Código de prática práti ca para a gestão da segurança da informação informação
Edição e Produção: Fabiano Rabaneda Advogado, Advoga do, professor da Universidade Federal do Mato Grosso. Especializando em Direito Eletrônico e Tecnologia da Informação.
Norma Norma ABNT ABNT NBR NBR ISO IEC IEC 27002 é um código de prática para a gestão da Segurança da Informação, Informação , consubstanciado nas melhores práticas mundialmente reconhecidas sobre o assunto. As organizações ISO (International (InternationalOrganiz Organization ation for Standardizat Standardization) ion) e IEC (Internatio (International nal Electrotechnical Commission) Commission),, contam com a participação de especialistas de vários vá rios países e tem como objetivo criar e gerenciar normas internacionais de de Segurança da Informação, criando em 2000 2000 a ISO IEC 17799, que foi revisada em 2005 2005 e posteriormente numerada 27002. Insta salientar que o Brasil, por meio da ABNT (Associação (Associação Brasileira de Normas Técnicas), colaborou com valiosas sugestões sugestões e comentários, c omentários, sendo sendo um dos poucos países que possuíam profissionais profissionais especializados no tema. tema. Como resultado do trabalho, o Brasil foi o primeiro país do do mundo a traduzir a para sua língua e publicá -la oficialmente como Norma Norma nacional, através a través da própria ABNT. ABNT. Apresentaremos os pontos essenciais da Norma Técnica ABNT NBR NBR ISO IEC 27002, 27002, que servirão de guia aos profissionais ao elaborarem políticas políticas e instrumentos jurídicos de Segurança da Informação.
Norma Norma ABNT ABNT NBR NBR ISO IEC IEC 27002 é um código de prática para a gestão da Segurança da Informação, Informação , consubstanciado nas melhores práticas mundialmente reconhecidas sobre o assunto. As organizações ISO (International (InternationalOrganiz Organization ation for Standardizat Standardization) ion) e IEC (Internatio (International nal Electrotechnical Commission) Commission),, contam com a participação de especialistas de vários vá rios países e tem como objetivo criar e gerenciar normas internacionais de de Segurança da Informação, criando em 2000 2000 a ISO IEC 17799, que foi revisada em 2005 2005 e posteriormente numerada 27002. Insta salientar que o Brasil, por meio da ABNT (Associação (Associação Brasileira de Normas Técnicas), colaborou com valiosas sugestões sugestões e comentários, c omentários, sendo sendo um dos poucos países que possuíam profissionais profissionais especializados no tema. tema. Como resultado do trabalho, o Brasil foi o primeiro país do do mundo a traduzir a para sua língua e publicá -la oficialmente como Norma Norma nacional, através a través da própria ABNT. ABNT. Apresentaremos os pontos essenciais da Norma Técnica ABNT NBR NBR ISO IEC 27002, 27002, que servirão de guia aos profissionais ao elaborarem políticas políticas e instrumentos jurídicos de Segurança da Informação.
Processamento Manipulação Organização
o o n t o n ã e ç m a i c c i e f i h d n o o M c
Impressa
Informação
Escrita
Falada
Eletrônico •
Internet
Informação
Bens e direitos com benefícios futuros (Ativo)
Representa inovação = essencial
Necessita de adequada proteção
Competitividade
Minimizar o risco e maximizar o retorno do investimento
Informação
Proteção da informação
s Políticas o d Processos a u q e Procedimentos d a s Estrutura e organizacional l o r de t Funções n software o Funções de C hardware
Implementados Monitorados
Estabelecidos
Analizados
Controles
Melhorados
s Políticas o d Processos a Informação u q em conjunto com outros processos de gestão Convém que seja feito e Procedimentos d do negócio. a s Estrutura e organizacional l o r de t Funções software n Proteção da informação o Funções de C hardware Implementados
Monitorados
Estabelecidos
Analizados
Controles
Melhorados
Ataque Denial of service
Fraudes
Código Malicioso
Espionagem
Incêndio e Inundação
Sabotagem
Vandalismo
Importante para os negócios
Setor público ou privado
Protege as infraestruturas críticas
Viabiliza negócios (ebusiness)
A tendência da computação distribuída (cloud reduz Importante Protege as computing) Viabiliza Setor público os da implementação de controles infraestruturas negócios (eapara eficácia de acesso centralizado. ou privado negócios críticas business)
Consultoria especializada Muitos sistemas não foram projetados para serem seguros.
