ISO17799 Modulo1

Entendendo e implementando a Norma ABNT NBR ISO/IEC 17799:2005
Academia Latino-Americana de Segurana da Informao Aspectos tericos e prticos para implantao da Norma ABNT NBR ISO/IEC 17799:2005
Mdulo 1
Academia Latino-Americana de Segurana da Informao Introduo ABNT NBR ISO/IEC 17799:2005 - Mdulo 1 Microsoft TechNet
Pgina 1
Entendendo e implementando a Norma ABNT NBR ISO/IEC 17799:2005
Apostila desenvolvida pelo Instituto Online em parceria com a Microsoft Informtica
http://www.instonline.com.br/
Reviso 1.1 Abril de 2006
COORDENADORES TCNICOS Arthur Roberto dos Santos Jnior Fernando Srgio Santos Fonseca Paulo Eustquio Soares Coelho
Pgina 2
COMO USAR ESSE MATERIAL

Este um material de apoio para o curso Entendendo e implementando a ABNT NBR ISO/IEC 17799:2005 ministrado pela Academia de Segurana Microsoft. Durante o curso sero apresentados vrios Webcasts com o contedo deste material acompanhado de slides e voz para ilustrar os conceitos e prticas. A cpia desses slides est em destaque na apostila, seguida de textos com informaes que sero abordadas pelo instrutor nos respectivos Webcasts.
LABORATRIO : TTULO AQUI

Os laboratrios de cada mdulo do curso so identificados dessa forma e seu roteiro est especificado sob o ttulo.
VDEO
Indica que ser apresentado um filme para ilustrar as prticas ou conceitos.
Pgina 3
NDICE
APRESENTAO ...............................................................................................................................5
1 - INTRODUO ABNT NBR/ISO/IEC 17799:2005 ....................................................................6 Objetivos ........................................................................................................................ 7 Conceitos bsicos de Segurana da Informao ........................................................... 8 Objetivos da Segurana da Informao ....................................................................... 10 Como implantar um sistema de sergurana da informao? ....................................... 12 2 ANLISE/AVALIAO E TRATAMENTO DE RISCOS ......................................................................15 Objetivo ........................................................................................................................ 16 Analisando/avaliando os riscos de segurana da informao ...................................... 17 Tratando os riscos de segurana da informao ......................................................... 21 3 POLTICA DE SEGURANA DA INFORMAO ..............................................................................26 Objetivo ........................................................................................................................ 27 O que uma poltica de serurana da informao ....................................................... 28 Criando uma poltica de segurana da informao ...................................................... 29 Contedo do documento formal da poltica de segurana da informao .................. 40 4 ORGANIZAO DA SEGURANA DA INFORMAO ......................................................................43 Objetivo ........................................................................................................................ 44 Estruturao da segurana da informao: Gesto de autorizao de novos recursos45 Estruturao da segurana da informao: Acordos de confidencialidade e sigilo para acessos de funcionrios, parte externa e cliente ......................................................... 47
Pgina 4
APRESENTAO
Os desafios para a implantao de um ambiente de segurana em qualquer empresa, independente do tamanho, so enormes. O maior problema implementar as polticas e normas de segurana em um sistema real, que possui aplicaes em funcionamento, hardware em produo, softwares proprietrios e de terceiros e, acima de tudo, pessoas. literalmente como trocar o pneu com o carro andando. Como a maior parte das informaes vitais para o sucesso de uma organizao reside em computadores, perdas de dados podem ser catastrficas. Os riscos de um negcio com sistema de segurana da informao inadequado so incalculveis. Segurana da informao manter a confidencialidade, integridade e disponibilidade da informao. Ela abrange muito mais do que a segurana da informao de TI. Ela cobre a segurana de toda e qualquer informao da empresa, esteja ela em meios eletrnicos, papel ou at mesmo na mente dos funcionrios. Motivados pela busca de solues para esses desafios, diversos profissionais de vrias reas e organizaes, vem se esforando para criar normas que sistematizem o trabalho de criar ambientes seguros de TI. Um desses resultados foi consolidado com a norma ABNT NBR ISO/IEC 17799:2005. Utilizando-se essa norma, que um guia de melhores prticas, simplifica-se o trabalho de adoo e implementao de polticas e padres definidos, bem como da posterior verificao da conformidade dos resultados alcanados. O objetivo deste curso entender as caractersticas de alguns padres de segurana e, em especial, fazer um estudo dos cdigos de prtica para gesto da segurana da informao contidos na norma ABNT NBR ISO/IEC 17799:2005, proporcionando um entendimento de como implementar, manter e melhorar a gesto da segurana da informao nas empresas. Ao final deste curso voc estar apto a: Entender os padres empregados para a gesto da segurana da informao; Entender a evoluo destes padres; Descrever os controles contidos na norma ABNT NBR ISO/IEC 17799:2005; Conceituar cada controle da norma; Atravs de um estudo de caso, implementar a norma em uma empresa.
Pgina 5
Captulo
1 - INTRODUO ABNT NBR/ISO/IEC 17799:2005

NESTE CAPTULO INICIAREMOS O ESTUDO DA NORMA ABNT NBR ISO/IEC 17799:2005. VEREMOS OS CONCEITOS BSICOS ABORDADOS PELA NORMA E
UMA FORMA PRTICA DE INICIAR A IMPLANTAO DE UM PROCESSO DE PLANEJAMENTO DE GESTO E MONITORAMENTO DE SEGURANA DE TI.
Pgina 6
OBJETIVOS
Neste captulo veremos os conceitos bsicos de segurana da informao, sua definio e passos gerais para sua implantao. Ao final deste captulo voc estar apto a: Conceituar a segurana da informao; Entender quais as fontes de requisitos de segurana da informao; Entender em linhas gerais quais os passos a serem trilhados para a obteno de uma ambiente seguro para a informao.
Pgina 7
CONCEITOS BSICOS DE SEGURANA DA INFORMAO
Ativo Ameaas Impacto Risco Vulnerabilidade
Toda e qualquer informao, que seja um elemento essencial para os negcios de uma organizao, deve ser preservada pelo perodo necessrio, de acordo com sua importncia. A informao um bem como qualquer outro e por isso deve ser tratada como um ativo. A interconexo das empresas atravs de links cabeados e/ou sem fio (wireless), internos e/ou externos, pessoas e aes da natureza, pode expor vulnerabilidades que colocam em risco as informaes. Assim, faz-se necessrio a implantao de processos de segurana que protejam a informao contra essas ameaas. A fim de proporcionar o bom entendimento das abordagens que sero feitas nesse curso, importante conceituarmos alguns termos. Outros no tratados diretamente nesta sesso so descritos ao longo do curso. Ameaa (threat): causa potencial de um incidente indesejado, que caso se concretize pode resultar em dano. Ativo (asset): qualquer coisa que tenha valor para um indivduo ou uma organizao, tais como, hardware de computadores, equipamentos de rede, edificaes, software, habilidade de produzir um produto ou fornecer um servio, pessoas, imagem da organizao, etc...
Pgina 8
Incidente de segurana (security incident): qualquer evento em curso ou ocorrido que contrarie a poltica de segurana, comprometa a operao do negcio ou cause dano aos ativos da organizao. Impacto (impact): conseqncias de um incidente de segurana. Risco (risk): combinao da probabilidade da concretizao de uma ameaa e suas conseqncias. Vulnerabilidade (vulnerability): fragilidade ou limitao de um ativo que pode ser explorada por uma ou mais ameaas.
Pgina 9
OBJETIVOS DA SEGURANA DA INFORMAO
Proteo da informao contra vrios tipos de ameaas para garantir: Continuidade do negcio Minimizao do risco ao negcio Maximizao do retorno sobre os investimentos Oportunidades de negcio
ABNT NBR ISO/IEC 17799:2005 ABNT NBR ISO/IEC 17799:2005

