R ev: 0
Data:28.03.2005
Quando nos referimos às informações, estas podem existir sob várias formas
e podem estar armazenadas em diversos meios, a saber:
No caso da NBR ISO IEC 17799 que é um Código de Boas Práticas para a
Segurança da Informação, a sua aplicação é um pouco mais restrita que a
ISO 9001:2000, pois ela não é uma norma voltada para fins certificação.
Entretanto, a NBR ISO IEC 17799 pode ser usada pela maioria dos setores
da economia, pois todas as organizações, independentemente do seu porte
ou do ramo de atuação, precisam proteger as suas informações sensíveis e
críticas.
A nova ISO IEC 17799, que estará disponível a partir do segundo semestre
de 2005, é uma norma global e que reflete os mais modernos conceitos
mundiais sobre Gestão da Segurança da Informação.
3.POLÍTICA DE SEGURANÇA
Política de segurança da informação (item 3.1 da NBR ISO IEC 17799)
4.SEGURANÇA ORGANIZACIONAL
Infra-estrutura da segurança da informação (item 4.1 da NBR ISO IEC
17799)
O acesso do prestador de serviço tanto pode ser físico como, por exemplo,
acesso aos escritórios, salas de computadores, salas de reuniões, ou lógico,
como por exemplo, acesso ao banco de dados ou aos sistemas de
informação da organização.
15.O tipo de acesso dado aos prestadores de serviços, seja físico ou lógico,
precisa estar formalmente definido
( )C
( )NC
18.O contrato com terceiros não precisa fazer menção aos eventuais sub-
contratados
( )C
( )NC
19.O contrato com terceiros deve assegurar o direito de auditar, monitorar e
de revogar as atividades do usuário
( )C
( )NC
Tratamento da informação
Todas as informações classificadas, por exemplo, como de uso interno,
confidencial e altamente confidencial devem ter um rótulo indicando a sua
classificação e um tratamento compatível com o seu nível de importância.
6 SEGURANÇA EM PESSOAS
Segurança na definição e nos recursos de trabalho (item 6.1 da NBR ISO
IEC 17799)
O principal objetivo deste controle é reduzir os riscos relacionados com o
mau uso dos recursos de processamento da informação, o erro humano,
roubo e as fraudes.
Uma das formas de reduzir esses riscos é definir, nas descrições de funções,
no perfil de competência ou em um documento similar, regras e
responsabilidades pela segurança da informação. Estas regras devem estar
baseadas na política de segurança da informação da organização.
Além dos funcionários, especial atenção deve ser dada aos prestadores de
serviços, colaboradores temporários e estagiários que acessam os recursos
de processamento da informação da organização. No mínimo, essas pessoas
devem assinar um termo de confidencialidade.
Uma das formas de prevenir acessos não autorizados é por meio do uso de
perímetros de segurança física, com barreiras de segurança e controles de
acessos bem definidos.
Alguns cuidados devem ser tomados como, por exemplo, guardar papéis
importantes e mídias em armários trancados, proteger os computadores
pessoais com senhas ou outros mecanismos quando não estiverem sendo
usados e travar as copiadoras fora do horário normal de trabalho.
O descarte das mídias deve ser feito de maneira a evitar que as informações
sensíveis e críticas sejam acessadas por pessoas não autorizadas.
Uma das formas de prevenir contra a perda ou mau uso das informações é
elaborar e implementar um procedimento que contemple o transporte seguro
das mídias, que defina regras para o comércio eletrônico, onde as transações
são feitas online por meio de redes públicas, que estabeleça políticas para o
uso do correio eletrônico, e que defina cuidados para proteger a integridade
da informação divulgada eletronicamente por meio de sistemas disponíveis
ao público.
1.A norma recomenda que seja praticada a política de mesa limpa para
reduzir o risco de acesso não autorizado ou danos a papéis, mídias, recursos
e instalações de processamento das informações.
( )C
( )NC
2.Um perímetro de segurança física é, por exemplo, uma parede , uma porta
com controle de entrada baseado em um cartão, ou até mesmo um balcão de
controle de acesso registrado manualmente.
( )C
( )NC
34.A organização deve definir uma política clara para o uso do correio
eletrônico, contemplando orientações sobre quando não se deve utilizar o
correio eletrônico, proteção de anexos e uso de técnicas de criptografia,
quando necessário, para proteger a confidencialidade e integridade das
mensagens eletrônicas.
( )C
( )NC
MÓDULO VI:CONTROLE DE ACESSO E DESENVOLVIMENTO
DE MANUTENÇÃO DE SISTEMAS
9 CONTROLE DE ACESSO
Requisitos do negócio para controle de acesso (item 9.1 da NBR ISO IEC
17799)
O principal objetivo deste controle é monitorar o acesso à informação e aos
processos do negócio.
Convém lembrar que as pessoas que são remanejadas para outra área
devem ser imediatamente removidas das listas de acesso.
Por outro lado, cabe também à organização, realizar uma ampla campanha
de conscientização, por meio de cartazes, palestras, teatros, brindes, quanto
ao uso correto das senhas.
Computação móvel e trabalho remoto (item 9.8 da NBR ISO IEC 17799)
O principal objetivo deste controle é garantir a segurança da informação
quando da utilização de computação móvel e de trabalho remoto.
Equipamentos como notebook, por exemplo, não devem ser deixados dentro
de carros, em salas de reunião ou em quartos de hotéis.
Segurança nos sistemas de aplicação (item 10.2 da NBR ISO IEC 17799)
O principal objetivo deste controle é evitar que sejam feitas alterações dos
dados dos usuários nos sistemas de aplicações, perdas ou mau uso desses
dados.
Uma das formas empregadas é validar os dados de entrada para garantir que
eles não foram modificados, assegurando assim a integridade da informação.