Participação de acionistas, fornecedores e terceiras partes Comprometimento dos funcionários da organização Planejamento cuidadoso e atenção aos detalhes
Atividades essenciais:
Definir Asseguram
Competitividade
Alcançar Fluxo de caixa
Manter Lucratividade
Melhorar Atendimento
Identificação dos requisitos de segurança da informação. Planejamento Estratégico
Jurídico
Analise e avaliação de riscos
Análise e avaliação de riscos para a organização
Considera
Objetivos e estratégias globais de negócio da organização.
Realiza
Identifica
Ameaças aos ativos e as vulnerabilidades.
Estimativa da probabilidade de ocorrência das ameaças e do impacto potencial ao negócio.
Legislação
Estatutos
Regulamentação
Organização
Parceiros comerciais
Provedores de serviço
Deve atender
Cláusulas contratuais
Princípios
Objetivos
Requisitos
o c i g é t a r t s E o t n e m a j e n a l P
Deve desenvolver para apoiar suas operações
São definidos como o conjunto particular do negócio
Os requisitos são identificados por meio de análises e avaliação sistemática dos Riscos
Danos ao negócio gerado pelas falhas
Investimento
Estabelecer prioridades
Direcionar e determinar as ações gerenciais apropriadas
Implementar controles selecionados para a proteção
Os requisitos são identificados por meio de análises e avaliação sistemática dos Riscos
Estabelecer prioridades
Convém que a análise/avaliação de riscos seja repetida e periodicamenteDirecionar para contemplar quaisquer mudanças determinar as ações Gastos que possam influenciar os resultados desta análise/avaliação.. gerenciais apropriadas
Danos ao negócio gerado pelas falhas
Implementar controles selecionados para a proteção
Requisitos de segurança e riscos identificados
Decisão para tratamento dos riscos tomadas
Convêm que controles apropriados sejam selecionados para assegurar que os riscos sejam reduzidos a um nível aceitável
Requisitos de segurança e riscos identificados
Decisão para tratamento dos riscos tomadas
a partir dessa norma
Convêm que controles apropriados sejam selecionados para assegurar que os riscos sejam reduzidos a um nível aceitável
outro conjuntos de controles
novos controles
Requisitos de segurança e riscos identificados
Decisão para tratamento dos riscos tomadas
Convêm que controles apropriados sejam selecionados para assegurar que os riscos sejam reduzidos a um nível Novos controles podem ser desenvolvidos para aceitável
atender às necessidades específicas, conforme apropriado.
a partir dessa norma
outro conjuntos de controles
novos controles
A seleção de controle depende das decisões da organização Convêm que esteja sujeito a legislação e regulamentações nacionais e internacionais relevantes
base
Critérios de aceitação de risco
Opções de tratamento do risco
Enfoque geral da gestão de risco
Ponto de vista legal Controles Controles Controles Controles Controles Controles Controles
Melhores práticas de segurança da informação usadas
Proteção de dados e privacidade de informações pessoais (15.1.4) •
Convém que a privacidade e proteção de dados sejam asseguradas conforme exigido nas legislações relevantes, regulamentações e, se aplicável, nas cláusulas contratuais.
Proteção de registros organizacionais (15.1.3) •
Convém que registros importantes sejam protegidos contra perda, destruição e falsificação, de acordo com os requisitos regulamentares, estatutários, contratuais e do negócio.
Direitos de propriedade intelectual (15.1.2) •
Convém que procedimentos apropriados sejam implementados para garantir a conformidade com os requisitos legislativos, regulamentares e contratuais no uso de material, em relação aos quais pode haver direitos de propriedade intelectual e sobre o uso de produtos de software proprietários.
Atribuição de responsabilidades para a segurança da informação (6.1.3)
Documento da política de segurança da informação (5.1.1) •
Convém que um documento da política de segurança da informação seja aprovado pela direção, publicado e comunicado para todos os funcionários e partes externas relevantes.
•
Convém que todas as responsabilidades pela segurança da informação, estejam claramente definidas.
Conscientização, educação e treinamento em segurança da informação (8.2.2) •
•
Convém que todos os funcionários da organização e, onde pertinente, fornecedores e terceiros recebam treinamento apropriados em conscientização, e atualizações regulares nas políticas e procedimentos organizacionais, relevantes para as suas funções.
Processamento correto nas aplicações (12.2) •
•
Convém que controles apropriados sejam incorporados no projeto das aplicações, inclusive aquelas desenvolvidas pelos usuários, para assegurar o processamento correto. Convém que esses controles incluam a validação dos dados de entrada, do processamento interno e dos dados de saída.
