3. 3
Normas de Segurança da Informação
ConceitosConceitos
•
s de iniciar o estudo sobre as normas, devemos entender os conceitos referentes
Regulamentações (busca de conformidade com a legislação
vigente);
Baseline (nível mínimo de proteção nos sistemas críticos);
DiretrizesDiretrizes
Em um contexto estratégico pode ser interpretado como ações
ou caminhos a serem seguidos em determinados momentos.
Orienta o que deve ser feito e como, para se
alcançarem os objetivos estabelecidos na política [ISO 17799]
Procedimentos (instruções operacionais);
Normas de Segurança da Informação
4. 4
Normas de Segurança da Informação
O que são e para que servem as normas?
É aquilo que se estabelece como medida para a realização de uma atividade.
Uma norma tem como propósito definir regras e instrumentos de
controle para assegurar a conformidade de um processo, produto ou serviço.
Quais os problemas gerados pela ausência de normas?
5. 5
Normas de Segurança da Informação
Surgimento das Normas
Em outubro de 1967 foi criado um documento chamado “Security
Control for Computer System” que marcou o passo inicial para criação
de conjunto de regras para segurança de computadores.
DoD também não ficou fora disto e teve grande participação na
elaboração de regras.
Em 1978 foi escrito “Orange Book”, conhecido também como “Trusted
Computer Evaluation Criteria” por DoD. A versão final deste documento
foi impresso em dezembro de 1985.
6. 6
Normas de Segurança da Informação
O “Orange Book” é considerado como marco inicial de um processo
mundial de busca de medidas que permitem a um ambiente computacional
ser qualificado como seguro.
O "Orange Book" permite especificar o que deve ser implementado e
fornecido por um software, para que ele seja classificado em um dos
níveis de "segurança" pré-estipulados.
Surgimento das Normas
7. 7
Normas de Segurança da Informação
Este esforço foi liderado pela "International Organization for Standardization
(ISO). No final do ano de 2000, o primeiro resultado desse esforço foi
apresentado, que é a norma internacional de Segurança da Informação
"ISO/IEC-17799:2000", a qual já possui uma versão aplicada aos países
de língua portuguesa, denominada "NBR ISO/IEC-17799“.
Surgimento das Normas
8. 8
Normas de Segurança da Informação
Desenvolvimento de Padrões
Porque o desenvolvimento de padrões e normas de segurança são
importantes?
Em que forma tais procedimentos ajudam em redução e controle
das vulnerabilidades existentes?
9. 9
Normas de Segurança da Informação
A ISO 17799 é um conjunto de recomendações para gestão da SI para uso
de implementação ou manutenção da segurança em suas organizações.
Providencia uma base comum para o desenvolvimento de normas de
segurança organizacional e das práticas efetivas de gestão da segurança.
A ISO 17799 atua em segurança da informação considerando tecnologia,
processos e pessoas. Esta norma é publicada no Brasil pela ABNT com
o código NBR ISO 17799.
NBR/ISO IEC 17799
10. 10
Normas de Segurança da Informação
Breve histórico da ISO 17799
A Associação Britânica de Normas tinha 2 normas referentes à segurança
de sistemas de informação: a BS 7799-1 e a BS 7799-2.
A BS 7799-1 foi submetida ao ISO e aprovada (com problemas), vindo
a ser a ISO 17799.
A BS 7799-2 se referia especialmente ao processo de certificação
do aspecto de segurança em organizações e não foi submetida
para o ISO.
11. 11
Normas de Segurança da Informação
vo da norma
os e definições
a de segurança
ança organizacional
ficação e controle dos ativos de informação
ança de pessoas
7. Segurança física e do ambiente
8. Gerenciamento de operações e comunicações
9. Controle de acesso
10. Desenvolvimento de sistemas.
11. Gestão de continuidade de negócios
12. Conformidade
Diversas partes da ISO 17799
12. 12
Normas de Segurança da Informação
ISO 17799 – Segurança Organizacional
Infraestrutura de segurança: indica que uma estrutura organizacional
deve ser criada para iniciar e implementar as medidas de segurança.
