NORMA ABNT NBR BRASILEIRA ISO/IEC 27002 Primeira edigao 31.08.2005 Valida a partir de ‘30.09.2005 Tecnologia da informagao — Técnicas de seguranga — Cédigo de pratica para a gestao da seguranga da informagao Information technology - Security technical - Code of pratice for information security management Palevras-chave: Tecnologia dainformacdo. Seguranga Dosertors Information fochnology. Security ICS 35.040 ISBN 978-85-07-00648-0 @ associat Namero de referéncia BENOHIAS ABNT NBR ISOIIEC 27002:7005 TECNICAS 120 paginas ‘@ABNT 2005ABNT NBR ISO/IEC 27002:2005 © ABNT 2005 Todos 06 direitos reservados. A menos que especiicado de outro modo, nenhuma parte desta publicagéo pode ser reproduzida ‘ou por qualquer meio, eletrénico ou mecéinico,incluindo fotocépia e microfilme, sem permissao por escrito pela ABNT. Sede da ABNT ‘Av-Treze de Maio, 13 - 28° andar 2031-901 - Rio de Janeiro - RJ Tol: + 55 21 3974-2300 Fax: + 55 21 2220-1762 abnt@abnt.org.br www.aont.org.br Impresso no Brasil ii @ABNT 2005 - Todos 08 ditelios reservadosABNT NBR ISO/IEC 27002:2005 Prefacio Nacional ‘A Associagto Brasileira de Normas Técnicas (ABNT) & 0 Foro Nacional de Normalizagso. As Normas Brasileiras, cujo contetido @ de responsabilidade dos Comités Brasileiros (ABNT/CB), dos Organismos de Normalizagao Setorial (ABNT/ONS) © das Comissées de Estudo Especiais Temporarias (ABNT/CEET), sao elaboradas por Comissées de Estudo (CE), formadas por representantes dos selores envolvidos, delas fazendo parte: produtores, consumidores e neutros (universidades, laboratérios e outros). (Os Documentos Técnicos ABNT sao elaborados conforme as regras da Diretivas ABNT, Parte 2. ‘A Associacao Brasileira de Normas Técnicas (ABNT) chama atencao para a possibilidade de que alguns dos elementos deste documento podem ser objeto de direito de patente. A ABNT nao deve ser considerada responsavel pela identificagdo de quaisquer direitos de patentes. A ABNT NBR ISO/IEC 27002 foi elaborada no Comité Brasileiro de Computadores @ Processamento de Dados (ABNTICB-21), pela Comissdo de Estudo de Seguranca Fisica em Instalag5es de Informatica (CE-21:027.00). Esta Norma 6 uma adogao idéntica, em contetido técnico, estrutura e redacéo, & ISO 27002:2008, que foi elaborada pelo Comité Técnico Information technology (ISO/IEC JTC 1), Subcomité SC 27, Security techniques, conforme ISO/IEC Guide 21-1:2005, Esta primeira edigio da ABNT NBR ISO/IEC 27002 compreende a ABNT NBR ISO/IEC 17799:2005 (Verséo Corrigida de 02.07.2007) @ a Errata 2 de 10.09.2007. Seu contetido técnico é idéntico ao da ABNT NBR ISO/IEC 17799:2005 (Verso Corrigida de 02.07.2007). A Errata 2:2007 altera 0 numero de referéncia da norma de 17799 para 27002. A ABNT NBR ISO/IEC 17799:2005 e a Errata 2:2007 sero provisoriamente mantidas até a publicagao da segunda edigdo da ABNT NBR ISO/IEC 27002, GABNT 2005 - Todos 08 alitvilos reservados tiiNORMA BRASILEIRA ABNT NBR ISO/IEC 17799:2005 ERRATA 2 Publicada em 10.09.2007 Tecnologia da informagao — Técnicas de seguranga — Cédigo de pratica para a gestao da seguranga da informagao ERRATA 2 Esta Errata 2 da ABNT NBR ISO/IEC 17799:2005, elaborada pela Comissdo de Estudo de Seguranga Fisica fem Instalagdes de Informatica (CE-21:027.00), tem por objetivo adotar 0 Technical Corrigendum 1 da ISOMEC 17799:2005. Em todo 0 documento: ‘Substituir “17799" por “27002" Ics 35.040 Ref.: ABNT NBR ISO/IEC 17799:2005/Err.2:2007 ‘© ABNT 2007 — Todos 08 direitos reservados 4NORMA ABNT NBR BRASILEIRA ISO/IEC 17799 ‘Segunda edigao 31.08.2005 Valida a partir de ‘30.09.2005 Verso corrigida 02.07.2007 Tecnologia da informagao — Técnicas de seguranga — Codigo de pratica para a gestao da seguranga da informagao Information technology — Security technical - Code of pratice for information security management Palavras-chave: Tecnologia da informago. Seguranga. Descriptors: Information technology. Security. Ics 35.040 ISBN 978-85-07-00519-3, assoccio Numero de referéneia DENORMAS ABNT NBR ISO/IEC 17799:2005 TECNICAS 120 paginas ‘@ABNT 2005ABNT NBR ISO/IEC 17799:2005 © ABNT 2005 Todos 08 direitos reservados. A menos que especiicado de outro modo, nenhuma parte desta publicagdo pode ser reproduzida ‘04 por qualquer meio, eletrdnico ou mecéinico,incluindo fotocépia e microfilme, sem permissao por escrito pela ABNT. ‘Sede da ABNT ‘Av-Treze de Maio, 13 - 28° andar 2031-901 - Rio de Janeiro - RJ Tel: + 55 21 3974-2300 Fax: + 55 21 2220-1762 abnt@abnt.org.br www.abnt.org.br Impresso no Brasil ii @ABNT 2005 - Todos 08 ditetos reservadosABNT NBR ISO/IEC 17799:2005 Sumario Pagina Prefacio Nacional. o oO 02 03 04 05 Introdugao. . © que é seguranca da informagao?..... Por que a seguranga da informagao é necessaria?. Como estabelecer requisitos de seguranca da informagao Analisandolavaliando os riscos de seguranga da informacao.. ‘Selegao de controles. Ponto de partida para a seguranga da informagio..... Fatores criticos de sucesso ... Desenvolvendo suas préprias diretrizes Objetivo Termos e defini¢des Estrutura desta Norma.. Segces : Principais categorias de seguranga da Informagao ... Anilise/avaliagao e tratamento de riscos Analisandolavaliando os riscos de seguranga da informagao.. Tratando 08 riscos de seguranga da informacao Politica de seguranga da informagao... Politica de seguranca da informagao. Documento da politica de seguranga da informagao. Analise critica da politica de seguranca da informagao Organizando a seguranga da informaga Organizagao interna ‘Comprometimento da direcdo com a seguranga da Informacao ... Coordenagao da seguranca da informagao.. Atribuigao de responsabilidades para a seguranga da informagao Processo de autorizacao para os recursos de processamento da informacao ... Acordos de confidencialidade Contato com autoridades Contato com grupos especials Andlise critica independente de seguranga da informagao. Partes externas. Identificacdo dos riscos relacionados com partes externas. Identificando a seguranca da informagao, quando tratando com os clientes. Identificando seguranca da informagdo nos acordos com terceiros. Gestao de ativos... Responsabilidade pelos ativos. Inventério dos ativos. Proprietario dos ativos.... Uso aceitavel dos ativos. Classificagao da informagao Recomendagées para classificagao.... Rétulos e tratamento da informagao... ‘Seguranga em recursos humanos.. Antes da contratagao .... Papéls e responsabilidades ... Selegao . Termos e condigées de contratagao L©ABNT 2005 - Todos oe alto tos reservados iABNT NBR ISO/IEC 17799:2005 82 824 822 823 83 83.4 Durante a contratacao. Responsabilidades da direcao. Conscientizagao, educagao e treinamento em seguranga da informagao. Processo disciplinar.. Encerramento ou mudanca da contratacao.. Encerramento de atividades.. Devolugao de ativos. Retirada de direitos de acesso... Seguranga fisica o do ambiente. Areas seguras.. Perimetro de seguranca fisica ... Controles de entrada fisica ‘Seguranca em escritérios, salas e instalacoes Protecao contra ameacas externas e do meio ambiente ... Trabalhando em areas seguras.. Acesso do pubblico, areas de entrega e de carregamento.. Seguranca de equipamentos. Instalagao e protege do equipamento... Utilidades. ‘Seguranca do cabeamento.. Manutengao dos equipamentos. Seguranga de equipamentos fora das dependéncias da organizagao Reutilizagao e alienacao segura de equipamentos... Remosao de propriedade.... Gerenclamento das operagées e comunicagées. Procedimentos e responsabilidades operacionais... Documentagao dos procedimentos de operacao Gestao de mudancas. Segregacdo de funcoes ‘Separagdo dos recursos de desenvolvimento, teste e de produgao.. Gerenciamento de servicos terceirizados Entrega de servicos. Monitoramento e andlise critica de servigos terceirizados... Gerenciamento de mudangas para servicos terceirizados. Planejamento e aceitagao dos sistemas. Gestdo de capacidade... Aceitacao de sistemas Protecdo contra cédigos maliciosos e cédigos moveis .. Controles contra cédigos maliciosos Controles contra cédigos méveis. Cépias de seguranga. Cépias de seguranca das informacées.. Gerenciamento da seguranga em redes Controles de redes Seguranca dos servicos de rede Manuseio de midias. Gerenciamento de midias removiveis. Descarte de midias. Procedimentos para tratamento de informaga Seguranga da documentacao dos sistemas. Troca de informagées ... Politicas e procedimentos para troca de informagées. Acordos para a troca de informacées. Midias em transito Mensagens eletrénicas Sistemas de informagées do negécio. Servigos de comércio eletrénico .. Comércio eletrénico... Transagées on-line. Informagées publicamente disponiveis. (GABNT 2005 - Todos 08 dvotos reservadosABNT NBR ISO/IEC 17799:2005 10.10 Monitoramento 10.10.1 Registros de auditoria... 60 61 10.10.2 Monitoramento do uso do sistema... 61 10.10.3 Protecao das informagées dos registros (/og). 63 10.10.4 Registros (log) de administrador e operador 63 10.10.5 Registros (log) de falhas.. . 10.10.6 Sincronizacao dos relégios. 64 " M4 11.1.1 Politica de controle de acesso... 11.2. Gerenciamento de acesso do usuario, 11.2.4 Registro de usuario... 11.2.2 Gerenciamento de privilégios 11.23. Gerenciamento de senha do usuario 11.2.4 Andlise critica dos direitos de acesso de usuario 11.3 Responsabilidades dos usuarios 113.4 Uso de senhas 11.3.2. Equipamento de usuario sem monitoragao. 11.3.3 Politica de mesa limpa e tela limpa 114 Controle de acesso a rede. 11.4.1. Politica de uso dos servicos de red. 11.4.2. Autenticacao para conexao externa do usuario 11.4.3. Identificagao de equipamento em redes 11.4.4 Protecao de portas de configuragao e diagnéstico remotos. 11.4.5 Segregacao de redes. 11.4.6 Controle de conexao de rede 11.4.7 Controle de roteamento de redes 11.5 Controle de acesso ao sistema operacional 11.5.1 Procedimentos seguros de entrada no sistema (log-on)... 11.5.2 Identificacao autenticacao de usuario 11.5.3 Sistema de gerenciamento de senha .. 11.5.4 Uso de utilitarios de sistema. 11.5.5 Limite de tempo de sessao. 11.5.6 Limitagao de horario de conexao 11.6 Controle de acesso a aplicagao e a informagao 11.6.1. Restrigao de acesso a informacao 11.6.2 Isolamento de sistemas sensiveis. 11.7 Computagao mével e trabalho remoto 11.7.1 Computagao e comunicacdo mével 14.7.2 Trabalho remote .. 12 Aquisicao, desenvolvimento e manutengdo de sistemas de informagao 12.1 Requisitos de seguranca de sistemas de informacao. 12.1.1 Andlise e especificacao dos requisitos de seguranca 12.2 Processamento correto nas aplicacées. 12.2.1 Validagao dos dados de entrada. 12.2.2 Controle do processamento interno. 12.2.3. Integridade de mensagens 12.2.4 Validagao de dados de saida. 12.3. Controles criptograficos.. 12.3.1. Politica para o uso de controles criptograficos .. 