normas para segurança da informação carlos sampaio
TRANSCRIPT
![Page 1: Normas para Segurança da Informação Carlos Sampaio](https://reader034.vdocuments.pub/reader034/viewer/2022042613/552fc145497959413d8e09ef/html5/thumbnails/1.jpg)
Normas para Segurança da InformaçãoCarlos Sampaio
![Page 2: Normas para Segurança da Informação Carlos Sampaio](https://reader034.vdocuments.pub/reader034/viewer/2022042613/552fc145497959413d8e09ef/html5/thumbnails/2.jpg)
Normas para Segurança da Informação
BS 7799
ISO/IEC 17799
NBR 17799
![Page 3: Normas para Segurança da Informação Carlos Sampaio](https://reader034.vdocuments.pub/reader034/viewer/2022042613/552fc145497959413d8e09ef/html5/thumbnails/3.jpg)
Norma BS 7799: duas partes (BS = British Standard)
BS-7799-1:2000 – Primeira parte Publicada em 1995 pela primeira vez Versão atual de 2000 Código de prática para a gestão da segurança da informação Objetivo da organização: conformidade
BS-7799-2:2002 – Segunda parte Publicada em 1998 pela primeira vez Versão atual de 2002 Especificação de sistemas de gerenciamento de segurança da
informação (ISMS – information security management system)
Objetivo da organização: certificação
![Page 4: Normas para Segurança da Informação Carlos Sampaio](https://reader034.vdocuments.pub/reader034/viewer/2022042613/552fc145497959413d8e09ef/html5/thumbnails/4.jpg)
Norma ISO/IEC 17799 Internacionalização da norma BS 7799
ISO/IEC 17799:2000, substitui a norma britânica Inclui 127 controles 127 controles e 36 objetivos de 36 objetivos de
controlecontrole agrupados em 10 áreas de 10 áreas de controlecontrole
Controles baseados na experiência das organizações e melhores práticas
Atualmente está sendo atualizado ISO/IEC 17799:2005: disponível maio/junho 2005 Várias modificações gerais e específicas http://www.aexis.de/17799CT.htm
![Page 5: Normas para Segurança da Informação Carlos Sampaio](https://reader034.vdocuments.pub/reader034/viewer/2022042613/552fc145497959413d8e09ef/html5/thumbnails/5.jpg)
Norma NBR 17799 NBR ISO/IEC 17799
Versão brasileira da norma ISO, homologada pela ABNT em setembro de 2001
Tradução literal da norma ISO www.abnt.org.br
No Brasil, deve-se usar a norma brasileira Em outros países, recomenda-se verificar se
existe uma norma local Detalhe importante:
Deve-se pagar pelas normas
![Page 6: Normas para Segurança da Informação Carlos Sampaio](https://reader034.vdocuments.pub/reader034/viewer/2022042613/552fc145497959413d8e09ef/html5/thumbnails/6.jpg)
Controle de acesso
Classificaçãoe controle de
ativos
Política desegurança
Segurançaorganizacional
Segurança pessoal
Segurança físicae ambientalGestão das
operações e comunicações
Desenvolvimento e manutanção
de sistemas
Gestão da continuidade
do negócio
Conformidade
Informação
IntegridadeConfidencia-
lidade
Disponibili-dade
Áreas (cláusulas de controle)
![Page 7: Normas para Segurança da Informação Carlos Sampaio](https://reader034.vdocuments.pub/reader034/viewer/2022042613/552fc145497959413d8e09ef/html5/thumbnails/7.jpg)
Áreas (cláusulas de controle)
Organizacional
Operacional
Política de Segurança
Segurança Organizacional
Desenvolvimento eManutenção de Sistemas
Controle de Acesso
Conformidade
Segurança PessoalSegurança Física
e Ambiental
Gestão das Operaçõese Comunicações
Gestão da Continuidadedo negócio
Aspecto
Organizacional
Técnico
Físico
Classificação eControle de Ativos
![Page 8: Normas para Segurança da Informação Carlos Sampaio](https://reader034.vdocuments.pub/reader034/viewer/2022042613/552fc145497959413d8e09ef/html5/thumbnails/8.jpg)
