Alinhando abnt 17799_e_27001

942 visualizações

Publicada em

  • Seja o primeiro a comentar

  • Seja a primeira pessoa a gostar disto

Alinhando abnt 17799_e_27001

  1. 1. Alinhando ABNT-NBR-ISO/IEC 17799 e 27001 para a Administração Pública -USP César Augusto Asciutti Agência USP de Inovação, São Paulo (SP), 3091-2933, asciutti@usp.br Resumo Este artigo apresenta uma breve descrição sobre a abrangência das normas técnicas brasileira sobre segurançada informação. Apresenta também um novo modelo arquitetônico para segurança de redes descrito pelaassociação internacional de segurança da informação. Finalmente apresenta uma ferramenta de trabalho queauxilia o responsável pela segurança computacional do instituto/departamento/órgão a planejar as implantaçõesnecessárias em atendimento às normas brasileiras. Palavras-Chave (exemplo): Segurança Computacional, NBR-17799 e NBR27001, Norma Técnica, Brigadade Segurança da Informação. 1. Introdução informação tem valor e deve ser protegido. As pessoas, seus conhecimentos, também são ativos, marca, Inicialmente devemos esclarecer o porquê de imagem, também são ativos, todos devem seradotarmos determinadas normas, para posteriormente preservados e mantidos pelo valor que todosentendermos a sua abrangência e a sua aplicabilidade. representam.Após este entendimento do porque adotarmos ações Aqui, mais do que em qualquer lugar, ocondizentes com as normas, passaremos a observar a conhecimento é o ativo, além de ativo, conhecimento énorma sobre a analise dos grandes grupos de ação o “produto” que a universidade “comercializa”. É naabrangidos tanto pela NBR-17799 como pela NBR- transferência deste conhecimento que reside a sua27001. Posteriormente apresentaremos uma ferramenta missão, assim como também é sua missão, gerar maisde trabalho que facilita a visualização da situação na conhecimento.qual o instituto encontra-se parametrizado com a O conhecimento gerado na USP está nas pessoas,norma e os objetivos propostos para adaptação das mas também está nos computadores, sejam servidoresoperações com as exigências normativas. ou computadores pessoais, sendo nos computadores Normas são entendidas como um conjunto de regras que armazenamos estes ativos/conhecimentos. É noou orientações que visam qualidade, na atuação de ambiente computacional que é armazenado,uma tarefa. As normas em estudo buscam tornar o manipulado, organizado, construído e disponibilizadoambiente computacional das empresas, neste caso os grande parte deste ativo/conhecimento. Defender deinstitutos ou órgãos ligados à USP, mais seguros com ataques externos e ataques internos é o objetivo darelação à mitigar os incidentes computacionais, além segurança computacionalde orientar sobre ações a serem tomadas, quando estesincidentes ocorrerem. 1.2 Tecnologia por si só não garante segurança da informação, diz estudo Módulo Security News-30 Out 2006 -1.1 Motivação para um ambiente seguro. “-Os dois itens mais importantes na hora de manter Aplicar normas de segurança em um ambiente as informações da empresa em segurança são: acomputacional, é mais do que modismo, é uma forma elaboração de políticas de segurança e ode garantir a existência de coerência nas ações dos gerenciamento de suporte adequados, seguido do nívelcoordenadores e executores das tarefas de de conscientização dos funcionários. Este é o resultadoadministração dos ambientes computacionais. Adotar de um estudo conduzido pela ONG educacionalpadrões reconhecidamente eficientes minimiza-se especializada em certificar profissionais de segurançaproblemas de incidentes relacionados às operações The International Information Systems Securitysustentadas por computadores. Certification Consortium, em parceria com a Inicialmente devemos entender que informação é consultoria IDC.“um dos ativo de uma empresa/instituto. Como ativo, a
