Aula 07 - Professor Diovani

Propaganda
Administração e segurança de redes
Aula 07 : Normas de segurança
Prof. Msc Diovani Milhorim
1
Normas de Segurança da Informação
Conceitos
•
Antes
de iniciar o estudo sobre as normas, devemos entender os
conceitos referentes à:
 Políticas (orientações em conformidade com os objetivos de negócio);
 Regulamentações (busca de conformidade com a legislação vigente);
 Baseline (nível mínimo de proteção nos sistemas críticos);
Diretrizes
 Em um contexto estratégico pode ser interpretado como ações
ou caminhos a serem seguidos em determinados momentos.
 Orienta o que deve ser feito e como, para se alcançarem os
objetivos estabelecidos na política [ISO 17799]
 Procedimentos (instruções operacionais);
2
Normas de Segurança da Informação
O que são e para que servem as normas?
 É aquilo que se estabelece como medida para a realização de uma
atividade.
 Uma norma tem como propósito definir regras e instrumentos de
controle para assegurar a conformidade de um processo, produto ou
serviço.
 Quais os problemas gerados pela ausência de normas?
3
Normas de Segurança da Informação
O que são e para que servem as normas?
Conforme definido pela Associação Brasileira de Normas Técnicas
(ABNT), os objetivos da normalização são:
 Comunicação: proporcionar meios mais eficientes na troca de
informação entre o fabricante e o cliente, melhorando a confiabilidade
das relações comerciais e de serviços;
 Segurança: proteger a vida humana e a saúde;
 Proteção do consumidor: prover a sociedade de mecanismos
eficazes para aferir qualidade de produtos;
 Eliminação de barreiras técnicas e comerciais: evitar a existência
de regulamentos conflitantes sobre produtos e serviços em diferentes
países,facilitando assim, o intercâmbio comercial.
4
Normas de Segurança da Informação
Surgimento das Normas



Em outubro de 1967 foi criado um documento chamado “Security
Control for Computer System” que marcou o passo inicial para
criação de conjunto de regras para segurança de computadores.
DoD também não ficou fora disto e teve grande participação na
elaboração de regras.
Em 1978 foi escrito “Orange Book”, conhecido também como “Trusted
Computer Evaluation Criteria” por DoD. A versão final deste
documento foi impresso em dezembro de 1985.
5
Normas de Segurança da Informação
Surgimento das Normas


O “Orange Book” é considerado como
marco inicial de um processo mundial
de busca de medidas que permitem a
um
ambiente
computacional
ser
qualificado como seguro.
O "Orange Book" permite especificar o
que deve ser implementado e fornecido
por um software, para que ele seja
classificado em um dos níveis de
"segurança" pré-estipulados.
6
Normas de Segurança da Informação
Surgimento das Normas

Este esforço foi liderado pela "International Organization for
Standardization (ISO). No final do ano de 2000, o primeiro resultado
desse esforço foi apresentado, que é a norma internacional de
Segurança da Informação "ISO/IEC-17799:2000", a qual já possui
uma versão aplicada aos países de língua portuguesa, denominada
"NBR ISO/IEC-17799“.
7
Normas de Segurança da Informação
Desenvolvimento de Padrões


Porque o desenvolvimento de padrões e normas de segurança
são importantes?
Em que forma tais procedimentos ajudam em redução e
controle das vulnerabilidades existentes?
8
Normas de Segurança da Informação
NBR/ISO IEC 17799



A ISO 17799 é um conjunto de recomendações para gestão da SI para
uso de implementação ou manutenção da segurança em suas
organizações.
Providencia uma base comum para o desenvolvimento de normas de
segurança organizacional e das práticas efetivas de gestão da
segurança.
A ISO 17799 atua em segurança da informação considerando
tecnologia, processos e pessoas. Esta norma é publicada no Brasil
pela ABNT com o código NBR ISO 17799.
9
Normas de Segurança da Informação
Breve histórico da ISO 17799



A Associação Britânica de Normas tinha 2 normas referentes à
segurança de sistemas de informação: a BS 7799-1 e a BS 77992.
A BS 7799-1 foi submetida ao ISO e aprovada (com problemas),
vindo a ser a ISO 17799.
A BS 7799-2 se referia especialmente ao processo de certificação
do aspecto de segurança em organizações e não foi submetida
para o ISO.
10
Normas de Segurança da Informação
Diversas partes da ISO 17799
1. Objetivo da norma
2. Termos e definições
3. Política de segurança
4. Segurança organizacional
5. Classificação e controle
dos ativos de informação
6. Segurança de pessoas
7. Segurança física e do ambiente
8. Gerenciamento de operações e
comunicações
9. Controle de acesso
10. Desenvolvimento de sistemas.
11. Gestão de continuidade de
negócios
12. Conformidade
11
Normas de Segurança da Informação
ISO 17799 – Segurança Organizacional



