Legislação e Normas de Segurança da Informação Petrópolis, Setembro e Novembro de 2015

Transcrição

1 Legislação e Normas de Segurança da Informação Petrópolis, Setembro e Novembro de 2015 Uma visão geral da legislação nacional e das normas relacionadas à segurança da informação no Brasil e no Mundo Luís Rodrigo de O. Gonçalves lrodrigo@lrodrigo.com.br Site: 1

2 Motivação O ser humano sempre se preocupou com a sua segurança e de seus bens, isto faz parte de nossos instintos. Atualmente, o maior bem que a humanidade possui são as informações e conhecimentos gerados por ela. 2

3 Segurança da Informação A Política de Segurança da Informação 3

4 Convém que a direção estabeleça uma clara orientação da política, alinhada com os objetivos do negócio e demostre apoio e comprometimento com a segurança da informação 4

5 Definições e Conceitos Básicos Preparado a organização: O que deve ser protegido? Contra o quê ou quem? Qual a importância/valor de cada ativo/recurso? Qual o grau de proteção desejado? Quanto se pode gastar para garantir a segurança? Quais as expectativas dos diretores, clientes e usuários em relação à Segurança da Informação? 5

6 Requisitos de segurança: Análise/Avaliação de riscos. Legislação vigente, estatutos, regulamentações e cláusulas contratuais da organização (Conformidade). Conjunto de princípios, objetivos e requisitos do negócio (Missão da organização). 6

7 Conjunto Básico de Controles Definição das responsabilidades de Segurança Processo de Treinamento Relatórios de Incidentes Gestão da Continuidade das Atividades do Ambiente 7

8 - Conceitos: orientação ou conjunto de diretrizes que regem a atuação de uma pessoa ou entidade. declaração ou plano formal, breve e de alto nível que envolve as crenças gerais, metas, objetivos e procedimentos aceites por uma organização para uma área de um assunto específico. as regras e os procedimentos escolhidos que vão ditar ações futuras. 8

9 : linhas orientadoras quanto à proteção de dados e de recursos e devem indicar situações e/ou entidades de quem o sistema tem de estar protegido. estabelece o que deve ser feito para proteger a informação armazenada num computador. Uma política bem escrita contém definição suficiente sobre o que fazer de modo que o como pode ser identificado e medido ou avaliado 9

10 : Visa definir os mecanismos para viabilizar o gerenciamento da segurança em uma instituição Deve estabelecer regras e padrões para proteção da informação Deve ser baseada nas características da instituição Documento que descreve quais atividades os usuários estão autorizados a realizar, como e quando podem ser realizadas. 10

11 : É fundamental que a alta administração apóie o uso da política e demonstre o seu comprometimento com a aplicação das penalidades cabíveis. A implantação deve ser da alta administração para os demais funcionários Implementada utilizando a abordadem Top Down Deve ser divulgada para toda a organização e para os parceiros de negócio. 11

12 Segurança da Informação Proposta de uma estrutura para a Política de Segurança da Informação 12

13 Proposta de estrutura para a PoSiC - Cap 1 - Disposições Gerais - Cap 2 - Dos Princípios de Segurança - Cap 3 - Da Gestão dos Ativos - Cap 4 - Da Segurança em Recursos Humanos - Cap 5 - Da Segurança Física e do Ambiente - Cap 6 - Do Gerenciamento das Operações e Comunicações - Cap 7 - Do Controle de Acesso - Cap 8 - Da Aquisição, desenvolvimento e manutenção de sistemas - Cap 9 - Da Gestão de Incidentes de Segurança da Informação - Cap 10 - Da Gestão da Continuidade do Negócio - Cap 11- Da Conformidade com os requisitos legais 13

14 Cap 1 - Disposições Gerais Tem caráter informativo; Ajuda a compreender o texto Reúne informações com assuntos gerais relacionados ao texto Contem esclarecimentos relacionados ao: objetivo do documento; princípio jurídicos; termos relacionados; formas de interpretação; 14

15 Cap 1 - Disposições Gerais Sugestão de estrutura: Relação das Leis, Decretos, Instruções Normativas, Normas e procedimentos utilizados como base para a escrita do documento Lista de Sigla e Termos utilizados no decorre do texto; visa auxiliar o entendimento e interpretação do documento Esclarecer quem é o responsável pelo desenvolvimento, manutenção e revisão do documento. Informar sobre o processo de revisão e divulgação do documento 15

