3 - Denis A

  • View
    228

  • Download
    0

Embed Size (px)

DESCRIPTION

Boas práticas em 2ª edição Brasília, 2007 Impresso no Brasil / Printed in Brazil Ficha catalográfica elaborada pela Biblioteca Ministro Ruben Rosa desde que citada a fonte e sem fins comerciais. em parte ou no todo, sem alteração do conteúdo, É permitida a reprodução desta publicação,

Text of 3 - Denis A

  • Braslia, 2007

    Boas prticas em

    Segurana da Informao 2 edio

  • Copyright 2007, Tribunal de Contas da Unio

    Impresso no Brasil / Printed in Brazil

    permitida a reproduo desta publicao,

    em parte ou no todo, sem alterao do contedo,

    desde que citada a fonte e sem fins comerciais.

    Brasil. Tribunal de Contas da Unio. Boas prticas em segurana da informao / Tribunal de Contas da Unio. 2. ed. Braslia : TCU, Secretaria de Fiscalizao de Tecnologia da Informao, 2007. 70 p.

    1. Segurana da informao 2. Auditoria, Tecnologia da informao I. Ttulo.

    Ficha catalogrfica elaborada pela Biblioteca Ministro Ruben Rosa

  • Apresentao

    Na sociedade da informao, ao mesmo tempo em que as informaes so consideradas o principal patrimnio de uma organizao, esto tambm sob constante risco, como nunca estiveram antes. Com isso, a segurana da informao tornou-se um ponto crucial para a sobrevivncia das instituies.

    Um dos focos das fiscalizaes de Tecnologia da Informao (TI), realizadas pela Secretaria de Fiscalizao de Tecnologia da Informao (Sefti), do Tribunal de Contas da Unio, a verificao da conformidade e do desempenho das aes governamentais em aspectos de segurana de tecnologia da informao, utilizando critrios fundamentados. O principal objetivo dessas fiscalizaes contribuir para o aperfeioamento da gesto pblica, para assegurar que a tecnologia da informao agregue valor ao negcio da Administrao Pblica Federal em benefcio da sociedade.

    O Tribunal de Contas da Unio, ciente da importncia de seu papel pedaggico junto aos administradores pblicos e da utilidade de apresentar sua forma de atuao s unidades jurisdicionadas, aos parlamentares, aos rgos governamentais, sociedade civil e s organizaes no-governamentais, elaborou esta publicao com o intuito de despertar a ateno para os aspectos da segurana de tecnologia da informao nas organizaes governamentais.

    Espera-se que este trabalho seja uma boa fonte de consulta, e que o Tribunal, mais uma vez, colabore para o aperfeioamento da Administrao Pblica.

    Walton Alencar Rodrigues

    Ministro-Presidente

  • Sumrio

    Introduo .............................................................................................................7

    Controles de Acesso Lgico ....................................................................................9

    Poltica de Segurana de Informaes ...................................................................25

    Plano de Contingncias ........................................................................................33

    TCU e a NBR ISO/IEC 17799 ..................................................................................39

  • Introduo

    Na poca em que as informaes eram armazenadas apenas em papel, a segurana era relativamente simples. Bastava trancar os documentos em algum lugar e restringir o acesso fsico quele local. Com as mudanas tecnolgicas e com o uso de computadores de grande porte, a estrutura de segurana ficou um pouco mais sofisticada, englobando controles lgicos, porm ainda centralizados. Com a chegada dos computadores pessoais e das redes de computadores que conectam o mundo inteiro, os aspectos de segurana atingiram tamanha complexidade que h a necessidade de desenvolvimento de equipes e de mtodos de segurana cada vez mais sofisticados. Paralelamente, os sistemas de informao tambm adquiriram importncia vital para a sobrevivncia da maioria das organizaes modernas, j que, sem computadores e redes de comunicao, a prestao de servios de informao pode se tornar invivel.

    O objetivo desta publicao apresentar, na forma de captulos, boas prticas em segurana da informao, a qualquer pessoa que interaja de alguma forma com ambientes informatizados, desde profissionais de informtica envolvidos com segurana de informaes at auditores, usurios e dirigentes preocupados em proteger o patrimnio, os investimentos e os negcios de sua organizao, em especial, os gestores da Administrao Pblica Federal.

    Esta segunda edio inclui um novo captulo, que comenta a NBR ISO/IEC 17799 e lista acrdos e decises do Tribunal sobre segurana de tecnologia da informao, alm dos trs captulos que constavam da primeira edio (controles de acesso lgico, poltica de segurana de informaes e plano de contingncias). nossa inteno continuar a publicar novas edies, incluindo captulos sobre assuntos correlatos.

    Diretoria de Auditoria de Tecnologia da Informao

  • BOAS PRTICAS EM SEGURANA DA INFORMAO

    9

    1. Controles de Acesso Lgico

    Neste captulo sero apresentados conceitos importantes sobre controles de acesso lgico a serem implantados em instituies que utilizam a informtica como meio de gerao, armazenamento e divulgao de informaes, com o objetivo de prover segurana de acesso a essas informaes.

