Autarquia Educacional do Vale do So Francisco - AEVSF

Faculdade de Cincias Aplicadas e Sociais de Petrolina - FACAPE

Segurana e Auditoria de
Sistemas
Normas de Segurana
Profa. Cynara Carvalho
cynaracarvalho@yahoo.com.br

Normas de Segurana da Informao

Conceitos

Antes
de iniciar o estudo sobre as normas, devemos entender os
conceitos referentes :

Polticas (orientaes em conformidade com os objetivos de negcio);

Regulamentaes (busca de conformidade com a legislao vigente);
Baseline (nvel mnimo de proteo nos sistemas crticos);
Diretrizes
Em um contexto estratgico pode ser interpretado como aes
ou caminhos a serem seguidos em determinados momentos.
Orienta o que deve ser feito e como, para se alcanarem
os
objetivos (instrues
estabelecidos
na poltica [ISO 17799]
Procedimentos
operacionais);
3

Normas de Segurana da Informao

O que so e para que servem as normas?

aquilo que se estabelece como medida para a realizao de uma
atividade.
Uma norma tem como propsito definir regras e instrumentos de
controle para assegurar a conformidade de um processo, produto ou
servio.
Quais os problemas gerados pela ausncia de normas?

Normas de Segurana da Informao

O que so e para que servem as normas?

Conforme definido pela Associao Brasileira de Normas Tcnicas
(ABNT), os objetivos da normalizao so:
Comunicao: proporcionar meios mais eficientes na troca de
informao entre o fabricante e o cliente, melhorando a confiabilidade
das relaes comerciais e de servios;
Segurana: proteger a vida humana e a sade;
Proteo do consumidor: prover a sociedade de mecanismos
eficazes para aferir qualidade de produtos;
Eliminao de barreiras tcnicas e comerciais: evitar a existncia
de regulamentos conflitantes sobre produtos e servios em diferentes
pases,facilitando assim, o intercmbio comercial.

Normas de Segurana da Informao

Surgimento das Normas

Em outubro de 1967 foi criado um documento chamado Security

Control for Computer System que marcou o passo inicial para criao
de conjunto de regras para segurana de computadores.
DoD tambm no ficou fora disto e teve grande participao na
elaborao de regras.
Em 1978 foi escrito Orange Book, conhecido tambm como Trusted
Computer Evaluation Criteria por DoD. A verso final deste
documento foi impresso em dezembro de 1985.

Normas de Segurana da Informao

Surgimento das Normas

O Orange Book considerado como marco inicial de um processo

mundial de busca de medidas que permitem a um ambiente
computacional ser qualificado como seguro.
O "Orange Book" permite especificar o que deve ser implementado e
fornecido por um software, para que ele seja classificado em um dos
nveis de "segurana" pr-estipulados.

Normas de Segurana da Informao

Surgimento das Normas

Este esforo foi liderado pela "International Organization for

Standardization (ISO). No final do ano de 2000, o primeiro resultado
desse esforo foi apresentado, que a norma internacional de
Segurana da Informao "ISO/IEC-17799:2000", a qual j possui
uma verso aplicada aos pases de lngua portuguesa, denominada
"NBR ISO/IEC-17799.

Normas de Segurana da Informao

Desenvolvimento de Padres

Porque o desenvolvimento de padres e normas de segurana

so importantes?
Em que forma tais procedimentos ajudam em reduo e
controle das vulnerabilidades existentes?

Normas de Segurana da Informao

NBR/ISO IEC 17799

A ISO 17799 um conjunto de recomendaes para gesto da SI para

uso de implementao ou manuteno da segurana em suas
organizaes.
Providencia uma base comum para o desenvolvimento de normas de
segurana organizacional e das prticas efetivas de gesto da
segurana.
A ISO 17799 atua em segurana da informao considerando
tecnologia, processos e pessoas. Esta norma publicada no Brasil pela
ABNT com o cdigo NBR ISO 17799.

