A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Segurança e Auditoria de Sistemas Normas de Segurança (ISO 27002)

PublicouJoãovítor Rosa Alterado mais de 10 anos atrás

Apresentações semelhantes

Apresentação em tema: "Segurança e Auditoria de Sistemas Normas de Segurança (ISO 27002)"— Transcrição da apresentação:

1 Segurança e Auditoria de Sistemas Normas de Segurança (ISO 27002)

2

3 Normas de Segurança da Informação
Conceitos Antes de iniciar o estudo sobre as normas, devemos entender os conceitos referentes à: Políticas (orientações em conformidade com os objetivos de negócio); Regulamentações (busca de conformidade com a legislação vigente); Baseline (nível mínimo de proteção nos sistemas críticos); Diretrizes Em um contexto estratégico pode ser interpretado como ações ou caminhos a serem seguidos em determinados momentos. Orienta o que deve ser feito e como, para se alcançarem os objetivos estabelecidos na política [ISO 27002] Procedimentos (instruções operacionais);

4 Normas de Segurança da Informação
O que são e para que servem as normas? É aquilo que se estabelece como medida para a realização de uma atividade. Uma norma tem como propósito definir regras e instrumentos de controle para assegurar a conformidade de um processo, produto ou serviço. Quais os problemas gerados pela ausência de normas?

5 Normas de Segurança da Informação
O que são e para que servem as normas? Conforme definido pela Associação Brasileira de Normas Técnicas (ABNT), os objetivos da normalização são: Comunicação: proporcionar meios mais eficientes na troca de informação entre o fabricante e o cliente, melhorando a confiabilidade das relações comerciais e de serviços; Segurança: proteger a vida humana e a saúde; Proteção do consumidor: prover a sociedade de mecanismos eficazes para aferir qualidade de produtos; Eliminação de barreiras técnicas e comerciais: evitar a existência de regulamentos conflitantes sobre produtos e serviços em diferentes países,facilitando assim, o intercâmbio comercial.

6 Normas de Segurança da Informação
Surgimento das Normas Em outubro de 1967 foi criado um documento chamado “Security Control for Computer System” que marcou o passo inicial para criação de conjunto de regras para segurança de computadores. DoD também não ficou fora disto e teve grande participação na elaboração de regras. Em 1978 foi escrito “Orange Book”, conhecido também como “Trusted Computer Evaluation Criteria” por DoD. A versão final deste documento foi impresso em dezembro de 1985.

7 Normas de Segurança da Informação
Surgimento das Normas O “Orange Book” é considerado como marco inicial de um processo mundial de busca de medidas que permitem a um ambiente computacional ser qualificado como seguro. O "Orange Book" permite especificar o que deve ser implementado e fornecido por um software, para que ele seja classificado em um dos níveis de "segurança" pré-estipulados.

8 Normas de Segurança da Informação
Surgimento das Normas Este esforço foi liderado pela "International Organization for Standardization (ISO). No final do ano de 2000, o primeiro resultado desse esforço foi apresentado, que é a norma internacional de Segurança da Informação "ISO/IEC-17799:2000", a qual já possui uma versão aplicada aos países de língua portuguesa, denominada "NBR ISO/IEC-17799“. 

9 Normas de Segurança da Informação
Desenvolvimento de Padrões Porque o desenvolvimento de padrões e normas de segurança são importantes? Em que forma tais procedimentos ajudam em redução e controle das vulnerabilidades existentes?

10 Normas de Segurança da Informação
NBR/ISO IEC 27002 A ISO é um conjunto de recomendações para gestão da SI para uso de implementação ou manutenção da segurança em suas organizações. Providencia uma base comum para o desenvolvimento de normas de segurança organizacional e das práticas efetivas de gestão da segurança. A ISO atua em segurança da informação considerando tecnologia, processos e pessoas. Esta norma é publicada no Brasil pela ABNT com o código NBR ISO

11 Normas de Segurança da Informação
Breve histórico da ISO 17799 A Associação Britânica de Normas tinha 2 normas referentes à segurança de sistemas de informação: a BS e a BS A BS foi submetida ao ISO e aprovada (com problemas), vindo a ser a ISO A BS se referia especialmente ao processo de certificação do aspecto de segurança em organizações e não foi submetida para o ISO.

