Escolar Documentos
Profissional Documentos
Cultura Documentos
Politica Seguranca PDF
Politica Seguranca PDF
net
Poltica de Segurana
ndice
PREFCIO ........................................................................................................................................................ 4
AGRADECIMENTOS ......................................................................................................................................... 5
INTRODUO................................................................................................................................................. 6
QUEM FAZ A POLTICA?................................................................................................................................... 7
QUEM ENVOLVIDO?...................................................................................................................................... 7
RESPONSABILIDADES ...................................................................................................................................... 7
COMUNICAO DA POLTICA DE SEGURANA ................................................................................................. 7
EDUCAO DO USURIO ................................................................................................................................. 8
ANLISE DE RISCOS ........................................................................................................................................ 8
Identificao dos bens ............................................................................................................................... 8
Hardware .................................................................................................................................................. 9
Software..................................................................................................................................................... 9
Identificao de ameaas .......................................................................................................................... 9
POLTICA DE SEGURANA ...................................................................................................................... 10
ESCOPO ......................................................................................................................................................... 10
NVEIS DE OPERAO .............................................................................................................................. 10
NVEIS DE CONFIDENCIALIDADE DA INFORMAO ..................................................................... 10
NVEIS DE CRITICIDADE DOS RECURSOS .......................................................................................... 11
POLTICA DE ACESSO AOS RECURSOS E SERVIOS....................................................................... 11
ACESSO FSICO AOS RECURSOS..................................................................................................................... 11
ACESSO LGICO: CONTAS DOS USURIOS .................................................................................................... 12
Consideraes Gerais ............................................................................................................................. 12
CRIAO DE CONTAS.................................................................................................................................... 13
GERENCIAMENTO DE CONTAS....................................................................................................................... 13
REMOO DE CONTAS .................................................................................................................................. 13
REABILITAO DE CONTAS .......................................................................................................................... 14
UTILIZAO APROPRIADA DE RECURSOS........................................................................................ 14
ACESSO REMOTO .......................................................................................................................................... 15
ACESSO INFORMAO CONFIDENCIAL ......................................................................................... 15
POLTICA DE AUTENTICAO DE ACESSO ....................................................................................... 16
POLTICAS DE SENHAS INICIAIS ..................................................................................................................... 17
POLTICAS DE UTILIZAO DAS SENHAS ...................................................................................................... 17
POLTICA DE PRIVACIDADE DA INFORMAO ............................................................................................... 18
POLTICA DE INTEGRIDADE DOS RECURSOS................................................................................... 18
POLTICA DE DISPONIBILIDADE DOS RECURSOS ........................................................................... 20
RESPONSABILIDADES EM RELAO POLTICA DE SEGURANA.......................................... 20
DOS USURIOS ............................................................................................................................................. 20
DOS ADMINISTRADORES DE SISTEMA............................................................................................................ 21
COMUNICAO DE VIOLAO DE SEGURANA............................................................................. 21
_________________________________________________________________________
Tpicos Avanados em Administrao de Sistemas
2
_________________________________________________________________________
Tpicos Avanados em Administrao de Sistemas
3
Prefcio
Em toda Poltica de Segurana faz-se necessrio ter uma idia clara daquilo que se
quer defender, contra quem queremos defender e quais os entraves que essa poltica oferece
para funcionamento normal do sistema. Uma Poltica de Segurana de uma empresa define
as normas e procedimentos que melhor atendam ao propsito da mesma, minimizados os
riscos com perdas e violaes de qualquer um dos seus bens. Podemos assumir que todos os
dados referentes a uma empresa fazem parte do seu patrimnio. Nosso objetivo ao
desenvolver esta Poltica restringe-se defesa das informaes e sistemas computacionais
de software e hardware da empresa.
Durante o desenvolvimento de uma Poltica de Segurana precisamos entrar em
contato com os indivduos na empresa responsveis pelos dois papis-chaves para coleta
das informaes necessrias: os administradores de sistemas (tecnologia aplicada), os
diretores da empresa (negcio da empresa). Os demais funcionrios so os reais usurios da
poltica e no podem ser esquecidos quanto s suas necessidades de execuo de tarefas
ou seja, estas tarefas no devem serem suprimidas em prol da implementao da poltica,
sem que ao menos seja-lhe oferecido um caminho alternativo - e quanto s suas reais
possibilidades de execuo daquela poltica por limitaes culturais ou tcnicas.
