Embed Size (px)
Citation preview
Normas para Segurança da InformaçãoCarlos Sampaio
Normas para Segurança da Informação
BS 7799
ISO/IEC 17799
NBR 17799
Norma BS 7799: duas partes (BS = British Standard)
BS-7799-1:2000 – Primeira parte Publicada em 1995 pela primeira vez Versão atual de 2000 Código de prática para a gestão da segurança da informação Objetivo da organização: conformidade
BS-7799-2:2002 – Segunda parte Publicada em 1998 pela primeira vez Versão atual de 2002 Especificação de sistemas de gerenciamento de segurança da
informação (ISMS – information security management system)
Objetivo da organização: certificação
Norma ISO/IEC 17799 Internacionalização da norma BS 7799
ISO/IEC 17799:2000, substitui a norma britânica Inclui 127 controles 127 controles e 36 objetivos de 36 objetivos de
controlecontrole agrupados em 10 áreas de 10 áreas de controlecontrole
Controles baseados na experiência das organizações e melhores práticas
Atualmente está sendo atualizado ISO/IEC 17799:2005: disponível maio/junho 2005 Várias modificações gerais e específicas http://www.aexis.de/17799CT.htm
Norma NBR 17799 NBR ISO/IEC 17799
Versão brasileira da norma ISO, homologada pela ABNT em setembro de 2001
Tradução literal da norma ISO www.abnt.org.br
No Brasil, deve-se usar a norma brasileira Em outros países, recomenda-se verificar se
existe uma norma local Detalhe importante:
Deve-se pagar pelas normas
Controle de acesso
Classificaçãoe controle de
ativos
Política desegurança
Segurançaorganizacional
Segurança pessoal
Segurança físicae ambientalGestão das
operações e comunicações
Desenvolvimento e manutanção
de sistemas
Gestão da continuidade
do negócio
Conformidade
Informação
IntegridadeConfidencia-
lidade
Disponibili-dade
Áreas (cláusulas de controle)
Áreas (cláusulas de controle)
Organizacional
Operacional
Política de Segurança
Segurança Organizacional
Desenvolvimento eManutenção de Sistemas
Controle de Acesso
Conformidade
Segurança PessoalSegurança Física
e Ambiental
Gestão das Operaçõese Comunicações
Gestão da Continuidadedo negócio
Aspecto
Organizacional
Técnico
Físico
Classificação eControle de Ativos
Adoção das Normas
Conformidade Com a norma ISO/IEC 17799:2000/2005
Certificação Com a norma BS 7799-2:2002
A Partir de Fevereiro de 2006 Certificação pela ISO27001
Vantagens das Normas
Conformidade com regras dos governos para o gerenciamento de riscos COBIT / Sarbanes-Oxley
Maior proteção das informações confidenciais da organização
Redução no risco de ataques de hackers Recuperação de ataques mais fácil e
rápidas
Vantagens das Normas Metodologia estruturada de segurança
que está alcançando reconhecimento internacional
Maior confiança mútua entre parceiros comerciais
Custos possivelmente menores para seguros de riscos computacionais
Melhores práticas de privacidade e conformidade com leis de privacidade
Exemplo 1:Uso de senhas Cláusula de controle (área)
9. Controle de acesso Sub-cláusula: 9.3. Responsabilidades do usuário Sub-sub-cláusula: 9.3.1 Uso de senhas
Objetivo de controle (da sub-cláusula 9.3) Prevenir acesso não autorizado dos usuários
Comentários adicionais (da sub-cláusula 9.3) A cooperação dos usuários autorizados é
essencial para a eficácia da segurança Convém que os usuários sejam cientes de suas
responsabilidades para o controle de acesso
Exemplo 1:Uso de senhas Comentários adicionais
(da sub-sub-cláusula 9.3.1) Convém que os usuários sigam as boas
práticas de segurança na seleção e uso de senhas
As senhas fornecem um meio de validação e identidade do usuário e conseqüentemente o estabelecimento dos direitos de acesso para os recursos ou serviços de processamento da informação
Controles: os usuários devem ser informados para tomar certas providências ...
Exemplo 1:Controles de uso de senhas
1. Manter a confidencialidade das senhas2. Evitar o registro das senhas em papel, a
menos que o papel possa ser guardado com segurança
3. Alterar a senha sempre que existir qualquer indicação de comprometimento do sistema ou da própria senha
4. Alterar as senhas em intervalos regulares ou baseando-se no número de acessos e evitar a reutilização de senhas antigas Senhas para contas privilegiadas devem ser
alteradas com maior freqüência
Exemplo 1: Controles de uso de senhas5. Selecionar senhas de qualidade, com um
tamanho mínimo de seis caracteres, que sejam:
Fáceis de lembrar Não baseadas em coisas que outras pessoas
possam facilmente adivinhar ou obter a partir de informações pessoais, como nomes, números, datas, etc.
Sem caracteres repetidos ou grupos somente (alfa)numéricos
6. Alterar senhas temporárias no primeiro acesso ao sistema
Exemplo 1: Controles de uso de senhas7. Não incluir senhas em processos
automáticos de acesso ao sistema Ex: armazenadas em macros ou teclas
de função
8. Não compartilhar senhas individuais9. Se os usuários precisarem ter acesso
a múltiplas plataformas ou serviço, e manter várias senhas, convém orientá-los para utilizar uma única senha de qualidade
Exemplo 1: Uso de senhas Perguntas:
Quais controles são computacionais e quais dependem de procedimentos / treinamento?
Como fazer com senhas que precisam ser compartilhadas por grupos?
Como fazer para automatizar o processo do usuário ter acesso a múltiplas plataformas e serviços?
Exemplo 2:Gerenciamento de rede
Cláusula de controle (área) 8. Gerenciamento das Operações e Comunicações Sub-cláusula: 8.5: Gerenciamento de rede Sub-sub-cláusula: 8.5.1. Controles da rede
Objetivo de controle (da sub-cláusula 8.5) Garantir a salvaguarda das informações na rede e proteção
da infra-estrutura de suporte
Comentários adicionais (da sub-cláusula 8.5) O gerenciamento de redes que transcendem os limites físicos
da organização necessita de atenção especial Pode ser necessária a utilização de controles adicionais para
proteção de dados sensíveis que transitam por redes públicas
Exemplo 2: Gerenciamento de rede
Comentários adicionais (da sub-sub-cláusula 8.5.1) Deve-se usar um conjunto de controles
para preservar a segurança nas redes de computadores
Os gestores devem implementar controles para garantir a segurança
Dos dados nas redes Dos serviços disponibilizados contra acessos
não autorizados
Exemplo 2: Controles da rede
1. Convém que a responsabilidade operacional sobre a rede seja separada da operação dos computadores, onde for apropriado
2. Convém que seja estabelecidos procedimentos e responsabilidade para o gerenciamento de equipamentos remotos
3. Convém que sejam estabelecidos controles especiais para garantir a confiabilidade e integridade dos dados que trafegam por redes públicas (quando necessários)
4. Convém que atividades de gerenciamento sejam cuidadosamente coordenadas, de forma a otimizar os serviços prestados e garantir a consistência dos controles pela infra-estrutura de processamento
Normas para Segurança da Informação
Dúvidas ?
