1. ISO 17799 :2005
SEMESTRE: 01/2018 - GA
INSTITUIÇÃO: FTEC - PORTO ALEGRE
Qualidade e Auditoria de
Tecnologia da Informação
PROFESSOR: LUCIANO BIASI
CARLOS MAYER PAGLIARINI
FELIPE DA CONCEIÇÃO SILVA
GABRIEL CORREIA GONÇALVES
MARCOS SALIN
MICHELLE ZALTRON
2. BS 7799
Foi criada e dividida em 3 partes:
BS 7799-1: 1995; – Códigos de
Boas Práticas para o
Gerenciamento da Segurança da
Informação;
BS 7799-3: 2005; – Análise e
Gerenciamento de Riscos;
BS 7799-2: 1999; – Sistema de
Gerenciamento da Segurança da
Informação;
3. ISO/IEC 17799
A versão original foi publicada em 2000, que por sua vez era uma cópia
fiel do padrão britânico BS 7799-1;
• Em 2005 foi revisada pela ISO e IEC;
4. Família ISO 27000
ISO 27001
Principal conceito
Requisitos para estabelecer, implementar, operar, monitorar, revisar,
manter e melhorar um SGSI
5. HISTÓRICO
95 96 97 98 99 00 01 02 03 04 05 06 07 08 09 10 11 12 13 14
BS 7799 pt 1
Nova
BS
7799
ISO 17799:2000
ISO
27002:
2013
ISO 17799: 2005
ISO 27002:2005
BS 7799 pt 2
Nova BS
7799
ISO 27001:2005
ISO
27001:
2013
9. Beneficios
✘ Conscientização sobre segurança da informação;
✘ Controle de ativos e informações sensíveis;
✘ Oportunidade de identificar e corrigir pontos fracos;
13. Análise e Especificação dos Requisitos de Segurança
✘ Criação de controles automáticos e manuais
✘ Avaliação do valor dos ativos de informação para o negócio
✘ Identificação dos controles de segurança antes do
desenvolvimento e/ou implementação
✘ Análise de produtos comprados
✘ Consideração do uso de produtos de terceiros
18. Controle do processamento interno
MINIMIZAR RISCOS
✘ Verificações para garantir que os programas:
○ Sejam rodado na ordem correta;
○ Terminem em caso de falha;
✘ Proteção contra buffer overflow;
19. Controle do processamento interno
VERIFICAÇÕES
✘ Validação de dados;
✘ Validação de autenticidade;
✘ Verificação do tempo correto da aplicação;
20. “Os dados que tenham sido
corretamente alimentados podem ser
corrompidos por falhas de hardware,
erros de processamento ou por atos
deliberados.
Controle do
processamento interno
22. Validação de dados de saída
✘ Verificar plausibilidade;
✘ Verificação periódica;
23. “Tipicamente, sistemas [...] tendo sido
efetuadas as validações apropriadas [...]
as saídas estarão sempre corretas.
Contudo [...] podem ainda produzir dados
de saída incorretos sob certas
circunstâncias.
Validação de
dados de saída
26. Política para o uso de controles criptográficos
✘ Abordagem gerencial
✘ Identificação do nível requerido de proteção
✘ Uso de criptografia em dispositivos móveis
✘ Gerenciamento de chaves e recuperação de informações cifradas
✘ Definição de papéis e responsabilidades, no gerenciamento e
controle das chaves
✘ Definição de um padrão
27. Gerenciamento de chaves
✘ Gerar chaves para diferentes aplicações
✘ Gerar e obter certificados de chaves públicas
✘ Distribuir chaves para os usuários devidos
✘ Armazenar chaves e forma de como se obtém acesso a ela
✘ Mudar ou atualizar chaves se assim for necessário
✘ Revogar chaves, caso elas tenham sido comprometidas
✘ Recuperar chaves perdidas ou corrompidas
✘ Manter registros e auditoria das atividades relacionadas ao
gerenciamento das chaves
28. Exemplo prático
✘ Padronização ISO/IEC 7816
(métodos de acesso, segurança)
✘ Uso da tecnologia mifare
✘ Transmissão RFID
✘ Criptografia de autenticação 3DES
31. Controle de arquivos
✘ Verificar a atualização do software operacional por
administradores;
✘ Verificação sistemas operacionais e aplicativos somente sejam
implementados após testes;
✘ Verificação de uma estratégia de retorno às condições anteriores
✘ Manter versões antigas dos softwares arquivadas e devidamente
documentadas
32. “Um exemplo são as versões estáveis dos
linux que sempre avisam quando as
atualizações podem implicar em algum
tipo de risco para segurança do sistema,
diferente do que acontece quando é a
versão estável.
33. Proteção dos dados para teste de sistema Controle
✘ os procedimentos de controle de acesso, aplicáveis aos aplicativos de
sistema em ambiente operacional, sejam também aplicados aos
aplicativos de sistema em ambiente de teste;
✘ seja obtida autorização cada vez que for utilizada uma cópia da
informação operacional para uso de um aplicativo em teste;
✘ a informação operacional seja apagada do aplicativo em teste
imediatamente após completar o teste;
✘ a cópia e o uso de informação operacional sejam registrados de forma a
prover uma trilha para auditoria.
34. “No ambiente de teste existem algumas
ferramentas que auxiliam nessa etapa e
posteriormente para o ambiente de
homologação e produção as diretrizes para
implementação citadas acima são facilmente
implementadas quando se tem ferramentas
para tal. Um exemplo clássico é o controle de
versões do e homologação da ferramenta GIT
também do linux, que tem diversas opções
segurança.
