ISO/IEC 17799

ISO/IEC 27001
Luiz Eduardo Guarino de Vasconcelos
O nico sistema verdadeiramente seguro aquele
que est desligado, desplugado, trancado num cofre
de titanium, lacrado, enterrado em um bunker de
concreto, envolto por gs nervoso e vigiado por
guardas armados muito bem pagos. Mesmo assim, eu
no apostaria minha vida nisso.
Gene Spafford, Diretor de Operaes de Computador, Auditoria e Tecnologia da Segurana
Purdue University, Frana
Objetivos Objetivos
BS7799
Evoluo da norma
ISO/IEC 17799
ISO/IEC 27001 ISO/IEC 27001
Organizaes Organizaes
ISO: Organizao de Padronizao Internacional:
ISO 9001 e 14001;
IEC: Comisso Eletrotcnica Internacional:
IEC 60950-1 (ITE: Safety); IEC 60950 1 (ITE: Safety);
ISO/IEC: Cooperao entre ISO e IEC;
P i OVERLAP d d Para no evitar o OVERLAP de padres;
Estrutura dos Orgos de
Padronizaes
ABNT NBR ISO/IEC 17799:2005 ABNT NBR ISO/IEC 17799:2005
Tudo comeou
BSI (British Standards Institute);
F d d 1901 Fundado em 1901;
Presente em mais de 86 pases;
Mais de 2000 funcionrios; Mais de 2000 funcionrios;
Frum Normalizador do Reino Unido (normas BS);
Principal membro fundador da ISO;
Matriz Londres, Inglaterra;
O Grupo BSI age nos temas atuais e correntes dos novos modelos
empresariais empresariais.
BS 7799 (3 partes);
BS 7799-1 BS 7799-2 e BS 7799-3; BS 7799-1, BS 7799-2 e BS 7799-3;
As BSs 7799 As BSs 7799
BS 7799-1
1995;
Cdigos de Boas Prticas para o Gerenciamento da
Segurana da Informao;
BS 7799-2
1999; 1999;
Sistema de Gerenciamento da Segurana da
Informao; Informao;
BS 7799-3
2005;
Anlise e Gerenciamento de Riscos;
BS7799 BS7799
Outros pases adotaram a BS 7799;
ISO/IEC; / ;
Em 2000;
ISO/IEC 17799 f i b d BS 7799 t 1 ISO/IEC 17799 foi baseada na BS 7799 parte 1;
Revisada em 2005;
As sries 27000 As sries 27000
ISO/IEC 27000, 27001, 27002, 27003, 27004,
27005, 27006, 27007, ... , 27799;
Onde algumas foram baseadas nas BS 7799 e na
ISO 17799;;
ISO/IEC 17799
Luiz Eduardo Guarino de Vasconcelos
A ISO/IEC 17799
Objetivos
Estabelecer cdigos de boas prticas para a
gesto de segurana da informao
Dar instrumentos para a implantao de segurana
da informao de acordo com a caractersticas de
uma empresa
A ISO/IEC 17799 A ISO/IEC 17799
A ISO/IEC-17799 tem como objetivo
confidencialidade, integridade e disponibilidade
(CID) das informaes, que so fatores muito
importantes para segurana e integridade das
informaes.
A ISO/IEC 17799 A ISO/IEC 17799
A norma ISO 17799 intencionalmente flexvel e
genrica como pode ser observado pelos diversos
controles que a compem;
A ordem desses controles no significa o seu grau g g
de importncia ou criticidade. Dependendo das
circunstncias todas as sees podem ser circunstncias todas as sees podem ser
importantes e crticas.
A ISO/IEC 17799
Benefcios
Vantagem Competitiva;
Melhoria no Desempenho do Negcio e
Gerenciamento dos Riscos;
Atrair novos investimentos, melhoria da reputao da Atrair novos investimentos, melhoria da reputao da
marca e remoo de barreiras comerciais;
Reduo de Gastos; Reduo de Gastos;
Operaes com menos burocracia e Reduo de
P d Perda;
Evoluo da Comunicao Interna;
Melhoria da Satisfao do Cliente.
