ISO17799 Modulo1 PDF

Entendendo e implementando a Norma
ABNT NBR ISO/IEC 17799:2005

Academia Latino-Americana de Segurana da Informao
Aspectos tericos e prticos para implantao da Norma
Mdulo 1

Introduo ABNT NBR ISO/IEC 17799:2005 - Mdulo 1 Microsoft TechNet
Pgina 1
Entendendo e implementando a Norma

Apostila desenvolvida pelo Instituto Online em parceria com

a Microsoft Informtica
http://www.instonline.com.br/
Reviso 1.1 Abril de 2006
COORDENADORES TCNICOS
Arthur Roberto dos Santos Jnior
Fernando Srgio Santos Fonseca
Paulo Eustquio Soares Coelho

Pgina 2
COMO USAR ESSE MATERIAL

Este um material de apoio para o curso Entendendo e implementando a ABNT
NBR ISO/IEC 17799:2005 ministrado pela Academia de Segurana Microsoft.
Durante o curso sero apresentados vrios Webcasts com o contedo deste
material acompanhado de slides e voz para ilustrar os conceitos e prticas. A cpia
desses slides est em destaque na apostila, seguida de textos com informaes
que sero abordadas pelo instrutor nos respectivos Webcasts.
LABORATRIO : TTULO AQUI

Os laboratrios de cada mdulo do curso so identificados dessa forma e
seu roteiro est especificado sob o ttulo.
VDEO
Indica que ser apresentado um filme para ilustrar as prticas ou conceitos.

Pgina 3
NDICE
APRESENTAO ...............................................................................................................................5
1 - INTRODUO ABNT NBR/ISO/IEC 17799:2005 ....................................................................6

Objetivos ........................................................................................................................ 7
Conceitos bsicos de Segurana da Informao ........................................................... 8
Objetivos da Segurana da Informao ....................................................................... 10
Como implantar um sistema de sergurana da informao? ....................................... 12
2 ANLISE/AVALIAO E TRATAMENTO DE RISCOS ......................................................................15
Objetivo ........................................................................................................................ 16
Analisando/avaliando os riscos de segurana da informao ...................................... 17
Tratando os riscos de segurana da informao ......................................................... 21
3 POLTICA DE SEGURANA DA INFORMAO ..............................................................................26
Objetivo ........................................................................................................................ 27
O que uma poltica de serurana da informao ....................................................... 28
Criando uma poltica de segurana da informao ...................................................... 29
Contedo do documento formal da poltica de segurana da informao .................. 40
4 ORGANIZAO DA SEGURANA DA INFORMAO ......................................................................43
Objetivo ........................................................................................................................ 44
Estruturao da segurana da informao: Gesto de autorizao de novos recursos45
Estruturao da segurana da informao: Acordos de confidencialidade e sigilo para
acessos de funcionrios, parte externa e cliente ......................................................... 47

Pgina 4
APRESENTAO
Os desafios para a implantao de um ambiente de segurana em qualquer
empresa, independente do tamanho, so enormes. O maior problema
implementar as polticas e normas de segurana em um sistema real, que possui
aplicaes em funcionamento, hardware em produo, softwares proprietrios e
de terceiros e, acima de tudo, pessoas. literalmente como trocar o pneu com o
carro andando.
Como a maior parte das informaes vitais para o sucesso de uma organizao
reside em computadores, perdas de dados podem ser catastrficas. Os riscos de
um negcio com sistema de segurana da informao inadequado so
incalculveis. Segurana da informao manter a confidencialidade, integridade
e disponibilidade da informao. Ela abrange muito mais do que a segurana da
informao de TI. Ela cobre a segurana de toda e qualquer informao da
empresa, esteja ela em meios eletrnicos, papel ou at mesmo na mente dos
funcionrios.
Motivados pela busca de solues para esses desafios, diversos profissionais de
vrias reas e organizaes, vem se esforando para criar normas que
sistematizem o trabalho de criar ambientes seguros de TI. Um desses resultados
foi consolidado com a norma ABNT NBR ISO/IEC 17799:2005. Utilizando-se essa
norma, que um guia de melhores prticas, simplifica-se o trabalho de adoo e
implementao de polticas e padres definidos, bem como da posterior
verificao da conformidade dos resultados alcanados.
O objetivo deste curso entender as caractersticas de alguns padres de
segurana e, em especial, fazer um estudo dos cdigos de prtica para gesto da
segurana da informao contidos na norma ABNT NBR ISO/IEC 17799:2005,
proporcionando um entendimento de como implementar, manter e melhorar a
gesto da segurana da informao nas empresas.
Ao final deste curso voc estar apto a:
Entender os padres empregados para a gesto da segurana da informao;
Entender a evoluo destes padres;
Descrever os controles contidos na norma ABNT NBR ISO/IEC
17799:2005;
Conceituar cada controle da norma;
Atravs de um estudo de caso, implementar a norma em uma empresa.

Pgina 5
Captulo
1 - INTRODUO ABNT NBR/ISO/IEC

17799:2005
NESTE CAPTULO INICIAREMOS O ESTUDO DA NORMA ABNT NBR ISO/IEC
17799:2005. VEREMOS OS CONCEITOS BSICOS ABORDADOS PELA NORMA E
UMA FORMA PRTICA DE INICIAR A IMPLANTAO DE UM PROCESSO DE
PLANEJAMENTO DE GESTO E MONITORAMENTO DE SEGURANA DE TI.

Pgina 6
OBJETIVOS
Neste captulo veremos os conceitos bsicos de segurana da informao, sua
definio e passos gerais para sua implantao.
Ao final deste captulo voc estar apto a:
Conceituar a segurana da informao;
Entender quais as fontes de requisitos de segurana da informao;
Entender em linhas gerais quais os passos a serem trilhados para a obteno
de uma ambiente seguro para a informao.

Pgina 7
CONCEITOS BSICOS DE SEGURANA DA INFORMAO
Ativo
Ameaas
Impacto
Risco
Vulnerabilidade
Toda e qualquer informao, que seja um elemento essencial para os negcios

de uma organizao, deve ser preservada pelo perodo necessrio, de acordo
com sua importncia. A informao um bem como qualquer outro e por isso
deve ser tratada como um ativo.
A interconexo das empresas atravs de links cabeados e/ou sem fio (wireless),
internos e/ou externos, pessoas e aes da natureza, pode expor vulnerabilidades
que colocam em risco as informaes. Assim, faz-se necessrio a implantao de
processos de segurana que protejam a informao contra essas ameaas.
A fim de proporcionar o bom entendimento das abordagens que sero feitas
nesse curso, importante conceituarmos alguns termos. Outros no tratados
diretamente nesta sesso so descritos ao longo do curso.
Ameaa (threat): causa potencial de um incidente indesejado, que caso se
concretize pode resultar em dano.
Ativo (asset): qualquer coisa que tenha valor para um indivduo ou uma
organizao, tais como, hardware de computadores, equipamentos de rede,
edificaes, software, habilidade de produzir um produto ou fornecer um
servio, pessoas, imagem da organizao, etc...

