segurança em redes
DESCRIPTION
Segurança em Redes. Política de Segurança Eng.º Miguel Frade ESTG - Leiria. Introdução. Objectivos Necessidade de um plano de segurança Definir a política de segurança Destinatários Administradores de redes informáticas Gestores ( decision makers ) Utilizadores. Plano de Segurança. - PowerPoint PPT PresentationTRANSCRIPT
2001-04-04 CRSC 2001 1
Segurança em Redes
Política de Segurança
Eng.º Miguel FradeESTG - Leiria
2001-04-04 CRSC 2001 2
Introdução Objectivos
Necessidade de um plano de segurança
Definir a política de segurança
Destinatários Administradores de redes informáticas Gestores (decision makers) Utilizadores
2001-04-04 CRSC 2001 3
Plano de Segurança Identificar o que se quer proteger Determinar do que é que (ou
quem) se está a proteger Determinar o risco - quão provável
é a ameaça
2001-04-04 CRSC 2001 4
Plano de Segurança Implementar medidas de
protecção tendo em conta a relação custo-eficácia
Rever e aperfeiçoar o processo quando existem pontos fracos
2001-04-04 CRSC 2001 5
Plano de Segurança
“O custo da protecção deve ser menor do que o custo do
restabelecimento se uma ameaça se concretizar”
2001-04-04 CRSC 2001 6
Avaliação do Risco Determinar o que se deve proteger
Hardware Software Dados Documentos
2001-04-04 CRSC 2001 7
Avaliação do Risco Determinar as ameaças
Acesso não autorizado a recursos e informação
Divulgação não autorizada ou não intencional de informação
Negação de serviço (denial of service)
2001-04-04 CRSC 2001 8
Política de Segurança Compromissos
Serviços oferecidos – segurança proporcionada
Facilidade de utilização – segurança Custo da segurança – risco de perdas
2001-04-04 CRSC 2001 9
Política de Segurança O que é?
É uma declaração formal das regras pelas quais as pessoas a quem é dado acesso ao activo tecnológico e informação duma organização devem obedecer
2001-04-04 CRSC 2001 10
Política de Segurança Porque deve existir?
Para informar as pessoas acerca dos requisitos obrigatórios para proteger o activo tecnológico e informação da organização.
2001-04-04 CRSC 2001 11
Política de Segurança Porque deve existir? (continuação)
Para especificar os mecanismos pelos quais se podem atingir os requisitos de segurança
2001-04-04 CRSC 2001 12
Política de Segurança Porque deve existir? (continuação)
Para estabelecer uma base a partir da qual se pode configurar, auditar e adquirir sistemas informáticos para atingir os requisitos de segurança
2001-04-04 CRSC 2001 13
Política de Segurança Quem deve ser envolvido na
definição da Política de Segurança? Administrador(es) da rede Responsáveis pela gestão da
organização Representantes dos utilizadores
afectados pela Política de Segurança Conselheiro legal (se apropriado)
2001-04-04 CRSC 2001 14
Política de Segurança Características
Deve definir claramente as responsabilidades dos utilizadores, administradores e gestores
Deve ser executável com ferramentas de segurança e prever sanções onde a prevenção não é tecnicamente viável
2001-04-04 CRSC 2001 15
Política de Segurança Características (continuação)
Deve ser implementável através dos procedimentos de administração dos sistemas
2001-04-04 CRSC 2001 16
Política de Segurança Componentes
Guia de aquisição de material informático
Política de privacidade Política de acesso aos recursos Política de responsabilidade Política de autenticação
2001-04-04 CRSC 2001 17
Política de Segurança Componentes (continuação)
Disponibilidade dos recursos Política de manutenção Procedimentos em caso de
transgressão Informação de apoio
2001-04-04 CRSC 2001 18
Política de Segurança Flexibilidade
Independência do hardware Independência do software Mecanismos de actualização da
Política de Segurança Contemplar excepções Partilha de informação
2001-04-04 CRSC 2001 19
Informação adicional RFC 2196, “Site security handbook” http://www.first.org http://www.telstra.com.au/info/security.html http://www.alw.nih.gov/Security/security.html http://csrc.ncsl.nist.gov