Académique Documents
Professionnel Documents
Culture Documents
www.projetoderedes.com.br
Mdulo 1
Entendendo e implementando a Norma
ABNT NBR ISO/IEC 17799:2005
http://www.instonline.com.br/
COORDENADORES TCNICOS
Arthur Roberto dos Santos Jnior
Fernando Srgio Santos Fonseca
Paulo Eustquio Soares Coelho
COMO USAR ESSE MATERIAL
Este um material de apoio para o curso Entendendo e implementando a ABNT
NBR ISO/IEC 17799:2005 ministrado pela Academia de Segurana Microsoft.
Durante o curso sero apresentados vrios Webcasts com o contedo deste
material acompanhado de slides e voz para ilustrar os conceitos e prticas. A cpia
desses slides est em destaque na apostila, seguida de textos com informaes
que sero abordadas pelo instrutor nos respectivos Webcasts.
VDEO
Indica que ser apresentado um filme para ilustrar as prticas ou conceitos.
NDICE
APRESENTAO ...............................................................................................................................5
Objetivos ........................................................................................................................ 7
Objetivo ........................................................................................................................ 16
Objetivo ........................................................................................................................ 27
Objetivo ........................................................................................................................ 44
Como a maior parte das informaes vitais para o sucesso de uma organizao
reside em computadores, perdas de dados podem ser catastrficas. Os riscos de
um negcio com sistema de segurana da informao inadequado so
incalculveis. Segurana da informao manter a confidencialidade, integridade
e disponibilidade da informao. Ela abrange muito mais do que a segurana da
informao de TI. Ela cobre a segurana de toda e qualquer informao da
empresa, esteja ela em meios eletrnicos, papel ou at mesmo na mente dos
funcionrios.
Ativo
Ameaas
Impacto
Risco
Vulnerabilidade
A interconexo das empresas atravs de links cabeados e/ou sem fio (wireless),
internos e/ou externos, pessoas e aes da natureza, pode expor vulnerabilidades
que colocam em risco as informaes. Assim, faz-se necessrio a implantao de
processos de segurana que protejam a informao contra essas ameaas.
Ativo (asset): qualquer coisa que tenha valor para um indivduo ou uma
organizao, tais como, hardware de computadores, equipamentos de rede,
edificaes, software, habilidade de produzir um produto ou fornecer um
servio, pessoas, imagem da organizao, etc...
ABNT
ABNT NBR
NBR ISO/IEC
ISO/IEC 17799:2005
17799:2005
Qualquer tipo de informao deve ser protegido, esteja ele escrito ou desenhado
em papel, armazenado em meios magnticos, em filmes ou falado.
ABNT
ABNT NBR
NBR ISO/IEC
ISO/IEC 17799:2005
17799:2005
Poltica
Polticade
desegurana
seguranade
deTI
TI
Aspectos
Aspectosorganizacionais
organizacionaisda
dasegurana
seguranade
deTI
TI
Anlise
Anlisede
deRiscos
Riscos
Recomendaes
Recomendaesde
desegurana
seguranade
deTI
TI
Gesto
Poltica
Polticade
desegurana
seguranade
desistemas
sistemasde
deTI
TI de riscos
Planejamento
Planejamentode
desegurana
seguranade
deTI
TI
Divulgao
Divulgaoeeconcincia
concinciada
da Medidas
Medidas Implementao
Poltica
Poltica de segurana deTI
de segurana de TI de
deproteo
proteo
Reavaliao
Reavaliaoda
daPoltica
Polticade
desegurana
seguranade
deTI
TI
2 ANLISE/AVALIAO E TRATAMENTO DE
RISCOS
O que deve
ser
protegido
Contra qual
ameaa
Avaliao
do
risco
Recomendaes
Uma vez identificados, os riscos devem ser qualificados para que sejam
priorizados em funo de critrios de aceitao de riscos e dos objetivos
relevantes para a organizao. Esta atividade apenas um elemento de uma
Como os riscos e ameaas podem mudar com o passar dos tempos, importante
que a organizao periodicamente reavalie os mesmos e reconsidere as polticas
e controles selecionados.
