Escolar Documentos
Profissional Documentos
Cultura Documentos
Segundo o AURLIO (1995), informao um dado acerca de algum ou algo; o conhecimento; segundo a teoria da informao, a medida da reduo da incerteza.
Segundo a norma ISO/IEC 17799:2000, segurana da informao pode ser definida como a proteo contra um grande nmero de ameaas s informaes, de forma a assegurar a continuidade do negcio, minimizando danos comerciais e maximizando o retorno de possibilidades e investimentos. Ainda segundo a ISO/IEC 17799:2000 a segurana da informao caracterizada pela preservao dos trs atributos bsicos da informao: confidencialidade, integridade e disponibilidade.
O que BS7799?
O Brithish Standart 7799 uma norma de segurana da informao. Criada na Inglaterra, teve seu desenvolvimento iniciado em 1995. Divide-se em duas partes, estando a primeira parte homologada desde 2000 e, a segunda parte, com homologao prevista para 2002.
A BS7799-1 a primeira parte da norma, j homologada. Contm uma introduo, definio de extenso e condies principais de uso da norma. Disponibiliza 148 controles divididos em dez partes distintas. planejado como um documento de referncia para implementar "boas prticas" de segurana na empresa.
A BS7799-2 a segunda parte da norma, ainda no homologada, cujo objetivo proporcionar uma base para gerenciar a segurana da informao dos sistemas das empresas.
A ISO/IEC 17799 a verso internacional da BS7799, homologada pela International Standartization Organization em dezembro de 2000.
A NBR ISO/IEC 17799 a verso brasileira da norma ISO, homologada pela ABNT em setembro de 2001.
ISO significa International Standartization Organization. Trata-se de uma organizao internacional formada por um conselho e comits com membros oriundos da maioria dos pases. Seu objetivo criar normas e padres universalmente aceitos sobre como realizar as mais diversas atividades comerciais, industriais, cientficas e tecnolgicas. IEC significa International Engineering Consortium. uma organizao voltada para o aprimoramento da indstria da informao. Uma associao entre as duas instituies produz normas e padronizaes internacionais.
A norma ISO rigorosamente idntica a a norma BS7799. A norma brasileira a traduo literal da norma ISO.
Se voc est no Brasil, deve optar pela NBR ISO/IEC 17799. Em outros pases, caso no exista uma verso nacional, pode-se empregar a ISO/IEC 17799. Na inglaterra, por exemplo, a norma nacional a BS7799.
A maioria das empresas e grande parte dos profissionais de segurana da informao ainda desconhecem a existncia da nroma, ou, quando muito, sabem de sua existncia mas no a conhecem em maiores detalhes.
As normas foram criadas e se adpatam bem a organizaes comerciais. Instituies de ensino, instituies pblicas e outras assemelhadas podem ter dificuldades em implantar certos controles da norma devido a seus ambientes serem diferentes dos de uma empresa comercial. Apesar disso, qualquer organizao pode aproveitar grande parte dos controles da norma para implementar segurana da informao em suas instalaes.
Os pases da Comunidade Britnica, tais como Austrlia e Nova Zelndia foram os primeiros a criarem suas prprias verses da BS7799.
Ela permite que uma empresa construa de forma muita rpida uma poltica de segurana baseada em controles de segurana eficientes. Os outros caminhos para se fazer o mesmo, sem a norma, so constituir uma equipe para pesquisar o assunto ou contratar uma consultoria para realizar essa tarefas. Ambas opes so caras e demoradas.
O que ISMS?
Information Security Management System, ou Sistema de Gerenciamento da Segurana da Informao o resultado da aplicao planejada de objetivos, diretrizes, polticas, procedimentos, modelos e outras medidas administrativas que, de forma conjunta, definem como so reduzidos os riscos para segurana da informao. Uma empresa que implante a norma BS/ISO acaba por constituir um ISMS.
Essa norma foi criada para possibilitar a implantao de segurana da informao em empresas. Para processos, hardware e software, existem normas especificamente criadas com esse fim tal como a Tsec, ITSec e Commum Critria.
O que certificao?
A certificao um documento emitido por uma entidade certificadora independente que garante que uma dada empresa implantou corretamente todos os controles da norma aplicveis. A certificao emitida aps um procedimento de verificao de conformidade da empresa pela entidade certificadora.
Ela comprova, para a empresa certificada, que a segurana da informao est assegurada de forma efetiva, o que no significa contudo, que a empresa esteja imune a violaes de segurana. Alm disse, a certificao comprova, para os clientes e fornecedores da empresa o zlo que esta tem com a segurana da informao, reforando a imagem da empresa junto ao mercado. Dependendo da atividade da empresa, essa certificao pode ser essencial para realizao de cerots negcios.
Segurana total no existe. A implantao dos controles da norma asseguram um bom nvel de segurana sobre os aspectos do hardware, do software e do peopleware.
So pontos especficos sobre hardware, software ou peopleware que definem o que deve ser feito para assegurar aquele item. Na prtica consiste em um pargrafo de texto como no exemplo abaixo.
8.6.4 b) A relao de pessoas com acesso autorizado documentao de sistemas deve ser a menor possvel e autorizada pelo responsvel pelo sistema.
Para implantar a norma em uma empresa obrigatrio empregar todos os seus controles?
No. Aplicam-se somente os controles para os servios, facilidades, espaos e condies existentes na empresa. Por exemplo, se a empresa no tem acesso remoto de usurios, todos os controles referentes a esse tipo de acesso podem ser ignorados.
A norma NBR ISO/IEC 17799 tem 50 pginas. Veja a primeira pgina da norma em Imagens.
Clique em Links para uma relao de sites que comercializam a norma BS, a ISO e a NBR ISO.
O custo depende de vrios fatores, tal como quanto tempo o responsvel pela certificao levar para se convencer sobre a conformidade das instalaes da empresa com relao a norma, o tamanho e a complexidade da empresa e de seus sistemas. Como referncia, a c:cure (certificadora britnica) indica um custo mdio de 900 libras por dia por cada auditor qualificado como certificador.
At o incio de 2002, poucas empresas o fizeram, a maioria na Inglaterra onde inicialmente surgiu a BS7799.