  2. 2. 1.3 Nova Arquitetura para segurança de rede. Um breve histórico da evolução da norma até Proteger estruturas computacionais com aplicação chegar a ISO 27001:de barreiras por camadas é o modelo mais usual para a - 1995: publicada a primeira versão da BS 7799-1blindagem das informações e dos recursos da rede. (BS 7799-1:1995 - Tecnologia da Informação - CódigoCom grande parte dos serviços e ambientes de prática para gestão da segurança da informação)computacionais suportado pela ethernet, novos - 1998: publicada a primeira versão da BS 7799-2modelos de barragens estão sendo propostos. (BS 7799-2:1998 - Sistema de gestão da Segurança da Informação - Especificações e guia para uso) - 1999: publicada uma revisão da BS 7799-1 (BS 7799-1:1999 - Tecnologia da Informação - Código de prática para gestão da segurança da informação) - 2000: publicada a primeira versão da norma ISO/IEC 17799 (ISO/IEC 17799:2000 - Tecnologia da Informação - Código de prática para gestão da segurança da informação também referenciada como BS ISO/IEC 17799:2000) - 2001: publicada a primeira versão da norma no Brasil, NBR ISO/IEC 17799 (NBR ISO/IEC 17799:2001 - Tecnologia da Informação - Código de prática para gestão da segurança da informação) - 2002: publicada revisão da norma BS 7799 parte 2 (BS7799-2:2002 - Sistema de gestão da Segurança da Informação - Especificações e guia para uso). - Agosto/2005: publicada a segunda versão da Segurança por zona em três camadas, (ISSA Journal, abril 2006) norma no Brasil, NBR ISO/IEC 17799 (NBR ISO/IEC 17799:2005 - Tecnologia da Informação - Código de prática para gestão da segurança da informação); O modelo que apresentarei é uma nova abordagem - Outubro/2005: publicada a norma ISO 27001arquitetônica para este bloqueio. A proposta (ISO/IEC 27001:2005 - Tecnologia da Informação -encontrada em publicações específicas, apresenta uma Técnicas de segurança - Sistema de gestão danova forma de blindar os serviços e os recursos. Segurança da Informação - Requisitos).Baseado em virtualização do serviços e recursos,podemos formar uma barreira única de acesso 2.1 Tópicos Relevantes da ABNT NBR ISO/IEC-facilitando os serviços de controle e manutenção desta 17799barreira. Ao virtualizar o data center, estas barreiras Segurança para sistemas de informações foi um dosfacilitam o planejamento de ações minimizando os primeiros itens a definirem padrões. A gerência derecursos oferecidos aos essencialmente necessários. segurança da informação visa identificar os riscos e implantar medidas que de forma efetiva tornem estes riscos gerenciáveis e minimizados. A NBR ISO IEC 17799:2005 é um código de práticas de gestão de segurança da informação. Sua importância pode ser dimensionada pelo número crescente de pessoas e variedades de ameaças a que a informação é exposta na rede de computadores. 2.2 Os objetivos explícitos desta norma são: Estabelecer um referencial para as organizações desenvolverem, implementarem e avaliarem a gestão da segurança de informação. Em sua documentação a ABNT NBR-ISO/IEC-Nova Arquitetura de segurança, usuários com acesso por rede aoVirtual Data Center. (ISSA Journal, abril 2006) 17799:2005 aborda 11 tópicos principais: • 1. Política de segurança - onde descreve a importância e relaciona os principais assuntos que devem ser abordados numa política de segurança. • 2. Segurança organizacional - aborda a estrutura 2. Entendendo a NBR 17799 de uma gerência para a segurança de informação, assim como aborda o estabelecimento de2.2 Linha do Tempo da Norma responsabilidades incluindo terceiros e fornecedoresISO /IEC 17799:2000 & ISO/IEC 27001:2005 de serviços.