12.3.2 Gerenciamento de chave 12.4 Seguranca dos arquivos do sistema... 12.4.1. Controle de software operacional. 12.4.2 Protegao dos dados para teste de sistema.. 12.4.3 Controle de acesso ao cédigo-fonte de programa ... 12.5 Seguranca em processos de desenvolvimento e de suporte. 12.5.1 Procedimentos para controle de mudancas, : 12.5.2 Anilise critica técnica das aplicagoes apés mudancas no sistema operacional 94 12.5.3 Restric6es sobre mudangas em pacotes de software.. @ABNT 2005 - Todos 08 diteltos reservados vABNT NBR ISO/IEC 17799:2005 125.4 1255 126 126.1 13 134 43.4.4 13.1.2 13.2 13.2.4 13.22 13.23 vi Vazamento de informagées . Desenvolvimento terceirizado de software, 96 Gestdo de vulnerabilidades técnicas .. Controle de vulnerabilidades técnicas. Gestao de incidentes de seguranga da informagio .... Notificacao de fragilidades e eventos de seguranga da Informacao. Notificaco de eventos de seguranca da informagao Notificando fragilidades de seguranca da informagao. Gestao de incidentes de seguranca da informacao e molhorias, Responsabilidades e procedimentos... Aprendendo com os incidentes de seguranga da informagao.. Coleta de evidéncias Gestio da continuidade do negécio. Aspectos da gestio da continuldade do negécio, relativos a seguranga da Informag: Incluindo seguranca da informagao no processo de gestae da continuidade de negécio... Continuidade de negécios e andlise/avaliagao de riscos, Desenvolvimento ¢ implementagao de planos de continuidade relatives 4 seguranga da informagao 104 105 Estrutura do plano de continuidade do negécio. Testes, manutengao e reavaliagao dos planos de continuidade do negécio . ‘Conformidad: Conformidade com requisitos legais . Identificacao da legislagao aplicavel. Direitos de propriedade intelectual Protecao de registros organizacionais .. Protecdo de dados e privacidade de informacées pessoais Prevengao de mau uso de recursos de processamento da informacao ... Regulamentacao de controles de criptografia ‘Conformidade com normas e politicas de seguranga da informagao e conformidade técnica, Conformidade com as politicas e normas de seguranga da informacao.. Verificacao da conformidade técnica.. Consideracées quanto a auditoria de sistemas de informacao. Controles de auditoria de sistemas de informacao. Protecdo de ferramentas de auditoria de sistemas de informagao (GABNT 2005 - Todos 08 dvotos reservadosABNT NBR ISO/IEC 17795 2005 Prefacio Nacional A Associagéo Brasileira de Normas Técnicas (A3NT) o Férum Nacional de Normalizagdo, ‘As Normas Brasileiras, cujo contetido 6 de responsabilidade dos Comités Brasileiros (ABNT/CB), dos Organismos de Normalizagao Setorial (ABNT/ONS) e das Comissées de Esludo Especiais Temporarias (ABNT/CEET), sd0 elaboradas por Comisses de Estudo (CE), formadas por representantes dos setores envolvidos, delas fazendo Parte: produtores, consumidores e neutros (universidades, laboratérios e outros). A ABNT NBR ISO/IEC 17799 fol elaborada no Comité Brasileiro de Computadores e Processamento de Dados (ABNTICB-21), pela Comissdo de Estudo de Seguranca Fisica em Instalagées de Informatica (CE-21:204.01). © Projeto circulou em Consulta Nacional conforme Eaital n* 03, de 31.03.2005, com 0 niimero de Projeto NBR ISO/IEC 17799. Esta Norma é equivalente a ISO/IEC 17799:2005. Uma familia de normas de sistema de gestéo de seguranga da informagao (SGSI) esté sendo desenvolvida no ISO/IEC JTC 1/SC 27. A familia inclui normas sobre requisites de sistema de gestao da seguranga da informagao, gestdo de riscos, métricas e medidas, e diretrizes para implementagao. Esta familia adotara um esquema de numeragao usando a série de nlimeros 27000 em seqliéncia, A partir de 2007, a nova edigéo da ISO/IEC 17799 sera incorporada ao novo esquema de numeragéo como ISO/IEC 27002. Os termos relacionados a seguir, com a respectiva descrigao, foram mantidos na lingua inglesa, por nao possuirem tradugdo equivalente para a lingua portuguesa: Back-up — cépias de seguranga de arquivos. BBS (Bulletin Board System) ~ sistema no qual um computador pode se comunicar com outros computadores por meio de linha telefonica, como na Internet. Buffer overflow/overrun ~ transbordamento de dados. Situagao que ocorre quando dados em demasia so aceitos na entrada de uma aplicaco ou durante o processamento interno do sistema, ullrapassando a sua capacidade de armazenamento. Call back — retorno de chamada, Call center — central de atendimento. Call forwarding - encaminhamento de chamada. Covert channel — canal de comunicagées que permite o fluxo de informagées de uma maneira que viole a politica de seguranga do sistema, Denial of service (negago do servigo) — impedimento do acesso autorizado aos recursos ou retardamento de operacées criticas por um certo periodo de tempo. Dial up — servigo por meio do qual um computador pode usar a linha telef6nica para iniclar e efetuar uma ‘comunicago com outro computador. Display — dispositive de apresentagao de dados. Download - descarregamento, transferéncia de arquivos entre computadores por meio de uma rede. E-business - modalidade eletrénica de realizagao de transagbes de negécios, {@ABNT 2005 - Todos 08 direitos reservados vilABNT NBR ISO/IEC 17799:2005 EDI ~ Eletronic Data Interchange — intercdmbio eletrénico de dados. E-government ~ modalidade eletrénica de realizagao de transagdes de negécios @ prestagao de servicos por entidades governamentais. Firewall - sistema ou combinago de sistemas que protege a fronteira entre duas ou mais redes. Flash Disks — dispositivos de armazenamento de dados que utiiza circuitos integrados de meméria nao volatil Gateway — equipamento que funciona como ponto de conexao entre duas redes. Hacker — pessoa que tenta acessar sistemas sem autorizagao, usando técnicas proprias ou nao, no intuito de ter acesso a determinado ambiente para provelto préprio ou de terceiros, Dependendo dos objetivos da aco, podem ser chamados de Cracker, Lammer ou BlackHat. Hash — representagao matemdtica Unica de um conjunto de dados (resumo de mensagem). Help desk — fonte de suporte técnico aos usuarios, ISP provedores de servigos de Internet. Log-On — processo de identificacao e autenticagao de um usuario para permitir 0 seu acesso a um sistema. Logging ~ registro do histérico de atividades realizadas ou de eventos ocorridos em um determinado sistema ou proceso. Middleware — personalizagao de software; software de sistema que foi personalizado por um vendedor para um. usudrio particular. Need fo know ~ concelto que define que uma sé pessoa precisa acessar os sistemas necessérios para realizar a sua atividade, ‘Network worms (vermes de rede) — cédigo malicioso autopropagavel que pode ser distribuido automaticamente de um computador para outro por meio de conexdes de rede local ou pela _ Internet. Um worm pode realizar ages perigosas, como consumir banda de rede e recursos locals. Patch — corregao temporaria efetuada em um programa; pequena corregao executada pelo usuario no software, com as instrugdes do fabricante do software. PDA ~assistente digital pessoal. PIN (Personal Identification Number) — niimero de identificagao pessoal. Program-to-program controls ~ controles entre programas. Root ~ usuario administrador com privilégios irrestritos no sistema. Rup-to-run controls — controles entre execugoes. ‘Scanners — periférico de digitalizagao de imagens e documentos. ‘Snapshot - retrato do estado de um sistema em um estagio especttico. Sniffer — um software ou dispositive especializado que captura pacotes na rede. Timostamp (carimbo de tempo) - registro temporal de um evento. vill @ABNT 2005 - Todos o8 direitos reservadosABNT NBR ISO/IEC 17799:2005 Tokens ~ Dispositivo fisico para autenticagao. Exemplos: token criptogréfico, token de senha dinémica, token de meméria, entre outros, UTC ~ Coordinated Universal Time — Tempo Universal Coordenad. Wireless ~ sistema de comunicagao que no requer flos para transportar sinais. Em 6.1.3, Diretrizes para implementagdo, primeiro paragrafo, a ISO/IEC 17799:2005 faz uma referéncia equivocada a seco 4. Esse equivoco foi corrigido nesta ABNT NBR ISO/IEC 17799 e a notificagao deste foi feita ao ISO/IEC JTC 1 para correcdo da norma original Esta segunda edigéo cancela e substitul a edigéo anterior (ABNT NBR ISO/IEC 17799:2001), a qual fol tecnicamente revisada. Esta versao corrigida da ABNT NBR ISO/IEC 17799:2005 incorpora a Errata 1 de 28.08.2008 e Errata 1 de 02.07.2207. CABNT 2005 - Todos 08 direitos reservados xABNT NBR ISO/IEC 17799:2005 0 Introdugdo 0.1 © que é seguranga da informago? A informagao 6 um ativo que, como qualquer outro ativo importante, 6 essencial para os negécios de uma organizagao e conseqilentemente necesita ser adequadamente protegida, Isto 6 especialmente importante no ambiente dos negécios, cada vez mais interconectado. Como um resultado deste incrivel aumento da interconectvidade, a informagao esté agora exposta a um crescente numero @ a uma grande variedade de ameacas e vulnerabilidades (ver OECD Diretrizes para a Seguranga de Sistemas de Informagées ¢ Redes). A informagao pode existir em diversas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletronicos, apresentada em filmes ou falada em conversas. Seja qual for a forma apresentada ou o meio através do qual a informacao 6 compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente, ‘Seguranca da informagao € a protecdo da informago de varios tipos de ameagas para garantir a continuidade do negécio, minimizar 0 risco a0 negécio, maximizar o retorno sobre os investimentos @ as oportunidades de negécio, A seguranca da informagao € obtida a partir da implementagao de um conjunto de controles adequados, incluindo politicas, processos, procedimentos, estruturas organizacionais e fungdes de software © hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente melhorados, onde necessério, para garantir que os objetivos do negocio e de seguranga da organizacao sejam atendidos. Convém que isto seja feito em conjunto com outros processos de gestao do negécio. 