Qualquer tipo de informao deve ser protegido, esteja ele escrito ou desenhado em papel, armazenado em meios magnticos, em filmes ou falado. A segurana da informao obtida atravs da implantao de controles adequados, polticas, processos, procedimentos, estruturas organizacionais e funes de software e hardware. O objetivo da segurana da informao garantir o funcionamento da organizao frente s ameaas a que ela esteja sujeita. A norma ABNT NBR ISO/IEC 17799:2005 estabelece diretrizes e princpios para iniciar, implementar, manter e melhorar a gesto de segurana da informao em uma organizao. Essa frase confirma que a norma est alinhada com os objetivos de todas as outras normas criadas com o mesmo fim, conforme visto no captulo 2.
Pgina 10
consenso das normas da rea que os objetivos gerais da segurana da informao visam preservar a confidencialidade, integridade e disponibilidade da informao. Esse um conceito da antiga ISO/IEC 17799:2000. Porm, citado nesse curso por se tratar de um conceito amplamente difundido. Confidencialidade: tem o objetivo de garantir que apenas pessoas autorizadas tenham acesso informao. Essa garantia deve ser obtida em todos os nveis, desde a gerao da informao, passando pelos meios de transmisso, chegando a seu destino e sendo devidamente armazenada ou, se for necessrio, destruda sem possibilidade de recuperao. Esse processo tende a ser mais dispendioso, quanto maior for a necessidade de proteo da informao e, claro, quanto maior for o valor da informao a ser protegida. Modernos processos de criptografia aliados a controles de acesso so necessrios nessa etapa. Integridade: O objetivo da integridade garantir que a informao no seja alterada, a no ser por acesso autorizado. Isso significa dizer que uma informao ntegra no necessariamente uma informao correta, mas sim que ela no foi alterada em seu contedo. Esse processo a proteo da informao contra modificaes no autorizadas ou acidentais. Disponibilidade: Garantir que a informao sempre poder ser acessada quando for necessrio. Esse objetivo conseguido atravs da continuidade de servio dos meios tecnolgicos, envolvendo polticas de backup, redundncia e segurana de acesso. De nada adianta ter uma informao confivel e ntegra se ela no est acessvel quando solicitada. A ABNT NBR ISO/IEC 17799:2005 amplia o conceito acima enfatizando mais os resultados da implantao de um ambiente de segurana da informao, quando define que segurana da informao a proteo da informao de vrios tipos de ameaas para garantir a continuidade do negcio, minimizar o risco do negcio, maximizar o retorno sobre os investimentos e as oportunidades de negcio.
Pgina 11
COMO IMPLANTAR UM SISTEMA DE SERGURANA DA INFORMAO?
Identificando os requisitos de segurana da informao Analisando o ambiente de segurana Selecionando controles Implementando o ambiente de segurana Administrando o ambiente de segurana
ABNT NBR ISO/IEC 17799:2005 ABNT NBR ISO/IEC 17799:2005

