Gestão segurança informação 01

Segurança de Redes
Normas de Segurança
Jeová Menezes de Barros
Jeova.m.barros@gmail.com
Jeova.m.barros@hotmail.com

3
Normas de Segurança da Informação
ConceitosConceitos
•
s de iniciar o estudo sobre as normas, devemos entender os conceitos referentes
Regulamentações (busca de conformidade com a legislação
vigente);
Baseline (nível mínimo de proteção nos sistemas críticos);
DiretrizesDiretrizes
Em um contexto estratégico pode ser interpretado como ações
ou caminhos a serem seguidos em determinados momentos.
Orienta o que deve ser feito e como, para se
alcançarem os objetivos estabelecidos na política [ISO 17799]
Procedimentos (instruções operacionais);

4
O que são e para que servem as normas?
É aquilo que se estabelece como medida para a realização de uma atividade.
Uma norma tem como propósito definir regras e instrumentos de
controle para assegurar a conformidade de um processo, produto ou serviço.
Quais os problemas gerados pela ausência de normas?

5
Surgimento das Normas
Em outubro de 1967 foi criado um documento chamado “Security
Control for Computer System” que marcou o passo inicial para criação
de conjunto de regras para segurança de computadores.
DoD também não ficou fora disto e teve grande participação na
elaboração de regras.
Em 1978 foi escrito “Orange Book”, conhecido também como “Trusted
Computer Evaluation Criteria” por DoD. A versão final deste documento
foi impresso em dezembro de 1985.

6
O “Orange Book” é considerado como marco inicial de um processo
mundial de busca de medidas que permitem a um ambiente computacional
ser qualificado como seguro.
O "Orange Book" permite especificar o que deve ser implementado e
fornecido por um software, para que ele seja classificado em um dos
níveis de "segurança" pré-estipulados.

7
Este esforço foi liderado pela "International Organization for Standardization
(ISO). No final do ano de 2000, o primeiro resultado desse esforço foi
apresentado, que é a norma internacional de Segurança da Informação
"ISO/IEC-17799:2000", a qual já possui uma versão aplicada aos países
de língua portuguesa, denominada "NBR ISO/IEC-17799“.

8
Desenvolvimento de Padrões
Porque o desenvolvimento de padrões e normas de segurança são
importantes?
Em que forma tais procedimentos ajudam em redução e controle
das vulnerabilidades existentes?

9
A ISO 17799 é um conjunto de recomendações para gestão da SI para uso
de implementação ou manutenção da segurança em suas organizações.
Providencia uma base comum para o desenvolvimento de normas de
segurança organizacional e das práticas efetivas de gestão da segurança.
A ISO 17799 atua em segurança da informação considerando tecnologia,
processos e pessoas. Esta norma é publicada no Brasil pela ABNT com
o código NBR ISO 17799.
NBR/ISO IEC 17799

10
Breve histórico da ISO 17799
A Associação Britânica de Normas tinha 2 normas referentes à segurança
de sistemas de informação: a BS 7799-1 e a BS 7799-2.
A BS 7799-1 foi submetida ao ISO e aprovada (com problemas), vindo
a ser a ISO 17799.
A BS 7799-2 se referia especialmente ao processo de certificação
do aspecto de segurança em organizações e não foi submetida
para o ISO.

11
vo da norma
os e definições
a de segurança
ança organizacional
ficação e controle dos ativos de informação
ança de pessoas
7. Segurança física e do ambiente
8. Gerenciamento de operações e comunicações
9. Controle de acesso
10. Desenvolvimento de sistemas.
11. Gestão de continuidade de negócios
12. Conformidade
Diversas partes da ISO 17799

12
ISO 17799 – Segurança Organizacional
Infraestrutura de segurança: indica que uma estrutura organizacional
deve ser criada para iniciar e implementar as medidas de segurança.
Segurança no acesso de prestadores de serviço: garantir a segurança
dos ativos acessados por prestadores de serviços.
Segurança envolvendo serviços terceirizados: deve-se incluir nos
contratos de terceirização de serviços computacionais cláusulas para segurança.

13
ISO 17799 – Segurança de Pessoas
Segurança na definição e Recursos de Trabalho: Devem ser incluídas
as preocupações de segurança no momento da contratação de pessoas.
Verificar os critérios de segurança no processo de seleção.
Funcionários devem assinar o acordo de confidencialidade.
Treinamento dos usuários: educação, conscientização e treinamento
referentes a segurança.
Mecanismos de Incidente de Segurança: Deve existir mecanismos
para funcionários poderem reportar possíveis falhas.
Processo disciplinar formal: Deve haver um processo disciplinar
formal para funcionários que violaram os procedimentos de segurança.

