Escolar Documentos
Profissional Documentos
Cultura Documentos
Dezembro de 2012
Dentro da srie 27000 ainda podemos referir as normas 27002 (Cdigo de Prticas),
27003 (Guia de Implementao), 27004 (Mtricas e Medio), 27005 (Directrizes de Gesto de
Risco) e 27006 (Directrizes de Servios de Recuperao de Desastres).
Neste trabalho vamos focar a nossa ateno na norma ISO/IEC 27000 e 27001, seguindo
uma estrutura que abordar as suas aplicaes e objectivos. Apresentaremos tambm as
perspectivas de conciliao entre as duas normas, para mostrar a forma como estas se
complementam.
1. Introduo ................................................................................................................................ 4
1.1. Apresentao do Tema ........................................................................................................ 4
1.2. Organizao e temas Abordados no Presente Relatrio ..................................................... 4
2. Segurana da Informao......................................................................................................... 5
2.1 Em que consiste a Segurana da Informao? ........................................................................... 5
2.2. Contextualizao da Segurana da Informao ................................................................... 6
2.3. Mecanismos de controlo s ameaas .................................................................................. 6
2.3.1. Controlo de Acesso........................................................................................................... 6
2.3.2. Deteco de Intrusos........................................................................................................ 6
2.3.3. Criptografia....................................................................................................................... 7
2.3.4. Assinatura Digital ............................................................................................................. 7
2.3.5. Proteco de Dados Armazenados .................................................................................. 7
2.3.6. Recuperao de Desastres ............................................................................................... 7
3. Modelos para a Segurana da Informao: a srie ISO/IEC 27000 .......................................... 8
3.1. O que um Sistema de Gesto de Segurana de Informao? ......................................... 10
3.1.1. Viso Geral e Princpios .................................................................................................. 10
3.2. A abordagem de processos ................................................................................................ 11
4. A Norma ISO/IEC 27001 ......................................................................................................... 12
4.1. Apresentao ..................................................................................................................... 12
4.2. Objectivos........................................................................................................................... 12
4.3. Aplicao ............................................................................................................................ 13
5. Perspectiva de conciliao da Norma ISO/IEC 27000 e 27001 .............................................. 14
6. A famlia da Norma ISO /IEC 27000 ........................................................................................ 17
7. Alguns casos prticos da Implementao da Norma ISO/IEC 27001 ..................................... 18
8. Entidades Certificadoras em Portugual que utilizam a norma ISO/IEC 27001 ...................... 20
9. Certificao............................................................................................................................. 22
9.1. O que a certificao? ....................................................................................................... 22
9.2. Como acreditada uma entidade certificadora?............................................................... 22
9.3. Quem tem autoridade para certificar as autoridades certificadoras? ............................... 22
9.4. O que a certificao de um sistema de gesto? .............................................................. 22
10. Concluses.......................................................................................................................... 24
11. Referncias Bibliogrficas .................................................................................................. 25
O SGSI permite uma gesto dos riscos da segurana da informao para garantir que a
informao no negada nem se tornar indisponvel, no ser perdida, destruda ou
danificada, divulgada sem autorizao ou at mesmo roubada.
Por fim, so descritas algumas concluses da realizao deste trabalho que afirmam a
importncia da Segurana da Informao no s para as organizaes, mas em todas as reas
de vida de cada indivduo.
Para garantir a segurana das informaes deve ser feita uma Anlise de Risco que
identifique todos os riscos que ameacem as informaes, apontando solues que eliminem,
minimizem ou transfiram os riscos. As ameaas so aces de origem humana, que quando so
exploradas podem gerar vulnerabilidade e produzir ataques, que por sua vez, causam incidentes
que comprometem as informaes, provocando perda de confidencialidade, disponibilidade e
integridade.
A informao vem assumindo, cada vez mais, uma posio estratgica para as
organizaes, sendo o seu principal patrimnio. Neste sentido, o controlo de acesso s
informaes um requisito fundamental nos sistemas das organizaes, visto que actualmente
a grande maioria da informao de uma organizao est armazenada e trocada entre os seus
mais variados sistemas.
Segundo Arajo (2005, p.5) o factor humano o principal desafio para se ter uma boa e
segura conduta de Segurana da Informao. Com o aumento das tecnologias e da flexibilidade
de acesso a qualquer tipo de informao, cabe aos indivduos demonstrar alguma preocupao
quanto segurana e s ameaas de que passam a ser alvo por parte de alguns indivduos mal
intencionados.
Esta norma serve de apoio s organizaes de qualquer sector, pblico ou privado, para
entender os fundamentos, princpios e conceitos que permitem uma melhor gesto dos seus
activos de informao.
