Autarquia Educacional do Vale do São Francisco - AEVSF
Faculdade de Ciências Aplicadas e Sociais de Petrolina - FACAPE
Segurança e Auditoria de Sistemas
Normas de Segurança
Profa. Cynara Carvalho
[email protected]
1
2
Normas de Segurança da Informação
Conceitos
•
Antes
de iniciar o estudo sobre as normas, devemos entender os
conceitos referentes à:
 Políticas (orientações em conformidade com os objetivos de negócio);
 Regulamentações (busca de conformidade com a legislação vigente);
 Baseline (nível mínimo de proteção nos sistemas críticos);
Diretrizes
 Em um contexto estratégico pode ser interpretado como ações
ou caminhos a serem seguidos em determinados momentos.
 Orienta o que deve ser feito e como, para se alcançarem os
objetivos estabelecidos na política [ISO 17799]
 Procedimentos (instruções operacionais);
3
Normas de Segurança da Informação
O que são e para que servem as normas?
 É aquilo que se estabelece como medida para a realização de uma
atividade.
 Uma norma tem como propósito definir regras e instrumentos de
controle para assegurar a conformidade de um processo, produto ou
serviço.
 Quais os problemas gerados pela ausência de normas?
4
Normas de Segurança da Informação
O que são e para que servem as normas?
Conforme definido pela Associação Brasileira de Normas Técnicas
(ABNT), os objetivos da normalização são:
 Comunicação: proporcionar meios mais eficientes na troca de
informação entre o fabricante e o cliente, melhorando a confiabilidade
das relações comerciais e de serviços;
 Segurança: proteger a vida humana e a saúde;
 Proteção do consumidor: prover a sociedade de mecanismos
eficazes para aferir qualidade de produtos;
 Eliminação de barreiras técnicas e comerciais: evitar a existência
de regulamentos conflitantes sobre produtos e serviços em diferentes
países,facilitando assim, o intercâmbio comercial.
5
Normas de Segurança da Informação
Surgimento das Normas



Em outubro de 1967 foi criado um documento chamado “Security
Control for Computer System” que marcou o passo inicial para
criação de conjunto de regras para segurança de computadores.
DoD também não ficou fora disto e teve grande participação na
elaboração de regras.
Em 1978 foi escrito “Orange Book”, conhecido também como “Trusted
Computer Evaluation Criteria” por DoD. A versão final deste
documento foi impresso em dezembro de 1985.
6
Normas de Segurança da Informação
Surgimento das Normas


O “Orange Book” é considerado como marco inicial de um processo
mundial de busca de medidas que permitem a um ambiente
computacional ser qualificado como seguro.
O "Orange Book" permite especificar o que deve ser implementado e
fornecido por um software, para que ele seja classificado em um dos
níveis de "segurança" pré-estipulados.
7
Normas de Segurança da Informação
Surgimento das Normas

Este esforço foi liderado pela "International Organization for
Standardization (ISO). No final do ano de 2000, o primeiro resultado
desse esforço foi apresentado, que é a norma internacional de
Segurança da Informação "ISO/IEC-17799:2000", a qual já possui
uma versão aplicada aos países de língua portuguesa, denominada
"NBR ISO/IEC-17799“.
8
Normas de Segurança da Informação
Desenvolvimento de Padrões


Porque o desenvolvimento de padrões e normas de segurança
são importantes?
Em que forma tais procedimentos ajudam em redução e
controle das vulnerabilidades existentes?
9
Normas de Segurança da Informação
NBR/ISO IEC 17799



A ISO 17799 é um conjunto de recomendações para gestão da SI para
uso de implementação ou manutenção da segurança em suas
organizações.
Providencia uma base comum para o desenvolvimento de normas de
segurança organizacional e das práticas efetivas de gestão da
segurança.
A ISO 17799 atua em segurança da informação considerando
tecnologia, processos e pessoas. Esta norma é publicada no Brasil
pela ABNT com o código NBR ISO 17799.
10
Normas de Segurança da Informação
Breve histórico da ISO 17799