Gestão de incidentes de segurança da informação e melhorias (13.2)
Gestão de vulnerabilidades técnicas (12.6) •
•
Convém que a implementação da gestão de vulnerabilidades técnicas seja implementada de forma efetiva, sistemática e de forma repetível com medições de confirmação da efetividade. Convém que estas considerações incluam sistemas operacionais e quaisquer outras aplicações em uso.
•
•
•
Convém que responsabilidades e procedimentos estejam definidos para o manuseio efetivo de eventos de segurança da informação e fragilidades, uma vez que estes tenham sido notificados. Convém que um processo de melhoria contínua seja aplicado às respostas, monitoramento, avaliação e gestão total de incidentes de segurança da informação. Convém que onde evidências sejam exigidas, estas sejam coletadas para assegurar a conformidade com as exigências legais.
Gestão da continuidade do negócio (14) •
•
•
•
•
•
Convém que o processo de gestão da continuidade do negócio seja implementado para minimizar um impacto sobre a organização e recuperar perdas de ativos da informação (que pode ser resultante de, por exemplo, desastres naturais, acidentes, falhas de equipamentos e ações intencionais) a um nível aceitável através da combinação de ações de prevenção e recuperação. Convém que este processo identifique os processos críticos e integre a gestão da segurança da informação com as exigências da gestão da continuidade do negócio com outros requisitos de continuidade relativo a tais aspectos como operações, funcionários, materiais, transporte e instalações. Convém que as conseqüências de desastres, falhas de segurança, perda de serviços e disponibilidade de serviços estejam sujeitas a uma análise de impacto nos negócios. Convém que os planos de continuidade do negócio sejam desenvolvidos e implementados para assegurar que as operações essenciais sejam recuperadas dentro da requerida escala de tempo. Convém que a segurança da informação seja uma parte integrante do processo global de continuidade de negócios e a gestão de outros processos dentro da organização. Convém que a gestão da continuidade do negócio inclua controles para identificar e reduzir riscos, em complementação ao processo de análise/avaliação de riscos global, limite as conseqüências aos danos do incidente e garanta que as informações requeridas para os processos do negócio estejam prontamente disponíveis.
Gestão da continuidade do negócio (14) •
•
•
•
•
•
Convém que o processo de gestão da continuidade do negócio seja implementado para minimizar um impacto sobre a organização e recuperar perdas de ativos da informação (que pode ser resultante de, por exemplo, desastres naturais, acidentes, falhas de equipamentos e ações intencionais) a um nível aceitável através da combinação de ações de prevenção e recuperação. Convém que este processo identifique os processos críticos e integre a gestão da segurança da Emborada o enfoque seja considerado um outros bom ponto de de partida, informação com as exigências gestão daacima continuidade do negócio com requisitos continuidade relativo a taissubstitui aspectos a como operações, funcionários, materiais, transporte e ele não seleção de controles, baseado na análise/avaliação de instalações. riscos. Convém que as conseqüências de desastres, falhas de segurança, perda de serviços e disponibilidade de serviços estejam sujeitas a uma análise de impacto nos negócios. Convém que os planos de continuidade do negócio sejam desenvolvidos e implementados para assegurar que as operações essenciais sejam recuperadas dentro da requerida escala de tempo. Convém que a segurança da informação seja uma parte integrante do processo global de continuidade de negócios e a gestão de outros processos dentro da organização. Convém que a gestão da continuidade do negócio inclua controles para identificar e reduzir riscos, em complementação ao processo de análise/avaliação de riscos global, limite as conseqüências aos danos do incidente e garanta que as informações requeridas para os processos do negócio estejam prontamente disponíveis.
a) Uma abordagem e uma estrutura para a implementação, manutenção, monitoramento e melhoria da segurança da informação que seja consistente com a cultura organizacional; b) Comprometimento e apoio visível de todos os níveis gerenciais; c) Um bom entendimento dos requisitos de segurança da informação, da análise/avaliação de riscos e da gestão de risco; d) Divulgação eficiente da segurança da informação para todos os gerentes, funcionários e outras partes envolvidas para se alcançar a conscientização; e) Distribuição de diretrizes e normas sobre a política de segurança da informação para todos os gerentes, funcionários e outras partes envolvidas; f) Provisão de recursos financeiros para as atividades da gestão de segurança da informação; g) Provisão de conscientização, treinamento e educação adequados; h) Estabelecimento de um eficiente processo de gestão de incidentes de segurança da informação; i) Implementação de um sistema de medição, que seja usado para avaliar o desempenho da gestão da segurança da informação e obtenção de sugestões para a melhoria.
Nem todos os controles podem ser aplicados.
Controles adicionais e recomendações não incluídos podem ser necessários.