12 Normas de Segurança da Informação
Diversas partes da ISO 27002 1. Objetivo da norma 2. Termos e definições 3. Política de segurança 4. Segurança organizacional 5. Classificação e controle dos ativos de informação 6. Segurança de pessoas

13 Normas de Segurança da Informação
7. Segurança física e do ambiente 8. Gerenciamento de operações e comunicações 9. Controle de acesso 10. Desenvolvimento de sistemas. 11. Gestão de continuidade de negócios 12. Conformidade

14 Normas de Segurança da Informação
ISO – Segurança Organizacional Infraestrutura de segurança: indica que uma estrutura organizacional deve ser criada para iniciar e implementar as medidas de segurança. Segurança no acesso de prestadores de serviço: garantir a segurança dos ativos acessados por prestadores de serviços. Segurança envolvendo serviços terceirizados: deve-se incluir nos contratos de terceirização de serviços computacionais cláusulas para segurança.

15 Normas de Segurança da Informação
ISO – Segurança de Pessoas Segurança na definição e Recursos de Trabalho: Devem ser incluídas as preocupações de segurança no momento da contratação de pessoas. Verificar os critérios de segurança no processo de seleção. Funcionários devem assinar o acordo de confidencialidade. Treinamento dos usuários: educação, conscientização e treinamento referentes a segurança. Mecanismos de Incidente de Segurança: Deve existir mecanismos para funcionários poderem reportar possíveis falhas. Processo disciplinar formal: Deve haver um processo disciplinar formal para funcionários que violaram os procedimentos de segurança.

16 Normas de Segurança da Informação
ISO – Segurança Física e de Ambiente Áreas de segurança: prevenir acesso não autorizado, dano e interferência nas instalações físicas. Isso inclui: definir um perímetro de segurança, controles de entrada física, etc. Segurança de equipamento: convém proteger equipamentos fisicamente de ameaças e perigos ambientais. Isso inclui roubo, fogo, e outros perigos ambientais, proteção contra falta de energia, segurança do cabeamento, definição de política de manutenção, proteção a equipamentos fora das instalações. Controles gerais: Por exemplo proteção de tela com senha para evitar que informação fique visível em tela, deve-se ter uma política quanto a deixar papéis na impressora por muito tempo, etc.

17 Normas de Segurança da Informação
ISO – Controle de Acesso (1) Gerenciamento de acesso dos usuários: Registro do usuário: ID única para cada usuário, pedir assinatura em termo de responsabilidade, remover usuário assim que o funcionário sair da empresa . Gerenciamento de privilégios: aqui entra o controle de acesso baseado em papéis; basicamente, se recomenda que usuários tenham apenas os privilégios necessários para fazer seu trabalho. Gerenciamento de senhas: termo de responsabilidade deve afirmar que senha é secreta e não deve ser divulgada, senhas temporárias devem funcionar apenas uma vez. Análise crítica dos direitos de acesso do usuário: deve-se analisar os direitos de acesso dos usuários com freqüência de 6 meses ou menos.

18 Normas de Segurança da Informação
ISO – Controle de Acesso (2) Responsabilidades dos usuários: Senhas: segundo norma, usuário deve zelar pela sua senha e criar uma senha considerada aceitável (mínimo de 6 caracteres). Equipamentos sem monitoração: Usuários deve tomar os cuidados necessários ao deixar um equipamento sem monitoramento, com seções abertas.

19 Normas de Segurança da Informação
ISO – Controle de Acesso (3) Controle de Acesso ao SO Controle de acesso ao sistema operacional: Identificação automática de terminal: nos casos onde deve-se conhecer onde um usuário efetua logon. Procedimentos de entrada no sistema (logon). Sugestões como: limitar o número de tentativas erradas para o logon e não fornecer ajuda no processo de logon, entre outros. Identificação de usuários: a não ser em casos excepcionais cada usuário deve ter apenas um ID. Considerar outras tecnologias de identificação e autenticação: smart cards, autenticação biométrica. Sistema de Gerenciamento de Senhas: Contém os atributos desejáveis para sistema que lê, armazena e verifica senhas.

20 Normas de Segurança da Informação
ISO – Controle de Acesso (4) Controle de Acesso às aplicações Registro de Eventos: Trilha de auditoria registrando exceções e outros eventos de segurança devem ser armazenados por um tempo adequado. Monitoração do Uso do Sistema: Os procedimentos do monitoração do uso do sistema devem ser estabelecidos. Uma análise crítica dos logs deve ser feita de forma periódica. Sincronização dos Relógios: Para garantir a exatidão dos registros de auditoria.

