Curso Sobre Gestão Da Segurança Da Informação, Baseado Na Norma NBR Iso Iec 177992001

CURSO SOBRE GESTÃO DA SEGURANÇA DA
INFORMAÇÃO, BASEADO NA NORMA

NBR ISO IEC 17799:2001
R ev: 0
Data:28.03.2005
Nota importante: Material para uso exclusivo dos alunos da Academia

Latino Americana de Segurança da Informação. Outras organizações ou
instituições interessadas em usar este material devem enviar um pedido
formal a CQSI, pelo e-mail cqsisecure@aol.com
CONTEÚDO PROGRAMÁTICO
• MÓDULO I:A IMPORTÂNCIA DA SEGURANÇA DA

INFORMAÇÃO PARA AS ORGANIZAÇÕES
• MÓDULO II:CONCEITOS E DEFINIÇÕES
• MÓDULO III:POLÍTICA DE SEGURANÇA DA

INFORMAÇÃO E SEGURANÇA ORGANIZACIONAL
• MÓDULO IV:CLASSIFICAÇÃO E CONTROLE DOS

ATIVOS DE INFORMAÇÃO E SEGURANÇA EM
PESSOAS
• MÓDULO V:SEGURANÇA FÍSICA E DO AMBIENTE E

GERENCIAMENTO DAS OPERAÇÕES E
COMUNICAÇÕES
• MÓDULO VI:CONTROLE DE ACESSO E

DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS
• MÓDULO VII:GESTÃO DA CONTINUIDADE DO NEGÓCIO

E CONFORMIDADE
• MÓDULO VIII:CASES STUDIES

MÓDULO I: A IMPORTÂNCIA DA SEGURANÇA DA INFORMAÇÃO
PARA AS ORGANIZAÇÕES
Cada vez mais no mundo dos negócios percebe-se, nitidamente, a

importância de se proteger as informações de uma organização em relação
aos seus três principais componentes, que são a confidencialidade a
integridade e a disponibilidade.
A informação é um dos ativos de grande importância para a organização e

que, portanto, precisa ser muito bem protegida.
Vivemos atualmente em um mundo online onde a informação, cada vez mais,

está exposta a um elevado número de ameaças e vulnerabilidades.
Ao implantar um modelo de gestão da segurança da informação baseado nas

melhores práticas existentes no mercado, como a norma NBR ISO IEC
17799, as organizações protegem as suas informações das ameaças e
vulnerabilidades, assegurando com isto a continuidade dos seus negócios e
minimizando os riscos a que estão expostas.
Esta proteção é feita a partir da implementação dos controles definidos na

norma NBR ISO IEC 17799. A depender da situação, outros controles além
dos definidos na norma, poderão também ser implementados.
Quando nos referimos às informações, estas podem existir sob várias formas
e podem estar armazenadas em diversos meios, a saber:
• Armazenadas nos computadores

• Transmitida por meio de redes
• Impressa ou escrita em papel
• Enviada por fax
• Guardadas em fitas ou discos
• Nos notebooks e palmtops
• Armazenadas em dispositivos do tipo flash memory
• Nos telefones celulares
PORQUE ADOTAR A NBR ISO IEC 17799

De um modo geral, as normas publicadas pela Organização Internacional de
Normalização, a ISO, têm uma grande aceitação no mercado. Um exemplo
disto é a norma ISO 9001:2000, que trata da Gestão da Qualidade,
considerada como a mais difundida norma da ISO que existe no mundo.
No caso da NBR ISO IEC 17799 que é um Código de Boas Práticas para a
Segurança da Informação, a sua aplicação é um pouco mais restrita que a
ISO 9001:2000, pois ela não é uma norma voltada para fins certificação.
Entretanto, a NBR ISO IEC 17799 pode ser usada pela maioria dos setores
da economia, pois todas as organizações, independentemente do seu porte
ou do ramo de atuação, precisam proteger as suas informações sensíveis e
críticas.
Embora existam normas sobre segurança da informação em vários países,

essas normas não têm a abrangência da ISO IEC 17799, que no momento
está sendo atualizada e melhorada por um grupo de mais de 50 especialistas
de todas as partes do mundo.Foram cerca de três anos de trabalho,
analisando mais de 1000 comentários ao projeto da ISO IEC 17799.
A nova ISO IEC 17799, que estará disponível a partir do segundo semestre
de 2005, é uma norma global e que reflete os mais modernos conceitos
mundiais sobre Gestão da Segurança da Informação.
Os participantes deste curso precisarão fazer uma atualização em relação à

nova norma, a partir de setembro de 2005.
MÓDULO II :CONCEITOS E DEFINIÇÕES
Para os efeitos deste curso, aplicam-se as seguintes definições:
1 Ativo:qualquer coisa que tenha valor para a organização (ISO/IEC IS

13335-1:2004)
2 Recursos de processamento da informação:qualquer sistema de

processamento da informação, serviço ou infra-estrutura, ou as instalações
físicas que os abriguem.
3 Segurança da Informação:preservação da confidencialidade, integridade

e disponibilidade da informação
4 Confidencialidade:garantia de que a informação é acessível somente por

pessoas autorizadas a terem acesso (NBR ISO IEC 17799:2000)
5 Integridade:salvaguarda da exatidão e completeza da informação e dos

métodos de processamento (NBR ISO IEC 17799:2000)
6 Disponibilidade:garantia de que os usuários autorizados obtenham

acesso à informação e aos ativos correspondentes sempre que necessário
(NBR ISO IEC 17799:2000)
7 Incidente de segurança da informação:pendente(ISO/IEC TR
18044:2004)
9 Avaliação de risco:Processo global da análise de risco e da valoração do

risco (ISO Guide 73:2002)
10 Tratamento do risco : processo de seleção e implementação de medidas

para modificar um risco (ISO Guide 73:2002)
11 Ameaça :causa potencial de um incidente indesejado, que pode resultar

em dano para um sistema ou para a organização (ISO/IEC IS 13335-1:2004)
12 Vulnerabildade: fragilidade de um ativo ou grupo de ativos que pode ser

explorada por uma ameaça
MÓDULO III:POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E

SEGURANÇA ORGANIZACIONAL
As principais recomendações da NBR ISO IEC 17799 estão detalhadas nas
10 cláusulas, nos 36 objetivos de controles e nos 127 controles da norma.
Deve-se deixar claro que nem todos os controles são, necessariamente,
aplicados a uma determinada organização e que, a depender da situação,
controles adicionais podem ser recomendados.
Convém também esclarecer que a implantação dos requisitos da NBR ISO

IEC 17799 não garante, sob hipótese alguma, 100% de segurança.
O que se procura, isto sim, é reduzir as ameaças e as vulnerabilidades a um
nível aceitável pela organização.
A seguir são apresentados alguns dos principais controles recomendados

pela NBR ISO IEC 17799, acrescidos de sugestões em função da experiência
do instrutor na implantação de Sistemas de Gestão da Segurança da
Informação.
Cada módulo é acompanhado com exercícios de fixação de conceitos.
Recomenda-se ao aluno da Academia Latino América de Segurança da

Informação a leitura da norma NBR ISO IEC 17799:2001 . A norma pode ser
adquirida acessando o site www.abnt.org.br, ou o e-mail ....... (pendente).
3.POLÍTICA DE SEGURANÇA
Política de segurança da informação (item 3.1 da NBR ISO IEC 17799)
O principal objetivo deste controle é fornecer à alta direção, orientações e

diretrizes relativas à segurança da informação.
Uma das formas da alta direção demonstrar o seu comprometimento com a
segurança da informação é por meio da publicação de uma política de
segurança da informação. Esta política deve ser assinada pela alta direção e
analisada criticamente a intervalos regulares para garantir que ela permanece
atualizada frente aos riscos advindos de mudanças ocorridas neste período
que possam afetar o ambiente organizacional.
Todos os usuários dos recursos de processamento da informação da

organização, ou seja, funcionários, prestadores de serviços, pessoal
temporário, estagiários, consultores, devem ser treinados na política de
segurança da informação.
A política deve contemplar os seguintes itens: atendimento à legislação e aos

requisitos contratuais, esforços da organização em relação à educação e
treinamento em segurança da informação, conseqüências decorrentes das
violações nas políticas e nos procedimentos de segurança da informação e
como a organização assegura a continuidade dos seus negócios. A política
deve enfatizar a importância da organização preservar a confidencialidade, a
integridade e disponibilidade das suas informações.
4.SEGURANÇA ORGANIZACIONAL
Infra-estrutura da segurança da informação (item 4.1 da NBR ISO IEC
17799)
O principal objetivo deste controle é garantir que a segurança da informação

