aulas-3-4

Disciplina: Segurança da Informação

Data: 06/09/2012

Notas de Aula

Exemplos de Ameaças: hacker, cracker, erro humano (deleção de arquivos digitais por acidente), acidentes naturais, funcionário insatisfeito, ferramentas de sw (vírus, sniffer). Exemplos de Vulnerabilidades: falhas da infraestrutura física (carência de mecanismos de ctrl de acesso físico nos servidores), falhas tecnológicas (firewall mal configurado, erros em projeto de sw básico, SO), falhas de mídias (fitas de backup impróprias para restauração por deterioração), falhas humanas (sigilo na senha pessoal).

Exemplos de Impactos: prejuízo financeiro, perda de competitividade, perda de mercado, danos à imagem da organização, perda de credibilidade, depreciação de marca.

Informações x Segurança

Quê? Por quê? Quando? E Onde? Como?

Que informações precisam de segurança e o que proteger nas informações? Definir escopo, descobrir vulnerabilidades, classificar informações, nível de proteção dos aspectos a serem protegidos nas informações (confidencialidade, integridade e disponibilidade)

Por que proteger informações? Exemplos de Impactos

Quando proteger?

Fases do ciclo de vida da informação

Visão Geral

Como proteger as informações?

Medidas de Segurança

 Preventivas – políticas de segurança, instrução e procedimentos de trabalho, especificação de segurança, campanhas, palestras de conscientização, firewall, antivírus.

 Detectáveis – Análise de riscos, sistemas de detecção de intrusão, alertas de segurança, câmeras de vídeos, alames.

 Corretivas – Equipes para emergência, restauração de backups, plano de continuidade operacional, plano de recuperação de desastres.

Desencorajar

Ação que visa desmotivar ou desestimular os ataques/ameaças. Por exemplo:  Câmera de vídeo (verdadeiras ou falsas)

 Alarmes  Campainhas  Treinamento  Uniformes

 Gravação dos e-mails enviados. Dificultar

Ação que visa dificultar o acesso indevido. Por exemplo:  Físicos:

o Detectores de metais o Roletas

o Detectores de metal  Lógicos:

o Leitores de cartão magnético o Leitores biométricos o Senhas o Certificados digitais o Criptografia o Firewall Discriminar

Ação que visa restringir o acesso de determinados recursos para determinados grupos. Por exemplo:

 Criar perfis de usuários

 Permissões para acesso a locais, equipamentos ou à informação.  Cotas de recursos (impressões, espaço em disco, etc).

Detectar

Ação que visa monitoramento, auditoria, alerta de detecções de ameaças. Por exemplo:  Sistema de detecção de intruso

 Antivírus

 Rastreamento de descumprimento de normas de segurança  Detecção de cópia ou envio de informações sigilosas

Deter

Ação que visa impedir que a ameaça atinja seu objetivo. Por exemplo:  Acionamento de barreira

 Acionamento de controle  Punições

 Bloqueios de acesso físico e lógico Diagnosticar

Ação que visa diagnosticar a falha para proporcionar as melhorias. Por exemplo:  Analisar a ocorrência

 Identificar as causas  Propor melhorias

ISO = International Organization for Standardization IEC = International Electrotechnical Commission ABNT – Associação Brasileria de Normas Técnicas NBR - Denominação de norma da ABNT

Vantagens de padronização utilizando as normas da ISO?

Normas

BS17799 (ISO/IEC 17799:2000/ ISO/IEC 17799:2005)

2. BS7799-2 – Framework ISMS

ISO 27000 - Vocabulário de Gestão da Segurança da Informação (sem data de

publicação);

ISO 27001 - Norma foi publicada em Outubro de 2005 e substituiu a antiga norma

BS7799-2 para certificação de SGSI. A ISO 27001 evoluiu o conteúdo da

Essa norma é uma especificação mínima, com requisitos

mínimos para SGSI.

