390 likes | 711 Views
ISO/IEC 17799. Norma de Segurança da Informação. Fernando Benedet Ghisi Vitor Luiz Barboza Wesley Tiago Zapellini. Segurança da Informação. Segurança da Informação.
E N D
ISO/IEC 17799 Norma de Segurança da Informação Fernando Benedet Ghisi Vitor Luiz Barboza Wesley Tiago Zapellini
Segurança da Informação • Segundo a norma ISO/IEC 17799, é a proteção contra um grande número de ameaças às informações, de forma a assegurar a continuidade do negócio, minimizando danos comerciais e maximizando o retorno de possibilidades e investimentos. • o conceito não está restrito somente a sistemas computacionais, informações eletrônicas ou sistemas de armazenamento. Se aplica a todos os aspectos de proteção de informações.
Exemplo • A Bolsa de Tóquio, 8 de Janeiro de 2006: • Queda acentuada da bolsa; • Alto volume de transações; • Sistema próximo a atingir sua capacidade máxima (estrutura tecnológica); • Fechamento das operações 20 minutos mais cedo. • Inúmeros prejuízos.
A tríade “CIA” • Confidencialidade: a garantia de que a informação só pode ser acessada e manipulada por pessoas autorizadas, ou seja, ela é restrita a um conjunto de entidades, que podem ser seres humanos ou podem ser um sistema eletrônico. • Integridade: implica que toda vez que uma informação é manipulada ela está consistente, ou seja, que não foi alterada ou adulterada por um acesso legal ou ilegal.
A tríade “CIA” • Disponibilidade das Informações Críticas: garantia de que uma informação sempre poderá ser acessada, pelas pessoas e processos autorizados, independentemente do momento em que ela é requisitada e do local no qual está armazenada. *as ameaças à segurança da informação são relacionadas diretamente à perda de uma de suas três características principais.
NORMA ISO/IEC 17799 • Compilação de recomendações para melhores práticas de segurança, que podem ser aplicadas por empresas de qualquer porte ou setor. • Padrão flexível, nunca guiando seus usuários a seguirem uma solução de segurança específica em detrimento de outra. • Neutra com relação à tecnologia. • O grande objetivo da norma é o de garantir a continuidade dos negócios por meio da implantação de controles, reduzindo muito as possibilidades de perda das informações.
Histórico • Em 1987 o departamento de comércio e indústria do Reino Unido (DTI) criou um centro de segurança de informações, o CCSC (Commercial Computer Security Centre). • Tarefa de criar uma norma de segurança das informações para o Reino Unido. • Desde 1989 vários documentos preliminares foram publicados por esse centro, até que, em 1995, surgiu a BS7799 (British Standart 7799). • Esse documento foi disponibilizado em duas partes para consulta pública, a 1ª em 1995 e a 2ª em 1998.
Histórico • Em 1 de dezembro de 2000, após incorporar diversas sugestões e alterações, a BS7799 ganhou status internacional com sua publicação na forma da ISO/IEC 17799:2000. • Em setembro de 2001, a ABNT homologou a versão brasileira da norma, denominada NBR ISO/IEC 17799. • Em 24 de abril de 2003 foi realizado um encontro em Quebec, no qual uma nova versão da norma revisada foi preparada. Essa nova versão da ISO/IEC 17799 foi lançada 2005.
NBR ISO/ IEC 17799:2005 • Tecnologia de Informação – Técnicas de Segurança – Código de prática para a gestão da segurança da informação (http://www.abntnet.com.br/fidetail.aspx?FonteID=6955). • Possui onze seções de controle (macro-controles). • Cada um destes controles é subdividido em vários outros controles (a norma possui um total de 137 controles de segurança).
