30.0 - bs7799

ISO/IEC 17799ISO/IEC 27001Luiz Eduardo Guarino de Vasconcelos

“O único sistema verdadeiramente seguro é aquele que está desligado, desplugado, trancado num cofre

de titanium, lacrado, enterrado em um bunker de concreto, envolto por gás nervoso e vigiado por

guardas armados muito bem pagos. Mesmo assim, eu não apostaria minha vida nisso.”

Gene Spafford, Diretor de Operações de Computador, Auditoria e Tecnologia da Segurança

Purdue University, França

ObjetivosObjetivos

BS7799Evolução da normaçISO/IEC 17799ISO/IEC 27001ISO/IEC 27001

OrganizaçõesOrganizações

ISO: Organização de Padronização Internacional:ISO 9001 e 14001;

IEC: Comissão Eletrotécnica Internacional:IEC 60950-1 (ITE: Safety);IEC 60950 1 (ITE: Safety);

ISO/IEC: Cooperação entre ISO e IEC;P ã i OVERLAP d d õPara não evitar o OVERLAP de padrões;

Estrutura dos Orgãos de Padronizações

ABNT NBR ISO/IEC 17799:2005ABNT NBR ISO/IEC 17799:2005

Tudo começouBSI (British Standards Institute);

F d d 1901Fundado em 1901;Presente em mais de 86 países; Mais de 2000 funcionários; Mais de 2000 funcionários; Fórum Normalizador do Reino Unido (normas BS);Principal membro fundador da ISO;Matriz Londres, Inglaterra;O Grupo BSI age nos temas atuais e correntes dos novos modelos empresariaisempresariais.

BS 7799 (3 partes);BS 7799-1 BS 7799-2 e BS 7799-3;BS 7799-1, BS 7799-2 e BS 7799-3;

As BSs 7799As BSs 7799

BS 7799-11995;Códigos de Boas Práticas para o Gerenciamento da Segurança da Informação;

BS 7799-21999;1999;Sistema de Gerenciamento da Segurança da Informação;Informação;

BS 7799-32005;Análise e Gerenciamento de Riscos;

BS7799BS7799

Outros países adotaram a BS 7799;ISO/IEC;/ ;Em 2000;ISO/IEC 17799 f i b d BS 7799 t 1ISO/IEC 17799 foi baseada na BS 7799 parte 1;Revisada em 2005;

As séries 27000As séries 27000

ISO/IEC 27000, 27001, 27002, 27003, 27004, 27005, 27006, 27007, ... , 27799;Onde algumas foram baseadas nas BS 7799 e na ISO 17799;;

ISO/IEC 17799Luiz Eduardo Guarino de Vasconcelos

A ISO/IEC 17799Objetivos

Estabelecer códigos de boas práticas para a gestão de segurança da informaçãoDar instrumentos para a implantação de segurança da informação de acordo com a características de çuma empresa

A ISO/IEC 17799A ISO/IEC 17799

A ISO/IEC-17799 tem como objetivo confidencialidade, integridade e disponibilidade (CID) das informações, que são fatores muito importantes para segurança e integridade das informações.

A ISO/IEC 17799A ISO/IEC 17799

A norma ISO 17799 é intencionalmente flexível e genérica como pode ser observado pelos diversos controles que a compõem;A ordem desses controles não significa o seu grau g gde importância ou criticidade. Dependendo das circunstâncias todas as seções podem ser circunstâncias todas as seções podem ser importantes e críticas.

A ISO/IEC 17799Benefícios

Vantagem Competitiva;Melhoria no Desempenho do Negócio eGerenciamento dos Riscos;Atrair novos investimentos, melhoria da reputação daAtrair novos investimentos, melhoria da reputação damarca e remoção de barreiras comerciais;Redução de Gastos;Redução de Gastos;Operações com menos burocracia e Redução deP dPerda;Evolução da Comunicação Interna;Melhoria da Satisfação do Cliente.

Seções de controle da ABNT NBR /ISO/ IEC 17799:2005

1. Política de Segurança da Informação

2. Organizando a Segurança da Informação

3. Gestão de Ativos

4. Segurança em Recursos Humanos

S A5. Segurança Física e do Ambientes

6. Gestão das Operações de Comunicação

C l d A7. Controle de Acesso

8. Aquisição, Desenvolvimento e Manutenção de Sistemas de InformaçãoInformação

9. Gestão de Incidentes de Segurança da Informação

10 Gestão da Continuidade do Negócio10. Gestão da Continuidade do Negócio

11. Conformidade

1 – Política de Segurança da Informação

Seu objetivo é prover uma orientação e apoio para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes.Seus itens de controles são:

Documentação da política de segurança da Documentação da política de segurança da informação;Análise crítica da política de segurança da informaçãoAnálise crítica da política de segurança da informação.

