Segurança da Informação Professor: Pedro R3 Junior · PDF fileCódigo de Práticas para a Gestão da Continuidade do Negócio ... ISO/IEC 27002 - Estrutura f) Gestão das Operações

Segurança da InformaçãoProfessor: Pedro R3 Junior

Segurança da Informação


Conceitos Básicos

3Segurança da InformaçãoProfessor: Pedro R3 Junior

Informação Dicionário

“Conjunto de conhecimentos sobre alguém ou alguma coisa.”

Houaiss“Conhecimento obtido por meio de investigação ou

instrução.”

“Mensagem suscetível de ser tratada pelos meios informáticos; conteúdo dessa mensagem.”


Informação

NBR ISO/IEC 27002 (17799:2005)

“A informação é um ativo que, como qualquer outro ativo importante para os negócios, tem um valor para a organização e conseqüentemente necessita ser adequadamente protegida.”

“Ela pode existir em muitas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou através de meios eletrônicos, mostrada em filmes ou falada em conversas.”


Informação

Ativos“Qualquer coisa que tenha valor para a organização.”

Tipos de Ativos (ABNT ISO/IEC 27005:2008) Ativos Primários

Processos e Atividades de Negócio Informação

Ativos de Suporte e Infra-estrutura Hardware Software Rede Recursos Humanos Instalações Físicas Estrutura da Organização


Ciclo de Vida da Informação

Criação

Guarda

Utilização

Transporte

Distribuição Reprodução

Descarte


Segurança

Auréliosegurança. S. f. 2. Estado, qualidade ou condição de

seguro. 3. Condição daquele ou daquilo em que se pode confiar. 4. Certeza, firmeza, convicção.

seguro. [Do lat. securu.] Adj. 1. Livre de perigo. 2. Livre de risco; protegido, acautelado, garantido. 8. Em quem se pode confiar. 9. Certo, indubitável, incontestável. 10. Eficaz, eficiente.



NBR ISO/IEC 17799:2005

“... é a proteção da informaçãoproteção da informação de vários tipos de ameaçasameaças para garantir a continuidade do negóciocontinuidade do negócio, minimizar o risco ao negócio e maximizar o retorno sobre os investimentos e as oportunidades de negócio.”

“Seja qual for a forma apresentada ou o meio através do qual a informação é compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente. (17799:2001)”



“Preservação da confidencialidadeconfidencialidade, integridadeintegridade e disponibilidadedisponibilidade da informação.”

NBR ISO/IEC 17799:2005

ConfidencialidadeConfidencialidade DisponibilidadeDisponibilidade

IntegridadeIntegridade

Princípios BásicosPrincípios Básicos


Princípios Básicos

Confidencialidade“Garantia de que o acesso à informação seja obtido apenas por

pessoas autorizadas”

Integridade“Salvaguarda da exatidão e completeza da informação e dos

métodos de processamento.”

DisponibilidadeGarantia de que os usuários autorizados obtenham acesso à

informação e aos ativos correspondentes sempre que necessário


Princípios Adicionais

AutenticidadeGarantia da origem da informação.

Irretratabilidade (não-repúdio)Garantia da impossibilidade de negação da origem da informação.

LegalidadeConformidade com a legislação vigente.


Requisitos de Segurança

Fontes Principais

Avaliação de risco dos ativos Regulamentação

Legislação vigente Estatutos Cláusulas contratuais

Processamento da informação Princípios, objetivos e requisitos do negócio


Controles Essenciais Princípios Legais

Proteção de dados e privacidade de informações pessoais Proteção de registros organizacionais Direitos de propriedade intelectual

Melhores Práticas Documento da Política de Segurança da Informação Atribuição de responsabilidades para a SI Conscientização, educação e treinamento em SI Processamento correto nas aplicações Gestão de vulnerabilidades técnicas Gestão da continuidade do negócio Gestão de incidentes de SI e melhorias


Fatores Críticos de Sucesso Apoio da alta direção Passível de ser cumprida Adaptação à realidade da organização Inserção em estrutura normativa Divulgação e Conscientização Responsabilidades e penalidades associadas Linguagem comum à organização Monitoração e auditoria constantes Revisões periódicas


Definições ABNT NBR ISO 17799:2005

Evento de Segurança da Informação ocorrência identificada (...) que indica uma possível violação

da política de segurança da informação ou falha de controles ...