Sees de controle da ABNT NBR
/ ISO/ IEC 17799:2005
1. Poltica de Segurana da Informao
2. Organizando a Segurana da Informao
3. Gesto de Ativos
4. Segurana em Recursos Humanos
S A 5. Segurana Fsica e do Ambientes
6. Gesto das Operaes de Comunicao
C l d A 7. Controle de Acesso
8. Aquisio, Desenvolvimento e Manuteno de Sistemas de
Informao Informao
9. Gesto de Incidentes de Segurana da Informao
10 Gesto da Continuidade do Negcio 10. Gesto da Continuidade do Negcio
11. Conformidade
1 Poltica de Segurana da
Informao
Seu objetivo prover uma orientao e apoio para
a segurana da informao de acordo com os
requisitos do negcio e com as leis e
regulamentaes relevantes.
Seus itens de controles so:
Documentao da poltica de segurana da Documentao da poltica de segurana da
informao;
Anlise crtica da poltica de segurana da informao Anlise crtica da poltica de segurana da informao.
2 - Organizando a Segurana da
Informao
Seu objetivo gerenciar a segurana da informao dentro
da organizao.
S i d l Seus itens de controles so:
Infra-estrutura da segurana da informao
Comprometimento da direo com a segurana da informao;
Coordenao da segurana da informao;
Atribuio de responsabilidades para a segurana da informao Atribuio de responsabilidades para a segurana da informao.
Processo de autorizao para os recursos de processamento da
informao;
Acordos de confidencialidade;
Contato com autoridades;
Contato com grupos especiais;
Anlise crtica independente de segurana da informao;
2 - Organizando a Segurana da
Informao
Partes externas;
Identificao dos riscos relacionados com partes
externas;
Identificando a segurana da informao, quando
tratando com clientes;
Identificando segurana da informao nos acordos
com terceiros;
3 - Gesto de Ativos 3 Gesto de Ativos
Seu objetivo alcanar e manter a proteo
adequada dos ativos da organizao.
Seus itens de controles so:
Responsabilidade pelos ativos; Responsabilidade pelos ativos;
Inventrio dos ativos;
Proprietrio dos ativos; op e o dos a vos;
Uso aceitvel dos ativos;
Classificao da informao; Classificao da informao;
Recomendaes parar classificao;
Rtulos e tratamento da informao. u os e a a e o da o ao.
4 - Segurana em Recursos
Humanos
Seu objetivo assegurar que os funcionrios,
fornecedores e terceiros entendam suas
responsabilidades e estejam de acordo com os seus
papis, e reduzir o risco de roubo, fraude ou mau
uso de recursos.
Seus itens de controles so: Seus itens de controles so:
Antes da Contratao:
Papis e responsabilidades; Papis e responsabilidades;
Seleo;
Termos e condies de contratao; Termos e condies de contratao;
4 - Segurana em Recursos
Humanos
Durante a contratao:
Responsabilidades da direo;
Concientizao, educao e treinamento em segurana
da informao;
Processo disciplinar;
Encerramento ou mudana da contratao: Encerramento ou mudana da contratao:
Encerramento de atividades;
E l d ti Evoluo de ativos;
Retirada de direitos de acesso;
5 - Segurana Fsica e do Ambiente 5 Segurana Fsica e do Ambiente
Seu objetivo prevenir o acesso fsico no
autorizado, danos e interferncias com as
instalaes e informaes da organizao.
Seus itens de controles so:
reas seguras:
Permetro de segurana; Permetro de segurana;
Controles de entrada fsica;
Segurana em escritrios, salas e instalaes; Segu a a e esc os, sa as e s a aes;
Proteo contra ameaas externas e do meio ambiente;
Trabalhando em reas seguras; g ;
Acesso do pblico, reas de entrega e de carregamento;
5 - Segurana Fsica e do Ambiente 5 Segurana Fsica e do Ambiente
Segurana de equipamentos:
Instalao e proteo do equipamento;
Utilidades;
Segurana do cabeamento; g ;
Manuteno dos equipamentos;
Segurana de equipamentos fora das dependncias Segurana de equipamentos fora das dependncias
da organizao;
Reutilizao e alienao segura de equipamentos; Reutilizao e alienao segura de equipamentos;
Remoo de propriedade;
6 - Gesto das Operaes e
Comunicaes
Seu objetivo garantir a operao segura e correta
dos recursos de processamento da informao.