0.2 Por que a seguranga da informagao é necessaria? A informagdo @ 0s processos de apoio, sistemas e redes sdo importantes ativos para os negécios Definir, alcangar, manter © melhorar a seguranca da informacdo podem ser atividades essenciais para assegurar a competitividade, o fluxo de calxa, a lucratividade, o alendimento aos requisites legais ¢ a imagem da organizagao junto ao mercado, As organizagoes, seus sistemas de informagao e redes de computadores sao expostos a diversos tipos de ameacas & seguranca da informagao, incluindo fraudes eletrénicas, espionagem, sabotagem, vandalismo, incéndio e inundagdo. Danos causados por cédigo malicioso, hackers alaques de denial of service estao se tomando cada vez mais comuns, mais ambiciosos e incrivelmente mais sofisticados. ‘A seguranga da informagao 6 importante para os negécios, tanto do setor piiblico como do setor privado, @ para proteger as infra-estruluras criticas. Em ambos os setores, a fungao da seguranga da informagdo é viabilizar os Negécios como 0 governo eletrénico (e-gov) ou 0 comércio eletrénico (e-business), e evitar ou reduzir 0s riscos, relevantes. A interconexao de redes publicas privadas e o compartilhamento de recursos de informagao aumentam a dificuldade de se controlar 0 acesso. A tendéncia da computago distribulda reduz a eficacia da implementagao de um controle de acesso centralizado. Muitos sistemas de informagao nao foram projetados para serem seguros. A seguranca da informagao que pode ser alcangada por meios técnicos 6 limitada e deve ser apoiada por uma gesléo e por procedimentos apropriados. A identificacdo de controles a serem implantados requer um planejamento cuidadoso © uma atengao aos detalhes. A gesio da seguranca da informacao requer pelo menos a participagao de todos os funcionérios da organizagao. Pode ser que seja necesséria também a parlicipagdio de acionistas, fomecedores, terceiras partes, clientes ou outras partes extemas. Uma consultoria externa especializada pode ser também necessétia. x @ABNT 2005 - Todos o8 direitos reservadosABNT NBR ISO/IEC 17795 2005 0.3 Como estabelecer requisitos de seguranga da informagao E essencial que uma organizagiio identifique os seus requisilos de seguranga da informagabo. Existem trés fontes principais de requisitos de seguranga da informacao. 1. Uma fonte é obtida a partir da andlise/avaliagdo de riscos para a organizagao, levando-se em conta 08 objetivos © as estratégias globais de negécio da organizacao. Por meio da andlise/avaliacdo de fiscos, séo identificadas as ameagas aos ativos e as vulnerabilidades destes, e realizada uma estimativa da probabilidade de ocorréncia das ameagas e do impacto potencial ao negécio. 2, Uma outra fonte 6 a legislagao vigente, os estatutos, a regulamentagao e as clausulas contratuais que a organizagéo, seus parceiros comerciais, contratados e provedores de servigo tém que atender, além do seu ambiente sociocultural. 3. A terceira fonte um conjunto particular de principios, objetivos @ os requisites do negécio para o processamento da informagao que uma organizacdo tem que desenvolver para apolar suas operagées. 0.4 Analisando/avaliando os riscos de seguranga da informagao Os requisitos de seguranga da informacao sao identificados por meio de uma analise/avaliagao sistematica dos riscos de seguranca da informagao. Os gastos com os controles precisam ser balanceados de acordo com os danos causados aos negécios gerados pelas potenciais falhas na seguranga da informacao. Os resultados da andlise/avaliagao de riscos ajudaro a direcionar e a delerminar as acées gerenciais apropriadas @ as prioridades para o gerenciamento dos riscos da seguranga da informagéo, e para a implementagao dos controles selecionados para a protegao contra estes riscos. Convém que a analise/avaliagao de riscos seja repetida periodicamente para contemplar quaisquer mudangas que possam influenciar os resullados desta andlise/avaliagao. Informagées adicionais sobre a anélise/avaliacdo de riscos de seguranga da informago podem ser encontradas em 4.1 “Analisandofavaliando os riscos de seguranga da informagao". 0.5 Selegdo de controles Uma vez que 0s requisitos de seguranga da informagao e os riscos tenham sido identificados e as decisées para o tratamento dos riscos tenham sido tomadas, convém que controles apropriados sejam selecionados e implementados para assegurar que os riscos sejam reduzidos a um nivel aceitével. Os controles podem ser selecionados a partir desta Norma ou de um outro conjunto de controles ou novos controles podem ser desenvolvidos para atender as necessidades especificas, conforme apropriado. A selego de controles de seguranca da informacaio depende das decisées da organizacéo, baseadas nos critérios para aceltagto de Tisco, nas opgées para tratamento do risco e no enfoque geral da gestao de risco aplicado 4 organizagao, & convém que também esteja sujeito a todas as legislagdes e regulamentagGes nacionais e internacionais, relevantes, Alguns dos controles nesta Norma podem ser considerados como principios basicos para a gesto da seguranga da informagao e podem ser aplicados na maioria das organizages. Estes controles sao explicados ‘em mais detalhes no item “Ponto de partida para a seguranca da informacao Informagées adicionais sobre selegdo de controles e oulras opgdes para tratamenlo de risco podem ser ‘encontradas em 4.2 “Tratamento dos riscos de seguranga da informagao" CABNT 2005 - Todos 08 direitos reservados xiABNT NBR ISO/IEC 17799:2005 0.6 Ponto de partida para a seguranga da informagao Um certo niimero de controles pode ser considerado um bom ponto de partida para a implementagao da seguranga da informagao. Estes controles sao baseados tanto em requisitos legais como nas melhores praticas de seguranga da informacao normalmente usadas. (Os controles considerados essenciais para uma organizago, sob 0 ponto de vista legal, incluem, dependendo da legistagao aplicave!: a) protecao de dados e privacidade de informagbes pessoais (ver 15.1.4); b)_protegao de registros organizacionais (ver 18.1.3); ©) direitos de propriedade intelectual (ver 15.1.2). Os controles considerados praticas para a seguranga da informagao incluem 2) documento da politica de seguranca da informagao (ver 5.1.1); b) atribuigdo de responsabilidades para a seguranga da informago (ver 6.1.3); €) conscientizagso, educagio e treinamento em seguranca da informagao (ver 8.2.2); 4) processamento correto nas aplicacbes (ver 12.2); €) gestao de vulnerabilidades técnicas (ver 12.6); 4) gestao da continuidade do negécio (ver segao 14); 9) gestdo de incidentes de seguranga da informagao @ melhorias (ver 13.2) Esses controles se aplicam para a maioria das organizagées @ na maioria dos ambientes. Convém observar que, embora todos os controles nesta Norma sejam importantes e devam ser considerados, @ relevancia de qualquer controle deve ser determinada segundo os riscos especfficos a que uma organizagéo ‘esta exposta. Por isto, embora o enfoque acima seja considerado um bom ponto de partida, ele ndo substitui a selecdo de controles, baseado na andlise/avaliagao de riscos. 0.7 Fatores criticos de sucesso A experiéncia tem mostrado que os seguintes fatores so geralmente criticos para o sucesso da implementacao da seguranga da informagao dentro de uma organizagao: a) politica de seguranga da informacao, abjetivas e atividades, que refitam os objetives do negécio; b) uma abordagem e uma estrutura para a implementagao, manutengao, monitoramento e melhoria da seguranga da informagao que seja consistente com a cultura organizacional; ©) comprometimento ¢ apoio visivel de todos os niveis gerenciais; 4) um bom entendimento dos requisitos de seguranga da informacao, da andlise/avaliacao de riscos © da gestdo de risco; e) divulgago eficiente da seguranca da informagao para todos os gerentes, funcionatios e outras partes envolvidas para se alcangar a conscientizagao; xii @ABNT 2005 - Todos o8 direitos reservadosABNT NBR ISO/IEC 17795 2005 f) distribuigao de diretrizes e normas sobre a politica de seguranga da informagao para todos os gerentes, funcionérios e outras partes envolvidas; @) proviso de recursos financeiros para as atividades da gestdo de seguranga da informagéo; h)_provisde de conscientizagao, treinamento e educagao adequados; i) estabelecimento de um eficiente processo de gesiéo de incidentes de seguranga da informagéio; }) implementagao de um sistema de medigao?, que soja usado para avaliar o desempenho da gestéo da seguranga da informagao e obtengao de sugestées para a melhoria 0.8 Desenvolvendo suas préprias diretrizes Esta Norma pode ser considerada como um ponto de partida para o desenvolvimento de diretrizes especiticas para a organizagéo. Nem todos os controles e diretizes contidos nesta Norma podem ser aplicados. Alem isto, controles adicionais © recomendacdes nao incluidos nesta Norma podem ser necessarios. Quando os documentos so desenvolvidos contendo controles ou recomendagées adicionais, pode ser ail realizar uma referéncia cruzada para as segdes desta Norma, onde aplicavel, para faciltar a verificagao da conformidade por auditores e parceiros do negécio. * Deve-se observar que as medigdes de seguranga da informagao esto fora do escopo desta Norma CABNT 2005 - Todos 08 direitos reservados xiiNORMA BRASILEIRA ABNT NBR ISO/IEC 17799:2005 Tecnologia da informagao — Técnicas de seguranga — Cédigo de pratica para a gestdo da seguranca da informagao 1 Objetivo Esta Norma estabelece diretrizes e principios gerais para iniciar, implementar, manter e melhorar a gestao de seguranga da informagaio em uma organizago. Os objetivos definidos nesta Norma provéem diretrizes gerais, sobre as metas geralmente aceitas para a gestao da seguranga da informagao, Os objetivos de controle os controles desta Norma t&m como finalidade ser implementados para atender aos, requisitos identificados por meio da andliselavaliagao de riscos. Esta Norma pode servir como um guia pratico para desenvolver os procedimentos de seguranga da informagao da organizagao e as eficientes praticas de gestao da seguranca, e para ajudar a criar confianca nas atividades interorganizacionais. 2 Termos e definigées Para os efeitos desta Norma, aplicam-se os seguintes termos e definicées. 