Incidente de Segurança da Informação evento (ou série de eventos) que possam comprometer o

negócio da organização. Risco

combinação da probabilidade de um evento ocorrer e de sua consequência nos objetivos da organização

Ameaça causa potencial de um incidente indesejado

Vulnerabilidade fragilidade de um ativo (ou grupo de ativos) que pode ser explorada

por uma ou mais ameças


Ciclo da Segurança

Impacto na Organização

Tem

AumentamRiscos

Aumentam

Ameaças Exploram

Ativos

Expõem

Aumen

tam

Vulnerabilidades

Necessidadesde Segurança

Indic

am

Controlesde Segurança

Implementadas por

Prote

gem de

Reduzem

22/09/08 Pedro R3 Junior 17


Legislação


Leis Lei Nº 7.232, 29/10/1984

Política Nacional de Informática Lei Nº 8.159, 08/01/1991

Política nacional de arquivos públicos e privados Lei Nº 8.248, 23/10/1991

Capacitação e competitividade do setor de informática e automação Lei Nº 9.609, 19/02/1998

Proteção da propriedade intelectual de programa de computador e sua comercialização no país

Lei Nº 9.983, 14/07/2000 Altera o código penal. Prevê penas específicas para crimes de

inserção, alteração, exclusão e divulgação indevidas de dados nos sistemas informatizados ou bancos de dados da Administração Pública


Decretos Decreto Nº 1.799, 30/01/1996

Regulamenta a Lei n° 5433, de 08/05/1968, sobre a microfilmagem de documentos oficiais

Decreto Nº 3.505, 13/06/2000 Institui a Política de Segurança da Informação nos órgãos e entidades

da Administração Pública Federal Decreto Nº 3.865, 13/07/2001

Estabelece requisito para contratação de serviços de certificação digital pelos órgãos públicos federais

Decreto Nº 3.872, 18/07/2001 Dispõe sobre o Comitê Gestor da Infra-Estrutura de Chaves Públicas

Brasileira - CG ICP-Brasil Decreto Nº 4.553, 27/12/2002

Salvaguarda de dados, informações, documentos e materiais sigilosos de interesse da segurança da sociedade e do Estado, no âmbito da Administração Pública Federal


Outras Leis / Decretos Lei Nº 8.394, 30/12/1991

Dispõe sobre a preservação, organização e proteção dos acervos documentais privados dos presidentes da República, e dá outras providências

Lei Nº 9.051, 18/05/1995 Dispõe sobre a expedição de certidões para a defesa de

direitos e esclarecimentos de situações Lei Nº 9.507, 12/11/1997

Regula o direito de acesso a informações e disciplina o rito processual do habeas data.

Lei Nº 9.800, 26/05/1999 Permite às partes a utilização de sistemas de transmissão

de dados para a prática de atos processuais


Conarq

RESOLUÇÃO Nº 1, DE 18 DE OUTUBRO DE 1995 Dispõe sobre a necessidade da adoção de planos

e/ou códigos de classificação de documentos nos arquivos correntes, que considerem a natureza dos assuntos resultantes de suas atividades e funções.

RESOLUÇÃO N° 7, DE 20 DE MAIO DE 1997 Dispõe sobre os procedimentos para a eliminação de

documentos no âmbito dos órgãos e entidades integrantes do Poder Público.

* Conselho Nacional de Arquivos


Conarq

RESOLUÇÃO Nº 14, DE 24 DE OUTUBRO DE 2001 Aprova a versão revisada e ampliada da Resolução nº 4,

de 28 de março de 1996, que dispõe sobre o Código de Classificação de Documentos de Arquivo para a Administração Pública: Atividades-Meio, a ser adotado como modelo para os arquivos correntes dos órgãos e entidades integrantes do Sistema Nacional de Arquivos (SINAR), e os prazos de guarda e a destinação de documentos estabelecidos na Tabela Básica de Temporalidade e Destinação de Documentos de Arquivo Relativos as Atividades-Meio da Administração Pública.


