2. material complementar - segurança da informação .doc
TRANSCRIPT
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
1/51
SEGURANA DA INFORMAO
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
2/51
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
3/51
ATRIBUTOS DE UMA INFORMAO SEGURA
D
DISPONIBILIDADEPropriedade de que a informao esteja acessvel e utilizvel sob demanda por uma pessoa fsica ou determinado sistema, rgo ouentidade.
Facilidade de recuperao ou acessibilidade de dados e informaes.propriedade que garante que a informao esteja sempre disponvel para o uso legtimo, ou seja, por aqueles usurios autorizados peloproprietrio da informao
I
INTEGRIDADEPropriedade de que a informao no foi modificada ou destruda de maneira no autorizada ou acidental;Incolumidade de dados ou informaes na origem, no trnsito ou no destino.propriedade que garante que a informao manipulada mantenha todas as caractersticas originais estabelecidas pelo proprietrio da
informao, incluindo controle de mudanas e garantia do seu ciclo de vida (nascimento,manuteno e destruio)
C
CONFIDENCIALIDADEPropriedade de que a informao no esteja disponvel ou revelada a pessoa fsica, sistema, rgo ou entidade no autorizado ecredenciado.propriedade que limita o acesso a informao to somente s entidades legtimas, ou seja, quelas autorizadas pelo proprietrio dainformao.
AAUTENTICIDADEPropriedade de que a informao foi produzida, expedida, modificada ou destruda por uma determinada pessoa fsica, ou por umdeterminado sistema, rgo ou entidade.Asseverao de que o dado ou informao so verdadeiros e fidedignos tanto na origem quanto no destino.
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
4/51
Segurana da Informao
Proteo dos sistemas de informao contra anegao de servio a usurios autorizados, assim
como contra a intruso e a modificaodesautorizada de dados ou informaes,armazenados em processamento ou em trnsito,abrangendo, inclusive, a segurana dos recursos
humanos, da documentao e do material, das rease instalaes das comunicaes e computacional,
assim como as destinadas a prevenir, detectar, detere documentar eventuais ameaas a seu
desenvolvimento.
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
5/51
DECRETO 3.505/2000 Institui a Poltica de Segurana da Informao nos
rgos e entidades da Administrao Pblica Federal. PRESSUPOSTOS:
assegurar a garantia ao direito individual e coletivo das pessoas, inviolabilidade da sua intimidade e ao sigilo da correspondncia e
das comunicaes, nos termos previstos na Constituio; proteo de assuntos que meream tratamento especial; capacitao dos segmentos das tecnologias sensveis; uso soberano de mecanismos de segurana da informao, com o
domnio de tecnologias sensveis e duais;
criao, desenvolvimento e manuteno de mentalidade desegurana da informao; capacitao cientfico-tecnolgica do Pas para uso da criptografia
na segurana e defesa do Estado; e conscientizao dos rgos e das entidades da Administrao
Pblica Federal sobre a importncia das informaes processadas esobre o risco da sua vulnerabilidade;
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
6/51
OBJETIVOS: dotar os rgos e as entidades da Administrao Pblica Federal de instrumentosjurdicos, normativos e organizacionais que os capacitem cientfica, tecnolgica e
administrativamente a assegurar a confidencialidade, a integridade, a autenticidade,o no-repdio e a disponibilidade dos dados e das informaes tratadas, classificadase sensveis;
eliminar a dependncia externa em relao a sistemas, equipamentos, dispositivos eatividades vinculadas segurana dos sistemas de informao;
promover a capacitao de recursos humanos para o desenvolvimento decompetncia cientfico-tecnolgica em segurana da informao; estabelecer normas jurdicas necessrias efetiva implementao da segurana da
informao; promover as aes necessrias implementao e manuteno da segurana da
informao; promover o intercmbio cientfico-tecnolgico entre os rgos e as entidades da
Administrao Pblica Federal e as instituies pblicas e privadas, sobre asatividades de segurana da informao; promover a capacitao industrial do Pas com vistas sua autonomia no
desenvolvimento e na fabricao de produtos que incorporem recursoscriptogrficos, assim como estimular o setor produtivo a participarcompetitivamente do mercado de bens e de servios relacionados com a seguranada informao; e
assegurar a interoperabilidade entre os sistemas de segurana da informao.