Adoção das Normas
Conformidade Com a norma ISO/IEC 17799:2000/2005
Certificação Com a norma BS 7799-2:2002
A Partir de Fevereiro de 2006 Certificação pela ISO27001
![Page 9: Normas para Segurança da Informação Carlos Sampaio](https://reader034.vdocuments.pub/reader034/viewer/2022042613/552fc145497959413d8e09ef/html5/thumbnails/9.jpg)
Vantagens das Normas
Conformidade com regras dos governos para o gerenciamento de riscos COBIT / Sarbanes-Oxley
Maior proteção das informações confidenciais da organização
Redução no risco de ataques de hackers Recuperação de ataques mais fácil e
rápidas
![Page 10: Normas para Segurança da Informação Carlos Sampaio](https://reader034.vdocuments.pub/reader034/viewer/2022042613/552fc145497959413d8e09ef/html5/thumbnails/10.jpg)
Vantagens das Normas Metodologia estruturada de segurança
que está alcançando reconhecimento internacional
Maior confiança mútua entre parceiros comerciais
Custos possivelmente menores para seguros de riscos computacionais
Melhores práticas de privacidade e conformidade com leis de privacidade
![Page 11: Normas para Segurança da Informação Carlos Sampaio](https://reader034.vdocuments.pub/reader034/viewer/2022042613/552fc145497959413d8e09ef/html5/thumbnails/11.jpg)
Exemplo 1:Uso de senhas Cláusula de controle (área)
9. Controle de acesso Sub-cláusula: 9.3. Responsabilidades do usuário Sub-sub-cláusula: 9.3.1 Uso de senhas
Objetivo de controle (da sub-cláusula 9.3) Prevenir acesso não autorizado dos usuários
Comentários adicionais (da sub-cláusula 9.3) A cooperação dos usuários autorizados é
essencial para a eficácia da segurança Convém que os usuários sejam cientes de suas
responsabilidades para o controle de acesso
![Page 12: Normas para Segurança da Informação Carlos Sampaio](https://reader034.vdocuments.pub/reader034/viewer/2022042613/552fc145497959413d8e09ef/html5/thumbnails/12.jpg)
Exemplo 1:Uso de senhas Comentários adicionais
(da sub-sub-cláusula 9.3.1) Convém que os usuários sigam as boas
práticas de segurança na seleção e uso de senhas
As senhas fornecem um meio de validação e identidade do usuário e conseqüentemente o estabelecimento dos direitos de acesso para os recursos ou serviços de processamento da informação
Controles: os usuários devem ser informados para tomar certas providências ...
![Page 13: Normas para Segurança da Informação Carlos Sampaio](https://reader034.vdocuments.pub/reader034/viewer/2022042613/552fc145497959413d8e09ef/html5/thumbnails/13.jpg)
Exemplo 1:Controles de uso de senhas
1. Manter a confidencialidade das senhas2. Evitar o registro das senhas em papel, a
menos que o papel possa ser guardado com segurança
3. Alterar a senha sempre que existir qualquer indicação de comprometimento do sistema ou da própria senha
4. Alterar as senhas em intervalos regulares ou baseando-se no número de acessos e evitar a reutilização de senhas antigas Senhas para contas privilegiadas devem ser
alteradas com maior freqüência
![Page 14: Normas para Segurança da Informação Carlos Sampaio](https://reader034.vdocuments.pub/reader034/viewer/2022042613/552fc145497959413d8e09ef/html5/thumbnails/14.jpg)
Exemplo 1: Controles de uso de senhas5. Selecionar senhas de qualidade, com um
tamanho mínimo de seis caracteres, que sejam:
Fáceis de lembrar Não baseadas em coisas que outras pessoas
possam facilmente adivinhar ou obter a partir de informações pessoais, como nomes, números, datas, etc.
