Sie sind auf Seite 1von 49

ESPECIALIZAO EM

SEGURANA DA INFORMAO
Tpicos Avanados em Segurana de
Sistemas Computacionais 1
Prof. MSc Rodrigo Vilela da Rocha

Agenda
Apresentao da disciplina
Apresentao Pessoal
Mtodos de Avaliao
Cronograma
Mtodo de estudo

Introduo
Padres
HSM
Mdulos criptogrficos;
Cartes inteligentes;
Tokens criptogrficos;
Biometria

Apresentao da disciplina:
TPICOS AVANADOS EM SEGURANA DE
SISTEMAS COMPUTACIONAIS 1:
Padres em segurana da Informao;
HSMs (Mdulo de Segurana de Hardware);
Mdulos criptogrficos;
Cartes inteligentes;
Tokens criptogrficos;

Biometria.

Mtodos de Avaliao

Introduo

Segurana

Segurana da Informao
A informao, independente de seu
formato, um ativo importante da
organizao. Por isso, os ambientes e
os equipamentos utilizados para seu
processamento, seu armazenamento e
sua transmisso devem ser protegidos.
A informao
organizao.

tem

valor

para

Segurana da Informao

o conjunto de orientaes, normas,


procedimentos, politicas e demais aes que tem
por objetivo proteger o recurso informao,
possibilitando que o negcio da organizao seja
realizado e a sua misso seja alcanada.

Princpios da Segurana

Confidencialidade

Segurana
Integridade

Disponibilidade

10

Proteger a informao significa garantir:


Disponibilidade: a informao deve estar acessivel para

o funcionamento da organizao e para o alcance de


seus objetivos e misso.
Integridade:

a informao deve estar correta, ser


verdadeira e no estar corrompida.

Confiabilidade: a informao deve ser acessada e

utilizada exclusivamente pelos que necessitam dela para


a realizao de suas atividades; para tanto, deve existir
uma autorizao prvia.

11

Proteger a informao significa garantir:


Legalidade: o uso da informao deve estar de acordo

com as leis aplicveis, regulamentos, licenas e


contratos, bem como com o princpios ticos seguidos
pela organizao.
Auditabilidade: o acesso e uso da informao devem ser

registrados, possibilitando a identificao de quem fez o


acesso e o que foi feito com a informao.
No repdio de auditoria: o usurio que gerou a

informao (ex: e-mail) no pode negar o fato, pois


existem mecanismos que garantem sua autoria

12

Para obter a SI:


Implementar controles para garantir
que os objetivos de segurana sejam
alcanados

13

Porque SI necessria?
- Confidencialidade, integridade e disponibilidade

so essenciais para preservar o negcio


- A informao, processos, sistemas e redes so

importantes ativos para os negcios


- As informaes so constantemente ameaadas

- Dependncia dos SIs gera vulnerabilidades

- Quase nada projetado para ser seguro

14

Requisitos de segurana
Avaliar os riscos dos ativos
vulnerabilidades;
ameaas;
probabilidade de incidentes;
impacto ao negcio.

As organizaes devem atender:


legislao vigente;
estatutos;
regulamentao;
clusulas contratuais.

15

Padres em segurana da Informao

Adotado (Menezes, 2008)

16

Norma BS 7799 (BS = British Standard, Padro Britnico)


BS-7799-1:2000 Primeira parte
Publicada em 1995 pela primeira vez
Verso atual de 2000

Cdigo de prtica para a gesto da segurana

da informao
Objetivo da organizao: conformidade

17

Norma BS 7799 (BS = British Standard, Padro Britnico)


BS-7799-2:2002 Segunda parte
Publicada em 1998 pela primeira vez
Verso atual de 2002

Especificao de sistemas de gerenciamento

de segurana da informao (ISMS


information security management system)
Objetivo da organizao: certificao

18

Norma ISO/IEC 17799


Internacionalizao da norma BS 7799
ISO/IEC 17799:2000, substitui a norma britnica