14
ISO 17799 – Segurança Física e de Ambiente
Áreas de segurança: prevenir acesso não autorizado, dano e interferência
nas instalações físicas. Isso inclui: definir um perímetro de segurança, controles
de entrada física, etc.
Segurança de equipamento: convém proteger equipamentos fisicamente
de ameaças e perigos ambientais. Isso inclui roubo, fogo, e outros perigos
ambientais, proteção contra falta de energia, segurança do cabeamento,
definição de política de manutenção, proteção a equipamentos fora das instalações.
Controles gerais: Por exemplo proteção de tela com senha para evitar que
informação fique visível em tela, deve-se ter uma política quanto a deixar
papéis na impressora por muito tempo, etc.

15
ISO 17799 – Controle de Acesso (1)
Gerenciamento de acesso dos usuários:
Registro do usuário: ID única para cada usuário, pedir assinatura em termo de
responsabilidade, remover usuário assim que o funcionário sair da empresa .
Gerenciamento de privilégios: aqui entra o controle de acesso baseado em
papéis; basicamente, se recomenda que usuários tenham apenas os privilégios
necessários para fazer seu trabalho.
Gerenciamento de senhas: termo de responsabilidade deve afirmar que senha é
secreta e não deve ser divulgada, senhas temporárias devem funcionar apenas uma vez.
Análise crítica dos direitos de acesso do usuário: deve-se analisar os direitos de
acesso dos usuários com freqüência de 6 meses ou menos.

16
Responsabilidades dos usuários:
Senhas: segundo norma, usuário deve zelar pela sua senha e criar
uma senha considerada aceitável (mínimo de 6 caracteres).
Equipamentos sem monitoração: Usuários deve tomar os cuidados
necessários ao deixar um equipamento sem monitoramento,
com seções abertas.

17
Controle de Acesso ao SO
Controle de acesso ao sistema operacional: Identificação automática de
terminal: nos casos onde deve-se conhecer onde um usuário efetua logon.
Procedimentos de entrada no sistema (logon). Sugestões como: limitar
o número de tentativas erradas para o logon e não fornecer ajuda no
processo de logon, entre outros.
Identificação de usuários: a não ser em casos excepcionais cada
usuário deve ter apenas um ID. Considerar outras tecnologias de
identificação e autenticação: smart cards, autenticação biométrica.
Sistema de Gerenciamento de Senhas: Contém os atributos
desejáveis para sistema que lê, armazena e verifica senhas.

18
Controle de Acesso às aplicações
Registro de Eventos: Trilha de auditoria registrando exceções e outros
eventos de segurança devem ser armazenados por um tempo adequado.
Monitoração do Uso do Sistema: Os procedimentos do monitoração
do uso do sistema devem ser estabelecidos. Uma análise crítica dos
logs deve ser feita de forma periódica.
Sincronização dos Relógios: Para garantir a exatidão dos registros
de auditoria.

19
Computação Móvel
Usuários de equipamentos móveis devem ser conscientizados
das práticas de segurança, incluindo senhas, criptografia entre outros.

20
ISO 17799 – Gestão de Continuidade de Negócios
Deve-se desenvolver planos de contingência para caso de falhas de
segurança, desastres, perda de serviço, etc.
Estes planos devem ser documentados, e o pessoal envolvido
treinado. Os planos de contingência devem ser testados regularmente,
pois tais planos quando concebidos teoricamente, podem apresentar
falhas devido a pressupostos incorretos, omissões ou mudança de
equipamento ou pessoal.

21
ISO 17799 – Componentes do Plano de Continuidade de Negócios
condições para a ativação do plano;
procedimentos de emergência a serem tomados;
procedimentos de recuperação para transferir atividades essenciais para
outras localidades, equipamentos, programas, entre outros;
procedimentos de recuperação quando do estabelecimento das operações;
programação de manutenção que especifique quando e como o plano
deverá ser testado;
desenvolvimento de atividades de treinamento e conscientização do
pessoal envolvido;
designação de responsabilidades.

22
ISO 17799 – Conformidade
Conformidade com Requisitos Legais: Para evitar a violação
de qualquer lei, estatuto, regulamentação ou obrigações contratuais.
Evitar a violação de Direitos Autorais dos aplicativos.
Análise Crítica da Política de Segurança e da Conformidade Técnica.
Considerações referentes Auditoria de Sistemas.

23
BS 7799-2
O BS 7799-2 é a segunda parte do padrão de segurança inglês
cuja primeira parte virou o ISO 17799.
O BS 7799-2 fala sobre certificação de segurança de organizações;
isto é, define quando e como se pode dizer que uma organização
segue todo ou parte do ISO 17799 (na verdade do BS 7799-1).

