DESENVOLVIMENTO DE SISTEMAS DE GESTO DA SEGURANA DA INFORMAO ATRAVS DA INTEGRAO DAS NORMAS ISO/IEC 27001:2006 E ISO/IEC 21827 (SSE-CMM)

Josiane Kroll1, Marcos C. dOrnellas2, Lisandra Manzoni Fontoura3

Sumrio: 1. Introduo. 2 . O Desenvolvimento de Sistemas de Gesto da Segurana da Informao (SGSI). 3. Normas da Segurana. 3.1. Norma ISO/IEC 27001:2006. 3.2. Norma ISO/IEC 21827 (SSE-CMM). 4. Anlise das Normas Apresentadas. 5. Combinao das Normas De Segurana ISO/IEC 27001:2006 E ISO/IEC 21827 (SSE-CMM). 5.1. Um modelo de referncia para o desenvolvimento de SGSI. 5.2. A integrao das normas ISO/IEC 27001:2006 e ISO/IEC 21827 (SSE-CMM). 5.3 A abrangncia das normas de segurana no contexto organizacional. 6 Concluso. 7.References.

Resumo: As organizaes esto cada vez mais buscando implementar sistemas de gesto da segurana da informao que estejam atrelados s normas de segurana. No entanto, se desconhece a relao existente entre as normas de segurana propostas pela literatura, e se essas podem ser usadas em conjunto de forma a trazer maiores garantias de proteo. Neste artigo sero analisadas duas normas de segurana, a ISO/IEC 21007:2006 e a ISO/IEC 21827, que so recomendadas para o desenvolvimento da gesto da segurana da informao. Cada norma ser descrita e discutida com o intuito de encontrar evidncias que forneam as organizaes uma viso conjunta do propsito de implantao de cada norma. O artigo relaciona e integra as normas de forma a auxiliar as organizaes no estabelecimento e manuteno de sistemas de gesto da segurana da informao que possam atender as necessidades organizacionais. Tambm ser discutida a Instruo Normativa GSI N 1, de 13 de junho de 2008, que trata disciplina a Gesto de Segurana da Informao e Comunicaes na Administrao Pblica Federal, direta e indireta, a fim de relacion-la com a utilizao das normas de segurana. Palabras clave: 1. Gesto da Segurana da Informao. 2. ISO/IEC 27001:2006. 3. ISO/IEC 21827. 4. ISO/IEC 17799:2005. 5. Normas de Segurana. 6. Instruo Normativa GSI N 1.

Abstract: Organizations are increasingly looking to implement systems for managing information security that are tied to safety standards. However, if you know the relationship between safety standards proposed in the literature, and these can be used together in order to bring greater assurance of protection. In this article, we analyze two security standards, ISO / IEC 21007:2006 and ISO / IEC 21827, which are recommended for the development of the management of information security. Each standard is described and discussed in order to find evidence that the organizations provide a comprehensive view of the purpose of implementation of each standard. The article relates and integrates the standards in order to assist organizations in establishing and maintaining management systems for information security that can meet organizational needs. He will also discuss GSI Instruction No. 1, June 13, 2008, which is subject to Security Management of Information and Communications in the Federal Public Administration, directly or indirectly, to relate it to the use of safety. Keywords: 1. Management of Information Security. 2. ISO / IEC 27001:2006. 3. ISO / IEC 21827. 4. ISO / IEC 17799:2005. 5. Safety Standards. 6. GSI Instruction No. 1.
Programa de Ps-Graduao em Engenharia de Produo (PPGEP) - Universidade Federal de Santa Maria (UFSM)- Santa Maria, RS - Brasil, josi.unc@gmail.com 2 Laboratrio de Computao Aplicada (LaCA) Universidade Federal de Santa Maria (UFSM) Santa Maria, RS - Brasil, marcosdornellas@gmail.com 3 Laboratrio de Computao Aplicada (LaCA) Universidade Federal de Santa Maria (UFSM) Santa Maria, RS - Brasil, lisandramf@gmail.com
1