Importante lembrar que o contato com esses personagens precisa ser feito com
razovel freqncia para que a poltica acompanhe as vrias mudanas nos processos de
negcio ou de cunho tecnolgico: uma Poltica de Segurana especfica para uma
empresa e deve acompanhar o seu desenvolvimento.
Uma Poltica de Segurana no pode estar restrita nenhuma instncia de uma
provvel implementao da mesma. Ela deve ser construda em forma de procedimentos
capazes de serem executados independente da tecnologia aplicada.
Estes foram os conceitos que tentamos seguir ao longo deste projeto.
_________________________________________________________________________
Tpicos Avanados em Administrao de Sistemas
4
Agradecimentos
Ana Cristina dos Santos
Aldo Segundo
Marco Antnio Carnut
Administradores de Sistemas da Rede CESAR
Evandro Curvelo da Hora
Pela sua contribuio em sala de aula
Fbio Queda Bueno da Silva
Pela orientao tcnica e bibliogrfica
_________________________________________________________________________
Tpicos Avanados em Administrao de Sistemas
5
Introduo
Com o objetivo de desenvolver uma poltica de segurana para a Rede do CESAR
de fundamental importncia, que aspectos particulares da empresa sejam considerados.
Em primeiro lugar, o negcio da empresa deve ser levado em conta. O Centro de
Estudos e Sistemas Avanados do Recife CESAR - foi concebido para suprir a
necessidade de uma maior interao entre o meio acadmico, o meio empresarial e a
sociedade em geral. Alm dessa cooperao entre indstria e academia, trabalha na criao
de uma nova gerao de empreendedores , que compreende o valor da pesquisa e do
investimento em tecnologia no sucesso empresarial.
Em segundo, a poltica de segurana deve ser de conformidade com polticas,
regras, regulamentos e leis existentes , s quais a empresa j est sujeita. Particularmente,
no caso do CESAR, que trabalha em parceria com outras empresas, rgos de incentivo
pesquisa e instituies governamentais, seria invivel uma poltica que impedisse a
comunicao entre o CESAR e as empresas que ele suporta.
Ser necessrio identificar e considerar esses pr-requisitos, quanto do
desenvolvimento da poltica de segurana.
Em terceiro lugar, necessrio considerar implicaes de segurana num contexto
mais global. A poltica deve se preocupar com problemas de segurana local, assim como
possibilidade de invases por pessoas externas e tambm de funcionrios da empresa
causando danos ou invases a redes e sistemas de terceiros.
_________________________________________________________________________
Tpicos Avanados em Administrao de Sistemas
6
Quem envolvido?
A poltica de segurana, para ser apropriada e efetiva, precisa ter a aceitao e o
suporte de todos os indivduos da empresa. especialmente importante que os diretores da
empresa dem total apoio ao processo de concepo da poltica de segurana, caso
contrrio, h pouca chance de que ela surta efeito. A lista, a seguir, abrange as pessoas que
devem ser envolvidas na criao e reviso dos documentos da poltica de segurana:
Administrador local de segurana.
Administrador de recursos de informtica.
Staff tcnico de recursos tecnolgicos.
Times de resposta de incidentes de segurana.
Representantes de grupos de usurios afetados pela poltica de segurana.
Responsabilidades
O elemento chave para uma poltica de segurana a de se ter a certeza de que todo
mundo tem conhecimento de suas responsabilidades para manuteno da segurana.
Uma poltica de segurana no pode prever todas as possibilidades. Contudo pode
garantir (assegurar) que, para cada tipo de problema, existe algum designado para tratar
com ele. Devem existir nveis de responsabilidade associados com a poltica de segurana.
Em um nvel, cada usurio de um recurso computacional deve ter a responsabilidade de
proteger sua conta. Quando um usurio permite que sua conta seja comprometida, cresce a
chance de serem comprometidas outras contas ou recursos.