tenha um bom gerenciamento.
A norma recomenda que seja criada uma estrutura para estabelecer,

implementar e monitorar a segurança da informação dentro da organização.
Isto pode ser feito de várias formas, como por exemplo, por meio de um
comitê ou de um fórum de segurança da informação. É desejável que este
fórum seja liderado pela alta direção.
As organizações que têm tido sucesso na implantação de sistemas de gestão

da segurança da informação contam com a ativa participação da alta direção.
Como costuma dizer um renomado Guru da área de gestão: “Sem o
comprometimento da alta direção, nenhum modelo de gestão será bem
sucedido”.
De um modo geral a organização cria um comitê de gestão da segurança da

informação ou incorpora as atribuições de segurança da informação, em um
comitê já existente.
Destacam-se como principais atribuições deste comitê ou fórum:
a)Propor, analisar criticamente e aprovar a política de segurança da
informação;
b)Estar atento às ameaças que os ativos de informação estão expostos, face
às constantes mudanças que ocorrem no ambiente da organização;
c)Monitorar, periodicamente, os incidentes de segurança da informação que
causem impacto aos negócios da organização, evitando a sua repetição e,
onde possível, identificar potenciais incidentes de segurança da informação
para prevenir que eles ocorram.
É recomendável que representantes de áreas como a Jurídica, Recursos

Humanos e Segurança Patrimonial, além da área de Tecnologia da
Informação participem deste comitê.
Em função das constantes mudanças que hoje passa uma organização, em

termos de reestruturação organizacional, introdução de novas tecnologias,
novas regulamentações definidas pelos organismos competentes, o comitê
deve se reunir, no mínimo, a cada três meses.
Novas instalações, atualizações, re-configurações ou quaisquer trabalhos

feitos na infra-estrutura de segurança da informação, devem ser aprovados
nos níveis apropriados, inclusive pelo gestor de segurança da informação,
tecnicamente validados e documentados.
Para avaliar a eficácia da implementação da política de segurança da

informação é recomendável que ela seja analisada criticamente, de forma
independente, demonstrando assim que as práticas da organização estão
alinhadas com as suas políticas, normas e procedimentos.
Segurança no acesso de prestadores de serviços (item 4.2 da NBR ISO

IEC 17799)
O principal objetivo deste controle é garantir a segurança dos recursos de
processamento da informação e dos ativos de informação da organização,
que são acessados pelos prestadores de serviços.
Cada vez mais as organizações buscam repassar as atividades que não

constituem a sua principal finalidade, para outras empresas. Este número
vem crescendo a cada dia.
Estima-se que, atualmente, entre 30 a 50% da força de trabalho de uma
organização seja constituída de pessoas de outras empresas.Muitas dessas
pessoas acessam, processam e, às vezes até operam os recursos de
processamento da informação da organização.Por esta razão, torna-se
indispensável definir uma política para o acesso dos prestadores de serviços.
O acesso do prestador de serviço tanto pode ser físico como, por exemplo,
acesso aos escritórios, salas de computadores, salas de reuniões, ou lógico,
como por exemplo, acesso ao banco de dados ou aos sistemas de
informação da organização.
Qualquer que seja o tipo de acesso recomenda-se tomar cuidados especiais

para evitar implicações à segurança da informação.
São exemplos de prestadores de serviços, as equipes de suporte de software

e hardware, parceiros comerciais, pessoal de limpeza, guardas de
segurança, estagiários, consultores, pessoal contratado de curta duração.
O primeiro passo, portanto, é avaliar os riscos dos prestadores de serviços
que acessam os recursos de processamento da informação e os ativos de
informação da organização e então identificar quais controles devem ser
implementados para minimizar esses riscos.
Terceirização (item 4.3 da NBR ISO IEC 17799)

O principal objetivo deste controle é garantir a segurança da informação,
quando o seu processamento é repassado para uma outra organização.
Uma das formas de proteger a organização contra os riscos da terceirização

é ter um contrato assinado que definam claramente quais os requisitos de
segurança da informação, os controles a serem implementados e as
responsabilidades de ambas as partes.
Destacam-se como principais recomendações da norma:

a)Considerar os requisitos legais a serem atendidos como, por exemplo, o
relativo à proteção de dados;
b)Deixar claro quais são as responsabilidades pela segurança da informação
das partes envolvidas, não esquecendo de incluir os subfornecedores,
quando for o caso;
c)Informar como a confidencialidade e integridade serão mantidas, e como a
disponibilidade dos serviços será assegurada em caso de desastre ou falha
significativa;
d)Definir quais os níveis de segurança físicos para os ativos terceirizados;
e)Estar ciente de que a organização tem o direito de auditar.
EXERCÍCIOS DE FIXAÇÃO DE CONCEITOS
MÓDULO III:POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E

SEGURANÇA ORGANIZACIONAL
NOME:
ORGANIZAÇÃO:
ASSINALE AS QUESTÕES ABAIXO, CONFIRMANDO(C) OU NÃO(NC), SE

SÃO RECOMENDAÇÕES DA NORMA NBR ISO IEC 17799
Recomenda-se ao aluno da Academia Latino Americana de Segurança

da Informação a leitura da norma NBR ISO IEC 17799:2000
Perguntas adicionais ao texto teórico apresentado são também

colocadas para estimular o raciocínio do estudante e enriquecer os
seus conhecimentos sobre a norma.
1.A política de segurança da informação só deve ser do conhecimento dos

funcionários da sua Organização.
( )C
( )NC
2. A política de segurança da informação de uma organização deve ser
analisada a cada 5 anos.
( )C
( )NC
3.A Política de Segurança da Informação pode ser assinada pelo Gestor da

Segurança da Informação.
( )C
( )NC
4.Os incidentes de segurança significativos não precisam, necessariamente,

ser discutidos na reunião do Comitê de Gestão da Segurança da Informação.
( )C
( )NC
5.A Alta direção participa das reuniões do Comitê de Gestão da Segurança

da informação e preside o Comitê.
( )C
( )NC
6.Os assuntos tratados nas reuniões do Comitê de Gestão da Segurança da

informação, não precisam ser formalmente registrados.
( )C
( )NC
7.Os responsáveis pelos ativos de informação estão claramente definidos,

porém as suas responsabilidades não constam nas descrições de funções
ou em documento equivalente.
( )C
( )NC
8.A introdução de um novo software ou hardware, não necessariamente,

precisa de aprovação.
( )C
( )NC
9.O Gestor da Segurança da Informação tem que tomar conhecimento da

utilização de novos recursos de processamento da informação
( )C
( )NC
10.A análise crítica independente, da implementação da política de

segurança da informação, não faz parte das atividades de um Sistema de
Gestão da Segurança da Informação
( )C
( )NC
11.O acesso dos prestadores de serviços aos recursos de processamento da

informação precisam ser controlados.
( )C
( )NC
12.As equipes de suporte de software e hardware, que acessam os sistemas

de informações ou compartilham as bases de dados não precisam ser
contempladas na avaliação de Risco
( )C
( )NC
13.Na identificação dos riscos, feita pela Avaliação de Risco, é necessário

considerar o pessoal da limpeza, os guardas de segurança e os consultores.
( )C
( )NC
14.Os contratos com os prestadores de serviços que acessam os recursos de

processamento da informação, precisam fazer referência aos requisitos de
segurança.
( )C
( )NC
15.O tipo de acesso dado aos prestadores de serviços, seja físico ou lógico,
precisa estar formalmente definido
( )C
( )NC
16.O acesso dos prestadores de serviços à informação e aos recursos de

processamento da informação, pela urgência do trabalho, pode ser permitido,
antes da assinatura de um termo de confidencialidade e do cumprimento da
política de segurança da organização
( )C
( )NC
17.O contrato com terceiros deve contemplar a indenização a ser paga à

organização, nos casos de violação às normas e políticas da empresa
( )C
( )NC
18.O contrato com terceiros não precisa fazer menção aos eventuais sub-
contratados
( )C
( )NC
19.O contrato com terceiros deve assegurar o direito de auditar, monitorar e
de revogar as atividades do usuário
( )C
( )NC
20.Quando da terceirização dos serviços, devem ser definidos quais os

controles físicos e lógicos a serem adotados, e como a disponibilidade dos
serviços será mantida em caso de desastre
( )C
( )NC
MÓDULO IV:CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE

INFORMAÇÃO E SEGURANÇA EM PESSOAS
5. CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE INFORMAÇÃO
Contabilização dos ativos (item 5.1 da NBR ISO IEC 17799)

O principal objetivo deste controle é assegurar que os ativos de informação
da organização tenham proteção adequada.
Uma das formas de assegurar esta proteção é realizar um inventário de todos

os principais ativos e definir um responsável por cada um desses ativos. A
organização deve manter uma lista atualizada dos seus ativos, deixando
claro quem é responsável por esta atualização.
São exemplos de ativos:ativos de informação (manuais, normas,

procedimentos que apóiam as operações, planos de continuidade), ativos de
software(aplicativos, utilitários), ativos físicos(PC, notebooks, roteadores,
celulares, mídias, no-break) e serviços (serviços de comunicação,
refrigeração)
A lista de inventários deve definir, como mínimo, o número do ativo, a sua

classificação, quem é o responsável pelo ativo e a sua localização.A lista
deve contemplar os ativos que são necessários para assegurar a integridade
e disponibilidade da informação, como por exemplo, o fornecimento de
energia, as redes de incêndio, os cofres de segurança, os planos de
recuperação de desastres, entre outros.
Classificação da informação (item 5.2 da NBR ISO IEC 17799)

O principal objetivo deste controle é garantir uma proteção adequada dos
ativos de informação da organização.
Uma das formas de proteção é restringir o acesso à informação apenas às

pessoas que dela precisam para executar as suas atividades. Isto é feito por
meio da classificação da informação, que indica a importância e o nível de
proteção requerido.
Convém lembrar que a classificação deve ser feita apenas para as
informações críticas e sensíveis da organização.
A norma recomenda que seja adotado um sistema de classificação, definindo

quais os níveis de proteção e que medidas especiais devem ser empregadas
para o tratamento da informação.
Este sistema, por exemplo, pode considerar três níveis de classificação:
interno, confidencial e altamente confidencial.
Uma informação deve ser classificada como interno quando a sua

divulgação não autorizada, principalmente fora da organização seria
inadequada ou inconveniente.
Uma informação deve ser classificada como confidencial quando a sua

divulgação não autorizada, mesmo dentro da organização, pode causar
danos à organização. São exemplos de informações classificadas como
confidencial:propostas comerciais, informações de marketing, avaliação de
concorrentes, informações sobre clientes, informações sobre os funcionários
Uma informação deve ser classificada como altamente confidencial quando

a sua divulgação não autorizada, mesmo dentro da organização, pode causar
sérios prejuízos aos negócios e à imagem da organização. São exemplos de
informações classificadas como altamente confidencial: detalhes sobre
aquisições importantes e fusões, negócios de alto nível, estratégias da
organização e de concorrentes, avaliação de fornecedores e parceiros
críticos e informação sobre patentes.
Tratamento da informação
Todas as informações classificadas, por exemplo, como de uso interno,
confidencial e altamente confidencial devem ter um rótulo indicando a sua
classificação e um tratamento compatível com o seu nível de importância.
As informações classificadas como altamente confidencial, devem ser

mantidas permanentemente em gavetas e armários trancados, ou mesmo em
cofres, quando não estiverem em uso.
Se elas estiverem em meio eletrônico devem ser arquivadas de forma cifrada

e com controles de acesso lógico aplicáveis.
A sua destruição deve ser feita sempre sob a supervisão de um

representante da organização usando, preferencialmente, um fragmentador
de modo a assegurar a eliminação completa da informação.
As informações classificadas como altamente confidencial devem ser

entregues ao destinatário pessoalmente, sempre que possível. Caso sejam
transmitidas eletronicamente as mesmas devem ser cifradas.
A transmissão por voz deve ser expressamente proibida e, em nenhuma
hipótese, deve ser permitida a transmissão por fax.
6 SEGURANÇA EM PESSOAS
Segurança na definição e nos recursos de trabalho (item 6.1 da NBR ISO
IEC 17799)
O principal objetivo deste controle é reduzir os riscos relacionados com o
mau uso dos recursos de processamento da informação, o erro humano,
roubo e as fraudes.
Uma das formas de reduzir esses riscos é definir, nas descrições de funções,
no perfil de competência ou em um documento similar, regras e
responsabilidades pela segurança da informação. Estas regras devem estar
baseadas na política de segurança da informação da organização.
Além dos funcionários, especial atenção deve ser dada aos prestadores de
serviços, colaboradores temporários e estagiários que acessam os recursos
de processamento da informação da organização. No mínimo, essas pessoas
devem assinar um termo de confidencialidade.
A norma recomenda que a organização realize uma série de verificações

antes da contratação de pessoas que venham a ter acesso às informações
críticas e sensíveis como, por exemplo, a apresentação de referencias
pessoais e profissionais e a checagem dos dados contidos no curriculum
vitae. Os registros relativos à educação e qualificação também devem ser
confirmados.
Acordos de confidencialidade devem ser assinados tanto pelos funcionários

da organização como pelos prestadores de serviços, pessoal temporário e
estagiários, antes dos mesmos terem acesso aos recursos de processamento
da informação.
Treinamento dos usuários (item 6.2 da NBR ISO IEC 17799)

O principal objetivo deste controle é assegurar que os usuários estejam
conscientes das ameaças aos ativos de informação e à informação, e
preparados para apoiar e cumprir com as políticas e procedimentos relativos
à segurança da informação.
Isto se consegue por meio de um processo de treinamento e educação bem

estruturado, destinado às pessoas que acessam os recursos de
processamento da informação e as informações críticas e sensíveis da
organização, sejam eles funcionários, prestadores de serviços, pessoal
temporário ou estagiários.
Respondendo aos incidentes de segurança da informação e ao mau
funcionamento (item 6.3 da NBR ISO IEC 17799)
O principal objetivo deste controle é minimizar os impactos causados pelos

incidentes de segurança da informação e pelo mau funcionamento de
software, e aprender com esses incidentes.
Uma das formas de reduzir os danos causados pelos incidentes é definir e

implementar um procedimento de modo que esses incidentes sejam
relatados às pessoas apropriadas, tão logo quanto possível. Todos os
usuários dos recursos de processamento da informação devem ser
orientados a notificar e reportar às funções pertinentes, quaisquer incidentes
de segurança da informação sejam eles reais ou suspeitos.Também deve ser
relatado o mau funcionamento de um software, principalmente os que têm
impacto na segurança da informação.
Alguns dos incidentes de segurança da informação devem ser usados nos

programas de treinamento e conscientização para que se conheça exemplo
real do que Não deve ser feito.
Outro objetivo deste tópico é o de evitar a repetição de um mesmo problema

dentro da organização ou, de forma preventiva, evitar a sua ocorrência a
partir de exemplos conhecidos de outras organizações.
Uma das grandes recomendações da norma é o item relativo ao processo

disciplinar. Toda violação às políticas e procedimentos de segurança da
informação da organização, deve ser tratada por meio de um processo
disciplinar formal.
Este processo deve contar com a efetiva participação do pessoal da área

Jurídica e de Recursos Humanos além, obviamente, das áreas onde o
problema ocorreu.
MÓDULO IV:CLASSIFICAÇÃO E CONTROLE DOS ATIVOS DE

INFORMAÇÃO E SEGURANÇA EM PESSOAS

NOME:
ORGANIZAÇÃO:


1.No inventário dos ativos de informação é necessário definir apenas o
proprietário responsável por cada ativo.
( )C
( )NC
2.Os ativos de informação a serem considerados no levantamento são os

ativos físicos e ativos de software.
( )C
( )NC
3.Manuais de treinamento e procedimentos de operação, não são

considerados como ativos de informação.
( )C
( )NC
4.A reputação da organização é um dos mais importantes ativos de

informação.
( )C
( )NC
5.Todas as informações da organização precisam ser classificadas e

rotuladas.
( )C
( )NC
6. O proprietário ou o autor deve participar da classificação da informação.