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
7/51
DECRETO 4.553/2002 Dispe sobre a salvaguarda de dados, informaes,documentos e materiais sigilosos de interesse da
segurana da sociedade e do Estado, no mbito daAdministrao Pblica Federal, bem como das reas einstalaes onde tramitam.
So considerados originariamente sigilosos, e sero comotal classificados, dados ou informaes cujo conhecimentoirrestrito ou divulgao possa acarretar qualquer risco segurana da sociedade e do Estado, bem como aqueles
necessrios ao resguardo da inviolabilidade da intimidadeda vida privada, da honra e da imagem das pessoas. O acesso a dados ou informaes sigilosos restrito e
condicionado necessidade de conhecer.
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
8/51
CLASSIFICAO DOS SIGILOSOSULTRA-SECRETOS
SECRETOS
CONFIDENCIAIS
RESERVADOS
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
9/51
ULTRA-SECRETOS dados ou informaes referentes: soberania e integridade territorial
nacionais, a planos e operaes militares, s relaes internacionais do Pas, a projetos de pesquisa e desenvolvimento cientfico e
tecnolgico de interesse da defesa nacional a programas econmicos, cujo conhecimento no-
autorizado possa acarretar danoexcepcionalmente grave segurana dasociedade e do Estado.
Prazo de durao (todos so prorrogveis): 30 anos
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
10/51
A classificao no grau ultra-secreto decompetncia das seguintes autoridades:
Presidente da Repblica; Vice-Presidente da Repblica; Ministros de Estado e autoridades com as mesmas
prerrogativas; Comandantes da Marinha, do Exrcito e da
Aeronutica; Chefes de Misses Diplomticas e Consularespermanentes no exterior.
Excepcionalmente essa competncia pode serdelegada pela autoridade responsvel a agente pblicoem misso no exterior.
Dados ou informaes classificados no grau de sigiloultra-secreto somente podero ser reclassificados oudesclassificados, mediante deciso da autoridaderesponsvel pela sua classificao.
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
11/51
SECRETOS dados ou informaes referentes: a sistemas, instalaes, programas, projetos, planos ou
operaes de interesse da defesa nacional, a assuntos diplomticos e de inteligncia
a planos ou detalhes, programas ou instalaesestratgicos, cujo conhecimento no-autorizado possaacarretar dano grave segurana da sociedade e doEstado.
Atribuio das autoridades que exeram funes dedireo, comando, chefia ou assessoramento, deacordo com regulamentao especfica de cada rgoou entidade da Administrao Pblica Federal;
Prazo de durao: 20 anos;
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
12/51
CONFIDENCIAIS
dados ou informaes: que, no interesse do Poder Executivo e daspartes, devam ser de conhecimento restrito e cujarevelao no-autorizada possa frustrar seus
objetivos ou acarretar dano segurana dasociedade e do Estado Prazo de durao: mximo de 10 anos.
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
13/51
RESERVADOS dados ou informaes cuja revelao no-
autorizada possa comprometer planos,operaes ou objetivos neles previstos oureferidos.
Prazo de durao: mximo de 5 anos.
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
14/51
DA RECLASSIFICAO E DADESCLASSFICAO Para os graus secreto, confidencial e reservado,
poder a autoridade responsvel pelaclassificao ou autoridade hierarquicamentesuperior competente para dispor sobre oassunto, respeitados os interesses da segurana
da sociedade e do Estado, alter-la ou cancel-la,por meio de expediente hbil de reclassificaoou desclassificao dirigido ao detentor dacustdia do dado ou informao sigilosos.
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
15/51
DA GESTO DE DADOS OU INFORMAES
SIGILOSOS Para os graus secreto, confidencial e reservado, poder a autoridade responsvel pelaclassificao ou autoridade hierarquicamente superior competente para dispor sobreo assunto, respeitados os interesses da segurana da sociedade e do Estado, alter-laou cancel-la, por meio de expediente hbil de reclassificao ou desclassificaodirigido ao detentor da custdia do dado ou informao sigilosos;
Podero ser elaborados extratos de documentos sigilosos, para sua divulgao ouexecuo; O acesso a dados ou informaes sigilosos em rgos e entidades pblicos e
instituies de carter pblico admitido: I - ao agente pblico, no exerccio de cargo, funo, emprego ou atividade pblica, que
tenham necessidade de conhec-los; e II - ao cidado, naquilo que diga respeito sua pessoa, ao seu interesse particular ou do
interesse coletivo ou geral, mediante requerimento ao rgo ou entidade competente. Todo aquele que tiver conhecimento de assuntos sigilosos fica sujeito s sanesadministrativas, civis e penais decorrentes da eventual divulgao dos mesmos.
