ISO 27001 & ISO 17799

A ISO “International Organization for Standardization” é uma organização com sede na Suíça. A Sigla ISO foi originada da palavra Isonomia, e tem como função desenvolver e promover normas que possam ser utilizadas igualmente em todos os países. O Brasil é representado pela Associação Brasileira de Normas Técnicas - ABNT.

Normas ISO 27001 e ISO 17799

A norma ISO 27001 provê e apresenta requisitos para que a organização possa estruturar um sistema de gestão de segurança da informação (SGSI). Por sua vez, a norma ISO 17799 é um conjunto de boas práticas que podem ser aplicadas por um SGSI.

O conjunto das duas normas pode ser descrito como:

i) um método estruturado reconhecido internacionalmente para segurança da informação;

ii) um processo definido para avaliar, implantar, manter e gerenciar a segurança da informação;

iii) um grupo completo de controles contendo as melhores práticas para a segurança da informação;

iv) uma base para as melhores práticas a serem adotadas por empresas.

As duas normas não são:

i) normas técnicas;

ii) dirigidas para produtos ou tecnologias;

iii) métodos para avaliação de equipamentos.

Portanto, devemos entendê-las como normas para a gestão da informação.

ISO 27001 – Sistema de Gestão de Segurança da Informação (SGSI)

A ISO 27001 incorpora um processo de escalonamento de risco e valorização de ativos, orientando quanto à análise e identificação de riscos e a implantação de controles para minimizá-los.

O grau em que o sistema é organizado e contêm processos estruturados irá facilitar a replicação do sistema de um local para outro. Uma empresa pode implantar a ISO 27001 em sua sede e depois replicá-la em suas filiais.

O SGSI pode ser simplesmente definido como um comitê multidisciplinar que tem com principal responsabilidade estabelecer políticas de segurança, multiplicar o conhecimento envolvido e também determinar os responsáveis e as medidas cabíveis dentro de seus limites de atuação.

Com a alta direção compromissada e o treinamento eficaz dos colaboradores, é possível se reduzir o número de ameaças que exploram eventuais vulnerabilidades. Na lista a seguir apresentam-se os requisitos existentes na norma ISO 27001.

1 - Escopo: Abrangência da Norma;

2 - Referência Normativa: Normas e padrões relacionados à norma 27001;

3 - Termos e Definições: Termos e definições relacionados à segurança da informação;

4 - Sistema de Gestão de Segurança da Informação: Referente à criação, implementação, monitoramento e melhoria do SGSI, também trata de documentação e registros de informações;

5 - Responsabilidade da Direção: Definição de responsabilidades, treinamento e provisão de recursos do SGSI;

6 - Auditorias Internas: Auditorias internas realizadas por pessoal treinado e comprometido com o SGSI;

7 - Analise crítica do SGSI: Análise realizada pelo corpo diretivo da organização das ações efetuadas pelo SGSI;

8 - Melhoria do SGSI: Trata das ações corretivas e preventivas efetuadas pelo SGSI .

ISO 17799 - Código de Prática para SGSI

Foi baseada na norma britânica BS 17799-1:1999 sendo aplicada como um documento de referência, que é chamada de guia de melhores práticas (de orientações para as organizações).

Consistindo de uma grande lista de controles para garantir a segurança da informação. A ISO 17799 é composta pelos requisitos principais apresentados na lista a seguir:

Requisito Descrição

- Política de segurança: São as normas desenvolvidas que consideram as responsabilidades, punições e autoridades;

- Segurança organizacional: Estrutura da gerência de segurança;

- Classificação e controle de ativos de informação: Classificação, registro e controle dos ativos;

- Segurança relacionada às pessoas: Foco do risco decorrente de atos decorrentes de ações das pessoas;

- Segurança ambiental e física: Levantamento da necessidade de definição das áreas de circulação restrita e de se proteger equipamentos e infra-estrutura de TI;

- Gerenciamento das operações e comunicações: Aborda temas relacionados a: procedimentos operacionais, homologação e implantação de sistemas, entre outras;

- Controle de acesso: Controle do acesso aos sistemas, definição de competências e responsabilidades;

- Desenvolvimento e manutenção de sistemas: Requisitos para sistemas, criptografia, arquivos e desenvolvimento e suporte de sistemas;

- Gestão de incidentes de segurança: Notificação de vulnerabilidades, ocorrências de segurança e gestão de incidentes;

- Gestão da continuidade do negócio: Reforço na necessidade de ter um plano de continuidade e contingência;

- Conformidade: Referente à necessidade de observar os requisitos legais, como a propriedade intelectual.