Edio e Produo: Fabiano Rabaneda Advogado, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrnico e Tecnologia da Informao.
Norma ABNT NBR ISO IEC 27002 um cdigo de prtica para a gesto da Segurana da Informao, consubstanciado nas melhores prticas mundialmente reconhecidas sobre o assunto. As organizaes ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission), contam com a participao de especialistas de vrios pases e tem como objetivo criar e gerenciar normas internacionais de Segurana da Informao, criando em 2000 a ISO IEC 17799, que foi revisada em 2005 e posteriormente numerada 27002. Insta salientar que o Brasil, por meio da ABNT (Associao Brasileira de Normas Tcnicas), colaborou com valiosas sugestes e comentrios, sendo um dos poucos pases que possuam profissionais especializados no tema. Como resultado do trabalho, o Brasil foi o primeiro pas do mundo a traduzir a para sua lngua e public-la oficialmente como Norma nacional, atravs da prpria ABNT. Apresentaremos os pontos essenciais da Norma Tcnica ABNT NBR ISO IEC 27002, que serviro de guia aos profissionais ao elaborarem polticas e instrumentos jurdicos de Segurana da Informao.
Manipulao Organizao
Modificao no conhecimento
Processamento
Informao
Impressa
Escrita
Falada
Eletrnico
Internet E-mail
Informao
Competitividade
Controles adequados
Polticas
Monitorados
Implementados
Analizados
Informao
Processos
Estabelecidos
Controles
Melhorados
Procedimentos
Proteo da informao
Controles adequados
Polticas
Monitorados
Implementados
Analizados
Informao
Processos
Estabelecidos
Convm que seja feito em conjunto com outros processos de gesto Procedimentos do negcio.
Estrutura organizacional Funes de software
Funes de hardware
Controles
Melhorados
Proteo da informao
Fraudes
Cdigo Malicioso
Espionagem
Incndio e Inundao
Sabotagem
Vandalismo
A tendncia da computao distribuda (cloud computing) reduz Importante Protege as Viabiliza Setor pblico infraestruturas negcios (eapara os da implementao de controles de acesso centralizado. eficcia ou privado negcios crticas business)
Consultoria especializada
Muitos sistemas no foram projetados para serem seguros.
Participao de acionistas, fornecedores e terceiras partes Comprometimento dos funcionrios da organizao Planejamento cuidadoso e ateno aos detalhes
Atividades essenciais:
Definir
Asseguram
Competitividade
Alcanar
Fluxo de caixa
Manter
Lucratividade
Melhorar
Atendimento
Jurdico
Considera
Realiza
Identifica
Legislao
Estatutos
Regulamentao
Organizao
Parceiros comerciais
Deve atender
Clusulas contratuais
Provedores de servio
Princpios
Planejamento Estratgico
Objetivos
Requisitos
Estabelecer prioridades
Investimento
Estabelecer prioridades
Convm que a anlise/avaliao de riscos seja repetida Direcionar e periodicamente para contemplar quaisquer mudanas determinar as aes Gastos que possam influenciar os resultados desta anlise/avaliao..
gerenciais apropriadas
Convm que controles apropriados sejam selecionados para assegurar que os riscos sejam reduzidos a um nvel aceitvel
Convm que controles apropriados sejam selecionados para assegurar que os riscos sejam reduzidos a um nvel aceitvel
novos controles
Convm que controles apropriados sejam selecionados para assegurar que os riscos sejam reduzidos a um nvel Novos controles podem ser desenvolvidos para aceitvel
novos controles
A seleo de controle depende das decises da organizao Convm que esteja sujeito a legislao e regulamentaes nacionais e internacionais relevantes
Enfoque geral da gesto de risco
base
Ponto de vista legal Controles Controles Controles Controles Controles Controles Controles
Proteo de registros organizacionais (15.1.3) Convm que registros importantes sejam protegidos contra perda, destruio e falsificao, de acordo com os requisitos regulamentares, estatutrios, contratuais e do negcio.
Direitos de propriedade intelectual (15.1.2) Convm que procedimentos apropriados sejam implementados para garantir a conformidade com os requisitos legislativos, regulamentares e contratuais no uso de material, em relao aos quais pode haver direitos de propriedade intelectual e sobre o uso de produtos de software proprietrios.
Documento da poltica de segurana da informao (5.1.1) Convm que um documento da poltica de segurana da informao seja aprovado pela direo, publicado e comunicado para todos os funcionrios e partes externas relevantes.
Atribuio de responsabilidades para a segurana da informao (6.1.3) Convm que todas as responsabilidades pela segurana da informao, estejam claramente definidas.
Conscientizao, educao e treinamento em segurana da informao (8.2.2) Convm que todos os funcionrios da organizao e, onde pertinente, fornecedores e terceiros recebam treinamento apropriados em conscientizao, e atualizaes regulares nas polticas e procedimentos organizacionais, relevantes para as suas funes.
