ESPECIALIZAÇÃO EM

SEGURANÇA DA INFORMAÇÃO

Tópicos Avançados em Segurança de

Sistemas Computacionais 1

Prof. MSc Rodrigo Vilela da Rocha

Agenda • Apresentação da disciplina

• Apresentação Pessoal

• Métodos de Avaliação

• Cronograma

• Método de estudo

• Introdução

• Padrões

• HSM

• Módulos criptográficos;

• Cartões inteligentes;

• Tokens criptográficos;

• Biometria

2

Apresentação da disciplina:

TÓPICOS AVANÇADOS EM SEGURANÇA DE

SISTEMAS COMPUTACIONAIS 1:

• Padrões em segurança da Informação;

• HSMs (Módulo de Segurança de Hardware);

• Módulos criptográficos;

• Cartões inteligentes;

• Tokens criptográficos;

• Biometria.

3

Métodos de Avaliação

4

Introdução

5

Segurança

6

Segurança da Informação

A informação, independente de seu

formato, é um ativo importante da

organização. Por isso, os ambientes e

os equipamentos utilizados para seu

processamento, seu armazenamento e

sua transmissão devem ser protegidos.

A informação tem valor para a

organização.

7

Segurança da Informação

• É o conjunto de orientações, normas,

procedimentos, politicas e demais ações que tem

por objetivo proteger o recurso informação,

possibilitando que o negócio da organização seja

realizado e a sua missão seja alcançada.

8

Princípios da Segurança

9

Confidencialidade

Integridade

Disponibilidade

Segurança

Proteger a informação significa garantir:

• Disponibilidade: a informação deve estar acessivel para

o funcionamento da organização e para o alcance de

seus objetivos e missão.

• Integridade: a informação deve estar correta, ser

verdadeira e não estar corrompida.

• Confiabilidade: a informação deve ser acessada e

utilizada exclusivamente pelos que necessitam dela para

a realização de suas atividades; para tanto, deve existir

uma autorização prévia.

10

Proteger a informação significa garantir:

• Legalidade: o uso da informação deve estar de acordo

com as leis aplicáveis, regulamentos, licenças e

contratos, bem como com o princípios éticos seguidos

pela organização.

• Auditabilidade: o acesso e uso da informação devem ser

registrados, possibilitando a identificação de quem fez o

acesso e o que foi feito com a informação.

• Não repúdio de auditoria: o usuário que gerou a

informação (ex: e-mail) não pode negar o fato, pois

existem mecanismos que garantem sua autoria

11

Para obter a SI:

Implementar controles para garantir que os objetivos de segurança sejam alcançados

12

Porque SI é necessária?

- Confidencialidade, integridade e disponibilidade são essenciais para preservar o negócio

- A informação, processos, sistemas e redes são importantes ativos para os negócios

- As informações são constantemente “ameaçadas”

- Dependência dos SIs gera vulnerabilidades

- Quase nada é projetado para ser seguro

13

Requisitos de segurança

• Avaliar os riscos dos ativos

• vulnerabilidades;

• ameaças;

• probabilidade de incidentes;

• impacto ao negócio.

• As organizações devem atender:

• legislação vigente;

• estatutos;

• regulamentação;

• cláusulas contratuais.

14

Padrões em segurança da Informação

15

Adotado (Menezes, 2008)

Norma BS 7799 (BS = British Standard, Padrão Britânico)

• BS-7799-1:2000 – Primeira parte

• Publicada em 1995 pela primeira vez

• Versão atual de 2000

• Código de prática para a gestão da segurança

da informação

• Objetivo da organização: conformidade

16

Norma BS 7799 (BS = British Standard, Padrão Britânico)

• BS-7799-2:2002 – Segunda parte

• Publicada em 1998 pela primeira vez

• Versão atual de 2002

• Especificação de sistemas de gerenciamento

de segurança da informação (ISMS –

information security management system)