Um processo de planejamento de gesto e monitoramento de segurana de TI pode variar muito em uma organizao. Devido aos diferentes estilos, tamanho e estrutura das organizaes, o processo deve se adequar ao ambiente em que ser usado. Alguns passos em linhas gerais so apresentados a seguir: 1. Identificar os requisitos de segurana da informao. Basicamente, existem trs fontes principais para obteno dos requisitos de segurana da informao: Anlise/avaliao de riscos para a organizao. Legislao vigente a que a organizao, seus parceiros comerciais e provedores de servio devem atender. Princpios, objetivos e requisitos do negcio. 2. Anlise do ambiente de segurana. o levantamento peridico dos riscos de segurana da informao, identificando as ameaas e vulnerabilidades. Os resultados desse passo iro direcionar a determinao das aes gerenciais que nortearo todo o processo de segurana da informao.
Pgina 12
3. Seleo de controles. Com os riscos identificados e com as medidas de tratamento desses riscos j providenciadas agora necessrio implementar controles que asseguraro a reduo dos riscos a nveis aceitveis. A seleo de controles pode ser feita a partir dessa norma ou de outra que atenda as necessidades da organizao. Esses controles incluem: Proteo de dados e privacidade de informaes pessoais; Proteo dos registros organizacionais; Direitos de propriedade intelectual; Documento de poltica de segurana da informao; Atribuio de responsabilidades; Treinamento e educao em segurana da informao; Processamento correto nas aplicaes a fim de prevenir erros, perdas, modificao no autorizada ou mau uso de informaes em aplicaes; Gesto de vulnerabilidades tcnicas; Gesto de continuidade de negcios; Gesto de incidentes de segurana e melhorias. 4. Implementao do ambiente de segurana. Consiste em: Criao, educao e disseminao interna da poltica de segurana da informao para todos os envolvidos; Uma estrutura para a implementao, manuteno, monitoramento e melhoria da segurana da informao; Comprometimento de todos os nveis gerenciais; Proviso de recursos financeiros para as atividades de gesto da segurana da informao. 5. Administrao do ambiente de segurana. Inclui: Estabelecimento de um processo de gesto de incidentes de segurana; Implementao de um sistema de medio, que colha dados para a avaliao de desempenho da gesto de segurana; Obteno de sugestes de melhorias; Implementao de melhorias levantadas no processo. Um fluxograma mais detalhado das fases do processo proposto pela norma ISO/IEC 13335-2 - Information technology Guidelines for the management of IT
Pgina 13
Security Part 2: Managing and Planning IT Security. Essa norma citada na ABNT NBR ISO/IEC 17799:2005 como informaes adicionais para o processo de implantao da segurana de TI. O fluxograma reproduzido abaixo deixa claro que os trabalhos devem ser iniciados a partir dos objetivos de mais alto nvel da empresa, ou seja, os negcios, e segue passando por definies de estratgia de segurana de TI at a elaborao de uma poltica de segurana de TI. importante que todas as atividades sejam tratadas dentro do estilo e maneira da organizao realizar negcios.
Viso do processo de planejamento e gesto de segurana de TI segundo a ISO/IEC 13335:2
Poltica de segurana de TI Poltica de segurana de TI Aspectos organizacionais da segurana de TI Aspectos organizacionais da segurana de TI
Anlise de Riscos Anlise de Riscos Recomendaes de segurana de TI Recomendaes de segurana de TI Poltica de segurana de sistemas de TI Poltica de segurana de sistemas de TI Planejamento de segurana de TI Planejamento de segurana de TI
Gesto de riscos
Divulgao e concincia da Divulgao e concincia da Poltica de segurana de TI Poltica de segurana de TI
Medidas Medidas de proteo de proteo
Implementao
Reavaliao da Poltica de segurana de TI Reavaliao da Poltica de segurana de TI
Pgina 14
Captulo
2 ANLISE/AVALIAO E TRATAMENTO DE
RISCOS
GERENCIAR
SEGURANA DE TI INCLUI A ANLISE E AVALIAO DE RISCOS E COMO REDUZ-LOS A UM NVEL ACEITVEL. NECESSRIO LEVAR EM CONTA OS OBJETIVOS DA ORGANIZAO, BEM COMO AS NECESSIDADES ESPECFICAS DE CADA SISTEMA E SEUS RISCOS. NESTE CAPTULO VEREMOS COMO FAZER UMA AVALIAO DE RISCOS E COMO MINIMIZ-LOS.
Pgina 15
OBJETIVO
Sistemas de informao esto constantemente sujeitos a riscos provenientes de aes maliciosas, acidentes ou erros inadvertidos de usurios. Avaliar os riscos potenciais e tomar aes para minimiz-los, tarefa de uma gesto de segurana da informao. Neste captulo sero abordadas as melhores prticas para avaliao de riscos e como trat-los. Ao final deste captulo voc estar apto a: Identificar, quantificar e priorizar os riscos; Determinar aes de gesto apropriadas para o gerenciamento dos riscos de segurana da informao; Estabelecer os critrios de aceitao dos riscos; Tomar decises sobre o tratamento dos riscos.
Pgina 16
ANALISANDO/AVALIANDO OS RISCOS DE SEGURANA DA INFORMAO
O que deve ser protegido Contra qual ameaa Avaliao do risco Recomendaes
Segundo as definies da norma, risco a combinao da probabilidade de um evento e de suas conseqncias. Por evento de segurana da informao, entenda-se uma ocorrncia identificada de um sistema, servio ou rede, que indica uma possvel violao da poltica de segurana da informao, ou falha de controles, ou uma situao previamente desconhecida, que possa ser relevante para a segurana da informao. O evento ento a concretizao de uma ameaa, que por sua vez a causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organizao. Portanto, avaliar riscos, passa pela avaliao de ameaas e vulnerabilidades. O principal desafio segurana da informao das organizaes identificar e qualificar os riscos e ameaas s suas operaes. Este o primeiro passo no desenvolvimento e gerenciamento de um efetivo programa de segurana. Identificar os riscos e ameaas mais significantes tornar possvel determinar aes apropriadas para reduzi-los. Uma vez identificados, os riscos devem ser qualificados para que sejam priorizados em funo de critrios de aceitao de riscos e dos objetivos relevantes para a organizao. Esta atividade apenas um elemento de uma
Pgina 17
srie de atividades de gerenciamento de riscos, que envolvem implementar polticas apropriadas e controles relacionados, promover a conscientizao das medidas, e monitorar e avaliar polticas e controles efetivos. A avaliao de riscos e ameaas no resulta em uma seleo de mecanismos de preveno, deteco e resposta para reduo de riscos. Ao contrrio ela simplesmente indica as reas onde esses mecanismos devem ser aplicados, e a prioridade que deve ser designada para o desenvolvimento de tais mecanismos. No contexto de gerenciamento de riscos, a avaliao de riscos e ameaas ir recomendar como minimizar, prevenir e aceitar os riscos. Como os riscos e ameaas podem mudar com o passar dos tempos, importante que a organizao periodicamente reavalie os mesmos e reconsidere as polticas e controles selecionados.
Pgina 18
Caminhos para se comprometer um ativo

Boas polticas de segurana bloqueiam alguns ataques
Ameaas no intencionais
Controles e diretrizes de segurana
Ferramentas Tcnicas e Mtodos
Vulnerabilidades
Ameaas mal intencionadas
Razes e objetivos
Fracas diretrizes de segurana podem permitir uma ataque
Ativos
Nenhum controle ou diretriz de segurana
Incidentes catastrficos
Existem vrios caminhos que podem comprometer um ativo, conforme o nvel de contramedidas implementadas. A figura acima d uma idia de que no h segurana totalmente garantida, mas sim implementaes sujeitas a falhas. Isso no deve ser desanimador, pois implementar algumas contramedidas melhor do que no implementar nenhuma. A avaliao de riscos visa exatamente determinar se as contramedidas existentes so suficientes ou no.
Pgina 19
Passos para uma avaliao de riscos

Identificar ameaas Identificar ameaas
Estimar probabilidade Estimar probabilidade de concretizao de concretizao de cada ameaa de cada ameaa Identificar Identificar oque a ameaa que a ameaa o afetar afetar Identificar custos de Identificar custos de reduo de riscos reduo de riscos
Documentar resultados Documentar resultados e criar planos de ao e criar planos de ao
Independente do tipo de risco a ser considerado, uma avaliao de riscos geralmente inclui os seguintes passos: Identificar ameaas que podem causar danos e afetar os ativos e operaes crticas. Ameaas incluem itens como intruses, crimes, empregados insatisfeitos, terrorismo e desastres naturais; Estimar a probabilidade da concretizao das ameaas, baseado em informaes histricas e julgamento de conhecimentos individuais; Identificar e qualificar o valor, susceptibilidade e criticidade da operao e do ativo que poder ser afetado se a ameaa se concretizar, a fim de determinar quais operaes e ativos so mais importantes; Identificar o custo das aes para eliminar ou reduzir o risco. Isto poder incluir a implementao de novas polticas organizacionais e procedimentos, bem como controles fsicos ou tcnicos; Documentar os resultados e desenvolver planos de ao.
Pgina 20
TRATANDO OS RISCOS DE SEGURANA DA INFORMAO

