Beruflich Dokumente
Kultur Dokumente
SEGURANA DA INFORMAO
Tpicos Avanados em Segurana de
Sistemas Computacionais 1
Prof. MSc Rodrigo Vilela da Rocha
Agenda
Apresentao da disciplina
Apresentao Pessoal
Mtodos de Avaliao
Cronograma
Mtodo de estudo
Introduo
Padres
HSM
Mdulos criptogrficos;
Cartes inteligentes;
Tokens criptogrficos;
Biometria
Apresentao da disciplina:
TPICOS AVANADOS EM SEGURANA DE
SISTEMAS COMPUTACIONAIS 1:
Padres em segurana da Informao;
HSMs (Mdulo de Segurana de Hardware);
Mdulos criptogrficos;
Cartes inteligentes;
Tokens criptogrficos;
Biometria.
Mtodos de Avaliao
Introduo
Segurana
Segurana da Informao
A informao, independente de seu
formato, um ativo importante da
organizao. Por isso, os ambientes e
os equipamentos utilizados para seu
processamento, seu armazenamento e
sua transmisso devem ser protegidos.
A informao
organizao.
tem
valor
para
Segurana da Informao
Princpios da Segurana
Confidencialidade
Segurana
Integridade
Disponibilidade
10
11
12
13
Porque SI necessria?
- Confidencialidade, integridade e disponibilidade
14
Requisitos de segurana
Avaliar os riscos dos ativos
vulnerabilidades;
ameaas;
probabilidade de incidentes;
impacto ao negcio.
15
16
da informao
Objetivo da organizao: conformidade
17
18
melhores prticas
ISO/IEC 17799:2005: disponvel maio/junho 2005
19
setembro de 2001
Traduo literal da norma ISO
www.abnt.org.br
No Brasil, deve-se usar a norma brasileira
As normas tem que ser pagas
http://www.abntcatalogo.com.br/
Ex: http://www.abntcatalogo.com.br/norma.aspx?ID=306580 R$ 113,00
20
Vantagens
Proteo das informaes confidenciais da
Empres/Instituio
Metodologia estruturada de segurana que est
gerenciamento de riscos
Reduo no risco de ataques de hackers
Recuperao de ataques mais fcil e rpidas
21
Vantagens
Melhores prticas de privacidade e conformidade
computacionais
22
23
Histrico
Em 1987 o departamento de comrcio e indstria do Reino
24
Histrico
Aps incorporar diversas sugestes e alteraes
25
Histrico
Em outubro de 2005, British Standard BS 7799 parte 2
26
27
28
2. Infra-estrutura de segurana
Comprometimento da Direo com a segurana
Coordenao do SGSI
Atribuies de responsabilidades para a segurana da
informao
Processos de autorizao.
Acordos de confidencialidade.
Contrato com autoridades
Contrato com grupos especiais.
Analise critica independente
Partes externas
Identificao dos riscos relacionados com partes
externas.
Identificando a S.I. quando tratando com os clientes.
Segurana nos acordos com terceiros
29
30
Antes da contratao
Durante a contratao
Encerramento ou mudana de contratao
31
32
Troca de informaes
Servios de Comercio Eletrnico
Monitoramento
33
7. Controles de acessos
Requisitos de negcio para controle de acesso
Gerenc.de Acessos de Usurio
Responsabilidades dos Usurios
Controle de acessos a rede
Controle de acesso ao Sistema Operacional
Controle de acesso aplicativos e informao
Computao Mvel e Trab.Remoto
34
8. Aquisio Desenvolvimento e
Manuteno de Sistemas de Informao
Requisitos de Seguranas de Sistemas de
Informao
Processamento Correto de Aplicaes
Controles Criptogrficos
Segurana dos Arquivos do Sistema
Segurana em processos de Desenvolvimento e
de Suporte
Gesto de Vulnerabilidades Tcnicas
35
9. Gesto de incidentes
Notificao de Fragilidade e eventos de
segurana da Informao
Gesto de Incidente de Segurana da
Informao e Melhorias
36
segurana da Informao
37
11. Conformidade
Conformidade com Requisitos Legais.
Conformidade Tcnica
Conformidade quanto Auditoria de Sistemas de
Informao
38
39
Algumas Consideraes
A SI est relacionada com o faturamento de uma empresa,
40
Algumas Consideraes
A norma flexvel e genrica.
A implantao da Norma em determinado ambiente
41
ISO 27001
A norma ISO 27001 o padro e a referncia Internacional
para a gesto da Segurana da informao, assim como o
padro ISO 9001 que a referncia Internacional para a
certificao de gesto em Qualidade.
42
ISO 27001
Este Sistema de Gesto de Segurana da Informao
Calculadora:
http://www.iso27001standard.com/pt-br/ferramentasgratuitas/duracao-da-implementacao
43
ISO 27001:
44
ISO/IEC 15408
um padro internacional conhecido como Common
desenvolvimento de sistemas.
45
ISO/IEC 15408
Framework
Padroniza
46
PUBLICATION
Nome do Padro:
Requisitos de segurana para mdulos criptogrficos (FIPS PUB 140-2).
http://csrc.nist.gov/publications/fips/fips140-2/fips1402.pdf
47
48
49
CMVP
O Programa de Validao de mdulo criptogrfico (CMVP) valida