Escolar Documentos
Profissional Documentos
Cultura Documentos
Lucas C. Ferreira
www.sapao.net
A disciplina
A Disciplina
Baseado no CBK
Common Body of Knowledge
Base de conhecimento da certificao CISSP
Objetivos especficos
Apresentar os conceitos bsicos de gerncia de segurana de informaes Introduzir os conceitos de disponibilidade, confidencialidade e disponibilidade Apresentar as principais tcnicas de anlise de risco Definir a estrutura de polticas de segurana e sua partio em polticas, procedimentos e diretrizes.
Objetivos especficos
Definir e apresentar metodologias de classificao de informaes. Apresentar a melhores prticas de segurana em pessoas e de conscientizao de segurana
Bibliografia Bsica
HARRIS, Shon. All-in-one CISSP Certification Exam Guide. McGraw Hill/Osborne. USA. 2003.
Bibliografia Complementar
ABNT. Norma NBR ISO/IEC 177992005. BSI. British Standard 7799 part 3. PELTIER, Thomas R. Information Security Risk Analysis, 1a edio. Auerbach, 2001.
Introduo
O que segurana?
A qualidade ou estado de estar seguro estar livre de perigo.
As propriedades CIA
As propriedades CIA so:
Confidencialidade (Confidentiality) Integridade (Integrity) Disponibilidade (Availability)
Com o tempo, esta lista de propriedades foi expandida, mas estas trs ainda so as mais importantes
Ameaas
Hackers Masqueraders Usurios no autorizados Downloads sem proteo LANs Cavalos de Tria
Modelos
Bell-LaPadula
Sem write down & sem read up
Problemas relacionados
Integridade de Origem Integridade de Dados
Modelo
Biba/low water mark
sem write up & sem read down
Clark-Wilson
Segregao de funes
Lipner
Survivability
Garantia de disponibilidade na presena de ataques
Autorizao
Autorizao prov a garantia de que o usurio foi explicita e especificamente autorizado pela autoridade competente a acessar o contedo de um ativo de informao
Principais conceitos:
Responsabilizao e Assurance
Responsabilizao (Accountability)
Esta caracterstica existe quando um controle apresenta garantias de que toda atividade pode ser corretamente atribuda a uma determinada pessoa ou processo
Assurance
Garantia de que todos os objetivos de segurana sero atingidos
Planejamento
Planejamento parte da gesto de segurana de informaes
Extenso de modelos gerais de planejamento
Devem ser includas no modelo de planejamento atividades para suportar projeto, criao e implementao de estratgias como as que existam no ambiente de planejamento de TI
Tipos de planos
Existem diversos tipo de planos de segurana de informaes:
Resposta a incidentes Continuidade dos negcios Recuperao de desastres Polticas Pessoal Implementao de tecnologia Gesto de risco Educao, treinamento e conscientizao
Polticas
Conjunto de guias organizacionais que ditam um determinado comportamento dentro da organizao Relativo segurana de informaes, so trs:
Poltica geral (Poltica de segurana corporativa) Polticas para temas especficos
Exemplos: email, uso de internet, etc.