Pgina 8
Incidente de segurana (security incident): qualquer evento em curso ou

ocorrido que contrarie a poltica de segurana, comprometa a operao do
negcio ou cause dano aos ativos da organizao.
Impacto (impact): conseqncias de um incidente de segurana.
Risco (risk): combinao da probabilidade da concretizao de uma ameaa
e suas conseqncias.
Vulnerabilidade (vulnerability): fragilidade ou limitao de um ativo que pode
ser explorada por uma ou mais ameaas.

Pgina 9
OBJETIVOS DA SEGURANA DA INFORMAO
Proteo da informao contra vrios tipos de ameaas

para garantir:
Continuidade do negcio
Minimizao do risco ao negcio
Maximizao do retorno sobre os
investimentos
Oportunidades de negcio
ABNT
ABNT NBR
NBR ISO/IEC
ISO/IEC 17799:2005
17799:2005
Qualquer tipo de informao deve ser protegido, esteja ele escrito ou desenhado
em papel, armazenado em meios magnticos, em filmes ou falado.
A segurana da informao obtida atravs da implantao de controles
adequados, polticas, processos, procedimentos, estruturas organizacionais e
funes de software e hardware.
O objetivo da segurana da informao garantir o funcionamento da
organizao frente s ameaas a que ela esteja sujeita.
A norma ABNT NBR ISO/IEC 17799:2005 estabelece diretrizes e princpios para
iniciar, implementar, manter e melhorar a gesto de segurana da informao em
uma organizao. Essa frase confirma que a norma est alinhada com os
objetivos de todas as outras normas criadas com o mesmo fim, conforme visto no
captulo 2.

Pgina 10
consenso das normas da rea que os objetivos gerais da segurana da

informao visam preservar a confidencialidade, integridade e disponibilidade da
informao. Esse um conceito da antiga ISO/IEC 17799:2000. Porm, citado
nesse curso por se tratar de um conceito amplamente difundido.
Confidencialidade: tem o objetivo de garantir que apenas pessoas
autorizadas tenham acesso informao. Essa garantia deve ser obtida em
todos os nveis, desde a gerao da informao, passando pelos meios de
transmisso, chegando a seu destino e sendo devidamente armazenada ou,
se for necessrio, destruda sem possibilidade de recuperao. Esse
processo tende a ser mais dispendioso, quanto maior for a necessidade de
proteo da informao e, claro, quanto maior for o valor da informao a
ser protegida. Modernos processos de criptografia aliados a controles de
acesso so necessrios nessa etapa.
Integridade: O objetivo da integridade garantir que a informao no seja
alterada, a no ser por acesso autorizado. Isso significa dizer que uma
informao ntegra no necessariamente uma informao correta, mas
sim que ela no foi alterada em seu contedo. Esse processo a proteo
da informao contra modificaes no autorizadas ou acidentais.
Disponibilidade: Garantir que a informao sempre poder ser acessada
quando for necessrio. Esse objetivo conseguido atravs da continuidade
de servio dos meios tecnolgicos, envolvendo polticas de backup,
redundncia e segurana de acesso. De nada adianta ter uma informao
confivel e ntegra se ela no est acessvel quando solicitada.
A ABNT NBR ISO/IEC 17799:2005 amplia o conceito acima enfatizando mais os
resultados da implantao de um ambiente de segurana da informao, quando
define que segurana da informao a proteo da informao de vrios tipos
de ameaas para garantir a continuidade do negcio, minimizar o risco do
negcio, maximizar o retorno sobre os investimentos e as oportunidades de
negcio.

Pgina 11
COMO IMPLANTAR UM SISTEMA DE SERGURANA DA INFORMAO?
Identificando os requisitos de segurana da informao

Analisando o ambiente de segurana
Selecionando controles
Implementando o ambiente de segurana
Administrando o ambiente de segurana
ABNT
ABNT NBR
NBR ISO/IEC
ISO/IEC 17799:2005
17799:2005
Um processo de planejamento de gesto e monitoramento de segurana de TI
pode variar muito em uma organizao. Devido aos diferentes estilos, tamanho e
estrutura das organizaes, o processo deve se adequar ao ambiente em que ser
usado. Alguns passos em linhas gerais so apresentados a seguir:
1. Identificar os requisitos de segurana da informao. Basicamente, existem
trs fontes principais para obteno dos requisitos de segurana da
informao:
Anlise/avaliao de riscos para a organizao.
Legislao vigente a que a organizao, seus parceiros comerciais e
provedores de servio devem atender.
Princpios, objetivos e requisitos do negcio.
2. Anlise do ambiente de segurana. o levantamento peridico dos riscos
de segurana da informao, identificando as ameaas e vulnerabilidades.
Os resultados desse passo iro direcionar a determinao das aes
gerenciais que nortearo todo o processo de segurana da informao.

Pgina 12
3. Seleo de controles. Com os riscos identificados e com as medidas de

tratamento desses riscos j providenciadas agora necessrio implementar
controles que asseguraro a reduo dos riscos a nveis aceitveis. A
seleo de controles pode ser feita a partir dessa norma ou de outra que
atenda as necessidades da organizao. Esses controles incluem:
Proteo de dados e privacidade de informaes pessoais;
Proteo dos registros organizacionais;
Direitos de propriedade intelectual;
Documento de poltica de segurana da informao;
Atribuio de responsabilidades;
Treinamento e educao em segurana da informao;
Processamento correto nas aplicaes a fim de prevenir erros, perdas,
modificao no autorizada ou mau uso de informaes em aplicaes;
Gesto de vulnerabilidades tcnicas;
Gesto de continuidade de negcios;
Gesto de incidentes de segurana e melhorias.
4. Implementao do ambiente de segurana. Consiste em:
Criao, educao e disseminao interna da poltica de segurana da
informao para todos os envolvidos;
Uma estrutura para a implementao, manuteno, monitoramento e
melhoria da segurana da informao;
Comprometimento de todos os nveis gerenciais;
Proviso de recursos financeiros para as atividades de gesto da
segurana da informao.
5. Administrao do ambiente de segurana. Inclui:
Estabelecimento de um processo de gesto de incidentes de segurana;
Implementao de um sistema de medio, que colha dados para a
avaliao de desempenho da gesto de segurana;
Obteno de sugestes de melhorias;
Implementao de melhorias levantadas no processo.
Um fluxograma mais detalhado das fases do processo proposto pela norma
ISO/IEC 13335-2 - Information technology Guidelines for the management of IT
Pgina 13
Security Part 2: Managing and Planning IT Security. Essa norma citada na

