PROJETO DE REDES

www.projetoderedes.com.br

A dit i e Anlise
Auditoria
A li d
de
Segurana da Informao
Padres de Segurana

Prof. Jos Maurcio S. Pinheiro - UGB - 2009

Padres de Segurana
A avaliao de padres de segurana
de computadores define vrios nveis de
segurana.
segurana
Estes nveis descrevem diferentes tipos
de segurana fsica,
fsica autenticao de
usurio, confiabilidade do sistema
operacional,
i
l e aplicaes
li
de
d usurio.
i
2

Controles de Acesso
Os controles de acesso, fsicos ou
lgicos, tm como objetivo proteger
equipamentos,
q p
, aplicativos
p
e arquivos
q
de
dados contra perda, modificao ou
divulgao no autorizada.
autorizada

Controle de acesso fsico

Controle de acesso lgico

Controles de Acesso
A proteo aos recursos computacionais
baseia-se nas necessidades de acesso
de cada usurio.
A identificao e autenticao do
usurio so feitas por meio de um
id tifi d de
identificador
d usurio
i (ID) e por uma
senha durante o processo de entrada
(logon) no sistema.
4

Nveis de Segurana
Os SO esto classificados em quatro
categorias: A, B, C, D, ordenados de
maneira hierrquica crescente,
crescente com a maior
diviso (A) reservada aos sistemas que
oferecem
f
maior
i nvel
l de
d segurana.
Nas divises C e B existem subdivises
conhecidas como classes as quais tambm
esto ordenadas hierarquicamente.
hierarq icamente
5

Nvel A (Desempenho Verificado)

Trata-se do nvel mais alto especificado
p
nos padres de segurana das redes de
computadores.
computadores
Inclui p
projeto
j
e controle
processo de verificao.

rgidos
g

Atribudo aos sistemas operacionais que

possuem ferramentas ou capacidades de
garantir a segurana total, no
apresentando falhas de segurana.
segurana
6

Nvel B1 (Segurana Criptografada)

Suporta
p
segurana
g
de mltiplos
p
nveis,
estabelecendo que um objeto sob
controle de acesso obrigatrio no pode
ter suas permisses mudadas pelo
proprietrio do objeto.
objeto
Este nvel atribudo aos sistemas
operacionais que tambm possuem
f
ferramentas
t
ou capacidades
id d
d garantir
de
ti
a segurana em um nvel mdio.
7

Nvel B2 (Proteo Estruturada)

Atribudo aos sistemas operacionais
p
que
q
tambm possuem ferramentas ou
capacidades de garantir a segurana em
um nvel mdio.
O aspecto que o diferencia do nvel B1
a sua capacidade de armazenamento de
g
de acesso ao sistema p
por
todos os logins
um tempo mnimo de 7 anos.
8

Nvel B3 (Domnios de Segurana)

Nvel
atribudo
aos
sistemas
operacionais que possuem ferramentas
ou capacidades de garantir a segurana
em um nvel bastante alto.
O custo do projeto deve satisfazer as
exigncias do sistema monitor de
segurana e ser razoavelmente imune s
invases e pequeno para que possa ser
submetido a anlises e testes.
9

Nvel C1 (Proteo Arbitrria)

Nvel
atribudo
aos
sistemas
operacionais que possuem ferramentas
ou capacidade de garantir a segurana
sob aspectos mnimos, sem grandes
valores de segurana.
segurana
O custo do projeto de segurana
satisfaz as exigncias de segurana
discricionria,

separando os usurios

dos dados.
10

Nvel C2 (Acesso Controlado)

Alm das caractersticas especificadas
p
para o Nvel de segurana C1, o Nvel
C2 soma caractersticas de segurana
que criam um ambiente de acesso
controlado.
controlado
Especifica
f
que o sistema pode ser
auditado ((registro
g
de auditoria p
para cada
evento de sistema).
11

Nvel D
Aplica-se
p
aos sistemas operacionais
p
que no distinguem um usurio de
outro e no tem nenhum mtodo
definido de determinar quem est
usando o sistema.
sistema
Este tipo de sistema muito
encontrado
em
ambientes
e
plataformas monousurio.
12