• Objetivo da organização: certificação

17

Norma ISO/IEC 17799

• Internacionalização da norma BS 7799

• ISO/IEC 17799:2000, substitui a norma britânica

• Inclui 127 controles e 36 objetivos de controle

agrupados em 10 áreas de controle

• Controles baseados na experiência das organizações e

melhores práticas

• ISO/IEC 17799:2005: disponível maio/junho 2005

18

Norma NBR 17799

• NBR ISO/IEC 17799

• Versão brasileira da norma ISO, homologada pela ABNT em

setembro de 2001

• Tradução literal da norma ISO

• www.abnt.org.br

• No Brasil, deve-se usar a norma brasileira

• As normas tem que ser pagas • http://www.abntcatalogo.com.br/

• Ex: http://www.abntcatalogo.com.br/norma.aspx?ID=306580 R$ 113,00

19

Vantagens

• Proteção das informações confidenciais da

Empres/Instituição

• Metodologia estruturada de segurança que está

alcançando reconhecimento internacional

• Conformidade com regras dos governos para o

gerenciamento de riscos

• Redução no risco de ataques de hackers

• Recuperação de ataques mais fácil e rápidas

20

Vantagens

• Melhores práticas de privacidade e conformidade

com leis (normas) de privacidade

• Maior confiança mútua entre parceiros comerciais

• Custos menores para seguros de riscos

computacionais

21

NORMA ISO/IEC 17799

• O objetivo da norma é o de garantir a continuidade dos

negócios por meio da implantação de controles e reduzir as

possibilidades de perda das informações da organização.

• Compilação de recomendações para melhores práticas de

segurança, que podem ser aplicadas por qualquer tipo de

organização.

• Padrão flexível.

• Neutra com relação à tecnologia.

22

Histórico • Em 1987 o departamento de comércio e indústria do Reino

Unido (DTI) criou um centro de segurança de informações, o

CCSC (Commercial Computer Security Centre).

• O CCSC teve como objetivo de criar uma norma de

segurança das informações para o Reino Unido.

• Desde 1989 vários documentos preliminares foram

publicados, e em 1995 surgiu a BS7799 (British Standart

7799).

• Esse documento foi disponibilizado em duas partes para

consulta pública, a 1ª parte em 1995 e a 2ª parte em 1998.

23

Histórico

• Após incorporar diversas sugestões e alterações

(01/12/2000), a BS7799 ganhou status internacional com sua

publicação na forma da ISO/IEC 17799:2000.

• A ABNT homologou a versão brasileira da norma (setembro

de 2001), denominada NBR ISO/IEC 17799.

• Em 24 de abril de 2003 foi realizado um encontro em

Quebec, no qual uma nova versão da norma revisada foi

preparada. Essa nova versão da ISO/IEC 17799 foi lançada

2005.

24

Histórico

• Em outubro de 2005, British Standard BS 7799 parte 2

(BS7799-2) foi adotado pela ISO e re-identificado,

iniciando a nova série 27000 de padrões internacionais

para segurança da informação,

• lançado como norma ISO/IEC 27001:2005.

• De 2001 a 2004, a norma internacional ISO 17799

(BS7799-1) passou por ampla revisão, e originou a nova

versão ISO/IEC 17799:2005 publicada em junho de 2005.

• E em julho de 2007, o padrão 17799:2005 foi renumerado

para 27002:2005 (através do ISO/IEC

17799:2005/Cor.1:2007), integrando a nova série 27000

25

NBR ISO/ IEC 17799:2005

• Tecnologia de Informação – Técnicas de Segurança –

Código de prática para a gestão da segurança da

informação

• Possui onze seções de controle (macro-controles).

• Cada um destes controles é subdividido em vários outros

controles (a norma possui um total de 137 controles de

segurança).

• http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=50297

• https://www.iso.org/obp/ui/#iso:std:iso-iec:27002:ed-1:v1:en

26

1. Política de Segurança da Informação

• Documento

• Analise crítica das políticas

27

2. Infra-estrutura de segurança

• Comprometimento da Direção com a segurança

• Coordenação do SGSI

• Atribuições de responsabilidades para a segurança da informação

• Processos de autorização.

• Acordos de confidencialidade.