16 Cap 1 - Disposições Gerais Exemplo de conteúdo O conteúdo e formato desta política baseia-se nos seguintes documentos: A Norma Brasileira ABNT NBR ISO/IEC 27002:2005 que descreve um Código de práticas para a gestão da Segurança da Informação. A Norma Brasileira ABNT NBR ISO/IEC 27001:2006 que descreve os requisitos a serem adotados na elaboração de sistemas de gestão de segurança da informação. A Lei nº 9.983, de 14 de julho de 2000 que altera o Decreto-Lei Nº 2.848, de 7 de Dezembro de 1940 Código Penal e dá outras providência 16

17 Cap 2 - Dos Princípios de Segurança O capítulo anterior informa sobre a construção a política Este capítulo esclarece sobre: O motivo da escrita escrita e uso da política Quais os conceitos básicos por traz da política Quais são as condutas esperadas, tanto dos usuários quanto dos responsáveis pela segurança Como e quando os mecanismos de segurança podem ser aplicados Estrutura organizacional da equipa de segurança (comitês e grupos) Processo de comunicação e aplicação de penalidades 17

18 Cap 2 - Dos Princípios de Segurança Exemplo de conteúdo : Art. 4º. Os mecanismos de segurança devem garantir os requisitos de segurança de forma que não interfiram na utilização de serviços prestados. Art. 5º. A segurança das informações devem ser mantidas no meio da transmissão e nas extremidades. Art. 6º. Todas as pessoas vinculadas direta ou indiretamente ao LNCC têm direito a confidencialidade de suas informações pessoais, conforme Art. 5, inciso XII da Constituição Federal. Parágrafo único. São invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação, na forma do Art. 5, inciso X da Constituição Federal. Art. 13º. A gestão de segurança da informação e comunicações baseia-se no processo de melhoria contínua, denominado ciclo PDCA (Plan-Do-Check-Act), referenciado pela norma ABNT NBR ISO/IEC 27001:2006, conforme N.C. 02/IN01/DSIC/GSIPR, de 13 de outubro de

19 Cap 3 - Da Gestão dos Ativos Contabilizar os ativos: Necessidade e identificação, classificação e rotulação dos ativos Classificação da informação Quando possível, definir, em linhas gerais, como será a classificação e rotulação Necessidade de identificar o proprietário Necessidade de determinar a estrutura de deleção de posse e uso 19

20 Cap 3 - Da Gestão dos Ativos Exemplo de conteúdo : Art. 18º. Recomenda-se que todos os ativos sejam claramente identificados e que o inventário seja mantido. Art. 19º. Recomenda-se que todas as informações e os ativos associados com os recursos de processamento da informação tenham um proprietário1. Art. 20º. Devem ser identificadas, documentadas e implementadas regras para que seja permitido o uso de informações e de ativos associados aos recursos de processamento da informação. Art. 21º. Do ponto de vista do Sistema de Gestão de Segurança da Informação, a informação deve ser classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organização. 20

21 Cap 4 - Da Segurança em Recursos Humanos (1/2) Determina/regula a interação dos Recursos Humanos com os demais Ativos Definir o uso dos termos de Sigilo, Confidencialidade, Responsabilidade e comprometimento. Informar sobre os processos disciplinares Regular os procedimento de desligamento e revogação de direitos Regular as penalidades relacionadas a divulgações indevidas Regular obrigações relacionadas à Terceiros Regular obrigações relacionadas à prestadores de serviços 21

22 Cap 4 - Da Segurança em Recursos Humanos (2/2) Segurança nas responsabilidades do trabalho Seleção e política pessoal Termos e condições de trabalho Treinamento dos usuários 22

23 Cap 4 - Da Segurança em Recursos Humanos Exemplo de conteúdo : Art. 23º. Os funcionários e terceiros devem concordar e assinar os termos de confidencialidade e de responsabilidade. Art. 24º. Os funcionários e terceiros devem participar dos treinamentos de conscientização e procedimentos organizacionais relacionados a Segurança da Informação. Art. 26º. Todos os funcionários e terceiros devem devolver todos os ativos da organização que estejam em sua posse antes do desligamento de suas atividades. Art. 27º. O direito de acesso de todos os funcionários e terceiros às informações e aos recursos computacionais devem ser revogados após o desligamento de suas atividades. Art. 30º. É proibido obter ou tentar obter, indevidamente, acesso a sistema de tratamento automático de dados, a fim de alterar informações ou procedimentos. Art. 38º. Os colaboradores que estabeleçam algum vínculo contratual com o. devem ser obrigados em contrato a seguir esta política. 23