Programas
Programas so operaes gerenciadas em conjunto, constituindo um nica entidade
Exemplo: um programa de treinamento e conscientizao de segurana Outros exemplos:
Programa de segurana fsica Programa de reviso de segurana de sistemas
Proteo
Atividade relacionadas gesto de risco
Avaliao e controle de riscos
Pessoas
Pessoas so o elo crtico do programa de segurana da informao
Human firewall
imperativo quer seja reconhecido o papel crucial que as pessoas desempenham quanto segurana de informaes Este aspecto inclui:
Pessoal de segurana de informaes Segurana das pessoas Treinamento e conscientizao de segurana
Gesto de projetos
Os princpios de gesto de projetos devem estar presentes em todos os elementos do programa de segurana de informaes Este princpio envolve:
Identificao e controle dos recursos necessrios a cada projeto Medio de progresso a juste dos processos a medida em que o projeto avana
Gesto de Risco
Definio:
Processo de identificar e avaliar o nvel de risco enfrentado por uma organizao Em especial, identificar as ameaas s informaes armazenadas e processadas pela organizao
Principais Termos
Ativo Agente de ameaa Ameaa Vulnerabilidade Incidente de segurana Risco Exposio Controle ou salvaguarda
Exemplos de ataques
Cdigo malvolo Hoaxes Back doors Password crack Fora bruta Dicionrio Denial-of-service (DoS) and distributed denialof-service (DDoS) Spoofing Man-in-themiddle Spam Mail bombing Sniffer Engenharia social Buffer overflow Timing
Gesto de risco
Usar alguma metodologia para priorizar os riscos Antes de gerenciar riscos, necessrio identificar e determinar o valor dos ativos de informao Uma avaliao de risco (risk assessment) determina um valor de risco para cada ativo de informao
A gesto de riscos identifica as vulnerabilidades dos sistemas de informao de uma organizao e toma aes planejadas para garantir a confidencialidade, integridade e disponibilidade de todos os seus componentes
Poltica de segurana
O modelo Bulls-eye
Conceitos legais
Due diligence (devido zelo)
A administrao deve tomar para si a responsabildiade de investigar e entender os riscos da organizao
Tipos de polticas
Regulamentos
Polticas regulatrias Necessidade seguir padres de indstria ou requisitos legais
Especficas para cada negcio
Papis e responsabilidades:
Define a estrutura organizacional e as responsabilidades de cada cargo/rea
Exemplos:
E-mail, Internet e World Wide Web, Configuraes de estaes de trabalho com relao a vrus, vermes e cavalos de Tria ou backup, Proibies de atacar ou testar os elementos de segurana da organizao sem a devida autorizao, Etc.
Violaes da poltica
Procedimentos para informe de violoaes Penalidades
Requisitos legais
Declaraes necessrias para manter a legalidade do documento
Podem controlar acessos a sistemas de arquivos, funcionalidades de sistemas ou acessos via rede Permitem a restrio de acessos de conforme usurios, computadores, hora, etc. Tabela de capacidades (capability tables): associadas a cada usurio
Contm a lista de autorizaes de cada usurio
Regras de configurao
So cdigos de configurao especficos para sistemas de segurana que guiam a execuo do sistema Levam em conta as especificidades dos sistemas e podem no lidar diretamente com usurios, como nas ACLs Muitos sistemas de segurana requerem scripts de configurao especficos informado ao sistema que aes devem ser tomadas em cada conjunto de informaes processadas
2.
Projetar e desenvolver a poltica (ou reprojetar e redesenvolver um poltica entiga) Estabelecer processos gerenciais para perpetuar a poltica dentro da organizao
Pontos importantes
Polticas so preventivas Polticas existem para:
Informar ao empregados e parceiros qual o comportamento aceito pela organizao Aumentar a produtividade Prevenir situaes embaraosas
Classificao da informao
Motivao
Medir a quantidade de recursos a serem usados na proteo das informaes Nem todos os dados tm o mesmo valor Classificar as informaes conforme a sua importncia para a organizao
Objetivos
Garantir o nvel de proteo adequado Indicar os nveis adequados de:
Confidencialidade Integridade Disponibilidade
Papis
Proprietrio
Responsvel pela informao na organizao Em geral, gerente ou diretor
Indicar cargos, no pessoas
Usurio
Pessoa autorizada a acessar ou manipular a informao
Custodiante
Responsvel pela guarda da informao Em geral, a rea de TI
Esquema de classificao
O esquema de classificao das informaes deve indicar como a informao pode ser:
Acessada Usada Armazenada Destruda
Valor da informao Idade da informao Dano causado pela divulgao da informao Dano causado pela modificao da informao
Implementao da classificao
Aspectos a serem considerados:
Controle de acesso Identificao e etiquetagem Tipo de armazenamento Restries transmisso Requisitos de destruio Auditoria Monitoramento
Reclassificao da informao
Informaes podem mudar de classificao durante o ciclo de vida
Exemplo: balano anual
Deve ser prevista a possibilidade de reclassificao da informao durante seu ciclo de vida
Se possvel, o processo deve ser automatizado.
Procedimento de classificao
Identificar custodiantes Especificar os critrios de classificao Indicar os controles necessrios para cada nvel de classificao Documentar excees
Procedimento de classificao
Indicar mtodos de transferencia de custdia ou de propriedade Conceber procedimentos de reclassificao Incluir estes aspectos no programa de conscientizao de segurana
Exerccio
Especificar um esquema de classificao levando em conta:
Confidencialidade Integridade Disponibilidade 3 nveis Determinar nomes para as classes Determinar requisitos bsicos para as classes