24 ativo qualquer coisa que tenha valor para a organizaco [ISO/EC 13335-1:2004] 22 controle forma de gerenciar 0 risco, incluindo politicas, procedimentos, diretrizes, praticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de gestao ou legal NOTA Controle é também usado como um sindmino para protege ou contramedida, 23 jrotriz descrig&o que orienta o que deve ser feito e como, para se alcangarem os objetivos estabelecidos nas politicas [ISONEC 13335-1:2004] 24 recursos de processamento da informacao qualquer sistema de processamento da informagao, servigo ou infra-estrutura, ou as instalagdes fisicas que os, abriguem 25 seguranga da informagao preservacao da confidencialidade, da integridade © da disponibilidade da informagao; adicionaimente, outras, propriedades, tals como autenticidade, responsabllidade, nao repidio e conflabllidade, podem também estar envolvidas GABNT 2005 - Todos 08 dlitvtes reservados 1ABNT NBR ISO/IEC 17799:2005 26 evento de seguranga da informagao ocorréncia identificada de um sistema, servigo ou rede, que indica uma possivel violagao da politica de seguranga da informagao ou falha de controles, ou uma situagao previamente desconhecida, que possa ser relevante para a seguranga da informagao [ISO/IEC TR 18044:2004] 27 idente de seguranga da informacao um incidente de seguranga da informagéio 6 indicado por um simples ou por uma série de eventos de seguranga da informagao indesejados ou inesperados, que tenham uma grande probabilidade de compromoter as operagées do negécio e ameagar a seguranca da informacao [ISO/IEC TR 18044:2004) 28 politica Intengées e diretrizes globais formalmente expressas pela diregaio 2.9 risco combinagao da probabilidade de um evento @ de suas conseaiiéncias. IABNT ISO/IEC Guia 73:2005] 2.10 anilise de riscos uso sistematico de informages para identificar fontes e estimar 0 risco [ABNT ISO/IEC Guia 73:2005] 211 anilise/avaliagao de riscos. processo completo de andlise e avaliago de riscos [ABNT ISO/IEC Guia 73:2005} 242 avaliagao de riscos Proceso de comparar o risco estimado com critérios de risco pré-definidos para determinar a importancia do IABNT ISO/IEC Guia 73:2005] 2.13 gestdo de riscos atividades coordenadas para direcionar e controlar uma organizagao no que se refere a riscos NOTA Agestio de riscos geralmente inclul a andlise/avaliagao de riscas, o tratamento de riscos, a aceitagao de riscos 2 a comunicagao de riscos. [ABNT ISO/IEC Guia 73:2005] 2.14 tratamento do risco processo de selego e implementagdo de medidas para modificar um risco [ABNT ISO/IEC Guia 73:2005] 245 terceira parte pessoa ou organismo reconhecido como independente das partes envolvidas, no que se refere a um dado assunto [ABNT ISO/IEC Guia 2:1998] 2 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 2.16 ameaga causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organizagao [ISONEC 13335-1:2004] 247 vulnerabildade fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameagas GABNT 2005 - Todos 08 dlitvtes reservados 3ABNT NBR ISO/IEC 17799:2005 3 Estrutura desta Norma Esta Norma contém 11 seg6es de controles de seguranga da informaco, que juntas totalizam 39 categorias rincipais de seguranga e uma segao introdutéria que aborda a analise/avaliagao e o tratamento de riscos. 3.1 Segdes Cada segdo contém um niimero de categorias principais de seguranga da informagao. As 11 segdes {acompanhadas com o respectivo nlimero de calegorias) sao: a) Politica de Seguranga da Informagao (1); b) Organizando a Seguranga da Informagao (2); ©) Gestao de Ativos (2); 4) Seguranga em Recursos Humanos (3); @) Seguranga Fisica ¢ do Ambiente (2); 1) Gestdo das Operagées e Comunicagses (10); 9) Controle de Acesso (7); hh) Aquisigao, Desenvolvimento e Manutengao do Sistemas de Informagao (6); 1) Gestao de Incidentes de Seguranca da Informacao (2); }) Gestéo da Continuidade do Negécio (1) k) Conformidade (3). Nota: A ordem das segdes nesta Norma néo significa 0 seu grau de jmporténcia. Dependendo das circunsténcias, {odas as se¢oes podem ser importantes. Portanto, convém que cada organizagao que ullize esta Norma identifque quais ‘do 0s itens aplicaveis, quao importantes eles sao 6 a sua aplicagao para os processos especificas do negécio. Todas as alineas nesta Norma também ndo esto ordenadas por prioridade, a menos que explicitado. 3.2. Principais categorias de seguranga da informagao Cada categoria principal de seguranga da informagao contém: a) um objetivo de controle que define o que deve ser alcangado; e b)_um ou mals controles que podem ser aplicados para se alcangar 0 objetivo do controle. As descrigées dos controles esto estruturadas da seguinte forma Controle Define qual o controle especifico para atender ao objetivo do controle. Diretrizes para a implementago Contém informagées mals detalhadas para apolar a implementag&o do controle e atender ao objetivo de controle. Aigumas destas diretrizes podem nao ser adequadas em todos os casos e assim outras formas de implementagao do controle podem ser mais apropriadas. 4 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 Informagses adicionais Contém informagGes adicionais que podem ser consideradas, como, por exemplo, consideracées legais ¢ referéncias a outras normas. GABNT 2005 - Todos 08 dlitvtes reservados 5ABNT NBR ISO/IEC 17799:2005 4 Anilise/avaliagao e tratamento de riscos 4.1. Analisando/avaliando os riscos de seguranga da informacao Convém que as analises/avaliagdes de riscos identifiquem, quantifiquem e priorizem os riscos com base em critérios para aceitagao dos riscos e dos objetivos relevantes para a organizagéo. Convém que os resultados orientem e determinem as agdes de gestdo apropriadas e as prioridades para o gerenciamento dos riscos de seguranga da informagdo, e para a implementacdo dos controles selecionados, de maneira a proteger contra estes riscos. O processo de avaliar os riscos e selecionar os controles pode precisar ser realizado varias vezes, de forma a cobrir diferentes partes da organizagao ou de sistemas de informagao especificos. Convém que a andlise/avaliagao de riscos inclua um enfoque sistematico de estimar a magnitude do risco {anélise de riscos) e o processo de comparar os riscos estimados contra os critérios de risco para determinar a significancia do risco (avaliacao do risco). Convém que as analises/avaliagées de riscos também sejam realizadas periodicamente, para contemplar as mudangas nos requisitos de seguranca da informagao e na situaco de risco, ou seja, nos ativos, ameacas, vulnerabilidades, impactos, avaliagao do risco e quando uma mudanga significativa ocorrer. Essas analises/ avaliagées de riscos devem ser realizadas de forma metédica, capaz de gerar resultados comparaveis reproduzivels. Convém que a anélise/avaliagao de riscos de seguranga da informagao tenha um escopo claramente definido para ser eficaz e inclua os relacionamentos com as andlises/avaliagées de riscos em outras areas, se necessatio. © escopo de uma analise/avaliagao de riscos pode tanto ser em toda a organizacao, partes da organizacao, ‘em um sistema de informacao especifico, em componentes de um sistema especifico ou em servigos onde isto seja pralicdvel, realistico e util. Exemplos de metodolagias de anélise/avaliagao de riscos s4o disculidas no ISO/IEC TR 13335-3 (Guidelines for the management of IT security: Techniques for the management of IT Security). 4.2 Tratando os riscos de seguranga da informagao Convém que, antes de considerar 0 tratamento de um risco, a organizagao defina os critétios para determinar se os riscos podem ser ou nao aceitos. Riscos podem ser aceitos se, por exemplo, for avaliado que o risco baixo ou que 0 custo do tratamento ndo 6 economicamente vidvel para a organizagao. Convém que tais decisées sejam registradas, Para cada um dos risoos identificados, seguindo a andlise/avaliagao de riscos, uma decisao sobre o tratamento do risco precisa ser tomada. Possiveis opGdes para o tratamento do risco, incluem: a) aplicar controles apropriados para reduzir os riscos; b) conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente a politica da organizagao e aos criterios para a aceltag&o de risco; ©) evitar riscos, nao permitindo agdes que poderiam causar a ocorréncia de riscos; )_transferir os riscos associados para outras partes, por exemplo, seguradoras ou fomecedores. 6 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 Convém que, para aqueles riscos onde a decisdo de tratamento do risco seja a de aplicar os controles apropriados, esses controles sejam selecionados e implementados para atender aos requisitos identificados pela andlise/avaliag4o de riscos. Convém que os controles assegurem que os riscos sejam reduzidos a um nivel aceitavel, levando-se em conta’ a) 05 requisitos e restrigdes de legislagbes @ regulamentagdes nacionais e internacionais; b)_ 08 objetivos organizacionais; ©) 08 requisites e restrigées operacionais; d) custo de implementagdo @ a operagdo em relagao aos riscos que esto sendo reduzidos e que permanecem proporcionais as restrigdes e requisites da organizagao; ©) a necessidade de balancear 0 investimento na implementagao © operagao de controles contra a probabilidade de danos que resultem em falhas de seguranga da informacao. Os controles podem ser selecionades desta Norma ou de outros conjuntos de controles, ou novos controles podem ser considerados para atender as necessidades especificas da organizagao, € importante reconhecer que alguns controles podem nao ser aplicdvels a todos os sistemas de Informagao ou ambientes, e podem nao ser praticéveis para todas as organizagdes. Como um exemplo, 10.1.3 descreve como as responsablidades podem ser segregadas para evitar fraudes e erros. Pode nao ser possivel para pequenas organizagdes Segregar todas as responsabilidades e, portanto, outras formas de alender o mesmo objetivo de controle podem ser necessarias, Em um outro exemplo, 10,10 descreve como o uso do sistema pode ser monitorado e as evidéncias coletadas. Os controles descritos, como, por exemplo, eventos de ‘logging’, podem conflitar com a legislagao aplicdvel,tais como a protegdo & privacidade dos clientes ou a exercida nos locals de trabalho. Convém que os controles de seguranga da Informaco sejam considerados na especificagao dos requisites & nos estagios iniciais dos projetos e sistemas. Caso isso nao seja realizado, pode acarretar custos adicionais & solugdes menos efetivas, ou mesmo, no pior caso, incapacidade de se alcancar a seguranga necessaria Convém que seja lembrado que nenhum conjunto de controles pode conseguir a seguranga completa, @ que uma ago gerencial adicional deve ser implementada para monitorar, avaliar e melhorar a eficiéncia e eficdcia dos controles de seguranca da informacao, para apoiar as metas da organizacao. GABNT 2005 - Todos 08 dlitvtes reservados 7ABNT NBR ISO/IEC 17799:2005 5 Politica de seguranga da informagao 5.1. Politica de seguranga da informagao ‘Objetivo: Prover uma orientagdo e apoio da diregao para a seguranga da informagao de acordo com os requisitos do negécio © com as leis @ regulamentagées pertinentes. Convém que a direcdo estabeleca uma clara orientagao da politica, alinhada com os objetivos do negécio @ demonstre apoio e comprometimento com a seguranga da informagao por meio da publicaczio e manulengao de uma politica de seguranga da informagao para toda a organizagao. 