administração e segurança de redes aula 07 políticas de segurança – implementação prof....
TRANSCRIPT
Administração e segurança de redes
Aula 07
Políticas de segurança – Implementação
Prof. Diovani Milhorim
11/04/23Créditos Prof. Msc.
Ronei Ferrigolo
Auditoria e Segurança
Normas
NBR ISO/IEC 270012006 e 17799:2005 - Visão Geral Histórico Introdução às normas Segurança da informação ISO 27001
• SGSI• Responsabilidades da direção• Auditorias internas• Análise Crítica do SGSI• Sistema de melhoria contínua
11/04/23Créditos Prof. Msc. Ronei
Ferrigolo
Auditoria e Segurança
Histórico 1995: publicada a primeira versão da BS 7799-1 (BS
7799-1:1995 - Tecnologia da Informação - Código de prática para gestão da segurança da informação)
1998: publicada a primeira versão da BS 7799-2 (BS 7799-2:1998 - Sistema de gestão da Segurança da Informação - Especificações e guia para uso)
1999: publicada uma revisão da BS 7799-1 (BS 7799-1:1999 - Tecnologia da Informação - Código de prática para gestão da segurança da informação)
2000: publicada a primeira versão da norma ISO/IEC 17799 (ISO/IEC 17799:2000 - Tecnologia da Informação - Código de prática para gestão da segurança da informação também referenciada como BS ISO/IEC 17799:2000)
11/04/23Créditos Prof. Msc. Ronei
Ferrigolo
Auditoria e Segurança
Histórico
- 2001: publicada a primeira versão da norma no Brasil, NBR ISO/IEC 17799 (NBR ISO/IEC 17799:2001 - Tecnologia da Informação - Código de prática para gestão da segurança da informação)
- 2002: publicada revisão da norma BS 7799 parte 2 (BS7799-2:2002 - Sistema de gestão da Segurança da Informação - Especificações e guia para uso).
- Agosto/2005: publicada a segunda versão da norma no Brasil, NBR ISO/IEC 17799 (NBR ISO/IEC 17799:2005)
- Outubro/2005: publicada a norma ISO 27001 (ISO/IEC 27001:2005 - Tecnologia da Informação - Técnicas de segurança - Sistema de gestão da Segurança da Informação - Requisitos).
11/04/23Créditos Prof. Msc. Ronei
Ferrigolo
Auditoria e Segurança
Introdução às Normas
Norma 27001Provê um modelo de sistema de gestão
da segurança da informação (SGSI)Permite a certificação de uma
organização segundo seu referencialBaseia-se na abordagem de processo
• Aplica um sistema de processos, junto com a identificação e interação destes processos e asua gestão
11/04/23Créditos Prof. Msc. Ronei
Ferrigolo
Auditoria e Segurança
Introdução às Normas
Norma 27001Encoraja o uso do modelo PDCA
• Entendimento dos requisitos e necessidade de PSI
• Implementação e operação de controles• Monitoração e análise crítica• Melhoria contínua
11/04/23Créditos Prof. Msc. Ronei
Ferrigolo
Auditoria e Segurança
Introdução às Normas
Norma NBR ISO/IEC 17799:2005 TI – Código de Prática para gestão da
segurança da informação Estabelece diretrizes e princípios gerais para
implantar um SGSI. Não permite a certificação de uma organização
em relação ao seu modelo de referência Prescreve práticas para
a) Política de Segurança da Informaçãob) Organização da infra-estrutura da informaçãoc) Gestão de ativos
11/04/23Créditos Prof. Msc. Ronei
Ferrigolo
Auditoria e Segurança
Introdução às Normas
Prescreve práticas para (continuação)d) Segurança em recursos humanos
e) Segurança física e do ambiente
f) Gerenciamento das operações e comunicações
g) Controle de Acessos
h) Aquisição, desenv. e manutenção de SI
i) Gestão de incidentes de SI
j) Gestão de continuidade de negócios
k) Conformidade11/04/23
Créditos Prof. Msc. Ronei Ferrigolo
Auditoria e Segurança
SGSI
11/04/23Créditos Prof. Msc. Ronei
Ferrigolo
Auditoria e Segurança
Partes Interessadas Organização
Expectativas e requisitosde segurança da informação
Segurança da informação gerenciada
PlanEstabeleceSGSI
DoImplementae Opera
CheckMonitora e Analisa criticamente
ActMantém e melhora
NBR ISO/IEC 17799:2005
SGSI
• A organização deve estabelecer, implementar e operar, monitorar e analisar criticamente um SGSI
• Documentado• Contextualizado em relação ao
negócio• Contextualizado em relação aos
riscos• Baseado no modelo PDCA
11/04/23Créditos Prof. Msc. Ronei
Ferrigolo
Auditoria e Segurança
SGSI - Plan
• Estabece a PSI, objetivos, processos e procedimentos do SGSI, relevantes para a gestão de riscos e a melhoria da SI para produzir resultados de acordo com as políticas e objetivos globais de uma organização.