10

Normas de Segurana da Informao

Breve histrico da ISO 17799

A Associao Britnica de Normas tinha 2 normas referentes

segurana de sistemas de informao: a BS 7799-1 e a BS 77992.
A BS 7799-1 foi submetida ao ISO e aprovada (com problemas),
vindo a ser a ISO 17799.
A BS 7799-2 se referia especialmente ao processo de certificao
do aspecto de segurana em organizaes e no foi submetida
para o ISO.

11

Normas de Segurana da Informao

Diversas partes da ISO 17799
1. Objetivo da norma
2. Termos e definies
3. Poltica de segurana
4. Segurana organizacional
5. Classificao e controle
dos ativos de informao
6. Segurana de pessoas

7. Segurana fsica e do ambiente

8. Gerenciamento de operaes e
comunicaes
9. Controle de acesso
10. Desenvolvimento de sistemas.
11. Gesto de continuidade de
negcios
12. Conformidade

12

Normas de Segurana da Informao

ISO 17799 Segurana Organizacional

Infraestrutura de segurana: indica que uma estrutura

organizacional deve ser criada para iniciar e implementar as
medidas de segurana.
Segurana no acesso de prestadores de servio: garantir a
segurana dos ativos acessados por prestadores de servios.
Segurana envolvendo servios terceirizados: deve-se incluir
nos contratos de terceirizao de servios computacionais clusulas
para segurana.

13

Normas de Segurana da Informao

ISO 17799 Segurana de Pessoas

Segurana na definio e Recursos de Trabalho: Devem ser

includas as preocupaes de segurana no momento da contratao
de pessoas. Verificar os critrios de segurana no processo de
seleo. Funcionrios devem assinar o acordo de confidencialidade.
Treinamento dos usurios: educao, conscientizao e
treinamento referentes a segurana.
Mecanismos de Incidente de Segurana: Deve existir mecanismos
para funcionrios poderem reportar possveis falhas.
Processo disciplinar formal: Deve haver um processo disciplinar
formal para funcionrios que violaram os procedimentos de
segurana.

14

Normas de Segurana da Informao

ISO 17799 Segurana Fsica e de Ambiente

reas de segurana: prevenir acesso no autorizado, dano e

interferncia nas instalaes fsicas. Isso inclui: definir um permetro de
segurana, controles de entrada fsica, etc.
Segurana de equipamento: convm proteger equipamentos
fisicamente de ameaas e perigos ambientais. Isso inclui roubo, fogo, e
outros perigos ambientais, proteo contra falta de energia, segurana do
cabeamento, definio de poltica de manuteno, proteo a
equipamentos fora das instalaes.
Controles gerais: Por exemplo proteo de tela com senha para evitar
que informao fique visvel em tela, deve-se ter uma poltica quanto a
deixar papis na impressora por muito tempo, etc.

15

Normas de Segurana da Informao

ISO 17799 Controle de Acesso (1)

Gerenciamento de acesso dos usurios:

Registro do usurio: ID nica para cada usurio, pedir assinatura em termo de

responsabilidade, remover usurio assim que o funcionrio sair da empresa .
Gerenciamento de privilgios: aqui entra o controle de acesso baseado em
papis; basicamente, se recomenda que usurios tenham apenas os
privilgios necessrios para fazer seu trabalho.
Gerenciamento de senhas: termo de responsabilidade deve afirmar que senha
secreta e no deve ser divulgada, senhas temporrias devem funcionar
apenas uma vez.
Anlise crtica dos direitos de acesso do usurio: deve-se analisar os direitos
de acesso dos usurios com freqncia de 6 meses ou menos.

16

Normas de Segurana da Informao

ISO 17799 Controle de Acesso (2)

Responsabilidades dos usurios:

Senhas: segundo norma, usurio deve zelar pela sua senha e
criar uma senha considerada aceitvel (mnimo de 6
caracteres).
Equipamentos sem monitorao: Usurios deve tomar os
cuidados necessrios ao deixar um equipamento sem
monitoramento, com sees abertas.