ABNT NBR ISO/IEC 17799:2005 como informaes adicionais para o processo de
implantao da segurana de TI. O fluxograma reproduzido abaixo deixa claro
que os trabalhos devem ser iniciados a partir dos objetivos de mais alto nvel da
empresa, ou seja, os negcios, e segue passando por definies de estratgia de
segurana de TI at a elaborao de uma poltica de segurana de TI.
importante que todas as atividades sejam tratadas dentro do estilo e maneira da
organizao realizar negcios.
Viso do processo de planejamento e gesto de segurana de TI

segundo a ISO/IEC 13335:2
Poltica
Polticade
desegurana
seguranade
deTI
TI
Aspectos
Aspectosorganizacionais
organizacionaisda
dasegurana
seguranade
deTI
TI
Anlise
Anlisede
deRiscos
Riscos
Recomendaes
Recomendaesde
desegurana
seguranade
deTI
TI
Poltica
Polticade
desegurana
seguranade
desistemas
sistemasde
deTI
TI
Gesto
de riscos
Planejamento
Planejamentode
desegurana
seguranade
deTI
TI
Divulgao
Divulgaoeeconcincia
concinciada
da
Poltica
de
segurana
de
Poltica de segurana deTI
TI
Medidas
Medidas
de
deproteo
proteo
Implementao
Reavaliao
Reavaliaoda
daPoltica
Polticade
desegurana
seguranade
deTI
TI

Pgina 14
Captulo
2 ANLISE/AVALIAO E TRATAMENTO DE
RISCOS
GERENCIAR
SEGURANA DE TI INCLUI A ANLISE E AVALIAO DE RISCOS E

COMO REDUZ-LOS A UM NVEL ACEITVEL. NECESSRIO LEVAR EM CONTA
OS OBJETIVOS DA ORGANIZAO, BEM COMO AS NECESSIDADES ESPECFICAS
DE CADA SISTEMA E SEUS RISCOS.
NESTE CAPTULO VEREMOS COMO FAZER UMA AVALIAO DE RISCOS E COMO
MINIMIZ-LOS.

Pgina 15
OBJETIVO
Sistemas de informao esto constantemente sujeitos a riscos provenientes de
aes maliciosas, acidentes ou erros inadvertidos de usurios.
Avaliar os riscos potenciais e tomar aes para minimiz-los, tarefa de uma
gesto de segurana da informao.
Neste captulo sero abordadas as melhores prticas para avaliao de riscos e
como trat-los.
Identificar, quantificar e priorizar os riscos;
Determinar aes de gesto apropriadas para o gerenciamento dos riscos
de segurana da informao;
Estabelecer os critrios de aceitao dos riscos;
Tomar decises sobre o tratamento dos riscos.

Pgina 16
ANALISANDO/AVALIANDO OS RISCOS DE SEGURANA DA INFORMAO
O que deve
ser
protegido
Contra qual
ameaa
Avaliao
do
risco
Recomendaes
Segundo as definies da norma, risco a combinao da probabilidade de um

evento e de suas conseqncias.
Por evento de segurana da informao, entenda-se uma ocorrncia identificada
de um sistema, servio ou rede, que indica uma possvel violao da poltica de
segurana da informao, ou falha de controles, ou uma situao previamente
desconhecida, que possa ser relevante para a segurana da informao. O
evento ento a concretizao de uma ameaa, que por sua vez a causa
potencial de um incidente indesejado, que pode resultar em dano para um
sistema ou organizao.
Portanto, avaliar riscos, passa pela avaliao de ameaas e vulnerabilidades.
O principal desafio segurana da informao das organizaes identificar e
qualificar os riscos e ameaas s suas operaes. Este o primeiro passo no
desenvolvimento e gerenciamento de um efetivo programa de segurana.
Identificar os riscos e ameaas mais significantes tornar possvel determinar
aes apropriadas para reduzi-los.
Uma vez identificados, os riscos devem ser qualificados para que sejam
priorizados em funo de critrios de aceitao de riscos e dos objetivos
relevantes para a organizao. Esta atividade apenas um elemento de uma

Pgina 17
srie de atividades de gerenciamento de riscos, que envolvem implementar

polticas apropriadas e controles relacionados, promover a conscientizao das
medidas, e monitorar e avaliar polticas e controles efetivos.
A avaliao de riscos e ameaas no resulta em uma seleo de mecanismos de
preveno, deteco e resposta para reduo de riscos. Ao contrrio ela
simplesmente indica as reas onde esses mecanismos devem ser aplicados, e a
prioridade que deve ser designada para o desenvolvimento de tais mecanismos.
No contexto de gerenciamento de riscos, a avaliao de riscos e ameaas ir
recomendar como minimizar, prevenir e aceitar os riscos.
Como os riscos e ameaas podem mudar com o passar dos tempos, importante
que a organizao periodicamente reavalie os mesmos e reconsidere as polticas
e controles selecionados.

Pgina 18
Caminhos para se comprometer um ativo

Boas polticas de
segurana
bloqueiam alguns
ataques
Controles e
diretrizes de
segurana
Ameaas no
intencionais
Ferramentas
Tcnicas e
Mtodos
Ameaas mal
intencionadas
Razes e
objetivos
Ferramentas
Tcnicas e
Mtodos
Ferramentas
Tcnicas e
Mtodos
Vulnerabilidades
Fracas diretrizes de
segurana podem
permitir uma
ataque
Ativos
Nenhum controle
ou diretriz de
segurana
Incidentes
catastrficos
Existem vrios caminhos que podem comprometer um ativo, conforme o nvel de

contramedidas implementadas. A figura acima d uma idia de que no h
segurana totalmente garantida, mas sim implementaes sujeitas a falhas. Isso
no deve ser desanimador, pois implementar algumas contramedidas melhor do
que no implementar nenhuma. A avaliao de riscos visa exatamente determinar
se as contramedidas existentes so suficientes ou no.

Pgina 19
Passos para uma avaliao de riscos

Identificarameaas
ameaas
Identificar
Estimarprobabilidade
probabilidade
Estimar
deconcretizao
concretizao
de
decada
cadaameaa
ameaa
de
Identificar
Identificar
o
que
ameaa
o que aaameaa
afetar
afetar
Identificarcustos
custosde
de
Identificar
reduo
de
riscos
reduo de riscos
Documentarresultados
resultados
Documentar
e
criar
planos
deao
ao
e criar planos de
Independente do tipo de risco a ser considerado, uma avaliao de riscos

geralmente inclui os seguintes passos:
Identificar ameaas que podem causar danos e afetar os ativos e

operaes crticas. Ameaas incluem itens como intruses, crimes,
empregados insatisfeitos, terrorismo e desastres naturais;
Estimar a probabilidade da concretizao das ameaas, baseado em

informaes histricas e julgamento de conhecimentos individuais;
Identificar e qualificar o valor, susceptibilidade e criticidade da operao e

do ativo que poder ser afetado se a ameaa se concretizar, a fim de
determinar quais operaes e ativos so mais importantes;
Identificar o custo das aes para eliminar ou reduzir o risco. Isto poder
incluir a implementao de novas polticas organizacionais e
procedimentos, bem como controles fsicos ou tcnicos;
Documentar os resultados e desenvolver planos de ao.