11/04/23Créditos Prof. Msc. Ronei
Ferrigolo
Auditoria e Segurança
PlanEstabeleceSGSI
Estabelecendo e Gerenciando o SGSI
11/04/23Créditos Prof. Msc. Ronei
Ferrigolo
Auditoria e Segurança
PlanEstabeleceSGSI
Escopo e os limites
PSI Abordagem
Análise de Risco
IdentificaRiscos
Analisa e Avalia
Riscos
Opções tratamento
riscos
Seleciona objetivos de
controle e risco
Aprova com diretoria riscos
residuais
Autoriza com diretoria implem.
operação SGSI
Declaração Aplicabilidade
SGSI - Do
• Implementar e operar a política, controles, processos e procedimentos do SGSI
11/04/23Créditos Prof. Msc. Ronei
Ferrigolo
Auditoria e Segurança
DoImplementae Opera
Implementar e operar o SGSI
11/04/23Créditos Prof. Msc. Ronei
Ferrigolo
Auditoria e Segurança
Plano tratam de
Riscos
Implem. Plano trat.
Riscos
ImplementaControles
selecionados
Define medição da eficácia
dos controles
Conscientização e treinamento
Gerenciar as Operações
do SGSI
Gerenciar os recursos
para SGSI
Controles para Detecção Eventos
DoImplementae Opera
SGSI - Check
• Avaliar, e quando aplicável, medir o desempenho de um processo frente à política, objetivos e experiência prática do SGSI e apresentar os resultados para análise crítica pela direção
11/04/23Créditos Prof. Msc. Ronei
Ferrigolo
Auditoria e Segurança
CheckMonitora e Analisa criticamente
Monitorar e analisar criticamente (AC) o SGSI
11/04/23Créditos Prof. Msc. Ronei
Ferrigolo
Auditoria e Segurança
Executar Procedim
Monitoração
AC regulareseficácia
Medir Eficácia
controles
AC as Análise de
Risco
Auditar internamente
AC do SGSI pela Direção
Atualizar Planos de
segurança
Registrar ações e eventos com
Impacto no SGSI
Check
SGSI - Act
• Executar as ações corretivas e preventivas, com base nos resultados da auditoria interna do SGSI e da análise crítica pela direção ou outra informação pertinente, para alcançar a melhoria contínua do SGSI
11/04/23Créditos Prof. Msc. Ronei
Ferrigolo
Auditoria e Segurança
ActMantém e melhora
Manter e melhorar o SGSI
11/04/23Créditos Prof. Msc. Ronei
Ferrigolo
Auditoria e Segurança
Implementar Melhorias
identificadas
Executar ações preventivas e
corretivas
Comunicar ações de melhoria (obter
concordância?)
Assegurar Atingimento dos
obj. pretendidos
Act
SGSI - Controles
• Documentos• Protegidos e controlados• Aprovados, analisados criticamente,
íntegros, disponíveis, identificados e com a confidencialidade garantida
• Prevenido o uso não intencional• Registros
• Estabelecidos e mantidos para fornecer evidências da operação eficaz do SGSI
11/04/23Créditos Prof. Msc. Ronei
Ferrigolo
Auditoria e Segurança
Responsabilidades da direção
• Comprometimento da direção com o PDCA do SGSI deve ser evidente
• Determinar e prover os recursos para o PDCA do SGSI, inclusive fazendo análise crítica do mesmo
• Garantir as condições para treinamento, conscientização e determinação das competências de todo o pessoal com responsabilidades no SGSI
11/04/23Créditos Prof. Msc. Ronei
Ferrigolo
Auditoria e Segurança
Auditorias internas
• Auditorias internas a intervalos planejados para determinar se os controles planejados:
• Atendem os requisitos da norma e legislação• Atendem requisitos de segurança identificados• São mantidos e implementados com eficácia• São executados conforme esperado
• Seguir regras básicas de auditoria• Devem ser conduzidas a partir de procedimentos
documentados
11/04/23Créditos Prof. Msc. Ronei
Ferrigolo
Auditoria e Segurança
Análise Crítica do SGSI
• A direção deve realizar AC do SGSI a intervalos planejados, pelo menos 1 vez por ano e com resultados documentados
• Entradas• Resultados das auditorias internas,• Feedback das partes interessadas, • Técnicas e produtos atualizados• Situação das ações preventivas e corretivas• Vulnerabilidades e ameaças• Resultados da eficácia das medições• Acompanhamento das ACs anteriores• Mudanças que possam afetar o SGSI• Recomendações externas para melhoria
11/04/23Créditos Prof. Msc. Ronei
Ferrigolo
Auditoria e Segurança
Análise Crítica do SGSI• Saídas (decisões e ações relativas a)
• Melhoria da eficácia do SGSI• Atualização da análise/avaliação de riscos• Modificações em procedimentos• Necessidades de recursos• Melhoria na forma como a eficácia dos
controles está sendo medida
11/04/23Créditos Prof. Msc. Ronei
Ferrigolo
Auditoria e Segurança
Sistema de melhoria contínua
• Continuamente deve melhorar a eficácia a partir de ações corretivas e preventivas
• Corretivas• Buscam eliminar as causas de não-
conformidades atuais do SGSI de forma a evitar sua repetição
• Preventivas• Buscam eliminar as causas de não-
conformidades potenciais do SGSI, de forma a evitar sua ocorrência.
11/04/23Créditos Prof. Msc. Ronei
Ferrigolo
Auditoria e Segurança