Ferramentas
Tcnicas e
Mtodos Vulnerabilidades
Ferramentas
Ameaas mal
intencionadas
Razes e
objetivos
Tcnicas e Fracas diretrizes de Ativos
Mtodos segurana podem
permitir uma
ataque
Ferramentas
Tcnicas e
Mtodos
Nenhum controle
ou diretriz de
segurana
Incidentes
catastrficos
Estimarprobabilidade
Estimar probabilidade
deconcretizao
de concretizao
decada
de cadaameaa
ameaa
Identificar
Identificar
o que aaameaa
o que ameaa
afetar
afetar
Identificarcustos
Identificar custosde
de
reduo de riscos
reduo de riscos
Documentarresultados
Documentar resultados
e criar planos deao
e criar planos de ao
Baixo nvel de
vulnerabilidade
Valor numrico de 1 a 9:
Taxa de - Excepcionalmente grave: 7 a 9
exposio - Srio: 4 a 6
- Pouco Srio: 1 a 3
Riscos - Baixo
- Mdio
- Alto
OBS: Existem algumas metodologias para avaliao de riscos. Com base em necessidades de
negcios, o Centro de Excelncia de Segurana (SCOE Security Center Of Excelence) da
Microsoft desenvolveu uma metodologia completa que pode ser encontrada em:
http://www.microsoft.com/brasil/security/guidance/riscos/default.mspx ; ou na sua verso completa e
Escrever uma poltica uma tarefa muitas vezes difcil e deve contar com o
envolvimento de vrias pessoas, de vrios departamentos. Isso no deve ser
desanimador e no se deve procrastinar o incio dos trabalhos, haja vista a
fragilidade a que o negcio pode estar exposto.
O documento criado por voc, juntamente com o comit, dever ter uma
linguagem simples a fim de que todos os usurios a entendam e possam
aplic-la com facilidade. Assim, para que a poltica de segurana da
informao seja eficaz, o documento ser na verdade, um conjunto de
polticas inter-relacionadas. A partir deste momento, voc j ter em mos
um documento oficial que dever ser aceito e aprovado pela direo.
Dependendo da natureza da organizao esse documento tende a ser
Deve sempre estar nas mos de quem vai utiliz-la. Porm, de nada vale
colocar o documento inteiro nas mos de quem vai utilizar apenas uma
parte.
da info rmao
segurana
Poltica de
a. Definio
o
b. Declara
de controles
c. Estrutura gislao
idade com le
d. Conform
nto
e. Treiname tin uidade de ne
gcio
d e c on
f. Gesto laes
o n s e q u ncias das vio
g. C dades
fi n i o de responsabili
h. De
s
i. Referncia
DISPOSITIVOS
MVEIS
INTERNET Gesto de
autorizao de
novos recursos
DADOS
IDENTIFIQUE-SE
SOFTWARES
IMPRESSORAS
Dispositivos mveis devem ter ateno especial, uma vez que podem introduzir
novas vulnerabilidades. Como a maioria dos dispositivos mveis como os PDAs e
os notebooks, j vem de fbrica com interfaces sem fio (wireless) instalada, e
como mesmo os dispositivos como placas de redes sem fio e pontos de acesso
Dispositivos sem fio esto cada vez mais populares e seus benefcios para o
usurio so inegveis. Porm, as empresas tm de criar processos de segurana
especficos que as protejam, como procedimentos de autenticao de usurios,
sistemas de varredura para deteco de pontos de acesso clandestinos (muitas
vezes conectados rede inocentemente por um funcionrio que deseja usufruir a
mobilidade) e incluso de todos os equipamentos em um servio de diretrio.
Funcionrios;
Ex-funcionrios;
Terceirizados;
Partes externas;
Clientes.
Para tentar coibir essas aes, o responsvel pela poltica tem a obrigao de
orientar um novo funcionrio quanto poltica de segurana e as devidas
punies cabveis, caso a mesma no seja cumprida.
Uma outra fonte de risco a ser analisada com relao a partes externas, o
acesso destes aos recursos de processamento da informao. Leve em
considerao que produtos e servios oriundos de partes externas podem reduzir
a segurana da informao. Por exemplo, a permisso de acesso a Internet para
o notebook de um visitante, deve ser feita com contas especficas com restries
de acesso a qualquer outro recurso da rede, pois uma vez conectado o visitante
poder explorar vulnerabilidades da rede, ou mesmo sem inteno, introduzir
algum vrus no sistema.
Avalie todos os riscos potenciais que partes externas podem trazer e tome as
contramedidas cabveis. Por exemplo, o acesso fsico a computadores por parte
de um visitante ou contratado para um servio, ou o acesso lgico deste a banco
de dados, ou a uma conexo a rede, etc., s poder ser feito com a autorizao
especfica do responsvel pela segurana de TI, o qual dever permitir o acesso
apenas aos recursos estritamente necessrios ao trabalho a ser desempenhado.
Referncias
www.microsoft.com/brasil/security/guidance/prodtech/win2000/secmod133.mspx#EDF.
2
Guide to Threat and Risk Assessment for Information Technology Security
Information Publication 5 IT Security of the RCMP 1994.