Segurança da Informação - Melhores Práticas – ISO 17799

Segurança da Informação - 1

Segurança da Informação:Segurança da Informação:Conceitos e Modelo de GestãoConceitos e Modelo de Gestão

Sérgio MarinhoSérgio MarinhoNovembro.2004Novembro.2004

Direitos Reservados. Proibida Reprodução. Copyright 2004


Segurança da InformaçãoSegurança da InformaçãoSistemas Sistemas de de Gestão Gestão -- EvoluçãoEvolução

♦♦ Sistema de Gestão da Qualidade (Sistema de Gestão da Qualidade (ISO Série 9000 ISO Série 9000 -- 19871987))

♦♦ Sistema de Gestão Ambiental (Sistema de Gestão Ambiental (ISO Série 14000 ISO Série 14000 -- 19941994))

♦♦ Sistema de Gestão da Segurança e Saúde Ocupacional (Sistema de Gestão da Segurança e Saúde Ocupacional (OHSAS 18001 OHSAS 18001 -- 19961996))

SISTEMA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO (BS 7799SISTEMA DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO (BS 7799--2 2 –– 1999)1999)

e agora ...e agora ...


SEGURANÇA DA INFORMAÇÃO: ConceitosSEGURANÇA DA INFORMAÇÃO: Conceitos


Segurança da InformaçãoSegurança da InformaçãoConceitosConceitos

“O único sistema verdadeiramente seguro é aquele que

está desligado, desplugado, trancado num cofre de titanium,

lacrado, enterrado em um bunker de concreto, envolto por

gás nervoso e vigiado por guardas armados muito bem

pagos. Mesmo assim, eu não apostaria minha vida nisso.”

Gene SpaffordDiretor de Operações de Computador, Auditoria e Tecnologia da Segurança

Purdue University, França



Segurança da Informação:

É a preservação da Confidencialidade, Integridade e Disponibilidade da informação,

Onde:

Confidencialidade: é a garantia de que a informação seja acessível

apenas às pessoas autorizadas;

Integridade: é a proteção da exatidão e completeza da informação e

dos métodos de processamento;

Disponibilidade: é a garantia de que as pessoas autorizadas

tenham acesso às informações, bem como aos bens associados,

quando requeridos.



Qual informação deve ser protegida ?Qual informação deve ser protegida ?

A Informação A Informação queque é:é:

Falada em conversas ao telefone;Falada em conversas ao telefone;

Enviada por eEnviada por e--mail;mail;

Armazenada em banco de dados;Armazenada em banco de dados;

Mantida em filmes e microfilmes;Mantida em filmes e microfilmes;

Apresentada em projetores;Apresentada em projetores;

A Informação A Informação que estáque está::

Armazenada em computadores;Armazenada em computadores;

Transmitida através de rede;Transmitida através de rede;

Impressa ou escrita em papel;Impressa ou escrita em papel;

Enviada através de fax;Enviada através de fax;

Armazenada em fitas ou disco.Armazenada em fitas ou disco.



Proteger a informação de que ?

Acesso acidental;Acesso acidental;

Empregado desleal;Empregado desleal;

Crime organizado;Crime organizado;

“Hacker”“Hacker” de computador;de computador;

etcetc

Espionagem industrial;Espionagem industrial;

Fraude;Fraude;

Arrombamento;Arrombamento;

Gravação de comunicação;Gravação de comunicação;

Escuta telefônica;Escuta telefônica;

Ameaças



AMEAÇAUma causa potencial de um incidente indesejável com um ativo ou grupo de ativos de informação que pode resultar em danos para a organização.

Ex: Inundação, Roubo, Erro de Usuário, Falha de Hardware.

VULNERABILIDADEUma fraqueza de um ativo ou grupo de ativos de informação que pode ser explorada por uma AMEAÇA.

Ex: Data Center ao lado de um rio, Portas destrancadas,Alocação errada de direitos de senha, Falta de manutenção.

ATIVO DE INFORMAÇÃOTodo bem da empresa que se relaciona com informação e que tenha valor para a organização.

Ex: Hardware, Software, Sistema, Documentação.

RISCOÉ a medida do nível de incerteza associado à probabilidade de ocorrência de um evento e suas conseqüências.

