Análise De Segurana Física Em Conformidade Com A Norma Abnt Nbr Iso Iec 17799

Análise De Segurana Física Em Conformidade Com A Norma Abnt Nbr Iso Iec 17799

(Parte 1 de 7)

Análise de Segurança Física em Conformidade com a Norma ABNT NBR ISO/IEC 17799

BRASÍLIA 2004

Análise de Segurança Física em Conformidade com a Norma ABNT NBR ISO/IEC 17799

Monografia apresentada como requisito parcial, para a conclusão do curso de Tecnologia em Segurança da Informação.

Orientador: Prof. Reinaldo Mangialardo

BRASÍLIA 2004

Análise de Segurança Física em Conformidade com a Norma ABNT NBR ISO/IEC 17799

Monografia apresentada como requisito parcial, para a conclusão do curso de Tecnologia em Segurança da Informação.

Aprovada por:

BRASÍLIA 2004

Ivan Jorge Chueri Salgado: Ao meu filho Rodrigo, que, com apenas 10 anos de idade, teve maturidade, sabedoria e respeito aos limites impostos pelas necessidades acadêmicas e desenvolvimento humano.

Ronaldo Bandeira: A meus pais e minha namorada, pela paciência, dando-me todo o apoio necessário à conclusão desta obra.

Rivanildo Sanches da Silva: Dedico este trabalho aos meus pais e à minha família, que sempre me apoiaram e estiveram ao meu lado em todos os momentos e principalmente a Deus que me deu a oportunidade de viver todos estes instantes de minha vida.

Ivan Jorge Chueri Salgado: À Ana Maria Azevedo, pelo incentivo na minha retomada aos estudos e pela paciência diante das dificuldades impostas pela falta de atenção e dedicação à família, e também, ao meu amigo Ronaldo que dividiu grande parte das incertezas e dos momentos mais brilhantes desta obra.

Ronaldo Bandeira: Ao meu amigo Ivan, pela grande contribuição do seu conhecimento a esta obra, e pelo seu empenho.

Rivanildo Sanches da Silva: A Deus, aos nossos amigos que contribuíram para realização deste trabalho, aos professores Reinaldo Mangialardo e professora Paula pelo apoio e dedicação.

ABNT – Associação Brasileira de Normas Técnicas BS – British Standard (Padrão Britânico) CFTV – Circuito Fechado de TV CPD – Centro de Processamento de Dados CPU - Unidade Central de Processamento IEC - International Electrotechnical Commission (Comissão Eletrotécnica Internacional) ISO – International Organization for Standardization (Organização Internacional de Padronização) NFPA – National Fire Protection Association (Associação Nacional de Proteção Contra Fogo) PCN – Plano de Continuidade de Negócio PIN - Personal identification number (Número de identificação individual) UPS – Uninterruptable Power Supply (Suprimento Ininterrupto de Energia)

1 INTRODUÇÃO1
1.1 Justificativa17
1.2 Objetivos20
1.3 Escopo do Projeto2
1.3.1 Descrição das áreas envolvidas2
1.4 ESTRUTURA ORGANIZACIONAL24
1.5 RECURSOS DO PROJETO26
1.6 REFERENCIAL TEÓRICO26
1.7 METODOLOGIA27
2 SEGURANÇA E SEUS COMPONENTES31
2.1 Política de segurança43
2.2 Segurança organizacional45
2.2.1 Infra-estrutura da segurança da informação45
2.2.2 Segurança no acesso de prestadores de serviços49
2.3 Classificação e controle dos ativos de informação51
2.4 Segurança em pessoas53
2.5 Segurança física e do ambiente58
2.5.1 Áreas de segurança60
2.5.2 Segurança dos equipamentos67
2.5.3 Controles gerais74
2.6 Conformidade76
2.6.1 Conformidade com requisitos legais76
2.7 Análise da política de segurança e da conformidade técnica80
2.8 Mecanismos e dispositivos de segurança82
2.8.1 Infra-Estrutura do Data Center82
2.8.2 Acesso ao CPD86
3 ESTUDO DE CASO92
3.1 Política de segurança92
3.1.1 Situação Atual em Relação à Política de Segurança92
3.1.1.1 Comitê Gestor92
3.1.2 Recomendações quanto à Política de Segurança93
3.1.3 Plano de Ação95
3.2 Segurança organizacional98
3.2.1 Responsabilidades do Comitê de Segurança9
3.2.2 Coordenação do Comitê de Segurança na ELECTRA100
3.2.3 Situação Atual em relação à Segurança Organizacional102
3.2.4 Recomendações quanto à Segurança Organizacional da ELECTRA104
3.2.5 Plano de Ação106
3.3 Classificação e controle dos ativos de informação112
3.3.1 Classificação das informações115
3.3.2 Recomendações sobre os Ativos e Classificação das informações119
3.3.3 Plano de Ação119
3.4 Segurança em pessoas124
3.4.1 Terceirização127
3.4.4 Recomendações em relação à Segurança em Pessoas136
3.4.5 Plano de Ação139
3.5 Segurança física e do ambiente148
3.5.1 Segurança em equipamentos155
3.5.2 Suprimento de energia elétrica158
3.5.3 Manutenção dos equipamentos161
3.5.4 Diretrizes de proteção164
3.5.5 Situação atual do Data Center em relação à Segurança Física165
3.5.6 Recomendações de Segurança Física do Data Center177
3.5.6.1 Recomendações específicas da ELECTRA177
3.5.6.2 Recomendações específicas do Data Center179
3.5.7 Plano de Ação191
3.6 Conformidade214
3.6.1 Preservação dos registros da ELECTRA216
3.6.2 Situação atual em relação à Conformidade220
3.6.3 Recomendações sobre a conformidade223
3.6.4 Plano de Ação224
3.7 Plano de Ação Geral (Todos os Módulos Analisados)226
4 ANÁLISE DE RESULTADOS229
5 CONCLUSÃO230
6 REFERÊNCIAS BIBLIOGRÁFICAS232
APÊNDICE A234
APÊNDICE B239
APÊNDICE C251
APÊNDICE D307
ANEXO A312
ANEXO B322
GLOSSÁRIO323

