Artigo de Boas Prticas e Gesto da Informao

ABNT NBR ISO/IEC 27001:2006 e 27002:2005

CLECINALDO SILVA DA CRUZ
VANDERLAN FERREIRA GUIMARES JNIOR




UNIP Centro Universitrio de Joo Pessoa
UNIPETECH Coordenao do Curso de Redes de Computadores
CEP 58053-000 Joo Pessoa/PB
clecinaldo@gmail.com
vanderlan.jr@outlook.com

Resumo: Este artigo tem o intudo de apresentar de uma forma simplificada e as aplicaes praticas no
cotidiano das ISOs 27001 e 27002, na implementao destes modelos nas organizaes da atualidade,
visando em primeiro lugar segurana das informaes.
Palavras Chaves: SGSE, ISO 27001, ISO 27002 artigo, segurana, informao, PDCA, redes, TI.

1. Introduo
Diariamente so produzidas novas informaes nas
organizaes, onde muitas destas fazem parte da
estratgia do negcio, ela importante assim como
qualquer outro ativo e deve ser protegida.
crescente tambm a quantidade de ameaas s
quais estas informaes esto expostas, devido ao
aumento da rede mundial, bem como o seu acesso por
vrios dispositivos e novas tecnologias de rede.
Surgiu ento a necessidade de normatizar e
estabelecer padres para a implementao da Gesto de
Segurana atravs de um conjunto de controles, tais
como:
Polticas;
Processos;
Procedimentos;
Estrutura Organizacional;
Funes de Hardware e Software;
2. ABNT NBR ISO/IEC 27001:2006
uma verso brasileira que visa prover um modelo de
Sistema de Gesto de Segurana da Informao(SGSI).
A aplicao da SGSI em uma organizao tida
como deciso estratgica e sua especificao e/ou
implementao, so influenciadas diretamente pela
necessidade e objetivos, requisitos de segurana,
processos empregados, tamanho e estrutura da
organizao.
2.1 SGSI
As atividades que esto relacionadas para vrias etapas
dos SGSI (Implantao, Manuteno e Mudana), so
baseadas no PDCA:
O PDCA utilizado para gerenciar e melhorar os
processos e a soluo de problemas, compatvel com
outros sistemas de gesto, para isso a ABNT NBR
ISO/IEC 27001 esta alinhada com s normas ABNT
NBR ISSO 9001:2000 E ABNT NBR ISSO
14001:2004.
a)Plan (Estabelecer) conhecer a necessidade,
objetivos e os requisitos de segurana da informao da
organizao voltados para poltica de segurana.
b) Do (Implementar e Operar) gerncia dos
riscos de segurana da informao num mbito global da
organizao.
c)Check (Monitorar e Analisar Criticamente)
um processo contnuo de analise e monitoramento do
desempenho e eficcia do SGSI na organizao.
d) Act (Manter e Melhorar) atravs da analise
e monitoramento so geradas medies, que so usadas
para tomada de decises de melhoria contnua.


Figura 1 - PDCA
3 ABNT NBR ISO/IEC 27002:2005
uma verso brasileira da ISO 17799:2005 que foi
renomeada em 2007 para o novo esquema de numerao
que o ISO/IEC 27002.
Em setembro de 2013 iniciou um novo processo de
reviso, e entrou em vigor no dia 08/12/2013, do qual
no esto citados nesse artigo.
Esta norma tem como principio normatizar boas
prticas para controle e segurana da informao. Para
isso ela no s tem o foco na parte de informao, mais
tambm fornece diretrizes para gesto do ambiente,
gesto ativos, gesto de segurana de rede, segurana de
recursos humanos, dentre outros.
a)Gesto de segurana do ambiente e fsica
Ter um espao fsico reservado onde possa ser
implementado os controle: de acesso, de temperatura, de
umidade. e protegido contra ameaas fsicas, ambientais
e externas.
b) Gesto de ativos So considerados ativos
tudo que venha agregar valor ao negcio, e devem ser
levantados, catalogados e identificados/atribudos o
nvel de proteo para cada um deles. Tudo isso deve ser
feito de uma forma que possa ser estruturado e mantido.
c)Gesto de segurana de rede importante
que a rede seja gerenciada e controlada, visando garantir
a segurana da infraestrutura, dos servios de rede e dos
dados trafegados, internamente e em redes pblicas, bem
como o acesso indevido.
Segurana de recursos humanos Uma poltica que
deve est bem alinhada entre os colaboradores,
fornecedores e terceiros, com o intudo de minimizar os
ricos de furto, fraudes e mau uso de recursos. Ela deve
ser implementada antes mesmo da contrao destes,
atravs de documentos que atestem e garantam um
antecedente ilibado.
4 Concluso
Conclumos que devido a crescente demanda de
informaes geradas nas organizaes praticamente
impossvel no utilizar nenhuma norma/ferramenta para
gerencialas e ter boas prticas de TI que auxiliem na
segurana destas.
Expomos neste artigo duas normas especficas para a
rea de TI.
5 Referncias
ABNT NBR ISO/IEC 27001:2006, Tecnologia da
informao - Tcnicas de segurana - Sistemas de gesto
de segurana da informao - Requisitos
ABNT NBR ISO/IEC 27002:2005, Tecnologia da
informao - Tcnicas de segurana - Cdigo de pratica
para a gesto da segurana da informao
FARIA, Alxia Lage. Conhea a NBR ISO/IEC 27002.
Disponvel em :
http://www.profissionaisti.com.br/2010/03/conheca-a-
nbr-isoiec-27002-parte-1/
http://www.profissionaisti.com.br/2010/03/conheca-a-
nbr-isoiec-27002-parte-2/
Figura1 PDCA - http://engdofuturo.com.br/wp-
content/uploads/2013/07/PDCA3.jpg