ISO 27001 & ISO 17799

Ranieri Marinho de Souza | Segurança da Informação | Sexta, 10 de Julho de 2009

A ISO “International Organization for Standardization” é uma organização com sede na Suíça. A Sigla ISO foi originada da palavra Isonomia, e tem como função desenvolver e promover normas que possam ser utilizadas igualmente em todos os países. O Brasil é representado pela Associação Brasileira de Normas Técnicas - ABNT.

Normas ISO 27001 e ISO 17799
A norma ISO 27001 provê e apresenta requisitos para que a organização possa estruturar um sistema de gestão de segurança da informação (SGSI). Por sua vez, a norma ISO 17799 é um conjunto de boas práticas que podem ser aplicadas por um SGSI.

O conjunto das duas normas pode ser descrito como:
i) um método estruturado reconhecido internacionalmente para segurança da informação;
ii) um processo definido para avaliar, implantar, manter e gerenciar a segurança da informação;
iii) um grupo completo de controles contendo as melhores práticas para a segurança da informação;
iv) uma base para as melhores práticas a serem adotadas por empresas.

As duas normas não são:
i) normas técnicas;
ii) dirigidas para produtos ou tecnologias;
iii) métodos para avaliação de equipamentos.

Portanto, devemos entendê-las como normas para a gestão da informação.

ISO 27001 – Sistema de Gestão de Segurança da Informação (SGSI)
A ISO 27001 incorpora um processo de escalonamento de risco e valorização de ativos, orientando quanto à análise e identificação de riscos e a implantação de controles para minimizá-los. O grau em que o sistema é organizado e contêm processos estruturados irá facilitar a replicação do sistema de um local para outro. Uma empresa pode implantar a ISO 27001 em sua sede e depois replicá-la em suas filiais.

O SGSI pode ser simplesmente definido como um comitê multidisciplinar que tem com principal responsabilidade estabelecer políticas de segurança, multiplicar o conhecimento envolvido e também determinar os responsáveis e as medidas cabíveis dentro de seus limites de atuação.

Com a alta direção compromissada e o treinamento eficaz dos colaboradores, é possível se reduzir o número de ameaças que exploram eventuais vulnerabilidades. Na lista a seguir apresentam-se os requisitos existentes na norma ISO 27001.

1 - Escopo: Abrangência da Norma;
2 - Referência Normativa: Normas e padrões relacionados à norma 27001;
3 - Termos e Definições: Termos e definições relacionados à segurança da informação;
4 - Sistema de Gestão de Segurança da Informação: Referente à criação, implementação, monitoramento e melhoria do SGSI, também trata de documentação e registros de informações;
5 - Responsabilidade da Direção: Definição de responsabilidades, treinamento e provisão de recursos do SGSI;
6 - Auditorias Internas: Auditorias internas realizadas por pessoal treinado e comprometido com o SGSI;
7 - Analise crítica do SGSI: Análise realizada pelo corpo diretivo da organização das ações efetuadas pelo SGSI;
8 - Melhoria do SGSI: Trata das ações corretivas e preventivas efetuadas pelo SGSI .

ISO 17799 - Código de Prática para SGSI
Foi baseada na norma britânica BS 17799-1:1999 sendo aplicada como um documento de referência, que é chamada de guia de melhores práticas (de orientações para as organizações).

Consistindo de uma grande lista de controles para garantir a segurança da informação. A ISO 17799 é composta pelos requisitos principais apresentados na lista a seguir:

Requisito Descrição
- Política de segurança: São as normas desenvolvidas que consideram as responsabilidades, punições e autoridades;
- Segurança organizacional: Estrutura da gerência de segurança;
- Classificação e controle de ativos de informação: Classificação, registro e controle dos ativos;
- Segurança relacionada às pessoas: Foco do risco decorrente de atos decorrentes de ações das pessoas;
- Segurança ambiental e física: Levantamento da necessidade de definição das áreas de circulação restrita e de se proteger equipamentos e infra-estrutura de TI;
- Gerenciamento das operações e comunicações: Aborda temas relacionados a: procedimentos operacionais, homologação e implantação de sistemas, entre outras;
- Controle de acesso: Controle do acesso aos sistemas, definição de competências e responsabilidades;
- Desenvolvimento e manutenção de sistemas: Requisitos para sistemas, criptografia, arquivos e desenvolvimento e suporte de sistemas;
- Gestão de incidentes de segurança: Notificação de vulnerabilidades, ocorrências de segurança e gestão de incidentes;
- Gestão da continuidade do negócio: Reforço na necessidade de ter um plano de continuidade e contingência;
- Conformidade: Referente à necessidade de observar os requisitos legais, como a propriedade intelectual.

Não deixe de ler também os seguintes artigos:
- http://blog.segr.com.br/breve-historia-da-seguranca/
- http://blog.segr.com.br/cobit/
- http://blog.segr.com.br/itil/
- http://blog.segr.com.br/sox/

Abraços,
Ranieri Marinho de Souza
Segurança da Informação

http://www.segr.com.br/
http://blog.segr.com.br/

. Hits para esta publicação: 2014.

Sem Comentários

Ainda não há comentários

Deixe um comentário

RSS de comentários deste artigo. URI para link desta publicação: