Cdigo de prtica para a gesto da segurana da informao

Edio e Produo: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrnico e Tecnologia da Informao.

Norma ABNT NBR ISO IEC 27002 um cdigo de prtica para a gesto da Segurana da Informao, consubstanciado nas melhores prticas mundialmente reconhecidas sobre o assunto. As organizaes ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), contam com a participao de especialistas de vrios pases e tem como objetivo criar e gerenciar normas internacionais de Segurana da Informao, criando em 2000 a ISO IEC 17799, que foi revisada em 2005 e posteriormente numerada 27002. Insta salientar que o Brasil, por meio da ABNT (Associao Brasileira de Normas Tcnicas), colaborou com valiosas sugestes e comentrios, sendo um dos poucos pases que possuam profissionais especializados no tema. Como resultado do trabalho, o Brasil foi o primeiro pas do mundo a traduzir a para sua lngua e public-la oficialmente como Norma nacional, atravs da prpria ABNT. Apresentaremos os pontos essenciais da Norma Tcnica ABNT NBR ISO IEC 27002, que serviro de guia aos profissionais ao elaborarem polticas e instrumentos jurdicos de Segurana da Informao.

Manipulao Organizao

Modificao no conhecimento

Processamento

Informao

Impressa

Escrita

Falada

Eletrnico

Internet E-mail

Informao

Bens e direitos com benefcios futuros (Ativo)

Necessita de adequada proteo

Minimizar o risco e maximizar o retorno do investimento

Representa inovao = essencial

Competitividade

Controles adequados

Polticas
Monitorados

Implementados
Analizados

Informao

Processos
Estabelecidos

Controles

Melhorados

Procedimentos

Estrutura organizacional Funes de software

Funes de hardware

Proteo da informao

Controles adequados

Polticas
Monitorados

Implementados
Analizados

Informao

Processos
Estabelecidos

Convm que seja feito em conjunto com outros processos de gesto Procedimentos do negcio.
Estrutura organizacional Funes de software
Funes de hardware

Controles

Melhorados

Proteo da informao

Ataque Denial of service

Fraudes

Cdigo Malicioso

Espionagem

Incndio e Inundao

Sabotagem

Vandalismo

Importante para os negcios

Setor pblico ou privado

Protege as infraestruturas crticas

Viabiliza negcios (ebusiness)

A tendncia da computao distribuda (cloud computing) reduz Importante Protege as Viabiliza Setor pblico infraestruturas negcios (eapara os da implementao de controles de acesso centralizado. eficcia ou privado negcios crticas business)

Consultoria especializada
Muitos sistemas no foram projetados para serem seguros.

Participao de acionistas, fornecedores e terceiras partes Comprometimento dos funcionrios da organizao Planejamento cuidadoso e ateno aos detalhes

Atividades essenciais:

Definir
Asseguram
Competitividade

Alcanar
Fluxo de caixa

Manter
Lucratividade

Melhorar
Atendimento

Identificao dos requisitos de segurana da informao.

Planejamento Estratgico

Jurdico

Analise e avaliao de riscos

Anlise e avaliao de riscos para a organizao

Considera

Realiza

Identifica

Objetivos e estratgias globais de negcio da organizao.

Ameaas aos ativos e as vulnerabilidades.

Estimativa da probabilidade de ocorrncia das ameaas e do impacto potencial ao negcio.

Legislao

Estatutos

Regulamentao

Organizao

Parceiros comerciais

Deve atender

Clusulas contratuais

Provedores de servio

Princpios

Planejamento Estratgico

Objetivos

Deve desenvolver para apoiar suas operaes

Requisitos

So definidos como o conjunto particular do negcio

Os requisitos so identificados por meio de anlises e avaliao sistemtica dos Riscos

Estabelecer prioridades

Danos ao negcio gerado pelas falhas

Direcionar e determinar as aes gerenciais apropriadas

Investimento

Implementar controles selecionados para a proteo

Os requisitos so identificados por meio de anlises e avaliao sistemtica dos Riscos

Estabelecer prioridades

Convm que a anlise/avaliao de riscos seja repetida Direcionar e periodicamente para contemplar quaisquer mudanas determinar as aes Gastos que possam influenciar os resultados desta anlise/avaliao..
gerenciais apropriadas

