Upload
anderson-gomes
View
13
Download
0
Embed Size (px)
DESCRIPTION
01- Introducao SegInfo2014
Citation preview
ESPECIALIZAÇÃO EM
SEGURANÇA DA INFORMAÇÃO
Tópicos Avançados em Segurança de
Sistemas Computacionais 1
Prof. MSc Rodrigo Vilela da Rocha
Agenda • Apresentação da disciplina
• Apresentação Pessoal
• Métodos de Avaliação
• Cronograma
• Método de estudo
• Introdução
• Padrões
• HSM
• Módulos criptográficos;
• Cartões inteligentes;
• Tokens criptográficos;
• Biometria
2
Apresentação da disciplina:
TÓPICOS AVANÇADOS EM SEGURANÇA DE
SISTEMAS COMPUTACIONAIS 1:
• Padrões em segurança da Informação;
• HSMs (Módulo de Segurança de Hardware);
• Módulos criptográficos;
• Cartões inteligentes;
• Tokens criptográficos;
• Biometria.
3
Métodos de Avaliação
4
Introdução
5
Segurança
6
Segurança da Informação
A informação, independente de seu
formato, é um ativo importante da
organização. Por isso, os ambientes e
os equipamentos utilizados para seu
processamento, seu armazenamento e
sua transmissão devem ser protegidos.
A informação tem valor para a
organização.
7
Segurança da Informação
• É o conjunto de orientações, normas,
procedimentos, politicas e demais ações que tem
por objetivo proteger o recurso informação,
possibilitando que o negócio da organização seja
realizado e a sua missão seja alcançada.
8
Princípios da Segurança
9
Confidencialidade
Integridade
Disponibilidade
Segurança
Proteger a informação significa garantir:
• Disponibilidade: a informação deve estar acessivel para
o funcionamento da organização e para o alcance de
seus objetivos e missão.
• Integridade: a informação deve estar correta, ser
verdadeira e não estar corrompida.
• Confiabilidade: a informação deve ser acessada e
utilizada exclusivamente pelos que necessitam dela para
a realização de suas atividades; para tanto, deve existir
uma autorização prévia.
10
Proteger a informação significa garantir:
• Legalidade: o uso da informação deve estar de acordo
com as leis aplicáveis, regulamentos, licenças e
contratos, bem como com o princípios éticos seguidos
pela organização.
• Auditabilidade: o acesso e uso da informação devem ser
registrados, possibilitando a identificação de quem fez o
acesso e o que foi feito com a informação.
• Não repúdio de auditoria: o usuário que gerou a
informação (ex: e-mail) não pode negar o fato, pois
existem mecanismos que garantem sua autoria
11
Para obter a SI:
Implementar controles para garantir que os objetivos de segurança sejam alcançados
12
Porque SI é necessária?
- Confidencialidade, integridade e disponibilidade são essenciais para preservar o negócio
- A informação, processos, sistemas e redes são importantes ativos para os negócios
- As informações são constantemente “ameaçadas”
- Dependência dos SIs gera vulnerabilidades
- Quase nada é projetado para ser seguro
13
Requisitos de segurança
• Avaliar os riscos dos ativos
• vulnerabilidades;
• ameaças;
• probabilidade de incidentes;
• impacto ao negócio.
• As organizações devem atender:
• legislação vigente;
• estatutos;
• regulamentação;
• cláusulas contratuais.
