Baixe o app para aproveitar ainda mais
Prévia do material em texto
Sistemas de Informação Segurança e Auditoria de Sistemas Norma ISO/IEC NBR 27002:2005 Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Normas BS-7799, ISO/IEC NBR-17799 Histórico 1995 - Primeira publicação da norma BS 7799-1: Code of Practice for information security management 1998 - Primeira publicação da norma BS 7799:2 Specification for Information Security Management Systems. 1999 - Publicação conjunta das normas BS 7799-1 e BS 7799- 2, atualizadas e harmonizadas OUT 1999 - BSI-U.K solicita à ISO/IEC que a norma BS 7799- 1 seja submetida a votação internacional DEZ 2000 - Norma ISO/IEC 17799 foi oficialmente publicada em Genebra, como norma internacional Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Normas BS-7799, ISO/IEC NBR-17799 Histórico DEZ 2000 - Decidida, na reunião do Comitê ABNT/CB21/SC02, a utilização da norma ISO/IEC 17799:2000 como norma brasileira e iniciados os trabalhos de tradução para o português ABR 2001 - Projeto da norma NBR ISO/IEC 17799 colocado em consulta pública 19/SET/2001 - Lançamento da norma NBR ISO/IEC 17799 na sede da Brisa-SP (2a. norma mais vendida na ABNT, atrás somente da ISO 9000) Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Normas BS-7799, ISO/IEC NBR-17799 Histórico SET 2002 - Publicação da norma BS7799-2:2002, completamente revisada por uma equipe internacional (IUG), que contou com a colaboração de vários países, inclusive o Brasil, e implementou as melhores práticas de gestão em uso (PDCA - ISO 9000 e 14000) 2005 – Publicação das normas NBR 17799:2005 ISO/IEC 17799:2005 ISO/IEC 27001:2005 Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Normas BS-7799, ISO/IEC NBR-17799 Organismos Normalizadores ISO (Internacional Organization for Standardization): Federação mundial dos organismos de normalização, fundada em 1947 e contando atualmente com 148 países membros, incluindo o Brasil. Já publicou mais de 14000 normas internacionais e documentos normativos. IEC (Internacional Electrotechnical Commission): Organização voltada para normalização de padrões relacionados com elétrica e eletrônica. Fundada em 1906. Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Normas BS-7799, ISO/IEC NBR-17799 Organismos Normalizadores ABNT (Associação Brasileira de Normas Técnicas): Entidade civil, sem fins lucrativos, credenciada como único Fórum Nacional de Normalização, responsável pela elaboração das Normas Brasileiras, de caráter voluntário. É a representante oficial da ISO no Brasil. Foi fundada em 1940 e participou da fundação da ISO como membro fundador. É composta por comitês técnicos de normalização (CB’s). Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 Objetivo Proteger as informações de diversos tipos de ameaças para: Garantir a continuidade dos negócios Minimizar os danos aos negócios Maximizar o retorno dos investimentos e as oportunidades de negócio É caracterizada pela preservação da: CONFIDENCIALIDADE INTEGRIDADE DISPONIBILIDADE Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 Como estabelecer requisitos de segurança Três fontes principais: Avaliação dos riscos dos ativos da organização Atendimento aos requisitos legais, contratuais, estatutários dos envolvidos nos negócios Conjunto de princípios, objetivos e requisitos para o processamento das informações, desenvolvidos para apoiar as operações da organização Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 Conteúdo Capítulo 1 - Objetivo Capítulo 2 - Termos e definições Capítulo 3 - Política de Segurança Capítulo 4 - Segurança Organizacional Capítulo 5 - Classificação e controle de ativos de informação Capítulo 6 - Segurança em pessoas Capítulo 7 - Segurança física e do ambiente Capítulo 8 - Gerenciamento das operações e comunicações Capítulo 9 - Controle de Acesso Capítulo 10 - Desenvolvimento e manutenção de sistemas Capítulo 11 - Plano de Continuidade do Negócio Capítulo 12 - Conformidade Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 1 - Objetivo Fornecer recomendações para gestão da segurança da informação para uso por aqueles que são responsáveis pela introdução, implementação ou manutenção da segurança de suas organizações Prover base comum para o desenvolvimento de normas de segurança organizacional e das práticas efetivas de gestão de segurança Prover confiança nos relacionamentos entre organizações Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 2 - TERMOS E DEFINIÇÕES Segurança da Informação: preservação da confidencialidade, disponibilidade e integridade da informação Avaliação de