Pgina 20
TRATANDO OS RISCOS DE SEGURANA DA INFORMAO

Matriz de gerenciamento de riscos
Alto nvel de
vulnerabilidade
Mdio risco
Alto risco
Baixo nvel
de
ameaas
Alto nvel
de
ameaas
Baixo risco
Mdio risco
Baixo nvel de
vulnerabilidade
O nvel de riscos segurana da informao aumenta conforme aumenta o nvel

das ameaas e vulnerabilidades, como pode ser visto na matriz de gerenciamento
de riscos [1] acima.
O nvel do risco existente em uma organizao pode ser categorizado como:
Alto: requer imediata ateno e implementao de contramedidas;
Mdio: Requer ateno e implementao de contramedidas em um futuro

prximo;
Baixo: Requer alguma ateno e considerao para implementao de

contramedidas como boas prticas de negcios.
Cada ameaa e vulnerabilidade identificada tambm deve ser qualificada. Essa

qualificao varia conforme a organizao e o departamento. Por exemplo, a
ameaa de enchente preocupa muito mais organizaes instaladas nas
proximidades de rios do que aquelas instaladas em regies ridas. Danos
causados a banco de dados de pesquisas de marketing podem ser menos
danosos do que se causados a informaes relativas ao fluxo financeiro da
organizao.
Os nveis de qualificao das ameaas podem ser assim definidos:

Pgina 21
No aplicvel: significa que a ameaa considerada no relevante para a

situao examinada;
Baixo: no h histrico e considera-se que improvvel a concretizao da

ameaa;
Mdio: significa que h algum histrico e probabilidade que a ameaa se

concretize;
Alto: significa que h um histrico significante e uma avaliao de que a

ameaa est por acontecer.
O objetivo da anlise de riscos identificar e avaliar os riscos e ameaas pelo

qual o sistema de TI e seus ativos esto expostos, a fim identificar e selecionar
contramedidas apropriadas.
A tabela da pgina seguinte [2] ilustra como a avaliao das informaes de
ameaas pode ser qualificada com base nos ativos que so colocados em risco.
A avaliao de ameaas conforme a tabela inclui:
a.
b.
c.
d.
Descrever as ameaas em termos de quem, como e quando;

Estabelecer em qual classe de ameaa a mesma se enquadra;
Determinar a probabilidade da concretizao da ameaa;
Determinar as conseqncias nas operaes do negcio caso a ameaa se
concretize;
e. Calcular se o impacto das conseqncias leva a seqelas pouco srias,
srias ou excepcionalmente graves.
f. Calcular a taxa de exposio para cada ameaa, em termos da severidade
relativa para a organizao.

Pgina 22
Ativo
Agente /
evento
Descreva o ativo
- Descreva a ameaa
- Quebra de sigilo: ameaa a confidencialidade da informao

(Interceptao, manuteno imprpria, craker, procedimentos)
- Interrupo: ameaa a disponibilidade da informao
(terremoto, fogo, inundao, cdigo malicioso, falha de energia)
- Modificao: ameaa a integridade da informao (entrada
Classificao
errada de dados, cdigos maliciosos, crakers)
da ameaa
- Destruio: terremoto, fogo, inundao, vandalismo, pico de
energia)
- Remoo ou perda: ameaa a confidencialidade e
disponibilidade (Roubo de dados ou sistemas em mdias portteis
como notebooks, Cds, disquetes)
- Baixo: a ameaa nunca se concretizou e pouco provvel que
Avaliao Probabilidade ocorra

da
da ocorrncia - Mdio: h histrico de ocorrncia e pode vir a ocorrer
ameaa
- Alto: h histrico de ocorrncia e grande probabilidade de ocorrer
Lista de conseqncias para a organizao caso a ameaa se
Conseqncia
concretize: relata as perdas ou outras conseqncias caso a
da ocorrncia
ameaa se concretize
Impacto
Taxa de
exposio
Determinar o impacto para a organizao em termos de custo

associados com perda de confidencialidade, integridade e
disponibilidade. O impacto pode ser:
- Excepcionalmente grave
- Srio
- Pouco Srio
Valor numrico de 1 a 9:
- Excepcionalmente grave: 7 a 9
- Srio: 4 a 6
- Pouco Srio: 1 a 3

Pgina 23
A tabela a seguir, mostra um modelo genrico de avaliao de riscos e

recomendaes. Juntamente com a tabela anterior pode ser usado para auxiliar
na tomada de deciso que deve ser tomada para o tratamento de cada risco
identificado. Segundo a norma, possveis opes de tratamento do risco incluem:
a. Aplicar controles apropriados para reduzir os riscos;
b. Conhecer e objetivamente aceitar os riscos, sabendo que eles atendem
claramente poltica da organizao e aos critrios para aceitao de risco;
c. Evitar riscos, no permitindo aes que poderiam causar a ocorrncia dos
mesmos;
d. Transferir os riscos associados para outras partes, por exemplo,
seguradoras ou fornecedores.
Ativo
Descreva o ativo
Contramedidas
existentes
Vulnerabilidades
Avaliao de riscos
DESCREVA: contramedidas existentes para

combater a ameaa
DESCREVA: as vulnerabilidades relacionadas com a
ameaa
AVALIE os riscos como:
Riscos
Contramedidas
propostas
- Baixo
- Mdio
- Alto
RECOMENDA-SE: implementao de novas
contramedidas ou remoo de contramedidas
desnecessrias
AVALIE: os riscos projetados como:
Riscos projetados
Recomendaes
- Baixo
- Mdio
- Alto
AVALIE AS CONTRAMEDIDAS COMO:
Avaliao de
contramedidas
- Completamente satisfatria
- Satisfatria na maioria dos aspectos
- Necessita melhoras
OBS: Existem algumas metodologias para avaliao de riscos. Com base em necessidades de
negcios, o Centro de Excelncia de Segurana (SCOE Security Center Of Excelence) da
Microsoft desenvolveu uma metodologia completa que pode ser encontrada em:
http://www.microsoft.com/brasil/security/guidance/riscos/default.mspx ; ou na sua verso completa e

Pgina 24
constantemente atualizada (em ingls) para download e contendo planilhas para ser utilizada
durante a anlise, em: http://go.microsoft.com/fwlink/?linkid=32050

Pgina 25
Captulo
3 POLTICA DE SEGURANA DA INFORMAO

NESTE
CAPTULO VEREMOS COMO CRIAR UMA POLTICA DE SEGURANA DA

INFORMAO

Pgina 26
OBJETIVO
Escrever uma poltica de segurana da informao envolve comprometimento de
diversas reas de interesse e deve ser abraada por todos, desde a direo da
organizao at cada um dos funcionrios, clientes e fornecedores com acesso
ao sistema de informao, ou que possam de alguma forma comprometer o ativo
protegido.
O documento de poltica de segurana da informao deve ser elaborado de
forma a servir como uma regra a ser seguida. Constantemente exigir
atualizaes que reflitam as necessidades do negcio e a realidade da
organizao.
Neste captulo veremos como criar e organizar uma poltica de segurana da
informao nas organizaes.
Conceituar o que uma poltica de segurana da informao;
Fazer uma anlise crtica da poltica de segurana da informao;
Estabelecer uma criteriosa poltica de segurana da informao conforme
os requisitos do negcio;
Entender os documentos requeridos para a implantao e divulgao da
poltica de segurana da informao;