Introduo

H inmeras razes para se desenvolver sistemas de gesto da segurana da informao (SGSI), dentre elas garantir a continuidade dos negcios, a boa reputao, a proteo dos ativos, o cumprimento de leis e regulamentaes, o fortalecimento dos objetivos do negcio, a minimizao dos riscos entre outras (WIANDER, 2007). Sem o SGSI, as organizaes podem sofrer as consequncias de violaes causadas pela falta de segurana. A falta de segurana produz o descontentamento tanto dos clientes como dos prprios funcionrios da organizao, gerando danos financeiros e morais que em muitas situaes so irreparveis. Para o desenvolvimento das organizaes e de suas solues, a implementao da gesto da segurana da informao um elemento fundamental para o sucesso (BEZERRA; NAKAMURA; RIBEIRO, 2006). As organizaes que buscam desenvolver um SGSI procuram suporte nas documentaes de segurana. H vrias ferramentas, mtodos, checklists e normas para a construo de sistemas de gerenciamento da segurana da informao (WIANDER, 2007). A norma ISO/IEC 27001:2006 uma referncia para o desenvolvimento de SGSI e se estabelece como um guia para a organizao (ABNT NBR ISO/IEC 27001, 2006). Outra norma que tambm usada para o desenvolvimento de SGSI ISO/IEC 21827 (SSECMM) que voltada ao projeto de engenharia da segurana, sendo de grande valia para implementao de processos de segurana (SSE-CMM, 2003). Ambas as normas, so distintas e se desconhece a relao que uma norma de segurana possui com a outra e como ambas podem contribuir para garantir e fortalecer a segurana das informaes. Neste artigo sero descritas e analisadas as normas ISO/IEC 27001:2006 e a ISO/IEC 21827(SSE-CMM) buscando relacion-las de forma que se possa compreender o processo de implementao e estabelecimento de cada uma. O objetivo verificar como essas normas podem ser integradas para o desenvolvimento de um SGSI que fornea maiores garantias de proteo. Tambm ser analisada a abordagem e a estrutura que cada uma fornece para o seu desenvolvimento. Ainda sero evidenciados os benefcios que podem obtidos atravs da integrao de normas de segurana. Este artigo est organizado da seguinte forma: na seo 2, so apresentados os aspectos de desenvolvimento de um SGSI. Na seo 3, so apresentadas as normas ISO/IEC 27001:2006 e ISO/IEC 21827 com suas estruturas e abordagens de implantao. Na seo 4, as normas so analisadas, discutidas e relacionadas. Na seo 5, mostrado como as normas descritas podem ser integradas, quais os benefcios provenientes dessa combinao e tambm feita uma discusso sobre a metodologia definida pela Instruo Normativa GSI N 1. Por fim, a seo 6 traz as concluses obtidas com o desenvolvimento do estudo.

2 O Desenvolvimento de Sistemas de Gesto da Segurana da Informao (SGSI)

A necessidade de garantir a confidencialidade, integridade e disponibilidade das informaes faz com que as organizaes estabeleam um SGSI (HERRERA, 2005). Um SGSI uma maneira de proteger e de gerenciar as informaes sobre uma abordagem de riscos do negcio, que estabelece, implementa, monitora, revisa, mantm e melhora a segurana da informao (HANASHIRO, 2007). A coleo de
2

componentes de segurana requeridos para um sistema ser implementado cuidadosamente, evitando o ataque de ameaas e a exposio a riscos, chamado de SGSI (DEY, 2007). O desenvolvimento de um SGSI no uma tarefa fcil (DEY, 2007). As organizaes devem analisar e projetar meios de assegurar a segurana para manter a continuidade dos negcios. Processos necessrios devem ser definidos para proteger os ativos da informao e polticas e procedimentos de segurana devem ser estabelecidos. No desenvolvimento de um projeto de SGSI aplicado um conjunto adequado de controles tais como polticas, processos, procedimentos, estruturas organizacionais e funes de software e hardware (HANASHIRO, 2007). Esse conjunto de controles de segurana dado por normas e guias de segurana. A efetividade de um SGSI desenvolvido por uma organizao est condicionada efetividade dos controles de segurana da informao disponveis (HERRERA, 2007). Sem a implementao adequada dos controles ou sem o apoio das normas de segurana, um SGSI pode no atender s necessidades de segurana organizacionais.

Normas da Segurana

As normas de segurana fornecem uma abordagem de gerenciamento sistemtica adotada para melhoria das prticas de segurana. Elas contribuem para quantificar um nvel aceitvel de risco e implementar medidas apropriadas de segurana que garantam a confidencialidade, integridade e disponibilidade das informaes (DEY, 2007). Nesta seo sero apresentadas duas normas de segurana, a ISO/IEC 27001:2006 recomendada pela Instruo Normativa GSI N 1 e a ISO/IEC 21827 indicada para a melhoria dos processos de segurana organizacaionais. Essas normas tero descritos seus propsitos e estruturas de desenvolvimento.

3.1

Norma ISO/IEC 27001:2006

A norma ISO/IEC 27001:2006 foi construda baseada na norma britnica BS7799 e na ISO/IEC 17799 (ABNT NBR ISO/IEC 27001, 2006). Seu objetivo proporcionar um modelo para o estabelecimento, implementao, funcionamento, acompanhamento, reviso, manuteno e melhoria de um SGSI documentado dentro do contexto dos riscos de negcio globais da organizao (FENZ et al, 2007). Ela pode ser aplicada em todos os tipos de organizaes como por exemplo, empreendimentos comerciais, agncias governamentais, organizaes sem fins lucrativos, etc. Esta norma adotada para o estabelecimento de estratgias de segurana pela organizao e pode ser usada para avaliar a conformidade pelas partes interessadas internas e externas (ABNT NBR ISO/IEC 27001, 2006). O SGSI projetado pela norma assegura a seleo de controles de segurana adequados e proporcionados para proteger os ativos de informao e propiciar confiana s partes interessadas. Todos os controles de segurana recomendados pela norma ISO/IEC 27001:2006 so encontrados na norma ISO/IEC 17799:2005. A norma
3