• Contrato com autoridades

• Contrato com grupos especiais.

• Analise critica independente

• Partes externas

• Identificação dos riscos relacionados com partes externas.

• Identificando a S.I. quando tratando com os clientes.

• Segurança nos acordos com terceiros

28

3. Controle e Classificação de Ativos

• Gestão de Ativos

• Responsabilidade pelos ativos

• Classificação da Informação

29

4. Segurança em Recursos Humanos

• Antes da contratação

• Durante a contratação

• Encerramento ou mudança de contratação

30

5. Segurança Física e do Ambiente

• Áreas Seguras

• Segurança dos Equipamentos

31

6. Gerenciamento das Operações e comunicações

• Procedimentos e Responsabilidades Operacionais

• Gerenciamento de Serviços Terceirizados

• Planejamento e aceitação dos Sistemas

• Proteção contra Códigos Maliciosos e Códigos móveis

• Cópias de Segurança

• Ger. Da Segurança da Rede

• Manuseio de mídias

• Troca de informações

• Serviços de Comercio Eletrônico

• Monitoramento

32

7. Controles de acessos

• Requisitos de negócio para controle de acesso

• Gerenc.de Acessos de Usuário

• Responsabilidades dos Usuários

• Controle de acessos a rede

• Controle de acesso ao Sistema Operacional

• Controle de acesso à aplicativos e à informação

• Computação Móvel e Trab.Remoto

33

8. Aquisição Desenvolvimento e

Manutenção de Sistemas de Informação

• Requisitos de Seguranças de Sistemas de

Informação

• Processamento Correto de Aplicações

• Controles Criptográficos

• Segurança dos Arquivos do Sistema

• Segurança em processos de Desenvolvimento e

de Suporte

• Gestão de Vulnerabilidades Técnicas

34

9. Gestão de incidentes

• Notificação de Fragilidade e eventos de

segurança da Informação

• Gestão de Incidente de Segurança da

Informação e Melhorias

35

10. Gestão da continuidade dos

negócios

• Gestão da Continuidade do Negócio, Relativos à

segurança da Informação

36

11. Conformidade

• Conformidade com Requisitos Legais.

• Conformidade com Normas, Políticas do SGSI e Conformidade Técnica

• Conformidade quanto à Auditoria de Sistemas de Informação

37

Checklist ISO 17799

• Elaborado por SANS (System Administration,

Networking and Security Institute) USA –

• mais de 156 mil profissionais de segurança,

auditores, administradores de sistemas e redes.

• Direcionado aos profissionais de TI e Segurança da

Informação que necessitam auditar o nível de

segurança de suas empresas.

• http://www.sans.org/score/checklists/ISO_17799_checklist.pdf

Versão não-oficial em PT: • http://www.linuxsecurity.com.br/info/general/iso17799.checklist.pt-BR.pdf

38

Algumas Considerações

• A SI está relacionada com o faturamento de uma empresa,

sua imagem e sua reputação.

• As consequências de incidentes de segurança podem ser

desastrosas, mas podem ser evitadas.

• A ISO17799 ampara os mais diversos tópicos da área de

segurança e possui um grande número de controles e

requerimentos.

39

Algumas Considerações

• A norma é flexível e genérica.

• A implantação da Norma em determinado ambiente

não é tão simples e envolve muitos procedimentos.

• Pode ser considerada a norma mais importante

para a gestão da segurança da informação.

• Estabelece uma linguagem internacional comum

para todas as organizações do mundo.

• É uma ferramenta essencial para empresas de

qualquer tipo ou tamanho.

40

ISO 27001

A norma ISO 27001 é o padrão e a referência Internacional

para a gestão da Segurança da informação, assim como o

padrão ISO 9001 que é a referência Internacional para a

certificação de gestão em Qualidade.

A adopção da norma ISO 27001 serve para que as

organizações adoptem por um modelo adequado de

estabelecimento, implementação, operação,

monitorização, revisão e gestão de um Sistema de Gestão

de Segurança da Informação

41

http://www.abntcatalogo.com.br/norma.aspx?ID=306580

ISO 27001

• Este Sistema de Gestão de Segurança da Informação

(SGSI) é, de acordo com os princípios da norma ISO

27001, um modelo completo de abordagem à Segurança

e independente de marcas e fabricantes tecnológicos.

