4 – Políticas de Segurança
• Definições;
• Normas ISO;
• Tipos de Políticas;
Definições
• Conjunto de regras;
• Determina como as informações são
geridas;
• Deve ser ampla e simples;
• Revisão contínua;
• Apoio da alta administração;
Definições
• Define objetivos;
• Define responsabilidades;
• Define Penalidades;
Definições
• BS7799: norma inglesa;
• BS7799-1 = ISO 17799: código de boas
práticas de segurança;
• BS7799-2 = ISO 27001: requisitos para
estabelecer, implementar e documentar
SGSI;
• ISO 17799 e 27001 foram traduzidos
pela ABNT.
Definição
• CobiT: modelo de governança de TI;
– 30% relacionado com segurança;
• ISO 15408 (Common Criteria):
– Define e avalia requisitos de segurança em
sistemas;
– Volume 1: Definições e Metodologia;
– Volume 2: Requisitos de Segurança;
– Volume 3: Metodologias de Avaliação;
ISO 27001
• Define um “Sistemas de Gestão da
Segurança da Informação”
• Usa o ciclo PDCA
–
–
–
–
Planejar (plain);
Fazer ou implementar (do);
Monitorar (check);
Melhorar (act);
ISO 27001
ISO 27001
• Possui 11 seções:
–
–
–
–
–
–
Política de Segurança;
Organizando a Segurança da Informação;
Gestão de Ativos;
Segurança em Recursos Humanos;
Segurança Física e do Ambiente;
Gerenciamento das Operações e Comunicações;
ISO 27001
• Possui 11 seções:
– Controle de Acesso;
– Aquisição, Desenvolvimento e Manutenção de
Sistemas de Informação;
– Gestão de Incidentes de Segurança;
– Gestão de Continuidade do Negócio;
– Conformidade;
ISO 27001
• Norma encoraja:
–
–
–
–
–
–
Entendimento de requisitos de segurança;
Necessidade de uma política de segurança;
Implementação de controles;
Gerência de riscos;
Monitoração e revisão do SGSI;
Melhoria contínua;
Políticas Organizacionais
•
•
•
•
•
Aplicada a toda a organização;
Define objetivos;
Define responsabilidades;
Define escopo;
Cita leis e regulamentos;
Políticas Organizacionais
• Observações:
– Não existem modelos prontos de política;
– Não existe política certa ou errada;
– A política deve ser definida de acordo com cada
organização;
Políticas Específicas
•
•
•
•
Trata que questões detalhas;
De um determinado setor;
Do uso de um determinado serviços;
Ex: e-mail:
– Uma política específica pode definir detalhes
sobre o relacionamento dos usuários com o
serviços de e-mail;
Políticas de Sistemas
• Definem as configurações dos
sistemas;
• Ex.: Banco de Dados, Sistemas
Operacionais;
• De forma que os sistemas estejam de
acordo com a política
organizacional;
1.6 –Segurança Física
• Segurança física complementa a
segurança lógica;
• Envolve meios de suporte e
armazenamento da informação;
• Segurança física é importante para a
sobrevivência da organização;
Plano de Contingência
• É mais amplo que o plano de
recuperação de desastres;
• Plano global para manter os ativos
em funcionamento;
• São procedimentos préestabelecidos para o caso de
ataques;
• Muitas empresas não sobrevivem à
perda de seus ativos;
Plano de Contingência
• Preservação: tentar evitar a
destruição dos ativos;
• Recuperação: possibilidade de
disponibilizar novamente ativos que
foram destruídos;
• São 2 conceitos importantes para a
continuidade;