ISO/IEC 17799:2005 est contida na ISO/IEC 27001:2006, ou seja, a norma ISO/IEC 27001:2006 fornece um processo definido de implantao dos controles da norma ISO/IEC 17799:2005. A norma ISO/IEC 27001:2006 aplica um sistema de processos dentro de uma organizao, junto com a identificao e interaes destes processos. Essa abordagem de processos enfatiza a importncia dos seguintes aspectos: Entendimento dos requisitos de segurana da informao de uma organizao e da necessidade de estabelecer uma poltica e objetivos para a segurana de informao; Implementao e operao de controles para gerenciar os riscos de segurana da informao de uma organizao no contexto dos riscos de negcio globais da organizao; Monitorao e anlise crtica do desempenho e eficcia do SGSI; e Melhoria contnua baseada em medies objetivas. A norma ISO/IEC 27001:2006 incorpora o ciclo Plan-Do-Check-Act (PDCA), que adotado em toda a estrutura dos processos do SGSI. O ciclo PDCA baseiase no ciclo de melhoria continua que consiste em planejar (Plan P), fazer (Do D), checar (Check C) e agir (Act A). O ciclo PDCA uma ferramenta importante para a anlise e melhoria dos processos organizacionais contribuindo pra a tomada de decises gerenciais e para o alcance das metas e objetivos da organizao (KAJAVA et al, 2006).

3.2

Norma ISO/IEC 21827 (SSE-CMM)

A norma ISO/IEC 21827 ou modelo SSE-CMM (Systems Security Engineering Capability Maturity Model) foi desenvolvida pelo ISSEA (International Systems Security Engineering Association) em 1999. Esta norma descreve as caractersticas essenciais que um processo de engenharia da segurana da informao deve possuir para assegurar a boa segurana (SSE-CMM, 2003). A norma ISO/IEC 21827 no prescreve uma sequncia ou um processo particular, mas captura as prticas que so geralmente observadas na indstria. Esta norma designada para todos os tipos de organizaes, sendo usada para a melhoria e avaliao da capacidade de maturidade dos processos de segurana (SG-SBP, 2008). A estrutura de desenvolvimento da norma ISO/IEC 21827 dada por 22 PAs (Process Areas), divididas em dois grupos, Prticas Base de Segurana e Prticas Base Organizacionais e do Projeto. A estrutura de distribuio das PAs em seus grupos correspondentes pode ser vista na Tabela 1:
Tabela 1- Estrutura de distribuio da PAs da norma ISO/IEC 21827.
Categorias PAs (Process reas) PA01 - Administrar controles de segurana PA02 - Avaliar impacto PA03 - Avaliar riscos de segurana PA04 - Avaliar ameaas PA05 - Avaliar vulnerabilidades PA06 - Construir argumentos de segurana PA07 - Coordenar a segurana PA08 - Monitorar a postura da segurana PA09 - Estabelecer a entrada de segurana 4

Prticas Base de Segurana

Prticas Base Organizacionais e do Projeto

PA10 - Especificar necessidades de segurana PA11 - Verificar e validar a segurana PA12 - Assegurar qualidade PA13 - Gerenciar a configurao PA14 - Gerenciar riscos do projeto PA15 - Monitorar e controlar esforo tcnico PA16 - Planejar esforo tcnico PA17 - Definir processos de engenharia de sistemas da organizao PA18 - Melhorar processos de engenharia de sistemas da organizao PA19 - Gerenciar evoluo da linha do produto PA20 - Gerenciar ambiente de suporte a engenharia de sistemas PA21 - Promover habilidade e conhecimento progressivo PA22 - Coordenar com fornecedores

A norma ISO/IEC 21827 tambm define nveis de maturidade dos processos de segurana da organizao que so ampliados aps o estabelecimento e cumprimento das prticas da segurana (BATISTA, 2007). O processo mais "maduro" define uma organizao cujos processos so melhores definidos e conduzidos. So seis nveis de maturidade definidos, onde cada um desses nveis consiste de um nmero de Prticas Genricas - GP (Generic Practices) que suportam o desempenho das PAs. Os nveis de maturidade atribudos pela norma ISO/IEC 21827 so: Nvel 0 - Prticas base no so realizadas; Nvel 1 - Prticas base so realizadas informalmente; Nvel 2 - Prticas base so planejadas e monitoradas; Nvel 3 - Prticas base esto bem definidas; Nvel 4 - Prticas base so controladas quantitativamente; Nvel 5 - Prticas base esto em contnua melhoria. O processo de melhoria e maturidade organizacional da norma ISO/IEC 21827 realizado por meio do modelo IDEAL que foi desenvolvido pelo SEI - Software Engineering Institute e usado para definir aes que capacitem as organizaes a melhorar seus processos. O modelo IDEAL serve como um guia para iniciar, planejar e implementar aes de melhoria. A palavra IDEAL um acrnimo do ingls para Iniciar (initiating), Diagnosticar (diagnosing), Estabelecer (establishing), Agir (acting) e Aprender (learning). O modelo IDEAL forma uma infra-estrutura de cinco fases para guiar organizaes no planejamento e na implementao de um efetivo programa de melhoria de processos (SSE-CMM, 2003).

