Iso iec 17799
This presentation is the property of its rightful owner.
Sponsored Links
1 / 29

ISO/IEC 17799 PowerPoint PPT Presentation


  • 81 Views
  • Uploaded on
  • Presentation posted in: General

ISO/IEC 17799. Norma de Segurança da Informação. Fernando Benedet Ghisi Vitor Luiz Barboza Wesley Tiago Zapellini. Segurança da Informação. Segurança da Informação.

Download Presentation

ISO/IEC 17799

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Iso iec 17799

ISO/IEC 17799

Norma de Segurança da Informação

Fernando Benedet Ghisi

Vitor Luiz Barboza

Wesley Tiago Zapellini


Seguran a da informa o

Segurança da Informação


Seguran a da informa o1

Segurança da Informação

  • Segundo a norma ISO/IEC 17799, é a proteção contra um grande número de ameaças às informações, de forma a assegurar a continuidade do negócio, minimizando danos comerciais e maximizando o retorno de possibilidades e investimentos.

  • o conceito não está restrito somente a sistemas computacionais, informações eletrônicas ou sistemas de armazenamento. Se aplica a todos os aspectos de proteção de informações.


Exemplo

Exemplo

  • A Bolsa de Tóquio, 8 de Janeiro de 2006:

    • Queda acentuada da bolsa;

    • Alto volume de transações;

    • Sistema próximo a atingir sua capacidade máxima (estrutura tecnológica);

    • Fechamento das operações 20 minutos mais cedo.

    • Inúmeros prejuízos.


A tr ade cia

A tríade “CIA”

  • Confidencialidade: a garantia de que a informação só pode ser acessada e manipulada por pessoas autorizadas, ou seja, ela é restrita a um conjunto de entidades, que podem ser seres humanos ou podem ser um sistema eletrônico.

  • Integridade: implica que toda vez que uma informação é manipulada ela está consistente, ou seja, que não foi alterada ou adulterada por um acesso legal ou ilegal.


A tr ade cia1

A tríade “CIA”

  • Disponibilidade das Informações Críticas: garantia de que uma informação sempre poderá ser acessada, pelas pessoas e processos autorizados, independentemente do momento em que ela é requisitada e do local no qual está armazenada.

    *as ameaças à segurança da informação são relacionadas diretamente à perda de uma de suas três características principais.


Norma iso iec 17799

NORMA ISO/IEC 17799

  • Compilação de recomendações para melhores práticas de segurança, que podem ser aplicadas por empresas de qualquer porte ou setor.

  • Padrão flexível, nunca guiando seus usuários a seguirem uma solução de segurança específica em detrimento de outra.

  • Neutra com relação à tecnologia.

  • O grande objetivo da norma é o de garantir a continuidade dos negócios por meio da implantação de controles, reduzindo muito as possibilidades de perda das informações.


Hist rico

Histórico

  • Em 1987 o departamento de comércio e indústria do Reino Unido (DTI) criou um centro de segurança de informações, o CCSC (Commercial Computer Security Centre).

  • Tarefa de criar uma norma de segurança das informações para o Reino Unido.

  • Desde 1989 vários documentos preliminares foram publicados por esse centro, até que, em 1995, surgiu a BS7799 (British Standart 7799).

  • Esse documento foi disponibilizado em duas partes para consulta pública, a 1ª em 1995 e a 2ª em 1998.


Hist rico1

Histórico

  • Em 1 de dezembro de 2000, após incorporar diversas sugestões e alterações, a BS7799 ganhou status internacional com sua publicação na forma da ISO/IEC 17799:2000.

  • Em setembro de 2001, a ABNT homologou a versão brasileira da norma, denominada NBR ISO/IEC 17799.

  • Em 24 de abril de 2003 foi realizado um encontro em Quebec, no qual uma nova versão da norma revisada foi preparada. Essa nova versão da ISO/IEC 17799 foi lançada 2005.


Nbr iso iec 17799 2005

NBR ISO/ IEC 17799:2005

  • Tecnologia de Informação – Técnicas de Segurança – Código de prática para a gestão da segurança da informação (http://www.abntnet.com.br/fidetail.aspx?FonteID=6955).

  • Possui onze seções de controle (macro-controles).

  • Cada um destes controles é subdividido em vários outros controles (a norma possui um total de 137 controles de segurança).


