
engenheiros de sistemas, bem como com as funes privilegiadas que
acessam os recursos de processamento da informao.
Com a atual dinmica no mundo dos negcios, as organizaes fazem
reestruturao organizacional, realizam fuses e aquisies, como tambm o
chamado downsizing, e com isto muitas pessoas saem e entram na
organizao.

Portanto muito importante que, periodicamente, seja feita uma anlise

crtica dos direitos de acesso do usurio, inclusive com os prestadores de
servios, pessoal temporrio e estagirios que acessam os recursos de
processamento da informao.
Devem existir mecanismos que assegurem que os envolvidos foram
treinados, conhecem e praticam as polticas e procedimentos da organizao.
Responsabilidades do usurio (item 9.3 da NBR ISO IEC 17799)
O principal objetivo deste controle prevenir o acesso no autorizado aos
sistemas de informao.
A grande responsabilidade que recai sobre os usurios, est relacionada com
o uso de senhas. Como boas prticas de segurana, cabe ao usurio: manter
a confidencialidade da sua senha, modificar a senha quando houver uma
indicao de possvel comprometimento, selecionar senhas que no sejam
baseadas em nomes de pessoas, telefones ou datas de nascimento, no
utilizar caracteres consecutivos como 1,2,3,4 ou a,b,c,d, e, principalmente,
no compartilhar a sua senha com outras pessoas.
Por outro lado, cabe tambm organizao, realizar uma ampla campanha
de conscientizao, por meio de cartazes, palestras, teatros, brindes, quanto
ao uso correto das senhas.
Computao mvel e trabalho remoto (item 9.8 da NBR ISO IEC 17799)
O principal objetivo deste controle garantir a segurana da informao
quando da utilizao de computao mvel e de trabalho remoto.
Uma das formas de garantir a segurana da informao estabelecer e
implementar um procedimento para o uso de recursos de computao mvel
(notebooks, palmtops, telefones celulares) e de trabalho remoto.
Este procedimento deve contemplar cuidados com a proteo fsica dos
equipamentos, controles de acesso, cpias de segurana, proteo contra
vrus e instalao de software, dando nfase para o uso de tais
equipamentos em locais pblicos, os quais podem estar sujeitos a roubo.
Equipamentos como notebook, por exemplo, no devem ser deixados dentro
de carros, em salas de reunio ou em quartos de hotis.
Devem ser implementados mecanismos de controle de acesso para os
equipamentos de computao mvel que acessam remotamente as
informaes da organizao por meio de redes pblicas.
Devem existir mecanismos que assegurem que os envolvidos foram
treinados, conhecem e praticam as polticas e procedimentos da organizao.

10 DESENVOLVIMENTO E MANUTENO DE SISTEMAS

Requisitos de segurana de sistemas (item 10.1 da NBR ISO IEC 17799)
O principal objetivo deste controle integrar a segurana dentro dos sistemas
de informao
Uma das formas empregadas especificar requisitos de segurana nos
novos sistemas ou na melhoria dos sistemas existentes.
Deve ser lembrado que os requisitos e controles de segurana incorporados
na etapa inicial de um projeto so muito mais fceis e, principalmente,mais
econmicos do que se implantados na fase final do projeto.
Segurana nos sistemas de aplicao (item 10.2 da NBR ISO IEC 17799)
O principal objetivo deste controle evitar que sejam feitas alteraes dos
dados dos usurios nos sistemas de aplicaes, perdas ou mau uso desses
dados.
Uma das formas empregadas validar os dados de entrada para garantir que
eles no foram modificados, assegurando assim a integridade da informao.
Esta mesma sistemtica deve ser aplicada tanto para o processamento
interno das informaes, como para validar os dados de sada.
A validao dos dados visa assegurar que os mesmos esto corretos e no
foram modificados, seja por meio de uma ao proposital ou por erro de
processamento.
Controles de criptografia (item 10.3 da NBR ISO IEC 17799)
O principal objetivo deste controle proteger, por meio de tcnicas e
sistemas criptogrficos, a confidencialidade, a autenticidade e a integridade
da informao.
Enquanto a criptografia protege a confidencialidade das informaes crticas
e sensveis, a assinatura digital visa proteger a autenticidade e integridade
dos documentos emitidos em meio eletrnico.
Uma das tcnicas empregadas na assinatura digital est baseada em um
nico par de chaves, onde a chave privada usada para gerar a assinatura e
a chave pblica para verificar a assinatura.
de fundamental importncia garantir a confidencialidade da chave privada
pois caso ela seja acessada por um terceiro, essa pessoa poder assinar
documentos.
Segurana nos processos de desenvolvimento e suporte (item 10.5 da
NBR ISO IEC 17799)
O principal objetivo deste controle manter a segurana da informao do
sistema de aplicao e do software