Conarq RESOLUÇÃO Nº 17, DE 25 DE JULHO DE 2003

Procedimentos relativos à declaração de interesse público e social de arquivos privados de pessoas físicas ou jurídicas que contenham documentos relevantes para a história, a cultura e o desenvolvimento nacional.

RESOLUÇÃO Nº 19, DE 28 DE OUTUBRO DE 2003 Documentos públicos que integram o acervo das

empresas em processo de desestatização e das pessoas jurídicas de direito privado sucessoras de empresas públicas.

RESOLUÇÃO Nº 20, DE 16 DE JULHO DE 2004 Inserção dos documentos digitais em programas de

gestão arquivística de documentos dos órgãos e entidades integrantes do Sistema Nacional de Arquivos.


FamíliaFamíliaISO/IEC 27000ISO/IEC 27000

Fundamentose Vocabulário

RequisitosSGSI

17799:2005

Guia deImplementação

ISMMeasurements

Gerênciade Risco

BusinessContinuity

Normas Técnicas

27007270072700927009

2700327003

27005270052700127001

2700227002 2700427004

27006270062700027000


Normas Técnicas NBR ISO/IEC 27002

Código de prática para gestão da segurança da informação BS 7799 NBR ISO/IEC 17799:2005

NBR ISO/IEC 27001:2006 Sistemas de Gestão de Segurança da Informação - Requisitos BS 7799-2:2002

ISO - International Organization for StandartizationIEC - International Eletrotechnical Comitee

NBR - Normas Técnicas BrasileirasBS - British Standards


Normas Técnicas AS/NZS 4360:2004 (NBR ISO/IEC 27005:2008)

Risk Management Publicada em 1995 e revisada em 1999 e 2004

BS 25999:2006 (ABNT NBR 15999-1:2007) Business Continuity Management Código de Práticas para a Gestão da Continuidade do Negócio

NBR 10.519/88 Critérios de avaliação de documentos de arquivo Foi a única por bastante tempo

AS - Australia StandardsNZS - New Zealand Standards

ABNT – Associação Brasileira de Normas Técnicas


Qual a diferença ? NBR ISO/IEC 27002

Estabelece diretrizes e princípios geraisdiretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Os objetivos definidos provêem diretrizes gerais sobre as metas geralmente aceitas para a gestão da segurança da informação.

NBR ISO/IEC 27001:2006 Especifica os requisitosrequisitos para estabelecer, implementar, operar,

monitorar, analisar criticamente, manter e melhorar um SGSISGSI documentado dentro do contexto dos riscos de negócio globais da organização. Especifica requisitos para a implementação de controles de segurança personalizados para as necessidades individuais de organizações ou suas partes.


ISO/IEC 27002 - Estrutura

Seções Categorias

Objetivo da categoria Diretrizes Gerais Itens

Descrição dos Controles Diretrizes para implementação Informações adicionais

Quantidades 11 Seções 39 Categorias


ISO/IEC 27002 - Estrutura As 11 Seções

a) Política de Segurança da Informaçãob) Organizando a Segurança da Informaçãoc) Gestão de Ativosd) Segurança de Recursos Humanose) Segurança Física e de Ambientesf) Gestão das Operações e Comunicaçõesg) Controle de Acessoh) Aquisição, Desenvolvimento e Manutenção de Sistemas de

Informaçãoi) Gestão de Incidentes de Segurança da Informaçãoj) Gestão da Continuidade do Negóciok) Conformidade


ISO/IEC 27002 - Estruturaa) Política de Segurança da Informação

Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes

CategoriasDocumento da política de segurança da informação

b) Organizando a Segurança da Informação Gerenciar a segurança da informação dentro da organização Categorias

Infra-estrutura de segurança da informaçãoPartes externas

c) Gestão de Ativos Alcançar e manter a proteção adequada dos ativos da organização Categorias

Responsabilidade pelos ativosClassificação da informação


ISO/IEC 27002 - Estruturad) Segurança de Recursos Humanos

Assegurar que os funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis.