( )C
( )NC
7.Uma informação classificada como confidencial deve ser mantida como tal
por tempo indeterminado.
( )C
( )NC
8.Os ativos de informação a serem considerados são os existentes em meio

físico.
( )C
( )NC
9.As responsabilidades pela segurança da informação devem ser definidas

na fase de recrutamento, incluídas nos contratos e monitorada durante a
vigência de cada contrato de trabalho.
( )C
( )NC
10.O acordo de confidencialidade só precisa ser assinado pelos funcionários
da Organização.
( )C
( )NC
11.Uma verificação da idoneidade de crédito deve ser feita pela organização,

para as pessoas que trabalham com informações financeiras ou altamente
confidenciais.
( )C
( )NC
12.As pessoas novas ou inexperientes precisam ter autorização para acessar

sistemas críticos ou sensíveis.
( )C
( )NC
13.Sinais de estresse ou depressão, mudanças de comportamento ou de

estilo de vida, problemas financeiros e ausências freqüentes dos usuários
(funcionários da Organização ou contratados) que trabalham com
informações críticas ou sensíveis, devem ser levadas em consideração pela
organização
( )C
( )NC
14.Os termos do contrato devem contemplar somente o período em que o

usuário (funcionários da Organização ou contratados) trabalhou na empresa
( )C
( )NC
15.Os consultores que têm acesso às instalações de processamento das

informações também devem assinar um termo de confidencialidade
( )C
( )NC
16.Todos os usuários que acessam os recursos de processamento das

informações, devem ser treinados nas políticas e nos procedimentos de
segurança da informação da Organização.
( )C
( )NC
17.Os incidentes relacionados com a segurança da informação devem ser

notificados dentro de um prazo máximo de 7dias
( )C
( )NC
18.Os diversos tipos de incidentes de segurança da informação(violação às

políticas e procedimentos da organização, ameaças, fragilidades, mau
funcionamento) só devem ser notificados pelos funcionários da Organização.
( )C
( )NC
19.Deve ser estabelecido um processo disciplinar formal para tratar com os

usuários que cometam violações na segurança da informação
( )C
( )NC
20.Alguns dos incidentes de segurança da informação devem ser utilizados

nos treinamentos de conscientização dos usuários
( )C
( )NC
MÓDULO V:SEGURANÇA FÍSICA E DO AMBIENTE E

GERENCIAMENTO DAS OPERAÇÕES E COMUNICAÇÕES
7SEGURANÇA FÍSICA E DO AMBIENTE
Áreas de segurança (item 7.1 da NBR ISO IEC 17799)

O principal objetivo deste controle é evitar o acesso não autorizado, danos e
interferências às instalações de processamento da informação e às
informações da organização.
Uma das formas de prevenir acessos não autorizados é por meio do uso de
perímetros de segurança física, com barreiras de segurança e controles de
acessos bem definidos.
Deve ser verificado se o projeto das instalações levou em consideração

possibilidades de danos causados por fogo, inundações, ou outras formas de
desastres, sejam causados pelo homem ou pela natureza.
Alguns cuidados são de fundamental importância. Por exemplo, a

organização deve verificar se os equipamentos de contingência e as cópias
de segurança (backup) estão sendo guardadas a uma distância suficiente da
instalação principal, para evitar que um desastre nesse local afete todo o
sistema.
O uso de dispositivos de fotografia, incluindo telefones celulares, não deve
ser permitido no perímetro de segurança, a menos que expressamente
autorizado.
Segurança dos equipamentos (item 7.2 da NBR ISO IEC 17799)

O principal objetivo deste controle é evitar a perda ou o comprometimento
dos ativos e a interrupção das atividades da organização.
Uma das formas de prevenir essa situação é protegendo os equipamentos de

modo a reduzir os riscos de acesso não autorizado.
É importante lembrar que os equipamentos remotos devem ser
contabilizados no inventário e contemplados na avaliação de risco.
Devem ser estabelecidas políticas proibindo o uso de alimentação, bebidas e

fumo, próximo dos recursos de processamento da informação.
Cuidados para proteger os equipamentos contra falhas de energia e outras

anomalias na alimentação elétrica devem ser tomados como, por exemplo,
ter uma alimentação múltipla, usar o No-break (UPS) e ter disponível um
gerador de emergência.Este gerador deve ser testado regularmente, com
base nas instruções do fabricante.
A saída de qualquer equipamento de processamento da informação para fora

da organização deve ser autorizada e uma política sobre esta questão deve
ser estabelecida. Por exemplo, os equipamentos não devem ser deixados
desprotegidos em locais públicos, os notebooks devem ser transportados de
forma disfarçada e sempre devem permanecer junto ao responsável pelo
equipamento, mesmo em viagens de longa distância.
Devem ser considerados também outros ativos que contenham informações

sensíveis e críticas da organização, como agendas eletrônicas, celulares e
papéis importantes.
Um outro cuidado a ser tomado é com relação a trabalhos feitos em casa. Os

controles para minimizar os riscos decorrentes do uso de equipamentos fora
das instalações da organização, devem ser definidos com base em uma
avaliação de risco.
É importante que exista um procedimento orientando sobre o uso de

equipamentos fora das instalações da organização, e proibindo atividades
como instalações de jogos, acesso à internet para fins de diversão, ou outras
atividades que possam comprometer a confidencialidade, integridade e
disponibilidade das informações contidas no equipamento.
Controles Gerais (item 7.3 da NBR ISO IEC 17799)

O principal objetivo deste controle é o de evitar o roubo ou a exposição da
informação e dos recursos de processamento da informação.
Uma das formas de evitar o roubo ou a exposição é implantar uma política de
mesa limpa e tela protegida.
Alguns cuidados devem ser tomados como, por exemplo, guardar papéis
importantes e mídias em armários trancados, proteger os computadores
pessoais com senhas ou outros mecanismos quando não estiverem sendo
usados e travar as copiadoras fora do horário normal de trabalho.
Devem existir mecanismos que assegurem que os envolvidos foram

treinados, conhecem e praticam as políticas e procedimentos da organização.
8 GERENCIAMENTO DAS OPERAÇÕES E COMUNICAÇÕES
Procedimentos e responsabilidades operacionais (item 8.1 da NBR ISO

IEC 17799)
O principal objetivo deste controle é garantir que os recursos de
processamento da informação operem de forma correta e segura
Uma das formas de garantir a operação correta é elaborar procedimentos

operacionais que especifiquem a execução detalhada de cada atividade.
Estes procedimentos devem ser periodicamente atualizados de modo a
refletir as novas tecnologias e mudanças do ambiente.
Os procedimentos devem, por exemplo, tratar de questões relacionadas com

restrições de uso dos recursos do sistema, erros que ocorram na execução
de uma tarefa, contato com pessoal de suporte, reinício e recuperação no
caso de falhas dos sistemas, geração de cópias de seguranças, entre outros.
A norma recomenda que as modificações nos sistemas e nos recursos de

processamento da informação sejam controladas como, por exemplo,
mudanças de equipamentos e aquisições de novos softwares.
Um dos procedimentos a serem estabelecidos é o de gerenciamento de

incidentes para assegurar uma resposta rápida e eficaz aos incidentes
relacionados com a segurança da informação. Falhas dos sistemas,
inoperância dos serviços, não obtenção do serviço, violação da
confidencialidade são exemplos de incidentes de segurança da informação
que devem ser reportados.

Housekeeping (item 8.4 da NBR ISO IEC 17799)

O principal objetivo deste controle é assegurar a disponibilidade e integridade
dos serviços de processamento da informação.
Uma das formas de garantir a disponibilidade é elaborar um procedimento

para realizar cópias de segurança (backup) dos principais dados e softwares
que são necessários ao negócio. As cópias de segurança devem ser testadas
regularmente e guardadas longe das instalações principais, para evitar que
um desastre na instalação principal (incêndio, explosão, ação terrorista) afete
também as cópias de segurança. Cuidados devem ser tomados para proteger
as mídias usadas nas cópias de segurança, tanto do ponto de vista de
proteção física, para evitar o acesso indevido, quanto do ponto de vista de
armazenamento, para prevenir quanto à deterioração.

Segurança e tratamento de mídias (item 8.6 da NBR ISO IEC 17799)

O principal objetivo deste controle é proteger as mídias magnéticas e
documentos contra roubo, acesso indevido e danos.
Uma das formas de garantir esta proteção é elaborar um procedimento para

o gerenciamento das mídias, incluindo o seu descarte.
Alguns cuidados devem ser tomados com as mídias removíveis (fitas, discos,
cartuchos, flash memory) como, por exemplo, apagar o conteúdo da mídia
que não será mais utilizada pela organização, solicitar autorização para a
remoção da mídia da organização, armazenar a mídia de acordo com as
especificações do fabricante e em um ambiente seguro.
O descarte das mídias deve ser feito de maneira a evitar que as informações
sensíveis e críticas sejam acessadas por pessoas não autorizadas.