Seus controles so:
Procedimentos e responsabilidades operacionais;
Documentao dos procedimentos de operao;
Gesto de mudanas;
S d f Segregao de funes;
Separao dos recursos de desenvolvimento, teste e de produo;
Gerenciamento de servios terceirizados: Gerenciamento de servios terceirizados:
Entrega de servios;
Monitoramento e anlise crtica de servios terceirizados; ;
Gerenciamento de mudanas para servios terceirizados;
6 - Gesto das Operaes e
Comunicaes
Planejamento e aceitao dos sistemas:
Gesto de capacidade;
Aceitao de sistemas;
Proteo contra cdigos maliciosos e cdigos mveis: g g
Controles contra cdigos maliciosos;
Controles contra cdigos mveis; g ;
Cpias de segurana:
Cpias de segurana da informao; Cpias de segurana da informao;
Gerenciamento da segurana em redes:
C l d d Controles de redes;
Segurana dos servios de redes;
6 - Gesto das Operaes e
Comunicaes
Manuseio de mdias:
Gerenciamento de mdias removveis;
D d di Descarte de mdias;
Procedimentos para tratamento de informao;
Segurana da documentao dos sistemas; Segurana da documentao dos sistemas;
Troca de informaes;
Polticas e procedimentos para a troca de informaes: Polticas e procedimentos para a troca de informaes:
Acordos para a troca de informaes;
Mdias em trnsito;
Mensagens eletrnicas;
Sistemas de informao do negcio;
6 - Gesto das Operaes e
Comunicaes
Servios de comrcio eletrnico:
Comrcio eletrnico;
Transaes on-line;
Informaes publicamente disponveis; p p ;
Monitoramento:
R i t d dit i Registros de auditoria;
Monitoramento do uso de sistema;
Proteo das informaes dos registros (log);
Registros (log) de administrador e operador;
Registros (log) de falhas;
Sincronizao dos relgios;
7 - Controle de Acesso 7 Controle de Acesso
Seu objetivo controlar o acesso informao.
Seus itens de controles so:
Requisitos de negcio para controle de acesso;
Poltica de controle de acesso;
Gerenciamento de acesso do usurio:
Gerenciamento de privilgios;
Gerenciamento de senha do usurio;
Anlise crtica dos direitos de acesso de usurio;
R bilid d d i Responsabilidade dos usurios:
Uso de senhas;
Equipamento de usurio sem monitorao; Equipamento de usurio sem monitorao;
Poltica de mesa limpa e tela limpa;
7 - Controle de Acesso 7 Controle de Acesso
Controle de acesso rede:
Poltica de uso dos servios de rede;
Autenticao para conexo externa do usurio; Autenticao para conexo externa do usurio;
Identificao de equipamento em redes;
Proteo e configurao de portas de diagnstico remotas;
Segregao de redes;
Controle de conexo de rede;
Controle de roteamento de redes; Controle de roteamento de redes;
Controle de acesso ao sistema operacional:
Procedimentos seguros de entrada no sistema (log-on);
Identificao e autenticao de usurio;
Sistema de gerenciamento de senha;
U d l d Uso de utilitrios de sistema;
Desconexo de terminal por inatividade;
Limitao de horrio de conexo;
7 - Controle de Acesso 7 Controle de Acesso
Controle de acesso aplicao e informao:
Restrio de acesso informao;
Isolamento de sistemas sensveis;
Computao mvel e trabalho remoto: Computao mvel e trabalho remoto:
Computao e comunicao mvel;
T b lh t Trabalho remoto;
8 - Aquisio, Desenvolvimento e
Manuteno de Sistemas de Informao
Seu objetivo garantir que a segurana parte integrante de
sistemas de informao.