Risco = Probabilidade X Impacto



Qua

ntid

ade

deQ

uant

idad

e de

Vuln

erab

ilida

deVu

lner

abili

dade

Tipos de VulnerabilidadesTipos de Vulnerabilidades

Sem controlesSem controlesCom controlesCom controles



Vuln

erab

ilida

des

Vuln

erab

ilida

des

ControlesControles

Vuln

erab

ilida

des

Vuln

erab

ilida

des

Custo dos ControlesCusto dos Controles


SEGURANÇA DA INFORMAÇÃO: SEGURANÇA DA INFORMAÇÃO: CasesCases


Segurança da InformaçãoSegurança da InformaçãoCasesCases

CASO 1: Deutsche BankCASO 1: CASO 1: DeutscheDeutsche BankBank

♦♦ O Banco tinha 2 escritO Banco tinha 2 escritóórios funcionando no rios funcionando no World TradeWorld Trade CenterCenter e e jjáá operava os seus sistemas quase que normalmente no dia operava os seus sistemas quase que normalmente no dia seguinte ao atentado terrorista de 11 de Setembro 2001.seguinte ao atentado terrorista de 11 de Setembro 2001.

♦♦ Requisitos da Norma:Requisitos da Norma:!! CCóópias de Seguranpias de Segurançça (8.4.1).a (8.4.1).!! GestGestãão da continuidade do nego da continuidade do negóócio (11);cio (11);Estes requisitos definem regras para evitar a interrupEstes requisitos definem regras para evitar a interrupçãção do nego do negóócio e cio e proteger os processos crproteger os processos crííticos contra efeitos de falhas ou desastres ticos contra efeitos de falhas ou desastres significativos.significativos.

♦♦ Resultado: Resultado: atendidoatendido PreservaPreservaçãção: disponibilidadeo: disponibilidade



CASO 2: Ministério de Defesa BritânicoCASO 2: MinistCASO 2: Ministéério de Defesa Britrio de Defesa Britââniconico

♦♦ Em abril de 2001 um notebook do MinistEm abril de 2001 um notebook do Ministéério de Defesa Britrio de Defesa Britâânico, nico, contendo segredos de segurancontendo segredos de segurançça nacional, foi deixado em um ta nacional, foi deixado em um tááxi xi por um oficial do expor um oficial do exéército. rcito.

♦♦ Requisitos da Norma:Requisitos da Norma:!! ComputaComputaçãção Mo Móóvel (9.8.1) vel (9.8.1) Este requisito estabelece que quando se utilizam recursos da Este requisito estabelece que quando se utilizam recursos da computacomputaçãção mo móóvel, cuidados especiais devem ser tomados, para garantir vel, cuidados especiais devem ser tomados, para garantir que a informaque a informaçãção no nãão seja comprometida. A norma recomenda que seja o seja comprometida. A norma recomenda que seja adotada uma poladotada uma políítica formal, incluindo requisitos para protetica formal, incluindo requisitos para proteçãção fo fíísica, sica, controles de acesso, tcontroles de acesso, téécnicas criptogrcnicas criptográáficas, cficas, cóópias de seguranpias de segurançça e a e proteproteçãção contra vo contra víírus.rus.

♦♦ Resultado: Resultado: !! nnãão atendido o atendido Comprometimento: confidencialidadeComprometimento: confidencialidade



CASO 3: Ataque de vírus na SamarcoCASO 3: Ataque de vCASO 3: Ataque de víírus na Samarcorus na Samarco

♦♦ Em maio de 2000 o vEm maio de 2000 o víírus rus ““I I lovelove youyou”” invadiu o servidor de correio invadiu o servidor de correio da Samarco provocando paralisada Samarco provocando paralisaçãção de 1 semana dos servio de 1 semana dos serviçços.os.

♦♦ Requisitos da Norma:Requisitos da Norma:!! Controles contra software malicioso (8.3.1) Controles contra software malicioso (8.3.1) Este requisito estabelece que sejam adotadas medidas de precauEste requisito estabelece que sejam adotadas medidas de precauçãção o para prevenir e detectar softwares maliciosos. A norma recomendapara prevenir e detectar softwares maliciosos. A norma recomenda que que seja adotada uma polseja adotada uma políítica formal, antica formal, anáálise crlise críítica dos softwares, tica dos softwares, procedimento para gerenciamento, planos de contingprocedimento para gerenciamento, planos de contingêência e ncia e monitoramento constante do ambiente computacional.monitoramento constante do ambiente computacional.