Troca de informações e software (item 8.7 da NBR ISO IEC 17799)

O principal objetivo deste controle é evitar a perda ou o mau uso das
informações trocadas entre as organizações.
Uma das formas de prevenir contra a perda ou mau uso das informações é
elaborar e implementar um procedimento que contemple o transporte seguro
das mídias, que defina regras para o comércio eletrônico, onde as transações
são feitas online por meio de redes públicas, que estabeleça políticas para o
uso do correio eletrônico, e que defina cuidados para proteger a integridade
da informação divulgada eletronicamente por meio de sistemas disponíveis
ao público.

Cuidados também devem ser tomados para outras formas de troca de

informação como, por exemplo, as informações verbais, por fax e vídeo,
especialmente no caso de telefones celulares, quando usado em um
ambiente público.
MÓDULO V: SEGURANÇA FÍSICA E DO AMBIENTE E
GERENCIAMENTO DAS OPERAÇÕES E COMUNICAÇÕES

NOME:
ORGANIZAÇÃO:

1.A norma recomenda que seja praticada a política de mesa limpa para
reduzir o risco de acesso não autorizado ou danos a papéis, mídias, recursos
e instalações de processamento das informações.
( )C
( )NC
2.Um perímetro de segurança física é, por exemplo, uma parede , uma porta
com controle de entrada baseado em um cartão, ou até mesmo um balcão de
controle de acesso registrado manualmente.
( )C
( )NC
3.As barreiras e a sua localização são implantadas independentemente do

resultado da avaliação de risco (RA).
( )C
( )NC
4.Barreiras físicas devem ser implantadas, onde necessário, para evitar

acessos não autorizados ou contaminação ambiental, tais como as
provocadas pelo fogo ou por inundações.
( )C
( )NC
5.Todos os visitantes que acessam as áreas de segurança devem ser

checados, mas não é necessário o registro da data e hora de sua entrada e
saída.
( )C
( )NC
6. As portas de incêndio situadas no perímetro de segurança devem possuir
sensores de alarme e molas para fechamento automático.
( )C
( )NC
7.O acesso às informações sensíveis, instalações e recursos de

processamento da informação deve ser controlado e restrito apenas ao
pessoal autorizado.
( )C
( )NC
8.Uma trilha de auditoria contendo todos os acessos físicos que ocorreram

deve ser mantida pela organização.
( )C
( )NC
9.Os direitos de acesso às áreas de segurança não precisam ser atualizados

e valem por tempo indeterminado.
( )C
( )NC
10.As atividades de processamento de informações devem estar indicadas

de forma explícita, tanto externa como internamente ao prédio.
( )C
( )NC
11.As fotocopiadoras e máquinas de fax podem ser instaladas em uma área

de livre circulação.
( )C
( )NC
12.Os sistemas de detecção de intrusos devem ser instalados por

profissionais especializados e testados a intervalos definidos, em todas as
portas externas e janelas acessíveis.
( )C
( )NC
13.Os equipamentos de contingência e os meios magnéticos de reserva

(backup) podem ser guardados próximo das instalações principais.
( )C
( )NC
14.O trabalho nas áreas de segurança deve ser feito sempre sob supervisão,
não apenas por questões de segurança, como principalmente para evitar
possibilidades de atividades maliciosas.
( )C
( )NC
15.As áreas de segurança não ocupadas, dispensam da necessidade de

verificação periódica.
( )C
( )NC
16.O acesso do pessoal de suporte às áreas de segurança ou às instalações

de processamento das informações sensíveis precisa somente de
autorização .
( )C
( )NC
17.O uso de bebidas, alimento e fumo nas proximidades das instalações de

processamento das informações não é proibido.
( )C
( )NC
18.Os geradores de reserva devem ser testados regularmente, seguindo as

instruções do fabricante, e o fornecimento de óleo deve assegurar a
utilização do gerador por um período de tempo prolongado.
( )C
( )NC
19.Todos os prédios devem ter proteção contra relâmpagos e filtros de

proteção contra raios devem ser instalados nas linhas de comunicação
externas.
( )C
( )NC
20.O plano de manutenção dos equipamentos é elaborado de acordo com a

experiência do gerente de manutenção, que não considera, necessariamente,
as recomendações do fabricante.
( )C
( )NC
21.Os procedimentos de operação devem especificar a execução detalhada

de tarefas incluindo requisitos de sincronismo, interdependências com outros
sistemas, a hora mais cedo de início e a hora mais tarde do término de
tarefas.
( )C
( )NC
22.A organização deve também elaborar procedimentos documentados para
as atividades de inicialização e encerramento das atividades dos
computadores, geração de cópias de segurança (back-up) e manutenção de
equipamentos.
( )C
( )NC
23.As modificações nos sistemas e recursos de processamento da

informação não precisam ser controladas.
( )C
( )NC
24.A organização deve estabelecer um procedimento para o gerenciamento

de incidente que cubra os principais tipos de incidentes de segurança, tais
como: falhas dos sistemas de informação e inoperância de serviços, não
obtenção de serviço, erros resultantes de dados incompletos ou
inconsistentes e violação de confidencialidade.
( )C
( )NC
25.Os procedimentos para o gerenciamento de incidentes devem contemplar

também, uma análise e identificação das causas do incidente, o
planejamento e implementação de medidas para evitar a reocorrência do
incidente, a coleta de trilhas de auditoria e evidências similares, a
comunicação com as pessoas afetadas ou envolvidas na recuperação de
incidentes e o relato à autoridade apropriada.
( )C
( )NC
26.As trilhas de auditoria e evidências similares devem ser coletadas e

mantidas de forma segura, para permitir uma análise de problemas internos,
como evidência para o caso de uma potencial violação de contrato ou de
normas reguladoras, ou em casos de delitos civis ou criminais, tais como os
relacionados ao uso doloso de computadores ou à legislação de proteção dos
dados.
( )C
( )NC
27. A segregação de atividades que requeiram cumplicidade é importante

para se evitar a concretização de uma fraude, como por exemplo, a pessoa
que emite um pedido de compra, não deve ser a mesma responsável pela
confirmação do recebimento da compra.
( )C
( )NC
28.Cópias de segurança dos dados e de software essenciais ao negócio
devem ser feitas regularmente e os backups dos sistemas individuais devem
ser testados, para garantir os requisitos do plano de continuidade dos
negócios.
( )C
( )NC
29.As cópias de segurança e os procedimentos de recuperação podem ser

mantidos em qualquer local, desde que devidamente protegidos.
( )C
( )NC
30.A organização deve manter registros das atividades de pessoal de

operação, incluindo o horário de início e término dos processamentos, os
erros e as ações corretivas adotadas, a confirmação do correto tratamento
dos arquivos de dados e dos resultados gerados nos processamentos, bem
como a identificação de quem está realizando as operações.
( )C
( )NC
31.O prestador de serviços de coleta e descarte de papel, de equipamentos e

de mídias magnéticas, não necessita adotar cuidados especiais, uma vez que
a informação será destruída.
( )C
( )NC
32.A organização deve estabelecer um procedimento para o tratamento da

informação contida em documentos, sistemas de computadores, computação
móvel, redes de computadores, correio eletrônico, correio de voz, uso de fax,
para proteger tais informações, contra a divulgação ou uso indevido.
( )C
( )NC
33.O armazenamento das mídias deve ser feito em um ambiente compatível

com as especificações do fabricante.
( )C
( )NC
34.A organização deve definir uma política clara para o uso do correio
eletrônico, contemplando orientações sobre quando não se deve utilizar o
correio eletrônico, proteção de anexos e uso de técnicas de criptografia,
quando necessário, para proteger a confidencialidade e integridade das
mensagens eletrônicas.
( )C
( )NC
MÓDULO VI:CONTROLE DE ACESSO E DESENVOLVIMENTO
DE MANUTENÇÃO DE SISTEMAS
9 CONTROLE DE ACESSO
Requisitos do negócio para controle de acesso (item 9.1 da NBR ISO IEC
17799)
O principal objetivo deste controle é monitorar o acesso à informação e aos
processos do negócio.
Uma das formas de monitorar o acesso é elaborar e implementar uma política

de controle de acesso aos sistemas de informação e à informação.

