Administração e segurança de redes Aula 07 : Normas de segurança

Prof. Msc Diovani Milhorim 1

Normas de Segurança da Informação Conceitos

Antes de iniciar o estudo sobre as normas, devemos entender os conceitos referentes à:  Políticas (orientações em conformidade com os objetivos de negócio);  Regulamentações (busca de conformidade com a legislação vigente);  Baseline (nível mínimo de proteção nos sistemas críticos); Diretrizes  Em um contexto estratégico pode ser interpretado como ações ou caminhos a serem seguidos em determinados momentos.

  Orienta o que deve ser feito e como, para se alcançarem os objetivos estabelecidos na política [ISO 17799] Procedimentos (instruções operacionais); 2

Normas de Segurança da Informação O que são e para que servem as normas?

 É aquilo que se estabelece como medida para a realização de uma atividade.

 Uma norma tem como propósito definir regras e instrumentos de controle para assegurar a conformidade de um processo, produto ou serviço.

 Quais os problemas gerados pela ausência de normas?

3

Normas de Segurança da Informação O que são e para que servem as normas?

Conforme definido pela Associação Brasileira de Normas Técnicas (ABNT), os objetivos da normalização são:  Comunicação: proporcionar meios mais eficientes na troca de informação entre o fabricante e o cliente, melhorando a confiabilidade das relações comerciais e de serviços;  Segurança: proteger a vida humana e a saúde;  Proteção do consumidor: prover a sociedade de mecanismos eficazes para aferir qualidade de produtos;  Eliminação de barreiras técnicas e comerciais: evitar a existência de regulamentos conflitantes sobre produtos e serviços em diferentes países,facilitando assim, o intercâmbio comercial.

4

Normas de Segurança da Informação

Surgimento das Normas    Em outubro de 1967 foi criado um documento chamado “Security Control for Computer System” que marcou o passo inicial para criação de conjunto de regras para segurança de computadores.

DoD também não ficou fora disto e teve grande participação na elaboração de regras.

Em 1978 foi escrito “Orange Book”, conhecido também como “Trusted Computer Evaluation Criteria” por DoD. A versão final deste documento foi impresso em dezembro de 1985.

5

Normas de Segurança da Informação

Surgimento das Normas   O “Orange Book” é considerado como marco inicial de um processo mundial de busca de medidas que permitem a um ambiente computacional ser qualificado como seguro.

O "Orange Book" permite especificar o que deve ser implementado e fornecido por um software, para que ele seja classificado em um dos níveis de "segurança" pré-estipulados.

6

Normas de Segurança da Informação

Surgimento das Normas  Este esforço foi liderado pela "International Organization for Standardization (ISO). No final do ano de 2000, o primeiro resultado desse esforço foi apresentado, que é a norma internacional de Segurança da Informação "ISO/IEC-17799:2000", a qual já possui uma versão aplicada aos países de língua portuguesa, denominada "NBR ISO/IEC-17799 “.

7

Normas de Segurança da Informação

Desenvolvimento de Padrões   Porque o desenvolvimento de são importantes?

padrões e normas de segurança Em que forma tais procedimentos ajudam em controle das vulnerabilidades existentes?

redução e 8

Normas de Segurança da Informação

NBR/ISO IEC 17799    A ISO 17799 é um conjunto de recomendações para gestão da SI para uso de implementação ou manutenção da segurança em suas organizações.

Providencia uma base comum para o desenvolvimento de normas de segurança organizacional e das práticas efetivas de gestão da segurança.

A ISO 17799 atua em segurança da informação considerando tecnologia, processos e pessoas. Esta norma é publicada no Brasil pela ABNT com o código NBR ISO 17799.

9

Normas de Segurança da Informação

Breve histórico da ISO 17799    A Associação Britânica de Normas tinha 2 normas referentes à segurança de sistemas de informação: a BS 7799-1 e a BS 7799 2.

A BS 7799-1 foi submetida ao ISO e aprovada (com problemas), vindo a ser a ISO 17799.

A BS 7799-2 se referia especialmente ao processo de do aspecto de segurança em

organizações

e

certificação

não foi submetida para o ISO.

10

Normas de Segurança da Informação

Diversas partes da ISO 17799 1. Objetivo da norma 2. Termos e definições 3. Política de segurança 4. Segurança organizacional 5. Classificação e controle dos ativos de informação 6. Segurança de pessoas 7. Segurança física e do ambiente 8. Gerenciamento de operações e comunicações 9. Controle de acesso 10. Desenvolvimento de sistemas.

11. Gestão de continuidade de negócios 12. Conformidade 11

Normas de Segurança da Informação

ISO 17799 – Segurança Organizacional   

Infraestrutura

organizacional deve ser criada para iniciar e implementar as medidas de

de

segurança.

segurança

: indica que uma estrutura

Segurança no acesso de prestadores de serviço

: garantir a segurança dos ativos acessados por prestadores de serviços.

Segurança envolvendo serviços terceirizados

: deve-se incluir nos contratos de terceirização de serviços computacionais cláusulas para segurança.

