A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Segurança e Auditoria de Sistemas Normas de Segurança (ISO 27002) 1.

Apresentações semelhantes


Apresentação em tema: "Segurança e Auditoria de Sistemas Normas de Segurança (ISO 27002) 1."— Transcrição da apresentação:

1 Segurança e Auditoria de Sistemas Normas de Segurança (ISO 27002) 1

2 2

3 3 Conceitos Antes de iniciar o estudo sobre as normas, devemos entender os conceitos referentes à: Políticas (orientações em conformidade com os objetivos de negócio); Regulamentações (busca de conformidade com a legislação vigente); Baseline (nível mínimo de proteção nos sistemas críticos); Diretrizes Em um contexto estratégico pode ser interpretado como ações ou caminhos a serem seguidos em determinados momentos. Orienta o que deve ser feito e como, para se alcançarem os objetivos estabelecidos na política [ISO 27002] Procedimentos (instruções operacionais); Normas de Segurança da Informação

4 4 O que são e para que servem as normas? É aquilo que se estabelece como medida para a realização de uma atividade. Uma norma tem como propósito definir regras e instrumentos de controle para assegurar a conformidade de um processo, produto ou serviço. Quais os problemas gerados pela ausência de normas? Normas de Segurança da Informação

5 5 O que são e para que servem as normas? Conforme definido pela Associação Brasileira de Normas Técnicas (ABNT), os objetivos da normalização são: Comunicação : proporcionar meios mais eficientes na troca de informação entre o fabricante e o cliente, melhorando a confiabilidade das relações comerciais e de serviços; Segurança : proteger a vida humana e a saúde; Proteção do consumidor : prover a sociedade de mecanismos eficazes para aferir qualidade de produtos; Eliminação de barreiras técnicas e comerciais : evitar a existência de regulamentos conflitantes sobre produtos e serviços em diferentes países,facilitando assim, o intercâmbio comercial.

6 6 Normas de Segurança da Informação Surgimento das Normas Em outubro de 1967 foi criado um documento chamado Security Control for Computer System que marcou o passo inicial para criação de conjunto de regras para segurança de computadores. DoD também não ficou fora disto e teve grande participação na elaboração de regras. Em 1978 foi escrito Orange Book, conhecido também como Trusted Computer Evaluation Criteria por DoD. A versão final deste documento foi impresso em dezembro de 1985.

7 7 Normas de Segurança da Informação O Orange Book é considerado como marco inicial de um processo mundial de busca de medidas que permitem a um ambiente computacional ser qualificado como seguro. O "Orange Book" permite especificar o que deve ser implementado e fornecido por um software, para que ele seja classificado em um dos níveis de "segurança" pré-estipulados. Surgimento das Normas

8 8 Normas de Segurança da Informação Este esforço foi liderado pela "International Organization for Standardization (ISO). No final do ano de 2000, o primeiro resultado desse esforço foi apresentado, que é a norma internacional de Segurança da Informação "ISO/IEC-17799:2000", a qual já possui uma versão aplicada aos países de língua portuguesa, denominada "NBR ISO/IEC Surgimento das Normas

9 9 Normas de Segurança da Informação Desenvolvimento de Padrões Porque o desenvolvimento de padrões e normas de segurança são importantes? Em que forma tais procedimentos ajudam em redução e controle das vulnerabilidades existentes?

10 10 Normas de Segurança da Informação A ISO é um conjunto de recomendações para gestão da SI para uso de implementação ou manutenção da segurança em suas organizações. Providencia uma base comum para o desenvolvimento de normas de segurança organizacional e das práticas efetivas de gestão da segurança. A ISO atua em segurança da informação considerando tecnologia, processos e pessoas. Esta norma é publicada no Brasil pela ABNT com o código NBR ISO NBR/ISO IEC 27002

11 11 Normas de Segurança da Informação Breve histórico da ISO A Associação Britânica de Normas tinha 2 normas referentes à segurança de sistemas de informação: a BS e a BS A BS foi submetida ao ISO e aprovada (com problemas), vindo a ser a ISO A BS se referia especialmente ao processo de certificação do aspecto de segurança em organizações e não foi submetida para o ISO.

12 12 Normas de Segurança da Informação 1. Objetivo da norma 2. Termos e definições 3. Política de segurança 4. Segurança organizacional 5. Classificação e controle dos ativos de informação 6. Segurança de pessoas Diversas partes da ISO 27002

13 13 Normas de Segurança da Informação 7. Segurança física e do ambiente 8. Gerenciamento de operações e comunicações 9. Controle de acesso 10. Desenvolvimento de sistemas. 11. Gestão de continuidade de negócios 12. Conformidade

14 14 Normas de Segurança da Informação ISO – Segurança Organizacional Infraestrutura de segurança: indica que uma estrutura organizacional deve ser criada para iniciar e implementar as medidas de segurança. Segurança no acesso de prestadores de serviço: garantir a segurança dos ativos acessados por prestadores de serviços. Segurança envolvendo serviços terceirizados: deve-se incluir nos contratos de terceirização de serviços computacionais cláusulas para segurança.

