O que é informação?
Segundo o AURÉLIO (1995), informação é um dado acerca de alguém ou algo; o conhecimento; segundo a teoria da informação, a medida da redução da incerteza.
O que é segurança da informação?
Segundo a norma ISO/IEC 17799:2000, segurança da informação pode ser definida como a proteção contra um grande número de ameaças às informações, de forma a assegurar a continuidade do negócio, minimizando danos comerciais e maximizando o retorno de possibilidades e investimentos. Ainda segundo a ISO/IEC 17799:2000 a segurança da informação é caracterizada pela preservação dos três atributos básicos da informação: confidencialidade, integridade e disponibilidade.
O que é BS7799?
O British Standart 7799 é uma norma de segurança da informação criada na Inglaterra em 1995. A mesma é dividida em duas partes:
- • A BS7799-1 é a primeira parte da norma, foi homologada em 1995 e revisada em 1998. Contém uma introdução, definição de extensão e condições principais de uso da norma. Disponibiliza 148 controles divididos em dez partes distintas. É planejado como um documento de referência para implementar boas práticas de segurança na empresa. Esta primeira parte foi adotada pela ISO na ISO/IEC 17799.
- • A BS7799-2 é a segunda parte da norma, publicada em 1999 pela BSi, intitulada de “Information Security Management Systems - Specification with Guidance for Use”, cujo objetivo é proporcionar uma base para gerenciar a segurança da informação dos sistemas das empresas, o que posteriormente viria a se tornar a ISO/IEC 27001.
O que é ISO/IEC 17799?
A ISO/IEC 17799 é a versão internacional da BS7799, homologada pela International Standartization Organization em dezembro de 2000.
O que é NBR ISO/IEC 17799?
A NBR ISO/IEC 17799 é a versão brasileira da norma ISO, homologada pela ABNT em setembro de 2001.
O que significa exatamente ISO/IEC?
- •ISO - significa International Standartization Organization. Trata-se de uma organização internacional formada por um conselho e comitês com membros oriundos da maioria dos países. Seu objetivo é criar normas e padrões universalmente aceitos sobre como realizar as mais diversas atividades comerciais, industriais, científicas e tecnológicas.
- •IEC - significa International Engineering Consortium. É uma organização voltada para o aprimoramento da indústria da informação. Uma associação entre as duas instituições produz normas e padronizações internacionais.
Qual é a diferença entre as normas ISO 17799 e NBR ISO 17799?
A norma ISO é rigorosamente idêntica à norma BS7799. Já a NBR é a norma brasileira que é a tradução literal da norma ISO.
Qual norma eu devo usar?
Se você está no Brasil, deve optar pela NBR ISO/IEC 17799. Em outros países, caso não exista uma versão nacional, emprega-se a ISO/IEC 17799. Na inglaterra, por exemplo, a norma nacional é a BS7799.
Qual é o conhecimento que existe hoje sobre essas normas?
A maioria das empresas e parte dos profissionais de segurança da informação ainda desconhecem a existência dessa norma, ou, quando muito, sabem de sua existência mas não a conhecem em maiores detalhes.
Essas normas se aplicam a qualquer tipo de organização?
As normas foram criadas e se adpatam bem a organizações comerciais. Instituições de ensino, instituições públicas e outras assemelhadas podem ter dificuldades em implantar certos controles da norma devido a seus ambientes serem diferentes de uma empresa comercial. Apesar disso, qualquer organização pode aproveitar grande parte dos controles da norma para implementar segurança da informação em suas instalações.
Além do Brasil, que outros países criaram suas adaptações da ISO17799?
Os países da Comunidade Britânica, tais como Austrália e Nova Zelândia foram os primeiros a criarem suas próprias versões da BS7799.
Qual é a importância da ISO 17799?
Ela permite que uma empresa construa de forma muita rápida uma política de segurança baseada em controles de segurança eficientes. Os outros caminhos para se fazer o mesmo, sem a norma, são constituir uma equipe para pesquisar o assunto ou contratar uma consultoria para realizar essa tarefas. Ambas opções são caras e demoradas.
O que é ISMS?
Information Security Management System, ou Sistema de Gerenciamento da Segurança da Informação é o resultado da aplicação planejada de objetivos, diretrizes, políticas, procedimentos, modelos e outras medidas administrativas que, de forma conjunta, definem como são reduzidos os riscos para segurança da informação. Uma empresa que implante a norma BS/ISO acaba por constituir um ISMS.
Eu posso usar essa norma para garantir a segurança de um programa ou equipamento?
Essa norma foi criada para possibilitar a implantação de segurança da informação em empresas. Para processos, hardware e software, existem normas especificamente criadas com esse fim tal como a Tsec, ITSec e Commum Critéria.
O que é certificação?
A certificação é um documento emitido por uma entidade certificadora independente que garante que uma dada empresa implantou corretamente todos os controles da norma aplicáveis. A certificação é emitida após um procedimento de verificação de conformidade da empresa pela entidade certificadora.
Para que serve a certificação?
Ela comprova, para a empresa certificada, que a segurança da informação está assegurada de forma efetiva, o que não significa contudo, que a empresa esteja imune a violações de segurança. Além disse, a certificação comprova, para os clientes e fornecedores da empresa o zêlo que esta tem com a segurança da informação, reforçando a imagem da empresa junto ao mercado. Dependendo da atividade da empresa, essa certificação pode ser essencial para realização de cerots negócios.
Teremos segurança total se implantarmos a norma em nossa empresa?
Segurança total não existe. A implantação dos controles da norma asseguram um bom nível de segurança sobre os aspectos do hardware, do software e do peopleware.
O que são os controles da norma?
São pontos específicos sobre hardware, software ou peopleware que definem o que deve ser feito para assegurar aquele item. Na prática consiste em um parágrafo de texto como no exemplo abaixo.
8.6.4 b) A relação de pessoas com acesso autorizado à documentação de sistemas deve ser a menor possível e autorizada pelo responsável pelo sistema.
Para implantar a norma em uma empresa é obrigatório empregar todos os seus controles?
Não. Aplicam-se somente os controles para os serviços, facilidades, espaços e condições existentes na empresa. Por exemplo, se a empresa não tem acesso remoto de usuários, todos os controles referentes a esse tipo de acesso podem ser ignorados.
Qual é o custo de uma certificação?
O custo depende de vários fatores, tal como quanto tempo o responsável pela certificação levará para se convencer sobre a conformidade das instalações da empresa com relação a norma, o tamanho e a complexidade da empresa e de seus sistemas. Como referência, a c:cure (certificadora britânica) indica um custo médio de 900 libras por dia por cada auditor qualificado como certificador.
Fontes:
Postar um comentário