1 / 20

Normas para Segurança da Informação

Normas para Segurança da Informação. Carlos Sampaio. Normas para Segurança da Informação. BS 7799 ISO/IEC 17799 NBR 17799. Norma BS 7799: duas partes (BS = British Standard). BS-7799-1:2000 – Primeira parte Publicada em 1995 pela primeira vez Versão atual de 2000

jaguar
Download Presentation

Normas para Segurança da Informação

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Normas para Segurança da Informação Carlos Sampaio

  2. Normas para Segurança da Informação • BS 7799 • ISO/IEC 17799 • NBR 17799

  3. Norma BS 7799: duas partes (BS = British Standard) • BS-7799-1:2000 – Primeira parte • Publicada em 1995 pela primeira vez • Versão atual de 2000 • Código de prática para a gestão da segurança da informação • Objetivo da organização: conformidade • BS-7799-2:2002 – Segunda parte • Publicada em 1998 pela primeira vez • Versão atual de 2002 • Especificação de sistemas de gerenciamento de segurança da informação (ISMS – information security management system) • Objetivo da organização: certificação

  4. Norma ISO/IEC 17799 • Internacionalização da norma BS 7799 • ISO/IEC 17799:2000, substitui a norma britânica • Inclui 127 controles e 36 objetivos de controle agrupados em 10 áreas de controle • Controles baseados na experiência das organizações e melhores práticas • Atualmente está sendo atualizado • ISO/IEC 17799:2005: disponível maio/junho 2005 • Várias modificações gerais e específicas • http://www.aexis.de/17799CT.htm

  5. Norma NBR 17799 • NBR ISO/IEC 17799 • Versão brasileira da norma ISO, homologada pela ABNT em setembro de 2001 • Tradução literal da norma ISO • www.abnt.org.br • No Brasil, deve-se usar a norma brasileira • Em outros países, recomenda-se verificar se existe uma norma local • Detalhe importante: • Deve-se pagar pelas normas 

  6. Áreas (cláusulas de controle) Política desegurança Conformidade Segurançaorganizacional Gestão da continuidade do negócio Classificaçãoe controle de ativos Integridade Confidencia-lidade Informação Desenvolvimento e manutanção de sistemas Segurança pessoal Disponibili-dade Controle de acesso Segurança físicae ambiental Gestão das operações e comunicações

  7. Aspecto Organizacional Técnico Físico Áreas (cláusulas de controle) Organizacional Política de Segurança Segurança Organizacional Classificação eControle de Ativos Controle de Acesso Conformidade Operacional Segurança Físicae Ambiental Segurança Pessoal Desenvolvimento e Manutenção de Sistemas Gestão das Operaçõese Comunicações Gestão da Continuidadedo negócio

  8. Adoção das Normas • Conformidade • Com a norma ISO/IEC 17799:2000/2005 • Certificação • Com a norma BS 7799-2:2002 • A Partir de Fevereiro de 2006 • Certificação pela ISO27001

  9. Vantagens das Normas • Conformidade com regras dos governos para o gerenciamento de riscos • COBIT / Sarbanes-Oxley • Maior proteção das informações confidenciais da organização • Redução no risco de ataques de hackers • Recuperação de ataques mais fácil e rápidas

  10. Vantagens das Normas • Metodologia estruturada de segurança que está alcançando reconhecimento internacional • Maior confiança mútua entre parceiros comerciais • Custos possivelmente menores para seguros de riscos computacionais • Melhores práticas de privacidade e conformidade com leis de privacidade

  11. Exemplo 1:Uso de senhas • Cláusula de controle (área) • 9. Controle de acesso • Sub-cláusula: 9.3. Responsabilidades do usuário • Sub-sub-cláusula: 9.3.1 Uso de senhas • Objetivo de controle (da sub-cláusula 9.3) • Prevenir acesso não autorizado dos usuários • Comentários adicionais (da sub-cláusula 9.3) • A cooperação dos usuários autorizados é essencial para a eficácia da segurança • Convém que os usuários sejam cientes de suas responsabilidades para o controle de acesso

  12. Exemplo 1:Uso de senhas • Comentários adicionais (da sub-sub-cláusula 9.3.1) • Convém que os usuários sigam as boas práticas de segurança na seleção e uso de senhas • As senhas fornecem um meio de validação e identidade do usuário e conseqüentemente o estabelecimento dos direitos de acesso para os recursos ou serviços de processamento da informação • Controles: os usuários devem ser informados para tomar certas providências ...

  13. Exemplo 1:Controles de uso de senhas • Manter a confidencialidade das senhas • Evitar o registro das senhas em papel, a menos que o papel possa ser guardado com segurança • Alterar a senha sempre que existir qualquer indicação de comprometimento do sistema ou da própria senha • Alterar as senhas em intervalos regulares ou baseando-se no número de acessos e evitar a reutilização de senhas antigas • Senhas para contas privilegiadas devem ser alteradas com maior freqüência

  14. Exemplo 1: Controles de uso de senhas • Selecionar senhas de qualidade, com um tamanho mínimo de seis caracteres, que sejam: • Fáceis de lembrar • Não baseadas em coisas que outras pessoas possam facilmente adivinhar ou obter a partir de informações pessoais, como nomes, números, datas, etc. • Sem caracteres repetidos ou grupos somente (alfa)numéricos • Alterar senhas temporárias no primeiro acesso ao sistema

  15. Exemplo 1: Controles de uso de senhas • Não incluir senhas em processos automáticos de acesso ao sistema • Ex: armazenadas em macros ou teclas de função • Não compartilhar senhas individuais • Se os usuários precisarem ter acesso a múltiplas plataformas ou serviço, e manter várias senhas, convém orientá-los para utilizar uma única senha de qualidade

  16. Exemplo 1: Uso de senhas • Perguntas: • Quais controles são computacionais e quais dependem de procedimentos / treinamento? • Como fazer com senhas que precisam ser compartilhadas por grupos? • Como fazer para automatizar o processo do usuário ter acesso a múltiplas plataformas e serviços?

  17. Exemplo 2:Gerenciamento de rede • Cláusula de controle (área) • 8. Gerenciamento das Operações e Comunicações • Sub-cláusula: 8.5: Gerenciamento de rede • Sub-sub-cláusula: 8.5.1. Controles da rede • Objetivo de controle (da sub-cláusula 8.5) • Garantir a salvaguarda das informações na rede e proteção da infra-estrutura de suporte • Comentários adicionais (da sub-cláusula 8.5) • O gerenciamento de redes que transcendem os limites físicos da organização necessita de atenção especial • Pode ser necessária a utilização de controles adicionais para proteção de dados sensíveis que transitam por redes públicas

  18. Exemplo 2: Gerenciamento de rede • Comentários adicionais (da sub-sub-cláusula 8.5.1) • Deve-se usar um conjunto de controles para preservar a segurança nas redes de computadores • Os gestores devem implementar controles para garantir a segurança • Dos dados nas redes • Dos serviços disponibilizados contra acessos não autorizados

  19. Exemplo 2: Controles da rede • Convém que a responsabilidade operacional sobre a rede seja separada da operação dos computadores, onde for apropriado • Convém que seja estabelecidos procedimentos e responsabilidade para o gerenciamento de equipamentos remotos • Convém que sejam estabelecidos controles especiais para garantir a confiabilidade e integridade dos dados que trafegam por redes públicas (quando necessários) • Convém que atividades de gerenciamento sejam cuidadosamente coordenadas, de forma a otimizar os serviços prestados e garantir a consistência dos controles pela infra-estrutura de processamento

  20. Normas para Segurança da Informação • Dúvidas ?

More Related