S i d l Seus itens de controles so:
Requisitos de segurana de sistemas de informao;
Anlise e especificao dos requisitos de segurana;
Processamento correto nas aplicaes;
V lid d d d d d Validao dos dados de entrada;
Controle do processamento interno;
Integridade de mensagens; Integridade de mensagens;
Validao de dados de sada;
Controles criptogrficos; Controles criptogrficos;
Poltica para o uso de controles criptogrficos;
Gerenciamento das chaves;
8 - Aquisio, Desenvolvimento e
Manuteno de Sistemas de Informao
Segurana dos arquivos do sistema;
Controle de software operacional;
P d d d d i Proteo dos dados para teste de sistema;
Controle de acesso ao cdigo-fonte de programa;
Segurana em processos de desenvolvimento e de suporte; Segurana em processos de desenvolvimento e de suporte;
Procedimentos parar controle de mudanas;
Anlise crtica tcnica das aplicaes aps mudanas n sistema Anlise crtica tcnica das aplicaes aps mudanas n sistema
operacional;
Restries sobre mudanas em pacotes de software;
Vazamento de informaes;
Desenvolvimento de terceirizado de software;
G Gesto de vulnerabilidades tcnicas;
Controle de vulnerabilidades tcnicas;
9 - Gesto de Incidentes e
Segurana da Informao
Seu objetivo assegurar que fragilidades e eventos de
segurana da informao associados com sistemas de
informao sejam comunicados permitindo a tomada de ao informao sejam comunicados, permitindo a tomada de ao
corretiva em tempo hbil.
Seus itens de controles so: Seus itens de controles so:
Notificao de fragilidades e eventos de segurana da
informao; informao;
Notificao de eventos de segurana da informao;
Notificando fragilidades de segurana da informao;
Gesto de incidentes de segurana da informao e
melhorias;
R bilid d di Responsabilidades e procedimentos;
Aprendendo com os incidentes de segurana da informao;
Coleta de evidncias;
10 - Gesto da Continuidade do
Negcio
Seu objetivo no permitir a interrupo das atividades do
negcio e proteger os processos crticos contra efeitos de
falhas ou desastres significativos e assegurar a sua retomada falhas ou desastres significativos, e assegurar a sua retomada
em tempo hbil, se for o caso.
Seus itens de controles so: Seus itens de controles so:
Aspectos da gesto da continuidade do negcio, relativos segurana
da informao;
Incluindo segurana da informao no processo de gesto da continuidade
de negcio;
Continuidade de negcios e anlise/ avaliao de riscos; C g / v ;
Desenvolvimento e implantao de planos de continuidade relativos
segurana da informao;
Estrutura do plano de continuidade do negcio Estrutura do plano de continuidade do negcio;
Testes, manuteno e reavaliao dos planos de continuidade do negcio;
11 - Conformidade 11 Conformidade
Seu objetivo evitar violao de qualquer lei
criminal ou civil, estatutos, regulamentaes ou
obrigaes contratuais e de quaisquer requisitos de
segurana da informao.
Seus itens de controles so:
Conformidade com requisitos legais; q g
Identificao da legislao vigente;
Direitos de propriedade intelectual;
Proteo de registros organizacionais;
Proteo de dados e privacidade de informaes pessoais;
Preveno de mau uso de recursos de processamento da informao; Preveno de mau uso de recursos de processamento da informao;
Regulamentao de controles de criptografia;
11 - Conformidade 11 Conformidade
Conformidade com normas e polticas de segurana
da informao e conformidade tcnica;
Conformidade com as polticas e normas de segurana
da informao;
Verificao da conformidade tcnica;
Consideraes quanto auditoria de sistemas de Consideraes quanto auditoria de sistemas de
informao;
Controles de auditoria de sistemas de informao; Controles de auditoria de sistemas de informao;
Proteo de ferramentas de auditoria de sistemas de
informao informao
ISO/IEC 27001
Luiz Eduardo Guarino de Vasconcelos
Introduo Introduo
O padro de certificao
Baseada na BS 7799-2002 Parte 2
Alinhada com ISO 9001 e 14001 (compatvel)
Objetivos Objetivos
Atender todos os tipos de organizaes
P d l t b l i l t Prover modelo para estabelecer, implementar, ..., e
melhorar um SGSI
ISO/IEC 27001 ISO/IEC 27001
Importncia da Segurana Informao
Quanto custar uma falha que implique na perda q p q p
efetiva de informao ?