Pgina 27
O QUE UMA POLTICA DE SERURANA DA INFORMAO
Prover uma orientao e apoio da direo para a

segurana da informao de acordo com os requisitos
do negcio e com as leis e regulamentaes
relevantes
prefervel uma poltica

mal escrita a nenhuma
poltica.
Segundo a norma ABNT NBR ISO/IEC 17799:2005, uma poltica de segurana da

informao visa Prover uma orientao e apoio da direo para a segurana da
informao de acordo com os requisitos do negcio e com as leis e
regulamentaes relevantes, ou seja, ela prope uma poltica que sistematize um
processo a fim de minimizar as preocupaes da direo com a segurana de
seus ativos.
Escrever uma poltica uma tarefa muitas vezes difcil e deve contar com o
envolvimento de vrias pessoas, de vrios departamentos. Isso no deve ser
desanimador e no se deve procrastinar o incio dos trabalhos, haja vista a
fragilidade a que o negcio pode estar exposto.
Se necessrio, para implementar e manter esta poltica, dever ser utilizada
consultoria especializada, com conhecimento nos diversos aspectos da
segurana dos bens de informao e das tecnologias que os apiam.
Possuir uma poltica de segurana da informao na organizao
importantssimo para o sucesso dos negcios. prefervel uma poltica mal
escrita a nenhuma poltica.

Pgina 28
CRIANDO UMA POLTICA DE SEGURANA DA INFORMAO
1. Escreva o esboo do documento

2. Apresente seu esboo para a diretoria
3. Crie um comit de poltica de segurana
4. Divulgue a poltica
5. Leve a poltica a srio
6. Acate sugestes
7. Reavalie periodicamente
8. Refaa o processo
O primeiro passo para a criao de uma poltica de segurana da informao ter

algum responsvel por ela. Deve haver uma rea responsvel pela poltica de
segurana da informao, que se incumbir de sua criao, implantao, reviso,
atualizao e designao de funes. Nessa rea deve ser escolhido um gestor
responsvel pela anlise e manuteno da poltica. Para garantir a aplicao
eficaz da poltica, o ideal que o alto escalo, como diretoria, gerentes e
supervisores faam parte dessa rea, alm de usurios, desenvolvedores,
auditores, especialistas em questes legais, recursos humanos, TI e gesto de
riscos.
Thomas A. Wadlow [Error! Bookmark not defined.], prope um processo para se
estabelecer uma poltica que prev a possibilidade de implantao imediata na
organizao sem muita delonga. A princpio o processo no requer o
engajamento imediato da direo, que, aos poucos dever ser includa. Essa
abordagem, leva em considerao a experincia na implantao do processo da
poltica.
Como a norma explcita no comprometimento da direo, neste curso
adotaremos uma abordagem adaptada de Thomas A. Wadlow como o ponto de
partida para a tarefa de implantao da poltica de segurana da informao.
Vamos supor que voc leitor foi escolhido como o responsvel pela implantao

Pgina 29
da poltica de segurana da informao. Siga os passos abaixo para dar incio aos
trabalhos o quanto antes:
Criando uma poltica de segurana da informao

6. Acate sugestes
8. Refaa o processo
1. Escreva o esboo do documento da poltica de segurana para sua

organizao. Esse documento deve ser genrico, possuir apenas suas
idias principais, sem preocupao com preciso. No dever possuir mais
do que 5 pginas. Escreva tambm uma justificativa para sua implantao,
sempre com o foco nos negcios e riscos a que a organizao est sujeita
caso no se implante a poltica de segurana da informao.
Procure fazer um documento com foco nos processos de negcio, e no na
tecnologia. Para obter o apoio da diretoria necessrio que se mostre qual
operao est em risco.

Pgina 30

6. Acate sugestes
8. Refaa o processo
2. Apresente seu esboo para a diretoria. O objetivo angariar a confiana

no projeto e o engajamento da direo. Uma vez que ela esteja convencida
da importncia da poltica, voc ter carta branca para a o incio da
implantao.
O apoio da diretoria fundamental para o sucesso da poltica de
segurana. Em algumas situaes somente com o apoio da diretoria ser
possvel aplicar as polticas criadas.
A diretoria, ou alta gesto, conhecida no processo de poltica de
segurana como patrocinador (ou sponsor), pois seu apoio garante que
uma deciso vlida para toda a organizao.

Pgina 31

6. Acate sugestes
8. Refaa o processo
3. Crie um comit de poltica de segurana. Esse comit dever ser

formado por pessoas interessadas na criao da poltica de segurana e
devem ser de setores distintos na organizao. Com base em seu
documento, a funo do comit ser:
a. escrever as regras para a poltica;
b. definir atribuies;
c. detalhar os procedimentos bem como as penas para violaes da
mesma;
d. aprovar as normas estipuladas e alteraes propostas.
O comit ter a funo legisladora do processo. Porm, continua sendo
sua a responsabilidade pela aplicao da poltica. O comit dever se
reunir pelo menos uma vez a cada trs meses e, extraordinariamente, se
houver necessidade. A reunio tem o objetivo de avaliar e aprimorar a
poltica de segurana, os incidentes ocorridos e as aes tomadas para
correo.
O documento criado por voc, juntamente com o comit, dever ter uma
linguagem simples a fim de que todos os usurios a entendam e possam
aplic-la com facilidade. Assim, para que a poltica de segurana da
informao seja eficaz, o documento ser na verdade, um conjunto de
polticas inter-relacionadas. A partir deste momento, voc j ter em mos
um documento oficial que dever ser aceito e aprovado pela direo.
Dependendo da natureza da organizao esse documento tende a ser

Pgina 32
muito extenso com dezenas ou centenas de pginas.

Embora a formao do comit varie de organizao para organizao,
procure envolver (sempre que possvel) pessoas de diversas reas, com
diversas vises, sendo assim, importante a participao de pessoas da
rea de Auditoria, Jurdico, Recursos Humanos e de Associaes de
classe, alm de tecnologia. Desta forma um maior nmero de pontos de
vistas e interesses sero levados em considerao, garantindo maior
transparncia e abrangncia.