Anlise das Normas Apresentadas

Para que se possa compreender a relao entre as normas ISO/IEC 27001:2006 e ISO/IEC 21827 foram realizadas duas comparaes. Na primeira comparao, as caractersticas da norma ISO/IEC 27001:2006 so comparadas com as norma ISO/IEC 21827. Na segunda comparao, so identificados os controles da norma ISO/IEC 17799:2005 que correspondem as PAs da norma ISO/IEC 21827. As informaes para critrio de comparao foram obtidas dos documentos ABNT NBR ISO/IEC 27001:2006 (ABNT NBR 27001, 2006), ABNT NBR ISO/IEC 17799:2005 (NBR ISO/IEC 17799, 2005) e Systems Security Engineering Capability Maturity Model (SSECMM) Model Description Document vesion 3.0 (SSE-CMM, 2003).
5

Com resultado da primeira comparaco, foi observado que as normas apresentam duas vises que esto permanentemente presentes antes e depois do SGSI ser implementado: a viso funcional e a viso de processos. A viso funcional representada pela norma ISO/IEC 27001:2006 que fornece uma estrutura de recomendaes que deve ser seguida para o desenvolvimento de um SGSI. J a norma ISO/IEC 21827 representa uma viso de processos, que fornece as prticas que devem ser implementadas para a construo de um SGSI. Com relao ao ciclo de melhoria, que indica uma ferramenta de qualidade para o desenvolvimento da norma, verifica-se que a ISO/IEC 27001:2006 utiliza o ciclo de melhoria PDCA para a anlise e melhoria dos processos organizacionais, enquanto a ISO/IEC 21827 utiliza o modelo IDEAL. Ambos os modelos consistem em um ciclo de atividades modelado para guiar a melhoria contnua e para desenvolvimento adequado de cada norma. Tanto a norma ISO/IEC 27001:2006 como a norma ISO/IEC 21827 podem ser adotadas por qualquer tipo de organizao, seja ela de pequeno ou grande porte. Isso indica que no h restries quanto ao uso das normas e a escolha de aderir a uma ou a outra norma de segurana, deve ser direcionada ao atendimento dos objetivos de segurana organizacionais. O desenvolvimento da norma ISO/IEC 27001:2006 est baseada na implementao dos controles de segurana contidos na ISO/IEC 17799:2005. Dessa forma, a ISO/IEC 27001:2006 implementa a ISO/IEC 17799:2005. Na ISO/IEC 21827 no h um documento de segurana complementar para o seu desenvolvimento. Ela implantada por meio da implementao das PAs e avaliada pelo mtodo SSAM (SSE-CMM Appraisal Method). Uma caracterstica importante da ISO/IEC 21827 o uso das mtricas para avaliar os processos de segurana e estabelecer nveis de maturidade. Essa caracterstica est voltada ao gerenciamento da segurana. J a norma ISO/IEC 27001:2006 foi projetada para permitir a uma organizao alinhar ou integrar seu SGSI com requisitos de sistemas de gesto relacionados. As caractersticas da norma ISO/IEC 27001:2006 e da norma ISO/IEC 21827 mencionadas anteriormente podem ser vistas no quadro comparativo da Tabela 2:
Tabela 2 - Quadro comparativo de caractersticas das normas ISO/IEC 27001:2006 e ISO/IEC 21827
Principais caractersticas Propsito da norma Normas ISO/IEC 27001:2006 ISO/IEC 21827 Estabelecer, revisar, implementar, Descrever caractersticas acompanhar, manter e melhorar segurana de um processo um SGSI PDCA IDEAL Todas Todas ISO/IEC 17799:2005 No apresenta Controles da ISO/IEC 17799:2005 Mtricas Controles de segurana Processos de segurana Controles da ISO/IEC 17799:2005 reas do Processo (PAs) No apresenta No apresenta Fornecimento de um conjunto de Melhoria dos processos recomendaes de segurana segurana

de

Ferramenta de qualidade Organizao que podem fazer uso Norma de complemento Recursos de gerenciamento Viso de implementao Base de implementao Pr-condio de implementao Principal caracterstica

de

A segunda comparao foi realizada entre as normas ISO/IEC 21827 e ISO/IEC 17799:2005. A norma ISO/IEC 17799:2005 est contida na norma ISO/IEC
6