Matriz de gerenciamento de riscos
Alto nvel de vulnerabilidade
Mdio risco Baixo nvel de ameaas Baixo risco
Alto risco Alto nvel de ameaas Mdio risco
Baixo nvel de vulnerabilidade
O nvel de riscos segurana da informao aumenta conforme aumenta o nvel das ameaas e vulnerabilidades, como pode ser visto na matriz de gerenciamento de riscos [1] acima. O nvel do risco existente em uma organizao pode ser categorizado como: Alto: requer imediata ateno e implementao de contramedidas; Mdio: Requer ateno e implementao de contramedidas em um futuro prximo; Baixo: Requer alguma ateno e considerao para implementao de contramedidas como boas prticas de negcios.
Cada ameaa e vulnerabilidade identificada tambm deve ser qualificada. Essa qualificao varia conforme a organizao e o departamento. Por exemplo, a ameaa de enchente preocupa muito mais organizaes instaladas nas proximidades de rios do que aquelas instaladas em regies ridas. Danos causados a banco de dados de pesquisas de marketing podem ser menos danosos do que se causados a informaes relativas ao fluxo financeiro da organizao. Os nveis de qualificao das ameaas podem ser assim definidos:
Pgina 21
No aplicvel: significa que a ameaa considerada no relevante para a situao examinada; Baixo: no h histrico e considera-se que improvvel a concretizao da ameaa; Mdio: significa que h algum histrico e probabilidade que a ameaa se concretize; Alto: significa que h um histrico significante e uma avaliao de que a ameaa est por acontecer.
O objetivo da anlise de riscos identificar e avaliar os riscos e ameaas pelo qual o sistema de TI e seus ativos esto expostos, a fim identificar e selecionar contramedidas apropriadas. A tabela da pgina seguinte [2] ilustra como a avaliao das informaes de ameaas pode ser qualificada com base nos ativos que so colocados em risco. A avaliao de ameaas conforme a tabela inclui: a. b. c. d. Descrever as ameaas em termos de quem, como e quando; Estabelecer em qual classe de ameaa a mesma se enquadra; Determinar a probabilidade da concretizao da ameaa; Determinar as conseqncias nas operaes do negcio caso a ameaa se concretize; e. Calcular se o impacto das conseqncias leva a seqelas pouco srias, srias ou excepcionalmente graves. f. Calcular a taxa de exposio para cada ameaa, em termos da severidade relativa para a organizao.
Pgina 22
Ativo
Agente / evento - Descreva a ameaa
Descreva o ativo
- Quebra de sigilo: ameaa a confidencialidade da informao (Interceptao, manuteno imprpria, craker, procedimentos) - Interrupo: ameaa a disponibilidade da informao (terremoto, fogo, inundao, cdigo malicioso, falha de energia) - Modificao: ameaa a integridade da informao (entrada Classificao errada de dados, cdigos maliciosos, crakers) da ameaa - Destruio: terremoto, fogo, inundao, vandalismo, pico de energia) - Remoo ou perda: ameaa a confidencialidade e disponibilidade (Roubo de dados ou sistemas em mdias portteis como notebooks, Cds, disquetes)
Avaliao Probabilidade ocorra da da ocorrncia - Mdio: h histrico de ocorrncia e pode vir a ocorrer ameaa - Alto: h histrico de ocorrncia e grande probabilidade de ocorrer
Lista de conseqncias para a organizao caso a ameaa se Conseqncia concretize: relata as perdas ou outras conseqncias caso a da ocorrncia ameaa se concretize Determinar o impacto para a organizao em termos de custo associados com perda de confidencialidade, integridade e disponibilidade. O impacto pode ser: - Excepcionalmente grave - Srio - Pouco Srio Valor numrico de 1 a 9: - Excepcionalmente grave: 7 a 9 - Srio: 4 a 6 - Pouco Srio: 1 a 3
- Baixo: a ameaa nunca se concretizou e pouco provvel que
Impacto
Taxa de exposio
Pgina 23
A tabela a seguir, mostra um modelo genrico de avaliao de riscos e recomendaes. Juntamente com a tabela anterior pode ser usado para auxiliar na tomada de deciso que deve ser tomada para o tratamento de cada risco identificado. Segundo a norma, possveis opes de tratamento do risco incluem: a. Aplicar controles apropriados para reduzir os riscos; b. Conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente poltica da organizao e aos critrios para aceitao de risco; c. Evitar riscos, no permitindo aes que poderiam causar a ocorrncia dos mesmos; d. Transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores.
Ativo
Contramedidas existentes Vulnerabilidades Avaliao de riscos Riscos
Descreva o ativo
DESCREVA: contramedidas existentes para combater a ameaa DESCREVA: as vulnerabilidades relacionadas com a ameaa AVALIE os riscos como: - Baixo - Mdio - Alto RECOMENDA-SE: implementao de novas contramedidas ou remoo de contramedidas desnecessrias AVALIE: os riscos projetados como:
Contramedidas propostas
Riscos projetados Recomendaes
- Baixo - Mdio - Alto AVALIE AS CONTRAMEDIDAS COMO:
Avaliao de contramedidas
- Completamente satisfatria - Satisfatria na maioria dos aspectos - Necessita melhoras
OBS: Existem algumas metodologias para avaliao de riscos. Com base em necessidades de negcios, o Centro de Excelncia de Segurana (SCOE Security Center Of Excelence) da Microsoft desenvolveu uma metodologia completa que pode ser encontrada em: http://www.microsoft.com/brasil/security/guidance/riscos/default.mspx ; ou na sua verso completa e
Pgina 24
constantemente atualizada (em ingls) para download e contendo planilhas para ser utilizada durante a anlise, em: http://go.microsoft.com/fwlink/?linkid=32050
Pgina 25
Captulo
3 POLTICA DE SEGURANA DA INFORMAO