Gerentes de sistemas podem formar outro nvel de responsabilidade. Eles devem
ajudar a garantir a segurana do sistema de computao. Gerentes de rede podem ainda
pertencer a outro nvel.
Educao do usurio
Usurios devem ser alertados de como o sistema computacional espera ser usado e
como proteg-lo de usurios no autorizados.
Todos os usurios devem ser informados sobre o que considerado uso apropriado
de sua conta. Isto pode mais facilmente ser feito, no momento que o usurio recebe sua
conta, levando ao seu conhecimento os estatutos da poltica. Uma poltica de uso
apropriado, tipicamente, dita coisas tais como de que forma a conta pode ser usada para
atividades pessoais, de lazer ou ganho pessoal.
Anlise de riscos
A anlise de riscos serve para estimar o potencial de perdas associado s
vulnerabilidades do sistema e quantificar o prejuzo que pode ocorrer, caso as ameaas se
concretizem. O principal objetivo da anlise de risco tentar identificar protees eficientes
que reduziro os riscos a um nvel aceitvel, de modo que se o site (sistema) for atacado,
consiga sobreviver com os servios essenciais.
A anlise de riscos deve determinar:
O que deve ser protegido.
O que necessrio para garantir proteo.
Como proteger.
Para isso, a anlise de riscos segue duas fases:
Identificao dos bens.
Identificao das ameaas.
Identificao dos bens
Consiste em identificar todas as coisas que precisam ser protegidas. Em princpio os
bens podem ser agrupados nas seguintes categorias:
Hardware.
CPUs, placas, teclados, terminais, estaes de trabalho, computadores pessoais,
impressoras, disk drives, linhas de comunicao, servidores, roteadores, hubs,
switches, etc.
Software.
Programas-fonte, programas-objeto, programas utilitrios, programas de
diagnstico, sistemas operacionais e programas de comunicao.
Dados.
Durante a execuo, armazenados on-line, arquivados off-line, auditoria de logs,
banco de dados, em trnsito nos meios de comunicao;
Pessoas.
Usurios, administradores, pessoal de manuteno;
Documentao.
_________________________________________________________________________
Tpicos Avanados em Administrao de Sistemas
8
Identificao de ameaas
Consiste na identificao das ameaas aos bens. Isto ajuda a considerar de que
ameaa estamos tentando proteger os bens:
Acesso no autorizado
_________________________________________________________________________
Tpicos Avanados em Administrao de Sistemas
9
Negao de servio
Poltica de Segurana
Escopo
Esta poltica se aplica a toda a rede do CESAR, incluindo servidores e as estaes
de trabalho que estejam conectados diretamente rede interna, como tambm os
computadores que acessem o CESAR atravs da Internet ou outra rede de comunicao de
dados.
Nveis de Operao
Para efeitos de aplicao das regras da Poltica de Segurana e definio dos
procedimentos que a implementem, ficam definidos os seguintes nveis de operao do
sistema computacional do CESAR:
Pblica: informaes que podem ser livremente lidas por qualquer usurio
interno e atravs de outras redes (por exemplo, a Internet), por qualquer usurio
externo. As informaes pblicas precisam ser protegidas somente de ataques
integridade e disponibilidade.
Privada: informaes que podem ser lidas por qualquer usurio interno, mas por
nenhum usurio externo. Estas informaes podem ser alteradas somente por
alguns usurios internos autorizados. As informaes privadas precisam ser
protegidas de ataques externos confidencialidade, integridade e
disponibilidade, e de ataques internos integridade e disponibilidade.
Windows NT
Domain Name Server (DNS)
Correio eletrnico
Solaris 2.6
Software de firewall (Firewall 1)
Banco de dados Oracle
Aplicativos corporativos
Informaes armazenadas nas cpias de segurana (backup)
Os demais recursos tm nvel normal de criticidade.
Criao de Contas
Existe uma forma nica de criao de contas de usurios, definida em procedimento
prprio. Cada criao de conta deve ser documentada por escrito e far parte do Log de
Segurana. Esta documentao deve ser utilizada para dirimir dvidas e reduzir erros que
possam comprometer a segurana do sistema.