1 pol tica de seguran a da informa o

1. Política de Segurança da Informação

  • Documento que define parâmetros para gestão da Segurança da Informação;

    • Padrões a serem seguidos e ações a serem tomadas;

    • Descreve processos relativos à segurança;

    • Descreve responsabilidades sobre os processos;

    • Deve ser apoiado pela gerência;

    • Deve ser abordado em treinamentos;


2 seguran a da organiza o

2. Segurança da Organização

  • Infra-estrutura de Segurança da Informação:

    • Define a infra-estrutura para gerência da segurança da informação;

    • As responsabilidades e as regras devem estar claramente definidas;

    • Um gestor para cada ativo do ambiente;

    • Inclusão de novos recursos feita sob autorização de um responsável;

    • Consultor interno ou externo disponível para atuar em suspeitas de incidentes de segurança.


2 seguran a da organiza o1

2. Segurança da Organização

  • Segurança de acesso a terceiros:

    • Controle de acesso à locais críticos;

    • Tipo do controle definindo conforme riscos e valor da informação;

    • Presença de terceiros mediante autorização e acompanhamento;

    • Serviços terceirizados regulamentados por contrato;


2 seguran a da organiza o2

2. Segurança da Organização

  • Terceirização:

    • Acordo contratual, flexível para suportar alterações nos procedimentos;


3 controle e classifica o de ativos

3. Controle e Classificação de Ativos

  • Contabilização dos ativos:

    • Mapeia todos os ativos da informação e atribui responsáveis;

    • Associa ativos com níveis de segurança;

  • Classificação da Informação:

    • Define a importância de um ativo;

    • Definição pode variar com o tempo;


4 seguran a em pessoas

4. Segurança em Pessoas

  • Segurança na definição e nos recursos de trabalho:

    • Diminuição dos riscos provenientes da atividade humana, como roubo de informações;

    • Contratos devem abordar questões de sigilo e segurança;

  • Treinamento dos usuários:

    • Capacitar para o bom funcionamento das políticas de segurança;


4 seguran a em pessoas1

4. Segurança em Pessoas

  • Respondendo aos incidentes de segurança e mau-funcionamento:

    • Diminuição de danos causados por falhas;

    • Sistema de comunicação de incidentes;

    • Aprendizado armazenado em bases de conhecimento;


5 seguran a f sica e do ambiente

5. Segurança Física e do Ambiente

  • Áreas de segurança:

    • Controle de acesso à áreas restritas;

    • Nível de proteção proporcional aos riscos e importância;

    • Podem ser utilizados mecanismos de autenticação e vigilância (câmeras);

  • Equipamentos de segurança:

    • Proteção física dos equipamentos contra ameaças do ambiente (rede elétrica, contato com substâncias);

    • Proteção do cabeamento de rede;

  • Controles gerais:

    • Diminuem o vazamento de informações;

    • Política “Tela limpa, mesa limpa”. O acesso é negado às informações sendo trabalhadas no momento;


Governan a da seguran a da informa o

Governança da Segurança da Informação

As decisões a respeito da segurança da informação não são discutidas a nível estratégico;

A falta de investimento em segurança pode trazer problemas ao planejamento estratégico da organização;

(BALBO 2007) propõe a criação de um modelo baseado em ISO/IEC 17799, ITIL e COBIT;


6 gest o das comunica es e das opera es

6. Gestão das comunicações e das operações

  • Visa disponilizar mecanismos para o controle da troca de informações dentro e fora da organização.

  • Planejamento e Aceitação dos Sistemas

  • Proteção contra softwares maliciosos

  • Gerência de Rede

  • Segurança e Manuseio de Mídias

  • Housekeeping

  • Troca de Informações e Softwares

  • Procedimentos e Responsabilidades Operacionais


7 controle de acesso

7. Controle de acesso

  • Este controle visa evitar problemas de seguranças decorrentes do acesso lógico indevido a informação não privilegiada por parte de certos usuários.

  • Requisitos do negócio para controle de acesso

  • Gerência de acesso dos usuários

  • Responsabilidade dos usuários

  • Controle de Acesso ao Sistema Operacional

  • Controle de Acesso às aplicações

  • Computação móvel e trabalho remoto

  • Notificação do uso e acesso ao sistema

  • Controle de Acesso à rede


8 manuten o e desenvolvimento de sistemas

8. Manutenção e desenvolvimento de Sistemas

  • Fornece critérios para o desenvolvimento de sistemas confiáveis.

  • A segurança deve ser abordada desde a fase de modelagem do sistema, inserindo-se os controles de segurança na fase de iniciação de projetos.

  • Objetiva evitar que aplicações comprometam a integridade e confidencialidade dos dados, através da validação da entrada e saída de dados e de verificações periódicas sobre os dados.

  • Deve-se garantir a integridade de arquivos associados a aplicações, controlando-se o acesso aos dados armazenados, deve-se também fornecer um sistema de controle de alterações e atualizações de arquivos.