14
Padrões em segurança da Informação
15
Adotado (Menezes, 2008)
Norma BS 7799 (BS = British Standard, Padrão Britânico)
• BS-7799-1:2000 – Primeira parte
• Publicada em 1995 pela primeira vez
• Versão atual de 2000
• Código de prática para a gestão da segurança
da informação
• Objetivo da organização: conformidade
16
Norma BS 7799 (BS = British Standard, Padrão Britânico)
• BS-7799-2:2002 – Segunda parte
• Publicada em 1998 pela primeira vez
• Versão atual de 2002
• Especificação de sistemas de gerenciamento
de segurança da informação (ISMS –
information security management system)
• Objetivo da organização: certificação
17
Norma ISO/IEC 17799
• Internacionalização da norma BS 7799
• ISO/IEC 17799:2000, substitui a norma britânica
• Inclui 127 controles e 36 objetivos de controle
agrupados em 10 áreas de controle
• Controles baseados na experiência das organizações e
melhores práticas
• ISO/IEC 17799:2005: disponível maio/junho 2005
18
Norma NBR 17799
• NBR ISO/IEC 17799
• Versão brasileira da norma ISO, homologada pela ABNT em
setembro de 2001
• Tradução literal da norma ISO
• www.abnt.org.br
• No Brasil, deve-se usar a norma brasileira
• As normas tem que ser pagas • http://www.abntcatalogo.com.br/
• Ex: http://www.abntcatalogo.com.br/norma.aspx?ID=306580 R$ 113,00
19
Vantagens
• Proteção das informações confidenciais da
Empres/Instituição
• Metodologia estruturada de segurança que está
alcançando reconhecimento internacional
• Conformidade com regras dos governos para o
gerenciamento de riscos
• Redução no risco de ataques de hackers
• Recuperação de ataques mais fácil e rápidas
20
Vantagens
• Melhores práticas de privacidade e conformidade
com leis (normas) de privacidade
• Maior confiança mútua entre parceiros comerciais
• Custos menores para seguros de riscos
computacionais
21
NORMA ISO/IEC 17799
• O objetivo da norma é o de garantir a continuidade dos
negócios por meio da implantação de controles e reduzir as
possibilidades de perda das informações da organização.
• Compilação de recomendações para melhores práticas de
segurança, que podem ser aplicadas por qualquer tipo de
organização.
• Padrão flexível.
• Neutra com relação à tecnologia.
22
Histórico • Em 1987 o departamento de comércio e indústria do Reino
Unido (DTI) criou um centro de segurança de informações, o
CCSC (Commercial Computer Security Centre).
• O CCSC teve como objetivo de criar uma norma de
segurança das informações para o Reino Unido.
• Desde 1989 vários documentos preliminares foram
publicados, e em 1995 surgiu a BS7799 (British Standart
7799).
• Esse documento foi disponibilizado em duas partes para
consulta pública, a 1ª parte em 1995 e a 2ª parte em 1998.
23
Histórico
• Após incorporar diversas sugestões e alterações
(01/12/2000), a BS7799 ganhou status internacional com sua
publicação na forma da ISO/IEC 17799:2000.
• A ABNT homologou a versão brasileira da norma (setembro
de 2001), denominada NBR ISO/IEC 17799.
• Em 24 de abril de 2003 foi realizado um encontro em
Quebec, no qual uma nova versão da norma revisada foi
preparada. Essa nova versão da ISO/IEC 17799 foi lançada
2005.
24
Histórico
• Em outubro de 2005, British Standard BS 7799 parte 2
(BS7799-2) foi adotado pela ISO e re-identificado,
iniciando a nova série 27000 de padrões internacionais
para segurança da informação,
• lançado como norma ISO/IEC 27001:2005.
• De 2001 a 2004, a norma internacional ISO 17799
(BS7799-1) passou por ampla revisão, e originou a nova
versão ISO/IEC 17799:2005 publicada em junho de 2005.
• E em julho de 2007, o padrão 17799:2005 foi renumerado
para 27002:2005 (através do ISO/IEC
17799:2005/Cor.1:2007), integrando a nova série 27000
25
NBR ISO/ IEC 17799:2005
• Tecnologia de Informação – Técnicas de Segurança –
Código de prática para a gestão da segurança da
informação
• Possui onze seções de controle (macro-controles).
• Cada um destes controles é subdividido em vários outros
controles (a norma possui um total de 137 controles de
segurança).
• http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=50297
• https://www.iso.org/obp/ui/#iso:std:iso-iec:27002:ed-1:v1:en
26
1. Política de Segurança da Informação
• Documento
• Analise crítica das políticas
27
2. Infra-estrutura de segurança
• Comprometimento da Direção com a segurança
• Coordenação do SGSI
• Atribuições de responsabilidades para a segurança da informação
• Processos de autorização.
