Administração e segurança de redes Aula 07 : Normas de segurança Prof. Msc Diovani Milhorim 1 Normas de Segurança da Informação Conceitos • Antes de iniciar o estudo sobre as normas, devemos entender os conceitos referentes à: Políticas (orientações em conformidade com os objetivos de negócio); Regulamentações (busca de conformidade com a legislação vigente); Baseline (nível mínimo de proteção nos sistemas críticos); Diretrizes Em um contexto estratégico pode ser interpretado como ações ou caminhos a serem seguidos em determinados momentos. Orienta o que deve ser feito e como, para se alcançarem os objetivos estabelecidos na política [ISO 17799] Procedimentos (instruções operacionais); 2 Normas de Segurança da Informação O que são e para que servem as normas? É aquilo que se estabelece como medida para a realização de uma atividade. Uma norma tem como propósito definir regras e instrumentos de controle para assegurar a conformidade de um processo, produto ou serviço. Quais os problemas gerados pela ausência de normas? 3 Normas de Segurança da Informação O que são e para que servem as normas? Conforme definido pela Associação Brasileira de Normas Técnicas (ABNT), os objetivos da normalização são: Comunicação: proporcionar meios mais eficientes na troca de informação entre o fabricante e o cliente, melhorando a confiabilidade das relações comerciais e de serviços; Segurança: proteger a vida humana e a saúde; Proteção do consumidor: prover a sociedade de mecanismos eficazes para aferir qualidade de produtos; Eliminação de barreiras técnicas e comerciais: evitar a existência de regulamentos conflitantes sobre produtos e serviços em diferentes países,facilitando assim, o intercâmbio comercial. 4 Normas de Segurança da Informação Surgimento das Normas Em outubro de 1967 foi criado um documento chamado “Security Control for Computer System” que marcou o passo inicial para criação de conjunto de regras para segurança de computadores. DoD também não ficou fora disto e teve grande participação na elaboração de regras. Em 1978 foi escrito “Orange Book”, conhecido também como “Trusted Computer Evaluation Criteria” por DoD. A versão final deste documento foi impresso em dezembro de 1985. 5 Normas de Segurança da Informação Surgimento das Normas O “Orange Book” é considerado como marco inicial de um processo mundial de busca de medidas que permitem a um ambiente computacional ser qualificado como seguro. O "Orange Book" permite especificar o que deve ser implementado e fornecido por um software, para que ele seja classificado em um dos níveis de "segurança" pré-estipulados. 6 Normas de Segurança da Informação Surgimento das Normas Este esforço foi liderado pela "International Organization for Standardization (ISO). No final do ano de 2000, o primeiro resultado desse esforço foi apresentado, que é a norma internacional de Segurança da Informação "ISO/IEC-17799:2000", a qual já possui uma versão aplicada aos países de língua portuguesa, denominada "NBR ISO/IEC-17799“. 7 Normas de Segurança da Informação Desenvolvimento de Padrões Porque o desenvolvimento de padrões e normas de segurança são importantes? Em que forma tais procedimentos ajudam em redução e controle das vulnerabilidades existentes? 8 Normas de Segurança da Informação NBR/ISO IEC 17799 A ISO 17799 é um conjunto de recomendações para gestão da SI para uso de implementação ou manutenção da segurança em suas organizações. Providencia uma base comum para o desenvolvimento de normas de segurança organizacional e das práticas efetivas de gestão da segurança. A ISO 17799 atua em segurança da informação considerando tecnologia, processos e pessoas. Esta norma é publicada no Brasil pela ABNT com o código NBR ISO 17799. 9 Normas de Segurança da Informação Breve histórico da ISO 17799 A Associação Britânica de Normas tinha 2 normas referentes à segurança de sistemas de informação: a BS 7799-1 e a BS 77992. A BS 7799-1 foi submetida ao ISO e aprovada (com problemas), vindo a ser a ISO 17799. A BS 7799-2 se referia especialmente ao processo de certificação do aspecto de segurança em organizações e não foi submetida para o ISO. 10 Normas de Segurança da Informação Diversas partes da ISO 17799 1. Objetivo da norma 2. Termos e definições 3. Política de segurança 4. Segurança organizacional 5. Classificação e controle dos ativos de informação 6. Segurança de pessoas 7. Segurança física e do ambiente 8. Gerenciamento de operações e comunicações 9. Controle de acesso 10. Desenvolvimento de sistemas. 