CategoriasAntes da contrataçãoDurante a contrataçãoEncerramento ou mudança da contratação

e) Segurança Física e do Ambiente Prevenir o acesso físico não autorizado, danos, interrupções e interferências

com as instalações, ativos e informações da organização Categorias

Áreas segurasSegurança de equipamentos


ISO/IEC 27002 - Estruturaf) Gestão das Operações e Comunicações

Garantir a operação segura e correta dos sistemas de informação da informação, bem como a segurança no manuseio das informações em todo o processo

CategoriasProcedimentos e responsabilidades operacionaisGerenciamento de serviços terceirizadosPlanejamento e aceitação dos sistemasProteção contra códigos maliciosos e códigos móveisCópias de SegurançaGerenciamento de segurança em redesManuseio de MídiasTroca de InformaçõesServiços de comércio eletrônicoMonitoramento


ISO/IEC 27002 - Estruturag) Controle de Acesso

Controlar o acesso à informação Categorias

Requisitos de negócio para o controle de acessoGerenciamento de acesso do usuárioResponsabilidades do usuárioControle de acesso à redeControle de acesso ao sistema operacionalControle de acesso à aplicação e à informaçãoComputação móvel e trabalho remoto


ISO/IEC 27002 - Estruturah) Aquisição, Desenvolvimento e Manutenção de Sistemas de

Informação Garantir que segurança é parte integrante do ciclo de vida dos sistemas de

informação da organização. Categorias

Requisitos de segurança de sistemas de informaçãoProcessamento correto nas aplicaçõesControles criptográficosSegurança dos arquivos de sistemasSegurança em processos de desenvolvimento e suporteGestão de vulnerabilidades técnicas

i) Gestão de Incidentes de Segurança da Informação Assegurar a comunicação e o tratamento de eventos de SI. Categorias

Notificação de fragilidades e eventos de segurança da informaçãoGestão de incidentes de segurança da informação e melhoria


ISO/IEC 27002 - Estruturaj) Gestão da Continuidade do Negócio

Não permitir a interrupção das atividades do negócio e proteger os processo críticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil, quando for o caso.

CategoriasAspectos da gestão da continuidade do negócio

k) Conformidade Garantir a conformidade dos sistemas de informação da empresa com leis,

estatutos, normas, políticas e maximizar a eficiência dos processos de auditoria da organização.

CategoriasConformidade com requisitos legaisConformidade com normas e políticas de segurança da informação e conformidade técnicaConsiderações quanto à auditoria de sistemas de informações


Risco


Definições Dicionário

Chance de desastre ou perda (Thesaurus) Perigo ou possibilidade de perigo (Aurélio)

Thomas Peltier“Probabilidade de uma ameaça particular explorar uma determinada

vulnerabilidade”“Possibilidade de ocorrências de eventos que possam causar impactos

em relação à segurança da informação corporativa”

NBR ISO/IEC 27005:2008“Possibilidade de uma determinada ameaça explorar vulnerabilidades de

um ativo ou conjunto de ativos, desta maneira prejudicando a organização.Nota: é medido em função da combinação da probabilidade de um

evento e de sua consequência.”


Definições

Ameaças Agente causador de impactos Explora vulnerabilidades Existem e sempre existirão Não se pode atuar diretamente nas ameaças

Vulnerabilidades Pontos de fraqueza do sistema São exploradas pelas ameaças Podem ser removidos dos sistemas São o alvo dos controles de segurança


Ameaças Naturais

Ameaças cujo agente corresponde a fenômenos da natureza

segurança física

Acidentais Ameaças cujo agente, humano ou máquina, não tinha

intenção de causar impacto Sem dolo

Intencionais Ameaças cujo agente, ainda que indireto, é humano e

com intenção de causar danos Com dolo


Ameaças Information Security Risk Analysis – Thomas Peltier

Naturais Ventania Relâmpagos Granizo Nevasca Inudações Furacão Terremoto Maremoto Tempestades de

Areia Erosão Fumaça Poluição

Acidentais Variação elétrica Interrupção elétrica Emanações

eletromagnéticas Falha em equip.

ambientais Fogo Falha em

equipamentos de processamento

Inudação (não natural)

Erros de operação Falhas de software Interrupções de

telecomunicações

Intencionais Alteração de

dados Alteração de

software Ameaça de

bombas Sabotagens Fraudes Greves Invasões Roubo Terrorismo Uso não

autorizado Vandalismo


Hackers Conceitos

Pessoas com grande conhecimento técnico, que participam ativamente do desenvolvimento da rede.

