1

2
Tecnologias de Informao e Risco
O que esperamos das tecnologias de informao?
Como atingir os objectivos das tecnologias de
informao?

Segurana de Tecnologias de Informao
O que a segurana da informao
ITSecurity Best Practices (BS7799)

Fontes de Informao

Agenda
3
O que esperamos das TI ?
4
Como alcanamos os objectivos das TI ?
5
O que a Segurana das TI ?
Meios utilizados para atingir um nvel de risco residual
aceitvel para a organizao.

O valor que a informao tem para a organizao tem
de ser protegido. Este valor determinado em termos da
confidencialidade, integridade e disponibilidade da
informao.

Confidencialidade: proteco de informao priveligiada
contra a sua revelao ou intercepo no autorizada.

Integridade: proteco da exactido da informao e do
software contra a sua alterao no autorizada.

Disponibilidade: garantia de que a informao e os
servios disponibilizados pela infraestrutura de TI esto
disponiveis quando solicitados.
6
ITSec Best Practices (BS7799)
A norma BS7799 juntou vrias prticas de segurana
numa metodologia nica que se estende desde os
principios mais abrangentes da segurana at a linhas
especificas para a implementao de um sistema de
gesto de segurana da informao(SGSI).

A norma BS7799 Part I (ISO/IEC 17799:2000) serve
como documento de referncia para a implementao de
um SGSI e composta por 10 seces com um total de
127 controlos de segurana.

BS7799 Part I (Code of Practice)
~ controlos de segurana

A norma BS7799 Part II especifica os requisitos para
estabelecer, implementar e documentar um SGSI.

BS7799 Part II (Management Standard)
~ processos de segurana
7
1- Poltica de Segurana

Proporcionar uma gesto directiva e de suporte
segurana da informao.

2- Organizao da segurana

Gerir a segurana da informao na organizao

Manter a segurana dos activos e mecanismos de
processamento da informao organizacional acedidos
por terceiros;

Manter a segurana da informao quando a
responsabilidade pelo processamento da mesma for
sub-contratado a outras organizaes.
BS7799 Part I (Code of Practice)
8
3- Classificao e controlo dos activos

Manter um nvel de proteco apropriado dos activos da
organizao e garantir que os activos de informao so
alvo de um grau de proteco apropriado.

4- Segurana do pessoal

Reduzir os riscos de erro humano, roubo, fraude ou m
utilizao das instalaes;

Garantir que os utilizadores esto cientes dos cuidados
a ter e das ameaas existentes segurana da
informao, e que os mesmos dispem de
equipamentos que lhes permitam dar suporte poltica
de segurana da organizao no curso do seu trabalho;

Minimizar os danos provocados pelo mau
funcionamento ou ocorrncia de incidentes relacionados
com segurana e aprender com os mesmos.
BS7799 Part I (Code of Practice)
9
5- Segurana fisca e ambiental

Prevenir o acesso no autorizado, danos ou
interferncia na informao e nas instalaes fiscas do
negcio;

Prevenir a perda, danos ou comprometimento dos
activos e a interrupo nas actividades do negcio;

Prevenir o comprometimento ou roubo da informao e
dos mecanismos de processamento da mesma.

6 Gesto de computadores e redes

Garantir a utilizao correcta e segura dos mecanismos
de processamento da informao;

Minimizar o risco de falhas nos sistemas;
BS7799 Part I (Code of Practice)
10
6 Gesto de computadores e redes (cont.)

Proteger a integridade das aplicaes e da informao;

Manter a integridade do processamento e comunicao
da informao;

Garantir a salvaguarda da informao em redes e a
proteco da infra-estrutura de suporte;

Prevenir danos provocados aos activos e interrupes
nas actividades do negcio;

Prevenir a perda, modificao ou m utilizao da
informao trocada entre organizaes.
BS7799 Part I (Code of Practice)
11
7- Controlo de Acesso ao sistema

Controlar o acesso informao;

Impedir o acesso no autorizado aos sistemas de
informao;

Assegurar a proteco dos servios ligados em rede;

Impedir o acesso no autorizado a sistemas;

Detectar actividades no autorizadas;

Garantir a segurana da informao aquando da
utilizao de computadores protteis ou mecanismos de
acesso remoto rede.
BS7799 Part I (Code of Practice)
12
8- Desenvolvimento e Manuteno dos sistemas

Garantir a incluso de mecanismos de segurana nos
sistemas operacionais;

Prevenir a perda, modificao ou m utilizao dos
dados dos utilizadores em aplicaes dos sistemas;

Proteger a confidencialidade, auntenticidade e
integridade da informao;

Assegurar que os projectos informticos e actividades
de suporte so levados a cabo de forma segura;

Manter a segurana dos dados e aplicaes dos
sistemas.
BS7799 Part I (Code of Practice)
13
9- Planeamento da continuidade do negcio

Reagir no caso de se verificarem interrupes nas
actividades ou processos criticos do negcio,
provocados por falhas graves ou desastres.

10 Adequao

Evitar que sejam quebradas disposies impostas por
quaisquer leis civis ou criminais, obrigaes estatutrias,
regulatrias ou requisitos de segurana;

Assegurar a adequao dos sistemas aos standards
ou polticas de segurana organizacionais;

Maximizar a eficcia e minimizar a interferncia com/do
processo de auditoria de sistemas.
BS7799 Part I (Code of Practice)
14
BS7799 Part II (Management Standard)
15
BS7799 Part II (Management Standard)
16
Resumo
17
Q&A