ISO/IEC 17799
Norma de Segurança da
Informação
Fernando Benedet Ghisi
Vitor Luiz Barboza
Wesley Tiago Zapellini
Segurança da Informação
Segurança da Informação


Segundo a norma ISO/IEC 17799, é a proteção
contra um grande número de ameaças às
informações, de forma a assegurar a
continuidade do negócio, minimizando danos
comerciais e maximizando o retorno de
possibilidades e investimentos.
o conceito não está restrito somente a sistemas
computacionais, informações eletrônicas ou
sistemas de armazenamento. Se aplica a todos
os aspectos de proteção de informações.
Exemplo

A Bolsa de Tóquio, 8 de Janeiro de 2006:





Queda acentuada da bolsa;
Alto volume de transações;
Sistema próximo a atingir sua capacidade
máxima (estrutura tecnológica);
Fechamento das operações 20 minutos mais
cedo.
Inúmeros prejuízos.
A tríade “CIA”


Confidencialidade: a garantia de que a
informação só pode ser acessada e
manipulada por pessoas autorizadas, ou
seja, ela é restrita a um conjunto de
entidades, que podem ser seres humanos ou
podem ser um sistema eletrônico.
Integridade: implica que toda vez que uma
informação é manipulada ela está
consistente, ou seja, que não foi alterada ou
adulterada por um acesso legal ou ilegal.
A tríade “CIA”

Disponibilidade das Informações Críticas:
garantia de que uma informação sempre
poderá ser acessada, pelas pessoas e
processos autorizados, independentemente
do momento em que ela é requisitada e do
local no qual está armazenada.
*as ameaças à segurança da informação são
relacionadas diretamente à perda de uma de
suas três características principais.
NORMA ISO/IEC 17799




Compilação de recomendações para melhores
práticas de segurança, que podem ser aplicadas
por empresas de qualquer porte ou setor.
Padrão flexível, nunca guiando seus usuários a
seguirem uma solução de segurança específica em
detrimento de outra.
Neutra com relação à tecnologia.
O grande objetivo da norma é o de garantir a
continuidade dos negócios por meio da
implantação de controles, reduzindo muito as
possibilidades de perda das informações.
Histórico




Em 1987 o departamento de comércio e indústria
do Reino Unido (DTI) criou um centro de
segurança de informações, o CCSC (Commercial
Computer Security Centre).
Tarefa de criar uma norma de segurança das
informações para o Reino Unido.
Desde 1989 vários documentos preliminares foram
publicados por esse centro, até que, em 1995,
surgiu a BS7799 (British Standart 7799).
Esse documento foi disponibilizado em duas partes
para consulta pública, a 1ª em 1995 e a 2ª em
1998.
Histórico



Em 1 de dezembro de 2000, após incorporar
diversas sugestões e alterações, a BS7799 ganhou
status internacional com sua publicação na forma
da ISO/IEC 17799:2000.
Em setembro de 2001, a ABNT homologou a
versão brasileira da norma, denominada NBR
ISO/IEC 17799.
Em 24 de abril de 2003 foi realizado um encontro
em Quebec, no qual uma nova versão da norma
revisada foi preparada. Essa nova versão da
ISO/IEC 17799 foi lançada 2005.
NBR ISO/ IEC 17799:2005



Tecnologia de Informação – Técnicas de
Segurança – Código de prática para a gestão
da segurança da informação
(http://www.abntnet.com.br/fidetail.aspx?Font
eID=6955).
Possui onze seções de controle (macrocontroles).
Cada um destes controles é subdividido em
vários outros controles (a norma possui um
total de 137 controles de segurança).
1. Política de Segurança da
Informação

Documento que define parâmetros para
gestão da Segurança da Informação;





Padrões a serem seguidos e ações a serem
tomadas;
Descreve processos relativos à segurança;
Descreve responsabilidades sobre os processos;
Deve ser apoiado pela gerência;
Deve ser abordado em treinamentos;
2. Segurança da Organização

Infra-estrutura de Segurança da Informação:





