|
ABNT NBR ISO/IEC
17799:2005
Tecnologia da informação - Técnicas de segurança - Código de prática para
a gestão da segurança da informação
A ABNT, acompanhando a ISO, lançou em 2005 a versão revista e atualizada
da ISO 17799. Nesta versão foi acrescido o tópico "Gestão de incidentes de
segurança" o que adicionou 5 controles à lista original. Agora a ISO 17799
apresenta um total de 132 controles para a gestão da segurança da
informação. Os objetivos explícitos
desta norma são:
- Estabelecer um referencial para as organizações
desenvolverem, implementarem e avaliarem a gestão da segurança de informação.
- Promover a confiança nas transações comerciais
entre as organizações.
Em sua documentação a ISO/IEC-17799:2005 aborda 11 tópicos
que abaixo relacionamos com uma breve descrição:
- 1.
Política de segurança
Este tópico descreve a importância e relaciona os principais assuntos
que devem ser abordados numa política de segurança.
- 2.
Segurança organizacional
Este tópico aborda a estrutura de uma gerência para a segurança de informação,
assim como aborda o estabelecimento de responsabilidades incluindo terceiros
e fornecedores de serviços.
- 3.
Classificação e controle de ativos de informação
Este tópico trabalha a classificação, o registro e o controle dos ativos
da organização.
- 4.
Segurança em pessoas
Este tópico tem como foco o risco decorrente de atos intencionais ou
acidentais feitos por pessoas. Também são abordados a inclusão de responsabilidades
relativas a segurança na descrição dos cargos, a forma de contratação
e o treinamento em assuntos relacionados a segurança.
- 5.
Segurança ambiental e física
Este tópico aborda a necessidade de se definir áreas de circulação restrita
e a necessidade de proteger equipamentos e a infraestrutura de tecnologia
de Informação.
- 6.
Gerenciamento das operações e comunicações
Esta seção aborda as principais áreas que devem ser objeto de especial
atenção da segurança. Dentre estas áreas destacam-se as questões relativas
a procedimentos operacionais e respectivas responsabilidades, homologação
e implantação de sistemas, gerência de redes, contole e prevenção de
vírus, controle de mudanças, execução e guarda de back-up, controle
de documentação, segurança de correio eletrônico, entre outras.
- 7.
Controle de acesso
Este tópico aborda o controle de acesso a sistemas, a definição de competências,
o sistema de monitoração de acesso e uso, a utilização de senhas, dentre
outros assuntos.
- 8.
Desenvolvimento e manutenção de sistemas
Neste item são abordadas os requisitos de segurança dos sistemas, controles
de criptografia, controle de arquivos e segurança do desenvolvimento
e suporte de sistemas.
- 9.
Gestão de incidentes de segurança
Esta seção, incluída na versão 2005, apresenta dois itens: Notificação
de fragilidades e eventos de segurança da informação e Gestão de
incidentes de segurança da informação e melhorias.
- 10.
Gestão da continuidade do negócio
Esta seção reforça a necessidade de se ter um plano de continuidade
e contingência desenvolvido, implementado, testado e atualizado.
- 11.
Conformidade
A seção final aborda a necessidade de observar os requisitos legais,
tais como a propriedade intelectual e a proteção das informações de
clientes.
|