Os dados ou informaes sigilosos exigem que os procedimentos ou processos quevierem a instruir tambm passem a ter grau de sigilo idntico.
Sero liberados consulta pblica os documentos que contenham informaespessoais, desde que previamente autorizada pelo titular ou por seus herdeiros.
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
16/51
INCIDENTE OU QUEBRA DE
SEGURANAQualquer evento adverso,
confirmado ou sob suspeita,relacionado segurana de
sistemas de computao ou deredes de computadores.
TRATAMENTO DE INCIDENTE
Atividade que tem como funoreceber, analisar e responder snotificaes e as atividades
relacionadas a incidentes desegurana.
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
17/51
Vulnerabilidade
Vulnerabilidade definida como umafalha no projeto, implementao ouconfigurao de um softwareou sistema
operacional que, quando explorada porum atacante, resulta na violao dasegurana de um computador.
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
18/51
VULNERABILIDADESFSICAS - vulnerabilidades das instalaes fsicas que servem de suporte ao sistemas de informao. Ex.:instalaes prediais fora do padro, falta de extintores etc.
NATURAIS - Ex.: enchentes, tempestades, aumento de umidade e temperatura.
HARDWARE - falha nos recursos tecnolgicos resultantes de desgastes ou obsolncia dos equipamentos.
SOFTWARE - erro de instalao e configurao do software podem acarretar acessos indevidos a sistemas,vazamento de informaes, perda de dados ou indisponibilidade do recurso quando necessrio.
MDIAS - discos, fitas e relatrios impressos que registram os dados podem ser perdidos ou danificados demodo que no haja possibilidade de sua recuperao.
COMUNICAO - acessos no autorizados ou perda de comunicao.
HUMANAS - esto relacionadas a falta de treinamento, compartilhamento de informaes confidenciais,no execuo de rotinas de segurana, erros ou omisses.
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
19/51
HACKER Indivduos maliciosos, em geral com profundo
conhecimento tcnico, que agem com a inteno deviolar sistemas de informao, burlando sistemas desegurana existentes.
Os ataques so as tentativas, feitas por invasores,
de agredir a D-I-C-A de um sistema deinformaes.
Eles exploram as vulnerabilidades existentes nossistemas de informao.
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
20/51
VRUS um programa de computador malicioso criado para
gerar resultados indesejados, que se auto-disseminasem o conhecimento do usurio, contagiando oscomputadores que tiverem contato com ele.
Ele precisa de um programa executvel para nele seinstalar;
infecta o sistema, faz cpias de si mesmo e tenta seespalhar para outros computadores, utilizando-se dediversos meios.
Alguns vrus e outros programas maliciosos(incluindo o spyware) esto programados para re-infectar o computador mesmo depois de detectados eremovidos.
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
21/51
WORMS (vermes) so programas capazes de se autopropagar por meio de
redes. So muito parecidos com vrus, mas ao contrrio destes, no
necessitam ser explicitamente executados para se propagar. Enquanto um vrus infecta um programa e necessita deste
programa hospedeiro para se propagar, o Worm umprograma completo e no precisa de outro para se propagar. Um worm pode ser projetado para tomar aes maliciosas
aps infestar um sistema, alm de se autoreplicar, podedeletar arquivos em um sistema ou enviar documentos por
email. A partir disso, o worm pode tornar o computador infectado
vulnervel a outros ataques.
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
22/51
TROJAN (cavalo de tria) um invasor que no se reproduz. Ele se instala, geralmente via e-mail, e toda vez que o
computador ligado, o trojan automaticamente executado sem o conhecimento do usurio.
As aes maliciosas mais comuns so o furto desenhas e outras informaes como numero decartes de crdito.