27001:2006, sendo que as recomendaes de segurana da norma ISO/IEC 27001:2006 implicam na implementao dos controles da ISO/IEC 17799:2005. Para essa comparao foram selecionadas 11 PAs referentes as Prticas Base de Segurana da norma ISO/IEC 21827 e foram selecionados controles da norma ISO/IEC 17799:2005. O critrio adotado para identificar os controles relacionados com as PAs foi baseado no atendimento dos objetivos e requisitos (Base Practice - BP) de cada PA. Tambm foi usado como critrio de comparao a literatura relacionada as normas e nas publicaes oficiais da ABNT e do SEI. Na Tabela 4 so apresentados os controles da ISO/IEC 17799:2005 que esto relacionados com as PAs da ISO/IEC 21827:
ISO/IEC 27001 Descrio das PAs ISO/IEC 17799:2005 Controles relacionados Documento da poltica de segurana da informao; Atribuio de responsabilidades para a segurana da informao; Processo de autorizao para os recursos de processamento da informao; Recomendaes para classificao; Rtulos e tratamento da informao; Papis e responsabilidades; Responsabilidades da direo; Conscientizao, educao e treinamento em segurana da informao; Documentao dos procedimentos de operao; Gesto de mudanas; Gerenciamento de mudanas para servios terceirizados; Procedimentos para tratamento de informao; Gerenciamento de privilgios; Gerenciamento de senha do usurio; Sistema de gerenciamento de senha; Preveno de mau uso de recursos de processamento da informao; Apresentado no item 4 referente Introduo da norma ISO/IEC 17799:2005; Identificao dos riscos relacionados com partes externas; Inventrio dos ativos; Proprietrio dos ativos; Uso aceitvel dos ativos; Apresentado no item 4 referente Introduo da norma ISO/IEC 17799:2005; Apresentado no item 4 referente Introduo da norma ISO/IEC 17799:2005; Apresentado no item 4 referente Introduo da norma ISO/IEC 17799:2005; Identificando a segurana da informao, quando tratando com os clientes; Acordos de confidencialidade; Identificando segurana da informao nos acordos com terceiros; Segregao de funes; Acordos para a troca de informaes; Procedimentos para controle de mudanas; Conformidade com as polticas e normas de segurana da informao; Comprometimento da direo com a segurana da informao; Coordenao da segurana da informao; Contato com autoridades;
7

PA01 Administrao dos controles de segurana

PA02 - Avaliao do impacto

PA03 - Avaliao dos riscos de segurana

PA04 - Avaliao de ameaas PA05 - Avaliao de vulnerabilidades PA06 - Construo de argumentos de garantia

PA07 - Coordenao da segurana

PA08 - Monitorao da postura da segurana

PA09- Fornecer a entrada segurana

PA10 - Especificar as necessidades de segurana

PA11 - Verificao e validao da segurana

Anlise crtica independente de segurana da informao; Gesto de capacidade; Controles contra cdigos maliciosos; Controles contra cdigos mveis; Registros de auditoria; Monitoramento do uso do sistema; Proteo das informaes dos registros (log); Registros (log) de administrador e operador; Registros (log) de falhas; Vazamento de informaes; Controle de vulnerabilidades tcnicas; Controles de auditoria de sistemas de informao; Documento da poltica de segurana da informao; Anlise crtica da poltica de segurana da informao; Processo disciplinar; Polticas e procedimentos para troca de informaes; Poltica de controle de acesso; Registro de usurio; Restrio de acesso informao; Desenvolvimento e implementao de planos de continuidade relativos segurana da informao; Segurana da documentao dos sistemas; Uso de senhas; Autenticao para conexo externa do usurio; Procedimentos seguros de entrada no sistema (log-on); Identificao e autenticao de usurio; Anlise e especificao dos requisitos de segurana; Integridade de mensagens; Incluindo segurana da informao no processo de gesto da continuidade de negcio; Continuidade de negcios e anlise/avaliao de riscos; Estrutura do plano de continuidade do negcio; Identificao da legislao vigente; Direitos de propriedade intelectual; Proteo de dados e privacidade de informaes pessoais; Proteo de ferramentas de auditoria de sistemas de informao; Entrega de servios; Monitoramento e anlise crtica de servios terceirizados; Cpias de segurana das informaes; Anlise crtica dos direitos de acesso de usurio; Validao dos dados de entrada; Controle do processamento interno; Validao de dados de sada; Testes, manuteno e reavaliao dos planos de continuidade do negcio; Verificao da conformidade tcnica.

Foi observado que nem todos os controles da ISO/IEC 17799:2005 possuem uma relao direta com as PAs da ISO/IEC 21827. Os controles manuseio de mdias, servio de comrcio eletrnico, controles criptogrficos, computao mvel e de trabalho remoto e alguns outros, no esto contidos na Tabela 3 por no terem ligao aparentemente direta com o objetivos da PAs. No entanto, a implementao de um projeto de SGSI recomendado pela norma ISO/IEC 27001:2006 est condicionado as necessidades de segurana organizacionais e portanto, nem todos os controles de segurana tem obrigatoriedade de
8

implementao. Na norma ISO/IEC 21827, as PAs tambm so selecionadas objetivando atender as necessidades de segurana organizacionais e podem ser selecionadas PAs tanto da categoria de Prticas Base de Segurana como do grupo Prticas Base Organizacionais e do Projeto.

5 Combinao das Normas De Segurana ISO/IEC 27001:2006 E ISO/IEC 21827 (SSE-CMM)

5.1 Um modelo de referncia para o desenvolvimento de SGSI

A Figura 1 apresenta a integrao da norma ISO/IEC 27001:2006 e a norma ISO/IEC 21827 no modelo de referncia, onde se pode observar: Viso orientada por disciplinas funcionais: no modelo diferenciam-se seis disciplinas funcionais incluindo a segurana fundamental, segurana ambiental e de infraestrutura, segurana dos sistemas, segurana em comunicaes e redes, segurana fsica e segurana pessoal; Viso orientada por processos: no modelo esto identificados oito sub-processos de segurana incluindo a gesto estratgica da segurana, cumprimento legal e padres aplicveis, identificao, classificao e avaliao de ativos, anlise e avaliao de riscos de segurana, tratamento e gesto de riscos de segurana, gesto da segurana operacional, segurana das operaes condies normais e segurana das operaes condies anormais; Segurana Fundamental: Observando a Tabela 4, podemos observar que a mesma contm um conjunto de controles e sub-processos definidos em ambas as normas ISO/IEC 21827 e ISO/IEC 27001:2006 que so imprescindveis para que o processo de segurana exista no s na melhoria da sua capacidade, mas tambm das necessidades especficas de segurana em reas concretas do negcio. Os controles e sub-processos indicados neste nvel so comuns para o resto das reas funcionais.
Figura 1: Integrao da norma ISO/IEC 27001:2006 com a norma ISO/IEC 21827 no modelo de referncia (HUMPHREYS, 2007).

