Adicionar à colecção (s) Adicionar a salvo
  1. Negócios

Políticas de Segurança

Propaganda 
Auditoria e Segurança da
Informação– GSI536
Prof. Rodrigo Sanches Miani – FACOM/UFU
Políticas de Segurança
Tópicos
1.
2.
3.
Necessidade de uma Política de Segurança de
Informação;
Definição de uma Política de Segurança de Informação;
Exemplos de políticas (ISO 27001 e 27002)
Controles de acesso;
Planos de contingência e continuidade de serviços
Necessidade de uma política de
segurança
Segurança da Informação
A necessidade de se compartilhar e distribuir a informação em
ambiente cooperativo criou novos desafios para a segurança;
A todo instante a organização, seus processos e ativos são
alvos de investidas de agentes ou ameaças, potencializadas
pela existência de pontos fracos e vulnerabilidades;
Tais investidas podem paralisar ou comprometer de forma
parcial ou integral os processos de negócio ou de trabalho e a
imagem da organização.
Políticas de segurança
Todos os conceitos estudados até o momento são
importantes para manter a segurança da
informação;
Porém, o gerenciamento e implantação dos
métodos estudados exigem a criação de
procedimentos específicos;
As normas ou políticas de segurança são
construídas para auxiliar o gerenciamento e
implantação da segurança da informação.
Gerenciamento
O gerenciamento da segurança tem por objetivo manter os
ativos da informação em nível de risco controlado;
Para isso, são utilizadas políticas, processos, procedimentos,
estruturas organizacionais, infra-estrutura e mecanismos de
proteção aplicados sobre todo um conjunto de ativos;
O principal objetivo é a preservação do valor e da segurança
das informações contra possíveis ameaças.
Implantação
A implantação da segurança requer:
1.
2.
3.
O comprometimento formal da alta administração da
organização;
A criação de uma área específica com profissionais qualificados;
Uma abordagem de processo capaz de estabelecer,
implementar, operar, monitorar, analisar criticamente, manter e
melhorar o que foi definido;
E a Auditoria?
A auditoria de segurança de informação é uma atividade
para examinar criteriosamente a situação
do
gerenciamento e implantação de segurança assim como
das políticas criadas.
Definição de política de segurança
Definição
De acordo com a RFC 2196 (desenvolvimento seguro de
páginas de Internet), uma definição de política de
segurança é a seguinte:
“Uma política de segurança é a expressão formal das
regras pelas quais é fornecido acesso aos recursos
tecnológicos da empresa.”
Objetivos de uma política de
segurança
Objetivos
1.
Informar aos usuários, equipe e gerentes, as suas
obrigações para a proteção da tecnologia e do acesso
à informação - especificar os mecanismos através dos
quais estes requisitos podem ser alcançado;
2.
Oferecer um ponto de referência a partir do qual se
possa adquirir, configurar e auditar sistemas
computacionais e redes, para que sejam adequados
aos requisitos propostos.
Normas
Normas de segurança da informação
Uma norma tem o propósito de definir regras, padrões e
instrumentos de controle com o objetivo de uniformizar
um processo, produto ou serviço, sempre buscando a
melhoria continua da qualidade;
Elas abrangem não só os recursos tecnológicos, mas
também aqueles da área física, como os ativos e
instalações patrimoniais, e da área humana;
Normas de segurança da informação
Tais normas representam o esforço de diversos
profissionais, consumidores e organizações de padrões
nacionais e internacionais na busca de soluções para os
desafios que envolvem a segurança da informação;
Exemplos:
ISO
(Internation
Organization
for
Standardization), IEC (International Electrotechnical
Commission), NIST (National Institute of Standards and
Technology) e ABNT (Associação Brasileira de Normas
Técnicas)
Segurança da Informação - Normas
As normas de padronização prestam importante apoio na
implantação desse processo e aplicação de boas
práticas de segurança da informação, gerenciamento de
riscos e continuidade do negócio;
Exemplos de normas brasileiras: (NBR 27001, 2006),
(NBR 27002, 2005), (NBR 27005, 2008), (NBR 15999-1,
2007) e (NBR 15999-2, 2008);
Exemplos de normas estrangeiras: COBIT, ITIL, NIST.
Segurança da Informação – Normas
brasileiras
NBR 27001, 2006 - substituiu a norma BS 7799-2 para
certificação de sistema de gestão de segurança da
informação;
NBR 27002, 2005 – substituiu em 2006/2007 o ISO
17799:2005 (Código de Boas Práticas);
NBR 27005, 2008 – constituída por indicações para
implementação,
monitoramento
e
melhoria
do
gerenciamento de riscos.
Segurança da Informação – Normas
brasileiras
NBR 15999-1, 2007 – Gestão de continuidade dos
negócios (GCN) – Estabelece as boas práticas;
NBR 15999-2, 2008 - Gestão de continuidade dos
negócios (GCN) – Estabelece os requisitos para o
planejamento, análise, manutenção e melhora de um
sistema de gestão de continuidade dos negócios.
Exemplos
Exemplo fictício – exemploficticio.pdf
Exemplos reais:
SENAC
Correspondente bancário Santander
BM&F Bovespa
UFU - https://www.cti.ufu.br/sites/cti.ufu.br/files/CTI-Normasde-Uso-de-Recursos-de-TI.pdf
Google - https://www.google.com.br/intl/pt-BR/policies/privacy/
Facebook - https://www.facebook.com/legal/terms
NBR 27001 (2006)
NBR 27001 – 2006 - Definições
A norma (NBR 27001, 2006) é a cópia idêntica da norma (ISO/IEC
27001, 2005), traduzida e homologada pela ABNT;
É alinhada com outras normas de gestão: (NBR 9001, 2000), que
aborda os requisitos de um sistema de gestão da qualidade e (NBR
14001, 2004), que define os requisitos e orientações para uso de um
sistema de gestão ambiental;
Esse alinhamento garante a consistência e integração na
implementação e na operação do sistema de gestão da segurança
da informação, contemplando os aspectos desses outros sistemas
de gestão.
