domingo, 11 de abril de 2010

ISO 27000

Segurança da InformaçãoCresce no mercado a percepção de que Segurança da Informação é um investimento e não uma despesa. No mundo corporativo, a área financeira, onde empresas centralizam volumes gigantescos de informações estratégicas é de fundamental importância para a proteção do negócio.

A série de normas ISO 27000 foi reservada pela ISO - Organização Internacional de Normalização - exclusivamente para assuntos de segurança da informação. Isso se relaciona, naturalmente, a diversas outras áreas, como as séries ISO 9000 (gestão da qualidade) e ISO 14000 (gestão ambiental).

A série ISO 27000 está sendo povoada por várias normas individuais, algumas delas bastante conhecidas e já publicadas pela ISO. Outras serão definidas, desenvolvidas e publicadas paulatinamente nos próximos meses e anos. A matriz a seguir reflete a posição atual das principais normas operacionais da série 27000. 

Introdução
Organizações de todos os tipos e tamanhos estão cada vez mais preocupadas com as ameaças que podem comprometer a segurança de suas informações.
Ameaças podem ser intencionais ou acidentais e podem se relacionar tanto ao uso e aplicação de sistemas de TI como aos seus aspectos físicos e ambientais. Essas ameaças podem assumir diversas formas desde furto de mídia, documentos e equipamentos, forjamento de direitos, espionagem a distância, escuta não-autorizada, até fenômenos climáticos e sísmicos, incêndio, inundação e radiação eletromagnética.
As conseqüências dessas ameaças podem ser traduzidas por vários impactos nos negócios das organizações como, por exemplo, perdas financeiras, paralisação de serviços essenciais, perda de confiança dos clientes, pane no fornecimento de energia e falhas de telecomunicações.

ISO 27000 - SUAS DIVISÕES E ABRANGÊNCIAS 
O Padrão Britânico (British Standard) 7799 (BS7799) originou-se de um código de prática do Governo do Reino Unido (Department of Trade and Industry - DTI) de 1993, depois publicado como padrão em 1995 pelo British Standards Institution (BSi) e revisado em 1999. Quando foi inicialmente publicado como um padrão internacional ISO em dezembro de 2000, BS7799 parte 1 (BS7799-1) se tornou ISO 17799, porque um padrão chamado ISO 7799 já existia.
        “Não se lamente pelos dados que foram roubados ou perdidos sem antes se lamentar por não ter contratado um profissional especializado em segurança!”
        Claudio Rocha
Em outubro de 2005, British Standard BS 7799 parte 2 (BS7799-2) foi adotado pela ISO e re-identificado, iniciando a nova série 27000 de padrões internacionais para segurança da informação, lançado como norma
ISO/IEC 27001:2005.

De 2001 a 2004, a norma internacional ISO 17799 (BS7799-1) passou por ampla revisão, culminando na nova versão ISO/IEC 17799:2005 publicada em junho de 2005. E em julho de 2007, o padrão 17799:2005 foi renumerado para 27002:2005 (através do ISO/IEC 17799:2005/Cor.1:2007), integrando
a nova série 27000.

No Brasil, a ABNT publica as normas localizadas ABNT NBR ISO/IEC 27002:2005 (NBR ISO/IEC 17799:2005) e NBR ISO/IEC 27001:2006.

As normas da série 2700x tem funções diferentes, conceitualmente pode-se organizar as normas dos sistemas de gestão em 4 tipos:
  • Fundamentos e vocabulário (Vocabulary Standards) - Estabelece a termologia básica para outros
    padrões (ex: 27000, 9000).
  • Requisitos (Requirements Standards) - São os padrões que efetivamente são auditados em um
    processo de certificação (ex: 27001, 27006, 9001, 14001).
  • Diretrizes (Guidelines Standards) - Os guidelines são recomendações de implementação para
    o Sistema de Gestão (ex: 27002, 27003).
  • Padrões Relacionados (Related Standards) - São padrões externos aos padrões 2700x, porem
    que também podem apoiar a implementação de controles específicos do Sistema de Gestão (ex: 13335-x)
A ISO 27001, a exemplo de outras normas de sistemas de gestão, também adota o modelo PDCA (Plan, Do, Check, Act), o qual é aplicado para estruturar todos os processos do SGSI. Agora cabe a pergunta: como tais processos do SGSI se alinham ao processo de gestão de riscos recomendado pela ISO 27005?