É neste item da norma que se aplicam dois grandes conceitos. O primeiro é o

conceito need to know, ou seja, as pessoas somente precisam acessar os
sistemas necessários à execução das suas atividades.
A seguinte pergunta deve ser regularmente feita: Porque esta pessoa precisa
acessar essas informações da organização ?
O segundo conceito parte da premissa de que “Tudo é proibido, a menos que

expressamente permitido, ao invés de “Tudo é permitido, a menos que
expressamente proibido”
Gerenciamento de acessos do usuário (item 9.2 da NBR ISO IEC 17799)

O principal objetivo deste controle é prevenir o acesso não autorizado aos
sistemas de informação.
Uma das formas de evitar o acesso não autorizado é elaborar e implementar

procedimentos formais para controlar o acesso dos usuários, autorizando e
quando necessário, cancelando o acesso aos sistemas de informação e aos
serviços.
Os acessos devem ser formalmente controlados e registrados.
Convém lembrar que as pessoas que são remanejadas para outra área
devem ser imediatamente removidas das listas de acesso.
Cuidados especiais devem ser tomados em relação aos administradores e

engenheiros de sistemas, bem como com as funções privilegiadas que
acessam os recursos de processamento da informação.
Com a atual dinâmica no mundo dos negócios, as organizações fazem

reestruturação organizacional, realizam fusões e aquisições, como também o
chamado downsizing, e com isto muitas pessoas saem e entram na
organização.
Portanto é muito importante que, periodicamente, seja feita uma análise
crítica dos direitos de acesso do usuário, inclusive com os prestadores de
serviços, pessoal temporário e estagiários que acessam os recursos de
processamento da informação.

Responsabilidades do usuário (item 9.3 da NBR ISO IEC 17799)

O principal objetivo deste controle é prevenir o acesso não autorizado aos
sistemas de informação.
A grande responsabilidade que recai sobre os usuários, está relacionada com

o uso de senhas. Como boas práticas de segurança, cabe ao usuário: manter
a confidencialidade da sua senha, modificar a senha quando houver uma
indicação de possível comprometimento, selecionar senhas que não sejam
baseadas em nomes de pessoas, telefones ou datas de nascimento, não
utilizar caracteres consecutivos como 1,2,3,4 ou a,b,c,d, e, principalmente,
não compartilhar a sua senha com outras pessoas.
Por outro lado, cabe também à organização, realizar uma ampla campanha
de conscientização, por meio de cartazes, palestras, teatros, brindes, quanto
ao uso correto das senhas.
Computação móvel e trabalho remoto (item 9.8 da NBR ISO IEC 17799)
O principal objetivo deste controle é garantir a segurança da informação
quando da utilização de computação móvel e de trabalho remoto.
Uma das formas de garantir a segurança da informação é estabelecer e

implementar um procedimento para o uso de recursos de computação móvel
(notebooks, palmtops, telefones celulares) e de trabalho remoto.
Este procedimento deve contemplar cuidados com a proteção física dos
equipamentos, controles de acesso, cópias de segurança, proteção contra
vírus e instalação de software, dando ênfase para o uso de tais
equipamentos em locais públicos, os quais podem estar sujeitos a roubo.
Equipamentos como notebook, por exemplo, não devem ser deixados dentro
de carros, em salas de reunião ou em quartos de hotéis.
Devem ser implementados mecanismos de controle de acesso para os

equipamentos de computação móvel que acessam remotamente as
informações da organização por meio de redes públicas.

10 DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS
Requisitos de segurança de sistemas (item 10.1 da NBR ISO IEC 17799)

O principal objetivo deste controle é integrar a segurança dentro dos sistemas
de informação
Uma das formas empregadas é especificar requisitos de segurança nos

novos sistemas ou na melhoria dos sistemas existentes.
Deve ser lembrado que os requisitos e controles de segurança incorporados

na etapa inicial de um projeto são muito mais fáceis e, principalmente,mais
econômicos do que se implantados na fase final do projeto.
Segurança nos sistemas de aplicação (item 10.2 da NBR ISO IEC 17799)
O principal objetivo deste controle é evitar que sejam feitas alterações dos
dados dos usuários nos sistemas de aplicações, perdas ou mau uso desses
dados.
Uma das formas empregadas é validar os dados de entrada para garantir que
eles não foram modificados, assegurando assim a integridade da informação.
Esta mesma sistemática deve ser aplicada tanto para o processamento
interno das informações, como para validar os dados de saída.
A validação dos dados visa assegurar que os mesmos estão corretos e não
foram modificados, seja por meio de uma ação proposital ou por erro de
processamento.
Controles de criptografia (item 10.3 da NBR ISO IEC 17799)

O principal objetivo deste controle é proteger, por meio de técnicas e
sistemas criptográficos, a confidencialidade, a autenticidade e a integridade
da informação.
Enquanto a criptografia protege a confidencialidade das informações críticas

e sensíveis, a assinatura digital visa proteger a autenticidade e integridade
dos documentos emitidos em meio eletrônico.
Uma das técnicas empregadas na assinatura digital está baseada em um

único par de chaves, onde a chave privada é usada para gerar a assinatura e
a chave pública para verificar a assinatura.
É de fundamental importância garantir a confidencialidade da chave privada
pois caso ela seja acessada por um terceiro, essa pessoa poderá assinar
documentos.
Segurança nos processos de desenvolvimento e suporte (item 10.5 da

NBR ISO IEC 17799)
O principal objetivo deste controle é manter a segurança da informação do
sistema de aplicação e do software
Uma das formas empregadas é adotar um controle rígido quando da
implementação de mudanças de modo a minimizar a corrupção dos sistemas
de informação. As solicitações dos usuários devem ser analisadas
criteriosamente, antes de se realizar uma modificação no software.
Questões relativas a acordos sobre licenças, direitos de propriedade

intelectual e qualidade do código devem ser consideradas, quando do
desenvolvimento de um software por terceiros.
É recomendável que este software seja testado, antes de ser instalado.
MÓDULO VI:CONTROLE DE ACESSO E DESENVOLVIMENTO

E MANUTENÇÃO DE SISTEMAS
NOME:
ORGANIZAÇÃO:


colocadas no exercício de fixação de conceitos, para estimular o
raciocínio do estudante e enriquecer os seus conhecimentos sobre a
norma.
1.A regra básica para o controle de acesso parte da premissa de que “Tudo
deve ser proibido, a menos que expressamente permitido”, ao invés de “Tudo
é permitido, a menos que expressamente proibido”.
( )C
( )NC
2.Os usuários que tenham mudado de função ou saído da organização,

devem ter seus direitos de acesso revogados em até 60 dias.
( )C
( )NC
3.Nos contratos dos usuários deve ser incluída uma cláusula estabelecendo
sanções, nos casos de tentativa de acesso não autorizado, seja pelo
funcionário da organização, seja por um prestador de serviço.
( )C
( )NC
4.A concessão e o uso de privilégios devem ser restritos e controlados, pois a

experiência revela que o uso inadequado de privilégios em sistemas é
freqüentemente apontado como o maior fator de vulnerabilidade.
( )C
( )NC
5.O direito de acesso dos usuários deve ser analisado criticamente a cada
dois anos e as autorizações para direitos de acesso privilegiados, a cada 12
meses.
( )C
( )NC
6. Os relógios dos computadores devem ser sincronizados para garantir a

exatidão dos registros da auditoria, os quais podem ser requeridos por
investigações ou como evidências em casos legais ou disciplinares.
( )C
( )NC
7.A organização deve adotar uma política formal para os recursos de

computação móvel, tais como, notebooks, palmtops, laptops e telefones
celulares. Esta política deve incluir requisitos para a proteção física, controles
de acesso, técnicas criptográficas, cópias de segurança e proteção contra
vírus.
( )C
( )NC
8.Os recursos de computação móvel devem ser protegidos fisicamente contra

roubo, quando deixados em carros, hotéis e locais de reunião.
Equipamentos com informações sensíveis e críticas, nunca devem ser
deixados sem observação.
( )C
( )NC
9.Os computadores portáteis devem ser carregados como bagagem de mão

e disfarçados sempre que possível nas viagens.
( )C
( )NC
10.As atividades de trabalho remoto devem ser realizadas com base em

políticas e procedimentos, e autorizadas somente se existirem controles e
acordos de segurança apropriados e em conformidade com a política de
segurança da organização.
( )C
( )NC
11.Os controles introduzidos no desenvolvimento do projeto são

significativamente mais baratos de implementar e manter do que aqueles
incluídos durante ou após a sua implementação.
( )C
( )NC
12.Checagens de validação devem ser implementadas para detectar

eventuais corrupções nos dados que foram introduzidos corretamente, como
conseqüência de erros de processamento ou através de ações intencionais.
( )C
( )NC
13.O objetivo do controle de criptografia é de assegurar a disponibilidade da

informação.
( )C
( )NC
14.Uma pessoa que tenha assinatura digital possui um par de chaves, uma
chave privada (que pode ser revelada a qualquer pessoa) e uma chave
pública (que tem que ser mantida em segredo).
( )C
( )NC
15. O acesso físico ou lógico concedido ao fornecedor de software, somente

deve ser permitido quando for para realizar atividades de suporte, com a
aprovação da gerência e com monitoração.
( )NC
( )NC
16.A organização deve adotar um controle rígido sobre a implementação das

mudanças, para minimizar a corrupção dos sistemas de informação .
( )C
( )NC
17.Os pacotes de software podem ser modificados, todas as vezes que forem
solicitados pelos usuários .
( )C
( )NC
18.Quando o desenvolvimento de um software for terceirizado, deve ser
levado em consideração, os acordos sobre licenças, direitos de propriedade
intelectual, certificação da qualidade e da exatidão do trabalho, acordos na
eventualidade de haver falhas do prestador de serviço e requisitos
contratuais da qualidade do código.
( )C
( )NC
19.Um software desenvolvido por terceiro deve ser testado antes da sua
instalação, para detecção de cavalos de Tróia.
( )C
( )NC
MÓDULO VII:GESTÃO DA CONTINUIDADE DO NEGÓCIO E