Gerenciamento de Riscos
O risco definido como a expectativa
p
de perda expressiva ou a probabilidade
de uma ameaa explorar uma falha de
segurana, causando algum resultado
prejudicial.
prejudicial
O que no
se conhece
h
no
se pode
d controlar.
t l
O que no se controla no se pode mensurar.
O que no se mensura no se pode gerenciar.
gerenciar
O que no se gerencia no se pode aprimorar.
13

Gerenciamento de Riscos
Ciclo de Segurana da Informao

14

Gerenciamento de Riscos
PDCA

15

Gerenciamento de Riscos
GERENCIAMENTO E MAPEAMENTO DE PROCESSO
1 passo - Levante os processos / atividades;
Levante em conjunto com os colaboradores que executam estes processos /
atividades,
ti id d
neste
t momento
t no
se preocupe com o seqencial

i l dos
d processos /
atividades, s identifique os processos e quais atividades esto ligadas a este
processo;
Processo: Dentro de processo existe um conjunto de atividades seqenciais
(conectadas), relacionadas e lgicas, que tem entradas, processamento e
produzem uma sada para um cliente interno ou externo;
Atividades: so aes que ocorrem dentro do processo. So geralmente
desempenhadas por uma unidade (pessoa ou departamento) para produzir um
resultado particular. Elas constituem a maior parte dos fluxogramas;

16

Gerenciamento de Riscos
GERENCIAMENTO E MAPEAMENTO DE PROCESSO (cont.)
2 passo - Ordenar em forma seqencial;
muito importante que todos os envolvidos no processo tenham a clara
compreenso
de
d sua natureza
t
(
(comeo
/ meio
i e fim),
fi ) d preferncia
f i utilize
tili
fluxogramas, pois facilitam os colaboradores a entenderem melhor o
funcionamento de seus processos. Tenha bom senso em determinar qual o
nvel do detalhamento,
detalhamento para isso anlise o resultado que voc espera com este
trabalho;

3 passo - Definir a documentao necessria para operao e controle;

Identifique os recursos incluindo infra
infra-estrutura
estrutura, Insumos,
Insumos matria
matria-prima
prima. Defina
os tipos de documento que sero necessrios para controlar os processos
(manual, procedimento, formulrios,...) utilize formatos padronizados, tenha
controle de aprovao e de alterao deste documentos;
17

Gerenciamento de Riscos
GERENCIAMENTO E MAPEAMENTO DE PROCESSO (cont.)
4 passo - Estabelecer as caractersticas do produto / servio, com parmetro de
aceitao;
Defina
D
fi
claramente
l
t o que o cliente
li t espera, com isso
i
d fi
defina
os parmetros
t
d
de
aceitao de seus produtos / servios, em periodicidade definida consulte seu
cliente para revalidar estes parmetros;

5 passo - Definir os responsveis pelos processos;

Diferente dos departamentos de uma organizao que tem seus limites
definidos (inclusive responsabilidades), um processo pode atravessar
diversos departamentos,
departamentos sendo necessrio designar um dono
dono do processo
processo
que tenha a viso e coordene o processo;

18

Gerenciamento de Riscos
GERENCIAMENTO E MAPEAMENTO DE PROCESSO (cont.)
6 passo - Estabelecer os indicadores que demonstrem a eficcia de cada
processo;
Traduza
T
d
os requisitos
i it
d
dos
clientes
li t
em medidas
did
d desempenho.
de
d
h
Li
Ligar
diretamente as medidas de desempenho do processo s necessidades dos
clientes um dos aspectos mais eficazes da gesto do processo;

7 passo - Identificar os registros necessrios para demonstrar a conformidade

do produto / servio e que os processos so capazes;
Ter uma banco de dados confivel importantssimo para analisarmos os
indicadores por isso,
indicadores,
isso de extrema importncia,
importncia alm de definirmos os
indicadores, termos devidos registros de onde vamos retirar as informaes
para anlise.
19

Gerenciamento de Riscos
Mtodos de Avaliao de Riscos
rvore de Deciso de Risco
OCTAVE
Grau de Proteo de Recursos (GPR)

20