NESTE
CAPTULO VEREMOS COMO CRIAR UMA POLTICA DE SEGURANA DA INFORMAO
Pgina 26
OBJETIVO
Escrever uma poltica de segurana da informao envolve comprometimento de diversas reas de interesse e deve ser abraada por todos, desde a direo da organizao at cada um dos funcionrios, clientes e fornecedores com acesso ao sistema de informao, ou que possam de alguma forma comprometer o ativo protegido. O documento de poltica de segurana da informao deve ser elaborado de forma a servir como uma regra a ser seguida. Constantemente exigir atualizaes que reflitam as necessidades do negcio e a realidade da organizao. Neste captulo veremos como criar e organizar uma poltica de segurana da informao nas organizaes. Ao final deste captulo voc estar apto a: Conceituar o que uma poltica de segurana da informao; Fazer uma anlise crtica da poltica de segurana da informao; Estabelecer uma criteriosa poltica de segurana da informao conforme os requisitos do negcio; Entender os documentos requeridos para a implantao e divulgao da poltica de segurana da informao;
Pgina 27
O QUE UMA POLTICA DE SERURANA DA INFORMAO
Prover uma orientao e apoio da direo para a segurana da informao de acordo com os requisitos do negcio e com as leis e regulamentaes relevantes
prefervel uma poltica mal escrita a nenhuma poltica.
Segundo a norma ABNT NBR ISO/IEC 17799:2005, uma poltica de segurana da informao visa Prover uma orientao e apoio da direo para a segurana da informao de acordo com os requisitos do negcio e com as leis e regulamentaes relevantes, ou seja, ela prope uma poltica que sistematize um processo a fim de minimizar as preocupaes da direo com a segurana de seus ativos. Escrever uma poltica uma tarefa muitas vezes difcil e deve contar com o envolvimento de vrias pessoas, de vrios departamentos. Isso no deve ser desanimador e no se deve procrastinar o incio dos trabalhos, haja vista a fragilidade a que o negcio pode estar exposto. Se necessrio, para implementar e manter esta poltica, dever ser utilizada consultoria especializada, com conhecimento nos diversos aspectos da segurana dos bens de informao e das tecnologias que os apiam. Possuir uma poltica de segurana da informao na organizao importantssimo para o sucesso dos negcios. prefervel uma poltica mal escrita a nenhuma poltica.
Pgina 28
CRIANDO UMA POLTICA DE SEGURANA DA INFORMAO
1. Escreva o esboo do documento 2. Apresente seu esboo para a diretoria 3. Crie um comit de poltica de segurana 4. Divulgue a poltica 5. Leve a poltica a srio 6. Acate sugestes 7. Reavalie periodicamente 8. Refaa o processo
O primeiro passo para a criao de uma poltica de segurana da informao ter algum responsvel por ela. Deve haver uma rea responsvel pela poltica de segurana da informao, que se incumbir de sua criao, implantao, reviso, atualizao e designao de funes. Nessa rea deve ser escolhido um gestor responsvel pela anlise e manuteno da poltica. Para garantir a aplicao eficaz da poltica, o ideal que o alto escalo, como diretoria, gerentes e supervisores faam parte dessa rea, alm de usurios, desenvolvedores, auditores, especialistas em questes legais, recursos humanos, TI e gesto de riscos. Thomas A. Wadlow [Error! Bookmark not defined.], prope um processo para se estabelecer uma poltica que prev a possibilidade de implantao imediata na organizao sem muita delonga. A princpio o processo no requer o engajamento imediato da direo, que, aos poucos dever ser includa. Essa abordagem, leva em considerao a experincia na implantao do processo da poltica. Como a norma explcita no comprometimento da direo, neste curso adotaremos uma abordagem adaptada de Thomas A. Wadlow como o ponto de partida para a tarefa de implantao da poltica de segurana da informao. Vamos supor que voc leitor foi escolhido como o responsvel pela implantao
Pgina 29
da poltica de segurana da informao. Siga os passos abaixo para dar incio aos trabalhos o quanto antes:
Criando uma poltica de segurana da informao

1. Escreva o esboo do documento da poltica de segurana para sua organizao. Esse documento deve ser genrico, possuir apenas suas idias principais, sem preocupao com preciso. No dever possuir mais do que 5 pginas. Escreva tambm uma justificativa para sua implantao, sempre com o foco nos negcios e riscos a que a organizao est sujeita caso no se implante a poltica de segurana da informao. Procure fazer um documento com foco nos processos de negcio, e no na tecnologia. Para obter o apoio da diretoria necessrio que se mostre qual operao est em risco.
Pgina 30

2. Apresente seu esboo para a diretoria. O objetivo angariar a confiana no projeto e o engajamento da direo. Uma vez que ela esteja convencida da importncia da poltica, voc ter carta branca para a o incio da implantao. O apoio da diretoria fundamental para o sucesso da poltica de segurana. Em algumas situaes somente com o apoio da diretoria ser possvel aplicar as polticas criadas. A diretoria, ou alta gesto, conhecida no processo de poltica de segurana como patrocinador (ou sponsor), pois seu apoio garante que uma deciso vlida para toda a organizao.
Pgina 31

3. Crie um comit de poltica de segurana. Esse comit dever ser formado por pessoas interessadas na criao da poltica de segurana e devem ser de setores distintos na organizao. Com base em seu documento, a funo do comit ser: a. escrever as regras para a poltica; b. definir atribuies; c. detalhar os procedimentos bem como as penas para violaes da mesma; d. aprovar as normas estipuladas e alteraes propostas. O comit ter a funo legisladora do processo. Porm, continua sendo sua a responsabilidade pela aplicao da poltica. O comit dever se reunir pelo menos uma vez a cada trs meses e, extraordinariamente, se houver necessidade. A reunio tem o objetivo de avaliar e aprimorar a poltica de segurana, os incidentes ocorridos e as aes tomadas para correo. O documento criado por voc, juntamente com o comit, dever ter uma linguagem simples a fim de que todos os usurios a entendam e possam aplic-la com facilidade. Assim, para que a poltica de segurana da informao seja eficaz, o documento ser na verdade, um conjunto de polticas inter-relacionadas. A partir deste momento, voc j ter em mos um documento oficial que dever ser aceito e aprovado pela direo. Dependendo da natureza da organizao esse documento tende a ser
Pgina 32
muito extenso com dezenas ou centenas de pginas. Embora a formao do comit varie de organizao para organizao, procure envolver (sempre que possvel) pessoas de diversas reas, com diversas vises, sendo assim, importante a participao de pessoas da rea de Auditoria, Jurdico, Recursos Humanos e de Associaes de classe, alm de tecnologia. Desta forma um maior nmero de pontos de vistas e interesses sero levados em considerao, garantindo maior transparncia e abrangncia.
Pgina 33