A Associação Britânica de Normas tinha 2 normas referentes à
segurança de sistemas de informação: a BS 7799-1 e a BS 77992.
A BS 7799-1 foi submetida ao ISO e aprovada (com problemas),
vindo a ser a ISO 17799.
A BS 7799-2 se referia especialmente ao processo de certificação
do aspecto de segurança em organizações e não foi submetida
para o ISO.
11
Normas de Segurança da Informação
Diversas partes da ISO 17799
1. Objetivo da norma
2. Termos e definições
3. Política de segurança
4. Segurança organizacional
5. Classificação e controle
dos ativos de informação
6. Segurança de pessoas
7. Segurança física e do ambiente
8. Gerenciamento de operações e
comunicações
9. Controle de acesso
10. Desenvolvimento de sistemas.
11. Gestão de continuidade de
negócios
12. Conformidade
12
Normas de Segurança da Informação
ISO 17799 – Segurança Organizacional



Infraestrutura de segurança: indica que uma estrutura
organizacional deve ser criada para iniciar e implementar as
medidas de segurança.
Segurança no acesso de prestadores de serviço: garantir a
segurança dos ativos acessados por prestadores de serviços.
Segurança envolvendo serviços terceirizados: deve-se incluir
nos contratos de terceirização de serviços computacionais
cláusulas para segurança.
13
Normas de Segurança da Informação
ISO 17799 – Segurança de Pessoas




Segurança na definição e Recursos de Trabalho: Devem ser
incluídas as preocupações de segurança no momento da contratação
de pessoas. Verificar os critérios de segurança no processo de
seleção. Funcionários devem assinar o acordo de confidencialidade.
Treinamento dos usuários: educação, conscientização e
treinamento referentes a segurança.
Mecanismos de Incidente de Segurança: Deve existir mecanismos
para funcionários poderem reportar possíveis falhas.
Processo disciplinar formal: Deve haver um processo disciplinar
formal para funcionários que violaram os procedimentos de
segurança.
14
Normas de Segurança da Informação
ISO 17799 – Segurança Física e de Ambiente



Áreas de segurança: prevenir acesso não autorizado, dano e
interferência nas instalações físicas. Isso inclui: definir um perímetro de
segurança, controles de entrada física, etc.
Segurança de equipamento: convém proteger equipamentos
fisicamente de ameaças e perigos ambientais. Isso inclui roubo, fogo, e
outros perigos ambientais, proteção contra falta de energia, segurança do
cabeamento, definição de política de manutenção, proteção a
equipamentos fora das instalações.
Controles gerais: Por exemplo proteção de tela com senha para evitar
que informação fique visível em tela, deve-se ter uma política quanto a
deixar papéis na impressora por muito tempo, etc.
15
Normas de Segurança da Informação
ISO 17799 – Controle de Acesso (1)

Gerenciamento de acesso dos usuários:




Registro do usuário: ID única para cada usuário, pedir assinatura em termo de
responsabilidade, remover usuário assim que o funcionário sair da empresa .
Gerenciamento de privilégios: aqui entra o controle de acesso baseado em
papéis; basicamente, se recomenda que usuários tenham apenas os
privilégios necessários para fazer seu trabalho.
Gerenciamento de senhas: termo de responsabilidade deve afirmar que senha
é secreta e não deve ser divulgada, senhas temporárias devem funcionar
apenas uma vez.
Análise crítica dos direitos de acesso do usuário: deve-se analisar os direitos
de acesso dos usuários com freqüência de 6 meses ou menos.
16
Normas de Segurança da Informação
ISO 17799 – Controle de Acesso (2)

Responsabilidades dos usuários:
 Senhas: segundo norma, usuário deve zelar pela sua senha e
criar uma senha considerada aceitável (mínimo de 6
caracteres).
 Equipamentos sem monitoração: Usuários deve tomar os
cuidados necessários ao deixar um equipamento sem
monitoramento, com seções abertas.
17
Normas de Segurança da Informação
ISO 17799 – Controle de Acesso (3)