ISO 27002 – É um código de boas-práticas e contém 128 páginas. Usaremos em

conjunto com a ISO 27001.

ISO 27003 - Esta norma abordará as diretrizes para Implementação de Sistemas de

Gestão de Segurança da Informação, contendo recomendações para a definição e

implementação de um sistema de gestão de segurança da informação.

ISO 27004 - Esta norma incidirá sobre as métricas e relatórios de um sistema de gestão

de segurança da informação.

ISO 27005 - Esta norma será constituída por indicações para implementação,

monitoramento e melhoria contínua do sistema de controles. O seu conteúdo deverá ser

idêntico ao da norma BS 7799-3:2005 – “Information Security Management Systems -

Guidelines for Information Security Risk Management”

ISO 27006 - Esta norma especifica requisitos e fornece orientações para os organismos

que prestem serviços de auditoria e certificação de um sistema de gestão da segurança

da informação.

ABNT NBR ISO/IEC 27001

Sobre a Norma ISSO-27001

Possui apenas 42 páginas. Agora vamos focar nas seções 4 até 8 que vão da página 12 até a 22. Importante ler pelo menos essas 10 páginas.

Para obtê-la acessarem o site da ABNT (www.abntnet.com.br)

0. Introdução. 1. Objetivo.

2. Referência normativa. 3. Termos e definições.

4. Sistema de gestão de segurança da informação. 5. Responsabilidades da direção.

6. Auditorias internas do SGSI.

7. Análise crítica do SGSI pela direção. 8. Melhoria do SGSI.

9. Anexos.

1. Objetivos

“Esta Norma foi preparada para prover um modelo para estabelecer, implementar,

operar, monitorar, analisar criticamente, manter e melhorar um Sistema de Gestão de

Segurança da Informação (SGSI). A adoção de um SGSI deve ser uma decisão

estratégica para uma organização. A especificação e a implementação do SGSI de uma

organização são influenciadas pelas suas necessidades e objetivos, requisitos de

segurança, processos empregados e tamanho e estrutura da organização. É esperado que

este e os sistemas de apoio mudem com o passar do tempo. É esperado que a

implementação de um SGSI seja escalada conforme as necessidades da organização, por

exemplo, uma situação simples requer uma solução de um SGSI simples.

Pode ser usada para avaliar as conformidades de segurança pelas partes interessadas

internas e externas.”

Aplicação

Promove a adoção de uma abordagem de processos.

Está alinhada com as normas:



ISO 9001 – Gestão da Qualidade.



ISO 14001– Gestão do Meio Ambiente.

“Os requisitos definidos nesta Norma são genéricos e é pretendido que sejam aplicáveis

a todas as organizações, independentemente de tipo, tamanho e natureza.”

“Adota o modelo conhecido como "Plan-Do-Check-Act” (PDCA), que é aplicado para

estruturar todos os processos do SGSI”.

“Os requisitos definidos nesta Norma são genéricos e é pretendido que sejam aplicáveis

a todas as organizações, independentemente de tipo, tamanho e natureza. A exclusão de

quaisquer dos requisitos especificados nas seções 4, 5, 6, 7 e 8 não é aceitável quando

um organização reivindica conformidade com esta Norma”

“EXEMPLO 1

Um requisito pode significar que violações de segurança da informação não causem sérios danos financeiros e/ou

constrangimentos à organização.” “EXEMPLO 2

Uma expectativa pode significar que se um incidente grave ocorrer – por exemplo, a invasão da página Internet de comércio eletrônico de uma organização – deveria haver pessoas com treinamento suficiente nos procedimentos apropriados para minimizar o impacto.

Plan (planejar) (estabelecer o SGSI) “Estabelecer a política, objetivos, processos e

procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da segurança da informação para produzir resultados de acordo com as políticas e objetivos globais de uma organização.”

Do (fazer) (implementar e operar o SGSI) “Implementar e operar a política, controles,

processos e procedimentos do SGSI.”