11. Gestão de continuidade de negócios 12. Conformidade 11 Normas de Segurança da Informação ISO 17799 – Segurança Organizacional Infraestrutura de segurança: indica que uma estrutura organizacional deve ser criada para iniciar e implementar as medidas de segurança. Segurança no acesso de prestadores de serviço: garantir a segurança dos ativos acessados por prestadores de serviços. Segurança envolvendo serviços terceirizados: deve-se incluir nos contratos de terceirização de serviços computacionais cláusulas para segurança. 12 Normas de Segurança da Informação ISO 17799 – Segurança de Pessoas Segurança na definição e Recursos de Trabalho: Devem ser incluídas as preocupações de segurança no momento da contratação de pessoas. Verificar os critérios de segurança no processo de seleção. Funcionários devem assinar o acordo de confidencialidade. Treinamento dos usuários: educação, conscientização e treinamento referentes a segurança. Mecanismos de Incidente de Segurança: Deve existir mecanismos para funcionários poderem reportar possíveis falhas. Processo disciplinar formal: Deve haver um processo disciplinar formal para funcionários que violaram os procedimentos de segurança. 13 Normas de Segurança da Informação ISO 17799 – Segurança Física e de Ambiente Áreas de segurança: prevenir acesso não autorizado, dano e interferência nas instalações físicas. Isso inclui: definir um perímetro de segurança, controles de entrada física, etc. Segurança de equipamento: convém proteger equipamentos fisicamente de ameaças e perigos ambientais. Isso inclui roubo, fogo, e outros perigos ambientais, proteção contra falta de energia, segurança do cabeamento, definição de política de manutenção, proteção a equipamentos fora das instalações. Controles gerais: Por exemplo proteção de tela com senha para evitar que informação fique visível em tela, deve-se ter uma política quanto a deixar papéis na impressora por muito tempo, etc. 14 Normas de Segurança da Informação ISO 17799 – Controle de Acesso (1) Gerenciamento de acesso dos usuários: Registro do usuário: ID única para cada usuário, pedir assinatura em termo de responsabilidade, remover usuário assim que o funcionário sair da empresa . Gerenciamento de privilégios: aqui entra o controle de acesso baseado em papéis; basicamente, se recomenda que usuários tenham apenas os privilégios necessários para fazer seu trabalho. Gerenciamento de senhas: termo de responsabilidade deve afirmar que senha é secreta e não deve ser divulgada, senhas temporárias devem funcionar apenas uma vez. Análise crítica dos direitos de acesso do usuário: deve-se analisar os direitos de acesso dos usuários com freqüência de 6 meses ou menos. 15 Normas de Segurança da Informação ISO 17799 – Controle de Acesso (2) Responsabilidades dos usuários: Senhas: segundo norma, usuário deve zelar pela sua senha e criar uma senha considerada aceitável (mínimo de 6 caracteres). Equipamentos sem monitoração: Usuários deve tomar os cuidados necessários ao deixar um equipamento sem monitoramento, com seções abertas. 16 Normas de Segurança da Informação ISO 17799 – Controle de Acesso (3) Controle de Acesso ao SO Controle de acesso ao sistema operacional: Identificação automática de terminal: nos casos onde deve-se conhecer onde um usuário efetua logon. Procedimentos de entrada no sistema (logon). Sugestões como: limitar o número de tentativas erradas para o logon e não fornecer ajuda no processo de logon, entre outros. Identificação de usuários: a não ser em casos excepcionais cada usuário deve ter apenas um ID. Considerar outras tecnologias de identificação e autenticação: smart cards, autenticação biométrica. Sistema de Gerenciamento de Senhas: Contém os atributos desejáveis para sistema que lê, armazena e verifica senhas. 17 Normas de Segurança da Informação ISO 17799 – Controle de Acesso (4) Controle de Acesso às aplicações Registro de Eventos: Trilha de auditoria registrando exceções e outros eventos de segurança devem ser armazenados por um tempo adequado. Monitoração do Uso do Sistema: Os procedimentos do monitoração do uso do sistema devem ser estabelecidos. Uma análise crítica dos logs deve ser feita de forma periódica. Sincronização dos Relógios: Para garantir a exatidão dos registros de auditoria. 