  3. 3. • 3. Classificação e controle de ativos de c-) monitoração e analise crítica do desempenho einformação - trabalha a classificação, o registro e o eficácia do SGSI; econtrole dos ativos da organização. d-) melhoria contínua baseada em medições • 4. Segurança em pessoas - tem como foco o risco objetivas.decorrente de atos intencionais ou acidentais feitos por Para a execução e implantação desta norma, épessoas. Também é abordada a inclusão de sugerido uma atuação baseada no modelo PDCA.responsabilidades relativas à segurança na descrição "Plan-Do-Check-Act"(PDCA)dos cargos, a forma de contratação e o treinamento emassuntos relacionados à segurança. • 5. Segurança ambiental e física - aborda anecessidade de se definir áreas de circulação restrita ea necessidade de proteger equipamentos e a infra-estrutura de tecnologia de Informação. • 6. Gerenciamento das operações ecomunicações - aborda as principais áreas que devemser objeto de especial atenção da segurança. Dentreestas áreas destacam-se as questões relativas aprocedimentos operacionais e respectivasresponsabilidades, homologação e implantação de “Plan” – Planejar – Estabelecer o SGSI –sistemas, gerência de redes, controle e prevenção de Estabelecer a política, objetivos, processos evírus, controle de mudanças, execução e guarda de procedimentos do SGSI, relevantes para a gestão debackup, controle de documentação, segurança de riscos e a melhoria da segurança da informação paracorreio eletrônico, entre outras. produzir resultados de acordo com as políticas e • 7. Controle de acesso - aborda o controle de objetivos globais de uma organização.acesso a sistemas, a definição de competências, o “Do” – Fazer – Implementar e Operar o SGSI -sistema de monitoração de acesso e uso, a utilização de Implementar e operar as políticas, controles, processossenhas, dentre outros assuntos. e procedimentos do SGSI. • 8. Desenvolvimento e manutenção de sistemas - “Check” – Checar/Monitorar/Analisar Criticamentesão abordados os requisitos de segurança dos sistemas, – Avaliar e, quando aplicável, medir o desempenho decontroles de criptografia, controle de arquivos e um processo frente à política, objetivos e experiênciassegurança do desenvolvimento e suporte de sistemas. práticas do SGSI e apresentar os resultados para a • 9. Gestão de incidentes de segurança - incluída analise crítica pela direção.na versão 2005, apresenta dois itens: Notificação de “Act” – Agir – Manter e melhorar o SGSI –fragilidades e eventos de segurança da informação e Executar as ações corretivas e preventivas, com basegestão de incidentes de segurança da informação e nos resultados da auditoria interna do SGSI e damelhorias. análise crítica pela direção ou outra informação • 10. Gestão da continuidade do negócio - reforça pertinente, para alcançar a melhoria contínua do SGSI.a necessidade de se ter um plano de continuidade e (ABNT ISO/IEC-27001)contingência desenvolvido, implementado, testado eatualizado. 3.1 Norma ABNT NBR ISO/IEC-27001-2005 • 11. Conformidade - aborda a necessidade de “- A nova família da série ISO IEC 27000-27009observar os requisitos legais, tais como a propriedade está relacionada com os requisitos mandatários daintelectual e a proteção das informações de clientes. ISO/IEC 27001:2005, como, por exemplo, a definição do escopo do Sistema de Gestão da Segurança da 3. Entendendo a NBR 27001 Informação, a avaliação de riscos, a identificação de ativos e a eficácia dos controles implementados.”3.1 Processo de Gestão (Módulo Security- acesso 01/11/2006 - A abordagem de processo para a gestão da http://www.modulo.com.br/checkuptool/artigo_15.htm)segurança da informação apresentada nesta norma Esta Norma promove a adoção de uma abordagemencoraja que seus usuários enfatizem a importância de: de processo para estabelecer e implementar, operar, a-) entendimento dos requisitos de segurança da monitorar, analisar criticamente, manter e melhorar oinformação de uma organização e da necessidade de SGSI- Sistema de Gerenciamento da Segurança daestabelecer uma política e objetivos para a segurança Informação, de uma organização.da informação; Para esta abordagem, a norma orienta à observação b-) implantação e operação de controles para de um conjunto de ações e tarefas. Estas ações devemgerenciar os riscos de segurança da informação de uma ser planejadas visando à eficiência de sua aplicação.organização no contexto dos riscos de negócio globais Destaco como pontos importantes para ada organização; aplicabilidade da norma as ações referidas em 3.2, destaco ainda que todas as ações propostas devam ser