Infraestrutura de segurança: indica que uma estrutura
organizacional deve ser criada para iniciar e implementar as
medidas de segurança.
Segurança no acesso de prestadores de serviço: garantir a
segurança dos ativos acessados por prestadores de serviços.
Segurança envolvendo serviços terceirizados: deve-se incluir
nos contratos de terceirização de serviços computacionais
cláusulas para segurança.
12
Normas de Segurança da Informação
ISO 17799 – Segurança de Pessoas




Segurança na definição e Recursos de Trabalho: Devem ser
incluídas as preocupações de segurança no momento da contratação
de pessoas. Verificar os critérios de segurança no processo de
seleção. Funcionários devem assinar o acordo de confidencialidade.
Treinamento dos usuários: educação, conscientização e
treinamento referentes a segurança.
Mecanismos de Incidente de Segurança: Deve existir mecanismos
para funcionários poderem reportar possíveis falhas.
Processo disciplinar formal: Deve haver um processo disciplinar
formal para funcionários que violaram os procedimentos de
segurança.
13
Normas de Segurança da Informação
ISO 17799 – Segurança Física e de Ambiente



Áreas de segurança: prevenir acesso não autorizado, dano e
interferência nas instalações físicas. Isso inclui: definir um perímetro de
segurança, controles de entrada física, etc.
Segurança de equipamento: convém proteger equipamentos
fisicamente de ameaças e perigos ambientais. Isso inclui roubo, fogo, e
outros perigos ambientais, proteção contra falta de energia, segurança do
cabeamento, definição de política de manutenção, proteção a
equipamentos fora das instalações.
Controles gerais: Por exemplo proteção de tela com senha para evitar
que informação fique visível em tela, deve-se ter uma política quanto a
deixar papéis na impressora por muito tempo, etc.
14
Normas de Segurança da Informação
ISO 17799 – Controle de Acesso (1)

Gerenciamento de acesso dos usuários:




Registro do usuário: ID única para cada usuário, pedir assinatura em termo de
responsabilidade, remover usuário assim que o funcionário sair da empresa .
Gerenciamento de privilégios: aqui entra o controle de acesso baseado em
papéis; basicamente, se recomenda que usuários tenham apenas os
privilégios necessários para fazer seu trabalho.
Gerenciamento de senhas: termo de responsabilidade deve afirmar que senha
é secreta e não deve ser divulgada, senhas temporárias devem funcionar
apenas uma vez.
Análise crítica dos direitos de acesso do usuário: deve-se analisar os direitos
de acesso dos usuários com freqüência de 6 meses ou menos.
15
Normas de Segurança da Informação
ISO 17799 – Controle de Acesso (2)

Responsabilidades dos usuários:
 Senhas: segundo norma, usuário deve zelar pela sua senha e
criar uma senha considerada aceitável (mínimo de 6
caracteres).
 Equipamentos sem monitoração: Usuários deve tomar os
cuidados necessários ao deixar um equipamento sem
monitoramento, com seções abertas.
16
Normas de Segurança da Informação
ISO 17799 – Controle de Acesso (3)

Controle de Acesso ao SO




Controle de acesso ao sistema operacional: Identificação
automática de terminal: nos casos onde deve-se conhecer onde
um usuário efetua logon.
Procedimentos de entrada no sistema (logon). Sugestões
como: limitar o número de tentativas erradas para o logon e não
fornecer ajuda no processo de logon, entre outros.
Identificação de usuários: a não ser em casos excepcionais cada
usuário deve ter apenas um ID. Considerar outras tecnologias de
identificação e autenticação: smart cards, autenticação biométrica.
Sistema de Gerenciamento de Senhas: Contém os atributos
desejáveis para sistema que lê, armazena e verifica senhas.
17
Normas de Segurança da Informação
ISO 17799 – Controle de Acesso (4)

Controle de Acesso às aplicações
 Registro de Eventos: Trilha de auditoria registrando exceções e
outros eventos de segurança devem ser armazenados por um
tempo adequado.
 Monitoração
do Uso do Sistema: Os procedimentos do
monitoração do uso do sistema devem ser estabelecidos. Uma
análise crítica dos logs deve ser feita de forma periódica.
 Sincronização dos Relógios: Para garantir a exatidão dos
registros de auditoria.
18
Normas de Segurança da Informação
ISO 17799 – Controle de Acesso (5)