Check (checar) (monitorar e analisar criticamente o SGSI) “Avaliar e, quando aplicável,

medir o desempenho de um processo frente à política, objetivos e experiência prática do SGSI e apresentar os resultados para a análise crítica pela direção.”

Act (agir) (manter e melhorar o SGSI) Executar as ações corretivas e preventivas, com base

nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI.

2. Referência Normativa

3. Termos e Definições

Traz os conceitos de:

a. ativo b. disponibilidade c. confidencialidade d. segurança da informação e. evento f. incidente

g. sistema de gestão da segurança de informação h. integridade

i. risco residual - risco remanescente após o tratamento de riscos aceitação do risco j. análise de riscos - uso sistemático de informações para identificar fontes e estimar o

risco

k. análise/avaliação de risco - processo completo de análise e avaliação de riscos

l. avaliação de riscos - processo de comparar o risco estimado com critérios de risco predefinidos para determinar a importância do risco

m. gestão de riscos - atividades coordenadas para direcionar e controlar uma organização no que se refere a riscos

n. tratamento de risco - processo de seleção e implementação de medidas para modificar um risco

o. declaração de aplicabilidade – declaração documentada que descreve os objetivos de controle e controles que são pertinentes e aplicáveis ao SGSI da organização

4. Sistema de gestão de segurança da informação

A organização deve estabelecer, implementar, operar, monitorar, analisar criticamente, manter e melhorar um SGSI documentado dentro do contexto das atividades de negócio globais da organização e os riscos que ela enfrenta.

Cada sistema é composto por processos que se relacionam.

4.1. Requisitos Gerais

O processo usado está baseado no PDCA. Um SGSI deve ser:

1. Estabelecido. 2. Implementado. 3. Operado. 4. Monitorado 5. Analisado Criticamente 6. Mantido. 7. Melhorado.

4.2. Estabelecendo e Gerenciando o SGSI

4.2.1. Estabelecer o SGSI

4.2.1.1. Definir o escopo e os limites do SGSI 4.2.1.2. Definir uma política (PSI) do SGSI

4.2.1.3. Definir a abordagem de análise/avaliação de riscos da organização 4.2.1.4. Identificar os riscos

4.2.1.5. Analisar e avaliar os riscos.

4.2.1.6. Identificar e avaliar as opções para o tratamento de riscos

4.2.1.7. Selecionar objetivos de controle e controles para o tratamento de riscos 4.2.1.8. Obter aprovação da direção dos riscos residuais propostos.

4.2.1.9. Obter autorização da direção para implementar e operar o SGSI. 4.2.1.10. Preparar uma Declaração de Aplicabilidade.

4.2.2. Implementar e Operar o SGSI

4.2.2.1. Formular um plano de tratamento de riscos 4.2.2.2. Implementar o plano de tratamento de riscos 4.2.2.3. Implementar os controles selecionados no 4.2.1.7 4.2.2.4. Definir como medir a eficácia dos controles

4.2.2.5. Implementar programas de conscientização e treinamento 4.2.2.6. Gerenciar as operações do SGSI

4.2.2.7. Gerenciar os recursos para o SGSI

4.2.2.8. Implementar procedimentos e outros controles para detectar eventos e respostas a incidentes.

4.2.3. Monitorar e Analisar Criticamente o SGSI

4.2.3.1. Executar procedimentos de monitoração e análise crítica 4.2.3.2. Realizar análises críticas regulares da eficácia do SGSI

4.2.3.3. Medir eficácia dos controles para verificar que os requisitos de SI foram atendidos

4.2.3.4. Analisar criticamente as análises/avaliações de riscos a intervalos planejados 4.2.3.5. Conduzir auditorias internas do SGSI a intervalos planejados

4.2.3.6. Realizar uma análise crítica do SGSI pela direção para assegurar que o escopo

4.2.3.7. Atualizar os planos de segurança da informação para levar em consideração os resultados das atividades de monitoramento e análise crítica.

