Normas da Segurança da Informação

iso27001

As normas e padrões têm por objetivo definir regras, princípios e critérios, registrar as melhores práticas e prover uniformidade e qualidade a processos, produtos ou serviços, tendo em vista sua eficiência e eficácia. Além disso, uma norma tem o propósito de definir regras, padrões e instrumentos de controle que dêem uniformidade a um processo, produto ou serviço.  Ou seja, as normas são procedimentos e regras que visam garantir que um processo seja feito sempre de forma igual e da maneira mais correta possível.

A rápida expansão da TI aliada a constante preocupação em garantir a integridade das informações fez surgir normas capazes de garantir a segurança da informação. Esta expansão fez com que houvesse um interesse internacional em uma norma de segurança da informação, desta forma, em dezembro de 2000, foi publicada a norma internacional ISO 17799:2000.

Em 2001, a Associação Brasileira de Normas Técnicas (ABNT) publicou a versão brasileira que ficou denominada como NBR/ISO 17799 – Código de Prática para a Gestão da Segurança da Informação. Em setembro de 2005, a norma foi revisada e publicada como NBR ISO/IEC 17799:2005. O comitê que trata da segurança da informação na ISO aprovou a criação de uma família de normas sobre gestão da segurança da informação, denominada pela série 27000, onde a então ISO IEC 17799:2005 foi renomeada para ISO IEC 27002:2005.

ISO 1779

Esta norma trata-se de um código de práticas com orientações para a gestão da segurança da informação. Possui como característica descrever de forma geral as áreas consideradas importantes de implantação ou gestão de segurança da informação dentro de uma organização. De acordo com Lyra (2008), a ISO 17799 “é um código de prática de gestão de segurança da informação e sua importância pode ser dimensionada pelo número crescente de pessoas e variedades de ameaças a que a informação é exposta”. Estabelecer um referencial para as organizações desenvolverem, implementarem e avaliarem a gestão da tecnologia da informação e promover a confiança nas transações comerciais entre as organizações são os objetivos explícitos desta norma.

A norma ISO 17799 está dividida em 12 tópicos:

  1. Objetivo;
  2. Termos e definições;
  3. Política de segurança;
  4. Segurança organizacional;
  5. Classificação e controle dos ativos de informação;
  6. Segurança de recursos humanos;
  7. Segurança física e do ambiente;
  8. Gerenciamento das operações e comunicações;
  9. Controle de acessos;
  10. Desenvolvimento e manutenção de sistemas de informação;
  11. Gestão de continuidade de negócios;
  12. Conformidade.

Estes 12 tópicos são macros áreas de gestão da segurança da informação e esta divisão ocorre para que a gestão seja feita da forma mais eficaz possível. Se não houvesse esta divisão e a segurança fosse tratada como um todo, os controles não seriam tão efetivos o que certamente refletiria em uma má gestão da segurança da informação. Por meio destes tópicos é possível realizar uma implantação em estágios, ou seja, pode ser implantada a política de segurança e depois a segurança organizacional, ou vice-versa, para depois colocar em prática as demais orientações da norma. Dependendo do tamanho da organização é possível realizar a implantação de apenas alguns tópicos desta norma.

ISO 27001

Trata-se da única norma internacional auditável que define os requisitos para um Sistema de Gestão de Segurança da Informação (SGSI). Possui como premissa assegurar a seleção de controles de segurança adequados e proporcionais, ajudando a empresa a proteger seus ativos da informação e dar confiança para todas as partes interessadas, de forma especial aos clientes. A ISO 27001 adota uma abordagem de processo que engloba a implementação, operação, monitoramento, revisão, manutenção e melhoria de um SGSI.

A norma define sua abordagem na aplicação de um sistema de processos em uma organização, junto com a identificação e interações desses processos e sua correta gestão. Desta forma, a ISO 27001 emprega o PDCA, Plan-Do-Check-Act (ciclo de desenvolvimento que tem foco na melhoria contínua) para estruturar os processos. O ciclo PDCA proporciona uma definição do escopo do sistema de gerenciamento de segurança da informação, planos para tratamento de riscos, implementação de controles, medição da eficácia dos controles, monitoramento e controle, revisões periódicas no sistema de segurança e a implementação de melhorias identificadas.

A ISO 27001 é aplicável para qualquer organização, grande ou pequena, em qualquer setor ou parte do mundo, sendo mais utilizada onde a proteção da informação é crítica, como em finanças, saúde, setores públicos e de TI. É altamente eficaz para as organizações que gerenciam informação em nome de terceiros, bem como, companhias terceirizadas de TI, pois ela pode ser usada para garantir aos clientes que suas informações estão sendo protegidas.

Referências

BEAL, Adriana. Segurança da Informação: princípios e melhores práticas para a proteção dos ativos de informação nas organizações – São Paulo: Atlas, 2005.

BSI BRASIL. ISO/IEC 27001 Segurança da Informação. Disponível em: <http://www.bsibrasil.com.br/certificacao/sistemas_gestao/normas/iso_iec27001/>. Acesso em: 12 fev. 2013.

HOLANDA, Roosevelt de. O estado da arte em sistemas de gestão da segurança da Informação: Norma ISO/IEC 27001:2005 – São Paulo: Módulo Security Magazine, 19 jan 2006. Disponível em <http://www.modulo.com.br>. Acesso em: 12 fev. 2013.

ISO 17799. ABNT NBR ISO/IEC 17799:2005 – Tecnologia da Informação – Técnicas de segurança. Código de prática para a gestão da segurança da informação. Associação Brasileira de Normas Técnicas – Rio de Janeiro: ABNT, 2005.

LYRA, Maurício Rocha. Segurança e auditoria em sistemas de informação. Rio de Janeiro: Ciência Moderna, 2008. 253 p.

OLIVA, Rodrigo Polydoro; OLIVEIRA, Mírian. Elaboração, Implantação e Manutenção de Política de Segurança por Empresas no Rio Grande do Sul em relação às recomendações da NBR/ISO17799 – ENANPAD. 2003.

PARRA, Gislaine. Metodologia para análise de segurança aplicada em uma infraestrutura de chave pública. 2002. 99f. Dissertação (Mestrado em Ciência da Computação) – Programa de Pós-Graduação em Ciência da Computação da Universidade Federal de Santa Catarina, Florianópolis.

SÊMOLA, Marcos. Gestão da Segurança da Informação: uma visão executiva – Rio de Janeiro: Campus, 2003.

THE ISO 27000 DIRECTORY. An Introduction to ISO 27001, ISO 27002….ISO 27008. Disponível em <http://www.27000.org/index.htm>. Acesso em: 12 fev. 2013.