♦♦ Resultado: Resultado: !! nnãão atendidoo atendido Comprometimento: disponibilidadeComprometimento: disponibilidade



CASO 4: Download de software não homologado pela TICASO 4: CASO 4: Download Download de software nde software nãão homologado pela TIo homologado pela TI

♦♦ Em junho de 2001 foi feito, por trEm junho de 2001 foi feito, por trêês usus usuáários de Ubu, um rios de Ubu, um download, download, a partir da Internet,a partir da Internet, do software GATOR.EXE, provocando do software GATOR.EXE, provocando uma baixa de performance muito grande na rede local, apuma baixa de performance muito grande na rede local, apóós s instalainstalaçãção do software.o do software.

♦♦ Requisitos da Norma:Requisitos da Norma:!! AceitaAceitaçãção de sistemas e softwares (8.2.2)o de sistemas e softwares (8.2.2)!! Gerenciamento de privilGerenciamento de priviléégios (9.2.2) gios (9.2.2) Estes requisitos estabelecem que sejam adotadas medidas preventiEstes requisitos estabelecem que sejam adotadas medidas preventivas vas para se evitar instalapara se evitar instalaçãção e uso de softwares no e uso de softwares nãão homologados pela o homologados pela organizaorganizaçãção. A norma recomenda que seja adotada uma polo. A norma recomenda que seja adotada uma políítica formal tica formal de acesso de acesso àà rede bem como rede bem como ààs suas aplicas suas aplicaçõções e recursos.es e recursos.

♦♦ Resultado: Resultado: !! nnãão atendidoo atendido Comprometimento: disponibilidadeComprometimento: disponibilidade


Melhores Práticas de SI: ISO/IEC 17799Melhores Práticas de SI: ISO/IEC 17799


Segurança da InformaçãoSegurança da InformaçãoMelhores Práticas Melhores Práticas –– ISO 17799ISO 17799

1. Objetivo:

Fornecer recomendações para gestão da segurança da informação nas

organizações, através da indicação das melhores práticas de SI.

2. A Segurança da Informação é obtida pela garantia da:

Confidencialidade Integridade Disponibilidade

Garantia de que o acessoà informação seja obtidosomente por pessoas autorizadas.

Salvaguarda da exatidão e completeza da informação e dos métodos de processamento.

Garantia de que os usuários autorizados obtenham acesso á informação e aos ativos correspondentes sempre que necessário.


3. Política de Segurança

4. Segurança organizacional

5. Classificação e controle de ativos de informação

6. Segurança em pessoas

7. Segurança física e do ambiente

8. Gerenciamento das operações e comunicações

9. Controle de acesso

10. Desenvolvimento e manutenção de sistemas

11. Gestão da continuidade do negócio

12. Conformidade



3. Política de SegurançaObjetivo: Prover à administração uma orientação e apoio para a segurança da informação.

Convém que Alta Direção estabeleça uma Política clara e demonstre apoio e comprometimento com a segurança da informação através da emissão e manutenção de uma política de segurança da informação para toda organização.

3. Política de Segurança3.1. Política de Segurança da Informação

3.1.1. Documento da PSI3.1.2. Análise crítica e avaliação



4. Segurança OrganizacionalObjetivo: Gerenciar a segurança da informação na organização

Convém que uma Estrutura de Gerenciamento seja estabelecida para iniciar e controlar a implementação da segurança da informação dentro da organização.

4. Segurança Organizacional4.1. Infra-estrutura da SI 4.2. Segurança acesso prestadores de serviço

4.1.1. Gestão do Forum de SI 4.2.1. Identificação dos riscos de acesso4.1.2. Coordenação da SI 4.2.1.1. Tipos de acesso4.1.3. Atribuição das responsabilidades 4.2.1.2. Razões para o acesso4.1.4. Processo de autorização para as 4.2.1.3. Contratados para serviços internos

instalações do processamento de 4.2.2. Requisitos de segurança nos contratosinformações 4.3. Terceirização

4.1.5. Consultoria especializada em SI 4.3.1. Requisitos de segurança nos contratos4.1.6. Cooperação entre organizações4.1.7. Análise crítica independente da SI



5. Classificação e Controle de Ativos de Informação

Objetivo: Manter a proteção adequada dos ativos da organização.