Uma das formas empregadas adotar um controle rgido quando da

implementao de mudanas de modo a minimizar a corrupo dos sistemas
de informao. As solicitaes dos usurios devem ser analisadas
criteriosamente, antes de se realizar uma modificao no software.
Questes relativas a acordos sobre licenas, direitos de propriedade
intelectual e qualidade do cdigo devem ser consideradas, quando do
desenvolvimento de um software por terceiros.
recomendvel que este software seja testado, antes de ser instalado.

MDULO VI:CONTROLE DE ACESSO E DESENVOLVIMENTO

E MANUTENO DE SISTEMAS
EXERCCIOS DE FIXAO DE CONCEITOS
NOME:
ORGANIZAO:
ASSINALE AS QUESTES ABAIXO, CONFIRMANDO(C) OU NO(NC), SE
SO RECOMENDAES DA NORMA NBR ISO IEC 17799
Perguntas adicionais ao texto terico apresentado so tambm
colocadas no exerccio de fixao de conceitos, para estimular o
raciocnio do estudante e enriquecer os seus conhecimentos sobre a
norma.
1.A regra bsica para o controle de acesso parte da premissa de que Tudo
deve ser proibido, a menos que expressamente permitido, ao invs de Tudo
permitido, a menos que expressamente proibido.
( )C
( )NC
2.Os usurios que tenham mudado de funo ou sado da organizao,
devem ter seus direitos de acesso revogados em at 60 dias.
( )C
( )NC
3.Nos contratos dos usurios deve ser includa uma clusula estabelecendo
sanes, nos casos de tentativa de acesso no autorizado, seja pelo
funcionrio da organizao, seja por um prestador de servio.

( )C
( )NC
4.A concesso e o uso de privilgios devem ser restritos e controlados, pois a
experincia revela que o uso inadequado de privilgios em sistemas
freqentemente apontado como o maior fator de vulnerabilidade.
( )C
( )NC
5.O direito de acesso dos usurios deve ser analisado criticamente a cada
dois anos e as autorizaes para direitos de acesso privilegiados, a cada 12
meses.
( )C
( )NC
6. Os relgios dos computadores devem ser sincronizados para garantir a
exatido dos registros da auditoria, os quais podem ser requeridos por
investigaes ou como evidncias em casos legais ou disciplinares.
( )C
( )NC
7.A organizao deve adotar uma poltica formal para os recursos de
computao mvel, tais como, notebooks, palmtops, laptops e telefones
celulares. Esta poltica deve incluir requisitos para a proteo fsica, controles
de acesso, tcnicas criptogrficas, cpias de segurana e proteo contra
vrus.
( )C
( )NC
8.Os recursos de computao mvel devem ser protegidos fisicamente contra
roubo, quando deixados em carros, hotis e locais de reunio.
Equipamentos com informaes sensveis e crticas, nunca devem ser
deixados sem observao.
( )C
( )NC
9.Os computadores portteis devem ser carregados como bagagem de mo
e disfarados sempre que possvel nas viagens.
( )C
( )NC
10.As atividades de trabalho remoto devem ser realizadas com base em
polticas e procedimentos, e autorizadas somente se existirem controles e