5.1.1 Documento da politica de seguranga da informagao Contrale Convém que um documento da politica de seguranga da informagao seja aprovado pela diregao, publicado comunicade para todos os funcionarios e partes externas relevantes. Diretrizes para implementagao, Convém que 0 documento da politica de seguranga da informagao declare o comprometimento da direcdo ¢ estabelega 0 enfoque da organizagdo para gerenciar a seguranga da informagao. Convém que o documento da politica contenha declaragées relativas a: a) uma definigéo de seguranca da informaco, suas metas globais, escopo e importancia da seguranca da informagao como um mecanismo que habilita o compartilnamento da informagao (ver introdugao); b) uma declaragao do comprometimento da diregao, apoiando as metas e principios da seguranga da informaco, alinhada com os objetivos e estratégias do negécio; ) uma estrutura para estabelecer os objetivos de controle € os controles, incluindo a estrutura de analise/avaliago e gerenciamento de risco; d) breve explanagao das politicas, principios, normas e requisitos de conformidade de seguranga da informagéo especificos para a organizacao, incluindo: 1) conformidade com a legislagao e com requisitos regulamentares ¢ contratuais; 2) requisitos de conscientizacdo, treinamento e educagéo em seguranca da informagao; 3) gestdo da continuidade do negécio; 4) conseqiiéncias das violagées na politica de seguranga da informagao; e) definigao das responsabilidades gerais e especificas na gestéo da seguranga da informagao, incluindo 0 registro dos incidentes de seguranga da informagao; 1) referéncias & documentagaio que possam apoiar a politica, por exemplo, politicas ¢ procedimentos de seguranga mais detalhados de sistemas de informagdo especificos ou regras de seguranga que os usuarios devem seguir Convém que esta politica de seguranga da informago seja comunicada através de toda a organizacio para os usudrios de forma que seja relevante, acessivel e compreensivel para o leitor em foco. Informacdes adicionais A politica de seguranga da informagao pode ser uma parte de um documento da politica geral. Se a politica de seguranga da informagdo for distribuida fora da organizagdo, convém que sejam tomados cuidados para ndo revelar informagdes sensiveis. InformagGes adicionais podem ser encontradas na ISO/IEC 13335-1:2004. 8 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 5.1.2 Anélise critica da politica de seguranga da Informagao Controle Convém que a politica de seguranga da informacao seja analisada criticamente a intervalos planejados ou quando mudangas significativas ocorrerem, para assegurar a sua continua perlinéncia, adequagao e eficacia, Diretrizes para implementacao Convém que a politica de seguranca da informagao tenha um gestor que tenha responsabilidade de gestao aprovada para desenvolvimento, andlise critica e avaliago da politica de seguranga da informagao. Convém que a andlise critica inclua a avaliagao de oportunidades para melhoria da politica de seguranga da informagdo da organizagao e tenha um enfoque para gerenciar a seguranca da informagéio em resposta as mudangas ao ambiente organizacional, &s circunstancias do negécio, as condigbes legals, ou ao ambiente técnico, Convém que a anélise critica da politica de seguranga da informago leve em consideragao os resultados da andlise critica pela direcdo. Convém que sejam definidos procedimentos para andlise critica pela direcdo, incluindo uma programagao ou um periodo para a analise critica. Convém que as entradas para a analise critica pela diregao incluam informag6es sobre: a) _realimentagao das partes interessadas; b) resultados de andlises criticas independentes (ver 6.1.8); ©) situagao de ages preventivas e corretivas (ver 6.1.8 © 15.2.1); d) resultados de andlises criticas anteriores feitas pela diregao; ) desempenho do processo e conformidade com a politica de seguranga da informagao; f)mudangas que possam afetar o enfoque da organizacao para gerenciar a seguranca da informagao, incluindo mudangas no ambiente organizacional, nas circunstancias do negécio, na disponibilidade dos recursos, nas questées contratuais, regulamentares e de aspectos legais ou no ambiente técnico; 9) tendéncias relacionadas com as ameagas e vulnerabilidades; h)_relato sobre incidentes de seguranga da informago (ver 13.1); i) recomendagées fornecidas por autoridades relevantes (ver 6.1.6). Convém que as saidas da anélise critica pela diregao incluam quaisquer decises e ag6es relacionadas a: a) _methoria do enfoque da organizagao para gerenciar a seguranga da informagao e seus processos; b)_methoria dos controles e dos objetivos de controles; ©) methoria na alocagao de recursos e/ou de responsabilidades. Convém que um registro da andlise critica pela diregao soja mantido. Convém que a aprovagao pela dirego da politica de seguranga da informagao revisada seja obtida. GABNT 2005 - Todos 08 dlitvtes reservados 9ABNT NBR ISO/IEC 17799:2005 6 Organizando a seguranga da informagao 6.1 Organizagao interna ‘Objetivo: Gerenciar a seguranga da informagao dentro da organizago. Convém que uma estrutura de gerenciamento seja estabelecida para iniciar e controlar a implementacao da sseguranca da informacao dentro da organizacao. Convém que a direc&o aprove a politica de seguranca da informagdo, atribua as fungSes da seguranca, coordene ¢ analise criticamente a implementago da seguranga da informagao por toda a organizacdo. Se necessario, convém que uma consultoria especializada em seguranga da informagdo seja estabelecida disponibilizada dentro da organizagao. Convém que contatos com especialistas ou grupos de seguranga da informagao externos, incluindo autoridades relevantes, sejam feitos para se manter atualizado com as tendéncias de mercado, monitorar normas e métodos de avaliagdo, além de fornecer apoio adequado, quando estiver tratando de incidentes de seguranga da informacao, Convém que um enfoque multigisciplinar na seguranga da Informagao seja incentivado, 6.1.1 Comprometimento da diregdo com a seguranga da informagao Controle Convém que a direco apéie alivamente a seguranca da informagao dentro da organizacdo, por meio de um claro direcionamento, demonstrando 0 seu comprometimento, definindo atribuigées de forma explicita reconhecendo as responsabilidades pela seguranga da informagao, Diretrizes para implementacao Convém que a diregao: a) assegure que as metas de seguranga da informagao esto identificadas, atendem aos requisites da organizagao e estdo integradas nos processos relevantes; b) formule, analise crticamente e aprove a politica de seguranga da informagéo; ©) analise crticamente a eficécia da implementagSo da politica de seguranga da informagio; 4) forneca um claro direcionamento e apoio para as iniciativas de seguranga da informagao; €) fomeca os recursos necessétios para a seguranga da informacao; 4) aprove as atribuigées de tarefas e responsabilidades especificas para a seguranca da informagao por toda a organizaca 9) inicie planos e programas para manter a conscientizagao da seguranga da informago; hh) assegure que a implementagao dos controles de seguranca da informacao tem uma coordenagao e permeia a organizagao (ver 6.1.2). Convém que a diregao identifique as necessidades para a consultoria de um especialista interno ou externo em seguranga da informagao, analise criticamente e coordene os resultados desta consultoria por toda a organizagao. Dependendo do tamanho da organizagao, tals responsabilidades podem ser conduzidas por um forum de gestao exclusive ou por um férum de gestéo existente, a exemplo do conselho de diretores, 10 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 Informacses adicionais Outras informagdes podem ser obtidas na ISO/IEC 13335-1:2004. 6.1.2 Coordenagao da seguranca da informagao Controle Convém que as atividades de seguranga da informagao sejam coordenadas por representantes de diferentes partes da organizacao, com fungées e papéis relevantes, Diretrizes para implementacdo Convém que a coordenagao da seguranga da informagao envolva a cooperagao e colaboragao de gerentes, usuarios, administradores, desenvolvedores, auditores, pessoal de seguranga e especialistas com habilidades has Areas de seguro, questées legais, recursos humanos, Tl e gestdo de riscos. Convém que esta atividade: a) garanta que as atividades de seguranga da informagao sao executadas em conformidade com a politica de seguranga da informacao; b)_ identifique como conduzir as ndo-conformidades; ©) aprove as metodologias e processos para a seguranga da informago, tals como anélise/avaliagdo de Tiscos e classificagaio da informagao; d)_identifique as ameagas significativas e a exposigao di da informago as ameagas; informagao e dos recursos de processamento e) avalie a adequago @ coordene a implementagdo de controles de seguranga da informagai f) promova, de forma eficaz, a educagéo, o treinamento e a conscientizagdo pela seguranga da informagao por toda a organizagac 9) _avalio as informagdes recebidas do monitoramento o da analise critica dos incidentes de seguranca da informagio, e recomende ages apropriadas como resposta para os incidentes de seguranga da informagao identificados. Se a organizagao nao usa representantes das diferentes areas, por exemplo, porque tal grupo nao é apropriado para o tamanho da organizagéo, convém que as agées descritas acima sejam conduzidas por um organismo de gest4o adequade ou por um gestor individual 6.1.3. Atribuigao de responsabilidades para a seguranga da informagao Controle Convém que todas as responsabilidades pela seguranga da informago, estejam claramente definidas. Diretrizes para implementacdo Convém que a atribuigo das responsabilidades pela seguranca da informacao soja feita em conformidade com a politica de seguranca da informagao (ver seco 5). Convém que as responsabllidades pela protecao de cada alivo e pelo cumprimento de processos de seguranga da informagao especificos sejam claramente dofinidas. Convém que esta responsabllidade seja complementada, onde for necessario, com orientagées mais, detalhadas para locais especificos e recursos de processamento de informacées. Convém que sejam claramente definidas as responsabilidades em cada local para a protegao dos ativos e para realizar processos de seguranca da informagio especificos, como, por exemplo, o plano de continuidade de negécios. Pessoas com responsabilidades definidas pela seguranga da informagéo podem delegar as tarefas de seguranga da informag4o para outros usuarios. Todavia eles continuam responsaveis e convém que verifiquem se as tarefas delegadas estao sendo executadas corretamente. GABNT 2005 - Todos 08 dlitvtes reservados 1ABNT NBR ISO/IEC 17799:2005 Convém que as Areas pelas quais as pessoas sejam responsaveis, estejam claramente definidas; em Particular convém que os seguintes itens sejam cumpridos: a) os ativos e os processos de seguranca da informagao associados com cada sistema sejam identificados e claramente definidos; b) gestor responsavel por cada ativo ou processo de seguranga da informagao tenha atribuigoes definidas 0 os detalhes dessa responsabilidade sejam documentados (ver 7.1.2); €) oS niveis de autorizacao sejam claramente