Ao criar uma nova conta, o administrador de sistemas criar tambm uma senha
inicial para autenticao do acesso por parte do usurio. proibido a criao de contas sem
senha inicial. A senha inicial no pode ser "fcil" (no sentido definido pela lnternic RFC
1244) e no pode ser de conhecimento pblico.
Ao receber a sua conta e a senha inicial, o usurio receber uma cpia da Poltica de
Segurana e assinar o Termo de Compromisso. Ao assinar o termo, o usurio
automaticamente declara estar ciente das regras e sanes impostas pela poltica.
Gerenciamento de Contas
Deve existir uma monitorao constante da utilizao das contas dos usurios de
todas as categorias. Esta monitorao levantar e catalogar no Log de Segurana as
seguintes informaes:
Ao fazer acesso a sua conta, o usurio deve ser avisado do dia, hora e local do seu
ltimo acesso, e quantos logins mal sucedidos foram feitos desde o ltimo acesso. Esta
informao deve ser observada com cuidado e, caso alguma anomalia seja detectada, deve
ser informada equipe de suporte.
As contas de usurios que no tiverem sido acessadas por um perodo superior a 03
meses sero automaticamente bloqueadas e seu acesso somente ser permitido novamente
atravs de solicitao por escrito de um diretor ou gerente de rea. Esta solicitao passar
a integrar o Log de Segurana do sistema.
Remoo de Contas
Usurios que tenham infringido maliciosamente as regras da Poltica de Segurana
recebero uma advertncia administrativa, e no caso de reincidncia tero suas contas
removidas da rede sem a cpia de segurana ou preservao dos dados contidos nela, com
possibilidade de demisso.
_________________________________________________________________________
Tpicos Avanados em Administrao de Sistemas
13
Reabilitao de Contas
A reabilitao de uma conta ser realizada seguindo as mesmas regras definidas
para a criao de contas
Caso o usurio reabilitado tenha suas informaes guardadas, estas sero
recuperadas e colocadas a disposio do usurio
_________________________________________________________________________
Tpicos Avanados em Administrao de Sistemas
14
tentativa de adquirir privilgios maiores dos autorizados para a sua conta; acesso s
informaes para as quais o usurio no tem permisso.
Acesso Remoto
proibida a existncia e/ou utilizao de acesso remoto via modens ou outras
formas de acesso(por exemplo: backdoors) que no sejam pela lnternet ou atravs de
Provedor de Acesso disponibilizado pelo CESAR. No est sendo referido forma de
acesso via SSH.
_________________________________________________________________________
Tpicos Avanados em Administrao de Sistemas
16
_________________________________________________________________________
Tpicos Avanados em Administrao de Sistemas
17
Dos Usurios
esperado que todos os usurios possuam uma conduta consistente com as polticas
aqui definidas. A violao das polticas acarretar aes disciplinares e/ou judiciais.
Abusos a outras redes de computadores atravs da rede da empresa, sero tratados
como quebra das regras da Poltica de Segurana do CESAR.
_________________________________________________________________________
Tpicos Avanados em Administrao de Sistemas
20
_________________________________________________________________________
Tpicos Avanados em Administrao de Sistemas
21
_________________________________________________________________________
Tpicos Avanados em Administrao de Sistemas
22
Referncias:
[1] Apostila de Tpicos Avanados em Administrao de Sistemas com contedo
das aulas ministradas por Evandro Curvelo Hora.
[2] CANE. Users Guide. ImageNet Ltd: October 1997.
[3] Centro de Estudos e Sistemas Avanados do Recife. http://www.cesar.org.br.
Disponvel na Internet. 30 de Setembro de 1998.
[4] Proposta de Polticas de Segurana para Rede CESAR, Elionildo da Silva
Menezes e Pedro Luciano Leite Silva, setembro de 1998
[5] RFC 1244
Pendncias
Apndice com RFC 1244
Termo de Compromisso usurios do sistema
Apndice c/Firewall
_________________________________________________________________________
Tpicos Avanados em Administrao de Sistemas
23