Pgina 33

6. Acate sugestes
8. Refaa o processo
4. Divulgue a poltica de segurana da informao. A poltica deve ser de

conhecimento de todos e compreensvel para todos que interagem com a
organizao, usurios internos e externos.
Deve sempre estar nas mos de quem vai utiliz-la. Porm, de nada vale
colocar o documento inteiro nas mos de quem vai utilizar apenas uma
parte.
Um funcionrio da limpeza precisa saber como limpar um determinado
equipamento preservando a integridade fsica do mesmo. Caso veja, por
exemplo, um fio desencapado, deve saber a quem avisar para solucionar o
incidente. Um funcionrio da contabilidade precisa saber sua senha para
acessar o banco de dados pertinente ao seu setor. Precisa saber tambm a
quem recorrer caso precise acessar dados antigos, armazenados em fita, e
que precisam ser restaurados. Porm, no precisa saber os detalhes de
como so realizados os backups.
A divulgao eficaz aquela que atinge a pessoa certa com a informao
que ela precisa saber. Ela no precisa ler toda a poltica de segurana, mas
a parte que lhe interessa. Essa divulgao segmentada fator
imprescindvel para o sucesso da empreitada. claro que isso no exclui a
necessidade de divulgao de todo o documento caso algum se interesse
em l-lo.
Uma forma prtica de divulgao a criao de um Web site na intranet da
empresa. Nele todas as informaes sobre a poltica devem ser bem
Pgina 34
redigidas e separadas em sees, facilitando o acesso a polticas gerais s

quais todos devem obedecer e a polticas especficas para cada setor. Este
site servir de repositrio de tudo o que for estabelecido na poltica e
servir tambm para coletar sugestes.
Outras formas de divulgao tambm podero ser usadas como um frum,
e-mails peridicos, ferramentas colaborativas de troca de informao.
Se a poltica de segurana da informao for divulgada fora da
organizao, tome o cuidado de no revelar informaes sensveis.
Lembre-se de classificar as informaes sigilosas para acesso apenas a
pessoas especficas.

Pgina 35

6. Acate sugestes
8. Refaa o processo
5. Trate a poltica e as emendas como regras absolutas com fora de lei.

Uma vez que a poltica j do conhecimento de todos, no pode haver
violaes da mesma. Caso isso ocorra, devem ser previstos procedimentos
que vo de advertncias a punies. As violaes devem ser analisadas
em suas causas, conseqncias e circunstncias, a fim de que sejam
tomadas medidas preventivas e corretivas que alterem a poltica para evitar
nova situao de vulnerabilidade. Lembre-se que tudo deve ser
documentado.
Neste ponto, o apoio da diretoria tratado nos itens 1 e 2 fundamental para
que se possa cumprir as punies previstas na poltica. Caso estas deixem
de ser cumpridas a poltica perde sua credibilidade e fora junto aos demais
colaboradores da organizao.

Pgina 36

6. Acate sugestes
8. Refaa o processo
6. Sugestes so sempre bem-vindas. Incentive que os colaboradores

proponham sugestes de melhorias. Todas devem ser levadas em
considerao. As pessoas que esto na rotina do trabalho, so as que mais
esto aptas a levantar problemas de segurana na respectiva rea, ou
mesmo provoc-los.
Algumas sugestes podem mostrar tambm que a poltica possui um rigor
exagerado em determinado item, o que pode tornar seu cumprimento
demasiadamente oneroso. Neste caso devemos analisar as crticas e
estudar uma forma alter-las ou criar tratamento de excees para garantir
o cumprimento das normas.
Facilite o canal de comunicao para que as sugestes cheguem ao
comit. As sugestes pertinentes devero virar emendas poltica.

Pgina 37

6. Acate sugestes
8. Refaa o processo
7. Realize reunies peridicas para consolidar a poltica e as emendas.

Essas reunies devero ocorrer pelo menos uma vez ao ano. Devero
participar todo o comit de poltica de segurana, a direo, e os
responsveis com funes delegadas. O objetivo realizar uma anlise
crtica da poltica de segurana vigente, das emendas e dos incidentes
relatados. Esta avaliao poder gerar um documento atualizado que inclua
todas as alteraes.
Neste ponto devemos considerar as sugestes levantadas no item 6 e
todas as alteraes do ambiente desde a ltima reunio, bem como
mudanas na legislao, para que sirvam como base para o processo de
reviso.

Pgina 38

6. Acate sugestes
8. Refaa o processo
8. Refaa o processo. A nova declarao gerada no passo 7 dever passar

por todo o processo novamente, a fim de que entre em vigor e seja do
conhecimento de todos.
Todos os 8 passos apresentados no so fceis e envolvem muito trabalho,

porm criam uma metodologia por etapas que, uma vez seguida, levar ao
sucesso da criao da poltica de segurana da informao.

Pgina 39
CONTEDO DO DOCUMENTO FORMAL
DA POLTICA DE SEGURANA DA INFORMAO
formao
rana da in
u
g
e
s
e
d
a
Poltic
a. Definio
o
b. Declara
de controles
c. Estrutura
gislao
idade com le
d. Conform
nto
gcio
e. Treiname
idade de ne
u
n
ti
n
o
c
e
d
f. Gesto
laes
ncias das vio
u
q
e
s
n
o
C
g.
dades
responsabili
e
d
o
i
n
fi
h. De
s
i. Referncia
O contedo do documento elaborado para a poltica de segurana da informao

varia de uma organizao para outra, em funo de sua maturidade,
disponibilidade de recursos, necessidades do negcio, rea de atuao, etc...
Deve ser simples, objetivo e compreensvel para todos.
O Documento consta normalmente de:
a. Definio de segurana da informao, metas, escopo e importncia
da segurana da informao como mecanismo que possibilita o
compartilhamento da informao. Esse item um texto explicativo do
que segurana da informao, como o texto apresentado no captulo 3,
subitens Conceitos bsicos de Segurana da Informao e Objetivos da
Segurana da Informao.
b. Declarao do comprometimento da direo apoiando metas e
princpios. Mais uma vez, uma etapa bem simples de ser executada. Pode
ser apenas uma frase assinada pela direo, como por exemplo:
A Diretoria da XYZ S/A declara-se comprometida em proteger todos os
ativos ligados Tecnologia da Informao, apoiando as metas e princpios
da segurana da informao estabelecidas neste documento, a fim de
garantir a confiabilidade, disponibilidade e integridade da informao,

Pgina 40
alinhada com as estratgias do negcio.

O importante nesse item que a assinatura da direo realmente expresse
a vontade e engajamento do alto escalo da empresa, apoiando ativamente
as aes a serem implantadas e definindo atribuies de forma explcita.
c. Estrutura para estabelecer objetivos de controles e controles,
incluindo estrutura e anlise/avaliao e gerenciamento de risco. Veja
o captulo 4.
d. Princpios de conformidade com a legislao e regulamentos
contratuais. Aqui deve ser avaliada a questo legal do negcio, suas
conformidades com a legislao vigente e com regulamentos e contratos.
As clusulas do documento de poltica de segurana da informao devem
estar em conformidade com essa avaliao. Por exemplo, caso a
organizao seja uma entidade pblica, ela est obrigada a obedecer uma
poltica de segurana conforme o decreto presidencial n 0 3.505.
e. Plano de treinamento em segurana da informao. muito importante
que todos os envolvidos com a segurana da informao, tenham no s
acesso ao documento de poltica, como tambm sejam instrudos no
processo de implantao e uso da poltica. Tendo conhecimento e
formao adequada, a eficcia do plano de segurana ter mais chances
de sucesso. Alm disso, todos passam a ser co-responsveis pelo
processo uma vez que no podem alegar desconhecimento do mesmo. O
treinamento poder ser feito, por exemplo, atravs de seminrios
programados, distribuies de cartilhas com informaes sobre a
segurana da informao, e-mails regulares com dicas sobre o assunto e
site de divulgao da poltica.
f.
Plano para gesto de continuidade do negcio. um conjunto de