17

Normas de Segurana da Informao

ISO 17799 Controle de Acesso (3)

Controle de Acesso ao SO

Controle de acesso ao sistema operacional: Identificao

automtica de terminal: nos casos onde deve-se conhecer onde
um usurio efetua logon.
Procedimentos de entrada no sistema (logon). Sugestes
como: limitar o nmero de tentativas erradas para o logon e no
fornecer ajuda no processo de logon, entre outros.
Identificao de usurios: a no ser em casos excepcionais cada
usurio deve ter apenas um ID. Considerar outras tecnologias de
identificao e autenticao: smart cards, autenticao biomtrica.
Sistema de Gerenciamento de Senhas: Contm os atributos
desejveis para sistema que l, armazena e verifica senhas.

18

Normas de Segurana da Informao

ISO 17799 Controle de Acesso (4)

Controle de Acesso s aplicaes

Registro de Eventos: Trilha de auditoria registrando excees e
outros eventos de segurana devem ser armazenados por um
tempo adequado.
Monitorao
do Uso do Sistema: Os procedimentos do
monitorao do uso do sistema devem ser estabelecidos. Uma
anlise crtica dos logs deve ser feita de forma peridica.
Sincronizao dos Relgios: Para garantir a exatido dos
registros de auditoria.

19

Normas de Segurana da Informao

ISO 17799 Controle de Acesso (5)

Computao Mvel

Usurios
de
equipamentos
mveis
devem
ser
conscientizados das prticas de segurana, incluindo
senhas, criptografia entre outros.

20

Normas de Segurana da Informao

ISO 17799 Gesto de Continuidade de Negcios

Deve-se desenvolver planos de contingncia para caso de falhas

de segurana, desastres, perda de servio, etc.
Estes planos devem ser documentados, e o pessoal envolvido
treinado. Os planos de contingncia devem ser testados
regularmente, pois tais planos quando concebidos teoricamente,
podem apresentar falhas devido a pressupostos incorretos,
omisses ou mudana de equipamento ou pessoal.

21

Normas de Segurana da Informao

ISO 17799 Componentes do Plano de Continuidade de
Negcios

condies para a ativao do plano;

procedimentos de emergncia a serem tomados;
procedimentos de recuperao para transferir atividades essenciais
para outras localidades, equipamentos, programas, entre outros;
procedimentos de recuperao quando do estabelecimento das
operaes;
programao de manuteno que especifique quando e como o plano
dever ser testado;
desenvolvimento de atividades de treinamento e conscientizao do
pessoal envolvido;
designao de responsabilidades.

22

Normas de Segurana da Informao

ISO 17799 Conformidade

Conformidade com Requisitos Legais: Para evitar a violao de

qualquer lei, estatuto, regulamentao ou obrigaes contratuais.
Evitar a violao de Direitos Autorais dos aplicativos.
Anlise Crtica da Poltica de Segurana e da Conformidade
Tcnica.
Consideraes referentes Auditoria de Sistemas.

23

Normas de Segurana da Informao

BS 7799-2

O BS 7799-2 a segunda parte do padro de segurana ingls

cuja primeira parte virou o ISO 17799.
O BS 7799-2 fala sobre certificao de segurana de
organizaes; isto , define quando e como se pode dizer que
uma organizao segue todo ou parte do ISO 17799 (na verdade
do BS 7799-1).

24

Normas de Segurana da Informao

ISO 15408
Vrios pases (EUA, Canad, Frana, Inglaterra, Alemanha, etc) estavam
desenvolvendo seus padres para sistemas seguros (mas no militares).
Nos EUA o padro se chamava TCSEC (Trusted Computer System
Evaluation Criteria), no Canad CTCPEC, etc. Os pases europeus
decidiram unificar seus critrios, criando o Information Technology Security
Evaluation Criteria (ITSEC). Mais tarde (1990) houve a unificao do padro
europeu e norte americano, criando- se assim o Common Criteria (CC). A
verso 2.1 do CC se tornou o ISO 15408.

