Administração e segurança de redes Aula 07 Políticas de segurança – Implementação Prof. Diovani Milhorim 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo

Administração e segurança de redes

Aula 07

Políticas de segurança – Implementação

Prof. Diovani Milhorim

11/04/23Créditos Prof. Msc.

Ronei Ferrigolo

Auditoria e Segurança

Normas

NBR ISO/IEC 270012006 e 17799:2005 - Visão Geral Histórico Introdução às normas Segurança da informação ISO 27001

• SGSI• Responsabilidades da direção• Auditorias internas• Análise Crítica do SGSI• Sistema de melhoria contínua

11/04/23Créditos Prof. Msc. Ronei

Ferrigolo


Histórico 1995: publicada a primeira versão da BS 7799-1 (BS

7799-1:1995 - Tecnologia da Informação - Código de prática para gestão da segurança da informação)

1998: publicada a primeira versão da BS 7799-2 (BS 7799-2:1998 - Sistema de gestão da Segurança da Informação - Especificações e guia para uso)

1999: publicada uma revisão da BS 7799-1 (BS 7799-1:1999 - Tecnologia da Informação - Código de prática para gestão da segurança da informação)

2000: publicada a primeira versão da norma ISO/IEC 17799 (ISO/IEC 17799:2000 - Tecnologia da Informação - Código de prática para gestão da segurança da informação também referenciada como BS ISO/IEC 17799:2000)


Ferrigolo


Histórico

- 2001: publicada a primeira versão da norma no Brasil, NBR ISO/IEC 17799 (NBR ISO/IEC 17799:2001 - Tecnologia da Informação - Código de prática para gestão da segurança da informação)

- 2002: publicada revisão da norma BS 7799 parte 2 (BS7799-2:2002 - Sistema de gestão da Segurança da Informação - Especificações e guia para uso).

- Agosto/2005: publicada a segunda versão da norma no Brasil, NBR ISO/IEC 17799 (NBR ISO/IEC 17799:2005)

- Outubro/2005: publicada a norma ISO 27001 (ISO/IEC 27001:2005 - Tecnologia da Informação - Técnicas de segurança - Sistema de gestão da Segurança da Informação - Requisitos).


Ferrigolo


Introdução às Normas

Norma 27001Provê um modelo de sistema de gestão

da segurança da informação (SGSI)Permite a certificação de uma

organização segundo seu referencialBaseia-se na abordagem de processo

• Aplica um sistema de processos, junto com a identificação e interação destes processos e asua gestão


Ferrigolo



Norma 27001Encoraja o uso do modelo PDCA

• Entendimento dos requisitos e necessidade de PSI

• Implementação e operação de controles• Monitoração e análise crítica• Melhoria contínua


Ferrigolo



Norma NBR ISO/IEC 17799:2005 TI – Código de Prática para gestão da

segurança da informação Estabelece diretrizes e princípios gerais para

implantar um SGSI. Não permite a certificação de uma organização

em relação ao seu modelo de referência Prescreve práticas para

a) Política de Segurança da Informaçãob) Organização da infra-estrutura da informaçãoc) Gestão de ativos


Ferrigolo



Prescreve práticas para (continuação)d) Segurança em recursos humanos

e) Segurança física e do ambiente

f) Gerenciamento das operações e comunicações

g) Controle de Acessos

h) Aquisição, desenv. e manutenção de SI

i) Gestão de incidentes de SI

j) Gestão de continuidade de negócios

k) Conformidade11/04/23

Créditos Prof. Msc. Ronei Ferrigolo


SGSI


Ferrigolo


Partes Interessadas Organização

Expectativas e requisitosde segurança da informação

Segurança da informação gerenciada

PlanEstabeleceSGSI

DoImplementae Opera

CheckMonitora e Analisa criticamente

ActMantém e melhora

NBR ISO/IEC 17799:2005

SGSI

• A organização deve estabelecer, implementar e operar, monitorar e analisar criticamente um SGSI

• Documentado• Contextualizado em relação ao

negócio• Contextualizado em relação aos

riscos• Baseado no modelo PDCA


Ferrigolo


SGSI - Plan

• Estabece a PSI, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da SI para produzir resultados de acordo com as políticas e objetivos globais de uma organização.