12

Normas de Segurança da Informação

ISO 17799 – Segurança de Pessoas    

Segurança na definição e Recursos de Trabalho

de pessoas. Verificar os : Devem ser incluídas as preocupações de segurança no momento da contratação critérios de segurança no processo de seleção. Funcionários devem assinar o acordo de confidencialidade.

Treinamento dos usuários

: treinamento referentes a segurança.

educação, conscientização e

Mecanismos de Incidente de

para

Segurança

: Deve existir mecanismos funcionários poderem reportar possíveis falhas.

Processo disciplinar formal

: Deve haver um processo disciplinar formal para segurança.

funcionários que violaram os procedimentos de 13

Normas de Segurança da Informação

ISO 17799 – Segurança Física e de Ambiente   

Áreas de segurança

: prevenir acesso não autorizado, dano e interferência nas instalações físicas. Isso inclui: definir um perímetro de segurança, controles de entrada física, etc.

Segurança

fisicamente de

de equipamento

: convém proteger equipamentos ameaças e perigos ambientais. Isso inclui roubo, fogo, e outros perigos ambientais, proteção contra falta de energia, segurança do cabeamento, definição de política de manutenção, proteção a equipamentos fora das instalações.

Controles gerais

que : Por exemplo proteção de tela com senha para evitar informação fique visível em tela, deve-se ter uma política quanto a deixar papéis na impressora por muito tempo, etc.

14

Normas de Segurança da Informação

ISO 17799 – Controle de Acesso (1) 

Gerenciamento de acesso dos usuários

:   Registro do usuário: ID única para cada usuário, pedir assinatura em termo de responsabilidade, remover usuário assim que o funcionário sair da empresa .

Gerenciamento de privilégios: aqui entra o controle de acesso baseado em papéis; basicamente, se recomenda que usuários tenham apenas os privilégios necessários para fazer seu trabalho.

  Gerenciamento de senhas: termo de responsabilidade deve afirmar que senha é secreta e não deve ser divulgada, senhas temporárias devem funcionar apenas uma vez.

Análise crítica dos direitos de acesso do usuário: deve-se analisar os direitos de acesso dos usuários com freqüência de 6 meses ou menos.

15

Normas de Segurança da Informação

ISO 17799 – Controle de Acesso (2) 

Responsabilidades dos usuários

:   Senhas: segundo norma, criar uma senha usuário deve zelar pela sua senha e considerada aceitável (mínimo de 6 caracteres).

Equipamentos sem cuidados monitoração: Usuários deve tomar os necessários ao deixar um equipamento sem monitoramento, com seções abertas.

16

Normas de Segurança da Informação

ISO 17799 – Controle de Acesso (3) 

Controle de Acesso ao SO

   

Controle de acesso ao sistema operacional

: Identificação automática de terminal: nos casos onde deve-se conhecer onde um usuário efetua logon.

Procedimentos de entrada no sistema (logon)

.

como: limitar o Sugestões número de tentativas erradas para o logon e não fornecer ajuda no processo de logon, entre outros.

Identificação de usuários

: a não ser em casos excepcionais cada usuário deve ter apenas um ID. Considerar outras tecnologias de identificação e autenticação: smart cards, autenticação biométrica.

Sistema de Gerenciamento de Senhas

: Contém os atributos desejáveis para sistema que lê, armazena e verifica senhas.

17

Normas de Segurança da Informação

ISO 17799 – Controle de Acesso (4) 

Controle de Acesso às aplicações

  

Registro de Eventos

outros eventos de : Trilha de auditoria registrando exceções e segurança devem ser armazenados por um tempo adequado.

Monitoração do Uso do Sistema

: Os procedimentos do monitoração do uso do sistema devem ser estabelecidos. Uma análise crítica dos logs deve ser feita de forma periódica.

Sincronização dos Relógios

registros de auditoria.

: Para garantir a exatidão dos 18

Normas de Segurança da Informação

ISO 17799 – Controle de Acesso (5) 

Computação Móvel

 Usuários de conscientizados equipamentos das móveis devem ser práticas de segurança, incluindo senhas, criptografia entre outros.

19

Normas de Segurança da Informação

ISO 17799 – Gestão de Continuidade de Negócios   Deve-se desenvolver planos de de contingência para caso de falhas segurança, desastres, perda de serviço, etc.

Estes planos devem ser documentados, e o pessoal envolvido treinado.

Os planos de contingência devem ser testados regularmente, pois tais planos quando concebidos teoricamente, podem apresentar falhas devido a pressupostos incorretos, omissões ou mudança de equipamento ou pessoal.

20

Normas de Segurança da Informação

ISO 17799 – Componentes do Plano de Continuidade de Negócios        condições para a ativação do plano; procedimentos de emergência a serem tomados; procedimentos de recuperação para transferir atividades essenciais para outras localidades, equipamentos, programas, entre outros; procedimentos operações; de recuperação quando do estabelecimento das programação de manutenção que especifique quando e como o plano deverá ser testado; desenvolvimento de atividades de treinamento e conscientização do pessoal envolvido; designação de responsabilidades.

