Escolar Documentos
Profissional Documentos
Cultura Documentos
Alinhando
NBR-ISO/IEC 17799 e 27001 na
Administrao Pblica - USP
7/11/2006
Uma rede to segura quanto a menos segura das mquinas que a ela se conectar.
asciutt@usp.br- Skype = kidasc - MSN = kidasc@hotmail.com
Uma rede to segura quanto a menos segura das mquinas que a ela se conectar.
asciutt@usp.br- Skype = kidasc - MSN = kidasc@hotmail.com
11/11/2006
Apresentao :
Introduo.
NBR ISO/IEC 27001 e 17799.
Proposta de Plano de Trabalho/Ao.
Referncias.
Con
fide
ncia
lida
de
Per
miti
r
e
dad
gri
e
t
n
I
de
ibilida
Dispon
7/11/2006
ibilizar
Dispon
ir
ing
str
e
R
Uma rede to segura quanto a menos segura das mquinas que a ela se conectar.
asciutt@usp.br- Skype = kidasc - MSN = kidasc@hotmail.com
Uma rede to segura quanto a menos segura das mquinas que a ela se conectar.
asciutt@usp.br- Skype = kidasc - MSN = kidasc@hotmail.com
11/11/2006
Introduo:
Inicialmente devemos entender que informao
um dos ativo da empresa, e como ativo tem valor
e deve ser protegido.
Conhecimento nosso ativo
Nosso produto a transferncia deste
conhecimento.
Um professor que guarda suas pesquisas em seu
computador/laptop pessoal.
7/11/2006
Uma rede to segura quanto a menos segura das mquinas que a ela se conectar.
asciutt@usp.br- Skype = kidasc - MSN = kidasc@hotmail.com
Inicialmente devemos entender que informao um dos ativo da empresa, e como ativo tem valor e deve ser protegido.
Pessoas, seus conhecimentos e o que ela representa, tambm so ativos. Marca e Imagem tambm so ativos.
Aqui, na USP, o conhecimento nosso ativo, e o nosso produto a transferncia deste conhecimento. Parte na nossa
misso tambm e conhecer mais.
Um professor que guarda suas pesquisas em seu computador/laptop pessoal no nos dando a administrao, o mesmo que
ir nos culpar caso ocorra qualquer problema com esse equipamento.
Uma rede to segura quanto a menos segura das mquinas que a ela se conectar.
asciutt@usp.br- Skype = kidasc - MSN = kidasc@hotmail.com
11/11/2006
Introduo:
Problemas :
Uso Indevido de informao.
Uso indevido do computador como trampolim.
Uso indevido do computador como hospedeiro de
qualquer coisa.
Controle :
Quem controla trafego por ponto de acesso ?
Quem controla vulnerabilidade em computadores
cliente ?
Quem controla portas abertas nos computadores de
clientes ?
Quem controla softwares instalados nos clientes ?
7/11/2006
Uma rede to segura quanto a menos segura das mquinas que a ela se conectar.
asciutt@usp.br- Skype = kidasc - MSN = kidasc@hotmail.com
Problemas :
Uso Indevido de informao.
Uso indevido do computador como trampolim.
Uso indevido do computador como hospedeiro de qualquer coisa.
Controle :
Quem controla trafego por ponto de acesso ?
Quem controla vulnerabilidade em computadores cliente ?
Quem controla portas abertas nos computadores de clientes ?
Quem controla softwares instalados nos clientes ?
Uma rede to segura quanto a menos segura das mquinas que a ela se conectar.
asciutt@usp.br- Skype = kidasc - MSN = kidasc@hotmail.com
11/11/2006
Introduo:
Nossa Obrigao :
nossa obrigao fazer controle nos clientes ?
nossa responsabilidade as mquinas de cliente ?
Riscos :
Licenas e atualizaes.
Servios instalados em clientes.
7/11/2006
Uma rede to segura quanto a menos segura das mquinas que a ela se conectar.
asciutt@usp.br- Skype = kidasc - MSN = kidasc@hotmail.com
Nossa Obrigao :
nossa obrigao fazer controle nos clientes ?
nossa responsabilidade as mquinas de cliente ?