Define a infra-estrutura para gerência da
segurança da informação;
As responsabilidades e as regras devem estar
claramente definidas;
Um gestor para cada ativo do ambiente;
Inclusão de novos recursos feita sob autorização
de um responsável;
Consultor interno ou externo disponível para
atuar em suspeitas de incidentes de segurança.
2. Segurança da Organização

Segurança de acesso a terceiros:




Controle de acesso à locais críticos;
Tipo do controle definindo conforme riscos e valor
da informação;
Presença de terceiros mediante autorização e
acompanhamento;
Serviços terceirizados regulamentados por
contrato;
2. Segurança da Organização

Terceirização:

Acordo contratual, flexível para suportar
alterações nos procedimentos;
3. Controle e Classificação de
Ativos

Contabilização dos ativos:



Mapeia todos os ativos da informação e atribui
responsáveis;
Associa ativos com níveis de segurança;
Classificação da Informação:


Define a importância de um ativo;
Definição pode variar com o tempo;
4. Segurança em Pessoas
Segurança na definição e nos recursos
de trabalho:



Diminuição dos riscos provenientes da
atividade humana, como roubo de
informações;
Contratos devem abordar questões de sigilo
e segurança;
Treinamento dos usuários:


Capacitar para o bom funcionamento das
políticas de segurança;
4. Segurança em Pessoas
Respondendo aos incidentes de
segurança e mau-funcionamento:




Diminuição de danos causados por falhas;
Sistema de comunicação de incidentes;
Aprendizado armazenado em bases de
conhecimento;
5. Segurança Física e do
Ambiente

Áreas de segurança:




Equipamentos de segurança:



Controle de acesso à áreas restritas;
Nível de proteção proporcional aos riscos e importância;
Podem ser utilizados mecanismos de autenticação e
vigilância (câmeras);
Proteção física dos equipamentos contra ameaças do
ambiente (rede elétrica, contato com substâncias);
Proteção do cabeamento de rede;
Controles gerais:


Diminuem o vazamento de informações;
Política “Tela limpa, mesa limpa”. O acesso é negado às
informações sendo trabalhadas no momento;
Governança da Segurança da
Informação



As decisões a respeito da segurança da
informação não são discutidas a nível
estratégico;
A falta de investimento em segurança pode
trazer problemas ao planejamento
estratégico da organização;
(BALBO 2007) propõe a criação de um
modelo baseado em ISO/IEC 17799, ITIL e
COBIT;
6. Gestão das comunicações e
das operações

Visa disponilizar mecanismos para o controle
da troca de informações dentro e fora da
organização.
1.
Planejamento e Aceitação dos Sistemas
Proteção contra softwares maliciosos
Gerência de Rede
Segurança e Manuseio de Mídias
Housekeeping
Troca de Informações e Softwares
Procedimentos e Responsabilidades Operacionais
2.
3.
4.
5.
6.
7.
7. Controle de acesso

Este controle visa evitar problemas de
seguranças decorrentes do acesso lógico
indevido a informação não privilegiada por
parte de certos usuários.
1.
Requisitos do negócio para controle de acesso
Gerência de acesso dos usuários
Responsabilidade dos usuários
Controle de Acesso ao Sistema Operacional
Controle de Acesso às aplicações
Computação móvel e trabalho remoto
Notificação do uso e acesso ao sistema
Controle de Acesso à rede
2.
3.
4.
5.
6.
7.
8.
8. Manutenção e
desenvolvimento de Sistemas




Fornece critérios para o desenvolvimento de sistemas confiáveis.
A segurança deve ser abordada desde a fase de modelagem do
sistema, inserindo-se os controles de segurança na fase de
iniciação de projetos.
Objetiva evitar que aplicações comprometam a integridade e
confidencialidade dos dados, através da validação da entrada e
saída de dados e de verificações periódicas sobre os dados.
Deve-se garantir a integridade de arquivos associados a aplicações,
controlando-se o acesso aos dados armazenados, deve-se também
fornecer um sistema de controle de alterações e atualizações de
arquivos.
9. Gestão da continuidade dos
negócios

A gestão da continuidade dos negócios tem
por objetivo evitar interrupções nas
atividades do negócio e proteger processos
críticos do negócio contra os efeitos de
grandes falhas ou desastres.
10. Conformidade

Trata aspectos legais ligados a segurança.