3.4.3 Situação atual em relação à Segurança em Pessoas/Fatores Humanos.................135 LISTA DE FIGURAS

Figura 2 - Principais ameaças à segurança da informação14
Figura 3 - Principais pontos de invasão15
Figura 4 - Principais medidas de segurança já implementadas15
Figura 5 - Organograma Geral da ELECTRA2
Figura 6 - Ciclo da Segurança da Informação39
Figura 7 - Layout atual do piso da garagem235
Figura 8 - Layout atual do piso do Data Center235
Figura 9 - Layout atual do pavimento térreo236
Figura 10 - Layout atual do pavimento tipo236
Figura 1- Sugestão de layout para o 2o. Sub-solo - Garagem237
Figura 12 - Sugestão de layout para o 1o. Sub-solo237
Figura 13 - Sugestão de layout para o pavimento Térreo238

LISTA DE TABELAS Tabela 1 - Resultado estimado decorrentes da implementação do plano de ação.................229

Segurança é um termo que transmite conforto e tranqüilidade a quem desfruta de seu estado. O produto segurança é difícil de ser obtido quando se fala em segurança de informações, dispostas na forma física (em papel), eletrônica (nos meios de transmissão ou de armazenamento) e nas pessoas. Buscar uma segurança absoluta é o objetivo maior. Entretanto, implica em controlar todas as variáveis que integram esse universo, tornando isto praticamente impossível. Os caminhos que possibilitam alcançar o objetivo de tornar algo seguro resultam de esforços da comunidade, composta por entidades públicas e privadas em todo o mundo, que estabeleceram um documento que padroniza, através de recomendações, uma boa gestão da segurança. Este documento deu origem à BS 79-1995, que foi instituída no Brasil pela ABNT - Associação Brasileira de Normas Técnicas através da ISO/IEC 17799-2000. A segurança da informação é estruturada por diversos componentes, entre eles a segurança física. A segurança física auxilia e contribui essencialmente para a segurança de informações, e sem ela os esforços para o estabelecimento de um ambiente lógico seguro seriam perdidos.

Palavras-chave: Segurança Física, ISO/IEC 17799, Política de segurança, Segurança Organizacional, Classificação e Controle dos Ativos, Segurança em Pessoas, Segurança Física e do Ambiente, Conformidade, Controle de Acesso, Riscos, Data Center, Sala-cofre, Integridade, Confidencialidade, Disponibilidade e Legalidade.

Security is a word which transmits a sense of comfort and peace to everyone.

The product “Security” is much harder to obtain when it comes to Information. In this case, there is a huge variety of products which comes in a diversity of forms: Physical security (paper), electronic security (data transmissions and storage) and even people security. To seek absolute security is a major goal, but it implies in controlling each and every variable that integrate this universe; something practically impossible to accomplish. The paths that make this major goal possible to achieve are a result of joint efforts, both public and private throughout the world, which established a document whose purpose is to standardize good security procedures. This document origined the BS 79-1995, established in Brazil by ABNT – Associação Brasileira de Normas Técnicas through the ISO/IES 17799-2000. The safety of the information is structured by several components. One of them, physical security, aids specifically the information security aspect. Without it, efforts to stabelish a safe data environment would be worthless.