Riscos :
Licenas e atualizaes.
Servios instalados em clientes.
Por definio, o risco a ameaa de que um novo evento afete a habilidade da empresa em atingir seus objetivos e suas
estratgias de negcios. No h empresa prspera que no corra riscos. A expanso, bem como a manuteno de um
negcio, pressupe que os riscos existam e devam ser entendidos como parte integrante do negcio.
Uma rede to segura quanto a menos segura das mquinas que a ela se conectar.
asciutt@usp.br- Skype = kidasc - MSN = kidasc@hotmail.com
11/11/2006
Introduo:
Linha do Tempo da Norma
ISO /IEC 17799:2000 & ISO/IEC 27001:2005
Um breve histrico da evoluo da norma at chegar a ISO 27001:
1995: publicada a primeira verso da BS 7799-1
1998: publicada a primeira verso da BS 7799-2
1999: publicada uma reviso da BS 7799-1
2000: publicada a primeira verso da norma ISO/IEC 17799
2001: publicada a primeira verso da norma no Brasil, NBR
ISO/IEC 17799
2002: publicada reviso da norma BS 7799 parte 2
Agosto/2005: publicada a segunda verso da norma no Brasil,
Outubro/2005: publicada a norma ISO 27001 (ISO/IEC
27001:2005.
7/11/2006
Uma rede to segura quanto a menos segura das mquinas que a ela se conectar.
asciutt@usp.br- Skype = kidasc - MSN = kidasc@hotmail.com
Uma rede to segura quanto a menos segura das mquinas que a ela se conectar.
asciutt@usp.br- Skype = kidasc - MSN = kidasc@hotmail.com
11/11/2006
Introduo:
Relembrando a ABNT NBR ISO/IEC-17799 (Norma anterior)
Norma Anterior : NBR/ISO-17.799
Poltica de Segurana;
Polticas de Segurana
Segurana Organizacional;
Gerenciamento de ativos
Segurana em Pessoas;
Controle de Acesso;
Controle de Acessos
Conformidade.
Conformidade.
7/11/2006
Uma rede to segura quanto a menos segura das mquinas que a ela se conectar.
asciutt@usp.br- Skype = kidasc - MSN = kidasc@hotmail.com
Uma rede to segura quanto a menos segura das mquinas que a ela se conectar.
asciutt@usp.br- Skype = kidasc - MSN = kidasc@hotmail.com
11/11/2006
7/11/2006
Uma rede to segura quanto a menos segura das mquinas que a ela se conectar.
asciutt@usp.br- Skype = kidasc - MSN = kidasc@hotmail.com
10
A nova famlia da srie ISO IEC 27000-27009 est relacionada com os requisitos mandatrios da ISO/IEC 27001:2005, como,
por exemplo, a definio do escopo do Sistema de Gesto da Segurana da Informao, a avaliao de riscos, a
identificao
de
ativos
e
a
eficcia
dos
controles
implementados.
(Mdulo
Security
http://www.modulo.com.br/checkuptool/artigo_15.htm - acesso 01/11/2006)
Esta Norma promove a adoo de uma abordagem de processo para estabelecer e implementar, operar, monitorar, analisar
criticamente, manter e melhorar o SGSI de uma organizao.
A abordagem de processo para a gesto da segurana da informao apresentada nesta norma encoraja que seus usurios
enfatizem a importncia de:
Uma rede to segura quanto a menos segura das mquinas que a ela se conectar.
asciutt@usp.br- Skype = kidasc - MSN = kidasc@hotmail.com
10
11/11/2006
Uma rede to segura quanto a menos segura das mquinas que a ela se conectar.
asciutt@usp.br- Skype = kidasc - MSN = kidasc@hotmail.com
11
A abordagem de processo para a gesto da segurana da informao apresentada nesta norma encoraja que seus usurios
enfatizem a importncia de:
a-) entendimento dos requisitos de segurana da informao de uma organizao e da necessidade de estabelecer uma
poltica e objetivos para a segurana da informao;
b-) implantao e operao de controles para gerenciar os riscos de segurana da informao de uma organizao no
contexto dos riscos de negcio globais da organizao;
c-) monitorao e analise crtica do desempenho e eficcia do SGSI; e
d-) melhoria contnua baseada em medies objetivas.