Controle de Acesso ao SO




Controle de acesso ao sistema operacional: Identificação
automática de terminal: nos casos onde deve-se conhecer onde
um usuário efetua logon.
Procedimentos de entrada no sistema (logon). Sugestões
como: limitar o número de tentativas erradas para o logon e não
fornecer ajuda no processo de logon, entre outros.
Identificação de usuários: a não ser em casos excepcionais cada
usuário deve ter apenas um ID. Considerar outras tecnologias de
identificação e autenticação: smart cards, autenticação biométrica.
Sistema de Gerenciamento de Senhas: Contém os atributos
desejáveis para sistema que lê, armazena e verifica senhas.
18
Normas de Segurança da Informação
ISO 17799 – Controle de Acesso (4)

Controle de Acesso às aplicações
 Registro de Eventos: Trilha de auditoria registrando exceções e
outros eventos de segurança devem ser armazenados por um
tempo adequado.
 Monitoração
do Uso do Sistema: Os procedimentos do
monitoração do uso do sistema devem ser estabelecidos. Uma
análise crítica dos logs deve ser feita de forma periódica.
 Sincronização dos Relógios: Para garantir a exatidão dos
registros de auditoria.
19
Normas de Segurança da Informação
ISO 17799 – Controle de Acesso (5)

Computação Móvel
 Usuários
de
equipamentos
móveis
devem
ser
conscientizados das práticas de segurança, incluindo
senhas, criptografia entre outros.
20
Normas de Segurança da Informação
ISO 17799 – Gestão de Continuidade de Negócios


Deve-se desenvolver planos de contingência para caso de falhas
de segurança, desastres, perda de serviço, etc.
Estes planos devem ser documentados, e o pessoal envolvido
treinado. Os planos de contingência devem ser testados
regularmente, pois tais planos quando concebidos teoricamente,
podem apresentar falhas devido a pressupostos incorretos,
omissões ou mudança de equipamento ou pessoal.
21
Normas de Segurança da Informação
ISO 17799 – Componentes do Plano de Continuidade de Negócios







condições para a ativação do plano;
procedimentos de emergência a serem tomados;
procedimentos de recuperação para transferir atividades essenciais
para outras localidades, equipamentos, programas, entre outros;
procedimentos de recuperação quando do estabelecimento das
operações;
programação de manutenção que especifique quando e como o plano
deverá ser testado;
desenvolvimento de atividades de treinamento e conscientização do
pessoal envolvido;
designação de responsabilidades.
22
Normas de Segurança da Informação
ISO 17799 – Conformidade



Conformidade com Requisitos Legais: Para evitar a violação de
qualquer lei, estatuto, regulamentação ou obrigações contratuais.
Evitar a violação de Direitos Autorais dos aplicativos.
Análise Crítica da Política de Segurança e da Conformidade
Técnica.
Considerações referentes Auditoria de Sistemas.
23
Normas de Segurança da Informação
BS 7799-2


O BS 7799-2 é a segunda parte do padrão de segurança inglês
cuja primeira parte virou o ISO 17799.
O BS 7799-2 fala sobre certificação de segurança de
organizações; isto é, define quando e como se pode dizer que
uma organização segue todo ou parte do ISO 17799 (na verdade
do BS 7799-1).
24
Normas de Segurança da Informação
ISO 15408
Vários países (EUA, Canadá, França, Inglaterra, Alemanha, etc) estavam
desenvolvendo seus padrões para sistemas seguros (mas não militares).
Nos EUA o padrão se chamava TCSEC (Trusted Computer System
Evaluation Criteria), no Canadá CTCPEC, etc. Os países europeus
decidiram unificar seus critérios, criando o Information Technology Security
Evaluation Criteria (ITSEC). Mais tarde (1990) houve a unificação do
padrão europeu e norte americano, criando- se assim o Common Criteria
(CC). A versão 2.1 do CC se tornou o ISO 15408.
25
Normas de Segurança da Informação
ISO 15408