Convém que todos os principais ativos de informação sejam inventariados e tenham um proprietário responsável.

5. Classificação e controle de ativos de informação

5.1. Contabilização dos ativos

5.1.1. Inventário dos ativos de informação

5.2. Classificação da informação

5.2.1. Recomendações para classificação

5.2.2. Rótulos e tratamento da informação



6. Segurança em PessoasObjetivo: Reduzir os riscos de erro humano, roubo, fraude ou uso indevido de instalações.

Convém que responsabilidades de segurança sejam atribuidas na fase de recrutamento, incluidas em contratos e monitoradas durante a vigência de cada contrato de trabalho.

6. Segurança em Pessoas

6.1. Segurança na definição e nos recursos trabalho 6.3. Respondendo aos incidentes de segurança

6.1.1 Incluindo segurança nas responsabilidades e ao mau funcionamento de SW

Trabalho 6.3.1. Notificando incidentes de segurança

6.1.2. Seleção e política de pessoal 6.3.2. Notificando falhas na segurança

6.1.3. Acordos de confidencialidade 6.3.3. Notificando mau funcionamento

6.1.4. Termos e condições de trabalho 6.3.4. Aprendendo com os incidentes

6.2. Treinamento dos usuários 6.3.5. Processo disciplinar

6.2.1. Educação e treinamento em SI



7. Segurança Física e do AmbienteObjetivo: Prevenir o acesso não autorizado, dano, perda e interferência às instalações físicas da organização.

Convém que os recursos e instalações de processamento de informações criticas ou sensíveis do negócio sejam mantidos em áreas seguras, protegidas por um perímetro de segurança definido, com barreiras de segurança apropriadas e controle de acesso.

7. Segurança física e do ambiente7.1. Áreas de segurança 7.2. Segurança dos equipamentos

7.1.1. Perímetro da segurança física 7.2.1. Instalação e proteção de eqptos.7.1.2. Controles de entrada física 7.2.2. Fornecimento de energia7.1.3. Segurança em escritórios, salas e 7.2.3. Segurança do cabeamento

instalações PD 7.2.4. Manutenção de eqptos.7.1.4. Trabalhando em áreas de segurança 7.2.5. Segurança eqptos. fora das instalações7.1.5. Isolamento das áreas de expedição e carga 7.2.6. Reutilização e alienação de eqptos.

7.3. Controles gerais

7.3.1. Política mesa limpa / tela limpa7.3.2. Remoção de propriedades



8. Gerenciamento das Operações e ComunicaçõesObjetivo: Garantir a operação segura e correta dos recursos de processamento da informação.

Convém que os procedimentos e responsabilidades pela gestão e operação de todos os recursos sejam definidos. Isto abrange o desenvolvimento de procedimentos operacionais apropriados e de resposta a incidentes.

