Académique Documents
Professionnel Documents
Culture Documents
Segurana de Redes
Aula 8
Polticas de Segurana da Informao
Prof. Joo Henrique Kleinschmidt
Poltica de SI
Poltica de
Segurana da Informao (SI)
a documentao das
decises de SI
NIST Security Handbook
Poltica de SI
Poltica de SI
ou
Polticas de SI ?
Tipos de polticas
1. Programa de Poltica (organizacional)
Diretrizes da diretoria para criar um programa de
segurana, estabelecer os seus objetivos e atribuir
responsabilidades
3. Polticas de sistemas
Implementao de Polticas
Padres
Uniformidade de uso de tecnologias, parmetros ou
procedimentos, para beneficiar a organizao
Ex: Uso de Windows XP (mesmo existindo Windows 7)
Diretrizes
Procedimentos
NBR/ISO 27002
Poltica de Segurana
Clusula de controle (rea)
5. Poltica de segurana da informao
Sub-clusula: 5.1. Poltica de segurana da informao
Sub-sub-clusula: 5.1.1. Documento da Poltica de SI
Sub-sub-clusula: 5.1.2. Anlise crtica e avaliao
NBR/ISO 27002
Poltica de Segurana
Sub-sub-clusula 5.1.1
Documento da Poltica de SI
Convm que um documento da poltica seja aprovado
pela direo, publicado e comunicado, de forma
adequada para todos os funcionrios
Convm que este expresse as preocupaes da
direo e estabelea as linhas-mestras para a gesto
da segurana da informao
No mnimo, convm que as seguintes orientaes
sejam includas:
NBR/ISO 27002
Poltica de Segurana
1. Definio da SI, resumo das metas e escopo e a
importncia da segurana como um mecanismo que
habilita o compartilhamento da informao
2. Declarao do comprometimento da alta direo,
apoiando as metas e os princpios da SI
3. Breve explanao das polticas, princpios, padres e
requisitos de conformidade de importncia especfica
para a organizao
Conformidade com a legislao e clusulas contratuais
Requisitos na educao de segurana
NBR/ISO 27002
Poltica de Segurana
4. Definio das responsabilidades gerais e especficas na
gesto da SI, incluindo os registros de incidentes de
segurana
5. Referncias documentao que possam apoiar a
poltica, por exemplo, polticas e procedimentos de
segurana mais detalhados de sistemas de informao
especficos ou regras que convm que os usurios sigam
NBR/ISO 27002
Poltica de Segurana
Sub-sub-clusula 5.1.2
Anlise crtica e avaliao
Convm que a poltica tenha um gestor que seja
responsvel por sua manuteno e anlise crtica, de
acordo com um processo definido
Convm que este processo garanta que a anlise
crtica ocorra como decorrncia de qualquer mudana
que venha a afetar a avaliao de risco original, como
Um incidente de segurana significativo
Novas vulnerabilidades
Mudanas organizacionais ou na infra-estrutura tcnica
NBR/ISO 27002
Poltica de Segurana
1. Efetividade da poltica, demonstrada pelo tipo,
volume e impacto dos incidentes de segurana
registrados
2. Custo e impacto dos controles na eficincia do
negcio
3. Efeitos das mudanas na tecnologia
Poltica: componentes
Objetivo
Por que a poltica?
Escopo
Toda a organizao ou parte dela?
Responsabilidades
Quem so as pessoas? Estrutura formal?
Conformidade
Como fiscalizar?
O que acontece para quem no cumprir?
Intencional, no-intencional (falta de treinamento?)
Polticas temticas
Abrangem a organizao inteira e tratam de assuntos
especficos de interesse da organizao
Deve ser bancada por alguma gerncia snior
Quanto mais controverso o tema, mais importante deve ser a
pessoa que banca a poltica
Polticas temticas:
componentes
Enunciado da poltica
Posio oficial da organizao sobre a poltica
Aplicabilidade
Onde, como, quando, quem?
Papis e responsabilidades
Conformidade
Pontos de contato
Informaes adicionais
Polticas de sistemas
Programa de poltica e polticas temticas tratam
questes abrangentes para toda a organizao
No dizem quais aes devem ser tomadas, como
devem ser feitas as configuraes, etc.
Polticas de sistemas tratam de problemas
especficos, para segurana de sistemas
especficos
Modelo de polticas de sistemas
Objetivos de segurana
Regras operacionais de segurana
Implementao da poltica
Polticas de sistemas
Objetivos de segurana
Requer anlise da necessidade de integridade,
confidencialidade e disponibilidade
Deve ser concreto e bem definido
Srie de declaraes que descrevem aes
significativas sobre recursos especficos
Devem ser baseados nos requisitos de misso ou
funo do sistema
Devem garantir que a poltica seja aplicvel
Polticas de sistemas
Regras operacionais
Regras de operao devem ser definidas
Quem pode ter acesso fsico ao sistema?
Quem pode consultar, alterar, remover as informaes
mantidas pelo sistema?
Quem pode ligar/desligar equipamentos?