2 - Organizando a Segurança da Informação

Seu objetivo é gerenciar a segurança da informação dentro da organização.S i d l ãSeus itens de controles são:Infra-estrutura da segurança da informação

Comprometimento da direção com a segurança da informação;

Coordenação da segurança da informação;

Atribuição de responsabilidades para a segurança da informaçãoAtribuição de responsabilidades para a segurança da informação.

Processo de autorização para os recursos de processamento da informação;

Acordos de confidencialidade;

Contato com autoridades;

Contato com grupos especiais;

Análise crítica independente de segurança da informação;

2 - Organizando a Segurança da Informação

Partes externas;Identificação dos riscos relacionados com partes externas;Identificando a segurança da informação, quando tratando com clientes;Identificando segurança da informação nos acordos com terceiros;

3 - Gestão de Ativos3 Gestão de Ativos

Seu objetivo é alcançar e manter a proteção adequada dos ativos da organização.Seus itens de controles são:

Responsabilidade pelos ativos;Responsabilidade pelos ativos;Inventário dos ativos;Proprietário dos ativos;op e á o dos a vos;Uso aceitável dos ativos;

Classificação da informação;Classificação da informação;Recomendações parar classificação;Rótulos e tratamento da informação.ó u os e a a e o da o ação.

4 - Segurança em Recursos Humanos

Seu objetivo é assegurar que os funcionários, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papéis, e reduzir o risco de roubo, fraude ou mau uso de recursos.Seus itens de controles são:Seus itens de controles são:

Antes da Contratação:Papéis e responsabilidades;Papéis e responsabilidades;Seleção;Termos e condições de contratação;Termos e condições de contratação;

4 - Segurança em Recursos Humanos

Durante a contratação:Responsabilidades da direção;Concientização, educação e treinamento em segurança da informação;Processo disciplinar;

Encerramento ou mudança da contratação:Encerramento ou mudança da contratação:Encerramento de atividades;E l ã d tiEvolução de ativos;Retirada de direitos de acesso;

5 - Segurança Física e do Ambiente5 Segurança Física e do Ambiente

Seu objetivo é prevenir o acesso físico não autorizado, danos e interferências com as instalações e informações da organização.Seus itens de controles são:

Áreas seguras:Perímetro de segurança;Perímetro de segurança;Controles de entrada física;Segurança em escritórios, salas e instalações;Segu a ça e esc ó os, sa as e s a ações;Proteção contra ameaças externas e do meio ambiente;Trabalhando em áreas seguras;g ;Acesso do público, áreas de entrega e de carregamento;

5 - Segurança Física e do Ambiente5 Segurança Física e do Ambiente

Segurança de equipamentos:Instalação e proteção do equipamento;Utilidades;Segurança do cabeamento;g ç ;Manutenção dos equipamentos;Segurança de equipamentos fora das dependências Segurança de equipamentos fora das dependências da organização;Reutilização e alienação segura de equipamentos;Reutilização e alienação segura de equipamentos;Remoção de propriedade;

6 - Gestão das Operações e Comunicações

Seu objetivo é garantir a operação segura e correta dos recursos de processamento da informação.Seus controles são:

Procedimentos e responsabilidades operacionais;Documentação dos procedimentos de operação;Gestão de mudanças;S ã d f õSegregação de funções;Separação dos recursos de desenvolvimento, teste e de produção;

Gerenciamento de serviços terceirizados:Gerenciamento de serviços terceirizados:Entrega de serviços;Monitoramento e análise crítica de serviços terceirizados;ç ;Gerenciamento de mudanças para serviços terceirizados;


Planejamento e aceitação dos sistemas:Gestão de capacidade;Aceitação de sistemas;

Proteção contra códigos maliciosos e códigos móveis:ç g gControles contra códigos maliciosos;Controles contra códigos móveis;g ;

Cópias de segurança:Cópias de segurança da informação;Cópias de segurança da informação;

Gerenciamento da segurança em redes:C l d dControles de redes;Segurança dos serviços de redes;


Manuseio de mídias:Gerenciamento de mídias removíveis;

D d ídiDescarte de mídias;

Procedimentos para tratamento de informação;

Segurança da documentação dos sistemas;Segurança da documentação dos sistemas;

Troca de informações;

Políticas e procedimentos para a troca de informações:Políticas e procedimentos para a troca de informações:Acordos para a troca de informações;

Mídias em trânsito;

Mensagens eletrônicas;

Sistemas de informação do negócio;


Serviços de comércio eletrônico:Comércio eletrônico;Transações on-line;Informações publicamente disponíveis;ç p p ;

Monitoramento:R i t d dit iRegistros de auditoria;Monitoramento do uso de sistema;Proteção das informações dos registros (log);Registros (log) de administrador e operador;Registros (log) de falhas;Sincronização dos relógios;