Veja detalhe dos controles a seguir



8.6. Segurança e tratamento de mídias

8.6.1. Gerenciamento de mídias removíveis

8.6.2. Descarte de mídas

8.6.3. Procedimento tratamento informação

8.6.4. Segurança da documentação sistemas

8.7. Troca de informações e softwares

8.7.1. Acordos para a troca de informações e SW

8.7.2. Segurança de mídias em trânsito

8.7.3. Segurança do comércio eletrônico

8.7.4. Segurança do correio eletrônico

8.7.4.1. Riscos de segurança

8.7.4.2. Política de usu

8.7.5. Segurança sistemas eletrônicos escritórios

8.7.6. Sistemas disponíveis publicamente

8.7.7. Outras formas troca de informação

8. Gerenciamento das operações e comunicações8.1. Procedimentos e responsabilidades operacionais

8.1.1. Documentação do procedimentos operação

8.1.2. Controle mudanças operacionais

8.1.3. Prodecimento gerenciamento incidentes

8.1.4. Segregação de funções

8.1.5. Separação ambientes: desenv. e operação

8.1.6. Gestão recursos terceirizados

8.2. Planejamento e aceitação dos sistemas

8.2.1. Planejamento da capacidade

8.2.2. Aceitação de sistemas

8.3. Proteção contra software malicioso

8.3.1. Controles contra software malicioso

8.4. Housekeeping

8.4.1. Cópias de segurança

8.4.2. Registros de operação

8.4.3. Registros de falhas

8.5. Gerenciamento da rede

8.5.1. Controles da rede



9. Controle de AcessoObjetivo: Controlar o acesso à informação.

Convém que o acesso à informação e processo do negócio seja controlado na base dos requisitos de segurança e do negócio.




9. Controle de acesso9.1. Registros do negócio para controle acesso

9.1.1. Política de controle de acesso9.1.1.1. Requisitos do negócio e política9.1.1.2. Regras de controle de acesso

9.2. Gerenciamento de acesso do usuário9.2.1. Registro do usuário9.2.2. Gerenciamento de previlégios9.2.3. Gerenciamento de senha dos usuários9.2.4. Análise crítica dos direitos acesso usuários

9.3. Responsabilidades do usuário9.3.1. Uso de senhas9.3.2. Eqpto. de usuário sem monitoração

9.4. Controle de acesso à rede9.4.1. Política de utilização dos serviços de rede9.4.2. Rota de rede obrigatória9.4.3. Autenticação para conexão externa (usuário)9.4.4. Autenticação de nó9.4.5. Proteção de portas de diagnóstico remotas9.4.6. Segregação de redes9.4.7. Controle de conexão de redes9.4.8. Controle do roteamento de rede9.4.9. Segurança dos serviços de rede

9.5. Controle de acesso ao sistema operacional9.5.1. Identificação automática de terminal9.5.2. Procedimentos de entrada no sistema9.5.3. Identificação e autenticação de usuário9.5.4. Sistema de gerenciamento de senha9.5.5. Uso de programas utilitários9.5.6. Alarme de intimidação 9.5.7. Desconexão de terminal por inatividade9.5.8. Limitação de tempo de conexão

9.6. Controle de acesso às aplicações9.6.1. Restrição de acesso à informação9.6.2. Isolamento de sistemas sensíveis

9.7. Monitoração do uso e acesso ao sistema9.7.1. Registro de eventos9.7.2. Monitoração do uso do sistema

9.7.2.1. Procedimentos e áreas de risco9.7.2.2. Fatores de risco9.7.2.3. Registro e análise crítica eventos

9.7.3. Sincronização dos relógios9.8. Computação móvel e trabalho remoto

9.8.1. Computação móvel9.8.2. Trabalho remoto



10. Desenvolvimento e Manutenção de SistemasObjetivos: Garantir que a segurança seja parte integrando dos sistemas de informação.

Convém que todos os requisitos de segurança, incluindo a necessidade de acordos de contingência, sejam, identificados na fase de levantamento de requisitos de um projeto e justificados, acordados e documentados como parte do estudo de caso de um negócio para um sistema de informação.




10. Desenvolvimento e manutenção de sistemas10.1. Requisitos de segurança de sistemas

10.1.1. Análise e especificação requisitos segurança10.2. Segurança nos sistemas de aplicação

10.2.1. Validação de dados de entrada10.2.2. Controle do processamento interno

10.2.2.1. Áreas de risco10.2.2.2. Checagens e controles

10.2.3. Autenticação de mensagem10.2.4. Validação dos dados de saída

10.3. Controles de criptografia10.3.1. Política para uso de controles de criptografia10.3.2. Criptografia10.3.3. Assinatura digitial10.3.4. Serviços de não repúdio10.3.5. Gerenciamento de chaves

10.3.5.1. Proteção de chaves criptográficas10.3.5.2. Normas, procedimentos e métodos

10.4. Segurança de arquivo do sistema10.4.1. Controle de software em produção10.4.2. Proteção de dados de teste do sistema10.4.3. Controle de acesso à biblioteca de fontes

10.5. Segurança nos processos de desenvolv. e suporte10.5.1. Procedimentos de controle de mudanças10.5.2. Análise crítica das mudanças técnicas do SO10.5.3. Restrições nas mudanças dos pacotes SW10.5.4. Covert channels e cavalo de tróia10.5.5. Desenvolvimento terceirizado de SW



11. Gestão da Continuidade do NegócioObjetivo: Não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de grandes falhas ou desastres significativos.