Danos ao negcio gerado pelas falhas

Implementar controles selecionados para a proteo

Requisitos de segurana e riscos identificados

Deciso para tratamento dos riscos tomadas

Convm que controles apropriados sejam selecionados para assegurar que os riscos sejam reduzidos a um nvel aceitvel

Requisitos de segurana e riscos identificados

Deciso para tratamento dos riscos tomadas

Convm que controles apropriados sejam selecionados para assegurar que os riscos sejam reduzidos a um nvel aceitvel

a partir dessa norma

outro conjuntos de controles

novos controles

Requisitos de segurana e riscos identificados

Deciso para tratamento dos riscos tomadas

atender s necessidades especficas, conforme apropriado.

Convm que controles apropriados sejam selecionados para assegurar que os riscos sejam reduzidos a um nvel Novos controles podem ser desenvolvidos para aceitvel

a partir dessa norma

outro conjuntos de controles

novos controles

A seleo de controle depende das decises da organizao Convm que esteja sujeito a legislao e regulamentaes nacionais e internacionais relevantes
Enfoque geral da gesto de risco

base

Critrios de aceitao de risco

Opes de tratamento do risco

Ponto de vista legal Controles Controles Controles Controles Controles Controles Controles

Melhores prticas de segurana da informao usadas

Proteo de dados e privacidade de informaes pessoais (15.1.4)

Convm que a privacidade e proteo de dados sejam asseguradas conforme exigido nas legislaes relevantes, regulamentaes e, se aplicvel, nas clusulas contratuais.

Proteo de registros organizacionais (15.1.3) Convm que registros importantes sejam protegidos contra perda, destruio e falsificao, de acordo com os requisitos regulamentares, estatutrios, contratuais e do negcio.

Direitos de propriedade intelectual (15.1.2) Convm que procedimentos apropriados sejam implementados para garantir a conformidade com os requisitos legislativos, regulamentares e contratuais no uso de material, em relao aos quais pode haver direitos de propriedade intelectual e sobre o uso de produtos de software proprietrios.

Documento da poltica de segurana da informao (5.1.1) Convm que um documento da poltica de segurana da informao seja aprovado pela direo, publicado e comunicado para todos os funcionrios e partes externas relevantes.

Atribuio de responsabilidades para a segurana da informao (6.1.3) Convm que todas as responsabilidades pela segurana da informao, estejam claramente definidas.

Conscientizao, educao e treinamento em segurana da informao (8.2.2) Convm que todos os funcionrios da organizao e, onde pertinente, fornecedores e terceiros recebam treinamento apropriados em conscientizao, e atualizaes regulares nas polticas e procedimentos organizacionais, relevantes para as suas funes.

Processamento correto nas aplicaes (12.2) Convm que controles apropriados sejam incorporados no projeto das aplicaes, inclusive aquelas desenvolvidas pelos usurios, para assegurar o processamento correto. Convm que esses controles incluam a validao dos dados de entrada, do processamento interno e dos dados de sada.

Gesto de vulnerabilidades tcnicas (12.6) Convm que a implementao da gesto de vulnerabilidades tcnicas seja implementada de forma efetiva, sistemtica e de forma repetvel com medies de confirmao da efetividade. Convm que estas consideraes incluam sistemas operacionais e quaisquer outras aplicaes em uso.

Gesto de incidentes de segurana da informao e melhorias (13.2)

Convm que responsabilidades e procedimentos estejam definidos para o manuseio efetivo de eventos de segurana da informao e fragilidades, uma vez que estes tenham sido notificados. Convm que um processo de melhoria contnua seja aplicado s respostas, monitoramento, avaliao e gesto total de incidentes de segurana da informao. Convm que onde evidncias sejam exigidas, estas sejam coletadas para assegurar a conformidade com as exigncias legais.