Inclui 127 controles e 36 objetivos de controle

agrupados em 10 reas de controle


Controles baseados na experincia das organizaes e

melhores prticas
ISO/IEC 17799:2005: disponvel maio/junho 2005

19

Norma NBR 17799


NBR ISO/IEC 17799
Verso brasileira da norma ISO, homologada pela ABNT em

setembro de 2001
Traduo literal da norma ISO
www.abnt.org.br
No Brasil, deve-se usar a norma brasileira
As normas tem que ser pagas
http://www.abntcatalogo.com.br/
Ex: http://www.abntcatalogo.com.br/norma.aspx?ID=306580 R$ 113,00

20

Vantagens
Proteo das informaes confidenciais da

Empres/Instituio
Metodologia estruturada de segurana que est

alcanando reconhecimento internacional


Conformidade com regras dos governos para o

gerenciamento de riscos
Reduo no risco de ataques de hackers
Recuperao de ataques mais fcil e rpidas

21

Vantagens
Melhores prticas de privacidade e conformidade

com leis (normas) de privacidade


Maior confiana mtua entre parceiros comerciais
Custos menores para seguros de riscos

computacionais

22

NORMA ISO/IEC 17799


O objetivo da norma o de garantir a continuidade dos

negcios por meio da implantao de controles e reduzir as


possibilidades de perda das informaes da organizao.
Compilao de recomendaes para melhores prticas de
segurana, que podem ser aplicadas por qualquer tipo de
organizao.
Padro flexvel.
Neutra com relao tecnologia.

23

Histrico
Em 1987 o departamento de comrcio e indstria do Reino

Unido (DTI) criou um centro de segurana de informaes, o


CCSC (Commercial Computer Security Centre).
O CCSC teve como objetivo de criar uma norma de

segurana das informaes para o Reino Unido.


Desde 1989 vrios documentos preliminares foram

publicados, e em 1995 surgiu a BS7799 (British Standart


7799).
Esse documento foi disponibilizado em duas partes para

consulta pblica, a 1 parte em 1995 e a 2 parte em 1998.

24

Histrico
Aps incorporar diversas sugestes e alteraes

(01/12/2000), a BS7799 ganhou status internacional com sua


publicao na forma da ISO/IEC 17799:2000.
A ABNT homologou a verso brasileira da norma (setembro

de 2001), denominada NBR ISO/IEC 17799.


Em 24 de abril de 2003 foi realizado um encontro em

Quebec, no qual uma nova verso da norma revisada foi


preparada. Essa nova verso da ISO/IEC 17799 foi lanada
2005.

25

Histrico
Em outubro de 2005, British Standard BS 7799 parte 2

(BS7799-2) foi adotado pela ISO e re-identificado,


iniciando a nova srie 27000 de padres internacionais
para segurana da informao,
lanado como norma ISO/IEC 27001:2005.
De 2001 a 2004, a norma internacional ISO 17799

(BS7799-1) passou por ampla reviso, e originou a nova


verso ISO/IEC 17799:2005 publicada em junho de 2005.
E em julho de 2007, o padro 17799:2005 foi renumerado

para 27002:2005 (atravs do ISO/IEC


17799:2005/Cor.1:2007), integrando a nova srie 27000

26

NBR ISO/ IEC 17799:2005


Tecnologia de Informao Tcnicas de Segurana

Cdigo de prtica para a gesto da segurana da


informao
Possui onze sees de controle (macro-controles).
Cada um destes controles subdividido em vrios outros

controles (a norma possui um total de 137 controles de


segurana).
http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=50297
https://www.iso.org/obp/ui/#iso:std:iso-iec:27002:ed-1:v1:en

27

1. Poltica de Segurana da Informao


Documento

Analise crtica das polticas

28

2. Infra-estrutura de segurana
Comprometimento da Direo com a segurana
Coordenao do SGSI
Atribuies de responsabilidades para a segurana da

informao
Processos de autorizao.
Acordos de confidencialidade.
Contrato com autoridades
Contrato com grupos especiais.
Analise critica independente
Partes externas
Identificao dos riscos relacionados com partes
externas.
Identificando a S.I. quando tratando com os clientes.
Segurana nos acordos com terceiros