Os trojans atuais so disfarados de programas
legtimos, embora, diferentemente de vrus ou deworms, no criam rplicasde si (e esse o motivopelo qual o Cavalo de Tria no considerado umvrus).
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
23/51
RootkitsA principal inteno dele se camuflar,
impedindo que seu cdigo seja encontrado porqualquer antivrus.
Um rootkit um trojan que busca se esconderde softwares de segurana e do usurioutilizando diversas tcnicas avanadas deprogramao.
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
24/51
Keyloggerregistrador do teclado; um programa de computador do tipo spywarecuja
finalidade monitorar tudo o que a vtima digita, afim de descobrir suas senhas de banco, nmeros de
carto de crdito e afins. Muitos casos de phishing, assim como outros tipos
de fraudes virtuais, se baseiam no uso de algum tipo
de keylogger, instalado no computador sem oconhecimento da vtima, que captura dados sensveise os envia a um hacker que depois os utiliza parafraudes.
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
25/51
BACKDOOR
Backdoor (tambm conhecido por Porta dosfundos) uma falha de segurana que podeexistir em um programa de computador ousistema operacional, que pode permitir a
invaso do sistema por um cracker para que elepossa obter um total controle da mquina.
Muitos crackers utilizam-se de um Backdoorpara instalar vrus de computador ou outrosprogramas maliciosos, conhecidos comomalware.
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
26/51
Spyware aplicativo ou programa espio consiste num programa automtico de
computador, que recolhe informaes sobreo usurio, sobre os seus costumes na
Internet e transmite essa informao a umaentidade externa na Internet, sem o seuconhecimento nem o seu consentimento.
Diferem dos cavalos de Tria por no teremcomo objetivo que o sistema do usurio sejadominado, seja manipulado, por uma
entidade externa, por um cracker.
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
27/51
Cdigos Maliciosos (Malware)
Cdigo malicioso ou Malware (Malicious Software) um termo genrico que abrange todos os tipos deprograma especificamente desenvolvidos paraexecutar aes maliciosas em um computador.
Na literatura de segurana o termo malwaretambm
conhecido por "softwaremalicioso". Alguns exemplos de malwareso:
vrus; worms;
backdoors; cavalos de tria; keyloggerse outros programas spyware; rootkits.
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
28/51
Phishing
uma forma de fraude eletrnica, caracterizadapor tentativas de adquirir informaessigilosas, tais como senhas e nmeros de carto
de crdito, ao se fazer passar como uma pessoaconfivel ou uma empresa enviando umacomunicao eletrnica oficial, como umcorreio ou uma mensagem instantnea.
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
29/51
PREVENO E COMBATE Atualizar o computador periodicamente; Antispywares- so programas utilizados para combater
spyware, keyloggers entre outros programas espies. Entreesses programas esto os: firewalls, antivrus entre outros.
Antivrus; Firewall - nome dado ao dispositivo de uma rede de
computadores que tem por objetivo aplicar uma poltica desegurana a um determinado ponto de controle da rede.Sua funo consiste em regular o trfego de dados entre
redes distintas e impedir a transmisso e/ou recepo deacessos nocivos ou no autorizados de uma rede paraoutra
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
30/51
ATAQUE DE NEGAO DE SERVIOS (DoS Denial of Service)
ocorre quando um nmero excessivamentegrande de comunicaes enviado depropsito a um computador parasobrecarregar sua capacidade de lidar com
elas. Os alvos deste tipo de ataque so oscomputadores de organizaes que os usampara prestar algum servio pela internet.
Nos ataques de negao de servio o atacanteutiliza umcomputador para tirar de operaoum servio ou computador conectado Internet.
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
31/51
DDoS - (Distributed Denial of Service) Constitui um ataque de negao de servio
distribudo, ou seja, um conjunto decomputadores utilizado para tirar deoperao um ou mais servios oucomputadores conectados Internet.
Normalmente estes ataques procuramocupar toda a banda disponvel para o acessoa um computador ou rede, causando grandelentido ou at mesmo indisponibilizando
qualquer comunicao com este computadorou rede.
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
32/51
SPAM
envio de grande volume de mensagens nosolicitadas por seus destinatrios. Ex.: propaganda de produtos, boatos, propostas de
ganhar dinheiro fcil etc.