• Acordos de confidencialidade.
• Contrato com autoridades
• Contrato com grupos especiais.
• Analise critica independente
• Partes externas
• Identificação dos riscos relacionados com partes externas.
• Identificando a S.I. quando tratando com os clientes.
• Segurança nos acordos com terceiros
28
3. Controle e Classificação de Ativos
• Gestão de Ativos
• Responsabilidade pelos ativos
• Classificação da Informação
29
4. Segurança em Recursos Humanos
• Antes da contratação
• Durante a contratação
• Encerramento ou mudança de contratação
30
5. Segurança Física e do Ambiente
• Áreas Seguras
• Segurança dos Equipamentos
31
6. Gerenciamento das Operações e comunicações
• Procedimentos e Responsabilidades Operacionais
• Gerenciamento de Serviços Terceirizados
• Planejamento e aceitação dos Sistemas
• Proteção contra Códigos Maliciosos e Códigos móveis
• Cópias de Segurança
• Ger. Da Segurança da Rede
• Manuseio de mídias
• Troca de informações
• Serviços de Comercio Eletrônico
• Monitoramento
32
7. Controles de acessos
• Requisitos de negócio para controle de acesso
• Gerenc.de Acessos de Usuário
• Responsabilidades dos Usuários
• Controle de acessos a rede
• Controle de acesso ao Sistema Operacional
• Controle de acesso à aplicativos e à informação
• Computação Móvel e Trab.Remoto
33
8. Aquisição Desenvolvimento e
Manutenção de Sistemas de Informação
• Requisitos de Seguranças de Sistemas de
Informação
• Processamento Correto de Aplicações
• Controles Criptográficos
• Segurança dos Arquivos do Sistema
• Segurança em processos de Desenvolvimento e
de Suporte
• Gestão de Vulnerabilidades Técnicas
34
9. Gestão de incidentes
• Notificação de Fragilidade e eventos de
segurança da Informação
• Gestão de Incidente de Segurança da
Informação e Melhorias
35
10. Gestão da continuidade dos
negócios
• Gestão da Continuidade do Negócio, Relativos à
segurança da Informação
36
11. Conformidade
• Conformidade com Requisitos Legais.
• Conformidade com Normas, Políticas do SGSI e Conformidade Técnica
• Conformidade quanto à Auditoria de Sistemas de Informação
37
Checklist ISO 17799
• Elaborado por SANS (System Administration,
Networking and Security Institute) USA –
• mais de 156 mil profissionais de segurança,
auditores, administradores de sistemas e redes.
• Direcionado aos profissionais de TI e Segurança da
Informação que necessitam auditar o nível de
segurança de suas empresas.
• http://www.sans.org/score/checklists/ISO_17799_checklist.pdf
Versão não-oficial em PT: • http://www.linuxsecurity.com.br/info/general/iso17799.checklist.pt-BR.pdf
38
Algumas Considerações
• A SI está relacionada com o faturamento de uma empresa,
sua imagem e sua reputação.
• As consequências de incidentes de segurança podem ser
desastrosas, mas podem ser evitadas.
• A ISO17799 ampara os mais diversos tópicos da área de
segurança e possui um grande número de controles e
requerimentos.
39
Algumas Considerações
• A norma é flexível e genérica.
• A implantação da Norma em determinado ambiente
não é tão simples e envolve muitos procedimentos.
• Pode ser considerada a norma mais importante
para a gestão da segurança da informação.
• Estabelece uma linguagem internacional comum
para todas as organizações do mundo.
• É uma ferramenta essencial para empresas de
qualquer tipo ou tamanho.
40
ISO 27001
A norma ISO 27001 é o padrão e a referência Internacional
para a gestão da Segurança da informação, assim como o
padrão ISO 9001 que é a referência Internacional para a
certificação de gestão em Qualidade.