Segurança no acesso de prestadores de serviço: garantir a segurança
dos ativos acessados por prestadores de serviços.
Segurança envolvendo serviços terceirizados: deve-se incluir nos
contratos de terceirização de serviços computacionais cláusulas para segurança.
13. 13
Normas de Segurança da Informação
ISO 17799 – Segurança de Pessoas
Segurança na definição e Recursos de Trabalho: Devem ser incluídas
as preocupações de segurança no momento da contratação de pessoas.
Verificar os critérios de segurança no processo de seleção.
Funcionários devem assinar o acordo de confidencialidade.
Treinamento dos usuários: educação, conscientização e treinamento
referentes a segurança.
Mecanismos de Incidente de Segurança: Deve existir mecanismos
para funcionários poderem reportar possíveis falhas.
Processo disciplinar formal: Deve haver um processo disciplinar
formal para funcionários que violaram os procedimentos de segurança.
14. 14
Normas de Segurança da Informação
ISO 17799 – Segurança Física e de Ambiente
Áreas de segurança: prevenir acesso não autorizado, dano e interferência
nas instalações físicas. Isso inclui: definir um perímetro de segurança, controles
de entrada física, etc.
Segurança de equipamento: convém proteger equipamentos fisicamente
de ameaças e perigos ambientais. Isso inclui roubo, fogo, e outros perigos
ambientais, proteção contra falta de energia, segurança do cabeamento,
definição de política de manutenção, proteção a equipamentos fora das instalações.
Controles gerais: Por exemplo proteção de tela com senha para evitar que
informação fique visível em tela, deve-se ter uma política quanto a deixar
papéis na impressora por muito tempo, etc.
15. 15
Normas de Segurança da Informação
ISO 17799 – Controle de Acesso (1)
Gerenciamento de acesso dos usuários:
Registro do usuário: ID única para cada usuário, pedir assinatura em termo de
responsabilidade, remover usuário assim que o funcionário sair da empresa .
Gerenciamento de privilégios: aqui entra o controle de acesso baseado em
papéis; basicamente, se recomenda que usuários tenham apenas os privilégios
necessários para fazer seu trabalho.
Gerenciamento de senhas: termo de responsabilidade deve afirmar que senha é
secreta e não deve ser divulgada, senhas temporárias devem funcionar apenas uma vez.
Análise crítica dos direitos de acesso do usuário: deve-se analisar os direitos de
acesso dos usuários com freqüência de 6 meses ou menos.
16. 16
Normas de Segurança da Informação
ISO 17799 – Controle de Acesso (2)
Responsabilidades dos usuários:
Senhas: segundo norma, usuário deve zelar pela sua senha e criar
uma senha considerada aceitável (mínimo de 6 caracteres).
Equipamentos sem monitoração: Usuários deve tomar os cuidados
necessários ao deixar um equipamento sem monitoramento,
com seções abertas.
17. 17
Normas de Segurança da Informação
ISO 17799 – Controle de Acesso (3)
Controle de Acesso ao SO
Controle de acesso ao sistema operacional: Identificação automática de
terminal: nos casos onde deve-se conhecer onde um usuário efetua logon.
Procedimentos de entrada no sistema (logon). Sugestões como: limitar
o número de tentativas erradas para o logon e não fornecer ajuda no
processo de logon, entre outros.
Identificação de usuários: a não ser em casos excepcionais cada
usuário deve ter apenas um ID. Considerar outras tecnologias de
identificação e autenticação: smart cards, autenticação biométrica.
Sistema de Gerenciamento de Senhas: Contém os atributos
desejáveis para sistema que lê, armazena e verifica senhas.
18. 18
Normas de Segurança da Informação
ISO 17799 – Controle de Acesso (4)
Controle de Acesso às aplicações
Registro de Eventos: Trilha de auditoria registrando exceções e outros
eventos de segurança devem ser armazenados por um tempo adequado.
