Seg Inform

Segurana da Informao:
Conceitos e Modelo de Gesto
Srgio Marinho Novembro.2004
Direitos Reservados. Proibida Reproduo. Copyright 2004
Segurana da Informao - 1
Segurana da Informao
Sistemas de Gesto - Evoluo
! Sistema de Gesto da Qualidade (ISO Srie 9000 - 1987) ! Sistema de Gesto Ambiental (ISO Srie 14000 - 1994) ! Sistema de Gesto da Segurana e Sade Ocupacional (OHSAS 18001 - 1996)
e agora ...
SISTEMA DE GESTO DA SEGURANA DA INFORMAO (BS 7799-2 1999)
SEGURANA DA INFORMAO: Conceitos
Conceitos
O nico sistema verdadeiramente seguro aquele que est desligado, desplugado, trancado num cofre de titanium, lacrado, enterrado em um bunker de concreto, envolto por gs nervoso e vigiado por guardas armados muito bem pagos. Mesmo assim, eu no apostaria minha vida nisso.
Gene Spafford Diretor de Operaes de Computador, Auditoria e Tecnologia da Segurana Purdue University, Frana
Conceitos
Segurana da Informao: a preservao da Confidencialidade, Integridade e Disponibilidade da informao,

Onde:
Confidencialidade: a garantia de que a informao seja acessvel apenas s pessoas autorizadas; Integridade: a proteo da exatido e completeza da informao e dos mtodos de processamento; Disponibilidade: a garantia de que as pessoas autorizadas tenham acesso s informaes, bem como aos bens associados, quando requeridos.
Conceitos
Qual informao deve ser protegida ?

A Informao que est: Armazenada em computadores; Transmitida atravs de rede; Impressa ou escrita em papel; Enviada atravs de fax; Armazenada em fitas ou disco. A Informao que : Falada em conversas ao telefone; Enviada por e-mail; Armazenada em banco de dados; Mantida em filmes e microfilmes; Apresentada em projetores;
Conceitos
Proteger a informao de que ?

Espionagem industrial; Fraude; Arrombamento; Gravao de comunicao; Escuta telefnica; Acesso acidental; Empregado desleal; Crime organizado; Hacker de computador; etc
Ameaas
Conceitos
AMEAA Uma causa potencial de um incidente indesejvel com um ativo ou grupo de ativos de informao que pode resultar em danos para a organizao. Ex: Inundao, Roubo, Erro de Usurio, Falha de Hardware. VULNERABILIDADE Uma fraqueza de um ativo ou grupo de ativos de informao que pode ser explorada por uma AMEAA. Ex: Data Center ao lado de um rio, Portas destrancadas, Alocao errada de direitos de senha, Falta de manuteno. ATIVO DE INFORMAO Todo bem da empresa que se relaciona com informao e que tenha valor para a organizao. Ex: Hardware, Software, Sistema, Documentao. RISCO a medida do nvel de incerteza associado probabilidade de ocorrncia de um evento e suas conseqncias. Risco = Probabilidade X Impacto
Conceitos
Sem controles Com controles
Quantidade de Vulnerabilidade
Tipos de Vulnerabilidades
Conceitos
Vulnerabilidades
Vulnerabilidades Controles Custo dos Controles

SEGURANA DA INFORMAO: Cases
Cases
CASO 1: Deutsche Bank

! O Banco tinha 2 escritrios funcionando no World Trade Center e
j operava os seus sistemas quase que normalmente no dia seguinte ao atentado terrorista de 11 de Setembro 2001.
! Requisitos da Norma: ! Cpias de Segurana (8.4.1). ! Gesto da continuidade do negcio (11); Estes requisitos definem regras para evitar a interrupo do negcio e proteger os processos crticos contra efeitos de falhas ou desastres significativos.
! Resultado: atendido
Preservao: disponibilidade
Cases
CASO 2: Minist rio de Defesa Brit nico Ministrio Britnico

! Em abril de 2001 um notebook do Ministrio de Defesa Britnico,
contendo segredos de segurana nacional, foi deixado em um txi por um oficial do exrcito.
! Requisitos da Norma: ! Computao Mvel (9.8.1) Este requisito estabelece que quando se utilizam recursos da computao mvel, cuidados especiais devem ser tomados, para garantir que a informao no seja comprometida. A norma recomenda que seja adotada uma poltica formal, incluindo requisitos para proteo fsica, controles de acesso, tcnicas criptogrficas, cpias de segurana e proteo contra vrus.
! Resultado: ! no atendido
Comprometimento: confidencialidade
Cases
CASO 3: Ataque de v rus na Samarco vrus

! Em maio de 2000 o vrus I love you invadiu o servidor de correio
da Samarco provocando paralisao de 1 semana dos servios.