A adopção da norma ISO 27001 serve para que as
organizações adoptem por um modelo adequado de
estabelecimento, implementação, operação,
monitorização, revisão e gestão de um Sistema de Gestão
de Segurança da Informação
41
http://www.abntcatalogo.com.br/norma.aspx?ID=306580
ISO 27001
• Este Sistema de Gestão de Segurança da Informação
(SGSI) é, de acordo com os princípios da norma ISO
27001, um modelo completo de abordagem à Segurança
e independente de marcas e fabricantes tecnológicos.
• É completo porque acaba por ser uma abordagem 360º à
Segurança da Informação, trata de múltiplos temas tais
como as telecomunicações, segurança aplicacional,
proteção do meio físico, recursos humanos, continuidade
de negócio, licenciamento, etc.
42
http://www.iso27001standard.com/pt-br/ferramentas-
gratuitas/duracao-da-implementacao Calculadora:
Diferenças entre 17799 e 27001
• ISO 17799:
Código de práticas para a gestão da segurança da
informação (São Recomendações)
• certificação BS 7799 (part1)
• ISO 27001:
Sistemas de Gestão de Segurança da Informação –
Requisitos (são obrigatórias)
• certificação ISO 27001
• Podemos dizer que á ISO 17799 está contida na ISO 27001
43
ISO/IEC 15408
• É um padrão internacional conhecido como Common
Criteria (CC – Critérios Comuns) para segurança de
computadores.
• Padrão utilizado para definir regras de segurança lógica
das aplicações e para o desenvolvimento de aplicações
seguras.
• Método para avaliação da segurança de ambientes de
desenvolvimento de sistemas.
44
ISO/IEC 15408
• Framework em que os usuários de sistemas
computacionais especificam seus requisitos funcionais de
segurança e garantia.
• Padroniza de uma forma rigorosa o processo de
especificação, implementação e avaliação de um produto
de segurança computacional.
45
FIPS PUB 140
• FEDERAL INFORMATION PROCESSING STANDARDS
PUBLICATION
• Nome do Padrão:
• Requisitos de segurança para módulos criptográficos (FIPS PUB 140-2).
46
http://csrc.nist.gov/publications/fips/fips140-2/fips1402.pdf
FIPS PUB 140
• O Padrão especifica os requisitos de segurança que serão atendidos
por um módulo criptográfico utilizado dentro de um sistema de
segurança que protege informações sensíveis, mas não classificados.
• A norma prevê quatro níveis crescentes, qualitativos de segurança:
• Nível 1 (utilizado em produtos exclusivos de software criptográficos)
• Nível 2 (requer autenticação pelo cargo do usuário, requer a capacidade de detectar
intrusões físicas por sistemas de bloqueio físicos ou selos de segurança)
• Nível 3 (adiciona resistência à invasão física para fins de desmontagem ou
modificação, torna os ataques mais difíceis, o dispositivo deve ser capaz de eliminar
os parâmetros de segurança críticas e proteção eficaz e gerenciamento de chaves de
criptografia
• Nível 4 (inclui proteção contra intrusão avançada e é projetado para produtos que
operam em ambientes fisicamente desprotegidos)
• são destinados a cobrir a ampla escala de aplicações e ambientes que
podem ser utilizados nos módulos criptográficos.
47
FIPS PUB 140 • Os requisitos de segurança cobre áreas relacionadas ao design seguro e
implementação de um módulo criptográfico. Estas áreas incluem:
• a especificação do módulo criptográfico,
• portas do módulo de criptografia e interfaces;
• funções,
• serviços e autenticação;
• modelo de estado finito;
• segurança física;
• ambiente operacional;
• gerenciamento de chaves de criptografia;
• interferência eletromagnética / compatibilidade eletromagnética (EMI /
EMC);
• auto-testes;
• garantia do projeto;
• e mitigação de outros ataques
48
CMVP
• O Programa de Validação de módulo criptográfico (CMVP) valida
módulos criptográficos (FIPS) 140-2 e outros padrões baseados em
criptografia.
• O CMVP é um esforço conjunto entre o NIST e Communications
Security Establishment (CSE) do Governo do Canadá.
• O objetivo do CMVP é promover o uso de módulos de criptografia
validados e fornecer órgãos federais com uma métrica de segurança
para uso em equipamentos que contenham módulos criptográficos
validados na aquisição.
49