definides e documentades. Informagbes adicionais Em muitas organizagoes um gestor de seguranga da informagao pode ser indicado para assumir a responsabilidade global pelo desenvolvimento ¢ implementagao da seguranca da informagao e para apoiar a identificagao de controles. Entretanto, a responsabilidade pela obtengo dos recursos e implementagao dos controles permanece sempre com os gestores. Uma pratica comum é indicar um responsavel por cada ativo, tornando-o assim responsavel por sua protego no dia a dia. 6.1.4 Processo de autorizagao para os recursos de processamento da informacao Controle Convém que seja definido e implementado um processo de gestdo de autorizagao para novos recursos de processamento da informagao. Diretrizes para implementacao ‘Convém que as seguintes diretrizes sejam consideradas no processo de autorizagao: a) 0s novos recursos tenham a autorizacdo adequada por parte da administracdo de usuarios, autorizando seus propésitos e uso. Convém que a autorizagéo também seja obtida junto ao gestor responsavel pela manutencao do sistema de seguranca da informagao, para garantir que todas as pollticas e requisites de seguranca relevantes sejam atendidos; b) hardware e o software sejam verificados para garantir que so compativeis com outros componentes do sistema, onde necessarios; ©) uso de recursos de processamento de informagao, pessoais ou privados, como, por exemplo, note books, computadores pessoais ou dispositives do tipo palm top, para processamento das informagdes do negécio, possa introduzir novas vulnerabilidades, e convém que controles necessarios sejam identificados ¢ implementados. 6.1.5 Acordos de confidencialidade Controle Convém que os requisitos para confidencialidade ou acordos de nao divulgagao que reflitam as necessidades da organizagao para a protecao da informagao sejam identificados e analisados criticamente, de forma regular. Diretrizes para implementa Convém que os acordos de confidencialidade e de nao divulgagao considerem os requisitos para proteger as formagées confidenciais, usando termos que s4o obrigados do ponto de vista legal. Para identificar os requisitos para os acordos de confidencialidade ou de nao divulgacao, convém que sejam considerados os seguintes elementos: a) uma defini¢ao da informagao a ser protegida (por exemplo, informagao confidencial); 12 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 b) tempo de duragao esperado de um acordo, incluindo situagdes onde a confidencialidade tenha que ser mantida indefinidamente; ©) agées requeridas quando um acordo esta encerrado; d) responsabilidades @ acées dos signatarios para evitar a divulgagdo no autorizada da informagao (como 0 conceito “need fo know’); ©) proprietario da informacao, segredos comerciais e de propriedade intelectual, e como isto se relaciona com a protegao da informagao confidencial;, 1) uso permitido da informagao confidencial e os direitos do signatario para usar a informagéo; 9) direito de auditar e monitorar as atividades que envolvem as informagdes confidenciais; h) processo para notificagdo © relato de divulgagéo néo autorizada ou violagéo das informagées confidenciais; i) termos para a informagao ser retornada ou destruida quando do término do acordo; & |) ages esperadas a serem tomadas no caso de uma violagtio deste acordo, Com base nos requisitos de seguranga da informacdo da organizacéo, outros elementos podem ser necessarios em um acordo de confidencialidade ou de ndo divulgacao. Convém que os acordos de confidencialidade e de néo divulgagao estejam em conformidade com todas as leis, @ regulamentagées aplicaveis na jurisdicao para a qual eles se aplicam (ver 15.1.1) Convém que os requisitos para os acordos de confidencialidade e de ndo divulgacao sejam analisados criticamente de forma periédica e quando mudangas ocorrerem que influenciem estes requisitos. Informagdes adicionais ‘Acordos de confidencialidade ¢ de nao divulgagao protegem as informagGes da organizagao e informam aos signatérios das suas responsabilidades, para proteger, usar e divulgar a informagdo de maneira responsavel ¢ autorizada. Pode haver a necessidade de uma organizacao usar diferentes formas de acordos de confidencialidade ou de nao divulgagao, em diferentes circunstancias. 6.1.6 Contato com autoridades Controle Convém que contatos apropriados com autoridades pertinentes sejam mantidos. Diretrizes para implementacéo Convém que as organizagdes tenham procedimentos em funcionamento que especifiquem quando e por quais, autoridades (por exemplo, obrigagdes legais, corpo de bombeiros, autoridades fiscalizadoras) devem ser contatadas e como os incidentes de seguranca da informago identificados devem ser nolificados em tempo habil, no caso de suspeita de que a lei foi violada. Organizacdes que estejam sob ataque da internet podem precisar do apoio de partes externas & organizagao (por exemplo, um provedor de servico da internet ou um operador de telecomunicag6es), para tomar agées, contra a origem do ataque. GABNT 2005 - Todos 08 dlitvtes reservados 13ABNT NBR ISO/IEC 17799:2005 Informagdes adicionais ‘A manutengo de tais contatos pode ser um requisito para apoiar a gestdo de incidentes de seguranga da informagdo (ver 13.2) ou da continuidade dos negécios e do processo de planejamento da contingéncia (ver s0¢80 14). Contatos com organismos reguladores sao também iteis para antecipar e preparar para as mudangas fuluras na lei ou nos regulamentos, os quais tm que ser sequidos pela organizagao. Contalos com outras autoridades incluem utllidades, servigos de emergéncia, satide e seguranca, por exemplo corpo de bombeiros (em conjunto com a continuidade do negécio), provedores de telecomunicagao (em conjunto com as rotas de linha e disponibilidade), fornecedor de Agua (em conjunto com as instalagdes de refrigeragdo para 08 equipamentos). 6.1.7 Contato com grupos especiai: Controle Convém que sejam mantidos contatos apropriados com grupos de interesses especiais ou outros foruns ‘especializados de seguranga da informagao e associacbes profissionais. Diretrizes para implementacao Convém que associaco a grupos de interesses especiais ou féruns seja considerada como forma de: a) ampliar 0 conhecimento sobre as melhores praticas e manter-se atualizado com as informagées relevantes sobre seguranga da informagao; b) _assegurar que o entendimento do ambiente de seguranga da informagao esta atual e completo; ) receber previamente adverténcias de alertas, aconselhamentos e correcées relatives a ataques e vulnerabilidades; d) conseguir acesso a consultoria especializada em seguranga da informago; ) compartilhar e trocar informag6es sobre novas tecnologias, produtos, ameacas ou vulnerabilidades; f) prover relacionamentos adequados quando tratar com incidentes de seguranga da informagao (ver 13.2.1), Informacbes adicionais Acordos de compartihamento de informages podem ser estabelecidos para melhorar a cooperagao @ coordenagao de assuntos de seguranga da informagao. Convém que lais acordos identifiquem requisitos para a protecdo de informagées sensivels. 6.1.8 Analise critica independente de seguranga da informacao Controle Convém que o enfoque da organizacao para gerenciar a seguranca da informagao e a sua implementacdo {por exemplo, controles, objetivo dos controles, politicas, processos e procedimentos para a seguranca da formago) seja analisado criticamente, de forma independente, a intervalos planejados, ou quando ocorrerem mudangas significativas relativas a implementago da seguranga da informaso, Diretrizes para implementacao Convém que a andlise critica independente seja iniciada pela diregdo. Tal andlise critica independente € necesséria para assegurar a continua perlinéncia, adequacao e eficacia do enfoque da organizaco para gerenciar a seguranga da informacao. Convém que a andlise critica inclua a avaliagao de oportunidades para a melhoria e a necessidade de mudangas para o enfoque da seguranga da informagao, incluindo a politica e os objetivos de controle. 14 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 Convém que a analise critica seja executada por pessoas independentes da area avaliada, como, por exemplo, uma fungao de auditoria interna, um gerente independente ou uma organizagao de terceira parte especializada em tals andlises criticas. Convém que as pessoas que realizem estas analises criticas possuam habilidade e experiéncia apropriadas. Convém que 0s resultados da analise critica independente sejam registrados ¢ relatados para a diregao que iniciou a analise critica. Estes registros devem ser mantidos. Se a andlise critica independente identificar que 0 enfoque da organizagao e a implementagdo para gerenciar a seguranga da informacao sao inadequados ou nao-conformes com as orientagdes estabelecidas para seguranga da informacdo, no documento da politica de seguranca da informagéo (ver 5.1.1), convém que @ diregdo considere a tomada de ages corretivas. Informacées adicionais Convém que as areas onde os gerentes regularmente fazem a andlise critica (ver 15.2.1) possam também ser analisadas criticamente de forma independente. Técnicas para a andlise critica podem incluir entrevistas com a geréncia, verificagao de registros ou analise critica dos documentos da politica de seguranga da informacao. A-ABNT NBR ISO 19011:2002, Diretrizes para auditoria de sistemas de gestdo da qualidade e/ou do meio ambiente, pode também fornecer orientagdes para se realizar a andlise critica independente, inciuindo 0 estabelecimento @ a implementagao de um programa de andlise critica. A subsegdo 15.3 especifica os controles relevantes para a andlise critica independente de sistemas de informagées operacionais ¢ 0 uso de ferramentas de auditoria de sistemas. 