Nvel de formalidade
Polticas formais so mais facilmente seguidas
Grau de detalhamento
Alto: facilita a deteco de violao, mas pode inviabilizar a sua
implementao
Polticas de sistemas
Implementao
A tecnologia desempenha um papel importante nas
polticas de sistemas, mas no nico
Questes no tecnolgicas no devem ser desprezadas
Ex: Documentos confidenciais somente podem ser impressos na
impressora XYZ
Como garantir que pessoas no autorizadas tenham acesso fsico
impressora? (ou seja, elas podem no ter acesso aos arquivos, mas
tambm devem ser mantidas longe do papel)
Exemplos
Configurar PCs para no dar boot por unidade externa (pendrive, CD/DVD, HD externo)
Proibir (ou limitar) o uso de modems nas mquinas
Polticas de Sistemas
Componentes
Objetivo
Escopo
Poltica
Pontos especficos que devem ser seguidos
Imposio e conformidade
Glossrio / definies
Histrico de revises
Escopo
Todos os roteadores e switches conectados na rede
de produo da <organizao> so afetados
Roteadores em laboratrios internos/seguros so
excludos
Poltica de Segurana de TI
Universidade da Califrnia
Introduo
Poltica
Papis e Responsabilidades
Gerentes administrativos
Provedores de servios (qualquer um que faa servio)
Usurios
Principais elementos de segurana
Segurana lgica
Segurana fsica
Privacidade e Confidencialidade
Recursos
Contatos
Recursos
Poltica de Segurana de TI
Universidade da Califrnia
http://socrates.berkeley.edu:2002/IT.sec.policy.html
Poltica de Segurana de TI
Universidade da Califrnia
Poltica de Segurana de TI
Universidade da Califrnia
Poltica de Segurana de TI
Universidade da Califrnia
Introduo
Para cumprir a sua misso de ensino, pesquisa e
servio pblico, o campus est comprometido com a
oferta de uma rede segura, mas aberta, que protege a
integridade e confidencialidade da informao ao
mesmo tempo que mantm a sua acessibilidade
Poltica de Segurana de TI
Universidade da Califrnia
Poltica
Cada membro da comunidade do campus responsvel
pela segurana e proteo dos recursos de
informao eletrnica sobre os quais tem controle
Recursos a serem protegidos incluem redes,
computadores, software e dados
A integridade fsica e lgica desses recursos deve ser
protegida contra ameaas como intruses no
autorizadas, uso malicioso ou transgresso
inadvertida
Atividades terceirizadas para entidades de fora do
campus devem ser compatveis com os mesmos
requisitos de segurana
Poltica de Segurana de TI
Universidade da Califrnia
Papis e Responsabilidades - Administradores
Identificar os recursos de informao eletrnica dentro das
sua reas de controle
Definir o propsito e funo dos recursos e assegurar que o
treinamento e documentao necessrios so oferecidos
conforme a necessidade
Estabelecer nveis aceitveis de riscos de segurana para os
recursos, avaliando fatores como
Sensibilidade dos dados (pesquisas, etc)
Nvel de criticidade para a operao das atividades do campus
...
Poltica de Segurana de TI
Universidade da Califrnia
Conformidade com a Lei e a Poltica
Os departamentos, unidades e grupos do campus
deveriam estabelecer diretrizes, padres ou
procedimentos de segurana que refinam as provises
desta Poltica para atividades especficas dentro da
sua rea, in conformidade com esta Poltica e outras
polticas e leis aplicveis
Poltica de Segurana de TI
Universidade da Califrnia
Conformidade com a Lei e a Poltica
As seguintes atividades so proibidas por esta
Poltica
Interferir, alterar ou interromper a operao de recursos
Transmitir intencionalmente qualquer vrus, verme ou outro
software malicioso
Tentar acessar, acessar ou usar recursos sem autorizao
Conscientemente conceder nveis de acesso ou uso
inapropriado a outras pessoas
Transferir arquivos sensveis ou confidenciais para
computadores que no esto adequadamente configurados
para proteg-los de acesso no autorizado
Revelar qualquer informao eletrnica sem permisso
Poltica de Segurana de TI
Universidade da Califrnia
Conformidade com a Lei e a Poltica
Alm das sanes legais cabveis, os violadores desta
Poltica podem estar sujeitos a aes disciplinares
incluindo demisso ou expulso, de acordo com
Polticas do Campus de Berkeley
Acordos de negociao coletiva
Cdigos de conduta, ou
Outro instrumento que governa a relao indivicual com a
Universidade
Ferramentas de Polticas de SI
RUSecure (www.rusecure.co.uk)
Information Security Policies (demo)
Security Online Support (demo)
SANS
Projeto de Polticas de Segurana
www.sans.org/resources/policies
Callio (www.callio.com)
Callio Secura (demo)
RUSecure
Information Security Policies
Arquivo PDF com exemplos de polticas
Passos para utilizar as polticas
1. Navegar / olhar as polticas
2. Estudar as polticas
3. Revisar e alterar as polticas
4. Confirmar / ratificar as polticas
5. Publicar / disseminar as polticas
6. Implementar / cumprir as polticas
RUSecure
Secure Online Support
Um mtodo simples de publicar as polticas para
todos os funcionrios, atravs das PCs
Benefcios do SOS
Disponibilidade instantnea para qualquer funcionrio
que tenha que manipula informao
Orientao e conscientizao dos funcionrios para
todas as polticas
Trazer as polticas ao alcance fcil e cmodo do PC do
funcionrio (em vez de um documento em papel)
RUSecure
Secure Online Support
Exemplos interessantes:
Reporting Security Information Incidents
Assessing the BCP Security Risk
...