estratgias e procedimentos que visam garantir que no haver interrupo
das atividades do negcio, alm de proteger os processos crticos no caso
de alguma falha. um conjunto de medidas que combinam aes
preventivas e de recuperao.
g. Conseqncia das violaes na poltica de segurana. necessrio

que todos saibam das conseqncias da violao na poltica. Essas
conseqncias passam por punies que devem ser explicitadas no
documento. O responsvel pela aplicao da poltica deve estar bem
preparado para a eventualidade de ter que, por exemplo, solicitar a
Pgina 41
demisso de um bom funcionrio que tenha violado a poltica. Isso pode ser
constrangedor, mas necessrio. Por isso, explicite e divulgue bem essa
parte para evitar desculpas de desconhecimento das normas.
h. Definio das responsabilidades na gesto da segurana. A
designao das responsabilidades pela proteo de cada ativo e pelo
cumprimento de processos de segurana da informao especficos devem
ser claramente definidas. Essa uma atribuio do comit gestor da
poltica. Para que haja o comprometimento dos responsveis, pode ser
criado um termo de responsabilidade e sigilo que compromete os
envolvidos, internos e externos com a poltica de segurana da
organizao. Esses responsveis podem delegar tarefas de segurana da
informao para outros usurios, porm continuam responsveis pela
mesma.
i.
Referncias documentao que apiam a poltica. Esta parte do

documento serve para fortalecer ainda mais a poltica, indicando
documentos complementares que detalham procedimentos de sistemas
implantados ou regras a serem seguidas.

Pgina 42
Captulo
4 ORGANIZAO DA SEGURANA DA INFORMAO

NESTE
CAPTULO VEREMOS ALGUNS ASPECTOS COMPLEMENTARES SOBRE

COMO ORGANIZAR UMA POLTICA DE SEGURANA DA INFORMAO

Pgina 43
OBJETIVO
Neste captulo veremos alguns aspectos complementares para a organizao de
uma poltica de segurana da informao.
Entender a importncia do gerenciamento de autorizao de novos
recursos;
Porque criar acordos de confidencialidade;
Lidar com informaes sigilosas quando a operao envolve servios de
terceiros.

Pgina 44
ESTRUTURAO DA SEGURANA DA INFORMAO: GESTO DE AUTORIZAO DE NOVOS

RECURSOS
DISPOSITIVOS
MVEIS
Gesto de
autorizao de
novos recursos
INTERNET
DADOS
IDENTIFIQUE-SE
SOFTWARES
IMPRESSORAS
Autorizar o acesso a novos recursos de processamento de informao uma

tarefa rotineira de um administrador de rede, que exerce a funo de
administrador de usurios. A cada momento algum solicita acesso a uma
impressora especfica ou informaes de um banco de dados, ou a qualquer outro
recurso.
Para autorizar acessos aos recursos, o administrador deve ter em mos um
processo de gesto que seja compatvel com a poltica de segurana. Esse
processo definir quem poder ter acesso a um recurso. Isso pode ser obtido, por
exemplo, atravs de controles lgicos de acesso. Estes tm o objetivo de impedir
acessos no autorizados, protegendo os equipamentos, aplicativos e arquivos de
dados contra perda, modificao ou divulgao no autorizada.
O processo de gesto de autorizao de novos recursos, tambm deve prever a
verificao de compatibilidade de softwares e hardwares com o sistema.
Dispositivos mveis devem ter ateno especial, uma vez que podem introduzir
novas vulnerabilidades. Como a maioria dos dispositivos mveis como os PDAs e
os notebooks, j vem de fbrica com interfaces sem fio (wireless) instalada, e
como mesmo os dispositivos como placas de redes sem fio e pontos de acesso

Pgina 45
(access point) so hoje dispositivos do tipo plug & play (conecte e use), eles criam
um portal de entrada rede caso configuraes de segurana no sejam
adequadamente executadas.
Dispositivos sem fio esto cada vez mais populares e seus benefcios para o
usurio so inegveis. Porm, as empresas tm de criar processos de segurana
especficos que as protejam, como procedimentos de autenticao de usurios,
sistemas de varredura para deteco de pontos de acesso clandestinos (muitas
vezes conectados rede inocentemente por um funcionrio que deseja usufruir a
mobilidade) e incluso de todos os equipamentos em um servio de diretrio.

Pgina 46
ESTRUTURAO DA SEGURANA DA INFORMAO: ACORDOS DE CONFIDENCIALIDADE E

SIGILO PARA ACESSOS DE FUNCIONRIOS, PARTE EXTERNA E CLIENTE
Acordos de confidencialidade e restries de acesso

Objetivo: Proteger todo conhecimento tcnico ou informao
confidencial contra divulgao no autorizada por:
Funcionrios;
Ex-funcionrios;
Terceirizados;
Partes externas;
Clientes.
Segurana um problema que envolve principalmente pessoas, mais at do que

aspectos fsicos ou aspectos tecnolgicos. Por isso, necessrio que haja
procedimentos especficos que tratem com cuidado as pessoas que tm acesso
s informaes da organizao. Um dos grandes riscos para segurana da
informao, a quebra de sigilo das informaes por parte de funcionrios
contratados ou terceirizados e partes externas. Essa quebra de sigilo pode
ocorrer intencionalmente ou no. Um funcionrio pode comentar uma informao
em simples conversas informais em uma mesa de bar ou no saguo do aeroporto.
Essa conversa pode ser ouvida por um concorrente que se beneficiar da
informao.
Outro risco o ex-funcionrio insatisfeito que divulga a terceiros, informaes
cruciais da organizao, ou que j sabendo de sua demisso, toma alguma ao
que viole a segurana interna.
Para tentar coibir essas aes, o responsvel pela poltica tem a obrigao de
orientar um novo funcionrio quanto poltica de segurana e as devidas
punies cabveis, caso a mesma no seja cumprida.

