Faça suas buscas na internet pelo InfoAchei!

fonte: http://www.tj.es.gov.br/cfmx/portal/Novo/PDF/CPD/iso_iec_17799_portugues.pdf

Prefácio
A ISO (International Organization for Standardization) e a IEC (International
Electrotechnical Commission) formam o sistema especializado para
padronização mundial. Entidades nacionais que são membros da ISO ou IEC
participam do desenvolvimento de Padrões Internacionais através de comitês
técnicos estabelecidos pela respectiva organização para lidar com campos
específicos de atividade técnica. Os comitês técnicos da ISO e da IEC
colaboram em campos de interesse mútuo. Outras organizações
internacionais, governamentais e não-governamentais, em associação com a
ISO e a IEC, também participam dos trabalhos.
Os Padrões Internacionais são esboçados de acordo com as regras
estabelecidas nas Diretivas ISO/IEC, Parte 3.
No campo da tecnologia da informação, a ISO e a IEC estabeleceram um
comitê técnico conjunto, ISO/IEC JTC 1. Rascunhos dos Padrões
Internacionais adotados pelo comitê técnico conjunto são circulados nos
órgãos nacionais para votação. A publicação como um Padrão Internacional
exige a aprovação de pelo menos 75% dos órgãos nacionais votantes.
Chamamos a atenção para a possibilidade de que alguns dos elementos
deste Padrão Internacional podem estar sujeitos a direitos de patente. A ISO
e a IEC não serão consideradas responsáveis pela identificação de todos ou
quaisquer destes direitos de patente.

O Padrão Internacional ISO/IEC 17799 foi preparado pelo British Standards
Institution (como BS 7799) e foi adotado, através de um procedimento
especial de “regime de urgência”, pelo Comitê Técnico Conjunto ISO/IEC
JTC 1, Tecnologia da Informação, em paralelo à sua aprovação pelos órgãos
nacionais da ISO e da IEC.
ISO/IEC 17799:2000(E)
VI

Introdução
O que é segurança de informações?

Informações são ativos que, como qualquer outro ativo importante para os negócios,
possuem valor para uma organização e consequentemente precisam ser protegidos
adequadamente. A segurança de informações protege as informações contra uma
ampla gama de ameaças, para assegurar a continuidade dos negócios, minimizar
prejuízos e maximizar o retorno de investimentos e oportunidades comerciais.
As informações podem existir sob muitas formas. Podem ser impressas ou escritas em
papel, armazenadas eletronicamente, enviadas pelo correio ou usando meios
eletrônicos, mostradas em filmes, ou faladas em conversas. Qualquer que seja a forma
que as informações assumam, ou os meios pelos quais sejam compartilhadas ou
armazenadas, elas devem ser sempre protegidas adequadamente.
A segurança de informações é aqui caracterizada como a preservação de:
a) confidencialidade: garantir que as informações sejam acessíveis apenas àqueles
autorizados a terem acesso;
b) integridade: salvaguardar a exatidão e inteireza das informações e métodos de
processamento;
c) disponibilidade: garantir que os usuários autorizados tenham acesso às
informações e ativos associados quando necessário.
A segurança das informações é obtida através da implementação de um conjunto
adequado de controles, que podem ser políticas, práticas, procedimentos, estruturas
organizacionais e funções de software. Esses controles precisam ser estabelecidos para
assegurar que os objetivos de segurança específicos da organização sejam alcançados.
Por que é necessária a segurança de informações
As informações e os processos, sistemas e redes que lhes dão suporte são ativos
importantes para os negócios. A confidencialidade, a integridade e a disponibilidade
das informações podem ser essenciais para manter a competitividade, o fluxo de
caixa, a rentabilidade, o atendimento à legislação e a imagem comercial.
Cada vez mais, as organizações e seus sistemas de informação e redes enfrentam
ameaças de segurança vindas das mais diversas fontes, incluindo fraudes através de
computadores, espionagem, sabotagem, vandalismo, incêndio ou enchentes. Fontes de
prejuízos tais como vírus de computador, hackers e ataques de negação de serviços
têm se tornado mais comuns, mais ambiciosos e cada vez mais sofisticados.
Devido à dependência de sistemas e serviços de informação, as organizações estão
mais vulneráveis às ameaças contra a segurança. A interconexão de redes públicas e
privadas e o compartilhamento de recursos de informação aumentam a dificuldade de
se conseguir controle de acesso. A tendência ao processamento distribuído vem
enfraquecendo a efetividade do controle central especializado.
Muitos sistemas de informação não foram projetados para serem seguros. A segurança
que pode ser obtida através de meios técnicos é limitada, e deveria ser apoiada por
procedimentos e gestão adequados. Identificar quais controles devem ser
ISO/IEC 17799:2000(E)
VII