6.2 Partes externas Objetivo: Manter a seguranga dos recursos de processamento da informacao e da informagao da organizacao, que séo acessados, processados, comunicados ou gerenciados por partes externas. Convém que a seguranca dos recursos de processamento da informagao e da informagao da organizagao ndo seja reduzida pela introdugdo de produtos ou servicos oriundos de partes externas. Gonvém que qualquer acesso aos recursos de processamento da informagdo da organizagao e ao processamento e comunicagao da informagao por partes externas seja controlado, Convém que seja feita uma anélise/avaliagdo dos riscos envolvidos para determinar as possiveis implicagSes na seguranga e 05 controles necessarios, onde existir uma necessidade de negocio para trabalhar com partes externas, que possa requerer acesso aos recursos de processamento da informagdo e a informacao da organizacao, ou na obtengo fomecimento de um produto e servigo de uma parte externa ou para ela. | Convem que 08 controles sejam acordados e definidos por meio de um acordo com a parte externa, 6.2.1 Identificagao dos riscos relacionados com partes externas Controle Convém que os riscos para os recursos de processamento da informagao @ da informagao da organizagao criundos de processos do negécio que envolva as partes externas sejam identificados e controles apropriados implementados antes de se conceder 0 acesso. Diretrizes para implementacao Convém que uma anélise/avaliagao de riscos (ver sogao 4) soja feita para identificar quaisquer requisitos de controles especificos, onde existir uma necessidade que permita o acesso de uma parte externa aos recursos de processamento da informagao ou a informagao de uma organizagao. Convém que a identificagao de riscos, relativos ao acesso da parte externa leve em consideragao os seguintes aspectos: a) 0S recursos de processamento da informagdo que uma parte externa esteja autorizada a acessar; GABNT 2005 - Todos 08 dlitvtes reservados 15ABNT NBR ISO/IEC 17799:2005 ) tipo de acesso que a parte externa tera aos recursos de processamento da informagao e a informagao, ‘como, por exemplo: 1) acesso fisico ao escritério, sala dos computadores, arquivos de papél 2) acesso légico ao banco de dados da organizacao e aos sistemas de informacées; 3) rede de conexao entre a organizagao e a rede da parte extema, como, por exemplo, conexao Permanente, acesso remoto; 4) 80 0 acesso vai ser dentro ou fora da organizagao; ©) valor e a sensibilidade da informagao envolvida, e a sua criticidade para as operagdes do negécio; d) os controles necessérios para proteger a informagto que nao deva ser acessada pelas partes externas; e) as pessoas das partes externas envoividas no manuseio das informagdes da organizagao; f)_ como a organizagao ou 0 pessoal autorizado a ter acesso pode ser identificado, como a autorizagao 6 verificada e com qual frequéncia isto precisa ser reconfirmado; g) as diferentes formas e controles empregados pela parte externa quando estiver armazenando, processando, comunicando, compartithando e repassando informagées; h) impacto do acesso nao estar disponivel para a parte externa, quando requerido, e a entrada ou 0 recebimento incorreto ou por engano da informagao; i) praticas e procedimentos para tratar com incidentes de seguranca da informagao e danos potencial 05 termos e condig6es para que a parte externa continue acessando, no caso que ocorra um incidente de seguranga da informagao; i) que os requisitos legais © regulamentares e outras obrigagées contraluais relevantes para a parle externa sejam levados em consideragao; k)_como os interesses de quaisquer uma das partes interessadas podem ser afetados pelos acordos. Convém que 0 acesso as informagdes da organizagao pelas partes externas nao seja fornecido até que os coniroles apropriados tenham sido implementados ¢, onde for vidvel, um contralo tenha sido assinado definindo os termos condigées para a conexao ou 0 acesso e os preparativos para o trabalho. Convém que, de uma forma geral, todos os requisitos de seguranga da informagao resultantes do trabalho com partes externas ou contoles internos estejam refletidos por um acordo com a parte externa (ver 6.2.2 e 6.2.3). Convém que seja assegurado que a parte externa esta consciente de suas obrigagées, e acelta as responsabilidades e obrigagdes envolvendo 0 acesso, processamento, comunicagaio ou o gerenciamento dos recursos do processamento da informagao e da informagao da organizacao. Informacées adicionais AA informagao pode ser colocada em risco por partes externas com uma gesiao inadequada da seguranga da informagao. Convém que os controles sejam identificados e aplicados para administrar o acesso da parte externa aos recursos de processamento da informag&o. Por exemplo, se existir uma necessidade especial ara a confidencialidade da informagao, acordos de nao divulgagao devem ser usados. As organizagées podem estar sujeitas a riscos associados com processos interorganizacionais, gerenciamento: © comunicagao, se um alto grau de terceirizagso for realizado, ou onde existirem varias partes externas envolvidas. 16 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 Os controles de 6.2.2 e 6.2.3 cobrem diferentes situagSes para as partes extemas, incluindo, por exemplo: a) _provedores de servigo, tais como ISP, provedores de rede, servigos de telefonia e servigos de apoio e manutencao; b) terceirizagto de operagées e recursos, como, por exemplo, sistemas de TI, servicos de coleta de dadios, operagao de central de atendimento (call center) ©) clientes; d) operagbes efou recursos de terceirizagao, como, por exemplo, sistemas de TI, servigos de coleta de dados, operagao de call center, e) consultores em negacios e em gestdo, e auditores; f) desenvolvedores e fomecedores, como, por exemplo, de produtos de software e sistemas de TI; 9) pessoal de limpeza, servicos de bufés © outros servigas de apoio terceirizados; h)_ pessoal temporério, estagiério e outras contratagées de curta duragao. Tais acordos podem ajudar a reduzir o risco associado com as partes externas. 6.2.2 Identificando a seguranga da informagdo, quando tratando com os clientes Controle Convém que todos os requisites de seguranga da informagao identificados sejam considerados antes de conceder aos clientes 0 acesso aos ativos ou &s informagées da organizagao, Diretrizes para implementacdo Convém que os seguintes termos sejam considerados para contemplar a seguranga da informagao antes de conceder aos clientes o acesso a quaisquer ativos da organizagao (dependendo do tipo e extensao do acesso concedido, nem todos os itens sao aplicaveis): a) protege dos ativos, incluindo: 1) procedimentos para proteger os ativos da organizacao, incluindo informagao e software, @ a gestao de vulnerabilidades conhecidas; 2) procedimentos para determinar se ocorreu qualquer comprometimento de ativos, por exemplo, perda ou modificagao de dados,” 3) integridade; 4) restrig6es em relagao a cépias e divulgagao de informagoes; b)_ descrigéo do produto ou servigo a ser fomecido; ©) as diferentes raz6es, requisitos e beneficios para 0 acesso do cliente; d)_politicas de controle de acesso, cobrindo: 1) métodos de acesso permitide e o controle @ uso de identificadores tnicos, tais como identificador de usuario e senhas de acesso; 2) um processo de autorizagao para acesso dos usuarios e privilégios; GABNT 2005 - Todos 08 dlitvtes reservados 7ABNT NBR ISO/IEC 17799:2005 3) uma declaragao de que todo 0 acesso que ndo seja explicitamente autorizado & proibido; 4) um proceso para revogar os direitos de acesso ou interromper a conexao entre sistemas; e) procedimentos para relato, notificagao e investigagao de informagdes imprecisas (por exemplo, sobre pessoal), incidentes de seguranga da informacdo e Violagao da seguranca da informag&o; 1) descrigéo de cada servigo que deve estar disponivel; @) 08 niveis de servigos acordados ¢ os niveis de servigos inaceltavels; hy) direito de monitorar e revogar qualquer atividade relacionada com os ativos da organizagao; i) as respectivas responsabilidades legais da organizagao e dos clientes; ji) responsabilidades com relagao a aspecios legais e como ¢ assegurado que os requisitos legais so atendidos, por exemplo, leis de protecdio de dados, especialmente levando-se em consideracéo os diferentes sistemas legais nacionais se 0 acordo envolver a cooperagao com clientes em outros paises (ver 15.1); k) direitos de propriedade intelectual e direitos autorais (ver 15.1.2) e protege de qualquer trabalho colaborativo (ver 6.1.5). Informagbes adicionais s requisitos de seguranga da informagao relacionados com 0 acesso dos clientes aos ativos da organizacao podem variar consideravelmente, dependendo dos recursos de processamento da informagéo e das informagées que estéo sendo acessadas. Estes requisitos de seguranga da informagao podem ser contemplados, usando-se os acordos com o cliente, os quals contém todos os riscos identificados @ os requisitos de seguranga da informagao (ver 6.2.1). ‘Acordos com partes externas podem também envolver outras partes. Convém que os acordos que concedam © acesso a partes externas incluam permissao para designacao de outras partes elegiveis @ condi seus acessos ¢ envolvimento, 6.2.3 Identificando seguranca da informacao nos acordos com terceiros Controle Convém que os acordos com terceiros envolvendo 0 acesso, processamento, comunicagao ou gerenciamento dos recursos de processamento da informagao ou da informacao da organizagao, ou o acréscimo de produtos ‘ou servigos aos recursos de processamento da informagao cubram todos os requisitos de seguranga da informagao relevantes Diretrizes para implementacao Convém que 0 acordo assegure que nao existe mal-entendido entre a organizagao e 0 terceiro. Convém que as organizagées considerem a possibilidade de indenizagdo do terceiro, Convém que os seguintes termos sejam considerados para incluso no acordo, com o objetivo de atender aos requisitos de seguranga da informagao identificados (ver 6.2.1) a) politica de seguranca da informacao; b) controles para assegurar a protegao do ativo, incluindo: 1) procedimentos para proteger os alivos da organizacdo, incluindo informagao, software e hardware; 2) quaisquer mecanismos e controles para a protec fisica requerida; 18 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 3) controles para assegurar protegao contra software malicioso (ver 10.4.1); 4) procedimentos para determinar se ocorreu qualquer comprometimento de ativos, por exemplo, perda ou modificacao de dados, software e hardware; 5) controles para assegurar o retorno ou a destruigao da informago e dos ativos no final do contrato, ‘ou em um dado momento definido no acordo. 