A famlia de normas da ISO/IEC 27000 inclui padres que definem os requisitos para um
SGSI e para a certificao desses sistemas e prestam apoio directo e orientao detalhada para
os processos e requisitos do ciclo PDCA.
A ISO 27000 contm termos e definies utilizados ao longo da srie 27000. A aplicao
de qualquer padro necessita de um vocabulrio claramente definido, para evitar diferentes
interpretaes de conceitos tcnicos e de gesto.
Controlo de acesso meios para assegurar que o acesso a activos est autorizado e restringido
com base no trabalho e em requisitos de segurana;
Activos qualquer coisa que tenha valor para a organizao (informao, software, o prprio
computador, servios, as pessoas, entre outros);
Atacar tentar destruir, alterar, expor, inutilizar, roubar ou obter acesso no autorizado ou
fazer uso no autorizado de um activo;
Autenticao prestao de garantia de que uma caracterstica reclamada por uma entidade
correcta;
Autenticidade propriedade que nos diz que uma entidade aquilo que realmente afirma ser;
Aco correctiva aco para eliminar a causa de uma no conformidade detectada ou outra
situao indesejvel;
Directriz recomendao do que esperado que seja feito a fim de alcanar um objectivo;
Sistema de Gesto de Segurana de Informao parte do sistema de gesto global, com base
numa abordagem de risco de negcio, para estabelecer, implementar, operar, monitorizar,
rever, manter e melhorar a segurana da informao.
Risco de Segurana da Informao potencial que uma ameaa explore uma vulnerabilidade de
um activo ou grupo de activos e, assim, causar danos organizao;
Sistema de Gesto mbito das polticas, procedimentos, directrizes e recursos associados para
alcanar os objectivos de uma organizao;
Anlise de risco uso sistemtico de informaes para identificar fontes e estimar a ocorrncia
de um risco;
Gesto de risco actividades coordenadas para dirigir e controlar uma organizao em relao a
um determinado risco;
Ameaa causa potencial de um incidente indesejado, o que pode resultar em danos para um
sistema ou entidade;
Vulnerabilidade fraqueza de um activo ou controlo, que pode ser explorado por ameaa.
DO - Os planos so postos em prtica e implementados (fazer o que foi planeado para fazer).
4.1. Apresentao
Esta norma foi publicada pelo ISO e pelo IEC em Outubro de 2005. Foi elaborada para
especificar os requisitos para o estabelecimento, implementao, operacionalizao,
monitorizao, reviso, manuteno e melhoria de um SGSI, dentro do contexto dos riscos de
negcio de uma organizao.
Antes da implementao desta norma num sistema convm pensar em algumas questes:
Quanto custar uma falha que implique uma perda efectiva de informao?
Quais as consequncias da utilizao da informao por pessoas que dela possam fazer
uso indevido e no autorizado?
Qual o custo da diminuio da produtividade por erros, falhas de sistema ou utilizao
de informao errada?
Qual o peso da ocorrncia de incidentes sobre as informaes de uma organizao?
Em que se deve fundamentar uma organizao para fazer uma avaliao dos riscos?
Quais as principais reas que uma organizao tem de considerar a fim de alcanar uma
implementao de SGSI de sucesso?
4.2. Objectivos
Esta norma foi estabelecida com o mbito de ser utilizada em conjunto com a ISO/IEC
17799 e pretende assegurar a seleco de controlo de segurana adequado e proporcional.
A implementao da norma 27001 faz com que as organizaes devam manter o seu
foco nas necessidades do negcio e considerar a segurana da informao como parte
integrante dos objectivos de negcio para realizar a gesto dos riscos.
2. Responsabilidades da direco:
- Comprometimento da direco
- Gesto de recursos
- Proviso de recursos
- Treino, consciencializao e competncia
5. Melhoria do SGSI:
- Melhoria contnua atravs do uso da poltica estabelecida, resultados das auditorias,
anlise dos eventos monitorizados, aces correctivas (etapas anteriores);
- Eliminao das no conformidades atravs de aces correctivas e preventivas.
A norma 27000 surge como uma forma de definir alguns termos e definies para uma
futura implementao de um Sistema de Gesto de Segurana da Informao, enquanto a
norma 27001 apresenta alguns requisitos que sugerem alguns procedimentos para uma boa
Gesto de Segurana da Informao.
