Modelo para Verificação e Certificação de Aderência à Norma Nacional de Segurança de Informação - NBR-ISO/IEC-17799

Um dos problemas envolvendo a adoção e a implementação de políticas ou normas de segurança para sistemas de informação consiste em verificar se as regras efetivamente implementadas estão em conformidade com aquelas definidas nos respectivos padrões adotados. Este trabalho descreve uma proposta de modelo e a implementação de um protótipo, baseado nessa descrição, para auxiliar na verificação do nível de aderência de sistemas de computação em rede à Norma Nacional de Segurança da Informação NBR-ISO/IEC 17799. Diferentemente da maioria das propostas conhecidas neste contexto, tais como, por exemplo, o sistema denominado COBRA - Consultive, Objective and Bi-functional Risk Analisis [13], que se baseiam no uso de questionários eletrônicos, a presente proposta visa permitir a análise automática. do ambiente a ser verificado. Conforme será mostrado, além de permitir a análise automática da aderência à norma NBR ISO/IEC 17799, o modelo proposto pode ser utilizado em qualquer tipo de rede, independentemente do seu tamanho (em termos do número de dispositivos) e da arquitetura utilizada. Além disso, é feita a implementação de um protótipo operacional baseado na proposta descrita, de modo a ilustrar o uso da ferramenta e dos principais conceitos e aplicações abordados neste trabalho. Este protótipo utiliza a própria rede de computadores para realizar a coleta das evidência da aderência à norma em questão. Sob este aspecto, tal aplicativo apresenta uma inovação em relação as outras soluções conhecidas, com a vantagem adicional que seus coletores podem ser facilmente adaptados para serem utilizados em outros ambientes de software e hardware.