7 - Controle de Acesso7 Controle de Acesso

Seu objetivo é controlar o acesso à informação.Seus itens de controles são:Requisitos de negócio para controle de acesso;

Política de controle de acesso;

Gerenciamento de acesso do usuário:Gerenciamento de privilégios;

Gerenciamento de senha do usuário;

Análise crítica dos direitos de acesso de usuário;

R bilid d d á iResponsabilidade dos usuários:Uso de senhas;

Equipamento de usuário sem monitoração;Equipamento de usuário sem monitoração;

Política de mesa limpa e tela limpa;


Controle de acesso à rede:Política de uso dos serviços de rede;

Autenticação para conexão externa do usuário;Autenticação para conexão externa do usuário;

Identificação de equipamento em redes;

Proteção e configuração de portas de diagnóstico remotas;

Segregação de redes;

Controle de conexão de rede;

Controle de roteamento de redes;Controle de roteamento de redes;

Controle de acesso ao sistema operacional:Procedimentos seguros de entrada no sistema (log-on);

Identificação e autenticação de usuário;

Sistema de gerenciamento de senha;

U d l d Uso de utilitários de sistema;

Desconexão de terminal por inatividade;

Limitação de horário de conexão;


Controle de acesso à aplicação e à informação:Restrição de acesso à informação;Isolamento de sistemas sensíveis;

Computação móvel e trabalho remoto:Computação móvel e trabalho remoto:Computação e comunicação móvel;T b lh tTrabalho remoto;

8 - Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação

Seu objetivo é garantir que a segurança é parte integrante de sistemas de informação.S i d l ãSeus itens de controles são:Requisitos de segurança de sistemas de informação;

Análise e especificação dos requisitos de segurança;

Processamento correto nas aplicações;V lid ã d d d d dValidação dos dados de entrada;

Controle do processamento interno;

Integridade de mensagens;Integridade de mensagens;

Validação de dados de saída;

Controles criptográficos;Controles criptográficos;Política para o uso de controles criptográficos;

Gerenciamento das chaves;

8 - Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação

Segurança dos arquivos do sistema;Controle de software operacional;

P ã d d d d iProteção dos dados para teste de sistema;

Controle de acesso ao código-fonte de programa;

Segurança em processos de desenvolvimento e de suporte;Segurança em processos de desenvolvimento e de suporte;Procedimentos parar controle de mudanças;

Análise crítica técnica das aplicações após mudanças n sistema Análise crítica técnica das aplicações após mudanças n sistema operacional;

Restrições sobre mudanças em pacotes de software;

Vazamento de informações;

Desenvolvimento de terceirizado de software;

GGestão de vulnerabilidades técnicas;Controle de vulnerabilidades técnicas;

9 - Gestão de Incidentes e Segurança da Informação

Seu objetivo é assegurar que fragilidades e eventos de segurança da informação associados com sistemas de informação sejam comunicados permitindo a tomada de ação informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil.Seus itens de controles são:Seus itens de controles são:

Notificação de fragilidades e eventos de segurança da informação;informação;

Notificação de eventos de segurança da informação;Notificando fragilidades de segurança da informação;

Gestão de incidentes de segurança da informação e melhorias;

R bilid d diResponsabilidades e procedimentos;Aprendendo com os incidentes de segurança da informação;Coleta de evidências;

10 - Gestão da Continuidade do Negócio

Seu objetivo é não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos e assegurar a sua retomada falhas ou desastres significativos, e assegurar a sua retomada em tempo hábil, se for o caso.Seus itens de controles são:Seus itens de controles são:

Aspectos da gestão da continuidade do negócio, relativos à segurança da informação;

Incluindo segurança da informação no processo de gestão da continuidade de negócio;Continuidade de negócios e análise/ avaliação de riscos;C g / v ç ;Desenvolvimento e implantação de planos de continuidade relativos à segurança da informação;Estrutura do plano de continuidade do negócioEstrutura do plano de continuidade do negócio;Testes, manutenção e reavaliação dos planos de continuidade do negócio;

11 - Conformidade11 Conformidade

Seu objetivo é evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação.Seus itens de controles são:

Conformidade com requisitos legais;q gIdentificação da legislação vigente;Direitos de propriedade intelectual;Proteção de registros organizacionais;Proteção de dados e privacidade de informações pessoais;Prevenção de mau uso de recursos de processamento da informação;Prevenção de mau uso de recursos de processamento da informação;Regulamentação de controles de criptografia;

11 - Conformidade11 Conformidade

Conformidade com normas e políticas de segurança da informação e conformidade técnica;

Conformidade com as políticas e normas de segurança da informação;Verificação da conformidade técnica;

Considerações quanto à auditoria de sistemas de Considerações quanto à auditoria de sistemas de informação;