35. Controle de acesso ao código-fonte de programa
✘ Convém que os procedimentos de controle de acesso sejam os
mesmos do ambiente de produção;
✘ Convém que seja obtida autorização;
✘ Convém se sejam registrados qualquer procedimento adotado.
36. “Um exemplo seria os desenvolvedores de uma
aplicação/sistema tem acesso somente às pastas e
arquivos do projeto em que estão inseridos, assim
acontece também em um ambiente de
hospedagem compartilhada,
desenvolvedor/usuário somente tem acesso em sua
pasta no servidor não sendo possível a sua
navegação nas pastas de outros projetos/pastas
de outros clientes/usuários. Restringindo o seu
acesso nos códigos-fonte dos projetos/aplicações
por terceiros.
39. “Os gerentes responsáveis pelas
aplicações:
✘ também devem ser responsáveis pela segurança
dos ambientes
✘ assegurar que as requisições de
implementação/mudanças sejam analisadas
criticamente
40. Procedimentos para Controle de Mudanças
✘ Controlar utilizando procedimentos formais de controle de
mudanças
○ Nas solicitações de implementação/mudanças
○ Em aquisição de novos sistemas ou grandes mudanças em
sistemas existentes
41. Procedimentos para Controle de Mudanças
✘ Registro dos níveis acordados de autorização
✘ Aprovação formal e aceitação das mudanças
✘ Controle de versão
✘ Implementação em horários apropriados
✘ Atualização da documentação do sistema e operacional
✘ Teste de novos softwares em um ambiente separado dos
ambientes de produção e de desenvolvimento
42. Análise Crítica Técnica APÓS Mudanças no Sistema
Operacional
✘ Analisar e testar as aplicações críticas de negócios para garantir
que não haverá nenhum impacto
○ Manutenção dos controles atuais
○ Existência de suporte
○ Comunicação prévia
○ Execução no plano de continuidade de negócio
43. Restrições sobre mudanças em pacotes de software
✘ Não incentivadas e limitadas às mudanças necessárias, que todas
as mudanças sejam estritamente controladas.
○ Comprometimento de controle embutidos
○ Garantia do fornecedor - manutenção padrão
○ Impacto manutenções futuras após mudança
○ Manter software original, aplicar as mudanças numa cópia
○ Reaplicar mudanças testadas em atualizações futuras
44. Vazamento de informações
✘ Mascarar comportamento e comunicação (evitar que deduzem
informações);
✘ Utilizar softwares reconhecidos pela segurança (ISO 15408);
✘ Monitoramento de usuários e do sistema;
45. Desenvolvimento terceirizado de software
✘ Licenciamento, propriedade do código e propriedade intelectual;
✘ Certificar a qualidade;
✘ Direitos de acesso para auditoria;
✘ Testes antes da instalação;
48. Controle de vulnerabilidades técnicas - Controle
✘ Informações obtidas em tempo hábil;
✘ Avaliação de exposição da organização em relação às
vulnerabilidades;
✘ Avaliação de medidas a serem tomadas;
49. Controle de vulnerabilidades técnicas - diretrizes
✘ Inventário completo e atualizado dos ativos;
✘ Informação específica para apoio à gestão de vulnerabilidades;
✘ Tomada de ações no devido tempo;
50. Controle de vulnerabilidades técnicas - adicionais
✘ Considerado crítico para as organizações;
✘ Subfunção da gestão de mudanças;
52. Plusoft - crm
"A certificação aumenta a confiança dos clientes e amplia nossa
visibilidade internacional. O reconhecimento faz com que os clientes
fiquem ainda mais seguros e tranquilos na hora de escolher a
Plusoft, inclusive sob o ponto de vista de segurança dos dados",
diz Anderson Crispim, Information Security Officer da Plusoft.
53. Nuvem da Totvs
“A obtenção do selo reforça os investimentos e inovações
direcionados para a nova nuvem e a Plataforma MultiCloud,
lançadas recentemente. Essa certificação traz uma série de
benefícios aos nossos clientes, além de nos colocar em um seleto
grupo de empresas brasileiras, demonstrando nosso compromisso
com a segurança da informação e possibilitando a expansão da
nossa atuação em nuvem”,
comenta Weber Canova, vice-presidente de inovação e tecnologia da
Totvs.
aquisicao , desenvolvimentoe manutencao de sist de infor.
Foi escrita pelo Departamento de Indústria e Comércio do Governo do Reino Unido.
SGSI - Sistemas de Gestão de Segurança da Informação
Teste de anotação
Gerencial: quais as informações de negócio devem ser protegidas.
Identificação: com base na avaliação de riscos, leva-se em consideração o tipo, a força e a qualidade do algoritmo de criptografia requerido.
Dispositivos móveis: uso em celulares e PDA’s (palm, handheald).
Gerenciamento de chaves: métodos para lidar com a proteção das chaves criptográficas, recuperação das informações cifradas, no caso de chaves perdidas ou danificadas.
Papéis: Definir as responsabilidades da implementação da política e pelo gerenciamento das chaves (criação, revogação).
Padrão: Padrão a ser adotado para a efetiva implementação em toda a organização.
Gerar chaves
Gerar e obter certificados
Distribuir chaves
Armazenar chaves
Mudar ou atualizar chaves
Revogar chaves
Recuperar chaves
Manter registro e auditoria
Mifare: tecnologia smartcard (cartão inteligente)
Rfid: transmissão via sinais de rádio
3DES (Triple DES)
Vesões estáveis e não estáveis e até quando tem suporte.