18 Normas de Segurança da Informação ISO 17799 – Controle de Acesso (5) Computação Móvel Usuários de equipamentos móveis devem ser conscientizados das práticas de segurança, incluindo senhas, criptografia entre outros. 19 Normas de Segurança da Informação ISO 17799 – Gestão de Continuidade de Negócios Deve-se desenvolver planos de contingência para caso de falhas de segurança, desastres, perda de serviço, etc. Estes planos devem ser documentados, e o pessoal envolvido treinado. Os planos de contingência devem ser testados regularmente, pois tais planos quando concebidos teoricamente, podem apresentar falhas devido a pressupostos incorretos, omissões ou mudança de equipamento ou pessoal. 20 Normas de Segurança da Informação ISO 17799 – Componentes do Plano de Continuidade de Negócios condições para a ativação do plano; procedimentos de emergência a serem tomados; procedimentos de recuperação para transferir atividades essenciais para outras localidades, equipamentos, programas, entre outros; procedimentos de recuperação quando do estabelecimento das operações; programação de manutenção que especifique quando e como o plano deverá ser testado; desenvolvimento de atividades de treinamento e conscientização do pessoal envolvido; designação de responsabilidades. 21 Normas de Segurança da Informação ISO 17799 – Conformidade Conformidade com Requisitos Legais: Para evitar a violação de qualquer lei, estatuto, regulamentação ou obrigações contratuais. Evitar a violação de Direitos Autorais dos aplicativos. Análise Crítica da Política de Segurança e da Conformidade Técnica. Considerações referentes Auditoria de Sistemas. 22 Normas de Segurança da Informação BS 7799-2 O BS 7799-2 é a segunda parte do padrão de segurança inglês cuja primeira parte virou o ISO 17799. O BS 7799-2 fala sobre certificação de segurança de organizações; isto é, define quando e como se pode dizer que uma organização segue todo ou parte do ISO 17799 (na verdade do BS 7799-1). 23 Normas de Segurança da Informação BS 7799 - Evolução No ano 2000 o padrão BS 7799-1 passa a ser identificado como ISO 17799. Durante o período de 2001 a 2004 a norma ISO 17799 passou por ampla revisão, resultando em uma nova versão ISO/IEC 17799:2005, publicada em junho de 2005. 24 Normas de Segurança da Informação ISO 15408 Vários países (EUA, Canadá, França, Inglaterra, Alemanha, etc) estavam desenvolvendo seus padrões para sistemas seguros (mas não militares). Nos EUA o padrão se chamava TCSEC (Trusted Computer System Evaluation Criteria), no Canadá CTCPEC, etc. Os países europeus decidiram unificar seus critérios, criando o Information Technology Security Evaluation Criteria (ITSEC). Mais tarde (1990) houve a unificação do padrão europeu e norte americano, criando- se assim o Common Criteria (CC). A versão 2.1 do CC se tornou o ISO 15408. 25 Normas de Segurança da Informação ISO 15408 É um conjunto de três volumes: Primeiro discute definições e metodologia; Segundo lista um conjunto de requisitos de segurança; Terceiro fala de metodologias de avaliação. Diferente do 17799, 15408 é um CC para definir e avaliar requisitos de segurança de sistemas e não de organizações. 26 Normas de Segurança da Informação ISO 27000 Em 2007 o BS 7799-2 é adotado pela ISO, recebendo a numeração 27000, dando início a série direcionada a padronização de normas para o segmento de segurança da informação, lançado como norma ISO/IEC 27001. Em julho de 2007, o padrão 17799:2005 recebe nova numeração (ISO/IEC 27002:2005), integrando a série ISO 27000. 