[FUGSPBR] [OFF-TOPIC] Disaster recovery

Luiz Rodrigues Maia Neto maianeto em inf.ufsc.br
Seg Fev 17 19:05:14 BRT 2003 

Alexandre,

Talvez a literatura mais completa a este respeito seja a seguinet 
norma 

BS 7799 BSI (British Standards Institute); North and South America 
office: phone 703.437.9000 

Esta norma trata de seguranca e usualmente é utilizada para 
determinar a estrutura de proteção e/ou suporte dos ativos de uma 
instituição (pessoas, bens, informações e reputação), atraves de uma 
abordagem integrada, combinando ferramentas físicas e controles 
lógicos em uma política de segurança abrangente. A abordagem 
recomendada pela maioria dos fornecedores de solucoes é baseada na 
norma British Standard 7799 (BS-7799), devido a sua abrangência. A 
norma ISO 17799 é baseada nesta primeira.

A BS-7799 é reconhecida como a metodologia de segurança da informação 
mais avançada e completa atualmente disponível. A norma é gerida por 
um comitê britânico. Sua primeira versão foi apresentada em 1995, 
sendo atualizada em 1999 para refletir avanços tecnológicos tais como 
a Internet e o comercio eletrônico. Uma segunda atualizacao foi 
proposta em 2002 e esta em estudos no comite da norma.

A norma apresenta uma extensa lista de controles e estruturas que 
podem ser implementadas para melhoria da segurança. Ou seja, é uma 
poderosa ferramenta para auxiliar na identificação dos mecanismos que 
podem ser utilizados por instituições para eliminação de 
vulnerabilidades que possam representar riscos inaceitáveis. Aliás, 
esta abordagem descreve exatamente o principal objetivo da BS-7799: 
garantir a continuidade da instituição.

Para alcançar este objetivo, a norma oferece um roteiro para a 
elaboração de um Sistema de Gerênciamento de Segurança da Informação, 
permitindo que a instituição saiba quais são os riscos com potencial 
de dano para a instituição e como estes riscos estão sendo tratados.

O resultado desta abordagem indica inúmeras soluções (firewalls, 
sistemas de detecção de intrusos, certificados digitais, sistemas de 
controle de acesso, etc.) que podem ser implementadas de forma a 
oferecer o máximo em segurança para a instituição.

Associados a seguranca, sao tratados e referenciados, tambem em 
inumeros outros documentos, parametros e recomendacoes para a 
instalacao de infra-estrutura adequada a protecao contra incendios, 
condionamento de ar, normas de sinalizacao, etc... 

Tambem podem ser encontradas outras referencias, embora nao tao 
abrangentes, nos seguintes documentos:

GASSP Generally Accepted System Security Principles sponsored by the 
International Information Security Foundation (I2SF) 
http://www.auerbach-públications.com/white-papers/gassp.pdf 

NIST (National Institute of Standards and Technology) Principles and 
Practices for Securing IT Systems 
http://csrc.nist.gov/públications/nistpubs/800-14/800-14.pdf 

SysTrustTM Principles and Criteria for Systems Reliability (AICPA), 
Version 2.0
http://www.aicpa.org/assurance/systrust/edannoun.htm

Um livro interessante sobre a BS-7799 eh o seguinte:

IT Governance - Data Security & BS 7799/ISO/IEC 17799 - A Manager's 
Guide to Information Security

O NIST Handbook e o Canadian Handbook of Information Tech tambem sao 
fontes interessantes. O conjunto de normas ISO/IEC complementa sua 
necessidade atraves das normas ISO/IEC 13335-1, ISO/IEC 13335-2, 
ISO/IEC 13335-3, ISO/IEC 13335-4 GMITS: ISO/IEC 13335-5 GMITS:, 
ISO/IEC 14516 e ISO/IEC 15947. Outras normas cuja leitura pode ser 
considerada interessante sao: 

German IT Baseline Protection Manual;
IETF RFC 2196 Site Security Handbook;
ISO/TR 13569 Banking and Related Financial Services-Information 
Security Guidelines;
CEN/ENV 12924 Medical Informations & Security Categorisation and 
Protection forv Healthcare systems;
MyMIS Roadmap.

Existem outras normas. Existe tambem um draft da ABNT baseado na BS-
7799, nao me recordo do identificador no momento.  

Luiz Maia

Windows: "Where do you want to go tomorrow?"
Linux: "Where do you want to go today?"
FreeBSD: "Are you, guys, comming or what?"


_______________________________________________________________
Sair da Lista: http://www2.fugspbr.org/mailman/listinfo/fugspbr
Historico: http://www4.fugspbr.org/lista/html/FUG-BR/

Mais detalhes sobre a lista de discussão freebsd