29

3. Controle e Classificao de Ativos


Gesto de Ativos

Responsabilidade pelos ativos


Classificao da Informao

30

4. Segurana em Recursos Humanos

Antes da contratao
Durante a contratao
Encerramento ou mudana de contratao

31

5. Segurana Fsica e do Ambiente


reas Seguras
Segurana dos Equipamentos

32

6. Gerenciamento das Operaes e comunicaes


Procedimentos e Responsabilidades Operacionais
Gerenciamento de Servios Terceirizados
Planejamento e aceitao dos Sistemas
Proteo contra Cdigos Maliciosos e Cdigos mveis
Cpias de Segurana
Ger. Da Segurana da Rede
Manuseio de mdias

Troca de informaes
Servios de Comercio Eletrnico
Monitoramento

33

7. Controles de acessos
Requisitos de negcio para controle de acesso
Gerenc.de Acessos de Usurio
Responsabilidades dos Usurios
Controle de acessos a rede
Controle de acesso ao Sistema Operacional
Controle de acesso aplicativos e informao
Computao Mvel e Trab.Remoto

34

8. Aquisio Desenvolvimento e
Manuteno de Sistemas de Informao
Requisitos de Seguranas de Sistemas de

Informao
Processamento Correto de Aplicaes
Controles Criptogrficos
Segurana dos Arquivos do Sistema
Segurana em processos de Desenvolvimento e
de Suporte
Gesto de Vulnerabilidades Tcnicas

35

9. Gesto de incidentes
Notificao de Fragilidade e eventos de

segurana da Informao
Gesto de Incidente de Segurana da

Informao e Melhorias

36

10. Gesto da continuidade dos


negcios
Gesto da Continuidade do Negcio, Relativos

segurana da Informao

37

11. Conformidade
Conformidade com Requisitos Legais.

Conformidade com Normas, Polticas do SGSI e

Conformidade Tcnica
Conformidade quanto Auditoria de Sistemas de
Informao

38

Checklist ISO 17799


Elaborado por SANS (System Administration,

Networking and Security Institute) USA


mais de 156 mil profissionais de segurana,
auditores, administradores de sistemas e redes.
Direcionado aos profissionais de TI e Segurana da
Informao que necessitam auditar o nvel de
segurana de suas empresas.
http://www.sans.org/score/checklists/ISO_17799_checklist.pdf

Verso no-oficial em PT:


http://www.linuxsecurity.com.br/info/general/iso17799.checklist.pt-BR.pdf

39

Algumas Consideraes
A SI est relacionada com o faturamento de uma empresa,

sua imagem e sua reputao.


As consequncias de incidentes de segurana podem ser

desastrosas, mas podem ser evitadas.


A ISO17799 ampara os mais diversos tpicos da rea de

segurana e possui um grande nmero de controles e


requerimentos.

40

Algumas Consideraes
A norma flexvel e genrica.
A implantao da Norma em determinado ambiente

no to simples e envolve muitos procedimentos.


Pode ser considerada a norma mais importante
para a gesto da segurana da informao.
Estabelece uma linguagem internacional comum
para todas as organizaes do mundo.
uma ferramenta essencial para empresas de
qualquer tipo ou tamanho.

41

ISO 27001
A norma ISO 27001 o padro e a referncia Internacional
para a gesto da Segurana da informao, assim como o
padro ISO 9001 que a referncia Internacional para a
certificao de gesto em Qualidade.