Este modelo, em que se integram ambas as vises de segurana, deriva-se da base de conhecimentos Theoretical and Practical Knowledge Base (TPKB) produzida pelo International Systemas Security Professional Certification Scheme (ISSPCS), o qual colabora com o International Systems Security Engineering Association (ISSEA).
Processo de Seguran a nas Organiza es Segurana Fundamental Ambiental e Infraestrutura Segurana dos Sistemas Segurana em Comunicaes e Redes Segurana Fsica Segurana Pessoal Disciplinas Funcionais 3. Identifica o, Classifica o e Avaliao de Ativos 8. Segurana em Operaes Anormais

1. Gesto Estratgic a da Segurana A5 (completo ) A6.1 (1,2,3,7) PA 06 PA 07 PA 09 PA 10 PA 11 PA 06 PA 07 PA 09 PA 10 PA 11 PA 02 A 12.1 PA 06 PA 07 PA 09 PA 10 PA 11 PA 06 PA 07 PA 09 PA 10 PA 11 PA 01 PA 08 PA 06 PA 07 PA 09 PA 10 PA 11 PA 06 PA 07 PA 09 PA 10 PA 11

2. Concord ncia e Normas Aplicveis

4. Anlise e Avaliao de Riscos de Segurana

5. Tratamento e Gesto de Riscos de Segurana

6. Gesto da Segurana Operacion al

7. Segurana em Operaes Normais

A 15.1 A 5.1.5 A 6.2.3 A 8.1.1.3 A 10.8.2 PA 10 PA 11

A 7 (completo) PA 02 PA10

A 6.2.1 A 14.1.2 PA 02 PA 03 PA 04 PA 05

A 6.1.8 A 6.2.2 PA 03

A 9.1 A 10 (1,2,3) A 11.2 A 11.6 PA 01 PA 07 PA 08 PA 11 A PA 01 PA PA 08 PA 11 9.2 07

A 6.1 (4,6,7) A 10 (4,5,6) A10 (7,8,9) PA 07 PA 09 PA 10

A 13 (completo) A 14 (completo) PA 06 PA 10

PA 10 PA PA 02

11

PA 02 PA 10 PA 09

PA 02 PA PA 04 PA PA 09

03 05

PA PA 09 PA 10

03

PA 07 PA PA 10

09

PA 06 PA PA 07 PA 09

10

A 15.2 A 15.3 PA 10 PA 11

PA 02 PA 10

PA 02 PA PA 04 PA 05

03

A A PA 03

12.2 12.3

PA 10 PA PA 02

11

PA PA10

02

PA 02 PA PA 04 PA 05

03

PA 03

A 11.5 A 11.7 A 12.4 A 12.5 PA 01 PA 07 PA 08 PA 11 A 11.4 PA 01 PA 07 PA 08 PA 11 PA 09 PA 10 PA 01 PA PA 08 PA 11

A 12.6 PA 07 PA 09 PA 10

PA 06 PA 10

A 10.10 PA 07 PA 09 PA 10

PA 06 PA PA 10

07

PA 10 PA 11

A 9 (completo) PA 02 PA 10

PA 02 PA PA 04 PA 05 A PA 02 PA PA 04 PA 05

03

PA 03

07

A 6.2 (1,2) PA 07 PA 09 PA 10

PA 06 PA 10

8.1 03 A PA 03 8.2

PA 10 PA 11

PA 02 PA 10

A 11.3 PA 01 PA 07 PA 08 PA 11

A PA 07 PA PA 10

8.3 09 PA 06 PA 10

5.2 A integrao das normas ISO/IEC 27001:2006 e ISO/IEC 21827 (SSECMM)

A relao da norma ISO/IEC 27001:2006 com a ISO/IEC 21827 est baseada no estabelecimento de maiores garantias de proteo. Cada norma fornece meios para assegurar o desenvolvimento da segurana de forma sistemtica e contnua.
10