Risco: avaliação das ameaças, impactos e vulnerabilidades da informação e das instalações de processamento da informação e da probabilidade de sua ocorrência Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 2 - TERMOS E DEFINIÇÕES Gerenciamento de risco: Processo de identificação, controle e minimização ou eliminação dos riscos de segurança que podem afetar os sistemas de informação, a um custo aceitável Ativo: Tudo que tenha valor para a organização, para a operação dos seus negócios e para a sua continuidade Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 Exemplos de ativos associados com sistemas de informação ativos de informação: Base de dados e arquivos, procedimentos, planos de contingência, informações armazenadas; ativos de software: Aplicativos, sistemas e ferramentas de desenvolvimento; ativos físicos: Processadores, monitores, notebooks, modems, roteadores, PABXs, fax, secretárias eletrônicas, celulares, fitas e discos, outros equipamentos técnicos (no-breaks, ar-condicionado); serviços: Serviços de comunicação, utilidades gerais, por exemplo aquecimento, iluminação, eletricidade, refrigeração. Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 Definições Quais informações devem ser protegidas? Armazenada em computadores Transmitida através de rede Impressa ou escrita em papel Enviada através de fax Armazenada em fitas ou disco Falada em conversas ao telefone Enviada por e-mail Armazenada em banco de dados Mantida em filmes e microfilmes ou digitalizadas Apresentada em projetores ou outros métodos usados para transmitir conhecimento e idéias Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 3 - POLÍTICA DE SEGURANÇA Definição de segurança, objetivo, escopo e importância da segurança para a organização Deve haver um comprometimento explícito da alta direção Explanação das políticas, princípios e requisitos de conformidade (treinamento, PCN, violações) Definição das responsabilidades quanto à segurança Deve ser divulgada para toda a organização Devem ser realizadas análises críticas periodicamente Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 4 - SEGURANÇA ORGANIZACIONAL Comitê de Segurança: deve direcionar as atividades de segurança da informação da organização e deve ser composto por membros da alta direção Gestor da segurança da informação: responsável pelo desenvolvimento e implementação da segurança e pelo suporte à identificação dos controles Autorização para as instalações de processamento da informação: gestão para novos recursos Análisecrítica independente de segurança da informação: garantir que práticas de segurança estão adequadas e eficientes Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 4 - SEGURANÇA ORGANIZACIONAL Segurança no acesso de prestadores de serviços: manter a segurança de recursos de processamento e ativos da informação acessados por prestadores de serviços Requisitos de segurança nos contratos de prestadores de serviço: Política geral sobre segurança da informação proteção dos ativos da organização acordo de nível de serviços direitos de propriedade intelectual e direitos autorais direito de monitorar, revogar acessos e auditar Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 5 - CLASSIFICAÇÃO E CONTROLE DOS ATIVOS ativos de informação: Base de dados e arquivos, procedimentos, planos de contingência, informações armazenadas; ativos de software: Aplicativos, sistemas e ferramentas de desenvolvimento; ativos físicos: Processadores, monitores, notebooks, modems, roteadores, PABXs, fax, secretárias eletrônicas, celulares, fitas e discos, outros equipamentos técnicos (no-breaks, ar-condicionado); serviços: Serviços de comunicação, utilidades gerais, por exemplo aquecimento, iluminação, eletricidade, refrigeração. Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 5 - CLASSIFICAÇÃO E CONTROLE DOS ATIVOS Um inventário de ativos para cada sistema de informação da organização deve ser estruturado e mantido para ajudar a assegurar que proteções estão sendo feitas de forma efetiva Um sistema de classificação da informação deve ser estabelecido para definir o nível de proteção e necessidade de medidas especiais para tratamento O sistema de classificação deve abranger os ativos físicos e eletrônicos da organização Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 5 - CLASSIFICAÇÃO E CONTROLE DOS ATIVOS A classificação da informação não é necessariamente fixa Documentos de outras organizações devem ser reclassificados Muitos níveis de classificação podem deixar o processo complexo e economicamente inviável O proprietário da informação deve