  4. 4. discutidas e aperfeiçoadas em conjunto com os Desenhar um mapa com estes requisitos, seususuários envolvidos. Assim o sendo, a aplicabilidade desdobramentos, suas ações, as ações já implantadastorna-se um consenso e uma regra apoiada por todos. as em implantação as primordiais, as polêmicas,Obter o envolvimento e aprovação da direção é outro facilita as decisões necessárias.ponto fundamental para a adoção da regra. 4.1 Preparação dos Requisitos3.2 Tabela dos principais requisitos referenciados O mapa conceitual destes requisitos deve refletir ana ABNT-NBR-27001 ligação entre as ações identificadas e os requisitos O planejamento das ações relativas à norma deve descritos nas normas.atender a um conjunto de requisitos. Na tabela a seguir Utilizando de cores, símbolos, marcas, sinais eapresento alguns destes macro requisitos. outros, o mapa torna claros os objetivos do plano de ação. Requisitos gerais 4.2 - Estabelecendo e Gerenciando o SGSI. 4.2 Preparação do Mapa 4.2.1 - Estabelecer o SGSI. O “Mapa Conceitual” construído a partir destes 4.2.2 - Implementar e operar o SGSI. requisitos deve refletir a ligação entre as ações 4.2.3 - Monitorar e analisar criticamente o identificadas e os requisitos normativos. SGSI. A construção do Mapa de Segurança deve observar 4.2.4 - Manter e melhorar o SGSI. a área sobre a qual se quer atuar, levando-se em conta 4.3 – Requisitos de Documentação a mais abrangente e completa avaliação como foco do 4.3.1 – A documentação de SGSI deve levantamento e desenho do SGSI. incluir. (disponibilize, publique, torne Para a construção do SGSI observamos a mais público) completa avaliação para mapearmos a área de atuação 4.3.2 – Controle de documentos. desejada. Devemos também planejar as etapas de (disponibilize, publique, torne público) implantação seguimentando o Mapa de Atuação, de 4.3.3 –Controle de registros uma forma aplicável levando-se em conta sempre o grau de maturidade existente no ambiente de sua 5 – Responsabilidade da direção. aplicação, “Não ser mais realista que o Rei”, 5.1 – Comprometimento da direção identificada no levantamento do mapa da situação 5.2 – Gestão de Risco atual de maturidade para segurança. 5.2.1 – Provisão de Recursos. O “Mapa” deve conter informações que permitam 5.2.2 – Treinamento, conscientização e identificar ações facilitadoras para a pulverização da competência cultura de segurança da informação como a construção 6 – Auditorias internas. de uma “Brigada de Segurança da Informação” nos 6.1 – Questões a serem auditadas. moldes de uma brigada de incêndio, com o objetivo de 7 – Analise crítica do SGSI. “Pulverizar e Conscientizar” sobre as práticas de 7.1 – Analisar com periodicidade, ao menos segurança da Informação. uma vez por ano. Deve constar no “Mapa” às ações de divulgação 7.2 - Entradas para analise crítica. planejadas para atingir as etapas previstas no SGSI, 7.3 – Saídas da analise crítica. devendo ainda desenhar os modelos de “Documentos 8 – Melhoria do SGSI. Padrão” que objetivam a divulgação bem como os 8.1 – Melhoria continuada. locais de afixação destes avisos facilitando a 8.2 – Ação corretiva. pulverização dos conceitos de segurança. 8.3 – Ação preventiva. Deverá ainda conter o plano de treinamento que Estes macro requisitos devem ser observados e será aplicado, contendo conteúdos, públicos alvos eseguidos para a composição do SGSI. possíveis datas para estas ações. Ao planejarmos os treinamentos, devemos fazê-lo para todos os níveis e 4. Ferramenta para trabalhar normalizado todos os envolvidos, Docentes, Discentes, Funcionários. Todas estas ações deverão estar contidas Elaborar um plano sobre segurança da informação no mapa de forma clara e objetiva, tornando-se umarequer uma metodologia. A metodologia aqui ferramenta de trabalho e planejamento do SGSI.apresentada relaciona as ações identificadas nas Ao término desta fase devemos ter em mãos doisnormas e as ações identificadas no ambiente foco da mapas, um relativo aos itens abrangidos pelaação. normalização e um outro construído pela avaliação do Obter com clareza as ações necessárias, as ações escopo pretendido com a geração destas regras, oemergenciais, as ações facilitadoras, permite o SGSI.planejamento do SGSI. A ferramenta proposta, alémde facilitar a visualização, facilita o acompanhamentoe a localização das etapas já decorridas do SGSI.