Controles de auditoria de sistemas de informação;Controles de auditoria de sistemas de informação;Proteção de ferramentas de auditoria de sistemas de informaçãoinformação

ISO/IEC 27001Luiz Eduardo Guarino de Vasconcelos

Introdução Introdução

O padrão de certificaçãoBaseada na BS 7799-2002 Parte 2Alinhada com ISO 9001 e 14001 (compatível)

ObjetivosObjetivosAtender todos os tipos de organizaçõesP d l t b l i l t Prover modelo para estabelecer, implementar, ..., e melhorar um SGSI

ISO/IEC 27001ISO/IEC 27001

“Importância da Segurança Informação”Quanto custará uma falha que implique na perda q p q pefetiva de informação ?Quais as consequências da utilização de Quais as consequências da utilização de informação por pessoas que dela possam fazer uso indevido e não autorizado ?indevido e não autorizado ?Qual o custo da diminuição de produtividade por

f lh d i ili ã d i f ã erros, falhas de sistema ou utilização de informação errada ?Você esta preparado para o próximo incidente com a sua informação ?


RequisitosTodas as atividades devem seguir um processo (PDCA)Objetivos de segurança precisam ser especificadosControles devem ser baseados na análise de riscoVerificação e melhoria do processo devem ser contínuas


Componentes da ISO 27001Sistema de gestão de segurança da informação ç ç(SGSI)Responsabilidade da direçãoespo sab dade da d eçãoAuditorias internasA li íti d SGSI l di ãAnalise crítica do SGSI pela direçãoMelhoria do SGI

ISO/IEC 27001SGSI

SGSIEstabelecer o SGSIImplementar e operar o SGSIMonitorar e analisar criticamente o SGSIManter e melhorar o SGSI

Requisitos de documentaçãoRequisitos de documentaçãoControle de DocumentosControle de registros

ISO/IEC 27001Responsabilidade da direção

Comprometimento da direçãoGestão de Recursos

Provisão de recursosTreinamento conscientização e competênciaTreinamento,conscientização e competência

ISO/IEC 27001Auditorias internas do SGSI

Auditorias internas do SGSI em intervalos planejados para determinar se SGSI:

atende requisitos da normaatendem aos requisitos de segurança identificadosq g çestá sendo executado conforme esperado

Procedimento documentado (responsabilidades Procedimento documentado (responsabilidades, requisitos para planejamento e execução da auditoria)auditoria)Os auditores não devem auditar seu próprio trabalho (objetividade e imparcialidade)

ISO/IEC 27001Análise crítica do SGSI pela Direção

Analise do SGSI em intervalos planejadosEntradas: resultado de auditorias e análises críticas, situação das ações preventivas e corretivas, vulnerabilidades não contempladas adequadamente nas análises anteriores, resultados, recomendações, mudanças.Saída: oportunidade de incluir melhorias e mudanças, modificação do SGSI (requisito de ç , ç ( qnegócio), necessidade de recursos, etc...

ISO/IEC 27001Melhoria do SGSI

Melhoria contínua por meio do uso da política estabelecida, resultados das auditorias, análise dos eventos monitorados, ações corretivas (etapas anteriores)Eliminação das não conformidades atraves de ações corretivas ou preventivasações corretivas ou preventivas

ISO/IEC 27001Certificação

Benefícios da certificaçãoCertificar que as melhores práticas estão sendo seguidasRequisitos GovernamentaisDiferencial de MarketingResultado natural de uma necessidade intrínseca dos tempos (terrorismo .... rsrsrs)

Empresas CertificadasNo Brasil apenas 15 organizações possuem certificado BS7799 2 d l S B M S BS7799-2, dentre elas: Serasa, Banco Matone, Samarco, Modulo Security, Unisys, PRODESP, SERPRO, Telefonica.M d l S it f i i i d d bt Modulo Security foi a primeira empresa do mundo a obter certificação ISO 27001

ReferênciasReferências

Tonelli Adriano Olimpio “Melhores praticas para gerenciamento de suporte a serviço de TI”.C i J A O b k P l L P L k M C Cazemier, Jacques A., Overbeek, Paul L. e Peters, Louk M.C. Best Practice for Security Management. Londres: The Stationery Office 1999Stationery Office, 1999.Criando um Grupo de Resposta a Incidentes de Segurança em Computaroes: Um Processo para Iniciar a ImplantaçãoComputaroes: Um Processo para Iniciar a ImplantaçãoAcessado em 27/07/2009

http://www cert br/certcc/csirts/Creating-A-CSIRT-br htmlhttp://www.cert.br/certcc/csirts/Creating-A-CSIRT-br.htmlhttp://www.iso.orghttp://www iec ch/http://www.iec.ch/

30.0 - bs7799

Documents