! Requisitos da Norma: ! Controles contra software malicioso (8.3.1) Este requisito estabelece que sejam adotadas medidas de precauo para prevenir e detectar softwares maliciosos. A norma recomenda que seja adotada uma poltica formal, anlise crtica dos softwares, procedimento para gerenciamento, planos de contingncia e monitoramento constante do ambiente computacional.
Comprometimento: disponibilidade
Cases
CASO 4: Download de software n o homologado pela TI no

! Em junho de 2001 foi feito, por trs usurios de Ubu, um
download, a partir da Internet, do software GATOR.EXE, provocando uma baixa de performance muito grande na rede local, aps instalao do software.
! Requisitos da Norma: ! Aceitao de sistemas e softwares (8.2.2) ! Gerenciamento de privilgios (9.2.2) Estes requisitos estabelecem que sejam adotadas medidas preventivas para se evitar instalao e uso de softwares no homologados pela organizao. A norma recomenda que seja adotada uma poltica formal de acesso rede bem como s suas aplicaes e recursos.
Comprometimento: disponibilidade
Melhores Prticas de SI: ISO/IEC 17799
Melhores Prticas ISO 17799
1.
Objetivo:
Fornecer recomendaes para gesto da segurana da informao nas organizaes, atravs da indicao das melhores prticas de SI.
2.
A Segurana da Informao obtida pela garantia da: Confidencialidade