4. Divulgue a poltica de segurana da informao. A poltica deve ser de conhecimento de todos e compreensvel para todos que interagem com a organizao, usurios internos e externos. Deve sempre estar nas mos de quem vai utiliz-la. Porm, de nada vale colocar o documento inteiro nas mos de quem vai utilizar apenas uma parte. Um funcionrio da limpeza precisa saber como limpar um determinado equipamento preservando a integridade fsica do mesmo. Caso veja, por exemplo, um fio desencapado, deve saber a quem avisar para solucionar o incidente. Um funcionrio da contabilidade precisa saber sua senha para acessar o banco de dados pertinente ao seu setor. Precisa saber tambm a quem recorrer caso precise acessar dados antigos, armazenados em fita, e que precisam ser restaurados. Porm, no precisa saber os detalhes de como so realizados os backups. A divulgao eficaz aquela que atinge a pessoa certa com a informao que ela precisa saber. Ela no precisa ler toda a poltica de segurana, mas a parte que lhe interessa. Essa divulgao segmentada fator imprescindvel para o sucesso da empreitada. claro que isso no exclui a necessidade de divulgao de todo o documento caso algum se interesse em l-lo. Uma forma prtica de divulgao a criao de um Web site na intranet da empresa. Nele todas as informaes sobre a poltica devem ser bem
Pgina 34
redigidas e separadas em sees, facilitando o acesso a polticas gerais s quais todos devem obedecer e a polticas especficas para cada setor. Este site servir de repositrio de tudo o que for estabelecido na poltica e servir tambm para coletar sugestes. Outras formas de divulgao tambm podero ser usadas como um frum, e-mails peridicos, ferramentas colaborativas de troca de informao. Se a poltica de segurana da informao for divulgada fora da organizao, tome o cuidado de no revelar informaes sensveis. Lembre-se de classificar as informaes sigilosas para acesso apenas a pessoas especficas.
Pgina 35

5. Trate a poltica e as emendas como regras absolutas com fora de lei. Uma vez que a poltica j do conhecimento de todos, no pode haver violaes da mesma. Caso isso ocorra, devem ser previstos procedimentos que vo de advertncias a punies. As violaes devem ser analisadas em suas causas, conseqncias e circunstncias, a fim de que sejam tomadas medidas preventivas e corretivas que alterem a poltica para evitar nova situao de vulnerabilidade. Lembre-se que tudo deve ser documentado. Neste ponto, o apoio da diretoria tratado nos itens 1 e 2 fundamental para que se possa cumprir as punies previstas na poltica. Caso estas deixem de ser cumpridas a poltica perde sua credibilidade e fora junto aos demais colaboradores da organizao.
Pgina 36

6. Sugestes so sempre bem-vindas. Incentive que os colaboradores proponham sugestes de melhorias. Todas devem ser levadas em considerao. As pessoas que esto na rotina do trabalho, so as que mais esto aptas a levantar problemas de segurana na respectiva rea, ou mesmo provoc-los. Algumas sugestes podem mostrar tambm que a poltica possui um rigor exagerado em determinado item, o que pode tornar seu cumprimento demasiadamente oneroso. Neste caso devemos analisar as crticas e estudar uma forma alter-las ou criar tratamento de excees para garantir o cumprimento das normas. Facilite o canal de comunicao para que as sugestes cheguem ao comit. As sugestes pertinentes devero virar emendas poltica.
Pgina 37

7. Realize reunies peridicas para consolidar a poltica e as emendas. Essas reunies devero ocorrer pelo menos uma vez ao ano. Devero participar todo o comit de poltica de segurana, a direo, e os responsveis com funes delegadas. O objetivo realizar uma anlise crtica da poltica de segurana vigente, das emendas e dos incidentes relatados. Esta avaliao poder gerar um documento atualizado que inclua todas as alteraes. Neste ponto devemos considerar as sugestes levantadas no item 6 e todas as alteraes do ambiente desde a ltima reunio, bem como mudanas na legislao, para que sirvam como base para o processo de reviso.
Pgina 38

8. Refaa o processo. A nova declarao gerada no passo 7 dever passar por todo o processo novamente, a fim de que entre em vigor e seja do conhecimento de todos.
Todos os 8 passos apresentados no so fceis e envolvem muito trabalho, porm criam uma metodologia por etapas que, uma vez seguida, levar ao sucesso da criao da poltica de segurana da informao.
Pgina 39
CONTEDO DO DOCUMENTO FORMAL
DA POLTICA DE SEGURANA DA INFORMAO
rmao na da info a de segura Poltic a. Definio o b. Declara de controles c. Estrutura gislao idade com le d. Conform nto cio e. Treiname ade de neg de continuid f. Gesto laes cias das vio Consequn des g. sponsabilida finio de re h. De s i. Referncia
O contedo do documento elaborado para a poltica de segurana da informao varia de uma organizao para outra, em funo de sua maturidade, disponibilidade de recursos, necessidades do negcio, rea de atuao, etc... Deve ser simples, objetivo e compreensvel para todos. O Documento consta normalmente de: a. Definio de segurana da informao, metas, escopo e importncia da segurana da informao como mecanismo que possibilita o compartilhamento da informao. Esse item um texto explicativo do que segurana da informao, como o texto apresentado no captulo 3, subitens Conceitos bsicos de Segurana da Informao e Objetivos da Segurana da Informao. b. Declarao do comprometimento da direo apoiando metas e princpios. Mais uma vez, uma etapa bem simples de ser executada. Pode ser apenas uma frase assinada pela direo, como por exemplo: A Diretoria da XYZ S/A declara-se comprometida em proteger todos os ativos ligados Tecnologia da Informao, apoiando as metas e princpios da segurana da informao estabelecidas neste documento, a fim de garantir a confiabilidade, disponibilidade e integridade da informao,
Pgina 40
alinhada com as estratgias do negcio. O importante nesse item que a assinatura da direo realmente expresse a vontade e engajamento do alto escalo da empresa, apoiando ativamente as aes a serem implantadas e definindo atribuies de forma explcita. c. Estrutura para estabelecer objetivos de controles e controles, incluindo estrutura e anlise/avaliao e gerenciamento de risco. Veja o captulo 4. d. Princpios de conformidade com a legislao e regulamentos contratuais. Aqui deve ser avaliada a questo legal do negcio, suas conformidades com a legislao vigente e com regulamentos e contratos. As clusulas do documento de poltica de segurana da informao devem estar em conformidade com essa avaliao. Por exemplo, caso a organizao seja uma entidade pblica, ela est obrigada a obedecer uma poltica de segurana conforme o decreto presidencial n 0 3.505. e. Plano de treinamento em segurana da informao. muito importante que todos os envolvidos com a segurana da informao, tenham no s acesso ao documento de poltica, como tambm sejam instrudos no processo de implantao e uso da poltica. Tendo conhecimento e formao adequada, a eficcia do plano de segurana ter mais chances de sucesso. Alm disso, todos passam a ser co-responsveis pelo processo uma vez que no podem alegar desconhecimento do mesmo. O treinamento poder ser feito, por exemplo, atravs de seminrios programados, distribuies de cartilhas com informaes sobre a segurana da informao, e-mails regulares com dicas sobre o assunto e site de divulgao da poltica. f. Plano para gesto de continuidade do negcio. um conjunto de estratgias e procedimentos que visam garantir que no haver interrupo das atividades do negcio, alm de proteger os processos crticos no caso de alguma falha. um conjunto de medidas que combinam aes preventivas e de recuperao.
g. Conseqncia das violaes na poltica de segurana. necessrio que todos saibam das conseqncias da violao na poltica. Essas conseqncias passam por punies que devem ser explicitadas no documento. O responsvel pela aplicao da poltica deve estar bem preparado para a eventualidade de ter que, por exemplo, solicitar a
Pgina 41
demisso de um bom funcionrio que tenha violado a poltica. Isso pode ser constrangedor, mas necessrio. Por isso, explicite e divulgue bem essa parte para evitar desculpas de desconhecimento das normas. h. Definio das responsabilidades na gesto da segurana. A designao das responsabilidades pela proteo de cada ativo e pelo cumprimento de processos de segurana da informao especficos devem ser claramente definidas. Essa uma atribuio do comit gestor da poltica. Para que haja o comprometimento dos responsveis, pode ser criado um termo de responsabilidade e sigilo que compromete os envolvidos, internos e externos com a poltica de segurana da organizao. Esses responsveis podem delegar tarefas de segurana da informao para outros usurios, porm continuam responsveis pela mesma. i. Referncias documentao que apiam a poltica. Esta parte do documento serve para fortalecer ainda mais a poltica, indicando documentos complementares que detalham procedimentos de sistemas implantados ou regras a serem seguidas.
Pgina 42
Captulo
4 ORGANIZAO DA SEGURANA DA INFORMAO

