Conheça a NBR ISO/IEC 27002 – Parte 1

Dando continuidade ao assunto Segurança da Informação, hoje será abordada a norma NBR ISO/IEC 27002 - Código de Prática para a Gestão de Segurança da Informação, que tem como objetivo “estabelecer diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização”. Mas, o que é Segurança da Informação (SI)? Significa proteger as informações consideradas importantes para a continuidade e manutenção dos objetivos de negócio da organização.

É preciso esclarecer que anteriormente esta norma era conhecida como NBR ISO/IEC 17799, mas a partir de 2007 a nova edição da ISO/IEC 17799 foi incorporada ao novo esquema de numeração como ISO/IEC 27002.

A parte principal da norma se encontra distribuída em 11 seções, que correspondem a controles de segurança da informação, conforme apresentado a seguir. A numeração dessas seções se inicia no número 5 (há outros aspectos descritos nas seções anteriores, mas nos concentraremos apenas na parte mais significativa da norma).

Seção 5 - Política de Segurança da Informação
Deve ser criado um documento sobre a política de segurança da informação da organização, que deveria conter, entre outros, os conceitos de segurança da informação, o comprometimento da direção com a política, uma estrutura para estabelecer os objetivos de controle e os controles, a estrutura de análise e avaliação e gerenciamento de riscos, as políticas, princípios, normas e requisitos de conformidade de segurança da informação específicos para a organização. Essa política também deve ser comunicada a todos, bem como analisada e revisada criticamente, em intervalos regulares ou quando mudanças se fizerem necessárias.

Seção 6 - Organizando a Segurança da Informação
Para implementar a SI em uma organização é necessário que seja estabelecida uma estrutura para gerenciá-la. Para isso, as atividades de segurança da informação devem ser coordenadas por representantes de diversas partes da organização, com funções e papéis relevantes. Todas as responsabilidades pela segurança da informação também devem estar claramente definidas. É importante ainda que sejam estabelecidos acordos de confidencialidade para proteger as informações de caráter sigiloso, bem como as informações que são acessadas, comunicadas, processadas ou gerenciadas por partes externas, tais como terceiros e clientes.

Seção 7 - Gestão de Ativos
Ativo, de acordo com a norma, “é qualquer coisa que tenha valor para a organização”. Gestão de Ativos significa proteger e manter os ativos da organização. Para que eles sejam devidamente protegidos, devem ser primeiramente identificados e levantados, com proprietários também identificados e designados, de tal forma que um inventário de ativos possa ser estruturado e posteriormente mantido. As informações e os ativos ainda devem ser classificados, conforme o nível de proteção recomendado para cada um deles, e seguir regras documentadas, que definem qual o tipo de uso é permitido fazer com esses ativos.

Seção 8 - Segurança em Recursos Humanos
Antes de realizar a contratação de um funcionário ou mesmo de fornecedores e terceiros, é importante que cada um deles entenda suas responsabilidades e esteja de acordo com o papel que desempenhará. Portanto, as descrições de cargo e os termos e condições de contratação devem ser explícitos, especialmente no que tange às responsabilidades de segurança da informação. É importante também que quaisquer candidatos sejam devidamente analisados, principalmente se forem lidar com informações de caráter sigiloso. A intenção aqui é mitigar o risco de roubo, fraude ou mau uso dos recursos.

Durante todo o tempo em que funcionários, fornecedores e terceiros estiverem trabalhando na empresa, eles devem estar conscientes sobre as ameaças relativas à segurança da informação, bem como de suas responsabilidades e obrigações, de tal maneira que estejam preparados para apoiar a política de segurança da informação da organização. Eles também devem ser educados e treinados nos procedimentos de segurança da informação e no uso correto dos recursos de processamento da informação. É fundamental ainda que um processo disciplinar formal seja estabelecido para tratar das violações de segurança da informação.

No momento em que ocorrer o encerramento ou uma mudança na contratação, a saída de funcionários, fornecedores e terceiros deve ser feita de modo ordenado e controlado, para que a devolução de todos os equipamentos e a retirada de todos os direitos de acesso sejam concluídas.

Seção 9 - Segurança Física e do Ambiente
As instalações de processamento de informação críticas ou sensíveis devem ser mantidas em áreas seguras, com níveis e controles de acesso apropriados, incluindo proteção física. Essa proteção deve ser compatível com os riscos previamente identificados.

Os equipamentos também devem ser protegidos contra ameaças físicas e ambientais, incluindo aqueles utilizados fora do local.

No próximo artigo, será dada continuidade às demais seções da norma.

Referência Bibliográfica:
ABNT – Associação Brasileira de Normas Técnicas. ABNT NBR ISO/IEC 27002 - Tecnologia da informação - Técnicas de segurança - Código de prática para a gestão de segurança da informação. ABNT, 2005.

Você pode fazer o download completo deste artigo em: http://www.box.net/shared/65x3oa0n0p

6 comentários:

Anônimo disse...

Estou fazendo uma pesquisa e gostaria de saber quais empresa no Brasil que usam a norma NBR ISO/IEC 27002

Alguem pode me ajudar

Aléxia Lage disse...

Olá, bom dia. Acho muito difícil você conseguir isso, sem que alguém tenha feito uma pesquisa, talvez apenas em algum trabalho acadêmico. Esta norma especificamente não é objeto de certificação, o que ainda dificulta mais a obter a informação.

Porém, caso deseje saber quais são as empresas certificadas no Brasil na norma NBR ISO/IEC 27001, veja aqui em http://www.iso27001certificates.com/

No menu que aparecer à esquerda, selecione a opção "Certificate Register". Na página exibida na direita, clique no link denominado "ISMS Certificates". Você será conduzido à página denominada "Certificate Search page". eM "Search for certificates from a particular country:", selecione "Brazil" e clique no botão "Send Query".

Espero ter ajudado de alguma forma.

Grande abraço
Aléxia Lage

Anônimo disse...

Olá, Alexia!

Gostei das informações deste post.
Posso usar seu blog como referência em um projeto da faculdade?

Abraços,
Vinícius.

Aléxia Lage disse...

Oi Vinícius! Fique à vontade, o blog é feito para isso mesmo, ok?

Grande abraço,
Aléxia Lage

Unknown disse...

Boa tarde

Sou estudante do curos de Gestão de Tecnologia da Informação da Fatec Campinas
e estou fazendo uma pesquisa sobre empresas Brasileiras certificadas na ISO 27002 e não tive êxito. Vi em um comentário que Você passou um link para a pessoa acessar e procurar empresas certificadas na ISO 27001, segui suas informações e não existe 'Certificate Register", não consegui chegar a lista das empresas, sera que existe outra maneira???

Desde já agradeço a atenção.
Att. João Paulo

Aléxia Lage disse...

Oi João Paulo, boa tarde.

Não há empresas certificadas em ISO 27002 porque essa ISO não certifica empresas, somente profissionais de TI que desejam consolidar seu conhecimento sobre controles para gestão da segurança da informação.

Já a ISO 27001 permite a certificação de empresas. Infelizmente, este era o único link que tinha sobre a lista de empresas certificadas em ISO 27001. Não consegui localizar outro, ok?

Obrigada pelo seu contato. Espero que tenha compreendido a questão da certificação da ISO 27001 e da ISO 27002, que são diferentes.

Abraços,
Aléxia Lage

Postar um comentário

top
Creative Commons License
Este trabalho está licenciado sob Creative Commons Atribuição-Uso não-comercial-Compartilhamento pela mesma licença 3.0 Brasil License.