Gestão de Segurança da Informação. Interpretação da norma NBR ISO/IEC 27001:2006. Curso e Learning Sistema de

Transcrição

1 Curso e Learning Sistema de Gestão de Segurança da Informação Interpretação da norma NBR ISO/IEC 27001:2006 Todos os direitos de cópia reservados. Não é permitida a distribuição física ou eletrônica deste material sem a permissão expressa do autor.

2 Módulo 9 Anexo A Controles detalhados do A10 ao A12

3 As Onze Cláusulas de Controle Anexo A A.5 A.6 A.7 A.8 A.9 A.10 A.11 A.12 A.13 A.14 A.15 Política de Segurança Organização da Segurança da Informação Gestão de Ativos Segurança em Recursos Humanos Segurança Física e do Ambiente Gerenciamento das operações e comunicações Controle de Acesso Aquisição, Desenvolvimento e Manutenção de Sistemas Gestão de Incidentes de Segurança da Informação Gestão da Continuidade do Negócio Conformidade

4 A.10 Gerenciamento das Operações e Comunicações A.10.1 Procedimentos e Responsabilidades Operacionais Documentação dos procedimentos de operação Gestão de mudanças Segregação de funções Separação das instalações de desenvolvimento, teste e produção

5 A.10 Gerenciamento das Operações e Comunicações A.10.2 Gerenciamento de serviços terceirizados Entrega de serviços Monitoramento e análise crítica de serviços terceirizados Gerenciamento de mudanças para serviços terceirizados

6 A.10 Gerenciamento das Operações e Comunicações A.10.3 Planejamento e Aceitação dos Sistemas Gestão de Capacidade Aceitação de Sistemas

7 A.10 Gerenciamento das Operações e Comunicações A.10.4 Proteção contra códigos maliciosos e códigos móveis Controles contra software malicioso Controles contra códigos móveis

8 A.10 Gerenciamento das Operações e Comunicações A.10.5 Cópias de segurança Cópias de segurança das informações

9 A.10 Gerenciamento das Operações e Comunicações A.10.6 Gerenciamento da segurança em redes Controles de redes Segurança dos serviços de rede

10 A.10 Gerenciamento das Operações e Comunicações A.10.7 Manuseio de Mídias Gerenciamento de mídias removíveis Descarte de mídias Procedimentos para manuseio de informação Segurança da documentação dos sistemas

11 A.10 Gerenciamento das Operações e Comunicações A.10.8 Troca de Informações Políticas e procedimentos para troca de informações Acordos para a troca de informações Mídias em trânsito Mensagens eletrônicas Sistemas de informação do negócio

12 A.10 Gerenciamento das Operações e Comunicações A.10.9 Serviços de comércio eletrônico Comércio eletrônico Transações on line Informações publicamente disponíveis

13 A.10 Gerenciamento das Operações e Comunicações A Monitoramento Registros de auditoria Monitoramento do uso do sistema Proteção das informações dos registros (log) Registros (log) de administrador e operador Registros (log) de falhas Sincronização dos relógios Monitoramento

14 A.11 Controle de Acessos A.11.1 Requisitos do Negócio para Controle de Acesso Política de Controle de Acesso

15 A.11 Controle de Acessos A.11.2 Gerenciamento de Acesso do Usuário Registro de usuário Gerenciamento de privilégios Gerenciamento de senha dos usuários Análise crítica dos direitos de acesso do usuário

16 A.11 Controle de Acessos A.11.3 Responsabilidades dos Usuários Uso de senhas Equipamento de usuário sem monitoração Política de mesa limpa e tela limpa

17 A.11 Controle de Acessos A.11.4 Controle de Acesso à rede London San Francisco San Francisco Política de uso dos serviços de rede Autenticação para conexão externa do usuário Identificação de equipamento em redes Proteção e configuração de portas de diagnóstico remotas Segregações de redes Controle de conexão de rede Controle de roteamento de redes

18 A.11 Controle de Acessos A.11.5 Controle de Acesso ao sistema operacional Procedimentos seguros de entrada no sistema (log on) Identificação e autenticação de usuário Sistema de gerenciamento de senha Uso de utilitários de sistema Desconexão de terminal por inatividade Limitação de horário de conexão

19 Exercício Indique se é verdadeiro ou falso, do seu ponto de vista baseando se nos controles estudados, se estes fossem aplicados: 1) ( ) Os procedimentos de operação devem ser documentados, mantidos atualizados e disponíveis a todos os usuários que deles necessitem. 2) ( ) Os serviços, relatórios e registros fornecidos por terceiro devem ser ao menos ocasionalmente monitorados e analisados criticamente, e auditorias devem ser executadas regularmente. 3) ( ) Não é necessário que exista procedimentos para gerenciamento de mídia removível.. 4) ( ) A documentação dos sistemas deve ser protegida contra acessos não autorizados. 5) ( ) As informações que trafegam em mensagens eletrônicas devem ser adequadamente protegidas. 6) ( ) A concessão e o uso de privilégios devem ser restritos e controlados. 7) ( ) Os usuários devem assegurar que os equipamentos monitorados tenham proteção adequada. 8) ( ) Deve ser controlado o acesso físico e lógico para diagnosticar e configurar portas. 9) ( ) Grupos de serviços de informação, usuários e sistemas de informação devem ser segregados em redes. 10) ( ) Sistemas para gerenciamento de senhas não precisam ser interativos para assegurar senhas de qualidade.