Garantia de que o acesso informao seja obtido somente por pessoas autorizadas.
Integridade
Salvaguarda da exatido e completeza da informao e dos mtodos de processamento.
Disponibilidade
Garantia de que os usurios autorizados obtenham acesso informao e aos ativos correspondentes sempre que necessrio.
3. Poltica de Segurana
8. Gerenciamento das operaes e comunicaes 9. Controle de acesso 10. Desenvolvimento e manuteno de sistemas 11. Gesto da continuidade do negcio 12. Conformidade
4. Segurana organizacional 5. Classificao e controle de ativos de informao 6. Segurana em pessoas
7. Segurana fsica e do ambiente
3.
Poltica de Segurana Objetivo: Prover administrao uma orientao e apoio para a segurana da informao. Convm que Alta Direo estabelea uma Poltica clara e demonstre apoio e comprometimento com a segurana da informao atravs da emisso e manuteno de uma poltica de segurana da informao para toda organizao.
3. Poltica de Segurana 3.1. Poltica de Segurana da Informao 3.1.1. Documento da PSI 3.1.2. Anlise crtica e avaliao
4.
Segurana Organizacional Objetivo: Gerenciar a segurana da informao na organizao Convm que uma Estrutura de Gerenciamento seja estabelecida para iniciar e controlar a implementao da segurana da informao dentro da organizao.
4. Segurana Organizacional 4.1. Infra-estrutura da SI 4.1.1. Gesto do Forum de SI 4.1.2. Coordenao da SI 4.1.3. Atribuio das responsabilidades 4.1.4. Processo de autorizao para as instalaes do processamento de informaes 4.1.5. Consultoria especializada em SI 4.1.6. Cooperao entre organizaes 4.1.7. Anlise crtica independente da SI
4.2. Segurana acesso prestadores de servio 4.2.1. Identificao dos riscos de acesso 4.2.1.1. Tipos de acesso 4.2.1.2. Razes para o acesso 4.2.1.3. Contratados para servios internos 4.2.2. Requisitos de segurana nos contratos 4.3. Terceirizao 4.3.1. Requisitos de segurana nos contratos
5.
Classificao e Controle de Ativos de Informao Objetivo: Manter a proteo adequada dos ativos da organizao. Convm que todos os principais ativos de informao sejam inventariados e tenham um proprietrio responsvel.
5. Classificao e controle de ativos de informao 5.1. Contabilizao dos ativos 5.1.1. Inventrio dos ativos de informao 5.2. Classificao da informao 5.2.1. Recomendaes para classificao 5.2.2. Rtulos e tratamento da informao
6.
Segurana em Pessoas Objetivo: Reduzir os riscos de erro humano, roubo, fraude ou uso indevido de instalaes. Convm que responsabilidades de segurana sejam atribuidas na fase de recrutamento, incluidas em contratos e monitoradas durante a vigncia de cada contrato de trabalho.
6. Segurana em Pessoas 6.1. Segurana na definio e nos recursos trabalho 6.3. Respondendo aos incidentes de segurana 6.1.1 Incluindo segurana nas responsabilidades Trabalho 6.1.2. Seleo e poltica de pessoal 6.1.3. Acordos de confidencialidade 6.1.4. Termos e condies de trabalho 6.2. Treinamento dos usurios 6.2.1. Educao e treinamento em SI e ao mau funcionamento de SW 6.3.1. Notificando incidentes de segurana 6.3.2. Notificando falhas na segurana 6.3.3. Notificando mau funcionamento 6.3.4. Aprendendo com os incidentes 6.3.5. Processo disciplinar
7.
Segurana Fsica e do Ambiente Objetivo: Prevenir o acesso no autorizado, dano, perda e interferncia s instalaes fsicas da organizao. Convm que os recursos e instalaes de processamento de informaes criticas ou sensveis do negcio sejam mantidos em reas seguras, protegidas por um permetro de segurana definido, com barreiras de segurana apropriadas e controle de acesso.
7. Segurana fsica e do ambiente 7.1. reas de segurana 7.1.1. Permetro da segurana fsica 7.1.2. Controles de entrada fsica 7.1.3. Segurana em escritrios, salas e instalaes PD 7.1.4. Trabalhando em reas de segurana 7.1.5. Isolamento das reas de expedio e carga
7.2. Segurana dos equipamentos 7.2.1. Instalao e proteo de eqptos. 7.2.2. Fornecimento de energia 7.2.3. Segurana do cabeamento 7.2.4. Manuteno de eqptos. 7.2.5. Segurana eqptos. fora das instalaes 7.2.6. Reutilizao e alienao de eqptos. 7.3. Controles gerais 7.3.1. Poltica mesa limpa / tela limpa 7.3.2. Remoo de propriedades
8.
Gerenciamento das Operaes e Comunicaes Objetivo: Garantir a operao segura e correta dos recursos de processamento da informao. Convm que os procedimentos e responsabilidades pela gesto e operao de todos os recursos sejam definidos. Isto abrange o desenvolvimento de procedimentos operacionais apropriados e de resposta a incidentes.
Veja detalhe dos controles a seguir
8. Gerenciamento das operaes e comunicaes 8.1. Procedimentos e responsabilidades operacionais 8.1.1. Documentao do procedimentos operao 8.1.2. Controle mudanas operacionais 8.1.3. Prodecimento gerenciamento incidentes 8.1.4. Segregao de funes 8.1.5. Separao ambientes: desenv. e operao 8.1.6. Gesto recursos terceirizados 8.2. Planejamento e aceitao dos sistemas 8.2.1. Planejamento da capacidade 8.2.2. Aceitao de sistemas 8.3. Proteo contra software malicioso 8.3.1. Controles contra software malicioso 8.4. Housekeeping 8.4.1. Cpias de segurana 8.4.2. Registros de operao 8.4.3. Registros de falhas 8.5. Gerenciamento da rede 8.5.1. Controles da rede 8.6. Segurana e tratamento de mdias 8.6.1. Gerenciamento de mdias removveis 8.6.2. Descarte de mdas 8.6.3. Procedimento tratamento informao 8.6.4. Segurana da documentao sistemas 8.7. Troca de informaes e softwares 8.7.1. Acordos para a troca de informaes e SW 8.7.2. Segurana de mdias em trnsito 8.7.3. Segurana do comrcio eletrnico 8.7.4. Segurana do correio eletrnico 8.7.4.1. Riscos de segurana 8.7.4.2. Poltica de usu 8.7.5. Segurana sistemas eletrnicos escritrios 8.7.6. Sistemas disponveis publicamente 8.7.7. Outras formas troca de informao
9.
Controle de Acesso Objetivo: Controlar o acesso informao. Convm que o acesso informao e processo do negcio seja controlado na base dos requisitos de segurana e do negcio.