SGSI
O SGSI projetado para assegurar a seleo de controles de segurana adequados e proporcionados
para proteger os ativos de informao e propiciar confiana s partes interessadas.
Uma rede to segura quanto a menos segura das mquinas que a ela se conectar.
asciutt@usp.br- Skype = kidasc - MSN = kidasc@hotmail.com
11
11/11/2006
7/11/2006
Uma rede to segura quanto a menos segura das mquinas que a ela se conectar.
asciutt@usp.br- Skype = kidasc - MSN = kidasc@hotmail.com
12
Plan Planejar Estabelecer o SGSI Estabelecer a poltica, objetivos, processos e procedimentos do SGSI, relevantes
para a gesto de riscos e a melhoria da segurana da informao para produzir resultados de acordo com as polticas e
objetivos globais de uma organizao.
Do Fazer Implementar e Operar o SGSI - Implementar e operar a poltica, controles, processos e procedimentos do
SGSI.
Check Checar/Monitorar/Analisar Criticamente Avaliar e, quando aplicvel, medir o desempenho de um processo
frente poltica, objetivos e experincias prtica do SGSI e apresentar os resultados para a analise crtica pela direo.
Act Agir Manter e melhorar o SGSI Executar as aes corretivas e preventivas, com base nos resultados da auditoria
interna do SGSI e da anlise crtica pela direo ou outra informao pertinente, para alcanar a melhoria contnua do
SGSI.
Uma rede to segura quanto a menos segura das mquinas que a ela se conectar.
asciutt@usp.br- Skype = kidasc - MSN = kidasc@hotmail.com
12
11/11/2006
5 Responsabilidade da direo.
5.1 Comprometimento da direo
5.2 Gesto de Risco
5.2.1 Proviso de Recursos.
5.2.2 Treinamento, conscientizao e competncia
6 Auditorias internas.
6.1 Questes a serem auditadas.
8 Melhoria do SGSI.
8.1 Melhoria continuada.
8.2 Ao corretiva.
8.3 Ao preventiva.
7/11/2006
Uma rede to segura quanto a menos segura das mquinas que a ela se conectar.
asciutt@usp.br- Skype = kidasc - MSN = kidasc@hotmail.com
13
Requisitos gerais
4.2 - Estabelecendo e Gerenciando o SGSI.
4.2.1 - Estabelecer o SGSI.
a-) Definir um escopo.
b-) Definir uma poltica.
c-) Definir a abordagem de analise/avaliao de riscos da organizao.
(ex. veja [ISO/IEC 13335-3])
d-) Identificar os Riscos.
e-) Identificar e avaliar os riscos.
f-) Identificar e avaliar as opes para o tratamento de riscos.
g-) Selecionar objetos de controle e controles para o tratamento de riscos.
h-) Obter aprovao da direo dos riscos residuais propostos.
i-) Obter autorizao da direo para implantar e operar o SGSI.
i-) Preparar uma declarao de aplicabilidade.
4.2.2 - Implementar e operar o SGSI.
a-) Formular um plano de tratamento de risco.
b-) Implementar o plano de tratamento de risco.
c-) Implementar controles selecionados.
d-) Definir como medir a eficcia dos controles.
e-) Implementar programas de conscientizao e treinamento. (Brigada).
f-) Gerenciar as operaes do SGSI.
g-) Gerenciar os recursos do SGSI.
h-) Implementa procedimentos e outros controles.
4.2.3 - Monitorar e analisar criticamente o SGSI.
a-) Executar procedimentos de monitorao.
b-) Analisar analises crticas.
Uma rede to
segura quanto a menos segura das mquinas que a ela se conectar.
c-) Implementar controles selecionados.
asciutt@usp.br- Skype = kidasc - MSN = kidasc@hotmail.com
d-) Analisar criticamente as analises/avaliaes de riscos.