Pessoas que atacam sistemas de computadores.

Tipos Phrackers

Especiliazados em sistemas de telefonia Crackers

Quebram sistemas por motivos pessoais diversos Script Kiddies ou Lammers

Adolescentes com muito tempo livre, pouco conhecimento, mas com as ferramentas de ataques mais recentes.

Ethic Hackers Normalmente contratados para localizar vulnerabilidades.


Vulnerabilidades Problemas Culturais

ex: cuidados com as senhas, descarte de papéis, conversas, ... Problemas de Infra-estrutura

ex: energia elétrica, conservação predial, ar condicionado, etc. Problemas em Equipamentos

ex: roteadores, switchs, servidores, etc. Problemas em Protocolos de Rede

ex: tcp/ip, telnet, smtp, snmp, etc. Problemas em Sistemas Operacionais

ex: unix, linux, windows, etc. Problemas em Aplicativos

ex: correio, browsers, IIS, Apache, etc. Problemas na Organização

ex: disputas políticas, pessoas descontentes, etc.


Aná

lise/

Ava

liaçã

ode

Ris

cos

Processo de Gestão de RiscoAS/NZS 4360:2004 e ABNT NBR ISO/IEC 17799:2005

Estabelecer Contexto

Tratar os Riscos

Mon

itora

men

to e

Rev

isão

Com

unic

ação

e C

onsu

lta

Identificação de Riscos

Estimativa de Riscos

Avaliação de Risco


Definições ABNT NBR ISO 17799:2005

Gestão de Riscos (risk management) Atividades coordenadas para direcionar e controlar uma organização

no que se refere a riscos

Análise de Risco (risk analysis) Uso sistemático de informações para identificar fontes e estimar o

risco (Identificar e Estimar os Riscos)

Avaliação de Riscos (risk evaluation) processo de comparar o risco estimado com critérios pré-definidos

para determinar a importância do risco

Análise/Avaliação de Risco (risk assessment) processo completo de análise e avaliação de risco


Riscos de Segurança

Existem técnicas e modelos bem definidos Custo dos controles menor que o valor dos ativos

Avaliação Sistemática considerando Impacto nos negócios da organização Probabilidade da falha ocorrer

Vulnerabilidades x Ameaças x Controles Existentes

Reavaliações periódicas Considerar mudanças nos requisitos de negócio Considerar novas ameaças e vulnerabilidades Confirmar a eficiência dos controles existentes


Princípio Fundamental

Posso Evitar o risco Reduzir o risco Transferir o risco Aceitar o risco

Não posso Ignorar o risco


Tipos

Quantitativa Baseada em valores objetivos Unidades tangíveis ex:

Valores monetários Histórico de ocorrências

Qualitativa Baseada em valores subjetivos Unidades intangíveis ex:

Critérios Classificações


QuantitativaBaseada em valores objetivos (unidades tangíveis)

Componentes Valor do Ativo (AV)

Somatório dos valores que o ativo possui- Equipamentos - Sistemas Instalados- Informação Armazenada - Custo da Paralização- Custo de Reposição - Lucratividade Produzida- Manutenção - Valorização da Concorrência- Danos à imagem - Perda de Confiabilidade

Fator de Exposição (EF) Expectativa de Perda Única (SLE) Taxa de Ocorrência Anual (ALO) Expectativa de Perda Anual (ALE)


Quantitativa Vantagens

Resultados baseados em processos e métricas objetivas Mais fácil de ser automatizada Relaciona o valor do risco e o valor do controle Relação custo-benefício de fácil avaliação Resultados expressos em linguagem gerencial

Desvantagens Os cálculos podem se tornar muito complexos Depende muito da automatização Depende muito da cultura organizacional Demanda muito tempo para a valoração de um ativo Não considera as opiniões pessoais de conhecedores do

processo de negócio


QualitativaBaseada em valores subjetivos (unidades intangíveis)

