Segurança informática em auditoria

6.3. ISO/IEC 17799:2000 - Code of Practice for Information Security Management [28]

Foi desenvolvido pela ISO (the International Organization for Standardization) e IEC (the International Electrotechnical Commission) com base num standard inicial desenhado pelo BSI (British Standard Institute).

É um standard detalhado de segurança [29]. Está organizado em dez secções, cada uma cobre uma área ou tópico relevante:

• Politica de segurança



• Segurança organizacional



• Classificação e controlo



• Segurança pessoal



• Segurança física e de ambiente



• Gestão de comunicações e de operação



• Controlo de acessos



• Desenvolvimento e manutenção de sistemas



• Gestão de continuidade de negócio



• Conformidade

Existem variadíssimas entidades certificadas para avaliar a conformidade com este standard, o facto de ter sido muito divulgado, ser bastante pormenorizado e de ter aparecido num momento oportuno, tornaram-no bastante popular entre os profissionais de TIC.

Trata-se de um standard bastante exigente e completo como podemos verificar pelos tópicos abrangidos em cada uma das áreas ou anéis de segurança no conceito que estamos a seguir:

Politica de segurança - refere-se à documentação das políticas de segurança da informação e avaliação.

Segurança organizacional - trata a gestão, coordenação e atribuição de responsabilidades na segurança de informação. Inclui também a cooperação entre organizações, riscos de acesso por terceiros e outsourcing.

Classificação e controlo - Inventário de activos de informação, regras de classificação, catalogação e movimentação de informação.

Segurança pessoal - versa a inclusão de segurança de informação nas responsabilidades funcionais, nas políticas de selecção de pessoal e condições de emprego, educação e treino em segurança de informação. Inclui ainda o relato de incidentes, fraquezas, deficiências de funcionamento no software bem como as consequências disciplinares.

Segurança física e de ambiente - trata da segurança física, especialmente controlos físicos de entrada em instalações, salas e escritórios, isolamentos indispensáveis e localização. Inclui também fornecimento de energia, segurança de cablagem, garantias e manutenção e remoção de equipamento.

Gestão de comunicações e de operação - trata os procedimentos de operação, incidentes, segregação de funções e de instalações de desenvolvimento e operação, planeamento de capacidade. Inclui ainda regras de backup, protecção contra vírus, intrusão nas redes, gestão e circulação de suportes de informação e documentação dos sistemas. Considera também a segurança relativa a acordos de troca de software e informação, comércio electrónico, correio electrónico, escritório electrónico.

Controlo de acesso - trata a política de controlo de acessos, registo de utilizadores, gestão de privilégios, passwords de utilizadores, direitos de acesso. Políticas de utilização de serviços de rede, circuitos obrigatórios, autenticação de utilizadores em ligações externas. Inclui o diagnóstico remoto de protecção de portas, a segregação em redes, controlo de conexões de rede, de routing e segurança de serviços de rede. Trata também identificação automática de terminal, logon via terminal, uso de utilitários de sistema, time-out de terminal e limitação de tempo de conexão, monitorização do uso do sistema, sincronização de relógio, computação móvel e teletrabalho.

Desenvolvimento e manutenção de sistemas - versa a especificação de requisitos de segurança, validação de dados de Input, controlo de processamento interno, validação de dados de Output, uso de controlos de criptografia, assinaturas digitais e gestão de chaves. Inclui o controlo de software operacional, de acessos a livrarias de programas fonte e procedimentos de alterações de controlo. Inclui também a verificação técnica de alterações de sistema operativo, de packages de software e outsourcing de desenvolvimento de software.

Gestão de continuidade de negócio - refere-se ao processo de gestão, análise de impacto, teste, manutenção e reavaliação de planos de continuidade de negócio.

Conformidade - considera a identificação de legislação aplicável, direitos de propriedade intelectual, salvaguarda de registos organizacionais, protecção de dados e privacidade na informação pessoal. Inclui ainda a regulamentação de controlos de criptografia, de recolha de evidência. Trata também a conformidade com a política de segurança, os testes de conformidade técnica e a auditoria de controlos de sistema.

O Standard ISO/IEC 17799:2000 está em revisão e é esperado para finais de 2005 a conclusão. A alteração maior será na estrutura de controlos, para distinguir claramente entre requisitos, orientação de implantação e posterior informação. Prevê-se alguma racionalização e aditamento de novos controlos.

A seguir à publicação da parte 2 deste Standard BS 7799-2:2002 em Setembro de 2002, surgiu ainda um maior interesse em todo o globo com um aumento de certificações em todo o mundo. A parte 2 explica o que uma organização ou um consultor precisa de fazer para obter a certificação neste standard.

Provavelmente haverá ainda no futuro uma parte 3 deste standard para melhoramento contínuo [30].