A norma ISO/IEC 17799:2005 que fornece os controles recomendados pela norma ISO/IEC 27001:2006 foi comparada com as PAs da ISO/IEC 21827 para se verificar a similaridade de processos. A partir dessa comparao nota-se que alguns controles no esto diretamente ligados com a ISO/IEC 21827. Com isso, pode ser observado que a ISO/IEC 21827 mais indicada para o gerenciamento de processos de segurana e no para a sua definio dos processos (controles) que sero implementados. A definio dos controles de segurana que sero implementados pelo SGSI seguem a estrutura de segurana organizacional, podendo alguns controles serem selecionados e outros no. O mesmo acontece com as PAs da ISO/IEC 21827, onde nem todas as PAs so selecionadas e procura-se fazer a seleo de acordo com a necessidade de segurana organizacional. Dessa maneira, os controles que so selecionados da ISO/IEC 17799:2005 recomendados pela ISO/IEC 27001:2006 podem ganhar nveis de maturidade por meio da implementao da ISO/IEC 21827. A integrao das normas est no desenvolvimento em conjunto das normas. Ganhando nveis de maturidade, os controles da ISO/IEC 17799:2005 podem ser gerenciados e monitorados assegurando o aprimoramento da segurana organizacional. Cada organizao pode definir seus objetivos de segurana selecionando controles e determinando nveis de maturidade que atendam suas necessidades de segurana. A integrao das normas ISO/IEC 27001:2006 e ISO/IEC 21827 pode trazer benefcios para as organizaes, onde se pode observar: Melhoria nos aspectos de definio da segurana fundamental: em uma organizao que no tenha definido o processo global de segurana, a primeira etapa deveria ser defin-lo, levando em considerao os sub-processos de segurana e controles que so propostos no modelo de referncia; Desenvolvimento de projetos SGSI especficos: em organizaes cientficas como laboratrios ou empresas de desenvolvimento de software com processos de negcio especializado os projetos de SGSI poderiam ser desenvolvidos com o objetivo de aprofundar as relaes da norma ISO/IEC 21827. Este conhecimento importante tanto para conhecer melhor as necessidades de segurana requisitadas por estes setores da economia, como tambm, as dificuldades inerentes aos setores facilitando a criao de padres para o desenvolvimento de solues de segurana setoriais; Determinao de nveis de maturidade para os processos de segurana: em um projeto de SGSI, deve-se exigir que o processo global de segurana projetado e implementado possa ser avaliado como nvel maior de maturidade. Um SGSI de nvel 1 teria deficincias. Com a utilizao da ISO/IEC 21827 possvel estipular o nvel de capacidade que se deseja alcanar; Atendimento dos requisitos legislativos: uma vez que tanto as leis quanto seus regulamentos levam em considerao os processos de segurana da informao, os projetos poderiam revisar as prprias leis conforme a viso de processos de segurana assim como identificar as falhas que a norma pode apresentar para compreend-las, melhor-las e aplic-las; Reduo de custos: com a implementao de controles monitorados pela ISO/IEC 21827, pode-se assegurar a reduo de falhas de segurana e consequentemente a diminuio de recursos financeiros aplicados para reparao de danos; Definio de estratgias de segurana: o gerenciamento dos processos de segurana fornece uma viso do quadro de segurana atual da organizao,
11

fornecendo subsdios para a implementao de medidas preventivas que assegurem o bem estar organizacional; Reconhecimento organizacional: a certificao por normas reconhecidas no ambiente de segurana garante maior confiabilidade por parte de clientes, colaboradores e terceiros.

5.3

A abrangncia das normas de segurana no contexto organizacional

Desenvolver um SGSI que fornea garantias de segurana no est atrelado apenas ao uso de uma norma. Uma norma de segurana pode satisfazer inmeros requisitos de segurana, mas no pode abranger todos os aspectos que asseguram proteo. A Instruo Normativa GSI N 1, de 13 de junho de 2008 que trata disciplina a Gesto de Segurana da Informao e Comunicaes na Administrao Pblica Federal, direta e indireta, tm o propsito de manter seguras as informaes e orientar a conduo de polticas de segurana da informao e comunicaes pelos rgos da Administrao Pblica Federal, direta e indireta. Cumprindo o art. 3 da Instruo Normativa GSI N 1, o Gabinete de Segurana Institucional da Presidncia da RepblicaGSI ficou responsvel por orientar a conduo da Poltica de Segurana da Informao e Comunicaes. Ficou ento definido pelo GSI, que a metodologia de gesto de segurana da informao e comunicaes deve basear-se no processo de melhoria contnua, denominado ciclo PDCA (Plan-Do-Check-Act), estabelecido pela norma ISO/IEC 27001:2006 e todos os rgos da Administrao Pblica Federal, direta e indireta, devem adot-la. A escolha realizada pelo GSI levou em considerao trs critrios: o Simplicidade do modelo; o Compatibilidade com a cultura de gesto de segurana da informao em uso nas organizaes pblicas e privadas brasileiras; e o Coerncia com as prticas de qualidade e gesto adotadas em rgos pblicos brasileiros. No entanto, o GSI no leva em considerao que as organizaes possuem necessidades de segurana diferentes. O que pode ser adaptado consideravelmente bem para uma organizao, pode no ser to bem adaptado para outra. Definir uma metodologia para a gesto da segurana da informao baseada na aplicao de apenas uma norma pode deixar lacunas na segurana, resultando em futuras falhas de segurana, danos financeiros e sociais. Alm disso, uma norma no pode ser recomendada para todo e qualquer tipo de organizao. As organizaes so diferentes, possuem necessidades de segurana especficas e esto em outro contexto cultural. Em muitos casos, a relao de uma organizao com uma norma de segurana no se completa. Isso ocorre no pela inconsistncia da segurana fornecida por uma norma, mas pelo fato da organizao possuir objetivos vinculados as necessidades de segurana prprias. A utilizao de uma nica norma de segurana pode trazer benefcios agregando mais proteo a organizao, mas de fato, ela no preenche e nem se enquadra a todos os aspectos de segurana necessrios para fornecer controle sobre todos os aspectos de segurana organizacional.