Objetiva evitar infração de qualquer lei civil e criminal,
estatutária, regulamentadora ou de obrigações
contratuais e de quaisquer requisitos de segurança.

Visa a garantia de que a política e as normas de
segurança são seguidas

Garantir que processos de auditoria existam e sejam
planejados e testados.
Checklist ISO 17799


Elaborado pelo instituto americano SANS (System
Administration, Networking and Security Institute) –
mais de 156 mil profissionais de segurança,
auditores, administradores de sistemas e redes.
Direcionado aos profissionais de TI e Segurança da
Informação que necessitam auditar o nível de
segurança de suas empresas.


http://www.sans.org/score/checklists/ISO_17799_checklist.
pdf
Versão não-oficial em PT:
http://www.linuxsecurity.com.br/info/general/iso17799.chec
klist.pt-BR.pdf
Considerações Finais



A segurança da informação está relacionada
com o faturamento de uma empresa, sua
imagem e sua reputação.
As conseqüências de incidentes de segurança
podem ser desastrosas, mas podem ser
evitadas.
A ISO17799 cobre os mais diversos tópicos da
área de segurança, possuindo um grande
número de controles e requerimentos que
devem ser atendidos para garantir a segurança
das informações de uma empresa.
Considerações Finais




A norma é intencionalmente flexível e genérica.
O processo de implantação da Norma de
Segurança a um determinado ambiente não é
simples e envolve muitos passos.
a ISO17799 pode ser considerada a norma mais
importante para a gestão da segurança da
informação que já foi elaborada – ela estabelece
uma linguagem internacional comum para todas as
organizações do mundo.
Deverá se tornar uma ferramenta essencial para
empresas de qualquer tipo ou tamanho.
Referências Bibliográficas







ABNT NET. Associação Brasileira de Normas Técnicas. Disponível em:
http://www.abntnet.com.br/.
ABNT NBR ISO/IEC 17799. Segunda Edição. Disponível em:
http://www.scribd.com/doc/2449992/Abnt-Nbr-Isoiec-17799-Tecnologia-daInformacao-Tecnicas-de-Seguranca-Codigo-de-Pratica-para-a-Gestao-daSeguranca-da-Informacao.
IDG Now!. Bolsa de Tóquio fecha mais cedo por pane em TI. Disponível em:
http://idgnow.uol.com.br/mercado/2006/01/18/idgnoticia.2006-0206.6752227625/.
InformaBR. Segurança: 27 questões freqüentemente formuladas sobre as
normas BS e ISO17799. Disponível em: http://www.informabr.com.br/nbr.htm.
ISO 17799 World. Disponível em: http://17799.macassistant.com/
Módulo. 10ª Pesquisa Nacional de Segurança da Informação. 2006.
OLIVEIRA BALDO, Luciano de. Uma Abordagem Correlacional dos Modelos
CobiT/ ITIL e da Norma ISO 17799 para o tema Segurança da Informação .
São Paulo 2007.
Referências Bibliográficas







GONÇALVES, L. R. O. O surgimento da Norma Nacional de Segurança de
Informação [NBR ISO/IEC-1779:2001]. 2004. Disponível em:
http://www.lockabit.coppe.ufrj.br/rlab/rlab_textos.php?id=85.
GORISSEN, MAXIMILIAN. Política de Segurança da Informação: A norma
ISO 17799.
ISO 17799: Information and Resource Portal. Disponível em:
http://17799.denialinfo.com/.
JUNIOR, A. F. NOVA NORMA GARANTE SEGURANÇA DA INFORMAÇÃO.
Disponível em: http://www.serasa.com.br/serasalegal/05-fev-02_m2.htm.
The A-Z Guide for ISO 27001 and ISO 17799/ ISO 27002. Disponível em:
http://www.17799central.com/.
VETTER, Fausto; REINERDT, Jonatas Davson. ISO/IEC 17799: Norma de
Segurança da Informação. Florianópolis 2007.
WIKIPÉDIA. Segurança da Informação. Disponível em:
http://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o.