PLAN -
Estabelecer
o SGSI
Do -
Requisitos e expectativas Act - Manter Sistema de Gesto da
Implementar
e Optimizar
da Segurana da e Operar o Segurana da Informao
o SGSI
SGSI
Informao gerido
Check -
Monitorizar
e Rever o
SGSI
1 - O Modelo PDCA
A Gesto dos riscos um dos aspectos chave da norma ISO/IEC 27001, uma avaliao
dos riscos uma das exigncias desta norma. Como resultado da avaliao de riscos, deve ser
feita uma lista dos riscos identificados, classificados em ordem de gravidade para
posteriormente serem tomadas medidas.
A avaliao dos riscos deve ser feita tendo em conta uma anlise de custo-benefcio, para
revelar se compensa um risco ser minimizado ou transferido. Em suma, se um risco tem baixa
probabilidade de ocorrer e o seu custo de tratamento elevado, no compensa essa tomada de
deciso.
Estas medidas so definidas pela norma ISO/IEC 27002, que d suporte ao desenvolvimento de
planos de segurana e orienta de melhor forma a Gesto da Segurana da Informao.
Dentro da srie 27000 ainda podemos referir as normas 27002 (Cdigo de Prticas),
27003 (Guia de Implementao), 27004 (Mtricas e Medio), 27005 (Directrizes de Gesto
de Risco) e 27006 (Directrizes de Servios de Recuperao de Desastres).
A norma ISO 27002 a partir de Julho de 2007 o novo nome da norma ISO 17799. Esta
norma um guia de boas prticas que descreve os objectivos de controlo e os controlos
recomendados para a Segurana da Informao. A norma ISO 27001 contm alguns anexos
que resumem alguns destes controlos.
A norma ISO 27004 especifica mtricas e tcnicas de medio aplicveis para determinar a
eficcia do SGSI, os objectivos de controlo e os controlos usados para implementar e gerir a
Segurana da Informao. Estas mtricas so usadas principalmente para medir os
componentes da fase CHECK do ciclo PDCA.
A norma ISO 27006 especifica requisitos e fornece orientaes para os organismos que
prestem servios de auditoria e certificao de um SGSI.
A norma ISO 27001 j tem um elevado nmero de certificaes distribudas por vrios pases1:
1
Retirado do site: http://www.iso27001certificates.com
18 Segurana da Informao | FEUP
Processo de Certificao de um Sistema de Gesto de Segurana da Informao
Organismos de Certificao
A APCER certifica organizaes a partir da norma ISO 27001 Tecnologias da Informao, para
que estas organizaes tenham um sistema de gesto que protege a sua informao com
mecanismos de controlo adequados s suas necessidades e realidade, verificados por uma
entidade externa. Atravs da avaliao e gesto do risco este sistema procura garantir a
continuidade de negcio e diminuir o impacto de eventuais incidentes de segurana.
SGS ICS
Entidade Certificadora que pretende formar Auditores experientes e qualificados para cada
sector de atividade, o reconhecimento em Portugal e no mundo, uma equipa orientada para
acompanhar as organizaes nos seus processos de Certificao, satisfao do cliente e melhoria
contnua.
uma fundao independente que tem como principal competncia identificar, avaliar e
aconselhar as organizaes para a gesto de risco, sendo o seu foco a segurana e a
responsabilidade de melhorar o desempenho das organizaes.
Esta entidade utiliza a norma ISO 27001 que o padro de segurana internacional formal
contra a qual as organizaes podem procurar a certificao independente do seu SGSI. Ele
especifica os requisitos para estabelecer, implementar, operar, monitorizar, rever, manter e
melhorar um SGSI, utilizando uma abordagem de melhoria contnua.
2
Retirado do site: http://www.iso27001certificates.com
21 Segurana da Informao | FEUP
9. Certificao
Segundo a BSI Brasil, Certificao o processo no qual uma terceira parte acreditada
visita uma organizao, audita o seu sistema de gesto e emite um certificado para demonstrar
que esta obedece aos princpios definidos na norma e que segue a melhor prtica da indstria.
O certificado o documento que corporifica a certificao.
3
Segundo a definio de Creditao em Wikipdia. Disponvel em:
http://pt.wikipedia.org/wiki/Certifica%C3%A7%C3%A3o
22 Segurana da Informao | FEUP
A certificao uma deciso da organizao, principalmente uma opo estratgica no
sentido de evoluir, melhorar e ganhar mercados e exige o envolvimento de diversas partes da
organizao. As empresas certificadas tm diversas vantagens: melhoria do prestgio e da
imagem; aumento da competitividade e entrada em novos mercados; aumento da confiana dos
trabalhadores, clientes e administrao; cultura da melhoria contnua; reduo de custos;
preveno e minimizao de aspetos, perigos e de acidentes.