NBR 27001 – 2006 - Definições
A norma representa um modelo para estabelecer, implantar, operar,
monitorar, reavaliar, manter e melhorar um sistema de gestão da
segurança da informação;
Inclui planejamento, estrutura organizacional, processos de negócio
ou de trabalho, políticas, responsabilidades, atividades,
procedimentos e recursos;
A norma, geralmente, adota uma abordagem de processos, que
compreende toda a atividade que se utiliza de recursos gerenciáveis
de processamento de dados e sua interação com outros processos e
atividades.
NBR 27001 – 2006 - SGSI
O que é um SGSI??
SGSI pode ser definido como: “um conjunto de processos e
procedimentos, baseado em normas e na legislação, que uma
organização implementa para prover segurança no uso de seus
ativos tecnológicos”;
Tal sistema deve ser seguido por todos aqueles que se relacionam
direta ou indiretamente com a infra-estrutura de TI da organização,
tais como: funcionários, prestadores de serviço, parceiros e
terceirizados
Sistema de Gestão de Segurança da
Informação (SGSI)
NBR 27001 – 2006 - Definições
Os processos permitem ao usuário:
Entender os requisitos de segurança e a necessidade de se
estabelecer políticas e objetivos de segurança;
Implementar e operar controles para gerenciamento de riscos de
segurança da informação, monitorar, reavaliar o sistema de
gerenciamento de segurança da informação e promover a sua
melhoria contínua.
NBR 27001 – 2006 - Definições
A norma não faz distinção sobre o tipo, tamanho ou natureza
da organização em que ela é aplicável;
Seus requisitos são genéricos, o que a torna um modelo
flexível que permite cobrir todos os tipos de organizações e
ramos de negócio;
Essa flexibilidade permite que cada instituição projete um
sistema de gestão de segurança personalizado, definindo
suas necessidades e selecionando os controles de segurança
adequados para a proteção dos ativos da informação.
NBR 27001 – 2006 - Conteúdo
A norma é dividida nas seguintes seções:
1.
2.
3.
4.
5.
Sistema de Gestão de Segurança da Informação;
Responsabilidades da direção da organização em implantar e
manter o Sistema de Gestão Segurança da Informação;
Auditorias internas do Sistema de Gestão de Segurança da
Informação
Análise crítica do Sistema de Gestão de Segurança da
Informação;
Melhoria contínua do Sistema de Gestão de Segurança da
Informação.
NBR 27001 – 2006 - Resumo
A norma fornece direções sobre o que a administração
deve fazer:
definir suas expectativas de negócio (objetivos) para a segurança
da informação;
publicar uma política sobre como controlar se estes objetivos são
atingidos;
designar as principais responsabilidades para a segurança da
informação;
prover recursos humanos e financeiros suficientes;
revisar regularmente se todas as expectativas foram realmente
atingidas.
NBR 27002 (2005)
Introdução
De forma geral, todas normas da área de segurança possuem
como objetivo geral a preservação da confidencialidade,
integridade e disponibilidade da informação;
A norma NBR 27002 (2005) amplia esse objetivo ao enfatizar
um ambiente de segurança para proteger os ativos da
informação dos vários tipos de ameaças;
Introdução
A norma organiza os controles de segurança da informação,
reunindo as melhores práticas para a gestão da segurança da
informação;
Estabelece diretrizes gerais, que podem ser seguidas por
qualquer organização, para iniciar, implementar, manter e
melhorar a gestão da segurança da informação.
Introdução
De forma geral, a norma trata dos seguintes pontos:
Identificação dos requisitos da segurança da informação;
Análise do ambiente de segurança;
Seleção dos controles;
Implementação e administração do ambiente de segurança;
Estrutura
A NBR (27002, 2005) está estruturada nas seguintes seções:
Política de segurança da informação;
Organizando a segurança da informação;
Gestão de ativos;
Segurança em recursos humanos;
Segurança física do meio ambiente;
Gestão das operações e comunicações;
Controle de acesso;
Aquisição, desenvolvimento e manutenção de sistemas de informação;
Gestão de incidentes de segurança da informação;
Gestão da continuidade do negócio;
Conformidade.
Leitura recomendada
Emilio Tissato Nakamura, Paulo Lício de Geus –
“Segurança de Redes em Ambientes Cooperativos”,
Editora Novatec;
Capítulo 6 – Política de segurança
Normas – 27001 e 27002
Documentos relacionados
Filtro de Linha
Filtro de Linha
Bibliografía para Metodologia da Pesquisa em Linguística (2011
Bibliografía para Metodologia da Pesquisa em Linguística (2011
anexo contratual
anexo contratual
O projeto deve estruturar-se em três partes: elementos pré
O projeto deve estruturar-se em três partes: elementos pré
NORMAS PARA APRESENTAÇÃO DOS ORIGINAIS
NORMAS PARA APRESENTAÇÃO DOS ORIGINAIS
NORMAS PARA APRESENTAÇÃO DOS ORIGINAIS
NORMAS PARA APRESENTAÇÃO DOS ORIGINAIS
Ficha Técnica
Ficha Técnica
Alarme de Incêndio
Alarme de Incêndio
UNICAMP
UNICAMP
Níveis sonoros toleráveis
Níveis sonoros toleráveis
Download
Propaganda