NESTE
CAPTULO VEREMOS ALGUNS ASPECTOS COMPLEMENTARES SOBRE COMO ORGANIZAR UMA POLTICA DE SEGURANA DA INFORMAO
Pgina 43
OBJETIVO
Neste captulo veremos alguns aspectos complementares para a organizao de uma poltica de segurana da informao. Ao final deste captulo voc estar apto a: Entender a importncia do gerenciamento de autorizao de novos recursos; Porque criar acordos de confidencialidade; Lidar com informaes sigilosas quando a operao envolve servios de terceiros.
Pgina 44
ESTRUTURAO DA SEGURANA DA INFORMAO: GESTO DE AUTORIZAO DE NOVOS

RECURSOS
DISPOSITIVOS MVEIS INTERNET
Gesto de autorizao de novos recursos

DADOS
IDENTIFIQUE-SE
SOFTWARES
IMPRESSORAS
Autorizar o acesso a novos recursos de processamento de informao uma tarefa rotineira de um administrador de rede, que exerce a funo de administrador de usurios. A cada momento algum solicita acesso a uma impressora especfica ou informaes de um banco de dados, ou a qualquer outro recurso. Para autorizar acessos aos recursos, o administrador deve ter em mos um processo de gesto que seja compatvel com a poltica de segurana. Esse processo definir quem poder ter acesso a um recurso. Isso pode ser obtido, por exemplo, atravs de controles lgicos de acesso. Estes tm o objetivo de impedir acessos no autorizados, protegendo os equipamentos, aplicativos e arquivos de dados contra perda, modificao ou divulgao no autorizada. O processo de gesto de autorizao de novos recursos, tambm deve prever a verificao de compatibilidade de softwares e hardwares com o sistema. Dispositivos mveis devem ter ateno especial, uma vez que podem introduzir novas vulnerabilidades. Como a maioria dos dispositivos mveis como os PDAs e os notebooks, j vem de fbrica com interfaces sem fio (wireless) instalada, e como mesmo os dispositivos como placas de redes sem fio e pontos de acesso
Pgina 45
(access point) so hoje dispositivos do tipo plug & play (conecte e use), eles criam um portal de entrada rede caso configuraes de segurana no sejam adequadamente executadas. Dispositivos sem fio esto cada vez mais populares e seus benefcios para o usurio so inegveis. Porm, as empresas tm de criar processos de segurana especficos que as protejam, como procedimentos de autenticao de usurios, sistemas de varredura para deteco de pontos de acesso clandestinos (muitas vezes conectados rede inocentemente por um funcionrio que deseja usufruir a mobilidade) e incluso de todos os equipamentos em um servio de diretrio.
Pgina 46
ESTRUTURAO DA SEGURANA DA INFORMAO: ACORDOS DE CONFIDENCIALIDADE E SIGILO PARA ACESSOS DE FUNCIONRIOS, PARTE EXTERNA E CLIENTE
Acordos de confidencialidade e restries de acesso