Monitoração do Uso do Sistema: Os procedimentos do monitoração
do uso do sistema devem ser estabelecidos. Uma análise crítica dos
logs deve ser feita de forma periódica.
Sincronização dos Relógios: Para garantir a exatidão dos registros
de auditoria.
19. 19
Normas de Segurança da Informação
ISO 17799 – Controle de Acesso (5)
Computação Móvel
Usuários de equipamentos móveis devem ser conscientizados
das práticas de segurança, incluindo senhas, criptografia entre outros.
20. 20
Normas de Segurança da Informação
ISO 17799 – Gestão de Continuidade de Negócios
Deve-se desenvolver planos de contingência para caso de falhas de
segurança, desastres, perda de serviço, etc.
Estes planos devem ser documentados, e o pessoal envolvido
treinado. Os planos de contingência devem ser testados regularmente,
pois tais planos quando concebidos teoricamente, podem apresentar
falhas devido a pressupostos incorretos, omissões ou mudança de
equipamento ou pessoal.
21. 21
Normas de Segurança da Informação
ISO 17799 – Componentes do Plano de Continuidade de Negócios
condições para a ativação do plano;
procedimentos de emergência a serem tomados;
procedimentos de recuperação para transferir atividades essenciais para
outras localidades, equipamentos, programas, entre outros;
procedimentos de recuperação quando do estabelecimento das operações;
programação de manutenção que especifique quando e como o plano
deverá ser testado;
desenvolvimento de atividades de treinamento e conscientização do
pessoal envolvido;
designação de responsabilidades.
22. 22
Normas de Segurança da Informação
ISO 17799 – Conformidade
Conformidade com Requisitos Legais: Para evitar a violação
de qualquer lei, estatuto, regulamentação ou obrigações contratuais.
Evitar a violação de Direitos Autorais dos aplicativos.
Análise Crítica da Política de Segurança e da Conformidade Técnica.
Considerações referentes Auditoria de Sistemas.
23. 23
Normas de Segurança da Informação
BS 7799-2
O BS 7799-2 é a segunda parte do padrão de segurança inglês
cuja primeira parte virou o ISO 17799.
O BS 7799-2 fala sobre certificação de segurança de organizações;
isto é, define quando e como se pode dizer que uma organização
segue todo ou parte do ISO 17799 (na verdade do BS 7799-1).
24. 24
Normas de Segurança da Informação
ISO 15408
Vários países (EUA, Canadá, França, Inglaterra, Alemanha, etc) estavam
desenvolvendo seus padrões para sistemas seguros (mas não militares).
Nos EUA o padrão se chamava TCSEC (Trusted Computer System
Evaluation Criteria), no Canadá CTCPEC, etc. Os países europeus decidiram
unificar seus critérios, criando o Information Technology Security Evaluation Criteria
(ITSEC). Mais tarde (1990) houve a unificação do padrão europeu e
norte americano, criando- se assim o Common Criteria (CC). A versão 2.1 do
CC se tornou o ISO 15408.
25. 25
ISO 15408
É um conjunto de três volumes:
Primeiro discute definições e metodologia;
Segundo lista um conjunto de requisitos de segurança;
Terceiro fala de metodologias de avaliação.
Diferente do 17799, 15408 é um CC para definir e avaliar requisitos
de segurança de sistemas e não de organizações.
Normas de Segurança da Informação
26. 26
Normas de Segurança da Informação
Visão Geral da família ISO 27000
Número: ISO IEC 27001.
Título: Information Security Management Systems- Requirements.
Aplicação: Esta norma é aplicável a qualquer organização, independente do
seu ramo de atuação, e define requisitos para estabelecer, implementar, operar,
monitorar, revisar, manter e melhorar um
Sistema de Gestão de Segurança da Informação. A ISO IEC 27001 é a norma usada
para fins de certificação e substitui a norma Britânica BS7799-2:2002. Portanto, uma
organização que deseje implantar um SGSI deve adotar como base a ISO IEC 27001.