25

Normas de Segurana da Informao

ISO 15408

um conjunto de trs volumes:

Primeiro discute definies e metodologia;
Segundo lista um conjunto de requisitos de segurana;
Terceiro fala de metodologias de avaliao.
Diferente do 17799, 15408 um CC para definir e avaliar
requisitos de segurana de sistemas e no de organizaes.

26

Normas de Segurana da Informao

Viso Geral da famlia ISO 27000

Nmero: ISO IEC 27001.
Ttulo: Information Security Management Systems- Requirements.
Aplicao: Esta norma aplicvel a qualquer organizao,
independente do seu ramo de atuao, e define requisitos para
estabelecer, implementar, operar, monitorar, revisar, manter e melhorar
um Sistema de Gesto de Segurana da Informao. A ISO IEC 27001
a norma usada para fins de certificao e substitui a norma Britnica
BS7799-2:2002. Portanto, uma organizao que deseje implantar um
SGSI deve adotar como base a ISO IEC 27001.
Situao: Norma aprovada e publicada pela ISO em Genebra, em
15.10.2005. No Brasil, a ABNT publicou como Norma Brasileira NBR ISO
IEC 27001 no primeiro trimestre de 2006.
27

Normas de Segurana da Informao

Viso Geral da famlia ISO 27000

Nmero: ISO IEC 27002
Ttulo: Information Technology
Security Management.

- Code of practice for information

Aplicao: Norma aprovada e publicada pela ISO em Genebra, em

15.06.2005. No Brasil, a ABNT publicou como Norma Brasileira NBR ISO
IEC 17799 no dia 24 de agosto de 2005.
Situao: Norma aprovada e publicada pela ISO em Genebra, em
15.10.2005. No Brasil, a ABNT publicou como Norma Brasileira NBR ISO
IEC 27002 no primeiro trimestre de 2006.

28

Normas de Segurana da Informao

Viso Geral da famlia ISO 27000

Nmero: ISO IEC 1 st WD 27003.
Ttulo: Information Security Management Systems-Implementation
Guidance.
Aplicao: Este projeto de norma tem como objetivo fornecer um guia
prtico para implementao de um Sistema de Gesto da Segurana da
Informao, baseado na ISO IEC 27001.
Situao: Este projeto de norma encontra-se em um estgio de
desenvolvimento, denominado de WD-Working Draft. A previso para
publicao como norma internacional 2008-2009.

29

Normas de Segurana da Informao

Viso Geral da famlia ISO 27000

Nmero: ISO IEC 2nd WD 27004.
Ttulo: Information Security Management-Measurements.
Aplicao: Este projeto de norma fornece diretrizes com relao a
tcnicas e procedimentos de medio para avaliar a eficcia dos
controles de segurana da informao implementados, dos processos
de segurana da informao e do Sistema de Gesto da Segurana da
Informao.
Situao: Este projeto de norma encontra-se em um estgio onde vrios
comentrios j foram discutidos e incorporados ao projeto. A previso
para publicao como norma internacional 2008-2009.

30

Normas de Segurana da Informao

Viso Geral da famlia ISO 27000

Nmero: ISO IEC 2nd CD 27005.
Ttulo: Information Security Management Systems- Information Security
Risk Management.
Aplicao: Este projeto de norma fornece diretrizes para o
gerenciamento de riscos de segurana da informao.
Situao: Este projeto de norma j se encontra em um estgio mais
avanado, pois vem sendo discutido h mais de dois anos. A previso
para publicao como norma internacional 2007. (Publicada em julho
de 2008).

31

Normas de Segurana da Informao

Viso Geral da famlia ISO 27000
Nmero: ISO IEC 2nd CD 27006.
Ttulo: Information technology -- Security techniques -- Requirements for
bodies providing audit and certification of information security
management systems.
Aplicao: Norma de requisitos para a credibilidade de organizaes
que oferecem servios de certificao de sistemas de gesto da SI.
Situao: Publicada em 2007.

32