Keywords: Physical Security, ISO/IEC 17799, Security Policy, Security Organization, Asset Classification and Control, Personnel Security, Physical and Environmental Security, Compliance, Access Control, Risks, Data Center, IT Security Room, Integrity, Confidentiality and legality.

1 INTRODUÇÃO

A segurança da informação é um bem diretamente relacionado aos negócios de uma organização. Seu principal objetivo é garantir o funcionamento da organização frente às possibilidades de incidentes, evitando prejuízos, aumentando a produtividade, provendo maior qualidade aos clientes e vantagens em relação aos seus competidores evidenciando a reputação da organização.

A informação pode ser encontrada sob diversas formas: escrita, eletrônica e impressa. Podem ser transmitidas por diferentes canais como e-mail, correio, filmes, falada, rádio, TV etc. Seja qual for sua forma de existência ou modo pelo qual é transmitida a informação deve ser protegida.

[...] tecnologias e avanços têm colocado muitas empresas em uma posição delicada em alguns casos. Problemas de origem interna e externa têm marcado presença no dia-a-dia, principalmente nas Organizações que não possuem Políticas de Segurança implementadas.

A comunidade internacional composta por entidades governamentais, e até mesmo privadas, preocupadas com esta questão da segurança, iniciou, ainda de forma isolada, propostas para tratar o assunto, principalmente nos 12 últimos anos com a criação, em 1995, da norma como a BS 17799-1 e evoluída para a versão BS 17799 1- 2 em 1999, que passou a ser padrão mundial seguido pelas empresas e governos. Surgiu então a norma NBR ISO/IEC 17799 em 2000, vigorando a partir de setembro deste mesmo ano. A figura abaixo mostra a evolução.

Fonte: w.febraban.org.br/Palestras em 02/1/2004 Figura 1 - Evolução da Norma BS 17799

Quando se fala em proteger um bem ou ativo de informação significa que este possui um valor para o seu proprietário. Os ativos de informação podem ser:

• Serviços: processamento de dados, comunicação e fornecimento de energia;

• Sistemas computadorizados: aplicativos, sistemas básicos, ferramentas de desenvolvimento;

• Equipamentos: computadores, equipamentos de comunicação de dados, mídias (fitas e discos), equipamentos de fornecimento de energia alternativa, cofres;

• Documentos: contratos, demonstrações financeiras;

• Pessoas: funcionários, terceiros e clientes; • Imagem e reputação da organização;

• Informações: arquivos, bancos de dados, documentação de sistemas, material de treinamento, procedimentos, Plano de Continuidade dos Negócios, relatórios, telas, mídias, mensagens eletrônicas, registros de dados, arquivos de dados.

• Edificações: edifícios, lojas, indústrias, depósitos, containeres, silos, centrais geradoras, linhas de distribuição, torres, etc.

Para alcançar os objetivos propostos, a norma prevê a preservação de três componentes básicos que são:

• Confidencialidade;

• Integridade;

• Disponibilidade.

A segurança física é um dos principais componentes da segurança da informação, sem a qual todo o esforço despendido na proteção lógica torna-se ineficaz, pois haveria grande possibilidade de que um incidente, incêndio, roubo, sabotagem, interrupção do fornecimento de energia, problemas com climatização, inundação, interrupção no abastecimento de água etc, pudessem ocorrer comprometendo a continuidade do negócio a partir da não preservação dos três componentes básicos citados acima.

Além desses pode-se citar a Legalidade como outro componente que visa o enquadramento da organização no âmbito legal, sendo abrangido por leis federais, estaduais, municipais e a política de segurança da organização.

A falta de controles ambientais adequados pode provocar danos aos equipamentos, causados por desastre natural, picos de energia, descarga elétrica de um raio, temperaturas extremas ou eletricidade estática. Pode ainda ocorrer perda de dados devido às falhas ou falta de fornecimento de energia. A indisponibilidade dos sistemas computacionais pode acarretar problemas econômicos e perda de competitividade da empresa no mercado.

Estatísticas

Algumas estatísticas serão apresentadas para um melhor entendimento sobre a importância da segurança física no contexto da segurança da informação e estão baseados na 9a Pesquisa de Segurança da Informação – Módulo (2003) conforme abaixo:

Figura 2 - Principais ameaças à segurança da informação

As Falhas na Segurança Física foram apontadas por 37% dos entrevistados como uma das principais ameaças, mostrando que atualmente a Segurança Física faz parte da preocupação do Security Officer.

Figura 3 - Principais pontos de invasão A invasão Física corresponde a 6% dos principais pontos de invasão, mostrando que a Segurança Física é tão importante quanto a lógica, pois quando indevidamente implementada, ocasiona vulnerabilidades a empresas.

(Parte 1 de 7)

Comentários