implementados exige um planejamento cuidadoso e atenção aos detalhes. A gestão da
segurança de informações precisa, no mínimo, da participação de todos os
empregados da organização. Também pode exigir a participação de fornecedores,
clientes ou acionistas. Consultoria especializada de organizações externas também
pode ser necessária.
Os controles para segurança das informações são consideravelmente mais baratos e
mais eficazes se incorporados no estágio de especificação de necessidades e projeto.
Como estabelecer os requisitos de segurança
É essencial que uma organização defina seus requisitos de segurança. Existem três
fontes principais.
A primeira fonte é derivada da avaliação dos riscos contra a organização. Através da
avaliação de riscos as ameaças aos ativos são identificadas, a vulnerabilidade e a
probabilidade de ocorrência são avaliadas e o impacto potencial é estimado.
A segunda fonte são as exigências legais, estatutárias, regulamentadoras e contratuais
que uma organização, seus parceiros comerciais, empreiteiros e fornecedores de
serviços precisam atender.
A terceira fonte é o conjunto específico de princípios, objetivos e requisitos para
processamento de informações que uma organização desenvolveu para dar suporte a
suas operações.

Avaliando os riscos de segurança

Os requisitos de segurança são identificados através de uma avaliação metódica dos
riscos de segurança. Os gastos com controles precisam ser pesados contra os
prováveis prejuízos resultantes de falhas na segurança. Técnicas de avaliação de riscos
podem ser aplicadas a toda a organização, ou apenas a partes dela, bem como a
sistemas de informação individuais, componentes de sistemas específicos ou serviços
onde isto for praticável, realístico e útil.
A avaliação de riscos é a consideração sistemática de:
a) o provável prejuízo ao negócio resultante de uma falha de segurança, levando
em conta as conseqüências potenciais de uma perda de confiabilidade,
integridade ou disponibilidade das informações e outros ativos;
b) a probabilidade realística de tais falhas ocorrerem sob a luz de ameaças e
vulnerabilidades prevalecentes, e os controles atualmente implementados.
Os resultados desta avaliação ajudarão a guiar e determinar a ação gerencial adequada
e as prioridades para gerir os riscos de segurança de informação, e para implementar
controles selecionados para proteger contra esses riscos. O processo de avaliar riscos e
selecionar controles pode precisar ser executado diversas vezes para cobrir diferentes
partes da organização ou sistemas de informação individuais.
É importante executar revisões periódicas dos riscos de segurança e dos controles
implementados para:
a) levar em conta as mudanças nas prioridades e necessidades do negócio;
ISO/IEC 17799:2000(E)
VIII

b) considerar novas ameaças e vulnerabilidades;
c) confirmar que os controles permanecem eficazes e apropriados.
As revisões devem ser executadas em diferentes níveis de profundidade, dependendo
dos resultados das avaliações anteriores e das mudanças nos níveis de riscos que a
gerência está preparada para aceitar. As avaliações de riscos freqüentemente são
executadas primeiro em um nível superior, como uma forma de priorizar recursos nas
áreas de alto risco, e depois em um nível mais detalhado, para tratar riscos específicos.