A adopo da norma ISO 27001 serve para que as


organizaes adoptem por um modelo adequado de
estabelecimento,
implementao,
operao,
monitorizao, reviso e gesto de um Sistema de Gesto
de Segurana da Informao
http://www.abntcatalogo.com.br/norma.aspx?ID=306580

42

ISO 27001
Este Sistema de Gesto de Segurana da Informao

(SGSI) , de acordo com os princpios da norma ISO


27001, um modelo completo de abordagem Segurana
e independente de marcas e fabricantes tecnolgicos.
completo porque acaba por ser uma abordagem 360

Segurana da Informao, trata de mltiplos temas tais


como as telecomunicaes, segurana aplicacional,
proteo do meio fsico, recursos humanos, continuidade
de negcio, licenciamento, etc.

Calculadora:

http://www.iso27001standard.com/pt-br/ferramentasgratuitas/duracao-da-implementacao

43

Diferenas entre 17799 e 27001


ISO 17799:

Cdigo de prticas para a gesto da segurana da


informao (So Recomendaes)
certificao BS 7799 (part1)

ISO 27001:

Sistemas de Gesto de Segurana da Informao


Requisitos (so obrigatrias)
certificao ISO 27001
Podemos dizer que ISO 17799 est contida na ISO 27001

44

ISO/IEC 15408
um padro internacional conhecido como Common

Criteria (CC Critrios Comuns) para segurana de


computadores.
Padro utilizado para definir regras de segurana lgica

das aplicaes e para o desenvolvimento de aplicaes


seguras.
Mtodo para avaliao da segurana de ambientes de

desenvolvimento de sistemas.

45

ISO/IEC 15408
Framework

em que os usurios de sistemas


computacionais especificam seus requisitos funcionais de
segurana e garantia.

Padroniza

de uma forma rigorosa o processo de


especificao, implementao e avaliao de um produto
de segurana computacional.

46

FIPS PUB 140


FEDERAL INFORMATION PROCESSING STANDARDS

PUBLICATION
Nome do Padro:
Requisitos de segurana para mdulos criptogrficos (FIPS PUB 140-2).

http://csrc.nist.gov/publications/fips/fips140-2/fips1402.pdf

47

FIPS PUB 140


O Padro especifica os requisitos de segurana que sero atendidos

por um mdulo criptogrfico utilizado dentro de um sistema de


segurana que protege informaes sensveis, mas no classificados.
A norma prev quatro nveis crescentes, qualitativos de segurana:
Nvel 1 (utilizado em produtos exclusivos de software criptogrficos)
Nvel 2 (requer autenticao pelo cargo do usurio, requer a capacidade de detectar

intruses fsicas por sistemas de bloqueio fsicos ou selos de segurana)


Nvel 3 (adiciona resistncia invaso fsica para fins de desmontagem ou
modificao, torna os ataques mais difceis, o dispositivo deve ser capaz de eliminar
os parmetros de segurana crticas e proteo eficaz e gerenciamento de chaves de
criptografia
Nvel 4 (inclui proteo contra intruso avanada e projetado para produtos que
operam em ambientes fisicamente desprotegidos)

so destinados a cobrir a ampla escala de aplicaes e ambientes que

podem ser utilizados nos mdulos criptogrficos.

48

FIPS PUB 140

Os requisitos de segurana cobre reas relacionadas ao design seguro e

implementao de um mdulo criptogrfico. Estas reas incluem:


a especificao do mdulo criptogrfico,
portas do mdulo de criptografia e interfaces;
funes,
servios e autenticao;
modelo de estado finito;
segurana fsica;
ambiente operacional;
gerenciamento de chaves de criptografia;
interferncia eletromagntica / compatibilidade eletromagntica (EMI /
EMC);
auto-testes;
garantia do projeto;
e mitigao de outros ataques

49

CMVP
O Programa de Validao de mdulo criptogrfico (CMVP) valida

mdulos criptogrficos (FIPS) 140-2 e outros padres baseados em


criptografia.
O CMVP um esforo conjunto entre o NIST e Communications

Security Establishment (CSE) do Governo do Canad.


O objetivo do CMVP promover o uso de mdulos de criptografia

validados e fornecer rgos federais com uma mtrica de segurana


para uso em equipamentos que contenham mdulos criptogrficos
validados na aquisio.

Das könnte Ihnen auch gefallen