20 Exercício Indique se é verdadeiro ou falso, do seu ponto de vista baseando se nos controles estudados, se estes fossem aplicados: 1) ( V ) Os procedimentos de operação devem ser documentados, mantidos atualizados e disponíveis a todos os usuários que deles necessitem. 2) ( F ) Os serviços, relatórios e registros fornecidos por terceiros devem ser ao menos ocasionalmente monitorados e analisados criticamente, e auditorias devem ser executadas regularmente. (Os serviços, relatórios e registros fornecidos por terceiros devem ser periodicamente monitorados e analisados criticamente). 3) ( F ) Não é necessário que exista procedimentos para gerenciamento de mídia removível. 4) ( V ) A documentação dos sistemas deve ser protegida contra acessos não autorizados. 5) ( V ) As informações que trafegam em mensagens eletrônicas devem ser adequadamente protegidas. 6) ( V ) A concessão e o uso de privilégios devem ser restritos e controlados. 7) ( F ) Os usuários devem assegurar que os equipamentos monitorados tenham proteção adequada. (se o equipamento já é monitorado a proteção já esta implantada) 8) ( V ) Deve ser controlado o acesso físico e lógico para diagnosticar e configurar portas. 9) ( F ) Grupos de serviços de informação, usuários e sistemas de informação não precisam ser necessariamente segregados em redes. 10) ( V ) Sistemas para gerenciamento de senhas precisam ser interativos e assegurar senhas de qualidade.

21 A.11 Controle de Acessos A.11.6 Controle de Acesso à Aplicação e à Informação Restrição de acesso à informação Isolamento de sistemas sensíveis

22 A.11 Controle de Acessos A.11.7 Computação móvel e trabalho remoto Computação e comunicação móvel Trabalho remoto

23 A.12 Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação A.12.1 Requisitos de Segurança de Sistemas de Informação Análise e especificação de requisitos de segurança

24 A.12 Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação A.12.2 Processamento Correto nas Aplicações Validação de dados de entrada Controle do processamento interno Integridade de mensagens Validação de dados de saída Entradas Processo Saídas

25 A.12 Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação A.12.3 Controles Criptográficos Política para o uso de controles criptográficos Gerenciamento de chaves

26 A.12 Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação A.12.4 Segurança dos Arquivos do Sistema Controle de software operacional Proteção dos dados para teste de sistema Controle de acesso ao código fonte de programa

27 A.12 Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação A.12.5 Segurança em Processos de Desenvolvimento e de Suporte Procedimentos para controle de mudanças Análise crítica técnica das aplicações após mudanças no sistema operacional Restrições sobre mudanças em pacotes de software Perda de informação Softwares desenvolvidos por terceiros

28 A.12 Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação A.12.6 Gestão de Vulnerabilidades Técnicas Controle de vulnerabilidades técnicas

29 Exercício Indique se é verdadeiro ou falso, do seu ponto de vista baseando se nos controles estudados, se estes fossem aplicados: 1) ( ) Sistemas sensíveis devem ter um ambiente computacional dedicado (isolado). 2) ( ) Para atividades de trabalho remoto devem ser desenvolvidos planos operacionais e procedimentos mas uma política não precisa ser definida. 3) ( ) Os dados de aplicações não precisam necessariamente ser validados para garantir que são corretos e apropriados. 4) ( ) Deve ser desenvolvida uma política para o uso de controles criptográficos para a proteção da informação. 5) ( ) Não é necessário que hajam procedimentos operacionais implementados para controlar a instalação de software. 6) ( ) Os dados de teste devem ser selecionados com cuidado, protegidos e controlados. 7) ( ) O acesso ao código fonte de programa deve ser restrito ao grupo desenvolvedor. 8) ( ) A implementação de mudanças deve ser controlada utilizando procedimentos formais de controle de mudança. 9) ( ) Oportunidades para vazamento de informações devem ser prevenidas. 10) ( ) A organização deve definir claramente os requisitos e supervisionar o processo quando adquire desenvolvimento de softwares por terceiros, mas não precisa implantar um processo de monitoramento.

30 Exercício Indique se é verdadeiro ou falso, do seu ponto de vista baseando se nos controles estudados, se estes fossem aplicados: 1) ( V ) Sistemas sensíveis devem ter um ambiente computacional dedicado (isolado). 2) ( F ) Para atividades de trabalho remoto devem ser desenvolvidos planos operacionais e procedimentos mas uma política não precisa ser definida. ( uma política precisa ser definida) 3) ( F ) Os dados de aplicações não precisam necessariamente ser validados para garantir que são corretos e apropriados. (precisam ser validados) 4) ( V ) Deve ser desenvolvida uma política para o uso de controles criptográficos para a proteção da informação. 5) ( F ) Não é necessário que hajam procedimentos operacionais implementados para controlar a instalação de software. 6) ( V ) Os dados de teste devem ser selecionados com cuidado, protegidos e controlados. 7) ( F ) O acesso ao código fonte de programa deve ser restrito ao grupo desenvolvedor. (deve ser restrito mas para quem vai depender de cada caso) 8) ( V ) A implementação de mudanças deve ser controlada utilizando procedimentos formais de controle de mudança. 9) ( V ) Oportunidades para vazamento de informações devem ser prevenidas. 10) ( F ) A organização deve definir claramente os requisitos e supervisionar o processo quando adquire desenvolvimento de softwares por terceiros, mas não precisa implantar um processo de monitoramento. (é necessário implantar um processo de monitoramento).

31 Fim do módulo 9 Anexo A Controles detalhados do A10 ao A12