Segurana da Informao

ABNT NBR ISO/IEC 177992005

Segurana de Informao

responsvel pela proteo de um conjunto de dados, no sentido de preservar o valor que possuem para um indivduo ou uma organizao

Conceitos Abordados em Segurana da Informao

Poltica Projeto Plano

Normas

Poltica de Segurana

Objetivo:
Prover

administrao uma direo e apoio para a segurana de informao

Deve especificar:
Metas

de segurana Comprometimento da organizao

Poltica de Segurana

Segue a poltica interna da instituio para sua

Elaborao, aprovao e aplicao

formada por estatutos detalhados

Nvel

hierrquico Quando mais baixo o nvel, mais detalhes

Ciclo de vida indefinido

Sofre

constantes atualizaes

Projeto de Segurana

Descreve todos os aspectos de segurana da informao na empresa Etapas envolvidas:

Identificao dos ativos da empresa em termos de informao; Anlise dos riscos de segurana; Anlise dos requisitos de segurana e compromissos; Desenvolvimento de um plano de segurana; Definio de uma norma de segurana; Desenvolvimento de procedimentos para implantar a norma e uma estratgia de implementao Implementao, gerenciamento e auditoria dos procedimentos de segurana.

Plano de Segurana

Prope o que a organizao deve fazer para satisfazer os requisitos de segurana Deve conter:

Relao de servios de TI disponibilizados; Quais reas disponibilizam esses servios; Quem tem acesso a esses; Descrio detalhada da implementao desse plano; Procedimentos de controle dos ambientes, incidentes e contingncias As pessoas e os recursos necessrios para o desenvolvimento e implementao tcnica da norma de segurana

Especifica:

Plano de Segurana
Precisa ter apoio de todos os nveis de funcionrios dentro da organizao O pessoal tcnico da rede e locais remotos deve se envolver da mesma forma que os usurios finais

Normas de Segurana

So declaraes formais das regras s quais as pessoas que tm um determinado acesso tecnologia e ativos de informaes de uma organizao devem obedecer

Normas de Segurana

Informa aos usurios, gerentes e ao pessoal tcnico de suas obrigaes para proteger os ativos de tecnologia e informaes Deve ser explicada a todos pela gerncia superior um documento vivo Devem ser atualizadas constantemente

Normas de segurana

BS7799
Standart 7799 uma norma de segurana destinada a empresas Criada na Inglaterra, teve seu desenvolvimento iniciada em 1995
Brithish

ISO/IEC 17799
Verso Verso

internacional da BS7799 brasileira da norma ISO

NBR ISO/IEC 17799

NBR ISO/IEC 17799

Pode ser usada pela maioria dos setores da economia As principais recomendaes so organizadas em 11 sees:

Poltica de Segurana de Informao; Organizando a Segurana de Informao; Gesto de ativos; Segurana em Recursos Humanos; Segurana Fsica e do Ambiente; Gerenciamento das Operaes e Comunicaes; Controle de Acesso; Aquisio, Desenvolvimento e Manuteno de Sistemas de Informao; Gesto de Incidentes de Segurana de Informao; Gesto de Continuidade de Negcios; Conformidade.

NBR ISO/IEC 17799:2005

Sees
Gesto

abordadas dessa norma:

de Incidentes de Segurana de Informao; Gesto de Continuidade de Negcios.

Gesto de Incidentes de Segurana de Informao

Ser abordado:
Notificao

de fragilidades e eventos de segurana da informao;

Notificao de eventos de segurana da informao; Notificao de fragilidades de segurana da informao.

Gesto

de incidentes de segurana da informao e melhorias

Responsabilidades e procedimentos; Aprendizado com os incidentes de segurana da informao; Coleta de evidncias

Gesto de Incidentes de Segurana de Informao

Notificao de fragilidades e eventos de segurana da informao

Objetivo:

Assegurar que fragilidades e eventos de segurana da informao associados com sistemas de informao sejam comunicados, permitindo a tomada de ao corretiva em tempo hbil.

Sero

Tratados:

Notificao de eventos de segurana da informao Notificao de fragilidades de segurana da informao

Gesto de Incidentes de Segurana de Informao

Notificao de eventos de segurana da informao

Controle:

Convm que os eventos de segurana da informao sejam relatados atravs dos canais apropriados da direo, o mais rapidamente possvel.

Diretrizes

para Implementao

Procedimento de notificao formal Ponto de contato

Gesto de Incidentes de Segurana de Informao

Notificao de eventos de segurana da informao

Convm

que procedimentos de notificao

incluam:
Processos adequados de realimentao; Formulrio; Comportamento correto a ser tomado; Referncia para um processo disciplinar formal estabelecido.