Processamento correto nas aplicaes (12.2) Convm que controles apropriados sejam incorporados no projeto das aplicaes, inclusive aquelas desenvolvidas pelos usurios, para assegurar o processamento correto. Convm que esses controles incluam a validao dos dados de entrada, do processamento interno e dos dados de sada.
Gesto de vulnerabilidades tcnicas (12.6) Convm que a implementao da gesto de vulnerabilidades tcnicas seja implementada de forma efetiva, sistemtica e de forma repetvel com medies de confirmao da efetividade. Convm que estas consideraes incluam sistemas operacionais e quaisquer outras aplicaes em uso.
Convm que responsabilidades e procedimentos estejam definidos para o manuseio efetivo de eventos de segurana da informao e fragilidades, uma vez que estes tenham sido notificados. Convm que um processo de melhoria contnua seja aplicado s respostas, monitoramento, avaliao e gesto total de incidentes de segurana da informao. Convm que onde evidncias sejam exigidas, estas sejam coletadas para assegurar a conformidade com as exigncias legais.
Convm que o processo de gesto da continuidade do negcio seja implementado para minimizar um impacto sobre a organizao e recuperar perdas de ativos da informao (que pode ser resultante de, por exemplo, desastres naturais, acidentes, falhas de equipamentos e aes intencionais) a um nvel aceitvel atravs da combinao de aes de preveno e recuperao. Convm que este processo identifique os processos crticos e integre a gesto da segurana da informao com as exigncias da gesto da continuidade do negcio com outros requisitos de continuidade relativo a tais aspectos como operaes, funcionrios, materiais, transporte e instalaes. Convm que as conseqncias de desastres, falhas de segurana, perda de servios e disponibilidade de servios estejam sujeitas a uma anlise de impacto nos negcios. Convm que os planos de continuidade do negcio sejam desenvolvidos e implementados para assegurar que as operaes essenciais sejam recuperadas dentro da requerida escala de tempo. Convm que a segurana da informao seja uma parte integrante do processo global de continuidade de negcios e a gesto de outros processos dentro da organizao. Convm que a gesto da continuidade do negcio inclua controles para identificar e reduzir riscos, em complementao ao processo de anlise/avaliao de riscos global, limite as conseqncias aos danos do incidente e garanta que as informaes requeridas para os processos do negcio estejam prontamente disponveis.
Convm que o processo de gesto da continuidade do negcio seja implementado para minimizar um impacto sobre a organizao e recuperar perdas de ativos da informao (que pode ser resultante de, por exemplo, desastres naturais, acidentes, falhas de equipamentos e aes intencionais) a um nvel aceitvel atravs da combinao de aes de preveno e recuperao. Convm que este processo identifique os processos crticos e integre a gesto da segurana da Embora o gesto da continuidade do negcio um bom requisitos partida, informao com as exigncias daenfoque acima seja consideradocom outrosponto de de continuidade relativono substitui como operaes, funcionrios, materiais,anlise/avaliao de ele a tais aspectos a seleo de controles, baseado na transporte e instalaes. riscos. Convm que as conseqncias de desastres, falhas de segurana, perda de servios e disponibilidade de servios estejam sujeitas a uma anlise de impacto nos negcios. Convm que os planos de continuidade do negcio sejam desenvolvidos e implementados para assegurar que as operaes essenciais sejam recuperadas dentro da requerida escala de tempo. Convm que a segurana da informao seja uma parte integrante do processo global de continuidade de negcios e a gesto de outros processos dentro da organizao. Convm que a gesto da continuidade do negcio inclua controles para identificar e reduzir riscos, em complementao ao processo de anlise/avaliao de riscos global, limite as conseqncias aos danos do incidente e garanta que as informaes requeridas para os processos do negcio estejam prontamente disponveis.
a) Uma abordagem e uma estrutura para a implementao, manuteno, monitoramento e melhoria da segurana da informao que seja consistente com a cultura organizacional; b) Comprometimento e apoio visvel de todos os nveis gerenciais; c) Um bom entendimento dos requisitos de segurana da informao, da anlise/avaliao de riscos e da gesto de risco; d) Divulgao eficiente da segurana da informao para todos os gerentes, funcionrios e outras partes envolvidas para se alcanar a conscientizao; e) Distribuio de diretrizes e normas sobre a poltica de segurana da informao para todos os gerentes, funcionrios e outras partes envolvidas; f) Proviso de recursos financeiros para as atividades da gesto de segurana da informao; g) Proviso de conscientizao, treinamento e educao adequados; h) Estabelecimento de um eficiente processo de gesto de incidentes de segurana da informao; i) Implementao de um sistema de medio, que seja usado para avaliar o desempenho da gesto da segurana da informao e obteno de sugestes para a melhoria.
Fabiano Rabaneda, 2010. Todos os direitos reservados Proibida a reproduo comercial desta obra. ABNT NBR ISO IEC 27002:2005 ABNT, 2005.
A menos que especificado de outro modo, nenhuma parte da norma pode ser reproduzida ou por qualquer meio, eletrnico ou mecnico, incluindo fotocpia e microfilme, sem permisso por escrito pela ABNT.