24
ISO 15408
Vários países (EUA, Canadá, França, Inglaterra, Alemanha, etc) estavam
desenvolvendo seus padrões para sistemas seguros (mas não militares).
Nos EUA o padrão se chamava TCSEC (Trusted Computer System
Evaluation Criteria), no Canadá CTCPEC, etc. Os países europeus decidiram
unificar seus critérios, criando o Information Technology Security Evaluation Criteria
(ITSEC). Mais tarde (1990) houve a unificação do padrão europeu e
norte americano, criando- se assim o Common Criteria (CC). A versão 2.1 do
CC se tornou o ISO 15408.

25
ISO 15408
É um conjunto de três volumes:
Primeiro discute definições e metodologia;
Segundo lista um conjunto de requisitos de segurança;
Terceiro fala de metodologias de avaliação.
Diferente do 17799, 15408 é um CC para definir e avaliar requisitos
de segurança de sistemas e não de organizações.

26
Visão Geral da família ISO 27000
Número: ISO IEC 27001.
Título: Information Security Management Systems- Requirements.
Aplicação: Esta norma é aplicável a qualquer organização, independente do
seu ramo de atuação, e define requisitos para estabelecer, implementar, operar,
monitorar, revisar, manter e melhorar um
Sistema de Gestão de Segurança da Informação. A ISO IEC 27001 é a norma usada
para fins de certificação e substitui a norma Britânica BS7799-2:2002. Portanto, uma
organização que deseje implantar um SGSI deve adotar como base a ISO IEC 27001.
Situação: Norma aprovada e publicada pela ISO em Genebra,
em 15.10.2005. No Brasil, a ABNT publicou como
Norma Brasileira NBR ISO IEC 27001 no primeiro trimestre de 2006.

27
Número: ISO IEC 27002
Título: Information Technology - Code of practice for information
Security Management.
Aplicação: Norma aprovada e publicada pela ISO em Genebra,
em 15.06.2005. No Brasil, a ABNT publicou como Norma Brasileira
NBR ISO IEC 17799 no dia 24 de agosto de 2005.
Situação: Norma aprovada e publicada pela ISO em Genebra,
em 15.10.2005. No Brasil, a ABNT publicou como Norma Brasileira
NBR ISO IEC 27002 no primeiro trimestre de 2006.

28
Número: ISO IEC 1 st WD 27003.
Título: Information Security Management Systems-Implementation Guidance.
Aplicação: Este projeto de norma tem como objetivo fornecer
um guia prático para implementação de um Sistema de Gestão
da Segurança da Informação, baseado na ISO IEC 27001.
Situação: Este projeto de norma encontra-se em um estágio
de desenvolvimento, denominado de WD-Working Draft. A previsão
para publicação como norma internacional é 2008-2009.

29
Número: ISO IEC 2nd WD 27004.
Título: Information Security Management-Measurements.
Aplicação: Este projeto de norma fornece diretrizes com relação
a técnicas e procedimentos de medição para avaliar a eficácia dos controles
de segurança da informação implementados, dos processos de segurança
da informação e do Sistema de Gestão da Segurança da Informação.
Situação: Este projeto de norma encontra-se em um estágio
onde vários comentários já foram discutidos e incorporados
ao projeto. A previsão para publicação como norma internacional é 2008-2009.

30
Número: ISO IEC 2nd CD 27005.
Título: Information Security Management Systems- Information Security Risk Managemen
Aplicação: Este projeto de norma fornece diretrizes
para o gerenciamento de riscos de segurança da informação.
Situação: Este projeto de norma já se encontra em um estágio
mais avançado, pois vem sendo discutido há mais de dois anos
. A previsão para publicação como norma internacional é 2007.
(Publicada em julho de 2008).

31
Número: ISO IEC 2nd CD 27006.
Título: Information technology -- Security techniques –
Requirements for bodies providing audit and certification
of information security management systems.
Aplicação: Norma de requisitos para a credibilidade de organizações que oferecem
serviços de certificação de sistemas de gestão da SI.
Situação: Publicada em 2007.

32
“Um homem sábio não procura oportunidades: as constrói”.
(Bacon)
“Sorte é o encontro da oportunidade com a preparação”.
(Anônimo).
“Comece, e sua mente se aquecerá. Comece, e a tarefa será
terminada”. (Goethe).
“O poder nasce do querer. Sempre que o homem aplicar a
veemência e perseverante energia de sua alma a um fim, vencerá
os obstáculos, e, se não atingir o alvo, fará pelo menos coisas
admiráveis”. (José de Alencar).
MensagensMensagens

33
Profa. Cynara Carvalho.
Por ter disponibilizado este material na Internet, que serviu de suporte para
Ministrar a aula sobre Normas de Segurança baseada na NBR ISO 17799 e
sua atualização para 270002.
AgradecimentosAgradecimentos

Gestão segurança informação 01

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Semelhante a Gestão segurança informação 01

Semelhante a Gestão segurança informação 01 (20)

Gestão segurança informação 01