ser o responsável pela classificação e análise crítica Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 5 - CLASSIFICAÇÃO E CONTROLE DOS ATIVOS Os ativos de informação da organização necessitam: Ser inventariados e identificados quanto valor e importância para que a proteção adequada seja estabelecida Possuir um proprietário responsável Classificados para indicar a importância, prioridade e nível de proteção Manuseados de acordo com sua classificação (cópia, armazenamento, transmissão eletrônica, transmissão por canais de voz, destruição e impressão) Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 6 - SEGURANÇA EM PESSOAS Reduzir os riscos de erro humano, fraude ou uso indevido das instalações Segurança na definição e nos recursos de trabalho: Responsabilidades atribuídas na fase de seleção, incluídas em contrato e monitoradas Acordo de confidencialidade assinado por todos os funcionários e prestadores de serviço Verificações de controle para candidatos potenciais no momento da seleção Treinamento de usuários em segurança e técnicos Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 6 - SEGURANÇA EM PESSOAS Monitoração e resposta a incidentes de segurança Incidentes devem ser reportados através de canais apropriados o mais rapidamente possível Incidentes devem ser utilizados em treinamentos de conscientização Tipos, quantidades e custos dos incidentes e maus funcionamentos devem ser quantificados e monitorados para identificar re- ocorrências e impactos Processo disciplinar formal para funcionários quando da violações de políticas e procedimentos Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 7 - SEGURANÇA FÍSICA E DO AMBIENTE Áreas de segurança: Prevenir acesso não autorizado, dano ou interferência às informações e instalações físicas da empresa Perímetro da segurança física: qualquer coisa que estabeleça uma barreira em torno da propriedade física do negócio e de suas instalações de processamento. Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 7 - SEGURANÇA FÍSICA E DO AMBIENTE Áreas de segurança: Segurança de escritórios, salas e instalações de processamento devem ser considerados os seguintes pontos: fogo, inundação,explosão, manifestações civis, regulamentações de saúde e segurança, etc.; cuidados com máquinas de fax e copiadoras; portas e janelas fechadas quando não utilizadas e proteção externa; sistemas de detecção de intrusos testado regularmente; backups guardados fora da instalação; áreas de expedição e carga controladas Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 7 - SEGURANÇA FÍSICA E DO AMBIENTE Segurança dos equipamentos: prevenir perda, dano ou comprometimento dos ativos e interrupção dos serviços. Instalação e proteção: controles devem ser adotados para evitar espionagem, acessos não autorizados, roubo, fogo, explosões, fumaça, água(falta de), poeira, etc. Política de alimentação, bebida e fumo nas instalações de processamento Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 7 - SEGURANÇA FÍSICA E DO AMBIENTE Manutenção de equipamentos: deve ser feita conforme as especificações do fabricante, com pessoal autorizado e todas as falhas suspeitas e ocorridas e registradas Segurança de equipamentos fora das instalações: laptops, agendas, telefones móveis, papéis etc. não devem ser deixados desprotegidos em áreas públicas. Computadores devem ser bagagem de mão Alienação e reutilização de equipamentos: os dispositivos de armazenamento (fitas, HD) devem ser destruídos fisicamente ou devidamente sobrepostos antes da alienação ou reutilização Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 7 - SEGURANÇA FÍSICA E DO AMBIENTE Segurança do cabeamento: linhas e cabos elétricos e de telecomunicações devem ser separados, devem haver rotas e meios alternativas de transmissão previstos Fornecimento de energia: alimentação múltipla, nobreak, geradores (revisados e testados periodicamente), iluminação de emergência Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 7 - SEGURANÇA FÍSICA E DO AMBIENTE Controles Gerais: evitar exposição ou roubo de informações e de recursos Política de mesa e tela limpas: Mesa limpa para papéis e mídias; tela limpa para recursos de processamento; guardar papéis confidenciais em armários trancados; tela de proteção com senha p/ inatividade; Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 7 - SEGURANÇA FÍSICA E DO AMBIENTE Controles Gerais: Copiadoras e impressoras: informações sensíveis devem ser retiradas imediatamente das impressoras; fax protegidos e copiadoras travadas Remoção de propriedade: autorização formal e inspeções