Alarmes

de coao

Gesto de Incidentes de Segurana de Informao

Notificao de eventos de segurana da informao

Informaes

adicionais

Exemplos de eventos e incidentes de segurana

Perda de servio, equipamento ou recursos; Violaes de procedimentos de segurana fsica; Mau funcionamento de software ou hardware;

Cuidado com aspectos da confidencialidade

Treinamento de conscientizao

Gesto de Incidentes de Segurana de Informao

Notificao de fragilidades de segurana da informao

Controle

Convm que os funcionrios, fornecedores e terceiros de sistemas e servios de informao sejam instrudos a registrar e notificar qualquer observao ou suspeita de fragilidade em sistemas ou servios.

Gesto de Incidentes de Segurana de Informao

Notificao de fragilidades de segurana da informao

Diretrizes

para implementao

Notificar o mais rpido possvel para sua direo ou provedor de servios Mecanismo de notificao fcil, acessvel e com uma mxima disponibilidade Usurios no podem tentar averiguar fragilidade suspeita

Gesto de Incidentes de Segurana de Informao

Notificao de fragilidades de segurana da informao

Informaes

adicionais

Testar fragilidades pode resultar em:

Interpretao do uso imprprio potencial do sistema; Danos ao sistema ou servio de informao. Usurio que efetuou o teste o responsvel legal

Gesto de Incidentes de Segurana de Informao

Gesto de incidentes de segurana da informao e melhorias

Objetivo:

Assegurar que um enfoque consistente e efetivo seja aplicado gesto de incidentes de segurana da informao.

Sero

Tratados:

Responsabilidades e Procedimentos Aprendizado com os incidentes de informao Coleta de evidncias

Gesto de Incidentes de Segurana de Informao

Responsabilidades e procedimentos
Controle

Convm que responsabilidades e procedimentos de gesto sejam estabelecidos para assegurar respostas rpidas, efetivas e ordenadas a incidentes de segurana da informao.

Gesto de Incidentes de Segurana de Informao

Responsabilidades e procedimentos
Diretrizes

consideradas para os procedimentos de

gesto:

Procedimentos que manuseiem diferentes tipos de incidentes;

Falhas de sistemas de informaes e perda de servios e denial of service, por exemplo.

Anlise e identificao da causa do incidente; Reteno; Planejamento e implementao de ao corretiva; Comunicao com aqueles afetados ou envolvidos com a recuperao do incidente; Notificao da ao para a autoridade apropriada;

Gesto de Incidentes de Segurana de Informao

Responsabilidades e procedimentos
Diretrizes

consideradas para os procedimentos de gesto

(Cont.):

Coleta e proteo de trilhas de auditoria e evidncias Controle formal de aes de:

Violaes de segurana; Correo de falhas do sistema.

Concordncia

da direo em relao aos objetivos de gesto de incidentes Entendimento das prioridades da organizao no manuseio de incidentes pelos responsveis

Gesto de Incidentes de Segurana de Informao

Responsabilidades e procedimentos
Informaes

Adicionais

Possibilidade de ocorrncia de incidentes que transcendam fronteiras organizacionais e nacionais

Comunicao com organizaes externas Resposta coordenada Troca de informaes em relaes a esses incidentes

Gesto de Incidentes de Segurana de Informao

Aprendizado com os incidentes de segurana da informao

Controle

Convm que sejam estabelecidos mecanismos para permitir que tipos, quantidades e custos dos incidentes de segurana da informao sejam quantificados e monitorados.

Gesto de Incidentes de Segurana de Informao

Aprendizado com os incidentes de segurana da informao

Diretrizes

para implementao

Informao resultante da anlise de incidentes utilizada para identificao de incidentes recorrentes ou de alto impacto

Informaes

Adicionais

Anlise de incidentes de segurana pode indicar a necessidade de:

Melhorias; Controles adicionais para limitar a frequncia;

Gesto de Incidentes de Segurana de Informao

Coleta de evidncias
Controle

Nos casos em que uma ao de acompanhamento contra uma pessoa ou organizao, aps um incidente de segurana da informao, envolver uma ao legal (civil ou criminal), convm que evidncias sejam coletadas, armazenadas e apresentadas em conformidade com as normas de armazenamento de evidncias da jurisdio(es) pertinente(s).