27 Normas de Segurança da Informação ISO 27000 As normas internacionais, para este fim, são ordenadas respeitando ordem de numeração, tal como elencado a seguir: ISO/IEC 27000: Sistema de Gestão de Segurança da Informação – Linhas gerais e vocabulário ISO/IEC 27001: Sistema de Gestão de Segurança da Informação – Requisitos ISO/IEC 27002: Boas práticas para controles de segurança da informação ISO/IEC 27003: Guia de implantação do Sistema de Gestão de Segurança da Informação ISO/IEC 27004: Gestão da segurança da informação – Medição ISO/IEC 27005: Gestão de risco em segurança da informação 28 Normas de Segurança da Informação ISO 27000 ISO/IEC 27006: Requisitos para empresas de auditoria e certificação de Sistemas de Gestão de Segurança da Informação ISO/IEC 27007: Diretrizes para auditoria em Sistemas de Gestão de Segurança da Informação ISO/IEC TR 27008: Diretrizes para auditores sobre controle de segurança da informação ISO/IEC 27010: Gestão de segurança da informação para comunicação inter-setorial e inter-organizacional ISO/IEC 27011: Diretrizes para gestão de segurança da informação em organizações de telecomunicação com base na ISO/IEC 27002 ISO/IEC 27013: Diretrizes para a implementação integrada da ISO/IEC 27001 e ISO/IEC 20000-1 29 Normas de Segurança da Informação ISO 27000 ISO/IEC 27014: Governança de segurança da informação ISO/IEC TR 27015: Diretrizes para a gestão de segurança da informação em serviços financeiros ISO/IEC TR 27016: Diretrizes para a gestão de segurança da informação – Empresas de economia 30 Normas de Segurança da Informação Visão Geral da família ISO 27000 Número: ISO IEC 27001. Título: Information Security Management Systems- Requirements. Aplicação: Esta norma é aplicável a qualquer organização, independente do seu ramo de atuação, e define requisitos para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um Sistema de Gestão de Segurança da Informação. A ISO IEC 27001 é a norma usada para fins de certificação e substitui a norma Britânica BS7799-2:2002. Portanto, uma organização que deseje implantar um SGSI deve adotar como base a ISO IEC 27001. Situação: Norma aprovada e publicada pela ISO em Genebra, em 15.10.2005. No Brasil, a ABNT publicou como Norma Brasileira NBR ISO IEC 27001 no primeiro trimestre de 2006. 31 Normas de Segurança da Informação Visão Geral da família ISO 27000 Número: ISO IEC 27002 Título: Information Technology Security Management. - Code of practice for information Aplicação: Norma aprovada e publicada pela ISO em Genebra, em 15.06.2005. No Brasil, a ABNT publicou como Norma Brasileira NBR ISO IEC 17799 no dia 24 de agosto de 2005. Situação: Norma aprovada e publicada pela ISO em Genebra, em 15.10.2005. No Brasil, a ABNT publicou como Norma Brasileira NBR ISO IEC 27002 no primeiro trimestre de 2006. 32 Normas de Segurança da Informação Visão Geral da família ISO 27000 Número: ISO IEC 1 st WD 27003. Título: Information Security Management Systems-Implementation Guidance. Aplicação: Este projeto de norma tem como objetivo fornecer um guia prático para implementação de um Sistema de Gestão da Segurança da Informação, baseado na ISO IEC 27001. Situação: Este projeto de norma encontra-se em um estágio de desenvolvimento, denominado de WD-Working Draft. A previsão para publicação como norma internacional é 2008-2009. 33 Normas de Segurança da Informação Visão Geral da família ISO 27000 Número: ISO IEC 2nd WD 27004. Título: Information Security Management-Measurements. Aplicação: Este projeto de norma fornece diretrizes com relação a técnicas e procedimentos de medição para avaliar a eficácia dos controles de segurança da informação implementados, dos processos de segurança da informação e do Sistema de Gestão da Segurança da Informação. Situação: Este projeto de norma encontra-se em um estágio onde vários comentários já foram discutidos e incorporados ao projeto. A previsão para publicação como norma internacional é 2008-2009. 34 Normas de Segurança da Informação Visão Geral da família ISO 27000 Número: ISO IEC 2nd CD 27005. Título: Information Security Management Systems- Information Security Risk Management. Aplicação: Este projeto de norma fornece diretrizes para o gerenciamento de riscos de segurança da informação. Situação: Este projeto de norma já se encontra em um estágio mais avançado, pois vem sendo discutido há mais de dois anos. A previsão para publicação como norma internacional é 2007. (Publicada em julho de 2008). 35 Normas de Segurança da Informação Visão Geral da família ISO 27000 Número: ISO IEC 2nd CD 27006. Título: Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems. Aplicação: Norma de requisitos para a credibilidade de organizações que oferecem serviços de certificação de sistemas de gestão da SI. Situação: Publicada em 2007. 36