    1.1 O que so controles de acesso?

    Os controles de acesso, fsicos ou lgicos, tm como objetivo proteger equipamentos, aplicativos e arquivos de dados contra perda, modificao ou divulgao no autorizada. Os sistemas computacionais, bem diferentes de outros tipos de recursos, no podem ser facilmente controlados apenas com dispositivos fsicos, como cadeados, alarmes ou guardas de segurana.

    1.2 O que so controles de acesso lgico?

    Os controles de acesso lgico so um conjunto de procedimentos e medidas com o

    objetivo de proteger dados, programas e sistemas contra tentativas de acesso no autorizadas feitas por pessoas ou por outros programas de computador.

    O controle de acesso lgico pode ser encarado de duas formas diferentes: a partir do recurso computacional que se quer proteger e a partir do usurio a quem sero concedidos certos privilgios e acessos aos recursos.

    A proteo aos recursos computacionais baseia-se nas necessidades de acesso de cada usurio, enquanto que a identificao e autenticao do usurio (confirmao de que o usurio realmente quem ele diz ser) feita normalmente por meio de um identificador de usurio (ID) e por uma senha durante o processo de logon no sistema.

    1.3 Que recursos devem ser protegidos?

    A proteo aos recursos computacionais inclui desde aplicativos e arquivos de dados at

  • 10

    TRIBUNAL DE CONTAS DA UNIO

    utilitrios e o prprio sistema operacional. Abaixo sero apresentados os motivos pelos quais esses recursos devem ser protegidos.

    Aplicativos (programas fonte e objeto)

    O acesso no autorizado ao cdigo fonte dos aplicativos pode ser usado para alterar suas funes e a lgica do programa. Por exemplo, em um aplicativo bancrio, pode-se zerar os centavos de todas as contas-correntes e transferir o total dos centavos para uma determinada conta, beneficiando ilegalmente esse correntista.

    Arquivos de dados

    Bases de dados, arquivos ou transaes de bancos de dados devem ser protegidos para evitar que os dados sejam apagados ou alterados sem autorizao, como, por exemplo, arquivos com a configurao do sistema, dados da folha de pagamento, dados estratgicos da empresa.

    Utilitrios e sistema operacional

    O acesso a uti l itrios, como editores, compiladores, softwares de manuteno, monitorao e diagnstico deve ser restrito, j que essas ferramentas podem ser usadas para alterar aplicativos, arquivos de dados e de configurao do sistema operacional, por exemplo.

    O sistema operacional sempre um alvo bastante visado, pois sua configurao o ponto-chave de todo o esquema de segurana. A fragilidade do sistema operacional compromete

    a segurana de todo o conjunto de aplicativos, utilitrios e arquivos.

    Arquivos de senha

    A falta de proteo adequada aos arquivos que armazenam as senhas pode comprometer todo o sistema, pois uma pessoa no autorizada, ao obter identificador (ID) e senha de um usurio privilegiado, pode, intencionalmente, causar danos ao sistema. Essa pessoa dificilmente ser barrada por qualquer controle de segurana instalado, j que se faz passar por um usurio autorizado.

    Arquivos de log

    Os arquivos de log so usados para registrar aes dos usurios, constituindo-se em timas fontes de informao para auditorias futuras. Os logs registram quem acessou os recursos computacionais, aplicativos, arquivos de dados e utilitrios, quando foi feito o acesso e que tipo de operaes foram efetuadas.

    Um invasor ou usurio no autorizado pode tentar acessar o sistema, apagar ou alterar dados, acessar aplicativos, alterar a configurao do sistema operacional para facilitar futuras invases, e depois alterar os arquivos de log para que suas aes no possam ser identificadas. Dessa forma, o administrador do sistema no ficar sabendo que houve uma invaso.

    1.4 O que os controles de acesso lgico pretendem garantir em relao segurana de informaes?

  • BOAS PRTICAS EM SEGURANA DA INFORMAO

    11

    Os controles de acesso lgico so implantados com o objetivo de garantir que:

    apenas usurios autorizados tenham acesso aos recursos;

    os usurios tenham acesso apenas aos recursos realmente necessrios para a execuo de suas tarefas;

    o acesso a recursos crticos seja bem monitorado e restrito a poucas pessoas;

    os usurios estejam impedidos de executar transaes incompatveis com sua funo ou alm de suas responsabilidades.

    O controle de acesso pode ser traduzido, ento, em termos de funes de identificao e autenticao de usurios; alocao, gerncia e monitoramento de privilgios; limitao, monitoramento e desabilitao de acessos; e preveno de acessos no autorizados.

    1.5 Como os usurios so identificados e autenticados?

    Os usurios dos sistemas computacionais so identificados e autenticados durante um processo, chamado Logon. Os processos de logon so usados para conceder acesso aos dados e aplicativos em um sistema computacional, e orientam os usurios durante sua id