Gesto da continuidade do negcio (14)

Convm que o processo de gesto da continuidade do negcio seja implementado para minimizar um impacto sobre a organizao e recuperar perdas de ativos da informao (que pode ser resultante de, por exemplo, desastres naturais, acidentes, falhas de equipamentos e aes intencionais) a um nvel aceitvel atravs da combinao de aes de preveno e recuperao. Convm que este processo identifique os processos crticos e integre a gesto da segurana da informao com as exigncias da gesto da continuidade do negcio com outros requisitos de continuidade relativo a tais aspectos como operaes, funcionrios, materiais, transporte e instalaes. Convm que as conseqncias de desastres, falhas de segurana, perda de servios e disponibilidade de servios estejam sujeitas a uma anlise de impacto nos negcios. Convm que os planos de continuidade do negcio sejam desenvolvidos e implementados para assegurar que as operaes essenciais sejam recuperadas dentro da requerida escala de tempo. Convm que a segurana da informao seja uma parte integrante do processo global de continuidade de negcios e a gesto de outros processos dentro da organizao. Convm que a gesto da continuidade do negcio inclua controles para identificar e reduzir riscos, em complementao ao processo de anlise/avaliao de riscos global, limite as conseqncias aos danos do incidente e garanta que as informaes requeridas para os processos do negcio estejam prontamente disponveis.

Gesto da continuidade do negcio (14)

Convm que o processo de gesto da continuidade do negcio seja implementado para minimizar um impacto sobre a organizao e recuperar perdas de ativos da informao (que pode ser resultante de, por exemplo, desastres naturais, acidentes, falhas de equipamentos e aes intencionais) a um nvel aceitvel atravs da combinao de aes de preveno e recuperao. Convm que este processo identifique os processos crticos e integre a gesto da segurana da Embora o gesto da continuidade do negcio um bom requisitos partida, informao com as exigncias daenfoque acima seja consideradocom outrosponto de de continuidade relativono substitui como operaes, funcionrios, materiais,anlise/avaliao de ele a tais aspectos a seleo de controles, baseado na transporte e instalaes. riscos. Convm que as conseqncias de desastres, falhas de segurana, perda de servios e disponibilidade de servios estejam sujeitas a uma anlise de impacto nos negcios. Convm que os planos de continuidade do negcio sejam desenvolvidos e implementados para assegurar que as operaes essenciais sejam recuperadas dentro da requerida escala de tempo. Convm que a segurana da informao seja uma parte integrante do processo global de continuidade de negcios e a gesto de outros processos dentro da organizao. Convm que a gesto da continuidade do negcio inclua controles para identificar e reduzir riscos, em complementao ao processo de anlise/avaliao de riscos global, limite as conseqncias aos danos do incidente e garanta que as informaes requeridas para os processos do negcio estejam prontamente disponveis.

a) Uma abordagem e uma estrutura para a implementao, manuteno, monitoramento e melhoria da segurana da informao que seja consistente com a cultura organizacional; b) Comprometimento e apoio visvel de todos os nveis gerenciais; c) Um bom entendimento dos requisitos de segurana da informao, da anlise/avaliao de riscos e da gesto de risco; d) Divulgao eficiente da segurana da informao para todos os gerentes, funcionrios e outras partes envolvidas para se alcanar a conscientizao; e) Distribuio de diretrizes e normas sobre a poltica de segurana da informao para todos os gerentes, funcionrios e outras partes envolvidas; f) Proviso de recursos financeiros para as atividades da gesto de segurana da informao; g) Proviso de conscientizao, treinamento e educao adequados; h) Estabelecimento de um eficiente processo de gesto de incidentes de segurana da informao; i) Implementao de um sistema de medio, que seja usado para avaliar o desempenho da gesto da segurana da informao e obteno de sugestes para a melhoria.

Nem todos os controles podem ser aplicados.

Controles adicionais e recomendaes no includos podem ser necessrios.

Material no comercial destinado pesquisa e ensino.

Fabiano Rabaneda, 2010. Todos os direitos reservados Proibida a reproduo comercial desta obra. ABNT NBR ISO IEC 27002:2005 ABNT, 2005.
A menos que especificado de outro modo, nenhuma parte da norma pode ser reproduzida ou por qualquer meio, eletrnico ou mecnico, incluindo fotocpia e microfilme, sem permisso por escrito pela ABNT.