• É completo porque acaba por ser uma abordagem 360º à

Segurança da Informação, trata de múltiplos temas tais

como as telecomunicações, segurança aplicacional,

proteção do meio físico, recursos humanos, continuidade

de negócio, licenciamento, etc.

42

http://www.iso27001standard.com/pt-br/ferramentas-

gratuitas/duracao-da-implementacao Calculadora:

Diferenças entre 17799 e 27001

• ISO 17799:

Código de práticas para a gestão da segurança da

informação (São Recomendações)

• certificação BS 7799 (part1)

• ISO 27001:

Sistemas de Gestão de Segurança da Informação –

Requisitos (são obrigatórias)

• certificação ISO 27001

• Podemos dizer que á ISO 17799 está contida na ISO 27001

43

ISO/IEC 15408

• É um padrão internacional conhecido como Common

Criteria (CC – Critérios Comuns) para segurança de

computadores.

• Padrão utilizado para definir regras de segurança lógica

das aplicações e para o desenvolvimento de aplicações

seguras.

• Método para avaliação da segurança de ambientes de

desenvolvimento de sistemas.

44

ISO/IEC 15408

• Framework em que os usuários de sistemas

computacionais especificam seus requisitos funcionais de

segurança e garantia.

• Padroniza de uma forma rigorosa o processo de

especificação, implementação e avaliação de um produto

de segurança computacional.

45

FIPS PUB 140

• FEDERAL INFORMATION PROCESSING STANDARDS

PUBLICATION

• Nome do Padrão:

• Requisitos de segurança para módulos criptográficos (FIPS PUB 140-2).

46

http://csrc.nist.gov/publications/fips/fips140-2/fips1402.pdf

FIPS PUB 140

• O Padrão especifica os requisitos de segurança que serão atendidos

por um módulo criptográfico utilizado dentro de um sistema de

segurança que protege informações sensíveis, mas não classificados.

• A norma prevê quatro níveis crescentes, qualitativos de segurança:

• Nível 1 (utilizado em produtos exclusivos de software criptográficos)

• Nível 2 (requer autenticação pelo cargo do usuário, requer a capacidade de detectar

intrusões físicas por sistemas de bloqueio físicos ou selos de segurança)

• Nível 3 (adiciona resistência à invasão física para fins de desmontagem ou

modificação, torna os ataques mais difíceis, o dispositivo deve ser capaz de eliminar

os parâmetros de segurança críticas e proteção eficaz e gerenciamento de chaves de

criptografia

• Nível 4 (inclui proteção contra intrusão avançada e é projetado para produtos que

operam em ambientes fisicamente desprotegidos)

• são destinados a cobrir a ampla escala de aplicações e ambientes que

podem ser utilizados nos módulos criptográficos.

47

FIPS PUB 140 • Os requisitos de segurança cobre áreas relacionadas ao design seguro e

implementação de um módulo criptográfico. Estas áreas incluem:

• a especificação do módulo criptográfico,

• portas do módulo de criptografia e interfaces;

• funções,

• serviços e autenticação;

• modelo de estado finito;

• segurança física;

• ambiente operacional;

• gerenciamento de chaves de criptografia;

• interferência eletromagnética / compatibilidade eletromagnética (EMI /

EMC);

• auto-testes;

• garantia do projeto;

• e mitigação de outros ataques

48

CMVP

• O Programa de Validação de módulo criptográfico (CMVP) valida

módulos criptográficos (FIPS) 140-2 e outros padrões baseados em

criptografia.

• O CMVP é um esforço conjunto entre o NIST e Communications

Security Establishment (CSE) do Governo do Canadá.

• O objetivo do CMVP é promover o uso de módulos de criptografia

validados e fornecer órgãos federais com uma métrica de segurança

para uso em equipamentos que contenham módulos criptográficos

validados na aquisição.

49