Componentes Risco Ativo Vulnerabilidade Ameaça Controles de Segurança Impacto

Mensuração Trabalha com escalas de valoração ex:

1 – Baixo2 – Médio3 – Alto4 – Muito Alto


Qualitativa Vantagens

Cálculos Rápidos Não necessita determinar valor monetário dos ativos Não necessita determinar freqüência das ameaças Fácil participação das equipes relacionadas ao negócio (não

técnicas) Permite flexibilidade no processo Menor tempo de realização

Desvantagens Subjetividade Depende da experiência da equipe técnica Depende do nível de conhecimento dos envolvidos Não provê base monetária para tomadas de decisão


Ferramentas de apoio Analyz ARES AROME+ @Risk BDSS Buddy System COBRA CMMM Control-IT Criti-Calc CRAMM CCTA DDIS GRA/SYS

IST/RAMP LAVA LRAM & ALRAM JANBER MELISA MINIRISK PREDICT RANK-IT RISKCALC RISKPAC RISKWATCH SBA SISSI XRM


QuestõesESAF – SUSEP 2006 - Prova 2

05- Analise as seguintes afirmações relacionadas à Análise de Riscos.

I. Ameaça é a expectativa de acontecimento acidental ou proposital, causado por um agente que pode afetar o ambiente analisado.

II. Vulnerabilidade é um evento decorrente da exploração de um ataque ou alvo por uma ameaça.

III. Impacto é o efeito ou conseqüência de um ataque ou incidente para a organização.

IV. Probabilidade Incidental é a fragilidade que poderia ser explorada por uma ameaça para concretizar um ataque.

Indique a opção que contenha todas as afirmações verdadeiras.


Política de Segurança


Sistema de Gestão

Definição “Sistema para estabelecer políticas, objetivos e

procedimentos para atingir tais objetivos.”

O que é monitorado, pode ser medido, ...... e o que é medido pode ser gerenciado !

Elementos Política

Plan - Planejamento Do - Implementação Check - Avalie Act - Melhore

PlanPlan

DoDo

CheckCheck

ActAct


SGSI

Sistema de Gestão da Segurança da Informação

Definição “Parte do sistema de gestão, baseada na abordagem do

risco de negócios, para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar a segurança da informação.”

“Influenciado pelas necessidades de negócios e objetivos, resultando em requisitos de segurança, os processos empregados e o tamanho e estrutura da empresa.”


Política de Segurança NBR ISO/IEC 17799:2005

Objetivo Prover uma orientação e apoio da direção para a segurança

da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes

Convém que a direção estabeleça uma política clara, alinhada com os objetivos do negócio e demonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização.


Documento da Política de Segurança

Diretrizes Definição de segurança da informação

Metas globais Escopo da política

Declaração de comprometimento da alta direção Estrutura para estabelecer os objetivos de controle e os

controles Breve explanação da políticas, princípios, normas e

requisitos de conformidade específicos para a organição Definição das responsabilidades gerais e específicas na

gestão da segurança da informação Referências à documentação que possam apoiar a

política


Componentes Nível Estratégico

Políticas Corporativas Declaração da Política

Nível Tático Normas de Segurança Termos Auxiliares

Nível Operacional Procedimentos Padrões


Componentes da Política

Políticas

NormasTermos Auxiliares

(NDA, SLA, etc)

PadrõesProcedimentos

Estratégico

Operacional

Tático

Base Div

ulga

ção

Con

trole

s

Aud

itoria


Nível Estratégico Políticas Corporativas

Documento que especifica os direcionamentos e valores definidos para a gestão da segurança no âmbito da organização.

Declaração da Política Documento que tem por objetivo oficializar a

implantação da Política de Segurança da Organização, sendo endossado pela alta direção.


Nível Tático

Normas de Segurança Estabelecem regras e critérios para a proteção das

informações da organização. Termos Auxiliares

Termo de Confidencialidade (NDA) Funcionários, terceiros, prestadores de serviço, parceiros,

fornecedores, etc. Termo de responsabilidade

Uso da INTERNET, uso do correio eletrônico, posse de equipamentos da empresa, etc.