Convém que o processo de gestão da continuidade seja implementado para reduzir, para um nivel aceitável, a interrupção causada por desastres ou falhas da segurança, através da combinação de ações de prevenção e recuperação.

11. Gestão da continuidade do negócio

11.1. Aspectos na gestão de continuidade dos negócios11.1.1. Processo de gestão da continuidade dos negócios11.1.2. Continuidade do negócio e análise de impacto11.1.3. Documentando e implementando planos de continuidade do negócio11.1.4. Estrutura do plano de continuidade do negócio11.1.5. Testes, manutenção e reavaliação dos planos de continuidade do negócio

11.1.5.1. Teste dos planos11.1.5.2. Manutenção e reavaliação dos planos



12. ConformidadeObjetivo: Evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança.

Convém que consultoria em requisitos legais específicos seja procurada em organizações de consultoria jurídica ou profissionais liberais, adequadamente qualificados nos aspectos legais.




12. Conformidade 12.1. Conformidade com requisitos legais

12.1.1. Identificação da legislação vigente12.1.2. Direitos de propriedade intelectual

12.1.2.1. Direitos autorais12.1.2.2. Direitos autorais de software

12.1.3. Salvaguarda de registrosorganizacionais

12.1.4. Proteção de dados e privacidade dainformação pessoal

12.1.5. Prevenção contra uso indevido derecursos de processamento dainformação

12.1.6. Regulamentação controles decriptografia

12.1.7. Coleta de evidências12.1.7.1. Regras para evidências12.1.7.2. Admissibilidade da evidência12.1.7.3. Qualidade e inteireza da

evidência

12.2. Análise crítica da política de segurança e daconformidade técnica12.2.1. Conformidade com a política de

segurança12.2.2. Verificação da conformidade técnica

12.3. Considerações quanto à auditorias de sistemas12.3.1. Controles de auditorias de sistemas

12.3.2. Proteção das ferramentas de auditoria de sistemas.



NORMA BS 7799NORMA BS 7799--2: Histórico e Aplicação2: Histórico e Aplicação


BS 7799

Segurança da InformaçãoSegurança da InformaçãoBS 7799BS 7799--2 2 –– Histórico e AplicaçãoHistórico e Aplicação

ISO/IEC 17799Code of Practice for Information Security ManagementISO/IEC JTC1/SC27/WG1(publicada em 2000)

Code of Practice for Information Security ManagementApresenta as “melhores práticas” a serem utilizadas na gestão de segurança da informação. (publicada em 1995 e atualizada em 1999)

BS 7799 Part 1

Specification for Information Security Management SystemsApresenta uma estrutura de gestão e viabiliza a realização de auditorias do sistema de gestão de Informação. (publicada em 1998 e atualizada em 2002)

BS 7799 Part 2 NBR ISO/IEC 17799TI – Código de Prática para a Gestão da Segurança da Informação ABNT CB-21/CE-21:204.01Apresenta as “melhores práticas” a serem utilizadas na gestão de segurança da informação.(publicada em 2001)


Specification for information security management systemsApresenta uma estrutura de gestão e viabiliza a realização de auditorias do sistema de gestão de Informação. (publicada em 1998 e atualizada em 2002)

BS 7799 Part 2NBR ISO/IEC 17799TI – Código de Prática para a Gestão da Segurança da Informação ABNT CB-21/CE-21:204.01Apresenta as “melhores práticas” a serem utilizadas na gestão de segurança da informação.(publicada em 2001)

HISTÓRICO DA BS 7799HISTÓRICO DA BS 7799♦ Mar 1993: Inglaterra – Código de Prática