A lista a seguir responde rapidamente a essa questão.
ISO/IEC 27000 series: Publicação que definirá o vocabulário de Gestão da Segurança da
Informação, sem data de publicação.

ISO 27001 (ABNT NBR) ISO/IEC 27001:2005 = BS 7799-2:2005. Requisitos (shall/deve) para se
implementar um sistema de gestão de segurança da informação. Especificação de sistemas de gestão da segurança da informação (SGSI). Pode ser utilizada pelas partes interessadas internas e externas para avaliar
a conformidade. Substituiu a antiga norma BS 7799-2. A ISO 27001, a exemplo de outras normas de sistemas de gestão, também adota o modelo PDCA (Plan, Do, Check, Act), o qual é aplicado para estruturar todos os processos do SGSI.
  • Plan (planejamento): etapa dedicada ao estabelecimento da missão, visão, objetivos (metas),
    procedimentos e processos (metodologias) necessários para atingir os resultados do processo/projeto.
  • Do (execução): etapa de realização efetiva das atividades do processo/projeto.
  • Check (verificação): etapa onde se verifica e avalia os resultados da etapa anterior, confrontando-os
    com o planejado, objetivos, especificações e estado desejado, consolidando as informações, eventualmente confeccionando relatórios.
  • Act (ação): etapa onde são aplicadas correções, com base nas avaliações da etapa Check e, eventualmente, são determinados e aplicados novos planos e de ação, de forma a melhorar a qualidade, a eficiência e a eficácia no processo/projeto, aprimorando sua execução e corrigindo
    eventuais falhas.
ISO 27002 [BS7799-1] ISO/IEC 27002:2005 = ISO 17799:2005 = BS7799-1:2005. Recomendações
(should/convém) de controles para segurança da informação. Código de prática para a gestão da segurança da informação. Originalmente numerada como ISO 17799 (a qual, por sua vez, era antes conhecida como
norma BS 7799-1).

ISO 27003 (esperada para 2009): an ISMS implementation guide. Este é o número oficial da futura norma que irá fornecer diretrizes para a implementação de um SGSI.

ISO 27004 (proposta): Este é o número oficial da futura norma que irá auxiliar as organizações a medir a eficácia de seus sistemas de gestão da SI.
ISO 27005 [BS 7799-3] (proposta): information security risk management. BS 7799-3:2006 - Risk Management Guidelines. Fornece diretrizes para o processo de gestão de riscos de segurança da informação (SI). Visa a facilitar a implementação eficaz da SI tendo como base a gestão de riscos.

ISO 27006: Esta norma será referente à recuperação e continuidade de negócio. Este documento tem o titulo provisório de “Guidelines for information and communications tecnology disaster recovery services”, não estando calendarizado a sua edição.
SGSI – Sistema de Gestão da Segurança da Informação

É uma parte do sistema global de gestão, baseado numa abordagem de risco, que permite definir, implementar, operacionalizar, monitorizar, manter e melhorar a segurança da informação segundo a norma.




A INFORMAÇÃO é um bem que, à semelhança de outros bens do negócio, tem valor para uma organização e necessita ser convenientemente protegida. O Bem é algo que tem valor para organização. A norma ISO 27001 é uma norma internacional que possibilita às organizações a implementação de um Sistema de Gestão da Segurança da Informação (SGSI), através do estabelecimento de uma política de segurança, controles e gerenciamento de riscos. Seguindo as normas da ISO 27000 poderá garantir Confidencialidade, Integridade e Disponibilidade; adicionalmente poderão garantir as seguintes propriedades: autenticidade, responsabilidade, não repudiação e grau de confiança/fiabilidade.

Um comentário:

  1. Isso salvou minha pele.. Seu post recente na mesma data.. c(=

    ResponderExcluir