1. Política de Segurança da Informação • Documento que define parâmetros para gestão da Segurança da Informação; • Padrões a serem seguidos e ações a serem tomadas; • Descreve processos relativos à segurança; • Descreve responsabilidades sobre os processos; • Deve ser apoiado pela gerência; • Deve ser abordado em treinamentos;
2. Segurança da Organização • Infra-estrutura de Segurança da Informação: • Define a infra-estrutura para gerência da segurança da informação; • As responsabilidades e as regras devem estar claramente definidas; • Um gestor para cada ativo do ambiente; • Inclusão de novos recursos feita sob autorização de um responsável; • Consultor interno ou externo disponível para atuar em suspeitas de incidentes de segurança.
2. Segurança da Organização • Segurança de acesso a terceiros: • Controle de acesso à locais críticos; • Tipo do controle definindo conforme riscos e valor da informação; • Presença de terceiros mediante autorização e acompanhamento; • Serviços terceirizados regulamentados por contrato;
2. Segurança da Organização • Terceirização: • Acordo contratual, flexível para suportar alterações nos procedimentos;
3. Controle e Classificação de Ativos • Contabilização dos ativos: • Mapeia todos os ativos da informação e atribui responsáveis; • Associa ativos com níveis de segurança; • Classificação da Informação: • Define a importância de um ativo; • Definição pode variar com o tempo;
4. Segurança em Pessoas • Segurança na definição e nos recursos de trabalho: • Diminuição dos riscos provenientes da atividade humana, como roubo de informações; • Contratos devem abordar questões de sigilo e segurança; • Treinamento dos usuários: • Capacitar para o bom funcionamento das políticas de segurança;
4. Segurança em Pessoas • Respondendo aos incidentes de segurança e mau-funcionamento: • Diminuição de danos causados por falhas; • Sistema de comunicação de incidentes; • Aprendizado armazenado em bases de conhecimento;
5. Segurança Física e do Ambiente • Áreas de segurança: • Controle de acesso à áreas restritas; • Nível de proteção proporcional aos riscos e importância; • Podem ser utilizados mecanismos de autenticação e vigilância (câmeras); • Equipamentos de segurança: • Proteção física dos equipamentos contra ameaças do ambiente (rede elétrica, contato com substâncias); • Proteção do cabeamento de rede; • Controles gerais: • Diminuem o vazamento de informações; • Política “Tela limpa, mesa limpa”. O acesso é negado às informações sendo trabalhadas no momento;
Governança da Segurança da Informação As decisões a respeito da segurança da informação não são discutidas a nível estratégico; A falta de investimento em segurança pode trazer problemas ao planejamento estratégico da organização; (BALBO 2007) propõe a criação de um modelo baseado em ISO/IEC 17799, ITIL e COBIT;
6. Gestão das comunicações e das operações • Visa disponilizar mecanismos para o controle da troca de informações dentro e fora da organização. • Planejamento e Aceitação dos Sistemas • Proteção contra softwares maliciosos • Gerência de Rede • Segurança e Manuseio de Mídias • Housekeeping • Troca de Informações e Softwares • Procedimentos e Responsabilidades Operacionais
7. Controle de acesso • Este controle visa evitar problemas de seguranças decorrentes do acesso lógico indevido a informação não privilegiada por parte de certos usuários. • Requisitos do negócio para controle de acesso • Gerência de acesso dos usuários • Responsabilidade dos usuários • Controle de Acesso ao Sistema Operacional • Controle de Acesso às aplicações • Computação móvel e trabalho remoto • Notificação do uso e acesso ao sistema • Controle de Acesso à rede
8. Manutenção e desenvolvimento de Sistemas • Fornece critérios para o desenvolvimento de sistemas confiáveis. • A segurança deve ser abordada desde a fase de modelagem do sistema, inserindo-se os controles de segurança na fase de iniciação de projetos. • Objetiva evitar que aplicações comprometam a integridade e confidencialidade dos dados, através da validação da entrada e saída de dados e de verificações periódicas sobre os dados. • Deve-se garantir a integridade de arquivos associados a aplicações, controlando-se o acesso aos dados armazenados, deve-se também fornecer um sistema de controle de alterações e atualizações de arquivos.
9. Gestão da continuidade dos negócios • A gestão da continuidade dos negócios tem por objetivo evitar interrupções nas atividades do negócio e proteger processos críticos do negócio contra os efeitos de grandes falhas ou desastres.