  5. 5. 4.3 Construção do Mapa 4.3 Aplicação do Mapa Para a construção do mapa conceitual deve-se partir O “Mapa de Segurança” como ferramenta parapelo objeto a ser construído, o SGSI, qual deve rápida visualização do SGSI adotado, deve ficarconectar-se aos requisitos exigidos pelas normas. exposto em lugar visível e de fácil acesso aos A junção dos dois “Mapas” apresentará um mapa envolvidos diretamente na implantação do SGSI,onde facilita a localização das ações do plano e os assim como poderá ser apresentado etapa por etapa aosrequisitos das normas. demais membros da comunidade envolvida na Podemos então, utilizando-se de cores, símbolos, implantação do SGSI.marcas, sinais e outros métodos demarcadores deposição, utilizar o mapa com uma ótica mais clara para 5. Conclusãoqualquer leitor, dos objetivos do plano de ação. Administrar ambientes computacionais implica em atender as normas e diretrizes da organização. A não conformidade às normas ou o descumprimento ou a não observância implica em penalização legal por omissão a estas. A alegação de desconhecimento não tem valor legal. Referências ABNT NBR ISO/IEC27001 de 03/2006 ABNT NBR ISO/IEC17799 de 2001 ABNT NBR ISO/IEC 13335-1:2004 ABNT NBR ISO/IEC TR 18044-1:2004 ABNT NBR ISO/IEC Guia 73:2005] ISSA-Information System Security Association Journal. Módulo Security News -visitado em 30 Out 2006– http://www.modulo.com.br/index.jsp?page=3&catid=7&o bjid=4885&pagecounter=0&idiom=0 Anexo 1Vocabulário referencial para SI Ativo – qualquer coisa que tenha valor para a organização. [ISO/IEC 13335-1:2004] Disponibilidade – propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada. [ISO/IEC 13335-1:2004] Confiabilidade – propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados. [ISO/IEC 13335-1:2004] Segurança da informação – preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente outras propriedades, tais como autenticidade, responsabilidade, não repúdio e confiabilidade, podem também estar envolvidas. [ABNT NBR ISO/IEC 17799:2005] Evento de segurança da Informação – uma ocorrência identificada de um estado de sistema, serviço ou rede, indicando uma possível violação da política de segurança da informação ou falha de controles, ou uma situação previamente desconhecida, que possa ser relevante para a segurança da informação. [ISO/IEC TR 18044-1:2004] Incidente de Segurança da Informação – um simples ou uma série de eventos de segurança da informação indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operações do negócio e ameaçar a segurança da informação. [ISO/IEC TR 18044-1:2004] SGSI – Sistema de gestão da segurança da informação – a parte do sistema de gestão global, baseado na abordagem de riscos do negócio, para estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar a segurança da informação. (nota o sistema de gestão inclui estrutura organizacional, políticas, atividades de planejamento, responsabilidades, práticas, procedimentos, processos e recursos). Integridade – propriedade de salvaguarda da exatidão e completeza de ativos. [ISO/IEC 13335-1:2004] Risco residual – risco remanescente após o tratamento de riscos. [ABNT ISO/IEC Guia 73:2005] Aceitação do risco – decisão de aceitar um risco. [ABNT ISO/IEC Guia 73:2005] Análise de riscos – uso sistemático de informações para identificar fontes e estimar o risco. [ABNT ISO/IEC Guia 73:2005] Análise/Avaliação de riscos – processo completo de analise e avaliação de risco. [ABNT ISO/IEC Guia 73:2005] Avaliação de riscos – processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco. [ABNT ISO/IEC Guia 73:2005] Gestão de risco – atividade coordenada para direcionar e controlar uma organização no que se refere a risco. (nota- A gestão de riscos geralmente inclui a análise/avaliação de riscos, o tratamento de riscos, a aceitação de riscos e a comunicação de riscos. [ABNT ISO/IEC Guia 73:2005] Tratamento do risco – processo de selleção e implementação de medidas para modificar um risco. [ABNT ISO/IEC Guia 73:2005] Declaração de aplicabilidade – declaração documentada que descreve os objetivos de controle e controles que são pertinentes e aplicáveis ao SGSI da organização.

×