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
33/51
Cookies
Cookies so pequenas informaes que os sitesvisitados por voc podem armazenar em seu browser. Estes so utilizados pelos sitesde diversas formas, tais
como:
guardar a sua identificao e senha quando voc vai deuma pgina para outra; manter listas de compras ou listas de produtos preferidos
em sitesde comrcio eletrnico; personalizar sites pessoais ou de notcias, quando voc
escolhe o que quer que seja mostrado nas pginas; manter a lista das pginas vistas em um site, para
estatstica ou para retirar as pginas que voc no teminteresse dos links.
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
34/51
ENGENHARIA SOCIAL O conceito de engenharia social que se tratade uma maneira de se obter informaes
confidenciais sobre determinada pessoa,equipamento, campanha ou empresa, sem o
uso da fora apenas com inteligncia, tcnica,perspiccia e persuaso.
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
35/51
Engenharia Social Nesse sentido, observa-se que a engenharia social possui uma
seqncia de passos na qual um ataque pode ocorrer: Coleta de informaes O hacker ou engenheiro social busca as
mais diversas informaes dos usurios como nmero de CPF,data de nascimento, nomes dos pais, manuais da empresa, etc.Essas informaes ajudaro no estabelecimento de uma relaocom algum da empresa visada.
Desenvolvimento de relacionamento O engenheiro socialexplora a natureza humana de ser confiante nas pessoas at quese prove o contrrio.
Explorao de um relacionamento O engenheiro social procuraobter informaes da vtima ou empresa como, por exemplo,
senha, agenda de compromissos, dados de conta bancria oucarto de crdito a serem usados no ataque.
Execuo do ataque O hacker ou engenheiro social realiza oataque a empresa ou vtima, fazendo uso de todas informaes erecursos obtidos.
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
36/51
COMO EVITAR? Educao e Treinamento Importante conscientizar as pessoas sobre o
valor da informao que elas dispem e manipulam, seja ela de uso pessoalou institucional. Informar os usurios sobre como age um engenheiro social.
Segurana Fsica Permitir o acesso a dependncias de uma organizaoapenas s pessoas devidamente autorizadas, bem como dispor defuncionrios de segurana a fim de monitorar entrada e sada da
organizao. Poltica de Segurana Estabelecer procedimentos que eliminem quaisquer
trocas de senhas. Por exemplo, um administrador jamais deve solicitar asenha e/ou ser capaz de ter acesso a senha de usurios de um sistema.Estimular o uso de senhas de difcil descoberta, alm de remover contas de
usurios que deixaram a instituio. Controle de Acesso Os mecanismos de controle de acesso tem o objetivo de
implementar privilgios mnimos a usurios a fim de que estes possamrealizar suas atividades. O controle de acesso pode tambm evitar queusurios sem permisso possam criar/remover/alterar contas e instalar
software danosos a organizao.
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
37/51
MEDIDAS PROTETIVAS
importante conhecer os mecanismos e medidas de proteocontra falhas e ameaas: MEDIDAS PREVENTIVAS: evitar que invasores violem os
mecanismos de segurana. Ex.: polticas de segurana,instrues e procedimentos de trabalho, as campanhas desensibilizao e conscientizao de usurios, uso de antivrus,
senhas, realizao de cpias de segurana etc. MEDIDAS DETECTVEIS: so aquelas que identificam a
ocorrncia de alguma vulnerabilidade. Ex.: sistemas dedeteco de intruso em redes, os alertas de segurana, ascmeras de vdeo, alarmes etc.
MEDIDAS CORRETIVAS: mecanismo para interromper aameaa, avaliar e reparar danos, alm de manter aoperacionalidade do sistema caso ocorra invaso ao sistemaPlanos de contingncia, restaurao de cpias de segurana(backups).