Selecionando controles

Uma vez que os requisitos de segurança tenham sido identificados, devem ser
selecionados e implementados controles para garantir que os riscos sejam reduzidos a
um nível aceitável. Os controles podem ser selecionados a partir deste documento, ou
de outros conjuntos de controles, ou novos controles podem ser projetados para
satisfazer necessidades específicas, conforme apropriado. Existem muitas formas
diferentes de gerenciar riscos e este documento fornece exemplos de enfoques
comuns. Entretanto, é necessário reconhecer que alguns desses controles não são
aplicáveis a todos os sistemas de informação ou ambientes, e podem não ser
praticáveis para todas as organizações. Por exemplo, o item 8.1.4 descreve como as
tarefas podem ser segregadas para impedir fraudes ou erros. Pode não ser possível
para pequenas organizações segregar todas as tarefas e podem ser necessárias outras
formas para se obter o mesmo objetivo de controle. Como um outro exemplo, os itens
9.7 e 12.1 descrevem como o uso de sistemas pode ser monitorado e como podem ser
coletadas provas. Os controles descritos, como gravação de log de eventos, podem
conflitar com a legislação aplicável, tal como proteção da privacidade para clientes ou
no local de trabalho.
Os controles devem ser selecionados considerando o custo de implementação em
relação aos riscos que se quer reduzir e aos prejuízos potenciais se ocorrer uma quebra
de segurança. Fatores não monetários, tais como perda de reputação, também devem
ser levados em conta.
Alguns dos controles neste documento podem ser considerados como princípios
orientadores para a gestão da segurança de informações e podem ser aplicáveis à
maioria das organizações. Eles são explicados mais detalhadamente a seguir, no
tópico “Ponto de partida para a segurança das informações”.
Ponto de partida para a segurança das informações
Vários controles podem ser considerados como princípios orientadores que fornecem
um bom ponto de partida para implementação da segurança de informações. Eles são
ou baseados nas exigências essenciais da legislação ou considerados como a melhor
prática comum para a segurança de informações.
Os controles considerados como essenciais para uma organização, do ponto de vista
legal, incluem:
a) proteção de dados e privacidade de informações pessoais (ver item 12.1.4);
b) salvaguarda de registros organizacionais (ver 12.1.3);
c) direitos de propriedade intelectual (ver 12.1.2).
ISO/IEC 17799:2000(E)
IX

Os controles considerados como a melhor prática comum para segurança de
informações incluem:
a) documento de política de segurança de informações (ver 3.1);
b) alocação de responsabilidades quanto à segurança das informações (ver 4.1.3);
c) educação e treinamento para segurança das informações (ver 6.2.1);
d) relatórios dos incidentes de segurança (ver 6.3.1);
e) gerenciamento da continuidade do negócio (ver 11.1).
Esses controles se aplicam à maioria das organizações e dos ambientes. Deve-se
observar que, apesar de os controles neste documento serem importantes, a relevância
de qualquer controle deve ser determinada sob a luz dos riscos específicos que uma
organização está enfrentando. Portanto, apesar de o enfoque acima ser considerado um
bom ponto de partida, ele não substitui uma seleção de controles baseada em uma
avaliação de riscos.
Fatores críticos para o sucesso
A experiência tem mostrado que os fatores seguintes freqüentemente são críticos para
a implementação bem-sucedida da segurança de informações dentro de uma
organização:
a) política, objetivos e atividades de segurança que reflitam os objetivos do
negócio;
b) uma abordagem para implementar a segurança que seja consistente com a
cultura organizacional;
c) suporte visível e compromisso por parte da administração;
d) um bom entendimento das necessidades de segurança, avaliação de riscos e
gerenciamento de riscos;
e) marketing de segurança eficaz para todos os gerentes e empregados;
f) distribuição de orientação sobre a política e os padrões de segurança de
informação para todos os empregados e contratados;
g) fornecimento de treinamento e educação apropriados;
h) um sistema abrangente e balanceado de medição, usado para avaliar o
desempenho na gestão de segurança de informações e sugestões de feedback
para melhorias.

Desenvolvendo suas próprias diretrizes

Este código de prática pode ser considerado como um ponto de partida para
desenvolver orientação específica para a organização. Pode ser que nem todos os
controles e diretrizes deste código de prática sejam aplicáveis. Além disso, controles
adicionais não incluídos neste documento podem ser necessários. Quando isto
acontece, pode ser útil reter referências cruzadas que facilitarão a verificação do
cumprimento das exigências por auditores e parceiros comerciais.