Acordos de Nível de Serviço (SLA) Recomendações de regras para a confecção de SLAs Envolvem metas a serem cumpridas e penalidades


Normas de Segurança gerais para usuários de uso de serviços corporativos (mail, etc.) de administração de serviços corporativos de recuperação de desastres e continuidade do negócio de classificação da informação de registro de incidentes de segurança de monitoração e auditoria de controle ambiental de controle de acesso físico de controle de acesso lógico para cópias de segurança para o desenvolvimento de aplicações para homologação e testes de aplicações para ambientes ou perímetros específicos (DMZ) para ativos críticos


Nível Operacional

Procedimentos Documentos que detalham tecnicamente as

atividades em forma de passo-a-passo

Padrões Documentos que sugerem padrões de configuração,

equipamentos ou ações de segurança


Procedimentos

Exemplos de cadastramento, suspensão, bloqueio e

cancelamento de contas de acesso de criação, alteração e bloqueio de senhas para a realização e restauração de backups

Estações de Trabalho Servidores Corporativos

para identificação, armazenamento, transporte e descarte de mídias de cópias de segurança

para homologação e testes de sistemas para instalação de servidores corporativos para instalação de estações de trabalho


Padrões

Exemplos de nomes de ativos de configuração de ativos

Por sistema operacional Por finalidade Por exposição à INTERNET

de escrita de documentos de solicitação de regras em firewalls


Rev

isão

MaturaçãoAuditoria

Ciclo de Vida da Política

Implem

entação

Elaboração

ActAct

CheckCheck

DoDo

PlanPlan


Elaboração

Levantamento de Dados Inicial Definição dos Objetivos Definição do Escopo / Abrangência Entidades Participantes (dono, custodiante, ...)

Estratégia de Elaboração Estrutura dos Documentos (padronização)

Elaboração do Conteúdo Revisão e ajustes (padrões e normas)


Implementação Aprovação

Avaliação pelo Fórum de Segurança da empresa Assinatura da Alta Diretoria da empresa

Publicação Oficialização da aprovação Entrada em vigor

Divulgação Treinamento Conscientização Mudança Cultural


Divulgação

A política deve ser comunicada através de toda a organização, para os usuários, terceirizados e parceiros, em um formato que seja relevante, acessível e compreensível para o leitor em foco.


Divulgação Importante

Participação ativa da área de marketing interno Deve atingir o maior público possível Deve utilizar formas diferentes, para públicos

diferentes Deve abranger terceiros, prestadores de serviço,

fornecedores e parceiros Deve ser distribuída ao funcionário no ato da

contratação Deve ser facilmente acessível dentro da empresa


Maturação

Acompanhamento Monitoração Auditorias Advertências Aplicação de Penas Avaliação


Auditoria Verificação de conformidade Aplicação de penas Análise de viabilidade Levantamento de dados para revisão

Importante:Quem faz, não audita !Quem faz, não audita !

Lei Sarbanes-Oaxley


Revisão

Adequação à realidade Correção de problemas/falhas Novas tecnologias Novos riscos Novos controles Deve ser periódica

22/09/08 Pedro R3 Junior 75


Classificação da Informação



• NBR ISO/IEC 17799:2005

“Convém que a informação seja classificada para indicar a necessidade, prioridades e o nível esperado de proteção quando do tratamento da informação.”

“Objetivo: Assegurar que a informação receba um nível adequado de proteção.”



Definição

Processo de definição de níveis e critérios de proteção da informação da organização, de acordo com sua sensibilidade a perda, alteração ou revelação, considerando todo o seu ciclo de vida.


Classificação da Informação Objetivos

Organizar as informações de acordo com sua sensibilidade a perda, alteração ou revelação.

Priorizar as informações mais sensíveis. Proteger as informações de acordo com seu nível de

sensibilidade.