Computação Móvel
 Usuários
de
equipamentos
móveis
devem
ser
conscientizados das práticas de segurança, incluindo
senhas, criptografia entre outros.
19
Normas de Segurança da Informação
ISO 17799 – Gestão de Continuidade de Negócios


Deve-se desenvolver planos de contingência para caso de falhas
de segurança, desastres, perda de serviço, etc.
Estes planos devem ser documentados, e o pessoal envolvido
treinado. Os planos de contingência devem ser testados
regularmente, pois tais planos quando concebidos teoricamente,
podem apresentar falhas devido a pressupostos incorretos,
omissões ou mudança de equipamento ou pessoal.
20
Normas de Segurança da Informação
ISO 17799 – Componentes do Plano de Continuidade de Negócios







condições para a ativação do plano;
procedimentos de emergência a serem tomados;
procedimentos de recuperação para transferir atividades essenciais
para outras localidades, equipamentos, programas, entre outros;
procedimentos de recuperação quando do estabelecimento das
operações;
programação de manutenção que especifique quando e como o plano
deverá ser testado;
desenvolvimento de atividades de treinamento e conscientização do
pessoal envolvido;
designação de responsabilidades.
21
Normas de Segurança da Informação
ISO 17799 – Conformidade



Conformidade com Requisitos Legais: Para evitar a violação de
qualquer lei, estatuto, regulamentação ou obrigações contratuais.
Evitar a violação de Direitos Autorais dos aplicativos.
Análise Crítica da Política de Segurança e da Conformidade
Técnica.
Considerações referentes Auditoria de Sistemas.
22
Normas de Segurança da Informação
BS 7799-2


O BS 7799-2 é a segunda parte do padrão de segurança inglês
cuja primeira parte virou o ISO 17799.
O BS 7799-2 fala sobre certificação de segurança de
organizações; isto é, define quando e como se pode dizer que
uma organização segue todo ou parte do ISO 17799 (na verdade
do BS 7799-1).
23
Normas de Segurança da Informação
BS 7799 - Evolução

No ano 2000 o padrão BS 7799-1 passa a ser
identificado como ISO 17799.

Durante o período de 2001 a 2004 a norma ISO 17799
passou por ampla revisão, resultando em uma nova
versão ISO/IEC 17799:2005, publicada em junho de
2005.
24
Normas de Segurança da Informação
ISO 15408
Vários países (EUA, Canadá, França, Inglaterra, Alemanha, etc) estavam
desenvolvendo seus padrões para sistemas seguros (mas não militares).
Nos EUA o padrão se chamava TCSEC (Trusted Computer System
Evaluation Criteria), no Canadá CTCPEC, etc. Os países europeus
decidiram unificar seus critérios, criando o Information Technology Security
Evaluation Criteria (ITSEC). Mais tarde (1990) houve a unificação do
padrão europeu e norte americano, criando- se assim o Common Criteria
(CC). A versão 2.1 do CC se tornou o ISO 15408.
25
Normas de Segurança da Informação
ISO 15408


É um conjunto de três volumes:
 Primeiro discute definições e metodologia;
 Segundo lista um conjunto de requisitos de segurança;
 Terceiro fala de metodologias de avaliação.
Diferente do 17799, 15408 é um CC para definir e avaliar
requisitos de segurança de sistemas e não de organizações.
26
Normas de Segurança da Informação
ISO 27000