É um conjunto de três volumes:
 Primeiro discute definições e metodologia;
 Segundo lista um conjunto de requisitos de segurança;
 Terceiro fala de metodologias de avaliação.
Diferente do 17799, 15408 é um CC para definir e avaliar
requisitos de segurança de sistemas e não de organizações.
26
Normas de Segurança da Informação
Visão Geral da família ISO 27000
Número: ISO IEC 27001.
Título: Information Security Management Systems- Requirements.
Aplicação: Esta norma é aplicável a qualquer organização,
independente do seu ramo de atuação, e define requisitos para
estabelecer, implementar, operar, monitorar, revisar, manter e melhorar
um Sistema de Gestão de Segurança da Informação. A ISO IEC 27001 é
a norma usada para fins de certificação e substitui a norma Britânica
BS7799-2:2002. Portanto, uma organização que deseje implantar um
SGSI deve adotar como base a ISO IEC 27001.
Situação: Norma aprovada e publicada pela ISO em Genebra, em
15.10.2005. No Brasil, a ABNT publicou como Norma Brasileira NBR ISO
IEC 27001 no primeiro trimestre de 2006.
27
Normas de Segurança da Informação
Visão Geral da família ISO 27000
Número: ISO IEC 27002
Título: Information Technology
Security Management.
- Code of practice for information
Aplicação: Norma aprovada e publicada pela ISO em Genebra, em
15.06.2005. No Brasil, a ABNT publicou como Norma Brasileira NBR ISO
IEC 17799 no dia 24 de agosto de 2005.
Situação: Norma aprovada e publicada pela ISO em Genebra, em
15.10.2005. No Brasil, a ABNT publicou como Norma Brasileira NBR ISO
IEC 27002 no primeiro trimestre de 2006.
28
Normas de Segurança da Informação
Visão Geral da família ISO 27000
Número: ISO IEC 1 st WD 27003.
Título: Information Security Management Systems-Implementation
Guidance.
Aplicação: Este projeto de norma tem como objetivo fornecer um guia
prático para implementação de um Sistema de Gestão da Segurança da
Informação, baseado na ISO IEC 27001.
Situação: Este projeto de norma encontra-se em um estágio de
desenvolvimento, denominado de WD-Working Draft. A previsão para
publicação como norma internacional é 2008-2009.
29
Normas de Segurança da Informação
Visão Geral da família ISO 27000
Número: ISO IEC 2nd WD 27004.
Título: Information Security Management-Measurements.
Aplicação: Este projeto de norma fornece diretrizes com relação a
técnicas e procedimentos de medição para avaliar a eficácia dos
controles de segurança da informação implementados, dos
processos de segurança da informação e do Sistema de Gestão da
Segurança da Informação.
Situação: Este projeto de norma encontra-se em um estágio onde vários
comentários já foram discutidos e incorporados ao projeto. A previsão
para publicação como norma internacional é 2008-2009.
30
Normas de Segurança da Informação
Visão Geral da família ISO 27000
Número: ISO IEC 2nd CD 27005.
Título: Information Security Management Systems- Information Security
Risk Management.
Aplicação: Este projeto de norma fornece diretrizes para o
gerenciamento de riscos de segurança da informação.
Situação: Este projeto de norma já se encontra em um estágio mais
avançado, pois vem sendo discutido há mais de dois anos. A previsão
para publicação como norma internacional é 2007. (Publicada em julho
de 2008).
31
Normas de Segurança da Informação
Visão Geral da família ISO 27000
Número: ISO IEC 2nd CD 27006.
Título: Information technology -- Security techniques -- Requirements for
bodies providing audit and certification of information security
management systems.
Aplicação: Norma de requisitos para a credibilidade de organizações
que oferecem serviços de certificação de sistemas de gestão da SI.
Situação: Publicada em 2007.
32