Benefícios Conhecimento e priorização Racionalização dos custos de proteção Aumento do nível de segurança


O Processo de Classificação

Definição de categorias Definição de níveis e critérios Criação das funções Definição das responsabilidades Definição do ciclo de vida Definição da identificação a ser usada Formalização do processo


Categorias Comuns

Confidencialidade sensibilidade a revelação

Integridade sensibilidade a alteração

Disponibilidade sensibilidade a perda


ConfidencialidadeDefinição de níveis e critérios de proteção da informação da

organização, de acordo com sua sensibilidade à revelaçãorevelação.

ex: Não classificada Pública Interna Sensível / Restrita

Privada Proprietária

Confidencial


Exemplos

Confidencialidade (EUA)

Unclassified Sensitive but Unclassified Confidential Secret Top Secret


Brasil

Decreto 4.553 de 27/12/2002

Reservada Confidencial Secreta Ultra-secreta


Integridade

Definição de níveis e critérios de proteção da informação da organização, de acordo com sua sensibilidade à alteraçãoalteração.

ex: Vital Não vital


Disponibilidade

Definição de níveis e critérios de proteção da informação da organização, de acordo com sua sensibilidade à perdaperda.

ex: Crítica Não crítica


Observações

Informações conjuntas devem receber o mesmo nível de classificação da informação de mais alto nível.

A classificação deve ser realizada em qualquer meio em que a informação se encontre.

A classificação deve ser extensível a parceiros, fornecedores e terceiros.


Funções e Responsabilidades Proprietário

Criar ou ceder a informação Determinar o nível de classificação Determinar administradores para a informação

Custodiante Manter a informação Proteger a informação


Funções e Responsabilidades Administrador

Controlar o acesso à informação

Gestores Responsáveis corporativos de equipes

Disseminação da cultura de segurança Supervisão da equipe no uso correto da classificação

da informação


Funções e Responsabilidades Usuários

Usuários corporativos em geral Respeitar e obedecer a classificação

Fiscais Auditores internos ou independentes

Verificar a adequabilidade da classificação Verificar a conformidade da utilização em relação às

políticas definidas


Princípios Básicos Need to know

Acesso a todas as informações necessárias.

Right to know Garantir o direito de conhecer a informação

Least privilege Permitir o menor acesso possível à informação

Custos da proteção Devem ser menores que o valor da informação


Princípios Básicos Default deny

Todos os acessos são proibidos, exceto os que forem explicitamente permitidos.

Segregação de funções Usar funções complementares, com acessos

diferenciados, para realização de atividades.

Rotatividade Alternar periodicamente funcionários com

funções/responsabilidades críticas.


Ciclo de Vida

Criação

Guarda

Utilização

Transporte

Distribuição Reprodução

Descarte


Observações Regras específicas para cada atividade, por fase,

por nível.ex: Regra para o transporte de informação confidencial

para descarte.

Tratamento de exceçõesex: Lacre violado no transporte

A classificação pode mudar durante o cicloex: o processo licitatório é confidencial até ser publicado


Ciclo de Vida da Classificação Classificação

Definição do nível de segurança da informação Reclassificação

Alteração do nível de segurança Desclassificação

Retirada total do nível de classificação

Ex: Decisão do dono Por tempo Por troca de fase da vida do documento


Identificação NBR ISO/IEC 17799:2005

“Convém que um conjunto apropriado de procedimentos para rotulação e tratamento da informação seja definido e implementado de acordo com o esquema de classificação adotado pela organização.”

Estes procedimentos precisam abranger todos os ativos de informação, tanto no formato físico quanto no formato eletrônico.


Identificação

Deve definir: Forma

De acordo com o meio

Localização na informação ex: posição na página inicial do documento

Tipo de marcação Nomes ou símbolos

Sistemas de informação Procedimentos na saída da informação


Formalização do Processo na Política de Segurança

Determinar a necessidade da classificação Determinar o processo a ser usado

nas Normas Definir os níveis de proteção Criar as regras do processo de classificação

Criar os procedimentos adequados Divulgar o processo de classificação Capacitar os funcionários envolvidos


Fim

Pedro R3 [email protected]

Documents

Segurança da Informação Professor: Pedro R3 Junior · PDF fileCódigo de Práticas para a Gestão da Continuidade do Negócio ... ISO/IEC 27002 - Estrutura f) Gestão das Operações