9 gest o da continuidade dos neg cios

9. Gestão da continuidade dos negócios

  • A gestão da continuidade dos negócios tem por objetivo evitar interrupções nas atividades do negócio e proteger processos críticos do negócio contra os efeitos de grandes falhas ou desastres.


10 conformidade

10. Conformidade

  • Trata aspectos legais ligados a segurança.

  • Objetiva evitar infração de qualquer lei civil e criminal, estatutária, regulamentadora ou de obrigações contratuais e de quaisquer requisitos de segurança.

  • Visa a garantia de que a política e as normas de segurança são seguidas

  • Garantir que processos de auditoria existam e sejam planejados e testados.


Checklist iso 17799

Checklist ISO 17799

  • Elaborado pelo instituto americano SANS (System Administration, Networking andSecurityInstitute) –mais de 156 mil profissionais de segurança, auditores, administradores de sistemas e redes.

  • Direcionado aos profissionais de TI e Segurança da Informação que necessitam auditar o nível de segurança de suas empresas.

    • http://www.sans.org/score/checklists/ISO_17799_checklist.pdf

    • Versão não-oficial em PT: http://www.linuxsecurity.com.br/info/general/iso17799.checklist.pt-BR.pdf


Considera es finais

Considerações Finais

  • A segurança da informação está relacionada com o faturamento de uma empresa, sua imagem e sua reputação.

  • As conseqüências de incidentes de segurança podem ser desastrosas, mas podem ser evitadas.

  • A ISO17799 cobre os mais diversos tópicos da área de segurança, possuindo um grande número de controles e requerimentos que devem ser atendidos para garantir a segurança das informações de uma empresa.


Considera es finais1

Considerações Finais

  • A norma é intencionalmente flexível e genérica.

  • O processo de implantação da Norma de Segurança a um determinado ambiente não é simples e envolve muitos passos.

  • a ISO17799 pode ser considerada a norma mais importante para a gestão da segurança da informação que já foi elaborada – ela estabelece uma linguagem internacional comum para todas as organizações do mundo.

  • Deverá se tornar uma ferramenta essencial para empresas de qualquer tipo ou tamanho.


Refer ncias bibliogr ficas

Referências Bibliográficas

  • ABNT NET. Associação Brasileira de Normas Técnicas.Disponível em: http://www.abntnet.com.br/.

  • ABNT NBR ISO/IEC 17799. Segunda Edição. Disponível em: http://www.scribd.com/doc/2449992/Abnt-Nbr-Isoiec-17799-Tecnologia-da-Informacao-Tecnicas-de-Seguranca-Codigo-de-Pratica-para-a-Gestao-da-Seguranca-da-Informacao.

  • IDG Now!. Bolsa de Tóquio fecha mais cedo por pane em TI. Disponível em: http://idgnow.uol.com.br/mercado/2006/01/18/idgnoticia.2006-02-06.6752227625/.

  • InformaBR. Segurança: 27 questões freqüentemente formuladas sobre as normas BS e ISO17799. Disponível em: http://www.informabr.com.br/nbr.htm.

  • ISO 17799 World. Disponível em: http://17799.macassistant.com/

  • Módulo. 10ª Pesquisa Nacional de Segurança da Informação. 2006.

  • OLIVEIRA BALDO, Luciano de. Uma Abordagem Correlacional dos Modelos CobiT/ ITIL e da Norma ISO 17799 para o tema Segurança da Informação . São Paulo 2007.


Refer ncias bibliogr ficas1

Referências Bibliográficas

  • GONÇALVES, L. R. O. O surgimento da Norma Nacional de Segurança de Informação [NBR ISO/IEC-1779:2001]. 2004. Disponível em: http://www.lockabit.coppe.ufrj.br/rlab/rlab_textos.php?id=85.

  • GORISSEN, MAXIMILIAN. Política de Segurança da Informação: A norma ISO 17799.

  • ISO 17799: Information and Resource Portal. Disponível em: http://17799.denialinfo.com/.

  • JUNIOR, A. F. NOVA NORMA GARANTE SEGURANÇA DA INFORMAÇÃO. Disponível em: http://www.serasa.com.br/serasalegal/05-fev-02_m2.htm.

  • The A-Z Guide for ISO 27001 and ISO 17799/ ISO 27002. Disponível em: http://www.17799central.com/.

  • VETTER, Fausto; REINERDT, Jonatas Davson. ISO/IEC 17799: Norma de Segurança da Informação. Florianópolis 2007.

  • WIKIPÉDIA. Segurança da Informação. Disponível em: http://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o.


  • Login