acordos de segurana apropriados e em conformidade com a poltica de

segurana da organizao.
( )C
( )NC
11.Os controles introduzidos no desenvolvimento do projeto so
significativamente mais baratos de implementar e manter do que aqueles
includos durante ou aps a sua implementao.
( )C
( )NC
12.Checagens de validao devem ser implementadas para detectar
eventuais corrupes nos dados que foram introduzidos corretamente, como
conseqncia de erros de processamento ou atravs de aes intencionais.
( )C
( )NC
13.O objetivo do controle de criptografia de assegurar a disponibilidade da
informao.
( )C
( )NC
14.Uma pessoa que tenha assinatura digital possui um par de chaves, uma
chave privada (que pode ser revelada a qualquer pessoa) e uma chave
pblica (que tem que ser mantida em segredo).
( )C
( )NC
15. O acesso fsico ou lgico concedido ao fornecedor de software, somente
deve ser permitido quando for para realizar atividades de suporte, com a
aprovao da gerncia e com monitorao.
( )NC
( )NC
16.A organizao deve adotar um controle rgido sobre a implementao das
mudanas, para minimizar a corrupo dos sistemas de informao .
( )C
( )NC
17.Os pacotes de software podem ser modificados, todas as vezes que forem
solicitados pelos usurios .
( )C
( )NC

18.Quando o desenvolvimento de um software for terceirizado, deve ser

levado em considerao, os acordos sobre licenas, direitos de propriedade
intelectual, certificao da qualidade e da exatido do trabalho, acordos na
eventualidade de haver falhas do prestador de servio e requisitos
contratuais da qualidade do cdigo.
( )C
( )NC
19.Um software desenvolvido por terceiro deve ser testado antes da sua
instalao, para deteco de cavalos de Tria.
( )C
( )NC

MDULO VII:GESTO DA CONTINUIDADE DO NEGCIO E

CONFORMIDADE
11 GESTO DA CONTINUIDADE DO NEGCIO
Aspectos da gesto da continuidade do negcio (item 11.1 da NBR ISO
IEC 17799)
O principal objetivo deste controle evitar a interrupo das atividades que
impactam no negcio e proteger os processos crticos contra possveis falhas
ou, at mesmo, um grande desastre.
Uma das formas de evitar a interrupo elaborar um plano de continuidade
do negcio. Este plano deve estar baseado nos resultados da avaliao de
risco e nos impactos que a organizao possa ter com a interrupo das suas
atividades. Tambm devem ser consideradas as conseqncias de um
eventual desastre, falhas de equipamentos e aes propositais.
O plano de continuidade dos negcios visa garantir a disponibilidade dos
servios e informaes e deve ser analisado periodicamente para garantir
que ele se mantm atualizado e alinhado aos negcios da organizao.
O plano deve ser desenvolvido de modo a restaurar as atividades em um
perodo de tempo acordado com os clientes, parceiros e organismos
reguladores.
Os procedimentos definidos no plano devem estar documentados e
implementados.
Os planos devem ser testados e atualizados conforme programao definida.
12 CONFORMIDADE

12.1 Conformidade com requisitos legais (item 11.1 da NBR ISO IEC
17799)
O principal objetivo deste controle evitar a violao de qualquer legislao,
regulamentaes ou compromissos contratuais, alm de quaisquer requisitos
de segurana.
Uma das formas de evitar a violao elaborar e implementar um
procedimento que garanta que a organizao cumpre e respeita as leis de
propriedade intelectual e o uso de produtos de software proprietrios.
O procedimento deve definir como feito o controle sobre o uso dos software
licenciados pela organizao.
Alm disto, a organizao deve realizar campanhas de conscientizao junto
aos usurios, lembrando que o uso no autorizado ou a cpia de material
protegido ou de software pode levar a uma ao legal.
Um outro ponto a ser destacado refere-se reteno e guarda dos registros
importantes da organizao.
Recomenda-se elaborar um procedimento que defina cuidados para a
proteo dos registros contra a perda, destruio e falsificao. O
procedimento deve tambm fazer referncia forma de armazenagem, ao
tempo de indexao e ao descarte do registro.
Quanto proteo de dados e privacidade da informao pessoal,
recomenda-se a aplicao de controles apropriados para proteger as
informaes pessoais de acordo com a legislao pertinente.