Objetivo: Proteger todo conhecimento tcnico ou informao confidencial contra divulgao no autorizada por: Funcionrios; Ex-funcionrios; Terceirizados; Partes externas; Clientes.
Segurana um problema que envolve principalmente pessoas, mais at do que aspectos fsicos ou aspectos tecnolgicos. Por isso, necessrio que haja procedimentos especficos que tratem com cuidado as pessoas que tm acesso s informaes da organizao. Um dos grandes riscos para segurana da informao, a quebra de sigilo das informaes por parte de funcionrios contratados ou terceirizados e partes externas. Essa quebra de sigilo pode ocorrer intencionalmente ou no. Um funcionrio pode comentar uma informao em simples conversas informais em uma mesa de bar ou no saguo do aeroporto. Essa conversa pode ser ouvida por um concorrente que se beneficiar da informao. Outro risco o ex-funcionrio insatisfeito que divulga a terceiros, informaes cruciais da organizao, ou que j sabendo de sua demisso, toma alguma ao que viole a segurana interna. Para tentar coibir essas aes, o responsvel pela poltica tem a obrigao de orientar um novo funcionrio quanto poltica de segurana e as devidas punies cabveis, caso a mesma no seja cumprida.
Pgina 47
Alm de todas as medidas de segurana efetivas implantadas, recomendvel que sejam criados acordos de confidencialidade e sigilo das informaes acessadas dentro da organizao. Esses acordos devem seguir termos legais a fim de que tenham valor jurdico no caso de violao do mesmo. O acordo de confidencialidade e sigilo deve ser bem explcito quanto natureza do que se est protegendo. Tem o objetivo de proteger todo o conhecimento, tcnico ou informao confidencial capaz de possibilitar seu emprego no processo produtivo econmico. A proteo pretendida pelo acordo ter validade no s dentro do prazo de relao entre as partes, como tambm na ausncia dele. Eventualmente, dependendo do tipo de informao, o acordo de confidencialidade e sigilo poder ser por tempo determinado, permitindo a divulgao do bem protegido ao fim daquele prazo ou em prazo previsto. Empresas parceiras ou contratadas para um determinado servio, tambm podem se beneficiar de informaes sigilosas a que tenham acesso. Por isso, os acordos devem ser aplicados tambm a partes externas a organizao. Uma outra fonte de risco a ser analisada com relao a partes externas, o acesso destes aos recursos de processamento da informao. Leve em considerao que produtos e servios oriundos de partes externas podem reduzir a segurana da informao. Por exemplo, a permisso de acesso a Internet para o notebook de um visitante, deve ser feita com contas especficas com restries de acesso a qualquer outro recurso da rede, pois uma vez conectado o visitante poder explorar vulnerabilidades da rede, ou mesmo sem inteno, introduzir algum vrus no sistema. Avalie todos os riscos potenciais que partes externas podem trazer e tome as contramedidas cabveis. Por exemplo, o acesso fsico a computadores por parte de um visitante ou contratado para um servio, ou o acesso lgico deste a banco de dados, ou a uma conexo a rede, etc., s poder ser feito com a autorizao especfica do responsvel pela segurana de TI, o qual dever permitir o acesso apenas aos recursos estritamente necessrios ao trabalho a ser desempenhado. O acesso de clientes e terceiros aos ativos ou s informaes da organizao tambm deve ser controlado e atender aos requisitos de segurana da
Pgina 48
informao. Para isso, devem ser criados acordos com o cliente, os quais contero todos os riscos identificados e os requisitos de segurana da informao. Tambm devem ser includos procedimentos de controles requeridos em um plano de gesto, como controle com identificadores nicos de acesso, atravs de usurio e senha, nmero de licena para ativao de software adquirido, etc.
Pgina 49
Normas tcnicas 1. ABNT NBR ISO/IEC 17799:2005 - Tecnologia da informao Tcnicas de segurana Cdigo de prtica para a gesto de segurana da informao. Associao Brasileira de Normas Tcnicas (ABNT). Segunda edio, 2005. 2. ISO/IEC FDIS 17799:2005(E) Information technology Security techniiques - Code of practice for information security management. ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission), 2005. 3. ISO/IEC 13335-2 - Information technology - Guidelines for the management of IT Security - Part 2: Managing and Planning IT Security. ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission). 4. Information Technology Infraestructure Library (ITIL). Office of Government of Commerce (OGC), 1989. 5. CobiT (Control Objectives for Information and related Technology). ISACA (Information systems Audit and Control Foundation), 1996. 6. BS 15000:2000 - Specification for IT service management. British Standards Institution (BSI), 2000. 7. ISO/IEC 20000 - IT Service Management Standards. ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission), 2005. 8. BS 7799 - Information security management Part 1: Code of practice for Information security management. British Standard, 1999.
Referncias
1
www.microsoft.com/brasil/security/guidance/prodtech/win2000/secmod133.mspx#EDF.
2
Guide to Threat and Risk Assessment for Information Technology Security Information Publication 5 IT Security of the RCMP 1994.
Pgina 50

ISO17799 Modulo1

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

ISO17799 Modulo1

Enviado por

Direitos autorais:

Formatos disponíveis

Entendendo e implementando a Norma ABNT NBR ISO/IEC 17799:2005

Entendendo e implementando a Norma ABNT NBR ISO/IEC 17799:2005

Apostila desenvolvida pelo Instituto Online em parceria com a Microsoft Informtica

Reviso 1.1 Abril de 2006

COMO USAR ESSE MATERIAL

LABORATRIO : TTULO AQUI

1 - INTRODUO ABNT NBR/ISO/IEC 17799:2005

CONCEITOS BSICOS DE SEGURANA DA INFORMAO

Ativo Ameaas Impacto Risco Vulnerabilidade

OBJETIVOS DA SEGURANA DA INFORMAO

ABNT NBR ISO/IEC 17799:2005 ABNT NBR ISO/IEC 17799:2005

COMO IMPLANTAR UM SISTEMA DE SERGURANA DA INFORMAO?

ABNT NBR ISO/IEC 17799:2005 ABNT NBR ISO/IEC 17799:2005

Viso do processo de planejamento e gesto de segurana de TI segundo a ISO/IEC 13335:2

Divulgao e concincia da Divulgao e concincia da Poltica de segurana de TI Poltica de segurana de TI

Medidas Medidas de proteo de proteo

Reavaliao da Poltica de segurana de TI Reavaliao da Poltica de segurana de TI

ANALISANDO/AVALIANDO OS RISCOS DE SEGURANA DA INFORMAO

Caminhos para se comprometer um ativo

Controles e diretrizes de segurana

Ferramentas Tcnicas e Mtodos

Ameaas mal intencionadas

Ferramentas Tcnicas e Mtodos

Ferramentas Tcnicas e Mtodos

Fracas diretrizes de segurana podem permitir uma ataque

Nenhum controle ou diretriz de segurana

Passos para uma avaliao de riscos

Documentar resultados Documentar resultados e criar planos de ao e criar planos de ao

TRATANDO OS RISCOS DE SEGURANA DA INFORMAO

Mdio risco Baixo nvel de ameaas Baixo risco

Alto risco Alto nvel de ameaas Mdio risco

Baixo nvel de vulnerabilidade

- Baixo: a ameaa nunca se concretizou e pouco provvel que

Riscos projetados Recomendaes

- Baixo - Mdio - Alto AVALIE AS CONTRAMEDIDAS COMO:

- Completamente satisfatria - Satisfatria na maioria dos aspectos - Necessita melhoras

3 POLTICA DE SEGURANA DA INFORMAO

O QUE UMA POLTICA DE SERURANA DA INFORMAO

prefervel uma poltica mal escrita a nenhuma poltica.

CRIANDO UMA POLTICA DE SEGURANA DA INFORMAO

Criando uma poltica de segurana da informao

Criando uma poltica de segurana da informao

Criando uma poltica de segurana da informao

Criando uma poltica de segurana da informao

Criando uma poltica de segurana da informao

Criando uma poltica de segurana da informao

Criando uma poltica de segurana da informao

Criando uma poltica de segurana da informao

CONTEDO DO DOCUMENTO FORMAL

DA POLTICA DE SEGURANA DA INFORMAO

4 ORGANIZAO DA SEGURANA DA INFORMAO

ESTRUTURAO DA SEGURANA DA INFORMAO: GESTO DE AUTORIZAO DE NOVOS

DISPOSITIVOS MVEIS INTERNET

Gesto de autorizao de novos recursos

Acordos de confidencialidade e restries de acesso

Você também pode gostar