♦ Abr 1995: Norma Britânica – BS 7799-1:1995

♦ Fev 1998: Primeira publicação – BS 7799-2:1998

♦ Mai 1999: Revisão das partes 1 e 2 – Consistência

♦ Set 2002: Publicação da revisão da parte 2,

feita por uma equipe internacional (IUG),

para alinhamento com outros Sistemas

de Gestão

HISTÓRICO DA ISO 17799HISTÓRICO DA ISO 17799♦ Ago 1999: Consulta do BSI aos países membros

da ISO/IEC♦ Out 1999: Formalização do “Fast track procedure”

junto à ISO/IEC♦ Jan 2000: ISO/IEC nomeiam o JTC1/SC27 para

conduzir o processo♦ Jul 2000: Brasil envia posição favorável ao “Fast

track procedure”♦ Out 2000: “Tokyo heating meeting” ♦ Dez 2000: A norma ISO/IEC 17799 é oficialmente

publicada em Genebra♦ Ago 2001: Brasil, através da ABNT/CB21, publica

a NBR ISO IEC 17799

Segurança da InformaçãoSegurança da InformaçãoBS 7799BS 7799--2 2 –– Histórico e AplicaçãoHistórico e Aplicação


REQUISITOS DA GESTÃO DE REQUISITOS DA GESTÃO DE SEGURANÇA DA INFORMAÇÃOSEGURANÇA DA INFORMAÇÃO


Modelo PDCA aplicado aos processos do SGSI

Segurança da InformaçãoSegurança da InformaçãoBS 7799BS 7799--2 2 –– PDCAPDCA

PartesInteressadas

Expectativas eRequisitos doSistema deInformação

PartesInteressadas

Segurança daInformaçãoGerenciada

4.2.1Estabelecer o

SGSI

4.2.4Manter e

Melhorar o SGSI

4.2.2Implementar eOperar o SGSI

4.2.3Monitorar e

Revisar o SGSI

Planejar

Fazer Agir

Verificar

Ciclo deCiclo deDesenvolvimento,Desenvolvimento,

Manutenção eManutenção eMelhoriaMelhoria


Segurança da InformaçãoSegurança da InformaçãoBS 7799BS 7799--2 2 –– Requisitos da Gestão de SIRequisitos da Gestão de SI

4.2.1 Estabelecer o SGSI (Plan)A organização deve:

a. Definir o escopo do SGSI em função da característica do negócio, da organização, da localização, ativos e tecnologia.

b. Definir uma Política de Segurança da Informação que:

• Inclua claramente os objetivos de segurança para toda a organização e estabeleça os princípios a serem seguidos;

• Considere a conformidade com a legislação e cláusulas contratuais;

• Esteja alinhada à estratégia organizacional e gerenciamento de riscos;

• Tenha o comprometimento da Alta Direção.

c. Identificar os riscos dos ativos considerados no escopo do SGSI.

d. Avaliar os riscos dos ativos considerando o impacto na confidencialidade, integridade e disponibilidade dos mesmos.

e. Identificar e validar as opções para tratamento dos riscos.

f. Selecionar os objetivos de controle e os controles para tratamento dos riscos (ISO 17799)

g. Preparar uma Declaração de Aplicabilidade (Statement of Applicability)


4.2.2 Implantar e Operar o SGSI (Do)A organização deve:

a. Formular um plano de tratamento dos riscos que identifique as ações apropriadas de gerenciamento, as responsabilidades e prioridades para gerenciamento dos riscos de segurança da informação.

b. Implementar o plano de tratamento dos riscos para atender os objetivos de controles definidos.

c. Implementar os controles selecionados de acordo com os objetivos de controle.

d. Implementar programas de treinamento e conscientização.

e. Gerenciar as operações.

f. Gerenciar os recursos.

g. Implementar procedimentos e outros controles para possibilitar o registro, acompanhamento e resposta no caso dos incidentes de segurança.