Esta mesma sistemática deve ser aplicada tanto para o processamento
interno das informações, como para validar os dados de saída.
A validação dos dados visa assegurar que os mesmos estão corretos e não
foram modificados, seja por meio de uma ação proposital ou por erro de
processamento.
NOME:
ORGANIZAÇÃO:
1.A regra básica para o controle de acesso parte da premissa de que “Tudo
deve ser proibido, a menos que expressamente permitido”, ao invés de “Tudo
é permitido, a menos que expressamente proibido”.
( )C
( )NC
3.Nos contratos dos usuários deve ser incluída uma cláusula estabelecendo
sanções, nos casos de tentativa de acesso não autorizado, seja pelo
funcionário da organização, seja por um prestador de serviço.
( )C
( )NC
5.O direito de acesso dos usuários deve ser analisado criticamente a cada
dois anos e as autorizações para direitos de acesso privilegiados, a cada 12
meses.
( )C
( )NC
14.Uma pessoa que tenha assinatura digital possui um par de chaves, uma
chave privada (que pode ser revelada a qualquer pessoa) e uma chave
pública (que tem que ser mantida em segredo).
( )C
( )NC
17.Os pacotes de software podem ser modificados, todas as vezes que forem
solicitados pelos usuários .
( )C
( )NC
18.Quando o desenvolvimento de um software for terceirizado, deve ser
levado em consideração, os acordos sobre licenças, direitos de propriedade
intelectual, certificação da qualidade e da exatidão do trabalho, acordos na
eventualidade de haver falhas do prestador de serviço e requisitos
contratuais da qualidade do código.
( )C
( )NC
19.Um software desenvolvido por terceiro deve ser testado antes da sua
instalação, para detecção de cavalos de Tróia.
( )C
( )NC
12 CONFORMIDADE
12.1 Conformidade com requisitos legais (item 11.1 da NBR ISO IEC
17799)
O principal objetivo deste controle é evitar a violação de qualquer legislação,
regulamentações ou compromissos contratuais, além de quaisquer requisitos
de segurança.
NOME:
ORGANIZAÇÃO:
4.A identificação dos eventos que podem causar interrupções nos processos
do negócio, tais como, falha de equipamentos, inundações, incêndios,
sabotagens e espionagens, representa o ponto de partida para a
continuidade do negócio
( )C
( )NC
5.O plano de continuidade do negócio deve ser validado pela direção ou pelo
Comitê de Segurança da informação.
( )C
( )NC
11. Cópia de material que tenha direitos autorais não se caracteriza como
uma violação do direto autoral, nem leva a uma possível ação legal,
envolvendo processos criminais.
( )C
( )NC
2.Identificar qual o item da norma (número e título do item) que poderia ser
implementado, para eliminar ou reduzir a vulnerabilidade. Por exemplo, Item
da norma (número e título): 9.8.1 Computação móvel
PARTE B :Qual o item ou itens da NBR ISO IEC 17799 que poderia ser
implementado para minimizar ou eliminar a vulnerabilidade ? Apresente
um ou mais itens da norma
Item da norma:
Item da norma:
PARTE B :Qual o item ou itens da NBR ISO IEC 17799 que poderia ser
implementado para minimizar ou eliminar a vulnerabilidade ? Apresente
um ou mais itens da norma
Item da norma:
Item da norma:
PARTE B :Qual o item ou itens da NBR ISO IEC 17799 que poderia ser
implementado para minimizar ou eliminar a vulnerabilidade ? Apresente
um ou mais itens da norma
Item da norma:
CASE 5: FUMAÇA ENTRE GIGANTES
Em julho de 2004,uma história de espionagem empresarial envolvendo dois
gigantes agitou os bastidores da indústria do fumo. A Polícia Civil de São
Paulo investigou o furto de documentos confidenciais de uma industria de
cigarro, com toda a estratégia de lançamento do seu novo produto, recém
chegado ao mercado.
O furto ocorreu no dia 03 de julho de 2004, quando a Empresa realizava um
evento fechado em um Hotel, para tratar do lançamento do produto.
PARTE B :Qual o item ou itens da NBR ISO IEC 17799 que poderia ser
implementado para minimizar ou eliminar a vulnerabilidade ? Apresente
um ou mais itens da norma
Item da norma:
Item da norma:
PARTE B :Qual o item ou itens da NBR ISO IEC 17799 que poderia ser
implementado para minimizar ou eliminar a vulnerabilidade ? Apresente
um ou mais itens da norma
Item da norma:
Item da norma:
PARTE B :Qual o item ou itens da NBR ISO IEC 17799 que poderia ser
implementado para minimizar ou eliminar a vulnerabilidade ? Apresente
um ou mais itens da norma
Item da norma:
Item da norma:
PARTE B :Qual o item ou itens da NBR ISO IEC 17799 que poderia ser
implementado para minimizar ou eliminar a vulnerabilidade ? Apresente
um ou mais itens da norma
Item da norma:
Item da norma:
PARTE B :Qual o item ou itens da NBR ISO IEC 17799 que poderia ser
implementado para minimizar ou eliminar a vulnerabilidade ? Apresente
um ou mais itens da norma
Item da norma:
Item da norma:
PARTE B :Qual o item ou itens da NBR ISO IEC 17799 que poderia ser
implementado para minimizar ou eliminar a vulnerabilidade ? Apresente
um ou mais itens da norma
Item da norma:
Anexos:
Anexo I :Requisitos da NBR ISO IEC 17799
BIBLIOGRAFIA
1)NBR ISO IEC 17799:2001 – Tecnologia da informação –Código de prática para
a gestão da segurança da informação – ABNT-Associação Brasileira de Normas
Técnicas