9. Controle de acesso 9.1. Registros do negcio para controle acesso 9.1.1. Poltica de controle de acesso 9.1.1.1. Requisitos do negcio e poltica 9.1.1.2. Regras de controle de acesso 9.2. Gerenciamento de acesso do usurio 9.2.1. Registro do usurio 9.2.2. Gerenciamento de previlgios 9.2.3. Gerenciamento de senha dos usurios 9.2.4. Anlise crtica dos direitos acesso usurios 9.3. Responsabilidades do usurio 9.3.1. Uso de senhas 9.3.2. Eqpto. de usurio sem monitorao 9.4. Controle de acesso rede 9.4.1. Poltica de utilizao dos servios de rede 9.4.2. Rota de rede obrigatria 9.4.3. Autenticao para conexo externa (usurio) 9.4.4. Autenticao de n 9.4.5. Proteo de portas de diagnstico remotas 9.4.6. Segregao de redes 9.4.7. Controle de conexo de redes 9.4.8. Controle do roteamento de rede 9.4.9. Segurana dos servios de rede 9.5. Controle de acesso ao sistema operacional 9.5.1. Identificao automtica de terminal 9.5.2. Procedimentos de entrada no sistema 9.5.3. Identificao e autenticao de usurio 9.5.4. Sistema de gerenciamento de senha 9.5.5. Uso de programas utilitrios 9.5.6. Alarme de intimidao 9.5.7. Desconexo de terminal por inatividade 9.5.8. Limitao de tempo de conexo 9.6. Controle de acesso s aplicaes 9.6.1. Restrio de acesso informao 9.6.2. Isolamento de sistemas sensveis 9.7. Monitorao do uso e acesso ao sistema 9.7.1. Registro de eventos 9.7.2. Monitorao do uso do sistema 9.7.2.1. Procedimentos e reas de risco 9.7.2.2. Fatores de risco 9.7.2.3. Registro e anlise crtica eventos 9.7.3. Sincronizao dos relgios 9.8. Computao mvel e trabalho remoto 9.8.1. Computao mvel 9.8.2. Trabalho remoto
10.
Desenvolvimento e Manuteno de Sistemas Objetivos: Garantir que a segurana seja parte integrando dos sistemas de informao. Convm que todos os requisitos de segurana, incluindo a necessidade de acordos de contingncia, sejam, identificados na fase de levantamento de requisitos de um projeto e justificados, acordados e documentados como parte do estudo de caso de um negcio para um sistema de informao.
10. Desenvolvimento e manuteno de sistemas 10.1. Requisitos de segurana de sistemas 10.1.1. Anlise e especificao requisitos segurana 10.2. Segurana nos sistemas de aplicao 10.2.1. Validao de dados de entrada 10.2.2. Controle do processamento interno 10.2.2.1. reas de risco 10.2.2.2. Checagens e controles 10.2.3. Autenticao de mensagem 10.2.4. Validao dos dados de sada 10.3. Controles de criptografia 10.3.1. Poltica para uso de controles de criptografia 10.3.2. Criptografia 10.3.3. Assinatura digitial 10.3.4. Servios de no repdio 10.3.5. Gerenciamento de chaves 10.3.5.1. Proteo de chaves criptogrficas 10.3.5.2. Normas, procedimentos e mtodos 10.4. Segurana de arquivo do sistema 10.4.1. Controle de software em produo 10.4.2. Proteo de dados de teste do sistema 10.4.3. Controle de acesso biblioteca de fontes 10.5. Segurana nos processos de desenvolv. e suporte 10.5.1. Procedimentos de controle de mudanas 10.5.2. Anlise crtica das mudanas tcnicas do SO 10.5.3. Restries nas mudanas dos pacotes SW 10.5.4. Covert channels e cavalo de tria 10.5.5. Desenvolvimento terceirizado de SW
11.
Gesto da Continuidade do Negcio Objetivo: No permitir a interrupo das atividades do negcio e proteger os processos crticos contra efeitos de grandes falhas ou desastres significativos. Convm que o processo de gesto da continuidade seja implementado para reduzir, para um nivel aceitvel, a interrupo causada por desastres ou falhas da segurana, atravs da combinao de aes de preveno e recuperao.
11. Gesto da continuidade do negcio 11.1. Aspectos na gesto de continuidade dos negcios 11.1.1. Processo de gesto da continuidade dos negcios 11.1.2. Continuidade do negcio e anlise de impacto 11.1.3. Documentando e implementando planos de continuidade do negcio 11.1.4. Estrutura do plano de continuidade do negcio 11.1.5. Testes, manuteno e reavaliao dos planos de continuidade do negcio 11.1.5.1. Teste dos planos 11.1.5.2. Manuteno e reavaliao dos planos
12.
Conformidade Objetivo: Evitar violao de qualquer lei criminal ou civil, estatutos, regulamentaes ou obrigaes contratuais e de quaisquer requisitos de segurana. Convm que consultoria em requisitos legais especficos seja procurada em organizaes de consultoria jurdica ou profissionais liberais, adequadamente qualificados nos aspectos legais.
12. Conformidade 12.1. Conformidade com requisitos legais 12.1.1. Identificao da legislao vigente 12.1.2. Direitos de propriedade intelectual 12.1.2.1. Direitos autorais 12.1.2.2. Direitos autorais de software 12.1.3. Salvaguarda de registros organizacionais 12.1.4. Proteo de dados e privacidade da informao pessoal 12.1.5. Preveno contra uso indevido de recursos de processamento da informao 12.1.6. Regulamentao controles de criptografia 12.1.7. Coleta de evidncias 12.1.7.1. Regras para evidncias 12.1.7.2. Admissibilidade da evidncia 12.1.7.3. Qualidade e inteireza da evidncia 12.2. Anlise crtica da poltica de segurana e da conformidade tcnica 12.2.1. Conformidade com a poltica de segurana 12.2.2. Verificao da conformidade tcnica 12.3. Consideraes quanto auditorias de sistemas 12.3.1. Controles de auditorias de sistemas 12.3.2. Proteo das ferramentas de auditoria sistemas. de
NORMA BS 7799-2: Histrico e Aplicao
BS 7799-2 Histrico e Aplicao
BS 7799 Part 1
Code of Practice for Information Security Management
Apresenta as melhores prticas a serem utilizadas na gesto de segurana da informao. (publicada em 1995 e atualizada em 1999)
ISO/IEC 17799
Code of Practice for Information Security Management
ISO/IEC JTC1/SC27/WG1 (publicada em 2000)
BS 7799
BS 7799 Part 2
Specification for Information Security Management Systems
Apresenta uma estrutura de gesto e viabiliza a realizao de auditorias do sistema de gesto de Informao. (publicada em 1998 e atualizada em 2002)
NBR ISO/IEC 17799