4.2.3 Monitorar e Revisar o SGSI (Check)A organização deve:

a. Executar procedimentos de monitoração e outros controles para:

• Detectar erros dos resultados de processamentos;

• Identificar falhas e insucessos em função de brechas e incidentes de segurança;

• Gerenciar se a delegação de atividades seguras para pessoas ou as implementações da TI estão sendo realizadas de acordo com as expectativas;

• Determinar se as ações executadas para resolver uma falha de segurança estão de acordo com as prioridades do negócio;

b. Verificar regularmente a eficiência do SGSI considerando os resultados das auditorias de segurança, incidentes, sugestões e feedback de todas as partes interessadas.

c. Rever regularmente o nível de risco residual.

d. Promover auditorias internas do SGSI, em intervalos regulares e planejados.

e. Promover revisão do SGSI em intervalos regulares (pelo menos uma vez por ano) para assegurar que a adequação do escopo e que o processo de melhorias do sistema são identificados.

f. Registrar ações e eventos que possam impactar a eficiência e performance do SGSI.



4.2.4 Manter e Melhorar o SGSI (Act)A organização deve:

a. Implementar as melhorias identificadas para o SGSI.

b. Realizar as ações corretivas e preventivas de acordo com os requisitos 7.2 e 7.3 da Norma e considerar as lições de aprendizado com as experiências de segurança de outras organizações e as internas.

c. Comunicar os resultados e ações acordadas com as partes interessadas.

d. Assegurar que as melhorias estão atingindo os objetivos propostos.



4.3.2 Controle de DocumentosDocumentos requeridos pelo SGSI devem ser protegidos e controlados. Um procedimento de documentação deve ser estabelecido para definir as ações de gerenciamento necessárias para:

a. Aprovar documentos de acordo com a prioridades dos assuntos;

b. Rever e atualizar os documentos necessários e re-aprová-los;

c. Assegurar que as alterações e a revisão atual dos documentos são identificadas;

d. ...

4.3.3 Controle de Registros

Registros devem ser estabelecidos e mantidos para prover evidências de conformidade com

os requisitos do SGSI. Eles devem ser controlados. O SGSI deve guardar qualquer

requerimento legal relevante. Registros devem estar legíveis, identificados e prontamente

recuperáveis. Os controles necessários para identificação, armazenamento, proteção,

recuperação, tempo de retenção e disposição dos registros devem ser documentados. Um

processo de gerenciamento deve determinar a necessidade e abrangência dos registros.



5.1 Comprometimento da Alta DireçãoA Alta Direção deve prover evidências de seu comprometimento com o estabelecimento,

implementação, operação, monitoramento, revisão, manutenção e evolução do SGSI:

a. Estabelecendo a Política de Segurança da Informação;

b. Assegurando que os planos e objetivos de segurança da informação sejam definidos;

c. Estabelecendo regras e responsabilidades de segurança da informação;

d. Comunicando para a organização a importância dos objetivos de segurança e a conformidade com a Política de Segurança da Informação, a observância e respeito às leis e a necessidade de melhoria contínua;

e. Providenciando os recursos necessários para o desenvolvimento, implementação, operação e manutenção do SGSI;

f. Definindo o nível de risco aceitável;

g. Conduzindo as revisões do SGSI.



5.2.1 Provisão de RecursosA organização deve determinar e providenciar os recursos necessários para:

a. Estabelecer, implementar, operar e manter o SGSI

b. Assegurar que os procedimentos de segurança da informação suportem os requerimentos de negócio;

c. Identificar leis e outros requisitos e obrigações contratuais relativas à segurança;

d. Manter segurança adequada através da aplicação correta de todos os controles implementados;

e. Promover revisões quando necessário e implementar apropriadamente os resultados destas revisões;

f. Quando requerido, melhorar a eficiência do SGSI.

5.2.2 Treinamento, conscientização e competência

A organização deve assegurar que todas as pessoas que tenham alguma responsabilidade definida no SGSI sejam competentes para executar as atividades definidas.



6.4 Auditorias Internas do SGSIA organização deve conduzir auditorias internas do SGSI, em intervalos planejados, para determinar a situação dos objetivos de controle, controles, processos e procedimentos do SGSI.

7.1 Melhoria ContínuaA organização deve continuamente melhorar a eficiência do SGSI através do uso da Política de Segurança da Informação, objetivos de segurança, resultados das auditorias, análise e monitoramento de eventos, ações corretivas e preventivas.

7.2 Ações Corretivas

7.3 Ações Preventivas


Segurança da Informação - Melhores Práticas – ISO 17799

Documents

Transcript of Segurança da Informação - Melhores Práticas – ISO 17799