24 Cap 5 - Da Segurança Física e do Ambiente (1/2) Áreas de Segurança Perímetros de segurança Definição e identificação de áreas segundo o tipo proteção a ser aplicada Controles de entrada física Segurança dos equipamentos Instalação e Proteção dos equipamentos Fornecimento de Energia Manutenção Equipamentos fora das instalações Reutilização e Alienação 24

25 Cap 5 - Da Segurança Física e do Ambiente (2/2) Pontos de Acesso e Concessão de Acesso Movimentação de equipamentos Processo de Vigilância / Monitoramento Processo de Inventário 25

26 Cap 5 - Da Segurança Física e do Ambiente Art. 45º. Devem ser utilizados perímetros de segurança para proteger as áreas que contenham informações e recursos de processamento da informação. Art. 46º. Recomenda-se que áreas seguras sejam protegidas de forma que somente pessoas autorizadas tenham acesso. Art. 47º. Recomenda-se que pontos de acesso, tais como áreas de entrega e de carregamento e outros pontos onde pessoas não autorizadas possam entrar nas instalações, devem ser controladas e, se possível isolados dos recursos de processamento. Art. 50º. O objetivo do controle é sistematizar a concessão de acesso, a fim de evitar a quebra de segurança da informação e comunicações, conforme N.C. 07/IN01/DSIC/GSIPR, de 06 de maio de Art. 54º. É proibido retirar da repartição pública, sem estar legalmente autorizado, qualquer mídia, documento, livro ou bem pertencente ao patrimônio público, conforme a alínea l, do inciso XV, da Seção III do Decreto nº 1.171/94, de 22 de junho de Art. 61º. É proibido adulterar ou remarcar número de série ou qualquer sinal identificador do patrimônio do LNCC, de seu componente ou equipamento. 26

27 Cap 6 - Do Gerenciamento das Operações e Comunicações (1/2) Procedimentos para Documentação de uso Procedimentos para promover a Disponibilidade e Confidencialidade Procedimentos controle de mudanças Procedimentos de Backup e Recovery Procedimentos de Auditoria e Monitoramento Procedimentos para tratamento e resposta a incidentes Procedimento para sincronismo de Tempo (Data e Hora) Uso de Criptografia Regula o Conteúdo das Informações Violação de Direitos Autorais Emissão de Alertas de Segurança 27

28 Cap 6 - Do Gerenciamento das Operações e Comunicações (2/2) Segregar funções Separar ambientes (Desenvolvimento X Produção) Planejamento e aceitação de sistemas Proteção contra software malicioso Segurança e Tratamento de Mídias Troca de informações e software Acordo de troca de informações Comercio Eletrônico Correio Eletrônico Sistemas disponíveis publicamente 28

29 Cap 6 - Do Gerenciamento das Operações e Comunicações Art. 63º. Os procedimentos de operação devem ser documentados, mantidos atualizados e disponíveis para todos os usuários autorizados. Art. 64º. Modificações nos recursos de processamento da informação e sistemas devem ser controlados. Art. 65º. A utilização dos recursos deve ser monitoradas e ajustadas, e as projeções devem ser feitas para necessidades de capacidade futuras. Art. 79º. A CSR deve monitorar e auditar os recursos criptográficos pertencentes ao LNCC, conforme N.C. 09/IN01/DSIC/GSIPR, de 19 de novembro de Parágrafo único. É proibido impedir ou dificultar, de qualquer forma, a realização do monitoramento e da auditoria. Art. 85º. Serão bloqueados os conteúdos de ódio, ameaças, assédio, intimidação ou contraditórios à Legislação. Art. 94º. Conforme o inciso VIII do Art. 2º da Lei nº 7.232, de 29 de outubro de 1984, recomenda-se que a estabeleça os mecanismos e instrumentos legais, e técnicos para a proteção do sigilo dos dados armazenados, processados e veiculados, do interesse da privacidade e de segurança das pessoas físicas e jurídicas, privadas e públicas. 29