4.2.3.8. Registrar ações e eventos que possam ter um impacto na eficácia ou no desempenho do SGSI

4.2.4. Manter e Melhorar o SGSI

4.2.4.1. Implementar as melhorias identificadas no SGSI.

4.2.4.2. Executar as ações preventivas e corretivas apropriadas de acordo com 8.2 e 8.3. Aplicar as lições aprendidas de experiências de segurança da informação de outras organizações e aquelas da própria organização.

4.2.4.3. Comunicar as ações e melhorias a todas as partes interessadas com um nível de detalhe apropriado às circunstâncias e, se relevante, obter a concordância sobre como proceder.

4.2.4.4. Assegurar-se de que as melhorias atinjam os objetivos pretendidos.

4.3. Requisitos de Documentação

“A documentação deverá incluir registros de decisões da direção, assegurar que as ações sejam rastreáveis às políticas e decisões da direção, e assegurar que os resultados registrados sejam reproduzíveis.”

“É importante que se possa demonstrar a relação dos controles selecionados com os resultados da análise/avaliação de riscos e do processo de tratamento de riscos, e consequentemente com a política e objetivos do SGSI.”

Seu nível de detalhamento estará vinculado:  Ao tamanho e tipo de empresa.

 Complexidade dos serviços, produtos e  processos.

 Requisitos de clientes e regulamentares.  Códigos normas da indústria.

 Educação, experiência e treinamento.  Estabilidade da força de trabalho.  Problemas de segurança no passado. A documentação do SGSI deve incluir:

a) declarações documentadas da política (ver 4.2.1b)) e objetivos do SGSI; b) o escopo do SGSI (ver 4.2.1a));

c) procedimentos e controles que apoiam o SGSI;

d) uma descrição da metodologia de análise/avaliação de riscos (ver 4.2.1c)); e) o relatório de análise/avaliação de riscos (ver 4.2.1c) a 4.2.1g));

f) o plano de tratamento de riscos (ver 4.2.2b));

g) procedimentos documentados requeridos pela organização para assegurar o planejamento efetivo, a

h) operação e o controle de seus processos de segurança de informação e para descrever como medir a eficácia

i) dos controles (ver 4.2.3c));

j) registros requeridos por esta Norma (ver 4.3.3); e k) a Declaração de Aplicabilidade.

Controle de Documentos

Devem ser protegidos e controlados.

Um procedimento documentado deve ser estabelecido para definir as ações de gestão necessárias para:

a) Aprovar documentos para adequação antes de sua emissão.

b) Analisar criticamente e atualizar,quando necessário, e reaprovar documentos.

c) Assegurar que as alterações e a situação da revisão atual dos documentos sejam identificadas.

d) Assegurar que as versões pertinentes de documentos aplicáveis estejam disponíveis nos locais de uso.

e) Assegurar que os documentos permaneçam legíveis e prontamente identificáveis. f) Assegurar que os documentos estejam disponíveis àqueles que deles precisam e sejam

transferidos, armazenados e finalmente descartados conforme os procedimentos aplicáveis à sua classificação.

g) Assegurar que documentos de origem externa sejam identificados. h) Assegurar que a distribuição de documentos seja controlada. i) Prevenir o uso não intencional de documentos obsoletos.

j) Aplicar identificação adequada nos casos em que sejam retidos para qualquer propósito.

Controle dos Registros

a) Registros devem ser estabelecidos e mantidos para fornecer evidências de conformidade aos requisitos e da operação eficaz do SGSI.

b) Protegidos e Controlados.

c) Quaisquer requisitos legais, regulamentares ou contratuais. d) Registros sempre legíveis, identificáveis e recuperáveis. e) Implementação dos controles necessários.

5. Responsabilidade da Direção

 A implementação do SGSI é de responsabilidade da alta-administração.