21

Normas de Segurança da Informação

ISO 17799 – Conformidade    Conformidade com Requisitos Legais: Para evitar a qualquer lei, estatuto, violação de regulamentação ou obrigações contratuais.

Evitar a violação de Direitos Autorais dos aplicativos.

Análise Crítica da Política de Segurança e da Conformidade Técnica.

Considerações referentes Auditoria de Sistemas.

22

Normas de Segurança da Informação

BS 7799-2   O BS 7799-2 é a segunda parte do padrão de segurança inglês cuja primeira parte virou o ISO 17799.

O BS 7799-2 fala sobre certificação de segurança de organizações; isto é, define quando e como se pode dizer que uma organização segue todo ou parte do ISO 17799 (na verdade do BS 7799-1).

23

Normas de Segurança da Informação

ISO 15408 Vários países (EUA, Canadá, França, Inglaterra, Alemanha, etc) estavam desenvolvendo seus padrões para sistemas seguros (mas não militares).

Nos EUA o padrão se chamava TCSEC (Trusted Computer System Evaluation Criteria), no decidiram unificar seus Canadá CTCPEC, etc. Os países europeus critérios, criando o Information Technology Security Evaluation Criteria (ITSEC). Mais tarde (1990) houve a unificação do padrão europeu e norte americano, criando- se assim o Common Criteria (CC). A versão 2.1 do CC se tornou o ISO 15408.

24

Normas de Segurança da Informação

ISO 15408   É um conjunto de três volumes:    Primeiro discute definições e metodologia; Segundo lista um conjunto de requisitos de segurança; Terceiro fala de metodologias de avaliação.

Diferente do 17799, 15408 requisitos de segurança de é um CC para definir e avaliar

sistemas

e não de

organizações

.

25

Normas de Segurança da Informação Visão Geral da família ISO 27000

Número: ISO IEC 27001.

Título: Information Security Management Systems- Requirements.

Aplicação: Esta norma é aplicável a qualquer organização, independente do seu ramo de atuação, e define requisitos para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um Sistema de Gestão de Segurança da Informação. A ISO IEC 27001 é a norma usada para fins de certificação e substitui a norma Britânica BS7799-2:2002. Portanto, uma organização que deseje implantar um SGSI deve adotar como base a ISO IEC 27001.

Situação: Norma aprovada e publicada pela ISO em Genebra, em 15.10.2005. No Brasil, a ABNT publicou como Norma Brasileira NBR ISO IEC 27001 no primeiro trimestre de 2006.

26

Normas de Segurança da Informação Visão Geral da família ISO 27000

Número: ISO IEC 27002 Título: Information Technology Security Management.

- Code of practice for information Aplicação: Norma aprovada e publicada pela ISO em Genebra, em 15.06.2005. No Brasil, a ABNT publicou como Norma Brasileira NBR ISO IEC 17799 no dia 24 de agosto de 2005.

Situação: Norma aprovada e publicada pela ISO em Genebra, em 15.10.2005. No Brasil, a ABNT publicou como Norma Brasileira NBR ISO IEC 27002 no primeiro trimestre de 2006.

27

Normas de Segurança da Informação Visão Geral da família ISO 27000

Número: ISO IEC 1 st WD 27003.

Título: Information Security Management Systems-Implementation Guidance.

Aplicação: Este projeto de norma tem como objetivo fornecer um guia prático para implementação de um Sistema de Gestão da Segurança da Informação, baseado na ISO IEC 27001.

Situação: Este projeto de norma encontra-se em um estágio de desenvolvimento, denominado de WD-Working Draft. A previsão para publicação como norma internacional é 2008-2009.

28

Normas de Segurança da Informação Visão Geral da família ISO 27000

Número: ISO IEC 2nd WD 27004.

Título: Information Security Management-Measurements.

Aplicação: Este projeto de norma fornece diretrizes com relação a técnicas e procedimentos de medição para avaliar a eficácia dos controles de segurança da informação implementados, dos processos de segurança da informação e do Sistema de Gestão da Segurança da Informação.

Situação: Este projeto de norma encontra-se em um estágio onde vários comentários já foram discutidos e incorporados ao projeto. A previsão para publicação como norma internacional é 2008-2009.

29

Normas de Segurança da Informação Visão Geral da família ISO 27000

Número: ISO IEC 2nd CD 27005.

Título: Information Security Management Systems- Information Security Risk Management.

Aplicação: Este projeto de norma fornece diretrizes para o gerenciamento de riscos de segurança da informação.

Situação: Este projeto de norma já se encontra em um estágio mais avançado, pois vem sendo discutido há mais de dois anos. A previsão para publicação como norma internacional é 2007. ( Publicada em julho de 2008 ).

30

Normas de Segurança da Informação Visão Geral da família ISO 27000

Número: ISO IEC 2nd CD 27006.

Título: Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems.

Aplicação: Norma de requisitos para a credibilidade de organizações que oferecem serviços de certificação de sistemas de gestão da SI.

Situação: Publicada em 2007.

31