21 Normas de Segurança da Informação
ISO – Controle de Acesso (5) Computação Móvel Usuários de equipamentos móveis devem ser conscientizados das práticas de segurança, incluindo senhas, criptografia entre outros.

22 Normas de Segurança da Informação
ISO – Gestão de Continuidade de Negócios Deve-se desenvolver planos de contingência para caso de falhas de segurança, desastres, perda de serviço, etc. Estes planos devem ser documentados, e o pessoal envolvido treinado. Os planos de contingência devem ser testados regularmente, pois tais planos quando concebidos teoricamente, podem apresentar falhas devido a pressupostos incorretos, omissões ou mudança de equipamento ou pessoal.

23 Normas de Segurança da Informação
ISO – Componentes do Plano de Continuidade de Negócios condições para a ativação do plano; procedimentos de emergência a serem tomados; procedimentos de recuperação para transferir atividades essenciais para outras localidades, equipamentos, programas, entre outros; procedimentos de recuperação quando do estabelecimento das operações; programação de manutenção que especifique quando e como o plano deverá ser testado; desenvolvimento de atividades de treinamento e conscientização do pessoal envolvido; designação de responsabilidades.

24 Normas de Segurança da Informação
ISO – Conformidade Conformidade com Requisitos Legais: Para evitar a violação de qualquer lei, estatuto, regulamentação ou obrigações contratuais. Evitar a violação de Direitos Autorais dos aplicativos. Análise Crítica da Política de Segurança e da Conformidade Técnica. Considerações referentes Auditoria de Sistemas.

Carregar ppt "Segurança e Auditoria de Sistemas Normas de Segurança (ISO 27002)"

Apresentações semelhantes

OHSAS Antecedentes: Versão 1999

OHSAS Antecedentes: Versão 1999
Segurança no Transporte dos Trabalhadores do

Segurança no Transporte dos Trabalhadores do
Segurança e Auditoria de Sistemas Normas de Segurança

Segurança e Auditoria de Sistemas Normas de Segurança
Www.abnt.org.br.

Programa de Qualidade: certificações, etapas e custos

Programa de Qualidade: certificações, etapas e custos
S. A S. A Indústria e Comércio Ltda. Indústria Metalúrgica

S. A S. A Indústria e Comércio Ltda. Indústria Metalúrgica
Administração e segurança de redes

Administração e segurança de redes
Administração e segurança de redes

Administração e segurança de redes
ISO Processos do Ciclo de Vida do Software

ISO Processos do Ciclo de Vida do Software
1. 2 Tecnologias de Informação e Risco O que esperamos das tecnologias de informação? Como atingir os objectivos das tecnologias de informação? Segurança.

1. 2 Tecnologias de Informação e Risco O que esperamos das tecnologias de informação? Como atingir os objectivos das tecnologias de informação? Segurança.
ISO/IEC – 6 Avaliação do Produto – Módulos de Avaliação

ISO/IEC – 6 Avaliação do Produto – Módulos de Avaliação
Sistemas de Gestão Integrada

Sistemas de Gestão Integrada
Segurança em Redes Elmar Melcher

Segurança em Redes Elmar Melcher
Código de Prática para a Gestão de Segurança de Informação.

Código de Prática para a Gestão de Segurança de Informação.
GERENCIAMENTO DE REDES

GERENCIAMENTO DE REDES
Visão Geral das Normas ISO

Visão Geral das Normas ISO
Gerência de Redes Áreas Funcionais de Gerenciamento

Gerência de Redes Áreas Funcionais de Gerenciamento
Projeto Final - APGS Adriana P. de Medeiros

Projeto Final - APGS Adriana P. de Medeiros
ONDE E QUANDO TEVE INICIO A CERTIFICAÇÃO AMBIENTAL NO BRASIL?

ONDE E QUANDO TEVE INICIO A CERTIFICAÇÃO AMBIENTAL NO BRASIL?
Elementos de um Programa Eficaz em Segurança e Saúde no Trabalho

Elementos de um Programa Eficaz em Segurança e Saúde no Trabalho

Apresentações semelhantes

Anúncios Google