MDULO VII:GESTO DA CONTINUIDADE DO NEGCIO E

CONFORMIDADE
EXERCCIOS DE FIXAO DE CONCEITOS
NOME:
ORGANIZAO:
ASSINALE AS QUESTES ABAIXO, CONFIRMANDO(C) OU NO(NC), SE
SO RECOMENDAES DA NORMA NBR ISO IEC 17799
Perguntas adicionais ao texto terico apresentado so tambm
colocadas para estimular o raciocnio do estudante e enriquecer os
seus conhecimentos sobre a norma.

1.O grande objetivo da gesto da continuidade do negcio o de no permitir

a interrupo das atividades do negcio e proteger os processos crticos
contra efeitos e falhas, ou at mesmo, desastres significativos
( )C
( )NC
2.As conseqncias de desastres, falhas de segurana e perda de servios
devem ser analisadas e os planos de contingncia desenvolvidos e
implementados para assegurar a recuperao dos processos em um prazo
mximo de 4 semanas.
( )C
( )NC
3.Os planos devem ser mantidos e testados tornando-se assim, parte
integrante dos demais processos gerenciais da organizao
( )C
( )NC
4.A identificao dos eventos que podem causar interrupes nos processos
do negcio, tais como, falha de equipamentos, inundaes, incndios,
sabotagens e espionagens, representa o ponto de partida para a
continuidade do negcio
( )C
( )NC
5.O plano de continuidade do negcio deve ser validado pela direo ou pelo
Comit de Segurana da informao.
( )C
( )NC
6.No processo de planejamento deve ser contemplada, a recuperao de
servios especficos para os clientes, dentro do perodo de tempo definido
pela organizao.
( )C
( )NC
7.Procedimentos de recuperao devem ser estabelecidos, descrevendo as
aes necessrias para a transferncia das atividades essenciais do negcio
ou dos servios de infra-estrutura, para localidades alternativas temporrias e
para reativao dos processos do negcio no prazo necessrio.
( )C
( )NC
8.Para evitar falhas, devido a pressupostos incorretos, omisses ou
mudanas de equipamentos e de pessoal, os planos de continuidade do

negcio devem ser testados regularmente, de modo a garantir a sua

permanente atualizao e efetividade.
( )C
( )NC
9.So exemplos de situaes que podem demandar atualizaes nos planos
de continuidade dos negcios:a aquisio de novo equipamento, a
atualizao de sistemas operacionais, processos, alteraes de pessoal, de
endereos, localizao, legislao e prestadores de servios-chave.
( )C
( )NC
10.Procedimentos apropriados devem ser implementados para garantir a
conformidade com restries legais no uso de material, de acordo com as leis
de propriedade intelectual, como as leis de direitos autorais, patentes ou
marcas registradas.
( )C
( )NC
11. Cpia de material que tenha direitos autorais no se caracteriza como
uma violao do direto autoral, nem leva a uma possvel ao legal,
envolvendo processos criminais.
( )C
( )NC
12.Os produtos de software proprietrios adquiridos pela organizao podem
ser empregados em quaisquer mquinas, sem restries de uso .
( )C
( )NC
13. A organizao deve manter ateno sobre a poltica de aquisio e de
direitos autorais de software e notificar a inteno de tomar aes
disciplinares com os usurios que violarem essas polticas.
( )C
( )NC
14.Os discos-mestres e manuais, entre outros, devem ser mantidos pela
organizao, como prova da propriedade de licenas.
( )C
( )NC