Em 2007 o BS 7799-2 é adotado pela ISO, recebendo a
numeração 27000, dando início a série direcionada a
padronização de normas para o segmento de segurança
da informação, lançado como norma ISO/IEC 27001. Em
julho de 2007, o padrão 17799:2005 recebe nova
numeração (ISO/IEC 27002:2005), integrando a série
ISO 27000.
27
Normas de Segurança da Informação
ISO 27000
As normas internacionais, para este fim, são ordenadas respeitando ordem de
numeração, tal como elencado a seguir:
ISO/IEC 27000: Sistema de Gestão de Segurança da Informação – Linhas gerais e
vocabulário
ISO/IEC 27001: Sistema de Gestão de Segurança da Informação – Requisitos
ISO/IEC 27002: Boas práticas para controles de segurança da informação
ISO/IEC 27003: Guia de implantação do Sistema de Gestão de Segurança da Informação
ISO/IEC 27004: Gestão da segurança da informação – Medição
ISO/IEC 27005: Gestão de risco em segurança da informação
28
Normas de Segurança da Informação
ISO 27000
ISO/IEC 27006: Requisitos para empresas de auditoria e certificação de Sistemas de
Gestão de Segurança da Informação
ISO/IEC 27007: Diretrizes para auditoria em Sistemas de Gestão de Segurança da
Informação
ISO/IEC TR 27008: Diretrizes para auditores sobre controle de segurança da informação
ISO/IEC 27010: Gestão de segurança da informação para comunicação inter-setorial e
inter-organizacional
ISO/IEC 27011: Diretrizes para gestão de segurança da informação em organizações de
telecomunicação com base na ISO/IEC 27002
ISO/IEC 27013: Diretrizes para a implementação integrada da ISO/IEC 27001 e ISO/IEC
20000-1
29
Normas de Segurança da Informação
ISO 27000
ISO/IEC 27014: Governança de segurança da informação
ISO/IEC TR 27015: Diretrizes para a gestão de segurança da informação em serviços
financeiros
ISO/IEC TR 27016: Diretrizes para a gestão de segurança da informação – Empresas de
economia
30
Normas de Segurança da Informação
Visão Geral da família ISO 27000
Número: ISO IEC 27001.
Título: Information Security Management Systems- Requirements.
Aplicação: Esta norma é aplicável a qualquer organização,
independente do seu ramo de atuação, e define requisitos para
estabelecer, implementar, operar, monitorar, revisar, manter e melhorar
um Sistema de Gestão de Segurança da Informação. A ISO IEC 27001 é
a norma usada para fins de certificação e substitui a norma Britânica
BS7799-2:2002. Portanto, uma organização que deseje implantar um
SGSI deve adotar como base a ISO IEC 27001.
Situação: Norma aprovada e publicada pela ISO em Genebra, em
15.10.2005. No Brasil, a ABNT publicou como Norma Brasileira NBR ISO
IEC 27001 no primeiro trimestre de 2006.
31
Normas de Segurança da Informação
Visão Geral da família ISO 27000
Número: ISO IEC 27002
Título: Information Technology
Security Management.
- Code of practice for information
Aplicação: Norma aprovada e publicada pela ISO em Genebra, em
15.06.2005. No Brasil, a ABNT publicou como Norma Brasileira NBR ISO
IEC 17799 no dia 24 de agosto de 2005.
Situação: Norma aprovada e publicada pela ISO em Genebra, em
15.10.2005. No Brasil, a ABNT publicou como Norma Brasileira NBR ISO
IEC 27002 no primeiro trimestre de 2006.
32
Normas de Segurança da Informação
Visão Geral da família ISO 27000
Número: ISO IEC 1 st WD 27003.
Título: Information Security Management Systems-Implementation
Guidance.
Aplicação: Este projeto de norma tem como objetivo fornecer um guia
prático para implementação de um Sistema de Gestão da Segurança da
Informação, baseado na ISO IEC 27001.
Situação: Este projeto de norma encontra-se em um estágio de
desenvolvimento, denominado de WD-Working Draft. A previsão para
publicação como norma internacional é 2008-2009.
33
Normas de Segurança da Informação
Visão Geral da família ISO 27000
Número: ISO IEC 2nd WD 27004.
Título: Information Security Management-Measurements.
Aplicação: Este projeto de norma fornece diretrizes com relação a
técnicas e procedimentos de medição para avaliar a eficácia dos
controles de segurança da informação implementados, dos
processos de segurança da informação e do Sistema de Gestão da
Segurança da Informação.
Situação: Este projeto de norma encontra-se em um estágio onde vários
comentários já foram discutidos e incorporados ao projeto. A previsão
para publicação como norma internacional é 2008-2009.
34
Normas de Segurança da Informação
Visão Geral da família ISO 27000
Número: ISO IEC 2nd CD 27005.
Título: Information Security Management Systems- Information Security
Risk Management.
Aplicação: Este projeto de norma fornece diretrizes para o
gerenciamento de riscos de segurança da informação.
Situação: Este projeto de norma já se encontra em um estágio mais
avançado, pois vem sendo discutido há mais de dois anos. A previsão
para publicação como norma internacional é 2007. (Publicada em julho
de 2008).
35
Normas de Segurança da Informação
Visão Geral da família ISO 27000
Número: ISO IEC 2nd CD 27006.
Título: Information technology -- Security techniques -- Requirements for
bodies providing audit and certification of information security
management systems.
Aplicação: Norma de requisitos para a credibilidade de organizações
que oferecem serviços de certificação de sistemas de gestão da SI.
Situação: Publicada em 2007.
36
Download