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
38/51
CONTROLES FSICOS
So barreiras que limitam o contato ou acesso direto a informao ou a infra-estrutura (que garante a existncia da informao) que a suporta.Existem mecanismos de segurana que apiam os controles fsicos:
Portas, trancas, guardas...1 Demarcao das reas
IdentificaoDelimitaoMarcao com diferentes graus de sensibilidade: Livres, Sigilosos eRestritos
2. Implantao de barreirasAlarme, vigilncia, controle de pessoas, controle de veculos, muros,
cercas, espelhos dgua3 Sistema de Guarda e Vigilncia4 Preveno de Acidentes
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
39/51
CONTROLES LGICOSSo barreiras que impedem ou limitam o acesso a informao, que est em ambientecontrolado, geralmente eletrnico, e que, de outro modo, ficaria exposta a alterao noautorizada por elemento mal intencionado.Existem mecanismos de segurana que apiam os controles lgicos:
Mecanismos de criptografia. Permitem a transformao reversvel dainformao de forma a torn-la ininteligvel a terceiros. Utiliza-se para tal,
algoritmos determinados e uma chave secreta para, a partir de um conjunto dedados no criptografados, produzir uma sequncia de dados criptografados. Aoperao inversa a decifrao.
Assinatura digital. Um conjunto de dados criptografados, associados a umdocumento do qual so funo, garantindo a integridade do documento associado,mas no a sua confidencialidade.
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
40/51
CONTROLES LGICOS
Mecanismos de contro le de acesso: Palavras-chave,sistemas biomtricos, firewalls, cartes inteligentes.Mecan ismos de cer ti fi cao. Atesta a validade de um
documento.Honeypot: o nome dado a um software, cuja funo detectar ou de impedir a ao de um cracker, de um spammer,ou de qualquer agente externo estranho ao sistema,
enganando-o, fazendo-o pensar que esteja de fato explorandouma vulnerabilidade daquele sistema.Protocolos seguros: uso de protocolos que garantem um graude segurana e usam alguns dos mecanismos citados aqui
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
41/51
MEDIDAS DE SEGURANA
Veja a seguir as medidas de segurana comumenteusadas para garantir a segurana dos sistemas deinformao: Uso de senhas;
Criptografia de dados; Cpia de dados crticos (backup); Uso de servidores ou drives de discos redundantes; Controle de acesso s estaes de trabalho; Classificao dos usurios da rede; Documentao em meio papel; Software antivrus.
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
42/51
DOS SISTEMAS DE INFORMAO Entende-se como oficial o uso de cdigo, cifra ou sistema
de criptografia no mbito de rgos e entidades pblicose instituies de carter pblico.
CRIPTOGRAFIA Cincia e arte de escrever mensagens em forma cifrada
ou em cdigo. parte de um campo de estudos que tratadas comunicaes secretas, usadas, dentre outrasfinalidades, para:
autenticar a identidade de usurios; autenticar e proteger o sigilo de comunicaes pessoais e detransaes comerciais e bancrias;
proteger a integridade de transferncias eletrnicas defundos.
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
43/51
DOS SISTEMAS DE INFORMAO Aplicam-se aos programas, aplicativos, sistemas e equipamentos de
criptografia todas as medidas de segurana previstas neste Decretopara os documentos sigilosos controlados e os seguintes procedimentos:
realizao de vistorias peridicas, com a finalidade de assegurar umaperfeita execuo das operaes criptogrficas;
manuteno de inventrios completos e atualizados do material decriptografia existente;
designao de sistemas criptogrficos adequados a cada destinatrio; comunicao, ao superior hierrquico ou autoridade competente, de
qualquer anormalidade relativa ao sigilo, inviolabilidade, integridade, autenticidade, legitimidade e disponibilidade dedados ou informaes criptografados; e
identificao de indcios de violao ou interceptao ou deirregularidades na transmisso ou recebimento de dados e informaescriptografados.
Pargrafo nico. Os dados e informaes sigilosos, constantes dedocumento produzido em meio eletrnico, sero assinados ecriptografados mediante o uso de certificados digitais emitidos pela
Infra-Estrutura de Chaves Pblicas Brasileira (ICP-Brasil).
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
44/51
ASSINATURA DIGITAL
A assinatura digital consiste na criao de umcdigo, atravs da utilizao de uma chaveprivada, de modo que a pessoa ou entidadeque receber uma mensagem contendo este
cdigo possa verificar se o remetente mesmoquem diz ser e identificar qualquer mensagemque possa ter sido modificada.
importante ressaltar que a segurana do
mtodo baseia-se no fato de que a chaveprivada conhecida apenas pelo seu dono.Tambm importante ressaltar que o fato deassinar uma mensagem no significa geraruma mensagem sigilosa.