CONFORMIDADE
11 GESTÃO DA CONTINUIDADE DO NEGÓCIO
Aspectos da gestão da continuidade do negócio (item 11.1 da NBR ISO

IEC 17799)
O principal objetivo deste controle é evitar a interrupção das atividades que
impactam no negócio e proteger os processos críticos contra possíveis falhas
ou, até mesmo, um grande desastre.
Uma das formas de evitar a interrupção é elaborar um plano de continuidade

do negócio. Este plano deve estar baseado nos resultados da avaliação de
risco e nos impactos que a organização possa ter com a interrupção das suas
atividades. Também devem ser consideradas as conseqüências de um
eventual desastre, falhas de equipamentos e ações propositais.
O plano de continuidade dos negócios visa garantir a disponibilidade dos

serviços e informações e deve ser analisado periodicamente para garantir
que ele se mantém atualizado e alinhado aos negócios da organização.
O plano deve ser desenvolvido de modo a restaurar as atividades em um

período de tempo acordado com os clientes, parceiros e organismos
reguladores.
Os procedimentos definidos no plano devem estar documentados e

implementados.
Os planos devem ser testados e atualizados conforme programação definida.
12 CONFORMIDADE
12.1 Conformidade com requisitos legais (item 11.1 da NBR ISO IEC
17799)
O principal objetivo deste controle é evitar a violação de qualquer legislação,
regulamentações ou compromissos contratuais, além de quaisquer requisitos
de segurança.
Uma das formas de evitar a violação é elaborar e implementar um

procedimento que garanta que a organização cumpre e respeita as leis de
propriedade intelectual e o uso de produtos de software proprietários.
O procedimento deve definir como é feito o controle sobre o uso dos software
licenciados pela organização.
Além disto, a organização deve realizar campanhas de conscientização junto

aos usuários, lembrando que o uso não autorizado ou a cópia de material
protegido ou de software pode levar a uma ação legal.
Um outro ponto a ser destacado refere-se à retenção e guarda dos registros

importantes da organização.
Recomenda-se elaborar um procedimento que defina cuidados para a
proteção dos registros contra a perda, destruição e falsificação. O
procedimento deve também fazer referência à forma de armazenagem, ao
tempo de indexação e ao descarte do registro.
Quanto à proteção de dados e privacidade da informação pessoal,

recomenda-se a aplicação de controles apropriados para proteger as
informações pessoais de acordo com a legislação pertinente.
MÓDULO VII:GESTÃO DA CONTINUIDADE DO NEGÓCIO E

CONFORMIDADE
NOME:
ORGANIZAÇÃO:


1.O grande objetivo da gestão da continuidade do negócio é o de não permitir
a interrupção das atividades do negócio e proteger os processos críticos
contra efeitos e falhas, ou até mesmo, desastres significativos
( )C
( )NC
2.As conseqüências de desastres, falhas de segurança e perda de serviços

devem ser analisadas e os planos de contingência desenvolvidos e
implementados para assegurar a recuperação dos processos em um prazo
máximo de 4 semanas.
( )C
( )NC
3.Os planos devem ser mantidos e testados tornando-se assim, parte

integrante dos demais processos gerenciais da organização
( )C
( )NC
4.A identificação dos eventos que podem causar interrupções nos processos
do negócio, tais como, falha de equipamentos, inundações, incêndios,
sabotagens e espionagens, representa o ponto de partida para a
continuidade do negócio
( )C
( )NC
5.O plano de continuidade do negócio deve ser validado pela direção ou pelo
Comitê de Segurança da informação.
( )C
( )NC
6.No processo de planejamento deve ser contemplada, a recuperação de

serviços específicos para os clientes, dentro do período de tempo definido
pela organização.
( )C
( )NC
7.Procedimentos de recuperação devem ser estabelecidos, descrevendo as

ações necessárias para a transferência das atividades essenciais do negócio
ou dos serviços de infra-estrutura, para localidades alternativas temporárias e
para reativação dos processos do negócio no prazo necessário.
( )C
( )NC
8.Para evitar falhas, devido a pressupostos incorretos, omissões ou

mudanças de equipamentos e de pessoal, os planos de continuidade do
negócio devem ser testados regularmente, de modo a garantir a sua
permanente atualização e efetividade.
( )C
( )NC
9.São exemplos de situações que podem demandar atualizações nos planos

de continuidade dos negócios:a aquisição de novo equipamento, a
atualização de sistemas operacionais, processos, alterações de pessoal, de
endereços, localização, legislação e prestadores de serviços-chave.
( )C
( )NC
10.Procedimentos apropriados devem ser implementados para garantir a

conformidade com restrições legais no uso de material, de acordo com as leis
de propriedade intelectual, como as leis de direitos autorais, patentes ou
marcas registradas.
( )C
( )NC
11. Cópia de material que tenha direitos autorais não se caracteriza como
uma violação do direto autoral, nem leva a uma possível ação legal,
envolvendo processos criminais.
( )C
( )NC
12.Os produtos de software proprietários adquiridos pela organização podem

ser empregados em quaisquer máquinas, sem restrições de uso .
( )C
( )NC
13. A organização deve manter atenção sobre a política de aquisição e de

direitos autorais de software e notificar a intenção de tomar ações
disciplinares com os usuários que violarem essas políticas.
( )C
( )NC
14.Os discos-mestres e manuais, entre outros, devem ser mantidos pela

organização, como prova da propriedade de licenças.
( )C
( )NC
15.A organização deve conduzir verificações, para assegurar que somente
produtos de software autorizados e licenciados sejam instalados.
( )C
( )NC
MÓDULO VIII:CASES STUDIES

Os Cases Studies têm como objetivos :
1. Avaliar o entendimento do participante do curso quanto aos 3
componentes principais da informação, ou seja, a confidencialidade, a
integridade e a disponibilidade.
2.Identificar qual o item da norma (número e título do item) que poderia ser
implementado, para eliminar ou reduzir a vulnerabilidade. Por exemplo, Item
da norma (número e título): 9.8.1 Computação móvel
O estudo de Caso requer o uso do anexo I e do entendimento dos conceitos abaixo

descritos:
a)Confidencialidade:garantia de que a informação é acessível somente por pessoas
autorizadas a terem acesso
b)Integridade:salvaguarda da exatidão e completeza da informação e dos métodos
de processamento
c)Disponibilidade:garantia de que os usuários autorizados obtenham acesso à
informação e aos ativos correspondentes, sempre que necessário
CASE 1:ASSALTO AO ESCRITÓRIO DE UM SENADOR DA REPÚBLICA

Em 2003 um Senador da República teve o seu escritório invadido, tendo os
bandidos levado o computador, vários papéis importantes que estavam sobre
a mesa, além de documentos recolhidos da lixeira.
PARTE A :Identifique qual o componente da informação (apenas um)

mais afetado :
( )Confidencialidade
( )Integridade
( )Disponibilidade
PARTE B :Qual o item ou itens da NBR ISO IEC 17799 que poderia ser
implementado para minimizar ou eliminar a vulnerabilidade ? Apresente
um ou mais itens da norma
Item da norma:
Item da norma:
CASE 2:ROUBO DE UM NOTE BOOK