30 Cap 7 - Do Controle de Acesso (1/3) Política de Controle de Acesso Gerenciamento de Usuários Registro e cancelamento conta de usuários Geração, Fornecimento, Teste e Cancelamento de Senhas Concessão de Privilégios Uso de acesso/contas administrativas Responsabilidade dos usuários Uso de Senhas - Boas práticas e Proteção Abandono de equipamento Controle de Acesso à Rede e aos serviços Regras de utilização dos serviços Autenticação - Usuário e Host 30

31 Cap 7 - Do Controle de Acesso (2/3) Controle de Acesso à Rede e aos serviços Proteção de Portas Controle de Acesso ao S.O. Identificação do terminal, do usuário Gerenciamento de Senhas Desconexão - inatividade, tempo Controle de Acesso à aplicações Isolamento de sistemas sensíveis Liberação/Bloqueio de Acesso Remoto Conexão de equipamentos à rede e liberação de acesso 31

32 Cap 7 - Do Controle de Acesso (3/3) Monitorar uso e acesso aos sistema Registros / Logs eventos Monitorar uso Sincronização de relógios Gerenciar a computação móvel Gerenciar/Acompanhar trabalho remoto 32

33 Cap 7 - Do Controle de Acesso Art. 98º. Deve haver um procedimento formal de registro e cancelamento de usuário para garantir e revogar acessos em todos os sistemas de informação. Art. 99º. A concessão e uso de privilégios deve ser restritos e controlados. Art. 112º. A conta deve ser automaticamente bloqueada após o número de tentativas de conexão ultrapassar a quantidade permitida. Art. 116º. A senha representa a autenticação de cada usuário sendo de seu exclusivo controle, uso e conhecimento, devendo ser gerada pelo próprio usuário. Art. 120º. Os usuários devem ser orientados a seguir as boas práticas de segurança da informação. Art. 125º. Para todo projeto classificado como sigiloso, o tratamento e o controle de acesso será conforme o Decreto nº 4.553, de Art. 1287º. É proibido prover acesso remoto não autorizado. Art. 129º. É proibido manter-se conectado à rede do LNCC e ao mesmo tempo utilizar outro provedor de acesso à Internet. 33

34 Cap 8 - Da Aquisição, desenvolvimento e manutenção de sistemas Especificar requisitos e controles de segurança para os sistemas Validação dos dados de Entrada e de Saída Uso de controles de criptografia e assinatura digital Serviços de não repúdio Acesso ao código fonte Segmentação do ambiente de Teste e Produção Controlar/Inibir o uso de software não registrados Fomentar o uso de determinados tipos de licença, de acordo com o tipo da instituição Controlar a Instalação de softwares Definir as características dos novos sistemas Controle e Requisitos sobre mudanças 34

35 Cap 8 - Da Aquisição, desenvolvimento e manutenção de sistemas Art. 146º. Devem ser especificados os requisitos de segurança para controles de segurança para novos sistemas de informação ou melhorias em sistemas existentes. Art. 147º. Procedimentos para controlar a instalação de softwares em sistemas operacionais devem ser implementados. Art. 149º. Recomenda-se que as novas bases de dados devem ter possibilidade de integração com as bases de dados existentes. Art. 150º. Recomenda-se que os novos sistemas devem manter a interoperabilidade com os sistemas computacionais existentes. Art. 151º. Recomenda-se que o programa não deve conter código oculto que possa causar qualquer alteração de comportamento. Art. 153º. Recomenda-se desenvolver e usar, preferencialmente, programas com código aberto, acessíveis ininterruptamente por meio da rede mundial de computadores, priorizando-se a sua padronização, conforme Art. 14. Lei Nº , de 19 de dezembro de

36 Cap 9 - Da Gestão de Incidentes de Segurança da Informação Reduzir riscos relacionados à vulnerabilidades Formalizar a notificação incidentes Formalizar a gestão dos incidentes Formalizar a uma equipe para a gestão dos incidentes 36