Ferrigolo


PlanEstabeleceSGSI

Estabelecendo e Gerenciando o SGSI


Ferrigolo


PlanEstabeleceSGSI

Escopo e os limites

PSI Abordagem

Análise de Risco

IdentificaRiscos

Analisa e Avalia

Riscos

Opções tratamento

riscos

Seleciona objetivos de

controle e risco

Aprova com diretoria riscos

residuais

Autoriza com diretoria implem.

operação SGSI

Declaração Aplicabilidade

SGSI - Do

• Implementar e operar a política, controles, processos e procedimentos do SGSI


Ferrigolo


DoImplementae Opera

Implementar e operar o SGSI


Ferrigolo


Plano tratam de

Riscos

Implem. Plano trat.

Riscos

ImplementaControles

selecionados

Define medição da eficácia

dos controles

Conscientização e treinamento

Gerenciar as Operações

do SGSI

Gerenciar os recursos

para SGSI

Controles para Detecção Eventos

DoImplementae Opera

SGSI - Check

• Avaliar, e quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiência prática do SGSI e apresentar os resultados para análise crítica pela direção


Ferrigolo


CheckMonitora e Analisa criticamente

Monitorar e analisar criticamente (AC) o SGSI


Ferrigolo


Executar Procedim

Monitoração

AC regulareseficácia

Medir Eficácia

controles

AC as Análise de

Risco

Auditar internamente

AC do SGSI pela Direção

Atualizar Planos de

segurança

Registrar ações e eventos com

Impacto no SGSI

Check

SGSI - Act

• Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI


Ferrigolo


ActMantém e melhora

Manter e melhorar o SGSI


Ferrigolo


Implementar Melhorias

identificadas

Executar ações preventivas e

corretivas

Comunicar ações de melhoria (obter

concordância?)

Assegurar Atingimento dos

obj. pretendidos

Act

SGSI - Controles

• Documentos• Protegidos e controlados• Aprovados, analisados criticamente,

íntegros, disponíveis, identificados e com a confidencialidade garantida

• Prevenido o uso não intencional• Registros

• Estabelecidos e mantidos para fornecer evidências da operação eficaz do SGSI


Ferrigolo


Responsabilidades da direção

• Comprometimento da direção com o PDCA do SGSI deve ser evidente

• Determinar e prover os recursos para o PDCA do SGSI, inclusive fazendo análise crítica do mesmo

• Garantir as condições para treinamento, conscientização e determinação das competências de todo o pessoal com responsabilidades no SGSI


Ferrigolo


Auditorias internas

• Auditorias internas a intervalos planejados para determinar se os controles planejados:

• Atendem os requisitos da norma e legislação• Atendem requisitos de segurança identificados• São mantidos e implementados com eficácia• São executados conforme esperado

• Seguir regras básicas de auditoria• Devem ser conduzidas a partir de procedimentos

documentados


Ferrigolo


Análise Crítica do SGSI

• A direção deve realizar AC do SGSI a intervalos planejados, pelo menos 1 vez por ano e com resultados documentados

• Entradas• Resultados das auditorias internas,• Feedback das partes interessadas, • Técnicas e produtos atualizados• Situação das ações preventivas e corretivas• Vulnerabilidades e ameaças• Resultados da eficácia das medições• Acompanhamento das ACs anteriores• Mudanças que possam afetar o SGSI• Recomendações externas para melhoria


Ferrigolo


Análise Crítica do SGSI• Saídas (decisões e ações relativas a)

• Melhoria da eficácia do SGSI• Atualização da análise/avaliação de riscos• Modificações em procedimentos• Necessidades de recursos• Melhoria na forma como a eficácia dos

controles está sendo medida


Ferrigolo


Sistema de melhoria contínua

• Continuamente deve melhorar a eficácia a partir de ações corretivas e preventivas

• Corretivas• Buscam eliminar as causas de não-

conformidades atuais do SGSI de forma a evitar sua repetição

• Preventivas• Buscam eliminar as causas de não-

conformidades potenciais do SGSI, de forma a evitar sua ocorrência.


Ferrigolo


Documents

Administração e segurança de redes Aula 07 Políticas de segurança – Implementação Prof. Diovani Milhorim 11/1/2014 Créditos Prof. Msc. Ronei Ferrigolo