200 likes | 344 Vues
Normas para Segurança da Informação. Carlos Sampaio. Normas para Segurança da Informação. BS 7799 ISO/IEC 17799 NBR 17799. Norma BS 7799: duas partes (BS = British Standard). BS-7799-1:2000 – Primeira parte Publicada em 1995 pela primeira vez Versão atual de 2000
E N D
Normas para Segurança da Informação Carlos Sampaio
Normas para Segurança da Informação • BS 7799 • ISO/IEC 17799 • NBR 17799
Norma BS 7799: duas partes (BS = British Standard) • BS-7799-1:2000 – Primeira parte • Publicada em 1995 pela primeira vez • Versão atual de 2000 • Código de prática para a gestão da segurança da informação • Objetivo da organização: conformidade • BS-7799-2:2002 – Segunda parte • Publicada em 1998 pela primeira vez • Versão atual de 2002 • Especificação de sistemas de gerenciamento de segurança da informação (ISMS – information security management system) • Objetivo da organização: certificação
Norma ISO/IEC 17799 • Internacionalização da norma BS 7799 • ISO/IEC 17799:2000, substitui a norma britânica • Inclui 127 controles e 36 objetivos de controle agrupados em 10 áreas de controle • Controles baseados na experiência das organizações e melhores práticas • Atualmente está sendo atualizado • ISO/IEC 17799:2005: disponível maio/junho 2005 • Várias modificações gerais e específicas • http://www.aexis.de/17799CT.htm
Norma NBR 17799 • NBR ISO/IEC 17799 • Versão brasileira da norma ISO, homologada pela ABNT em setembro de 2001 • Tradução literal da norma ISO • www.abnt.org.br • No Brasil, deve-se usar a norma brasileira • Em outros países, recomenda-se verificar se existe uma norma local • Detalhe importante: • Deve-se pagar pelas normas
Áreas (cláusulas de controle) Política desegurança Conformidade Segurançaorganizacional Gestão da continuidade do negócio Classificaçãoe controle de ativos Integridade Confidencia-lidade Informação Desenvolvimento e manutanção de sistemas Segurança pessoal Disponibili-dade Controle de acesso Segurança físicae ambiental Gestão das operações e comunicações
Aspecto Organizacional Técnico Físico Áreas (cláusulas de controle) Organizacional Política de Segurança Segurança Organizacional Classificação eControle de Ativos Controle de Acesso Conformidade Operacional Segurança Físicae Ambiental Segurança Pessoal Desenvolvimento e Manutenção de Sistemas Gestão das Operaçõese Comunicações Gestão da Continuidadedo negócio
Adoção das Normas • Conformidade • Com a norma ISO/IEC 17799:2000/2005 • Certificação • Com a norma BS 7799-2:2002 • A Partir de Fevereiro de 2006 • Certificação pela ISO27001
Vantagens das Normas • Conformidade com regras dos governos para o gerenciamento de riscos • COBIT / Sarbanes-Oxley • Maior proteção das informações confidenciais da organização • Redução no risco de ataques de hackers • Recuperação de ataques mais fácil e rápidas
Vantagens das Normas • Metodologia estruturada de segurança que está alcançando reconhecimento internacional • Maior confiança mútua entre parceiros comerciais • Custos possivelmente menores para seguros de riscos computacionais • Melhores práticas de privacidade e conformidade com leis de privacidade
Exemplo 1:Uso de senhas • Cláusula de controle (área) • 9. Controle de acesso • Sub-cláusula: 9.3. Responsabilidades do usuário • Sub-sub-cláusula: 9.3.1 Uso de senhas • Objetivo de controle (da sub-cláusula 9.3) • Prevenir acesso não autorizado dos usuários • Comentários adicionais (da sub-cláusula 9.3) • A cooperação dos usuários autorizados é essencial para a eficácia da segurança • Convém que os usuários sejam cientes de suas responsabilidades para o controle de acesso
Exemplo 1:Uso de senhas • Comentários adicionais (da sub-sub-cláusula 9.3.1) • Convém que os usuários sigam as boas práticas de segurança na seleção e uso de senhas • As senhas fornecem um meio de validação e identidade do usuário e conseqüentemente o estabelecimento dos direitos de acesso para os recursos ou serviços de processamento da informação • Controles: os usuários devem ser informados para tomar certas providências ...
Exemplo 1:Controles de uso de senhas • Manter a confidencialidade das senhas • Evitar o registro das senhas em papel, a menos que o papel possa ser guardado com segurança • Alterar a senha sempre que existir qualquer indicação de comprometimento do sistema ou da própria senha • Alterar as senhas em intervalos regulares ou baseando-se no número de acessos e evitar a reutilização de senhas antigas • Senhas para contas privilegiadas devem ser alteradas com maior freqüência
Exemplo 1: Controles de uso de senhas • Selecionar senhas de qualidade, com um tamanho mínimo de seis caracteres, que sejam: • Fáceis de lembrar • Não baseadas em coisas que outras pessoas possam facilmente adivinhar ou obter a partir de informações pessoais, como nomes, números, datas, etc. • Sem caracteres repetidos ou grupos somente (alfa)numéricos • Alterar senhas temporárias no primeiro acesso ao sistema
Exemplo 1: Controles de uso de senhas • Não incluir senhas em processos automáticos de acesso ao sistema • Ex: armazenadas em macros ou teclas de função • Não compartilhar senhas individuais • Se os usuários precisarem ter acesso a múltiplas plataformas ou serviço, e manter várias senhas, convém orientá-los para utilizar uma única senha de qualidade
Exemplo 1: Uso de senhas • Perguntas: • Quais controles são computacionais e quais dependem de procedimentos / treinamento? • Como fazer com senhas que precisam ser compartilhadas por grupos? • Como fazer para automatizar o processo do usuário ter acesso a múltiplas plataformas e serviços?
Exemplo 2:Gerenciamento de rede • Cláusula de controle (área) • 8. Gerenciamento das Operações e Comunicações • Sub-cláusula: 8.5: Gerenciamento de rede • Sub-sub-cláusula: 8.5.1. Controles da rede • Objetivo de controle (da sub-cláusula 8.5) • Garantir a salvaguarda das informações na rede e proteção da infra-estrutura de suporte • Comentários adicionais (da sub-cláusula 8.5) • O gerenciamento de redes que transcendem os limites físicos da organização necessita de atenção especial • Pode ser necessária a utilização de controles adicionais para proteção de dados sensíveis que transitam por redes públicas
Exemplo 2: Gerenciamento de rede • Comentários adicionais (da sub-sub-cláusula 8.5.1) • Deve-se usar um conjunto de controles para preservar a segurança nas redes de computadores • Os gestores devem implementar controles para garantir a segurança • Dos dados nas redes • Dos serviços disponibilizados contra acessos não autorizados
Exemplo 2: Controles da rede • Convém que a responsabilidade operacional sobre a rede seja separada da operação dos computadores, onde for apropriado • Convém que seja estabelecidos procedimentos e responsabilidade para o gerenciamento de equipamentos remotos • Convém que sejam estabelecidos controles especiais para garantir a confiabilidade e integridade dos dados que trafegam por redes públicas (quando necessários) • Convém que atividades de gerenciamento sejam cuidadosamente coordenadas, de forma a otimizar os serviços prestados e garantir a consistência dos controles pela infra-estrutura de processamento
Normas para Segurança da Informação • Dúvidas ?