 “A direção deve fornecer evidência do seu comprometimento com o estabelecimento, implementação, operação, monitoramento, análise crítica, manutenção e melhoria do SGSI mediante:”

o Estabelecimento da política de SGSI o Garantia dos planos e objetivos do SGSI

o Estabelecimento de papéis e responsabilidades pela SI o Comunicação da importância dos objetivo e da política de SI

o Determinação e prover recursos com competência técnica para garantir a SGSI o Definição de critérios dos níveis de aceitação de riscos

o Garantia a realização de auditorias internas do SGSI o Condução de analise críticas do SGSI

 Gestão de recursos:

o Provisão de recursos necessários

o Treinamento, conscientização e competência – A organização deve assegurar que todo o pessoal que tem responsabilidades atribuídas definidas no SGSI seja competente para desempenhar as tarefas requeridas:

6. Auditorias Internas do SGSI

A organização deve conduzir auditorias internas do SGSI a intervalos planejados para determinar se os objetivos de controle, controles, processos e procedimentos do seu SGSI:

a) atendem aos requisitos desta Norma e à legislação ou regulamentações pertinentes; b) atendem aos requisitos de segurança da informação identificados;

c) estão mantidos e implementados eficazmente; e d) são executados conforme esperado.

Os critérios da auditoria, escopo, freqüência e métodos devem ser definidos. A seleção dos auditores e a execução das auditorias devem assegurar objetividade e imparcialidade do processo de auditoria.

Os auditores não devem auditar seu próprio trabalho.

As responsabilidades e os requisitos para planejamento e para execução de auditorias e para relatar os resultados e a manutenção dos registros devem ser documentados.

7. Análise Crítica do SGSI pela Direção

A direção deve analisar criticamente o SGSI da organização a intervalos planejados (pelo menos uma vez por ano) para assegurar a sua contínua pertinência, adequação e eficácia. Esta análise crítica deve incluir a avaliação de oportunidades para melhoria e a necessidade de mudanças do SGSI, incluindo a política de segurança da informação e objetivos de segurança da informação. Os resultados dessas análises críticas devem ser claramente documentados e os registros devem ser mantidos.

As entradas para a análise crítica pela direção devem incluir: a) resultados de auditorias do SGSI e análises críticas; b) realimentação das partes interessadas;

c) técnicas, produtos ou procedimentos que podem ser usados na organização para melhorar o desempenho e a

d) eficácia do SGSI ;

e) situação das ações preventivas e corretivas;

f) vulnerabilidades ou ameaças não contempladas adequadamente nas análises/avaliações de risco anteriores;

g) resultados da eficácia das medições ;

As saídas da análise crítica pela direção devem incluir quaisquer decisões e ações relacionadas a:

a) Melhoria da eficácia do SGSI.

b) Atualização da análise/avaliação de riscos e do plano de tratamento de riscos.

c) Modificação de procedimentos e controles que afetem a segurança da informação, quando necessário, para

i) responder a eventos internos ou externos que possam impactar no SGSI, incluindo mudanças de:

ii) requisitos de negócio;

iii) requisitos de segurança da informação;

iv) processos de negócio que afetem os requisitos de negócio existentes; v) requisitos legais ou regulamentares;

vi) obrigações contratuais; e

vii) níveis de riscos e/ou critérios de aceitação de riscos. d) Necessidade de recursos.

8. Melhoria do SGSI

A organização deve continuamente melhorar a eficácia do SGSI por meio do uso da política de segurança da informação, objetivos de segurança da informação, resultados de auditorias, análises de eventos monitorados, ações corretivas e preventivas e análise crítica pela direção

Ação corretiva

A organização deve executar ações para eliminar as causas de não-conformidades com os requisitos do SGSI, de forma a evitar a sua repetição.

Ação preventiva

A organização deve determinar ações para eliminar as causas de não-conformidades potenciais com os requisitos do SGSI, de forma a evitar a sua ocorrência. As ações preventivas tomadas devem ser apropriadas aos impactos dos potenciais problemas