10. Conformidade • Trata aspectos legais ligados a segurança. • Objetiva evitar infração de qualquer lei civil e criminal, estatutária, regulamentadora ou de obrigações contratuais e de quaisquer requisitos de segurança. • Visa a garantia de que a política e as normas de segurança são seguidas • Garantir que processos de auditoria existam e sejam planejados e testados.
Checklist ISO 17799 • Elaborado pelo instituto americano SANS (System Administration, Networking andSecurityInstitute) –mais de 156 mil profissionais de segurança, auditores, administradores de sistemas e redes. • Direcionado aos profissionais de TI e Segurança da Informação que necessitam auditar o nível de segurança de suas empresas. • http://www.sans.org/score/checklists/ISO_17799_checklist.pdf • Versão não-oficial em PT: http://www.linuxsecurity.com.br/info/general/iso17799.checklist.pt-BR.pdf
Considerações Finais • A segurança da informação está relacionada com o faturamento de uma empresa, sua imagem e sua reputação. • As conseqüências de incidentes de segurança podem ser desastrosas, mas podem ser evitadas. • A ISO17799 cobre os mais diversos tópicos da área de segurança, possuindo um grande número de controles e requerimentos que devem ser atendidos para garantir a segurança das informações de uma empresa.
Considerações Finais • A norma é intencionalmente flexível e genérica. • O processo de implantação da Norma de Segurança a um determinado ambiente não é simples e envolve muitos passos. • a ISO17799 pode ser considerada a norma mais importante para a gestão da segurança da informação que já foi elaborada – ela estabelece uma linguagem internacional comum para todas as organizações do mundo. • Deverá se tornar uma ferramenta essencial para empresas de qualquer tipo ou tamanho.
Referências Bibliográficas • ABNT NET. Associação Brasileira de Normas Técnicas.Disponível em: http://www.abntnet.com.br/. • ABNT NBR ISO/IEC 17799. Segunda Edição. Disponível em: http://www.scribd.com/doc/2449992/Abnt-Nbr-Isoiec-17799-Tecnologia-da-Informacao-Tecnicas-de-Seguranca-Codigo-de-Pratica-para-a-Gestao-da-Seguranca-da-Informacao. • IDG Now!. Bolsa de Tóquio fecha mais cedo por pane em TI. Disponível em: http://idgnow.uol.com.br/mercado/2006/01/18/idgnoticia.2006-02-06.6752227625/. • InformaBR. Segurança: 27 questões freqüentemente formuladas sobre as normas BS e ISO17799. Disponível em: http://www.informabr.com.br/nbr.htm. • ISO 17799 World. Disponível em: http://17799.macassistant.com/ • Módulo. 10ª Pesquisa Nacional de Segurança da Informação. 2006. • OLIVEIRA BALDO, Luciano de. Uma Abordagem Correlacional dos Modelos CobiT/ ITIL e da Norma ISO 17799 para o tema Segurança da Informação . São Paulo 2007.
Referências Bibliográficas • GONÇALVES, L. R. O. O surgimento da Norma Nacional de Segurança de Informação [NBR ISO/IEC-1779:2001]. 2004. Disponível em: http://www.lockabit.coppe.ufrj.br/rlab/rlab_textos.php?id=85. • GORISSEN, MAXIMILIAN. Política de Segurança da Informação: A norma ISO 17799. • ISO 17799: Information and Resource Portal. Disponível em: http://17799.denialinfo.com/. • JUNIOR, A. F. NOVA NORMA GARANTE SEGURANÇA DA INFORMAÇÃO. Disponível em: http://www.serasa.com.br/serasalegal/05-fev-02_m2.htm. • The A-Z Guide for ISO 27001 and ISO 17799/ ISO 27002. Disponível em: http://www.17799central.com/. • VETTER, Fausto; REINERDT, Jonatas Davson. ISO/IEC 17799: Norma de Segurança da Informação. Florianópolis 2007. • WIKIPÉDIA. Segurança da Informação. Disponível em: http://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o.