Pgina 47
Alm de todas as medidas de segurana efetivas implantadas, recomendvel

que sejam criados acordos de confidencialidade e sigilo das informaes
acessadas dentro da organizao. Esses acordos devem seguir termos legais a
fim de que tenham valor jurdico no caso de violao do mesmo.
O acordo de confidencialidade e sigilo deve ser bem explcito quanto natureza
do que se est protegendo. Tem o objetivo de proteger todo o conhecimento,
tcnico ou informao confidencial capaz de possibilitar seu emprego no processo
produtivo econmico.
A proteo pretendida pelo acordo ter validade no s dentro do prazo de
relao entre as partes, como tambm na ausncia dele.
Eventualmente, dependendo do tipo de informao, o acordo de confidencialidade
e sigilo poder ser por tempo determinado, permitindo a divulgao do bem
protegido ao fim daquele prazo ou em prazo previsto.
Empresas parceiras ou contratadas para um determinado servio, tambm podem
se beneficiar de informaes sigilosas a que tenham acesso. Por isso, os acordos
devem ser aplicados tambm a partes externas a organizao.
Uma outra fonte de risco a ser analisada com relao a partes externas, o
acesso destes aos recursos de processamento da informao. Leve em
considerao que produtos e servios oriundos de partes externas podem reduzir
a segurana da informao. Por exemplo, a permisso de acesso a Internet para
o notebook de um visitante, deve ser feita com contas especficas com restries
de acesso a qualquer outro recurso da rede, pois uma vez conectado o visitante
poder explorar vulnerabilidades da rede, ou mesmo sem inteno, introduzir
algum vrus no sistema.
Avalie todos os riscos potenciais que partes externas podem trazer e tome as
contramedidas cabveis. Por exemplo, o acesso fsico a computadores por parte
de um visitante ou contratado para um servio, ou o acesso lgico deste a banco
de dados, ou a uma conexo a rede, etc., s poder ser feito com a autorizao
especfica do responsvel pela segurana de TI, o qual dever permitir o acesso
apenas aos recursos estritamente necessrios ao trabalho a ser desempenhado.
O acesso de clientes e terceiros aos ativos ou s informaes da organizao
tambm deve ser controlado e atender aos requisitos de segurana da

Pgina 48
informao. Para isso, devem ser criados acordos com o cliente, os quais
contero todos os riscos identificados e os requisitos de segurana da
informao. Tambm devem ser includos procedimentos de controles requeridos
em um plano de gesto, como controle com identificadores nicos de acesso,
atravs de usurio e senha, nmero de licena para ativao de software
adquirido, etc.

Pgina 49
Normas tcnicas
1. ABNT NBR ISO/IEC 17799:2005 - Tecnologia da informao Tcnicas de
segurana Cdigo de prtica para a gesto de segurana da informao.
Associao Brasileira de Normas Tcnicas (ABNT). Segunda edio, 2005.
2. ISO/IEC
FDIS 17799:2005(E) Information technology Security
techniiques - Code of practice for information security management. ISO
(the International Organization for Standardization) and IEC (the
International Electrotechnical Commission), 2005.
3. ISO/IEC 13335-2 - Information technology - Guidelines for the management
of IT Security - Part 2: Managing and Planning IT Security. ISO (the
International Organization for Standardization) and IEC (the International
Electrotechnical Commission).
4. Information Technology Infraestructure Library (ITIL). Office of Government
of Commerce (OGC), 1989.
5. CobiT (Control Objectives for Information and related Technology). ISACA
(Information systems Audit and Control Foundation), 1996.
6. BS 15000:2000 - Specification for IT service management. British
Standards Institution (BSI), 2000.
7. ISO/IEC 20000 - IT Service Management Standards. ISO (the International
Organization for Standardization) and IEC (the International Electrotechnical
Commission), 2005.
8. BS 7799 - Information security management Part 1: Code of practice for
Information security management. British Standard, 1999.
Referncias
1
www.microsoft.com/brasil/security/guidance/prodtech/win2000/secmod133.mspx#EDF.
2
Guide to Threat and Risk Assessment for Information Technology Security

Information Publication 5 IT Security of the RCMP 1994.

Pgina 50

ISO17799 Modulo1 PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

ISO17799 Modulo1 PDF

Enviado por

Direitos autorais:

Formatos disponíveis

Entendendo e implementando a Norma

ABNT NBR ISO/IEC 17799:2005

Academia Latino-Americana de Segurana da Informao

Entendendo e implementando a Norma

Apostila desenvolvida pelo Instituto Online em parceria com

Reviso 1.1 Abril de 2006

Academia Latino-Americana de Segurana da Informao

COMO USAR ESSE MATERIAL

LABORATRIO : TTULO AQUI

Academia Latino-Americana de Segurana da Informao

1 - INTRODUO ABNT NBR/ISO/IEC 17799:2005 ....................................................................6

Academia Latino-Americana de Segurana da Informao

Academia Latino-Americana de Segurana da Informao

1 - INTRODUO ABNT NBR/ISO/IEC

Academia Latino-Americana de Segurana da Informao

Academia Latino-Americana de Segurana da Informao

CONCEITOS BSICOS DE SEGURANA DA INFORMAO

Toda e qualquer informao, que seja um elemento essencial para os negcios

Academia Latino-Americana de Segurana da Informao

Incidente de segurana (security incident): qualquer evento em curso ou

Academia Latino-Americana de Segurana da Informao

OBJETIVOS DA SEGURANA DA INFORMAO

Proteo da informao contra vrios tipos de ameaas

Academia Latino-Americana de Segurana da Informao

consenso das normas da rea que os objetivos gerais da segurana da

Academia Latino-Americana de Segurana da Informao

COMO IMPLANTAR UM SISTEMA DE SERGURANA DA INFORMAO?

Identificando os requisitos de segurana da informao

Academia Latino-Americana de Segurana da Informao

3. Seleo de controles. Com os riscos identificados e com as medidas de

Security Part 2: Managing and Planning IT Security. Essa norma citada na

Viso do processo de planejamento e gesto de segurana de TI

Academia Latino-Americana de Segurana da Informao

SEGURANA DE TI INCLUI A ANLISE E AVALIAO DE RISCOS E

Academia Latino-Americana de Segurana da Informao

Academia Latino-Americana de Segurana da Informao

ANALISANDO/AVALIANDO OS RISCOS DE SEGURANA DA INFORMAO

Segundo as definies da norma, risco a combinao da probabilidade de um

Academia Latino-Americana de Segurana da Informao

srie de atividades de gerenciamento de riscos, que envolvem implementar

Academia Latino-Americana de Segurana da Informao

Caminhos para se comprometer um ativo

Existem vrios caminhos que podem comprometer um ativo, conforme o nvel de

Academia Latino-Americana de Segurana da Informao

Passos para uma avaliao de riscos

Independente do tipo de risco a ser considerado, uma avaliao de riscos

Identificar ameaas que podem causar danos e afetar os ativos e

Estimar a probabilidade da concretizao das ameaas, baseado em

Identificar e qualificar o valor, susceptibilidade e criticidade da operao e

Documentar os resultados e desenvolver planos de ao.

Academia Latino-Americana de Segurana da Informao

TRATANDO OS RISCOS DE SEGURANA DA INFORMAO

O nvel de riscos segurana da informao aumenta conforme aumenta o nvel

Alto: requer imediata ateno e implementao de contramedidas;

Mdio: Requer ateno e implementao de contramedidas em um futuro

Baixo: Requer alguma ateno e considerao para implementao de

Cada ameaa e vulnerabilidade identificada tambm deve ser qualificada. Essa

Academia Latino-Americana de Segurana da Informao

No aplicvel: significa que a ameaa considerada no relevante para a

Baixo: no h histrico e considera-se que improvvel a concretizao da

Mdio: significa que h algum histrico e probabilidade que a ameaa se

Alto: significa que h um histrico significante e uma avaliao de que a

O objetivo da anlise de riscos identificar e avaliar os riscos e ameaas pelo