TI Cdigo de Prtica para a Gesto da Segurana da Informao
ABNT CB-21/CE-21:204.01 Apresenta as melhores prticas a serem utilizadas na gesto de segurana da informao. (publicada em 2001)
BS 7799-2 Histrico e Aplicao
NBR ISO/IEC 17799

TI Cdigo de Prtica para a Gesto da Segurana da Informao
ABNT CB-21/CE-21:204.01 Apresenta as melhores prticas a serem utilizadas na gesto de segurana da informao. (publicada em 2001) HISTRICO DA ISO 17799
! ! ! ! ! ! !
BS 7799 Part 2
Specification for information security management systems
Apresenta uma estrutura de gesto e viabiliza a realizao de auditorias do sistema de gesto de Informao. (publicada em 1998 e atualizada em 2002)
HISTRICO DA BS 7799
! ! ! ! !
Ago 1999: Consulta do BSI aos pases membros da ISO/IEC Out 1999: Formalizao do Fast track procedure junto ISO/IEC Jan 2000: ISO/IEC nomeiam o JTC1/SC27 para conduzir o processo Jul 2000: Brasil envia posio favorvel ao Fast track procedure Out 2000: Tokyo heating meeting Dez 2000: A norma ISO/IEC 17799 oficialmente publicada em Genebra Ago 2001: Brasil, atravs da ABNT/CB21, publica a NBR ISO IEC 17799
Mar 1993: Inglaterra Cdigo de Prtica Abr 1995: Norma Britnica BS 7799-1:1995 Fev 1998: Primeira publicao BS 7799-2:1998 Mai 1999: Reviso das partes 1 e 2 Consistncia Set 2002: Publicao da reviso da parte 2, feita por uma equipe internacional (IUG), para alinhamento com outros Sistemas de Gesto
REQUISITOS DA GESTO DE SEGURANA DA INFORMAO
BS 7799-2 PDCA
Modelo PDCA aplicado aos processos do SGSI
Planejar 4.2.1 Estabelecer o SGSI Fazer Agir
Partes Interessadas
4.2.2 Implementar e Operar o SGSI
Ciclo de Desenvolvimento, Manuteno e Melhoria