13
11/11/2006
A-6.1.1
A-6.1.2
A-6.1.3
A-6.1.4
A-6.1.5
A-6.1.6
A-6.1.7
A-6.1.8
Uma rede to segura quanto a menos segura das mquinas que a ela se conectar.
asciutt@usp.br- Skype = kidasc - MSN = kidasc@hotmail.com
14
Anexo A
Tabela 1
A-5 Polticas de Segurana
A-5.1 Polticas de Segurana da Informao
A-5.1.1 Documento
Gerar um documento com as polticas, submetendo a aprovao pela diretoria e divulgado todos.
A-5.1.2 Analise crtica das polticas
Reveja periodicamente estas polticas refazendo-as quando necessrio.
A-6 Organizando a segurana da informao
A-6.1 Infra-estrutura de segurana
A-6.1.1 Comprometimento da Direo com a segurana
A direo deve apoiar ativamente as polticas adotadas.
A-6.1.2 Coordenao do SGSI
Mantenha um grupo interdisciplinar na elaborao e manuteno do SGSI
A-6.1.3 Atribuies de responsabilidades para a segurana da informao
Definir com clareza as responsabilidade.
A-6.1.4 Processos de autorizao.
Ter um processo claro, e documentado sobre a gesto da segurana.
A-6.1.5 Acordos de confidencialidade.
Ter documentado e divulgado os acordos de confidencialidade.
A-6.1.6 Contrato com autoridades
Contrato apropriados com autoridades relevantes devem ser mantidos. (certificadoras, auditoras)
A-6.1.7 Contrato com grupos especiais.
Contrato apropriados com grupos de interesses especiais ou outros fruns ou associaes profissionais.
A-6.1.8 Analise critica independente
O enfoque da organizao para gerenciar a segurana da informao e a sua implementao. (
Uma rede to segura quanto a menos segura das mquinas que a ela se conectar.
asciutt@usp.br- Skype = kidasc - MSN = kidasc@hotmail.com
14
11/11/2006
7/11/2006
Uma rede to segura quanto a menos segura das mquinas que a ela se conectar.
asciutt@usp.br- Skype = kidasc - MSN = kidasc@hotmail.com
15
Anexo A
Tabela 1
...........
A-7 Gesto de Ativos
A-7.1 Responsabilidade pelos ativos
A-7.2 Classificao da Informao
A-8 Segurana em recursos humanos
A-8.1 Antes da contratao
A-8.2 Durante a contratao
A-8.3 Encerramento ou mudana de contratao
A-9 Segurana Fsica do Ambiente
A-9.1 reas Seguras
A-9.2 Segurana dos Equipamentos
Uma rede to segura quanto a menos segura das mquinas que a ela se conectar.
asciutt@usp.br- Skype = kidasc - MSN = kidasc@hotmail.com
15
11/11/2006
7/11/2006
Uma rede to segura quanto a menos segura das mquinas que a ela se conectar.
asciutt@usp.br- Skype = kidasc - MSN = kidasc@hotmail.com
16
Anexo A
Tabela 1
..................
A-10 Gerenciamento das Operaes e comunicaes
A-10.1 Procedimentos e Responsabilidades Operacionais
A-10-2 Gerenciamento de Servios Terceirizados
A-10.3 Planejamento e aceitao dos Sistemas
A-10.4 Proteo contra Cdigos Maliciosos e Cdigos mveis
A-10.5 Cpias de Segurana
A-10.6 Ger. Da Segurana da Rede
A-10.7 Manuseio de mdias
A-10.8 Troca de informaes
A-10.9 Servios de Comercio Eletrnico
A-10.10 Monitoramento
A-11 Controles de acessos
A-11.1 Requisitos de negcio para controle de acesso
A-11.2 Gerenc.de Acessos de Usurio
A-11.3 Responsabilidades dos Usurios
A-11.4 Controle de acessos a rede
A-11.5 Controle de acesso ao Sistema Operacional
A-11.6 Controle de acesso aplicativos e informao
A-11.7 Computao Mvel e Trab.Remoto
Uma rede to segura quanto a menos segura das mquinas que a ela se conectar.
asciutt@usp.br- Skype = kidasc - MSN = kidasc@hotmail.com
16
11/11/2006
A-15 Conformidade
A-15.1 Conformidade com Requisitos Legais.
