Normas para Segurança da Informação
Carlos Sampaio
Normas para Segurança da Informação

BS 7799

ISO/IEC 17799

NBR 17799
Norma BS 7799: duas partes
(BS = British Standard)

BS-7799-1:2000 – Primeira parte





Publicada em 1995 pela primeira vez
Versão atual de 2000
Código de prática para a gestão da segurança da informação
Objetivo da organização: conformidade
BS-7799-2:2002 – Segunda parte




Publicada em 1998 pela primeira vez
Versão atual de 2002
Especificação de sistemas de gerenciamento de segurança da
informação (ISMS – information security management system)
Objetivo da organização: certificação
Norma ISO/IEC 17799

Internacionalização da norma BS 7799




ISO/IEC 17799:2000, substitui a norma britânica
Inclui 127 controles e 36 objetivos de
controle agrupados em 10 áreas de controle
Controles baseados na experiência das
organizações e melhores práticas
Atualmente está sendo atualizado



ISO/IEC 17799:2005: disponível maio/junho 2005
Várias modificações gerais e específicas
http://www.aexis.de/17799CT.htm
Norma NBR 17799

NBR ISO/IEC 17799
Versão brasileira da norma ISO, homologada
pela ABNT em setembro de 2001
 Tradução literal da norma ISO
 www.abnt.org.br


No Brasil, deve-se usar a norma brasileira


Em outros países, recomenda-se verificar se
existe uma norma local
Detalhe importante:

Deve-se pagar pelas normas 
Áreas (cláusulas de controle)
Política de
segurança
Conformidade
Gestão da
continuidade
do negócio
Integridade
Segurança
organizacional
Confidencialidade
Classificação
e controle de
ativos
Informação
Desenvolvimento
e manutanção
de sistemas
Controle de
acesso
Disponibilidade
Gestão das
operações e
comunicações
Segurança
pessoal
Segurança física
e ambiental
Áreas (cláusulas de controle)
Aspecto
Organizacional
Organizacional
Técnico
Política de Segurança
Físico
Segurança
Organizacional
Classificação e
Controle de Ativos
Controle de Acesso
Conformidade
Operacional
Segurança Pessoal
Segurança Física
e Ambiental
Desenvolvimento e
Gestão das Operações
Manutenção de Sistemas
e Comunicações
Gestão da Continuidade
do negócio
Adoção das Normas

Conformidade


Certificação


Com a norma ISO/IEC 17799:2000/2005
Com a norma BS 7799-2:2002
A Partir de Fevereiro de 2006

Certificação pela ISO27001
Vantagens das Normas

Conformidade com regras dos governos
para o gerenciamento de riscos

COBIT / Sarbanes-Oxley

Maior proteção das informações
confidenciais da organização

Redução no risco de ataques de hackers

Recuperação de ataques mais fácil e rápidas
Vantagens das Normas

Metodologia estruturada de segurança que
está alcançando reconhecimento
internacional

Maior confiança mútua entre parceiros
comerciais

Custos possivelmente menores para seguros
de riscos computacionais

Melhores práticas de privacidade e
conformidade com leis de privacidade
Exemplo 1:Uso de senhas

Cláusula de controle (área)




Objetivo de controle (da sub-cláusula 9.3)


9. Controle de acesso
Sub-cláusula: 9.3. Responsabilidades do usuário
Sub-sub-cláusula: 9.3.1 Uso de senhas
Prevenir acesso não autorizado dos usuários
Comentários adicionais (da sub-cláusula 9.3)


A cooperação dos usuários autorizados é essencial para
a eficácia da segurança
Convém que os usuários sejam cientes de suas
responsabilidades para o controle de acesso
Exemplo 1:Uso de senhas

Comentários adicionais
(da sub-sub-cláusula 9.3.1)
Convém que os usuários sigam as boas práticas
de segurança na seleção e uso de senhas
 As senhas fornecem um meio de validação e
identidade do usuário e conseqüentemente o
estabelecimento dos direitos de acesso para os
recursos ou serviços de processamento da
informação
 Controles: os usuários devem ser informados
para tomar certas providências ...

Exemplo 1:
Controles de uso de senhas
1.
2.
3.
4.
Manter a confidencialidade das senhas
Evitar o registro das senhas em papel, a menos
que o papel possa ser guardado com segurança
Alterar a senha sempre que existir qualquer
indicação de comprometimento do sistema ou da
própria senha
Alterar as senhas em intervalos regulares ou
baseando-se no número de acessos e evitar a
reutilização de senhas antigas

Senhas para contas privilegiadas devem ser alteradas
com maior freqüência
Exemplo 1:
Controles de uso de senhas
5.
Selecionar senhas de qualidade, com um
tamanho mínimo de seis caracteres, que sejam:



6.
Fáceis de lembrar
Não baseadas em coisas que outras pessoas possam
facilmente adivinhar ou obter a partir de informações
pessoais, como nomes, números, datas, etc.
Sem caracteres repetidos ou grupos somente
(alfa)numéricos
Alterar senhas temporárias no primeiro acesso
ao sistema
Exemplo 1:
Controles de uso de senhas
7.
Não incluir senhas em processos
automáticos de acesso ao sistema

8.
9.
Ex: armazenadas em macros ou teclas de
função
Não compartilhar senhas individuais
Se os usuários precisarem ter acesso a
múltiplas plataformas ou serviço, e manter
várias senhas, convém orientá-los para
utilizar uma única senha de qualidade
Exemplo 1: Uso de senhas

Perguntas:



Quais controles são computacionais e quais
dependem de procedimentos / treinamento?
Como fazer com senhas que precisam ser
compartilhadas por grupos?
Como fazer para automatizar o processo do
usuário ter acesso a múltiplas plataformas e
serviços?
Exemplo 2:
Gerenciamento de rede

Cláusula de controle (área)




Objetivo de controle (da sub-cláusula 8.5)


8. Gerenciamento das Operações e Comunicações
Sub-cláusula: 8.5: Gerenciamento de rede
Sub-sub-cláusula: 8.5.1. Controles da rede
Garantir a salvaguarda das informações na rede e proteção da infraestrutura de suporte
Comentários adicionais (da sub-cláusula 8.5)


O gerenciamento de redes que transcendem os limites físicos da
organização necessita de atenção especial
Pode ser necessária a utilização de controles adicionais para proteção
de dados sensíveis que transitam por redes públicas
Exemplo 2:
Gerenciamento de rede

Comentários adicionais
(da sub-sub-cláusula 8.5.1)
Deve-se usar um conjunto de controles para
preservar a segurança nas redes de
computadores
 Os gestores devem implementar controles para
garantir a segurança

 Dos
dados nas redes
 Dos serviços disponibilizados contra acessos não
autorizados
Exemplo 2: Controles da rede
1.
2.
3.
4.
Convém que a responsabilidade operacional sobre a rede
seja separada da operação dos computadores, onde for
apropriado
Convém que seja estabelecidos procedimentos e
responsabilidade para o gerenciamento de equipamentos
remotos
Convém que sejam estabelecidos controles especiais
para garantir a confiabilidade e integridade dos dados
que trafegam por redes públicas (quando necessários)
Convém que atividades de gerenciamento sejam
cuidadosamente coordenadas, de forma a otimizar os
serviços prestados e garantir a consistência dos controles
pela infra-estrutura de processamento
Normas para Segurança da Informação
 Dúvidas
?