Gesto de Incidentes de Segurana de Informao

Coleta de evidncias
Diretrizes

para Implantao Elaborao e respeito aos procedimentos internos que envolve:

Atividades de coleta; Apresentao de evidncias. Admissibilidade; Importncia

Normas para evidncia abrangem:

Necessita de uma qualidade e inteireza nos controles para proteo de evidncias Processo de armazenamento e processamento de evidncia

Trilha forte de evidncia:

Gesto de Incidentes de Segurana de Informao

Coleta de evidncias
Diretrizes

para implantao (Cont.)

Condies para estabelecimento de uma trilha forte de evidncia:

Para documentos em papel:

Original ser mantido de forma segura; Assegurar que os originais no foram alterados.

Para informao em mdia eletrnica:

Disponibilidade de cpias de mdias removveis; Registro de aes durante o processo de cpia e testemunhas; Mdia original ser mantida e intocvel .

Gesto de Incidentes de Segurana de Informao

Coleta de evidncias
Diretrizes

para implantao (Cont.)

Trabalho forense somente realizado em cpias Preservao da integridade de todo material de evidncia Superviso no processo de cpia

Pessoas confiveis

Gesto de Incidentes de Segurana de Informao

Coleta de evidncias
Informaes

adicionais:

Caso seja constatado possibilidade de processo jurdico

Envolver um advogado ou polcia; Consultoria sobre as evidncias necessrias.

Caso seja ultrapassado os limites organizacionais

Assegurar a autorizao para a coleta; Considerar requisitos de diferentes jurisdies.

Gesto da continuidade do negcio

Ser abordado:
Aspectos

da gesto da continuidade do negcio, relativos segurana da informao

Incluso segurana da informao no processo de gesto da continuidade de negcio Continuidade de negcios e anlise/avaliao de riscos Desenvolvimento e implementao de planos de continuidade relativos segurana da informao Estrutura do plano de continuidade do negcio Testes, manuteno e reavaliao dos planos de continuidade do negcio

Gesto da continuidade do negcio

Aspectos da gesto da continuidade do negcio

Objetivo: No permitir a interrupo das atividades do negcio e proteger os processos crticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hbil, se for o caso. Sero Tratados: Incluso da segurana da informao no processo de gesto da continuidade de negcio Continuidade de negcios e anlise/avaliao de riscos Desenvolvimento e implementao de planos de continuidade relativos segurana da Informao Estrutura do plano de continuidade do negcio Testes, manuteno e reavaliao dos planos de continuidade do negcio

Gesto da continuidade do negcio

Incluso da segurana da informao no processo de gesto da continuidade de negcio

Controle

Convm que um processo de gesto seja desenvolvido e mantido para assegurar a continuidade do negcio por toda a organizao e que contemple os requisitos de segurana da informao necessrios para a continuidade do negcio da organizao.

Gesto da continuidade do negcio

Incluso da segurana da informao no processo de gesto da continuidade de negcio Diretrizes para implementao

Elementos-chave da gesto da continuidade do negcio:

Entendimentos dos riscos de exposio da organizao; Identificao de ativos nos processos crticos de negcios; Entendimento do impacto que incidentes tero sobre os negcios; Estabelecimento dos objetivos do negcio dos recursos de processamento da informao; Considerao de contratao de seguro compatvel Identificao e considerao da implementao de controles preventivos e de mitigao;

Gesto da continuidade do negcio

Incluso da segurana da informao no processo de gesto da continuidade de negcio Diretrizes para implementao (Cont.)

Elementos-chave da gesto da continuidade do negcio:

Garantia da segurana de pessoal; Proteo de recursos de processamento das informaes e bens organizacionais; Detalhamento e documentao de planos de continuidade de negcio; Testes e atualizaes regulares dos planos e processos implantados Garantia de que a gesto da continuidade do negcio esteja incorporada aos processos e estrutura da organizao.

Gesto da continuidade do negcio

Continuidade de negcios e anlise/avaliao de riscos

Controle

Convm identificar os eventos que podem causar interrupes aos processos de negcio, junto a probabilidade e impacto de tais interrupes e as conseqncias para a segurana de informao.

Gesto da continuidade do negcio

Continuidade de negcios e anlise/avaliao de riscos

Diretrizes

para implementao

Identificao de eventos que podem causar interrupes nos processos de negcio Anlise/avaliao de riscos para a determinao da probabilidade e impacto dessas interrupes
Realizadas com envolvimento dos responsveis pelos processos e recursos do negcio; Identificao, quantificao e priorizao dos critrios baseados nos riscos e os objetivos pertinentes organizao.

Gesto da continuidade do negcio

Continuidade de negcios e anlise/avaliao de riscos

Diretrizes

para implementao (Cont.)