Sem caracteres repetidos ou grupos somente (alfa)numéricos
6. Alterar senhas temporárias no primeiro acesso ao sistema
![Page 15: Normas para Segurança da Informação Carlos Sampaio](https://reader034.vdocuments.pub/reader034/viewer/2022042613/552fc145497959413d8e09ef/html5/thumbnails/15.jpg)
Exemplo 1: Controles de uso de senhas7. Não incluir senhas em processos
automáticos de acesso ao sistema Ex: armazenadas em macros ou teclas
de função
8. Não compartilhar senhas individuais9. Se os usuários precisarem ter acesso
a múltiplas plataformas ou serviço, e manter várias senhas, convém orientá-los para utilizar uma única senha de qualidade
![Page 16: Normas para Segurança da Informação Carlos Sampaio](https://reader034.vdocuments.pub/reader034/viewer/2022042613/552fc145497959413d8e09ef/html5/thumbnails/16.jpg)
Exemplo 1: Uso de senhas Perguntas:
Quais controles são computacionais e quais dependem de procedimentos / treinamento?
Como fazer com senhas que precisam ser compartilhadas por grupos?
Como fazer para automatizar o processo do usuário ter acesso a múltiplas plataformas e serviços?
![Page 17: Normas para Segurança da Informação Carlos Sampaio](https://reader034.vdocuments.pub/reader034/viewer/2022042613/552fc145497959413d8e09ef/html5/thumbnails/17.jpg)
Exemplo 2:Gerenciamento de rede
Cláusula de controle (área) 8. Gerenciamento das Operações e Comunicações Sub-cláusula: 8.5: Gerenciamento de rede Sub-sub-cláusula: 8.5.1. Controles da rede
Objetivo de controle (da sub-cláusula 8.5) Garantir a salvaguarda das informações na rede e proteção
da infra-estrutura de suporte
Comentários adicionais (da sub-cláusula 8.5) O gerenciamento de redes que transcendem os limites físicos
da organização necessita de atenção especial Pode ser necessária a utilização de controles adicionais para
proteção de dados sensíveis que transitam por redes públicas
![Page 18: Normas para Segurança da Informação Carlos Sampaio](https://reader034.vdocuments.pub/reader034/viewer/2022042613/552fc145497959413d8e09ef/html5/thumbnails/18.jpg)
Exemplo 2: Gerenciamento de rede
Comentários adicionais (da sub-sub-cláusula 8.5.1) Deve-se usar um conjunto de controles
para preservar a segurança nas redes de computadores
Os gestores devem implementar controles para garantir a segurança
Dos dados nas redes Dos serviços disponibilizados contra acessos
não autorizados
![Page 19: Normas para Segurança da Informação Carlos Sampaio](https://reader034.vdocuments.pub/reader034/viewer/2022042613/552fc145497959413d8e09ef/html5/thumbnails/19.jpg)
Exemplo 2: Controles da rede
1. Convém que a responsabilidade operacional sobre a rede seja separada da operação dos computadores, onde for apropriado
2. Convém que seja estabelecidos procedimentos e responsabilidade para o gerenciamento de equipamentos remotos
3. Convém que sejam estabelecidos controles especiais para garantir a confiabilidade e integridade dos dados que trafegam por redes públicas (quando necessários)
4. Convém que atividades de gerenciamento sejam cuidadosamente coordenadas, de forma a otimizar os serviços prestados e garantir a consistência dos controles pela infra-estrutura de processamento
![Page 20: Normas para Segurança da Informação Carlos Sampaio](https://reader034.vdocuments.pub/reader034/viewer/2022042613/552fc145497959413d8e09ef/html5/thumbnails/20.jpg)
Normas para Segurança da Informação
Dúvidas ?