Quais as consequncias da utilizao de Quais as consequncias da utilizao de
informao por pessoas que dela possam fazer uso
indevido e no autorizado ? indevido e no autorizado ?
Qual o custo da diminuio de produtividade por
f lh d i ili d i f erros, falhas de sistema ou utilizao de informao
errada ?
Voc esta preparado para o prximo incidente com
a sua informao ?
ISO/IEC 27001 ISO/IEC 27001
Requisitos
Todas as atividades devem
seguir um processo (PDCA)
Objetivos de segurana
precisam ser especificados
Controles devem ser baseados
na anlise de risco
Verificao e melhoria do
processo devem ser contnuas
ISO/IEC 27001 ISO/IEC 27001
Componentes da ISO 27001
Sistema de gesto de segurana da informao
(SGSI)
Responsabilidade da direo espo sab dade da d eo
Auditorias internas
A li ti d SGSI l di Analise crtica do SGSI pela direo
Melhoria do SGI
ISO/IEC 27001
SGSI
SGSI
Estabelecer o SGSI
Implementar e operar o SGSI
Monitorar e analisar criticamente o SGSI
Manter e melhorar o SGSI
Requisitos de documentao Requisitos de documentao
Controle de Documentos
Controle de registros
ISO/IEC 27001
Responsabilidade da direo
Comprometimento da direo
Gesto de Recursos
Proviso de recursos
Treinamento conscientizao e competncia Treinamento,conscientizao e competncia
ISO/IEC 27001
Auditorias internas do SGSI
Auditorias internas do SGSI em intervalos
planejados para determinar se SGSI:
atende requisitos da norma
atendem aos requisitos de segurana identificados q g
est sendo executado conforme esperado
Procedimento documentado (responsabilidades Procedimento documentado (responsabilidades,
requisitos para planejamento e execuo da
auditoria) auditoria)
Os auditores no devem auditar seu prprio
trabalho (objetividade e imparcialidade)
ISO/IEC 27001
Anlise crtica do SGSI pela Direo
Analise do SGSI em intervalos planejados
Entradas: resultado de auditorias e anlises
crticas, situao das aes preventivas e
corretivas, vulnerabilidades no contempladas
adequadamente nas anlises anteriores,
resultados, recomendaes, mudanas.
Sada: oportunidade de incluir melhorias e
mudanas, modificao do SGSI (requisito de , ( q
negcio), necessidade de recursos, etc...
ISO/IEC 27001
Melhoria do SGSI
Melhoria contnua por meio do uso da poltica
estabelecida, resultados das auditorias, anlise dos
eventos monitorados, aes corretivas (etapas
anteriores)
Eliminao das no conformidades atraves de
aes corretivas ou preventivas aes corretivas ou preventivas
ISO/IEC 27001
Certificao
Benefcios da certificao
Certificar que as melhores prticas esto sendo seguidas
Requisitos Governamentais
Diferencial de Marketing
Resultado natural de uma necessidade intrnseca dos tempos
(terrorismo .... rsrsrs)
Empresas Certificadas
No Brasil apenas 15 organizaes possuem certificado
BS7799 2 d l S B M S BS7799-2, dentre elas: Serasa, Banco Matone, Samarco,
Modulo Security, Unisys, PRODESP, SERPRO, Telefonica.
M d l S it f i i i d d bt Modulo Security foi a primeira empresa do mundo a obter
certificao ISO 27001
Referncias Referncias
Tonelli Adriano Olimpio Melhores praticas para
gerenciamento de suporte a servio de TI.
C i J A O b k P l L P L k MC Cazemier, Jacques A., Overbeek, Paul L. e Peters, Louk M.C.
Best Practice for Security Management. Londres: The
Stationery Office 1999 Stationery Office, 1999.
Criando um Grupo de Resposta a Incidentes de Segurana em
Computaroes: Um Processo para Iniciar a Implantao Computaroes: Um Processo para Iniciar a Implantao
Acessado em 27/07/2009
http://wwwcert br/certcc/csirts/Creating-A-CSIRT-br html http://www.cert.br/certcc/csirts/Creating-A-CSIRT-br.html
http://www.iso.org
http://wwwiec ch/ http://www.iec.ch/