Juno de aspectos de riscos diferentes

Quadro completo dos requisitos de continuidade de negcios da organizao

Em funo dos resultados da anlise/avaliao de riscos

conveniente o desenvolvimento de um plano estratgico de continuidade de negcio.

Gesto da continuidade do negcio

Desenvolvimento e implementao de planos de continuidade relativos segurana da informao

Controle

Convm que os planos sejam desenvolvidos e implementados para a manuteno ou recuperao das operaes e para assegurar a disponibilidade da informao no nvel requerido e na escala de tempo requerida, aps a ocorrncia de interrupes ou falhas dos processos crticos do negcio.

Gesto da continuidade do negcio

Desenvolvimento e implementao de planos de continuidade relativos segurana da informao

Diretrizes

para implementao Itens considerados no planejamento:

Identificao e concordncia de todas as responsabilidades e procedimentos da continuidade do negcio; Identificao da perda aceitvel de informaes e servios; Implementao dos procedimentos que permitam a recuperao e restaurao das operaes do negcio e da disponibilidade da informao nos prazos necessrios;

Gesto da continuidade do negcio

Desenvolvimento e implementao de planos de continuidade relativos segurana da informao Diretrizes para implementao

Itens considerados no planejamento (Cont.):

Procedimentos operacionais que permitam a concluso de restaurao e recuperao que estejam pendentes; Documentao dos processos e procedimentos acordados; Educao adequada de pessoas nos procedimentos e processos definidos; Teste e atualizao dos planos.

Gesto da continuidade do negcio

Desenvolvimento e implementao de planos de continuidade relativos segurana da informao Diretrizes para implementao (Cont.)

O processo de planejamento deve focar os objetivos requeridos do negcio

Identificao de recursos e servios que facilitam esse processo

Tratamento de vulnerabilidades da organizao Cpias do plano de continuidade

Armazenadas em local remoto e seguro

Gesto da continuidade do negcio

Estrutura do plano de continuidade do negcio

Controle

Convm que uma estrutura bsica dos planos de continuidade do negcio seja mantida para assegurar que todos os planos so consistentes, para contemplar os requisitos de segurana da informao e para identificar prioridades para testes e manuteno.

Gesto da continuidade do negcio

Estrutura do plano de continuidade do negcio

Diretrizes

para implementao

Plano de continuidade
Enfoque para continuidade do negcio; Plano de escalonamento; Condies para ativao;

Identificao de novos requisitos

Ajuste dos procedimentos de emergncia

Um gestor especfico para cada plano

Gesto da continuidade do negcio

Estrutura do plano de continuidade do negcio

Diretrizes

para implementao (Cont.) Itens considerados:

Procedimentos de emergncia; Procedimentos de recuperao; Procedimentos operacionais temporrios; Uma programao de manuteno; Atividades de treinamento, conscientizao e educao; Designao das responsabilidades individuais; Aptido dos ativos e recursos crticos para procedimentos de: Emergncia; Recuperao; Reativao.

Gesto da continuidade do negcio

Testes, manuteno e reavaliao dos planos de continuidade do negcio

Controle

Convm que os planos de continuidade do negcio sejam testados e atualizados regularmente, de forma a assegurar sua permanente atualizao e efetividade.

Gesto da continuidade do negcio

Testes, manuteno e reavaliao dos planos de continuidade do negcio

Diretrizes

para implementao

Conscientizao dos membros da equipe de suas responsabilidades nos testes Planejamento e programao dos teste dos planos
Indicao e como e quando cada elemento seja testado; Componentes dos planos sejam frequentemente testados.

Utilizao de vrias tcnicas

Assegurar a confiana de que os planos iro operar consistentemente em casos reais

Gesto da continuidade do negcio

Testes, manuteno e reavaliao dos planos de continuidade do negcio

Diretrizes

para implementao (Cont.)

Itens considerados:
Testes de mesa simulando diferentes cenrios; Simulaes; Testes de recuperao tcnica; Testes de recuperao em um local alternativo; Testes dos recursos, servios e instalaes de fornecedores; Ensaio geral.

Gesto da continuidade do negcio

Testes, manuteno e reavaliao dos planos de continuidade do negcio

Diretrizes para implementao (Cont.) Registro dos resultados dos testes Aes tomadas para a melhoria dos planos Estabelecimento de responsabilidades pelas anlises crticas peridicas de cada parte do plano Exemplos de mudanas onde convm que a atualizao dos planos

Aquisio de novos equipamentos; Atualizaes de sistemas; Mudanas de: Pessoal; Estratgia de negcio e Processos