Verificar
4.2.4 Manter e Melhorar o SGSI
Partes Interessadas
Expectativas e Requisitos do Sistema de Informao
4.2.3 Monitorar e Revisar o SGSI
Segurana da Informao Gerenciada
BS 7799-2 Requisitos da Gesto de SI
4.2.1 Estabelecer o SGSI (Plan)
A organizao deve: a. b. Definir o escopo do SGSI em funo da caracterstica do negcio, da organizao, da localizao, ativos e tecnologia. Definir uma Poltica de Segurana da Informao que: c. d. e. f. g. Inclua claramente os objetivos de segurana para toda a organizao e estabelea os princpios a serem seguidos; Considere a conformidade com a legislao e clusulas contratuais; Esteja alinhada estratgia organizacional e gerenciamento de riscos; Tenha o comprometimento da Alta Direo.
Identificar os riscos dos ativos considerados no escopo do SGSI. Avaliar os riscos dos ativos considerando o impacto na confidencialidade, integridade e disponibilidade dos mesmos. Identificar e validar as opes para tratamento dos riscos. Selecionar os objetivos de controle e os controles para tratamento dos riscos (ISO 17799) Preparar uma Declarao de Aplicabilidade (Statement of Applicability)
4.2.2 Implantar e Operar o SGSI (Do)
A organizao deve: a. Formular um plano de tratamento dos riscos que identifique as aes apropriadas de gerenciamento, as responsabilidades e prioridades para gerenciamento dos riscos de segurana da informao. Implementar o plano de tratamento dos riscos para atender os objetivos de controles definidos. Implementar os controles selecionados de acordo com os objetivos de controle. Implementar programas de treinamento e conscientizao. Gerenciar as operaes. Gerenciar os recursos. Implementar procedimentos e outros controles para possibilitar acompanhamento e resposta no caso dos incidentes de segurana. o registro,
b. c. d. e. f. g.
4.2.3 Monitorar e Revisar o SGSI (Check)
A organizao deve: a. Executar procedimentos de monitorao e outros controles para: b. c. d. e. Detectar erros dos resultados de processamentos; Identificar falhas e insucessos em funo de brechas e incidentes de segurana; Gerenciar se a delegao de atividades seguras para pessoas ou as implementaes da TI esto sendo realizadas de acordo com as expectativas; Determinar se as aes executadas para resolver uma falha de segurana esto de acordo com as prioridades do negcio;
Verificar regularmente a eficincia do SGSI considerando os resultados das auditorias de segurana, incidentes, sugestes e feedback de todas as partes interessadas. Rever regularmente o nvel de risco residual. Promover auditorias internas do SGSI, em intervalos regulares e planejados. Promover reviso do SGSI em intervalos regulares (pelo menos uma vez por ano) para assegurar que a adequao do escopo e que o processo de melhorias do sistema so identificados. Registrar aes e eventos que possam impactar a eficincia e performance do SGSI.
f.
4.2.4 Manter e Melhorar o SGSI (Act)
A organizao deve: a. b. Implementar as melhorias identificadas para o SGSI. Realizar as aes corretivas e preventivas de acordo com os requisitos 7.2 e 7.3 da Norma e considerar as lies de aprendizado com as experincias de segurana de outras organizaes e as internas. Comunicar os resultados e aes acordadas com as partes interessadas. Assegurar que as melhorias esto atingindo os objetivos propostos.
c. d.
4.3.2 Controle de Documentos
Documentos requeridos pelo SGSI devem ser protegidos e controlados. Um procedimento de documentao deve ser estabelecido para definir as aes de gerenciamento necessrias para: a. Aprovar documentos de acordo com a prioridades dos assuntos; b. Rever e atualizar os documentos necessrios e re-aprov-los; c. Assegurar que as alteraes e a reviso atual dos documentos so identificadas; d. ...
4.3.3 Controle de Registros