Situação: Norma aprovada e publicada pela ISO em Genebra,
em 15.10.2005. No Brasil, a ABNT publicou como
Norma Brasileira NBR ISO IEC 27001 no primeiro trimestre de 2006.
27. 27
Normas de Segurança da Informação
Visão Geral da família ISO 27000
Número: ISO IEC 27002
Título: Information Technology - Code of practice for information
Security Management.
Aplicação: Norma aprovada e publicada pela ISO em Genebra,
em 15.06.2005. No Brasil, a ABNT publicou como Norma Brasileira
NBR ISO IEC 17799 no dia 24 de agosto de 2005.
Situação: Norma aprovada e publicada pela ISO em Genebra,
em 15.10.2005. No Brasil, a ABNT publicou como Norma Brasileira
NBR ISO IEC 27002 no primeiro trimestre de 2006.
28. 28
Normas de Segurança da Informação
Visão Geral da família ISO 27000
Número: ISO IEC 1 st WD 27003.
Título: Information Security Management Systems-Implementation Guidance.
Aplicação: Este projeto de norma tem como objetivo fornecer
um guia prático para implementação de um Sistema de Gestão
da Segurança da Informação, baseado na ISO IEC 27001.
Situação: Este projeto de norma encontra-se em um estágio
de desenvolvimento, denominado de WD-Working Draft. A previsão
para publicação como norma internacional é 2008-2009.
29. 29
Normas de Segurança da Informação
Visão Geral da família ISO 27000
Número: ISO IEC 2nd WD 27004.
Título: Information Security Management-Measurements.
Aplicação: Este projeto de norma fornece diretrizes com relação
a técnicas e procedimentos de medição para avaliar a eficácia dos controles
de segurança da informação implementados, dos processos de segurança
da informação e do Sistema de Gestão da Segurança da Informação.
Situação: Este projeto de norma encontra-se em um estágio
onde vários comentários já foram discutidos e incorporados
ao projeto. A previsão para publicação como norma internacional é 2008-2009.
30. 30
Normas de Segurança da Informação
Visão Geral da família ISO 27000
Número: ISO IEC 2nd CD 27005.
Título: Information Security Management Systems- Information Security Risk Managemen
Aplicação: Este projeto de norma fornece diretrizes
para o gerenciamento de riscos de segurança da informação.
Situação: Este projeto de norma já se encontra em um estágio
mais avançado, pois vem sendo discutido há mais de dois anos
. A previsão para publicação como norma internacional é 2007.
(Publicada em julho de 2008).
31. 31
Normas de Segurança da Informação
Visão Geral da família ISO 27000
Número: ISO IEC 2nd CD 27006.
Título: Information technology -- Security techniques –
Requirements for bodies providing audit and certification
of information security management systems.
Aplicação: Norma de requisitos para a credibilidade de organizações que oferecem
serviços de certificação de sistemas de gestão da SI.
Situação: Publicada em 2007.
32. 32
“Um homem sábio não procura oportunidades: as constrói”.
(Bacon)
“Sorte é o encontro da oportunidade com a preparação”.
(Anônimo).
“Comece, e sua mente se aquecerá. Comece, e a tarefa será
terminada”. (Goethe).
“O poder nasce do querer. Sempre que o homem aplicar a
veemência e perseverante energia de sua alma a um fim, vencerá
os obstáculos, e, se não atingir o alvo, fará pelo menos coisas
admiráveis”. (José de Alencar).
Normas de Segurança da Informação
MensagensMensagens
33. 33
Profa. Cynara Carvalho.
Por ter disponibilizado este material na Internet, que serviu de suporte para
Ministrar a aula sobre Normas de Segurança baseada na NBR ISO 17799 e
sua atualização para 270002.
Normas de Segurança da Informação
AgradecimentosAgradecimentos