15.A organizao deve conduzir verificaes, para assegurar que somente

produtos de software autorizados e licenciados sejam instalados.
( )C
( )NC

MDULO VIII:CASES STUDIES

Os Cases Studies tm como objetivos :
1. Avaliar o entendimento do participante do curso quanto aos 3
componentes principais da informao, ou seja, a confidencialidade, a
integridade e a disponibilidade.
2.Identificar qual o item da norma (nmero e ttulo do item) que poderia ser
implementado, para eliminar ou reduzir a vulnerabilidade. Por exemplo, Item
da norma (nmero e ttulo): 9.8.1 Computao mvel
O estudo de Caso requer o uso do anexo I e do entendimento dos conceitos abaixo
descritos:
a)Confidencialidade:garantia de que a informao acessvel somente por pessoas
autorizadas a terem acesso
b)Integridade:salvaguarda da exatido e completeza da informao e dos mtodos
de processamento
c)Disponibilidade:garantia de que os usurios autorizados obtenham acesso
informao e aos ativos correspondentes, sempre que necessrio
CASE 1:ASSALTO AO ESCRITRIO DE UM SENADOR DA REPBLICA
Em 2003 um Senador da Repblica teve o seu escritrio invadido, tendo os
bandidos levado o computador, vrios papis importantes que estavam sobre
a mesa, alm de documentos recolhidos da lixeira.
PARTE A :Identifique qual o componente da informao (apenas um)
mais afetado :
( )Confidencialidade
( )Integridade
( )Disponibilidade
PARTE B :Qual o item ou itens da NBR ISO IEC 17799 que poderia ser
implementado para minimizar ou eliminar a vulnerabilidade ? Apresente
um ou mais itens da norma
Item da norma:
Item da norma:
CASE 2:ROUBO DE UM NOTE BOOK
Armando Jos da Silva, funcionrio do Banco BARTICOURT teve o seu notebook
roubado, ao deixar aberta a sala de reunio, quando saiu para almoar. Felizmente
ele havia feito o backup de todos os dados, no dia anterior.

PARTE A :Identifique qual o componente da informao (apenas um)

mais afetado :
( )Confidencialidade
( )Integridade
( )Disponibilidade
PARTE B :Qual o item ou itens da NBR ISO IEC 17799 que poderia ser
implementado para minimizar ou eliminar a vulnerabilidade ? Apresente
um ou mais itens da norma
Item da norma:
Item da norma:
CASE 3:ATENTADO AO WORLD TRADE CENTER EM NOVA YORK
Um banco tinha dois escritrios funcionando no World Trade Center.O Banco
no conseguiu restaurar os seus sistemas operacionais dentro dos prazos
acordados com os clientes.
PARTE A :Identifique qual o componente da informao (apenas um)
mais afetado :
( )Confidencialidade
( )Integridade
( )Disponibilidade
PARTE B :Qual o item ou itens da NBR ISO IEC 17799 que poderia ser
implementado para minimizar ou eliminar a vulnerabilidade ? Apresente
um ou mais itens da norma
Item da norma:
Item da norma:
CASE 4:ARMAZENAMENTO DE FITAS DE BACK UP
Pesquisa realizada na Inglaterra revela que 50% das fitas de backup, quando
so restauradas, nunca funcionam.
PARTE A :Identifique qual o componente da informao (apenas um)
mais afetado :
( )Confidencialidade
( )Integridade
( )Disponibilidade
PARTE B :Qual o item ou itens da NBR ISO IEC 17799 que poderia ser
implementado para minimizar ou eliminar a vulnerabilidade ? Apresente
um ou mais itens da norma
Item da norma:

