Modelo para Verificação e Certificação de Aderência à Norma Nacional de Segurança de Informação - NBR-ISO/IEC-17799
Autores
|
6234 |
842,2836
|
|
|
6235 |
842,2836
|
Informações:
Publicações do PESC
Um dos problemas envolvendo a adoção e a implementação de políticas ou normas de segurança para sistemas de informação consiste em verificar se as regras efetivamente implementadas estão em conformidade com aquelas definidas nos respectivos padrões adotados. Este trabalho descreve uma proposta de modelo e a implementação de um protótipo, baseado nessa descrição, para auxiliar na verificação do nível de aderência de sistemas de computação em rede à Norma Nacional de Segurança da Informação NBR-ISO/IEC 17799. Diferentemente da maioria das propostas conhecidas neste contexto, tais como, por exemplo, o sistema denominado COBRA - Consultive, Objective and Bi-functional Risk Analisis [13], que se baseiam no uso de questionários eletrônicos, a presente proposta visa permitir a análise automática. do ambiente a ser verificado. Conforme será mostrado, além de permitir a análise automática da aderência à norma NBR ISO/IEC 17799, o modelo proposto pode ser utilizado em qualquer tipo de rede, independentemente do seu tamanho (em termos do número de dispositivos) e da arquitetura utilizada. Além disso, é feita a implementação de um protótipo operacional baseado na proposta descrita, de modo a ilustrar o uso da ferramenta e dos principais conceitos e aplicações abordados neste trabalho. Este protótipo utiliza a própria rede de computadores para realizar a coleta das evidência da aderência à norma em questão. Sob este aspecto, tal aplicativo apresenta uma inovação em relação as outras soluções conhecidas, com a vantagem adicional que seus coletores podem ser facilmente adaptados para serem utilizados em outros ambientes de software e hardware.
One of thee problems involving adoption and implenientation of policies or normis of security for information systems consist of verifying if the rules effectively iplemented are in compliance with those defining in the respective adopted standards. This work describes a model proposal and the implementation of an archetype, based on this description, to assist in the verification of the level of conformity of computer systems in network to the National Norm of Security of Information NBR-ISO/17799. Differently of the majority of the proposals known in this context, such as, for exemple, the called system COBRA - Consultive, Objective and Bi-functional Risk Analysis [13], that if they base on the use of electronic questionnaires, present the proposal aims at to allow the automatic analysis of the environment to be verified. As it will be shown, besides allowing the automatic analysis of the conformity to Norm NBR ISO/IEC 17799, the considered model can be used in any type of network, independently of its size (in terms of the device number) and of the used architecture. Moreover, the implementation of an operational archetype based in the proposal described is made, in order to illustrate the boarded use of the tool and the main concepts and applications in this work. This archetype uses the proper computer network to carry through the collection of the evidentes of the tack to the norm in question. Under this aspect, such applicatory one presents an innovation in relation the other known solutions, with the additional advantage that its collectors can easily be adapted to be used in other environments of software and the hardware.