15 15 Normas de Segurança da Informação ISO – Segurança de Pessoas Segurança na definição e Recursos de Trabalho: Devem ser incluídas as preocupações de segurança no momento da contratação de pessoas. Verificar os critérios de segurança no processo de seleção. Funcionários devem assinar o acordo de confidencialidade. Treinamento dos usuários: educação, conscientização e treinamento referentes a segurança. Mecanismos de Incidente de Segurança: Deve existir mecanismos para funcionários poderem reportar possíveis falhas. Processo disciplinar formal: Deve haver um processo disciplinar formal para funcionários que violaram os procedimentos de segurança.

16 16 Normas de Segurança da Informação ISO – Segurança Física e de Ambiente Áreas de segurança: prevenir acesso não autorizado, dano e interferência nas instalações físicas. Isso inclui: definir um perímetro de segurança, controles de entrada física, etc. Segurança de equipamento: convém proteger equipamentos fisicamente de ameaças e perigos ambientais. Isso inclui roubo, fogo, e outros perigos ambientais, proteção contra falta de energia, segurança do cabeamento, definição de política de manutenção, proteção a equipamentos fora das instalações. Controles gerais: Por exemplo proteção de tela com senha para evitar que informação fique visível em tela, deve-se ter uma política quanto a deixar papéis na impressora por muito tempo, etc.

17 17 Normas de Segurança da Informação ISO – Controle de Acesso (1) Gerenciamento de acesso dos usuários: Registro do usuário: ID única para cada usuário, pedir assinatura em termo de responsabilidade, remover usuário assim que o funcionário sair da empresa. Gerenciamento de privilégios: aqui entra o controle de acesso baseado em papéis; basicamente, se recomenda que usuários tenham apenas os privilégios necessários para fazer seu trabalho. Gerenciamento de senhas: termo de responsabilidade deve afirmar que senha é secreta e não deve ser divulgada, senhas temporárias devem funcionar apenas uma vez. Análise crítica dos direitos de acesso do usuário: deve-se analisar os direitos de acesso dos usuários com freqüência de 6 meses ou menos.

18 18 Normas de Segurança da Informação ISO – Controle de Acesso (2) Responsabilidades dos usuários: Senhas: segundo norma, usuário deve zelar pela sua senha e criar uma senha considerada aceitável (mínimo de 6 caracteres). Equipamentos sem monitoração: Usuários deve tomar os cuidados necessários ao deixar um equipamento sem monitoramento, com seções abertas.

19 19 Normas de Segurança da Informação ISO – Controle de Acesso (3) Controle de Acesso ao SO Controle de acesso ao sistema operacional: Identificação automática de terminal: nos casos onde deve-se conhecer onde um usuário efetua logon. Procedimentos de entrada no sistema (logon). Sugestões como: limitar o número de tentativas erradas para o logon e não fornecer ajuda no processo de logon, entre outros. Identificação de usuários: a não ser em casos excepcionais cada usuário deve ter apenas um ID. Considerar outras tecnologias de identificação e autenticação: smart cards, autenticação biométrica. Sistema de Gerenciamento de Senhas: Contém os atributos desejáveis para sistema que lê, armazena e verifica senhas.

20 20 Normas de Segurança da Informação ISO – Controle de Acesso (4) Controle de Acesso às aplicações Registro de Eventos: Trilha de auditoria registrando exceções e outros eventos de segurança devem ser armazenados por um tempo adequado. Monitoração do Uso do Sistema: Os procedimentos do monitoração do uso do sistema devem ser estabelecidos. Uma análise crítica dos logs deve ser feita de forma periódica. Sincronização dos Relógios: Para garantir a exatidão dos registros de auditoria.

21 21 Normas de Segurança da Informação ISO – Controle de Acesso (5) Computação Móvel Usuários de equipamentos móveis devem ser conscientizados das práticas de segurança, incluindo senhas, criptografia entre outros.

22 22 Normas de Segurança da Informação ISO – Gestão de Continuidade de Negócios Deve-se desenvolver planos de contingência para caso de falhas de segurança, desastres, perda de serviço, etc. Estes planos devem ser documentados, e o pessoal envolvido treinado. Os planos de contingência devem ser testados regularmente, pois tais planos quando concebidos teoricamente, podem apresentar falhas devido a pressupostos incorretos, omissões ou mudança de equipamento ou pessoal.

23 23 Normas de Segurança da Informação ISO – Componentes do Plano de Continuidade de Negócios condições para a ativação do plano; procedimentos de emergência a serem tomados; procedimentos de recuperação para transferir atividades essenciais para outras localidades, equipamentos, programas, entre outros; procedimentos de recuperação quando do estabelecimento das operações; programação de manutenção que especifique quando e como o plano deverá ser testado; desenvolvimento de atividades de treinamento e conscientização do pessoal envolvido; designação de responsabilidades.

24 24 Normas de Segurança da Informação ISO – Conformidade Conformidade com Requisitos Legais: Para evitar a violação de qualquer lei, estatuto, regulamentação ou obrigações contratuais. Evitar a violação de Direitos Autorais dos aplicativos. Análise Crítica da Política de Segurança e da Conformidade Técnica. Considerações referentes Auditoria de Sistemas.


Carregar ppt "Segurança e Auditoria de Sistemas Normas de Segurança (ISO 27002) 1."

Apresentações semelhantes


Anúncios Google