CASE 5: FUMAA ENTRE GIGANTES

Em julho de 2004,uma histria de espionagem empresarial envolvendo dois
gigantes agitou os bastidores da indstria do fumo. A Polcia Civil de So
Paulo investigou o furto de documentos confidenciais de uma industria de
cigarro, com toda a estratgia de lanamento do seu novo produto, recm
chegado ao mercado.
O furto ocorreu no dia 03 de julho de 2004, quando a Empresa realizava um
evento fechado em um Hotel, para tratar do lanamento do produto.
PARTE A :Identifique qual o componente da informao (apenas um)
mais afetado :
( )Confidencialidade
( )Integridade
( )Disponibilidade
PARTE B :Qual o item ou itens da NBR ISO IEC 17799 que poderia ser
implementado para minimizar ou eliminar a vulnerabilidade ? Apresente
um ou mais itens da norma
Item da norma:
Item da norma:
CASE 6: USO NO AUTORIZADO DE DISPOSITIVOS TIPO FLASH
MEMORY
Os principais arquivos e processos dos clientes de um escritrio em So
Paulo foram copiados usando-se o Flash Memory, no momento em que o
usurio do computador se afastava do mesmo para ir a uma reunio,
deixando o seu computador ligado e sem tela de proteo.
PARTE A :Identifique qual o componente da informao (apenas um)
mais afetado :
( )Confidencialidade
( )Integridade
( )Disponibilidade
PARTE B :Qual o item ou itens da NBR ISO IEC 17799 que poderia ser
implementado para minimizar ou eliminar a vulnerabilidade ? Apresente
um ou mais itens da norma
Item da norma:
Item da norma:
CASE 7: USO DE TELEFONES CELULARES E CONVERSAS EM LOCAIS
PUBLICOS
Em uma viagem de avio entre So Paulo e Rio de Janeiro dois funcionrios
de um Banco conversavam abertamente sobre a situao das contas de trs

grandes empresas que eram clientes do banco. Varias pessoas que estavam
no avio ouviram a conversa.

PARTE A :Identifique qual o componente da informao (apenas um)

mais afetado :
( )Confidencialidade
( )Integridade
( )Disponibilidade
PARTE B :Qual o item ou itens da NBR ISO IEC 17799 que poderia ser
implementado para minimizar ou eliminar a vulnerabilidade ? Apresente
um ou mais itens da norma
Item da norma:
Item da norma:
CASE 9: GOVERNO SOFRE COM FALHAS DE TECNOLOGIA
Em novembro de 2004, 80 mil funcionrios do Departamento do Trabalho de
um pas da Europa, passaram pela maior falha de computadores da sua
histria. Segundo declarao oficial do departamento, a repartio estava
passando por uma "atualizao de rotina", quando 80 % dos 100 mil
computadores ficaram fora de operao ou desligados.
PARTE A :Identifique qual o componente da informao (apenas um)
mais afetado :
( )Confidencialidade
( )Integridade
( )Disponibilidade
PARTE B :Qual o item ou itens da NBR ISO IEC 17799 que poderia ser
implementado para minimizar ou eliminar a vulnerabilidade ? Apresente
um ou mais itens da norma
Item da norma:
Item da norma:
CASE 10: BANCO AMERICANO REVELA PERDA DE DADOS
Em dezembro de 2004, um grande banco americano revelou que
informaes de cerca de um milho e duzentos mil funcionrios do Governo
Americano sumiram das fitas dos seus computadores.
As fitas continham informaes preciosas de cartes de cobrana do
Governo Federal.
De acordo com a agncia de notcias, cerca de 900 mil funcionrios podem
ter sido afetados.

PARTE A :Identifique qual o componente da informao (apenas um)

mais afetado :
( )Confidencialidade
( )Integridade
( )Disponibilidade
PARTE B :Qual o item ou itens da NBR ISO IEC 17799 que poderia ser
implementado para minimizar ou eliminar a vulnerabilidade ? Apresente
um ou mais itens da norma
Item da norma:
Item da norma:
CASE 11:CPIA DE LIVROS
Em fevereiro de 2005, uma Copiadora de So Paulo, foi advertida por estar
tirando cpias no autorizadas de um livro de Medicina.
PARTE B :Qual o item ou itens da NBR ISO IEC 17799 que poderia ser
implementado para minimizar ou eliminar a vulnerabilidade ? Apresente
um ou mais itens da norma
Item da norma:
Anexos:
Anexo I :Requisitos da NBR ISO IEC 17799
BIBLIOGRAFIA
1)NBR ISO IEC 17799:2001 Tecnologia da informao Cdigo de prtica para
a gesto da segurana da informao ABNT-Associao Brasileira de Normas
Tcnicas
2) ISO IEC 17799 and BS 7799-2 Certification Experiences Ariosto Farias Jr
7799 Goes Global Seminar- Singapore, April 2004.