Registros devem ser estabelecidos e mantidos para prover evidncias de conformidade com os requisitos do SGSI. Eles devem ser controlados. O SGSI deve guardar qualquer requerimento legal relevante. Registros devem estar legveis, identificados e prontamente recuperveis. Os controles necessrios para identificao, armazenamento, proteo, recuperao, tempo de reteno e disposio dos registros devem ser documentados. Um processo de gerenciamento deve determinar a necessidade e abrangncia dos registros.
5.1 Comprometimento da Alta Direo
A Alta Direo deve prover evidncias de seu comprometimento com o estabelecimento, implementao, operao, monitoramento, reviso, manuteno e evoluo do SGSI: a. b. c. d. Estabelecendo a Poltica de Segurana da Informao; Assegurando que os planos e objetivos de segurana da informao sejam definidos; Estabelecendo regras e responsabilidades de segurana da informao; Comunicando para a organizao a importncia dos objetivos de segurana e a conformidade com a Poltica de Segurana da Informao, a observncia e respeito s leis e a necessidade de melhoria contnua; Providenciando os recursos necessrios para o desenvolvimento, implementao, operao e manuteno do SGSI; Definindo o nvel de risco aceitvel; Conduzindo as revises do SGSI.
e.
f. g.
5.2.1 Proviso de Recursos
A organizao deve determinar e providenciar os recursos necessrios para: a. b. c. d. e. f. Estabelecer, implementar, operar e manter o SGSI Assegurar que os procedimentos de segurana da informao suportem os requerimentos de negcio; Identificar leis e outros requisitos e obrigaes contratuais relativas segurana; Manter segurana adequada atravs da aplicao correta de todos os controles implementados; Promover revises quando necessrio e implementar apropriadamente os resultados destas revises; Quando requerido, melhorar a eficincia do SGSI.
5.2.2 Treinamento, conscientizao e competncia

A organizao deve assegurar que todas as pessoas que tenham alguma responsabilidade definida no SGSI sejam competentes para executar as atividades definidas.
6.4 Auditorias Internas do SGSI
A organizao deve conduzir auditorias internas do SGSI, em intervalos planejados, para determinar a situao dos objetivos de controle, controles, processos e procedimentos do SGSI.
7.1 Melhoria Contnua

A organizao deve continuamente melhorar a eficincia do SGSI atravs do uso da Poltica de Segurana da Informao, objetivos de segurana, resultados das auditorias, anlise e monitoramento de eventos, aes corretivas e preventivas.
7.2 Aes Corretivas 7.3 Aes Preventivas

Seg Inform

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Seg Inform

Enviado por

Direitos autorais:

Formatos disponíveis

Segurana da Informao:

Conceitos e Modelo de Gesto

Srgio Marinho Novembro.2004

Direitos Reservados. Proibida Reproduo. Copyright 2004

SISTEMA DE GESTO DA SEGURANA DA INFORMAO (BS 7799-2 1999)

SEGURANA DA INFORMAO: Conceitos

Segurana da Informao: a preservao da Confidencialidade, Integridade e Disponibilidade da informao,

Qual informao deve ser protegida ?

Proteger a informao de que ?

Sem controles Com controles

Vulnerabilidades Controles Custo dos Controles

SEGURANA DA INFORMAO: Cases

CASO 1: Deutsche Bank

CASO 2: Minist rio de Defesa Brit nico Ministrio Britnico

CASO 3: Ataque de v rus na Samarco vrus

da Samarco provocando paralisao de 1 semana dos servios.

CASO 4: Download de software n o homologado pela TI no

Melhores Prticas de SI: ISO/IEC 17799

A Segurana da Informao obtida pela garantia da: Confidencialidade

4. Segurana organizacional 5. Classificao e controle de ativos de informao 6. Segurana em pessoas

7. Segurana fsica e do ambiente

Veja detalhe dos controles a seguir

Veja detalhe dos controles a seguir

Veja detalhe dos controles a seguir

Veja detalhe dos controles a seguir

NORMA BS 7799-2: Histrico e Aplicao

NBR ISO/IEC 17799

NBR ISO/IEC 17799

REQUISITOS DA GESTO DE SEGURANA DA INFORMAO

Modelo PDCA aplicado aos processos do SGSI

Planejar 4.2.1 Estabelecer o SGSI Fazer Agir

4.2.2 Implementar e Operar o SGSI

Ciclo de Desenvolvimento, Manuteno e Melhoria

4.2.4 Manter e Melhorar o SGSI

Expectativas e Requisitos do Sistema de Informao

4.2.3 Monitorar e Revisar o SGSI

Segurana da Informao Gerenciada

4.3.3 Controle de Registros

5.2.2 Treinamento, conscientizao e competncia

7.1 Melhoria Contnua

7.2 Aes Corretivas 7.3 Aes Preventivas

Você também pode gostar