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
45/51
Certificado Digital O certificado digital um arquivo eletrnico que contm dados de uma pessoa ou instituio, utilizados para
comprovar sua identidade. Este arquivo pode estar armazenado em um computador ou em outra mdia, comoum tokenou smart card. Exemplos semelhantes a um certificado digital so o CNPJ, RG, CPF e carteira de habilitao de uma pessoa.
Cada um deles contm um conjunto de informaes que identificam a instituio ou pessoa e a autoridade(para estes exemplos, rgos pblicos) que garante sua validade.
Algumas das principais informaes encontradas em um certificado digital so: dados que identificam o dono (nome, nmero de identificao, estado, etc);
nome da Autoridade Certificadora (AC) que emitiu o certificado (vide seo 9.1); o nmero de srie e o perodo de validade do certificado;
a assinatura digital da AC.
O objetivo da assinatura digital no certificado indicar que uma outra entidade (a Autoridade Certificadora)garante a veracidade das informaes nele contidas.
Autoridade Certificadora (AC) a entidade responsvel por emitir certificados digitais. Estes certificadospodem ser emitidos para diversos tipos de entidades, tais como: pessoa, computador, departamento de uma
instituio, instituio, etc. Os certificados digitais possuem uma forma de assinatura eletrnica da AC que o emitiu. Graas suaidoneidade, a AC normalmente reconhecida por todos como confivel, fazendo o papel de "CartrioEletrnico".
http://cartilha.cert.br/conceitos/sec9.htmlhttp://cartilha.cert.br/conceitos/sec9.htmlhttp://cartilha.cert.br/conceitos/sec9.htmlhttp://cartilha.cert.br/conceitos/sec9.html -
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
46/51
SEGURANA ELETRNICA
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
47/51
FINALIDADES BSICAS DOS SISTEMASELETRNICOS DE SEGURANA
DETECTAR automaticamente pelo prprioequipamento, seja ele um sensor de presena ou umacmera de deteco d movimento;
COMUNICAR SONORA, LUMINOSA,
SILENCIOSA (boto de pnico); INIBIR ter um sistema de seg eletrnica vsivel ousonoro mostrar aos inimigos indesejveis que oimvel est protegido, inibindo uma possvel ao
invasiva.
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
48/51
Diagnstico ANLISE DE RISCO Identifico os riscos e sua origem, levanto variveis
internas e externas que impactaro na segurana doimvel, bem como as vulnerabilidades dasinstalao.
A partir da, pra alcanar a eficcia de implantao
de um sistema eletrnico de segurana, precisocriar um projeto de sistema.
A partir desse projeto que se identifica a
tecnologia mais adequada a local. Uma soluopersonalizada.
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
49/51
EQUIPAMENTOS - ALARMES Em geral, os sistemas de alarme so compostos por: PAINEL DE
ALARME E TECLADO, SENSORES, SIRENES E BATERIA. O PAINEL DE ALARME o corao do sistema e deve num local de
difcil acesso e protegido por um sensor de movimento no local e umsensor de abertura em sua caixa metlica de proteo.
O TECLADO instalado o mais prximo possvel da entrada ou sada do
imvel. Ele serve para armar e desarmar o sistema, checar seufuncionamento, inibir setores, cadastrar senhas, verificar memria dedisparos (buffer), acionar pnico ou emergncia;
OS SETORES DE COBERTURA so usados para dividir o imvel ouprogramar funes. Quanto mais setores, melhor ser a identificao do
imovel e, portanto, dos locais eventualmente violados. A eficcia do sistema de alarme est no monitoramento 24 h e na
proteo da sua comunicao. As falhas de comunicao mais utilizadas no sistemas de alarme so:
linha telefnica convencional, back-up via celular analgico; rdio
frequncia/ gsm/gprs.
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
50/51
CFTV
COMPOSTO por cmera, caixa de proteo,suporte, cabeamento ou transmissor sem fio,processadores, monitores gravadores de vdeo ealimentao.
-
8/12/2019 2. Material Complementar - Segurana Da Informao .Doc
51/51