37 Cap 9 - Da Gestão de Incidentes de Segurança da Informação Art. 157º. Todos os usuários devem ser instruídos a registar e notificar, através dos canais apropriados, qualquer observação ou suspeita de fragilidade em sistemas e serviços. Art. 159º. Com fundamento no Decreto 4.553, de 27 de dezembro de 2002, e no Código de Ética do Servidor Público Civil do Poder Executivo Federal, aprovado pelo Decreto 1.171, de 22 de junho de 1994, a comunicação ao público, por qualquer meio de comunicação, sobre eventual ocorrência de incidentes, será de exclusiva competência do Diretor do LNCC ou de seu delegatário para esse fim. Art. 160º. A equipe responsável pela Resposta a Tratamento de Incidentes de Segurança fica responsável por localizar a origem dos incidentes, remediar e aplicar esta política, conforme N.C. 05/IN01/DSIC/GSIPR, de 14 de agosto de Art. 161º. A equipe responsável pela Resposta a Tratamento de Incidentes de Segurança deve cumprir a N.C. 08/IN01/DSIC/GSIPR, de 19 de agosto de 2010, que regulamenta sua atividade. Art. 162º. A equipe da CSR responsável pelos equipamentos da área de armazenamento pode usar programas para detectar irregularidades, desde que não infrinja o Art. 3 da N.C. 09/IN01/ DSIC/GSIPR, de 19 de novembro de

38 Cap 10 - Da Gestão da Continuidade do Negócio Evitar a interrupção das atividades Proteger processos críticos contra falhas ou desastres Analisar de impacto - mudanças e manutenções Formalizar processo de gestão de Continuidade Formalizar o plano de Continuidade de Negócios Formalizar testes, manutenção e reavaliação do plano Definir a ordem na qual os ativos serão salvaguardados 38

39 Cap 10 - Da Gestão da Continuidade do Negócio Art. 164º. Recomenda-se implementar controles para impedir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas, assim como assegurar, quando for o caso, sua retomada em tempo hábil. Art. 165º. Deve-se fazer por escrito uma detalhada análise de impacto nas mudanças e manutenções. Art. 167º. Deve haver planos de contingência, cujo alcance será definido pela Comissão de Segurança. Parágrafo único. Os planos de contingência devem seguir a Gestão de Riscos de Segurança da Informação e Comunicações apresentada na N.C. 04/IN01/DSIC/ GSIPR, de 14 de agosto de Art. 168º. O Plano de Gestão de Continuidade de Negócios deve buscar redundâncias e seguir a N.C. 06/IN01/DSIC/GSIPR, de 11 de novembro de

40 Cap 11- Da Conformidade com os requisitos legais Evitar violação de qualquer lei Diretos de Propriedade Intelectual Direitos Autorais Salvaguarda de registros organizacionais Prevenção do uso indevido de recursos da organização Regulamentação de Controles de Criptografia Coleta de Evidências Procedimentos relacionados à Auditorias 40

41 Cap 11- Da Conformidade com os requisitos legais Art. 172º A Equipe de resposta à incidentes deve acompanhar os alertas de vulnerabilidades e ameaças e desenvolver normatização de reforço de segurança. Art. 175º Sempre que ocorrer um incidente de segurança, o Grupo de resposta à incidente de segurança deve notificar ao responsável pelo ativo sobre o ocorrido. Parágrafo único. As tentativas de intrusão provenientes da internet também são comunicadas a centros de atendimento a incidente de segurança. 41

42 Segurança da Informação Algumas Referencias e Exemplos de Política 42

43 Exemplos de Políticas - MCTI: CNPQ _INSTANCE_0oED/10157/ LNCC:

44 Material sobre Segurança - Cartilhas de Segurança do CAIS Cartilhas de Segurança do CERT.BR Cartilha de Segurança do CGTI do Planalto Catálogo de Fraudes Alertas de Segurança

45 Baseada nas melhores praticas NBR ISO/IEC 27002: Código de Prática para a Gestão de Segurança da Informação Decreto no 3.505, de 13 de junho de Institui a Política de Segurança da Informação nos órgãos e entidades da Administração Pública Federal ( d3505.htm). IN 04 - SLTI/MPOG, de 12 de novembro de processo de contratação de Soluções de Tecnologia da Informação ( NC04/IN01/DSIC/GSIPR de 14 de outubro de Gestão de Riscos de Segurança da Informação e Comunicações - GRSIC ( dsic.planalto.gov.br/documentos/nc_04_grsic.pdf) e outras. 45

46 46