12

As normas de segurana se complementam, de forma a fornecer maiores garantias de segurana. Com a integrao das normas de segurana as organizaes podem focar seus objetivos de proteo, prevenindo que incidentes de segurana ocorram. A integrao das normas que se d pela combinao da segurana pode adequar-se a maioria das organizaes e se enquadrar em um contexto especfico.

Concluso

O presente trabalho discutiu o desenvolvimento de um SGSI atravs da integrao das normas ISO/IEC 27001:2006 e ISO/IEC 21827. Buscou-se verificar como essas normas podem ser integradas de modo proporcionar maiores garantias de segurana as organizaes. Pode-se observar que a norma ISO/IEC 27001:2006 fornece uma estrutura bem definida para a implementao de um SGSI, enquanto a norma ISO/IEC 21827 pode ser usada para assegurar que os processos de segurana sejam desenvolvidos e mantidos em conformidade com a segurana, adquirindo nveis de maturidade. Neste sentido, a integrao das normas ISO/IEC 27001:2006 e ISO/IEC 21827 pode ser utilizada com um modelo de referncia para o desenvolvimento de processos de SGSI. Com a existncia de vrios documentos de segurana, destes incluem o NIST, CSE, BS 7799, ISO/IEC 13335 entre outros, a ISO/IEC 21827 pode ser entendida como um sistema para a descrio das caractersticas essenciais do processo de engenharia de segurana da organizao, que sempre deve existir para assegurar a boa engenharia de segurana. As organizaes de segurana podem usar o ISO/IEC 21827 para avaliar e refinar as prticas de engenharia de segurana; os clientes podem us-lo para avaliar o recurso de engenharia de segurana de um dado sistema; e as organizaes de avaliao de engenharia, para estabelecer valores organizacionais com base nos recursos. A ISO/IEC 21827 deve ser usada pelas organizaes para examinar a maturidade de um processo de segurana de tecnologia da informao implementado em uma organizao em comum acordo com a ISO/IEC 27007:2006 ou um dos documentos acima citados. Desta forma, a ISO/IEC 21827 pode e deve ser usada em conjunto com qualquer documento de segurana. 7 References

BATISTA, Carlos F. A., 2007. Mtricas de Segurana de Software. Dissertao do Programa de Ps-graduao em Informtica do Departamento de Informtica da PUC-Rio. Universidade Pontifcia Catlica, Rio de Janeiro. BEZERRA, Edson K.; NAKAMURA, Emlio T.; RIBEIRO, Srgio L., 2006. Maximizando Oportunidades com Gesto de Segurana e Gerenciamento de Riscos. Disponvel em www.cpqd.com.br/file.upload/6-sic-1-artigoforum-riscos.pdf. Acessado em junho de 2009. DEY, Manik, 2007. Information Security Management - A Practical Approach. AFRICON 2007, 1-6. FENZ, Stefan; GOLUCH, Gernot; EKELHART, Andreas; RIEDL, Bernhard; WEIPPL, Edgar, 2007. Information Security Fortification by Ontological Mapping of the ISO/IEC
13

27001 Standard. 13th IEEE International Symposium on Pacific Rim Dependable Computing. HANAHIRO, Mara, 2007. Metodologia para Desenvolvimento de Procedimentos e Planejamento de Auditorias de TI Aplicadas Administrao Pblica Federal. Dissertao de mestrado em engenharia eltrica. Universidade de Braslia-UnB. HERRERA, Sven S. 2005. Information Security Management Metrics Development. Security Technology, 2005. CCST '05. 39th Annual 2005 International Carnahan Conference , pages 51 56. HUMPHREYES, Edward, 2007. Implementing the ISO/IEC 27001 Information Security Management System Standard. Artech House, Inc. Norwood, MA, USA. KAJAVA, Jorma; ANTTILA, Juhani; VARONEN, Rauno; SAVOLA, Reijo; RONING, Juha, 2006. Information Security Standards and Global Business. Industrial Technology, 2006. ICIT 2006. IEEE International Conference. NBR ISO/IEC 17799, 2005. Tecnologia da Informao. Cdigo de Prtica para a Gesto da Segurana da Informao. Rio de Janeiro. NBR ISO/IEC 27001, 2006. Tecnologia da Informao Tcnicas de segurana Sistemas de gesto de segurana da informao Requisitos. Associao Brasileira de Normas. Rio de Janeiro. SG-SBP, 2008. Recommendation for Creating a Comprehensive Framework for Risk Management and Compliance in the Financial Services and Insurance Industries. Information Technology Industry Council (ITI). Disponvel em < www.incits.org/tc_home/sbp.htm> Acessado em junho de 2009. WIANDER, Timo, 2007. ISO/IEC 17799 Standards Intended Usage and Actual Use by the Practitioners. 18th Australasian Conference on Information Systems. Toowoomba, 5-7.

14