pontuais Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 8 - GERENCIAMENTO DAS OPERAÇÕES E COMUNICAÇÕES Objetivo: Garantir a operação segura dos recursos de processamento da informação Procedimentos operacionais: documentados, atualizados, formais e aprovados peladireção. Devem ter instruções detalhadas para a execução das atividades (sincronismo, processamento e tratamento da informação, tratamento de erros, falhas, atividades de housekeeping); Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 8 - GERENCIAMENTO DAS OPERAÇÕES E COMUNICAÇÕES Mudanças nos sistemas e aplicativos: controladas para evitar indisponibilidades e falhas, formalizadas, documentadas; Gerenciamento de incidentes: procedimentos para garantir resposta rápida, efetiva e ordenada aos incidentes (cobrindo todos os tipos), prever trilhas de auditoria e servir como “aprendizado”; Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 8 - GERENCIAMENTO DAS OPERAÇÕES E COMUNICAÇÕES Segregação de funções: reduzir riscos de mau uso acidental ou deliberado dos sistemas; separar administração da execução de determinadas funções; evitar fraudes; Separação dos ambientes de desenvolvimento e produção: segregar funções; transferência de programas de desenvolvimento para produção controladas; ambientes de produção, desenvolvimento e teste separados; acessos a produção pelos desenvolvedores controlados; Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 8 - GERENCIAMENTO DAS OPERAÇÕES E COMUNICAÇÕES Gestão de recursos terceirizados: procedimentos e responsabilidades atribuídas, implicações no PCN, normas de segurança e processo de verificação de conformidade. Planejamento de capacidade e aceitação de sistemas: minimizar risco de falhas nos sistemas para garantir disponibilidade adequada de capacidade e recursos. Critérios devem ser estabelecidos para aceitação de novos sistemas, atualizações e novas versões. Testes devem ser efetuados. Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 8 - GERENCIAMENTO DAS OPERAÇÕES E COMUNICAÇÕES Proteção contra software malicioso: proteger a integridade do software e da informação. Política de licenças de uso e proibição de software não autorizado; utilização de software antivírus; treinamento e conscientização de usuários. Housekeeping: manter a integridade e disponibilidade dos serviços de comunicação e processamento. Cópias de segurança: feitas e testadas regularmente; protegidas fisicamente; procedimentos de recuperação testados e verificados regularmente. Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 8 - GERENCIAMENTO DAS OPERAÇÕES E COMUNICAÇÕES Registros de operação (trilhas de auditoria): registro das atividades do pessoal de operação com data/hora, erros e correções efetuadas. Checagens regulares das atividades efetuadas. Registros de falhas falhas relatadas, ações corretivas tomadas e registradas; análise crítica das falhas Gerenciamento da rede: implementar controles para obter e preservar a segurança das redes Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 8 - GERENCIAMENTO DAS OPERAÇÕES E COMUNICAÇÕES Segurança e tratamento de mídias: prevenir danos aos ativos de processamento da informação (papéis, vídeos, carbono, relatórios, fitas magnéticas, fitas para impressoras, discos e cassetes, etc.) Gerenciamento de mídias removíveis: procedimentos para remoção, reutilização e guarda das mídias Descarte de mídias: descarte de forma segura e protegida; procedimentos formais e registros de auditoria. Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 8 - GERENCIAMENTO DAS OPERAÇÕES E COMUNICAÇÕES Troca de informação e software entre organizações: prevenir perda, modificação ou mau uso das informações trocadas entre organizações Acordo para a troca de informações e softwares: devem incluir procedimentos de segurança, tais como normas e padrões a serem utilizados; Segurança de mídias em trânsito: procedimentos para evitar mau uso, acessos não autorizados e alterações; Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 8 - GERENCIAMENTO DAS OPERAÇÕES E COMUNICAÇÕES Segurança no comércio eletrônico (EDI, email, transações online): processos para autenticação, autorização, responsabilização, entre outros; contratos formais. Segurança de sistemas e informações disponíveis publicamente (como por exemplo os disponíveis via Internet): prevenir modificações não autorizadas que possam prejudicar a imagem da empresa. Autorização formal antes de publicar informações. Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 8 - GERENCIAMENTO DAS OPERAÇÕES E COMUNICAÇÕES Segurança do correio eletrônico: Riscos de segurança: vulnerável a erros, repúdio, modificação de mensagens, indisponibilidade de serviços; Política de uso do correio eletrônico: utilização de antivírus, orientações gerais de uso e responsabilidades, criptografia. Segurança dos sistemas eletrônicos de escritório: procedimentos para controlar os riscos de segurança associados aos sistemas eletrônicos de escritório Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 9 - CONTROLE DE ACESSO Necessidades dos negócios: Políticas e regras de controle de acesso: deve conter os requisitos de segurança para os negócios, políticas para autorização e distribuição da informação, classificação da informação. Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 9 - CONTROLE DE ACESSO Gerenciamento de acessos: Registro de usuários: formal e com registro da solicitação; ID único; aprovação do gestor; remoção imediata de acessos em transferências ou desligamento; verificação periódica para remoção de inativos Gerenciamento de privilégios: restritos e controlados através de solicitação formal; autorização para indivíduos. Gerenciamento de senhas (senhas pessoais e confidenciais, senhas temporárias seguras, armazenamento, autenticação forte) Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 9 - CONTROLE DE ACESSO Uso de senhas: confidencialidade, evitar registro em papéis, alterar a senha, senhas fortes, não reutilizar senhas, não compartilhar, etc; Proteção para equipamentos sem monitoração: encerrar sessões, bloqueio de terminal ou estação, proteção de tela, etc. Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 9 - CONTROLE DE ACESSO Controle de acesso à rede: proteção dos serviços de rede. Política de utilização dos serviços de rede (internos e externos): usuários com acesso somente aos serviços necessários; procedimentos para acesso aos serviços; Autenticação para conexões externas de usuários: usuários remotos devem ser autenticados (tokens, smart-cards, etc.); Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 9 - CONTROLE DE ACESSO Controle de acesso à rede: proteção dos serviços de rede. Segregação de redes: prevenir acessos não autorizados a partir de outras redes conectadas à rede da empresa; divisão da rede em domínios lógicos (interno e externo) através de gateways (firewall); Controle de conexões de rede: limitar número de conexões dos usuários em aplicações acessadas fora dos limites da organização (ex. correio eletrônico, transferência de arquivos) Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 9 - CONTROLE DE ACESSO Controle de acesso ao sistema operacional: preveniracesso não autorizado ao computador. Identificação automática de terminal: sessão só é inicializada a partir de uma localização ou determinado terminal; Procedimentos de entrada no sistema: processo seguro, divulgando o mínimo de informações possíveis a respeito do sistema e evitando fornecimento de informações pessoais; Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 9 - CONTROLE DE ACESSO Identificação e autenticação de usuários: ID único de uso pessoal e exclusivo para permitir rastreamento de atividades; Sistema de gerenciamento de senhas: sistema deve obrigar o uso de senhas; permitir a troca a qualquer momento, obrigar trocas periódicas; não permitir a reutilização; Limitação de data e hora de conexão: para aplicações de alto risco, limitar uso a horários normais de expediente Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 9 - CONTROLE DE ACESSO Uso de utilitários do sistema: podem permitir sobrepor controles dos sistemas e aplicações. Uso deve ser restrito e controlado através de autenticação, limitação do uso, autorização prévia Desconexão de terminais por inatividade: terminais fora dos limites da empresa ou em áreas públicas devem ser desligados automaticamente para evitar acessos indevidos (limpar a tela e encerrar sessão); Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 9 - CONTROLE DE ACESSO Controle de acesso às aplicações: prevenir acesso não autorizado à informação contida nos sistemas. Restrição de acesso à informação: controlar acesso do usuário através de menus, segregação dos direitos de acesso ( leitura, alteração, exclusão); somente mostrar as informações relevantes em relatórios; Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 9 - CONTROLE DE ACESSO Monitoração do uso e acesso ao sistema: descobrir atividades não autorizadas. Registro de eventos (logs): trilhas de auditoria para investigações futuras, monitoração e controle de acessos. Identificar usuário, terminal, data/hora, tentativas de acesso rejeitadas; Armazenamento dos registros: controlado para evitar alterações, perdas ou acessos indevidos; Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 9 - CONTROLE DE ACESSO Monitoração do uso e acesso ao sistema: descobrir atividades não autorizadas. Planejamento, geração e revisão dos eventos: procedimentos para monitoração dos registros, para garantir que usuários executam somente atividades autorizadas; revisões regulares (frequência depende do risco envolvido); Sincronia dos relógios dos computadores: para garantir a exatidão dos registros de auditoria (podem ser requeridos numa investigação). Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 9 - CONTROLE DE ACESSO Computação móvel: Política deve incluir proteção física (roubo), criptografia de dados, cópias de segurança e antivírus; Trabalho remoto: proteção adequada do local para evitar roubo de equipamentos e de informações, divulgação não autorizada de informações, uso impróprio de recursos. Definição de data/hora de acesso, regras e orientações para acesso de familiares, procedimentos para cópias de segurança, auditoria e monitoração. Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 10 - DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS Objetivo: Garantir que a segurança seja parte integrante dos sistemas de informação. Análise e especificação dos requisitos e controles de segurança de sistemas: Controles de segurança devem ser especificados quando da confecção de novos sistemas ou alterações; Considerar pacotes de software; Controles introduzidos no desenvolvimento são mais baratos. Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 10 - DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS Segurança nos sistemas de aplicação: prevenir perda, modificação ou uso impróprio de dados do usuário nos sistemas de aplicação Validação dos dados de entrada e saída: garantir que dados estão corretos e que são apropriados. Tipos de validação: dupla entrada para detectar valores fora de limites, caracteres inválidos, dados ausentes, checagem de integridade de dados, totais de registros e arquivos. Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 10 - DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS Controle do processamento interno: reduzir erros de processamento. Procedimentos para prevenir execução de programas fora de ordem ou após falhas, uso correto de programas para correção de falhas para assegurar processamento correto dos dados. Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 10 - DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS Criptografia: Proteger a confidencialidade, autenticidade ou integridade das informações Política de utilização: baseada em análise de riscos; enfoque para quando deve ser utilizada; gerenciamento das chaves(métodos para tratar a recuperação de informações em caso de chaves perdidas, expostas ou danificadas); normas para efetiva implementação; Gerenciamento e proteção das chaves: essencial para o processo. Deve haver procedimentos para proteção contra perda, comprometimento, destruição. Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 10 - DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS Criptografia: proteger a confidencialidade da informação. Deve ser considerada para a proteção de informações críticas ou sensíveis; Assinatura digital: proteger a integridade e autenticidade de documentos eletrônicos. Pode ser utilizada no comércio eletrônico; Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 10 - DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS Segurança dos arquivos do sistema: garantir que projetos de TI e as atividades de suporte serão conduzidas de maneira segura. O acesso a arquivos do sistema deve ser controlado. Gerenciamento das mudanças de softwares: mudanças devem ser controladas, com registros de auditoria, manutenção de versões anteriores, evidência de testes e aceitação do usuário; Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 10 - DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS Proteção dos dados de teste: devem ser protegidos e controlados (na maioria das vezes refletem dados de produção); Controle de acesso a bibliotecas de programas fonte: devem ser controladas rigidamente. Não devem ser manipuladas em ambiente de produção. Devem possuir responsável pela atualização e distribuição. Registros de auditoria Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 10 - DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS Segurança nos processos de desenvolvimento e suporte: manter a segurança do software e da informação do sistema de aplicação. Gerenciamento de mudanças em sistemas, sistemas terceirizados e pacotes: controle rígido e procedimentos para mudanças, com aprovação formal, aceite do usuário, controle de versões, documentação atualizada, trilha de auditoria; Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 10 - DESENVOLVIMENTO E MANUTENÇÃO DE SISTEMAS Segurança nos processos de desenvolvimento e suporte: Cavalos de Tróia e Covert Channels: programas maliciosos que permitem acesso indevido aosistema e informações. Programas devem ser adquiridos de fontes confiáveis e devem ser avaliados antes de entrar em produção. Deve haver controle para acesso ao código fonte. Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 11 - GESTÃO DA CONTINUIDADE DOS NEGÓCIOS Gerenciamento de continuidade dos negócios: não permitir a interrupção das atividades do negócio e proteger os processos críticos contra falhas e desastres. Planejamento estratégico: o processo deve envolver toda a organização, incluindo a alta direção. Deve ser verificado o impacto que as possíveis interrupções trarão aos negócios; Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 11 - GESTÃO DA CONTINUIDADE DOS NEGÓCIOS Gerenciamento de continuidade dos negócios: Identificação dos eventos e avaliação dos riscos que podem causar interrupções nos negócios. Ex: falhas de equipamentos, inundações, incêndios, etc. Deve haver avaliação dos riscos para verificar impactos e probabilidade de ocorrência; Elaboração do plano: desenvolvidos para manutenção ou recuperação das operações, na escala de tempo requerida. Deve haver procedimentos, documentação, treinamento adequado do pessoal envolvido, lista de acionamento e testes. Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 11 - GESTÃO DA CONTINUIDADE DOS NEGÓCIOS Gerenciamento de continuidade dos negócios: Teste e manutenção do plano: executados regularmente para detectar falhas nas documentações, garantir a permanente atualização do plano e sua efetividade. Devem ser mantidos por meio de análises críticas periódicas. Ex: mudanças que podem ocasionar alteração no plano - pessoal, endereços e telefones, estratégia do negócio, etc. Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 12 - CONFORMIDADE Conformidade com requisitos legais: evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais. Identificação da legislação vigente: devem estar definidas e documentadas para cada sistema de informação. Direitos autorais e de software: deve haver política de conformidade de direito autoral de software, procedimentos para aquisição de software, manter provas e evidências de licenças de uso, discos mestres. Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 12 - CONFORMIDADE Salvaguarda de registros organizacionais: registros importantes para a organização devem ser protegidos contra perda, destruição e falsificação. Procedimentos documentados para retenção, armazenamento, tratamento e disposição dos registros e implementação de controles apropriados para proteção. Proteção de dados e privacidade da informação pessoal: informações de dados pessoais devem ser protegidas e controladas no processamento e transmissão. Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 12 - CONFORMIDADE Prevenção contra uso indevido de recursos de processamento da informação: recursos devem ser utilizados para propósito dos negócios. Devem ser autorizados pelo responsável. Sem autorização deve ser considerado uso impróprio e devem ser aplicadas ações disciplinares cabíveis. Controles de criptografia: deve haver assessoria jurídica para garantir a conformidade com a legislação nacional vigente. Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 12 - CONFORMIDADE Coletas de evidências: devem haver coletas de evidências para apoiar um processo jurídico contra uma pessoa ou organização. Análise crítica da Política de Segurança e de conformidade técnica: garantir conformidade dos sistemas com as políticas e normas organizacionais de segurança. Segurança e Auditoria de SistemasSegurança e Auditoria de Sistemas Norma ISO/IEC NBR-17799 12 - CONFORMIDADE Auditoria de Sistemas: maximizar a eficácia e minimizar a interferência no processo de auditoria de sistema. Controles de auditoria de sistemas: requisitos e atividades de auditoria devem ser planejados e acordados - escopo, acessos somente leitura, acessos monitorados e registrados para produzir trilhas, procedimentos documentados; Proteção das ferramentas de auditoria de sistemas: softwares e dados de auditoria devem ser protegidos contra uso impróprio ou comprometimento.
Compartilhar