A-15.2 Conformidade com Normas, Polticas do SGSI e Conformidade Tcnica
A-15.3 Conformidade quanto Auditoria de Sistemas de Informao
7/11/2006
Uma rede to segura quanto a menos segura das mquinas que a ela se conectar.
asciutt@usp.br- Skype = kidasc - MSN = kidasc@hotmail.com
17
Anexo A
Tabela 1
.....................
A-12 Aquisio Desenvolvimento e Manuteno de Sistemas de Informao.
A-12.1 Requisitos de Seguranas de Sistemas de Informao
A-12.2 Processamento Correto de Aplicaes
A-12.3 Controles Criptogrficos
A-12.4 Segurana dos Arquivos do Sistema
A-12.5 Segurana em processos de Desenvolvimento e de Suporte
A-12.6 Gesto de Vulnerabilidades Tcnicas
A-13 Gesto de Incidente de Segurana da Informao.
A-13.1 Notificao de Fragilidade e eventos de segurana da Informao
A-13.2 Gesto de Incidente de Segurana da Informao e Melhorias
-14 Gesto da Continuidade do Negcio.
A-14.1 Gesto da Continuidade do Negcio, Relativos segurana da Informao
A-15 Conformidade
A-15.1 Conformidade com Requisitos Legais.
A-15.2 Conformidade com Normas, Polticas do SGSI e Conformidade Tcnica
A-15.3 Conformidade quanto Auditoria de Sistemas de Informao
Uma rede to segura quanto a menos segura das mquinas que a ela se conectar.
asciutt@usp.br- Skype = kidasc - MSN = kidasc@hotmail.com
17
11/11/2006
Defesas em Rede:
Anterior:
Uma rede to segura quanto a menos segura das mquinas que a ela se conectar.
asciutt@usp.br- Skype = kidasc - MSN = kidasc@hotmail.com
18
Uma rede to segura quanto a menos segura das mquinas que a ela se conectar.
asciutt@usp.br- Skype = kidasc - MSN = kidasc@hotmail.com
18
11/11/2006
Defesas em Rede:
Sugerida Atualmente:
Nova Arquitetura de segurana, usurios com acesso por rede ao Virtual Data Center. ISSA Journal, abril
7/11/2006
Uma rede to segura quanto a menos segura das mquinas que a ela se conectar.
asciutt@usp.br- Skype = kidasc - MSN = kidasc@hotmail.com
19
Uma rede to segura quanto a menos segura das mquinas que a ela se conectar.
asciutt@usp.br- Skype = kidasc - MSN = kidasc@hotmail.com
19
11/11/2006
Uma rede to segura quanto a menos segura das mquinas que a ela se conectar.
asciutt@usp.br- Skype = kidasc - MSN = kidasc@hotmail.com
20
Uma rede to segura quanto a menos segura das mquinas que a ela se conectar.
asciutt@usp.br- Skype = kidasc - MSN = kidasc@hotmail.com
20
11/11/2006
o Divulgar.
o Documentos padro de divulgao e locais de avisos.
o Treinar.
o Planejar os treinamentos para todos os nveis e todos os
envolvidos, Doscentes, Discentes, Funcionrios.
7/11/2006
Uma rede to segura quanto a menos segura das mquinas que a ela se conectar.
asciutt@usp.br- Skype = kidasc - MSN = kidasc@hotmail.com
21
Uma rede to segura quanto a menos segura das mquinas que a ela se conectar.
asciutt@usp.br- Skype = kidasc - MSN = kidasc@hotmail.com
21
11/11/2006
Obrigado
Referencia :
NBRISO/IEC27001 de 03/2006
NBRISO/IEC17799 de 2001
ISSA Journal (Information System Security Association)
Uma rede to segura quanto a menos segura das mquinas que a ela se conectar.
asciutt@usp.br- Skype = kidasc - MSN = kidasc@hotmail.com
22
Uma rede to segura quanto a menos segura das mquinas que a ela se conectar.
asciutt@usp.br- Skype = kidasc - MSN = kidasc@hotmail.com
22