Armando José da Silva, funcionário do Banco BARTICOURT teve o seu notebook
roubado, ao deixar aberta a sala de reunião, quando saiu para almoçar. Felizmente
ele havia feito o backup de todos os dados, no dia anterior.
mais afetado :
( )Integridade
( )Disponibilidade
Item da norma:
Item da norma:
CASE 3:ATENTADO AO WORLD TRADE CENTER EM NOVA YORK

Um banco tinha dois escritórios funcionando no World Trade Center.O Banco
não conseguiu restaurar os seus sistemas operacionais dentro dos prazos
acordados com os clientes.

mais afetado :
( )Integridade
( )Disponibilidade
Item da norma:
Item da norma:
CASE 4:ARMAZENAMENTO DE FITAS DE BACK UP

Pesquisa realizada na Inglaterra revela que 50% das fitas de backup, quando
são restauradas, nunca funcionam.

mais afetado :
( )Integridade
( )Disponibilidade
Item da norma:
CASE 5: FUMAÇA ENTRE GIGANTES
Em julho de 2004,uma história de espionagem empresarial envolvendo dois
gigantes agitou os bastidores da indústria do fumo. A Polícia Civil de São
Paulo investigou o furto de documentos confidenciais de uma industria de
cigarro, com toda a estratégia de lançamento do seu novo produto, recém
chegado ao mercado.
O furto ocorreu no dia 03 de julho de 2004, quando a Empresa realizava um
evento fechado em um Hotel, para tratar do lançamento do produto.

mais afetado :
( )Integridade
( )Disponibilidade
Item da norma:
Item da norma:
CASE 6: USO NÃO AUTORIZADO DE DISPOSITIVOS TIPO FLASH

MEMORY
Os principais arquivos e processos dos clientes de um escritório em São
Paulo foram copiados usando-se o Flash Memory, no momento em que o
usuário do computador se afastava do mesmo para ir a uma reunião,
deixando o seu computador ligado e sem tela de proteção.

mais afetado :
( )Integridade
( )Disponibilidade
Item da norma:
Item da norma:
CASE 7: USO DE TELEFONES CELULARES E CONVERSAS EM LOCAIS

PUBLICOS
Em uma viagem de avião entre São Paulo e Rio de Janeiro dois funcionários
de um Banco conversavam abertamente sobre a situação das contas de três
grandes empresas que eram clientes do banco. Varias pessoas que estavam
no avião ouviram a conversa.

mais afetado :
( )Integridade
( )Disponibilidade
Item da norma:
Item da norma:
CASE 9: GOVERNO SOFRE COM FALHAS DE TECNOLOGIA

Em novembro de 2004, 80 mil funcionários do Departamento do Trabalho de
um país da Europa, passaram pela maior falha de computadores da sua
história. Segundo declaração oficial do departamento, a repartição estava
passando por uma "atualização de rotina", quando 80 % dos 100 mil
computadores ficaram fora de operação ou desligados.

mais afetado :
( )Integridade
( )Disponibilidade
Item da norma:
Item da norma:
CASE 10: BANCO AMERICANO REVELA PERDA DE DADOS

Em dezembro de 2004, um grande banco americano revelou que
informações de cerca de um milhão e duzentos mil funcionários do Governo
Americano sumiram das fitas dos seus computadores.
As fitas continham informações preciosas de cartões de cobrança do
Governo Federal.
De acordo com a agência de notícias, cerca de 900 mil funcionários podem
ter sido afetados.
mais afetado :
( )Integridade
( )Disponibilidade
Item da norma:
Item da norma:
CASE 11:CÓPIA DE LIVROS

Em fevereiro de 2005, uma Copiadora de São Paulo, foi advertida por estar
tirando cópias não autorizadas de um livro de Medicina.
Item da norma:
Anexos:
Anexo I :Requisitos da NBR ISO IEC 17799
BIBLIOGRAFIA
1)NBR ISO IEC 17799:2001 – Tecnologia da informação –Código de prática para
a gestão da segurança da informação – ABNT-Associação Brasileira de Normas
Técnicas
2) ISO IEC 17799 and BS 7799-2 Certification Experiences – Ariosto Farias Jr

7799 Goes Global Seminar- Singapore, April 2004.

Curso Sobre Gestão Da Segurança Da Informação, Baseado Na Norma NBR Iso Iec 177992001

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Curso Sobre Gestão Da Segurança Da Informação, Baseado Na Norma NBR Iso Iec 177992001

Diunggah oleh

Hak Cipta:

Format Tersedia

CURSO SOBRE GESTÃO DA SEGURANÇA DA

INFORMAÇÃO, BASEADO NA NORMA

Nota importante: Material para uso exclusivo dos alunos da Academia

• MÓDULO I:A IMPORTÂNCIA DA SEGURANÇA DA

• MÓDULO II:CONCEITOS E DEFINIÇÕES

• MÓDULO III:POLÍTICA DE SEGURANÇA DA

• MÓDULO IV:CLASSIFICAÇÃO E CONTROLE DOS

• MÓDULO V:SEGURANÇA FÍSICA E DO AMBIENTE E

• MÓDULO VI:CONTROLE DE ACESSO E

• MÓDULO VII:GESTÃO DA CONTINUIDADE DO NEGÓCIO

• MÓDULO VIII:CASES STUDIES

Cada vez mais no mundo dos negócios percebe-se, nitidamente, a

A informação é um dos ativos de grande importância para a organização e

Vivemos atualmente em um mundo online onde a informação, cada vez mais,

Ao implantar um modelo de gestão da segurança da informação baseado nas

Esta proteção é feita a partir da implementação dos controles definidos na

• Armazenadas nos computadores

PORQUE ADOTAR A NBR ISO IEC 17799

Embora existam normas sobre segurança da informação em vários países,

Os participantes deste curso precisarão fazer uma atualização em relação à

MÓDULO II :CONCEITOS E DEFINIÇÕES

Para os efeitos deste curso, aplicam-se as seguintes definições:

1 Ativo:qualquer coisa que tenha valor para a organização (ISO/IEC IS

2 Recursos de processamento da informação:qualquer sistema de

3 Segurança da Informação:preservação da confidencialidade, integridade

4 Confidencialidade:garantia de que a informação é acessível somente por

5 Integridade:salvaguarda da exatidão e completeza da informação e dos

6 Disponibilidade:garantia de que os usuários autorizados obtenham

9 Avaliação de risco:Processo global da análise de risco e da valoração do

10 Tratamento do risco : processo de seleção e implementação de medidas

11 Ameaça :causa potencial de um incidente indesejado, que pode resultar

12 Vulnerabildade: fragilidade de um ativo ou grupo de ativos que pode ser

MÓDULO III:POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E

Convém também esclarecer que a implantação dos requisitos da NBR ISO

A seguir são apresentados alguns dos principais controles recomendados

Cada módulo é acompanhado com exercícios de fixação de conceitos.

Recomenda-se ao aluno da Academia Latino América de Segurança da

O principal objetivo deste controle é fornecer à alta direção, orientações e

Todos os usuários dos recursos de processamento da informação da

A política deve contemplar os seguintes itens: atendimento à legislação e aos

O principal objetivo deste controle é garantir que a segurança da informação

A norma recomenda que seja criada uma estrutura para estabelecer,

As organizações que têm tido sucesso na implantação de sistemas de gestão

De um modo geral a organização cria um comitê de gestão da segurança da

É recomendável que representantes de áreas como a Jurídica, Recursos

Em função das constantes mudanças que hoje passa uma organização, em

Novas instalações, atualizações, re-configurações ou quaisquer trabalhos

Para avaliar a eficácia da implementação da política de segurança da

Segurança no acesso de prestadores de serviços (item 4.2 da NBR ISO

Cada vez mais as organizações buscam repassar as atividades que não

Qualquer que seja o tipo de acesso recomenda-se tomar cuidados especiais

São exemplos de prestadores de serviços, as equipes de suporte de software

Terceirização (item 4.3 da NBR ISO IEC 17799)

Uma das formas de proteger a organização contra os riscos da terceirização

Destacam-se como principais recomendações da norma:

EXERCÍCIOS DE FIXAÇÃO DE CONCEITOS

MÓDULO III:POLÍTICA DE SEGURANÇA DA INFORMAÇÃO E

ASSINALE AS QUESTÕES ABAIXO, CONFIRMANDO(C) OU NÃO(NC), SE

Recomenda-se ao aluno da Academia Latino Americana de Segurança

Perguntas adicionais ao texto teórico apresentado são também

1.A política de segurança da informação só deve ser do conhecimento dos

3.A Política de Segurança da Informação pode ser assinada pelo Gestor da

4.Os incidentes de segurança significativos não precisam, necessariamente,