6) confidencialidade, dos ativos; itegridade, disponibiidade e qualquer outra propriedade relevante (ver 2.1.5) 7) restrigdes em relagéo a cépias e divulgagéo de informagées, e uso dos acordos de confidencialidade (ver 6.1.5). ©) treinamento dos usuarios e administradores nos métodos, procedimentos © seguranga da informagao; d) assegurar a conscientizagao dos usuarios nas questées e responsabilidades pela seguranga da informacéo; ) proviso para a transferéncia de pessoal, onde necessério; f)responsabilidades com relagao 4 manutengdo e instalagdo de software e hardware; 4g) uma estrutura clara de notificagao e formatos de relatérios acordados; fh) _um proceso claro e definido de gestéo de mudangas; ') politica de controle de acesso, cobrindo: 1) as diferentes razdes, requisitos © beneficios que justificam a necessidade do acesso pelo terceiro; 2) métodos de acesso permitido e 0 controle e uso de identificadores tnicos, tais como identificadores de usuarios @ senhas de acesso, 3) um processo de autorizagao de acesso e privilégios para os usudrios; 4) um requisito para manter uma lista de pessoas autorizadas a usar os servigos que esto sendo disponibilizados, e quais os seus direitos e privilégios com relagdo a tal uso; 5) uma declaragao de que todo 0 acesso que nao seja explicitamente autorizado & proibido; 6) um proceso para revogar os direitos de acesso ou interromper a conexao entre sistemas; i) dispositivos para relato, notificagao e investigagéo de incidentes de seguranga da informagao e violagéo da seguranca, bem como as violagbes dos requisitos definidos no acorda; k) uma descrigfo do produto ou servigo que est sendo forecido e uma descrig&o da informagao que deve estar disponivel, juntamente com a sua classificacao de seguranga (ver 7.2.1); 1) niveis de servigos acordados ¢ 0s niveis de servigos inaceitaveis; m) definigao de critérios de desempenho verificaveis, seu monitoramento ¢ relato; 1h) direito de monitorar e revogar qualquer atividade relacionada com os ativos da organizacao; GABNT 2005 - Todos 08 dlitvtes reservados 19ABNT NBR ISO/IEC 17799:2005 ©) direito de auditar as responsabilidades definidas do acordo, para ter essas auditorias realizadas por terceira parte para enumerar os direitos regulamentares dos auditores; p) _estabelecimento de um processo escalonado para resolugao de problemas; q) requisites para a continuidade dos servigos, incluindo medigées para disponibilidade e conflabllidade, de acordo com as prioridades do negécio da organizagao; 1) _respectivas obrigagdes das partes com 0 acordo; 5) responsabilidades com relagao a aspectos legais @ como 6 assegurado que os requisites legais sao atendidos, por exemplo, leis de protectio de dados, levando-se em considerag4o especialmente os diferentes sistemas legais nacionais, s¢ o acordo envolver a cooperagao com organizagdes em outros paises (ver 15.1); 1) direitos de propriedade intelectual e direitos autorais (ver 15.1.2) e protec&io de qualquer trabalho colaborativo (ver 6.1.5) u)_envolvimento do terceiro com subfomecedores e os controles de seguranga da informagao que esses subfornecedores precisam implementar; vv) condigdes de renegociago ou encerramento de acordos: 1) um plano de contingéncia deve ser elaborado no caso de uma das partes desejar encerrar a relagao antes do final do acordo; 2) renegociagao dos acordos se os requisitos de seguranga da organizagao mudarem; 3) _listas atualizadas da documentacao dos ativos, licengas, acordos ou direitos relacionados aos ativos Informagées adicionais Os acordos podem variar consideravelmente para diferentes organizagées @ entre os diferentes tipos de terceiros. Portanto, convém que sejam tomados cuidados para incluir nos acordos todos os riscos identificados @ 08 requisites de seguranga da informacao (ver 6.2.1). Onde necessério, os procedimentos e controles requeridos podem ser incluidos em um plano de gestao de seguranca da informagao. Se a gestdo da seguranga da informagdo for terceirizada, convém que os acordos definam como os terceiros 10 garantir que a seguranga da informagao, conforme definida na analise/avaliagao de riscos, ser mantida @ como a seguranga da informagao ser adaptada para identificar e tratar com as mudangas aos riscos. Algumas das diferencas entre as tercelrizagdes © as outras formas de proviso de servigos de terceiros incluem a questo das obrigagdes legais, 0 planejamento do periodo de transigao © de descontinuidade da coperacdo durante este periodo, planejamento de contingéncias e andlise critica de investigaces, e coleta gestao de incidentes de seguranga da informagao. Portanto, & importante que a organizagao planeje e gerencie a transigdo para um terceirizado @ tenha processos adequados implantados para gerenciar as ‘mudangas e renegociar ou encerrar os acordos. Os procedimentos para continuar processando no caso em que o terceiro se torne incapaz de prestar o servico precisam ser considerados no acordo para evitar qualquer atraso nos servigos de substituigdo, Acordos com terceiros podem também envolver outras partes. Convém que os acordos que concedam o acesso a lerceiros incluam permissao para designacao de outras partes elegiveis e condigSes para os seus acessos e envolvimento. De um modo geral os acordos sao geralmente elaborados pela organizagao. Podem existir situagdes onde, em algumas circunsténcias, um acordo possa ser elaborado e imposto a organizagao pelo terceiro. A organizacao precisa assegurar que a sua propria seguranca da informagao nao é afetada desnecessariamente pelos Fequisitos do terceiro, estipulados no acordo imposto. 20 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 7 Gestao de ativos 7.1 Responsabilidade pelos ativos Objetiva: Alcangar e manter a protegao adequada dos ativos da organizagao Convém que todos os ativos sejam inventariados e tenham um proprietario responsavel. Convém que os proprietarios dos alivos sejam identificados ¢ a eles seja atribuida a responsabilidade pela manutencéio apropriada dos controles. A implementag&o de controles especificos pode ser delegada pelo proprietario, conforme apropriado, porém o proprietério permanece responsavel pela proteco adequada dos ativos. 7.1.4 Inventario dos Controle Convém que todos os ativos sejam claramente identificados e um inventario de todos os ativos importantes seja estruturado mantido. Diretrizes para implementacdo Convém que a organizago identifique todos os ativos ¢ documente a importancia destes ativos. Convém que © inventario do ativo inclua todas as informagées necessarias que permitam recuperar de um desastre, incluindo © tipo do ativo, formato, localizacao, informacées sobre cépias de seguranca, informacées sobre licengas e a importancia ‘do ativo para o negécio. Convém que o inventario nao duplique outros inventarios desnecessariamente, porém ele deve assegurar que 0 seu contetido esté coerente. Adicionalmente, convém que o proprietério (ver 7.1.2) @ a classificagdo da informacdo (ver 7.2) sejam acordados e documentados para cada um dos ativos. Convém que, com base na importancia do ativo, seu valor para o negécio e a sua classificagao de seguranga, niveis de protegao proporcionais a importancia dos ativos sejam identificados (mais informacées sobre como valorar os alives para indicar a sua importancia podem ser encontradas na ISO IEC TR 13335-3). Informacses adicionais Existem varios tipas de ativos, incluindo: a) ativos de informagao: base de dados © arquivos, contratos e acordos, documentaco de sistema, informagdes sobre pesquisa, manuals de usuario, material de treinamento, procedimentos de suporte ‘u operacao, planos de continuidade do negécio, procedimentos de recuperagao, trihas de auditoria © informagées armazenadas; b)_ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento ¢ utiltarios; ©) atives fisicos: equipamentos computacionais, equipamentos de comunicagao, midias removiveis ‘outros equipamentos; d) servigos: servigas de computagdo e comunicagées, utilidades gerais, por exemplo aquecimento, iluminagao, eletricidade e refrigeracao; e) pessoas e suas qualificagées, habilidades e experiéncias: )_intangiveis, tais como a reputagao @ a imagem da organizacao. Os inventarios de ativos ajudam a assegurar que a protegao efetiva do ativo pode ser feita 6 também pode ser requerido para outras finalidades do negécio, como satide e seguranca, seguro ou financeira (gestao de ativos). © processo de compilagao de um inventario de ativos é um pré-requisilo importante no gerenciamento de riscos (ver segdo 4). GABNT 2005 - Todos 08 dlitvtes reservados 24ABNT NBR ISO/IEC 17799:2005 7.1.2. Proprietario dos ativos Controle Convém que todas as informagées e ativos assaciados com os recursos de processamento da informacao tenham um proprietario? designado por uma parte definida da organizago, Diretrizes para implementagao ‘Convém que o proprietario do ativo seja responsavel por: a) assegurar que as informagdes @ os ativos associados com os recursos de processamento da informagao estejam adequadamente clasificados; b) definir © periodicamente analisar criticamente as classificagées e restrigbes ao acesso, levando em conta as politicas de controle de acesso, aplicaveis, proprietario pode ser designado para: a)_um processo do negécio; b) um conjunto de atividades definidas; ©) uma aplicagio; ou 4) um conjunto de dades definido Informagées adicionais ‘As tarefas de rotina podem ser delegadas, por exemplo, para um custodiante que cuida do ativo no dia- porém a responsabilidade permanece com o proprietario. ia, Em sistemas de informagao complexes pode ser itl definir grupos de atives que atuem juntos para fomecer uma fungo particular, como servigos. Neste caso, 0 proprietario do servigo o responsavel pela entrega do servigo, incluindo o funcionamento dos ativos, que prové os servigos, 7.1.3 Uso aceltével dos ativos Controle Convém que sejam identificadas, documentadas e implementadas regras para que sejam permitidos 0 uso de informagées e de ativos associados aos recursos de processamento da informagéo, Diretrizes para implementagao Convém que todos os funciondrios, fornecedores ¢ terceiros sigam as regras para o uso permitido de formagées @ de ativos associados aos recursos de processamento da informacao, incluindo: a) regras para o uso da internet e do correio eletrénico (ver 10.8); b) diretrizes para o uso de dispositivas méveis, especialmente para o uso fora das instalagées da organizagao (ver 11.7.1). 2.0 termo ‘proprietario” identifica uma pessoa ou organismo que tenha uma responsablidade autorizada para controlar a produgao, o desenvolvimento, a manutengao, 0 uso e a seguranga dos ativos. O termo "proprietario™ nao significa que a pessoa realmente tanha qualquer direito de propridade ao ativo. 22 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 Convém que regras especificas ou diretrizes sejam fomecidas pelo gestor relevante. Convém que funcionérios, fornecedores e terceiros que usem ou tenham acesso aos ativos da organizacao estejam conscientes dos limites que existem para os usos das informagées e ativos associados da organizacdo aos recursos de processamenio da informagao. Convém que eles sejam responsaveis pelo uso de quaisquer recursos de processamento da informagao e de quaisquer outros usos conduzidos sob a suas responsabilidades. 7.2 Classificagao da informagao (Objetivo: Assegurar que a informagao receba um nivel adequado de protegao. Convém que a informagdo seja classificada para indicar a necessidade, prioridades e o nivel esperado de protegao quando do tratamento da informagao. A informagao possui varios niveis de sensibilidade e criticidade. Alguns itens podem necessitar um nivel adicional de protegdo ou tratamento especial. Convém que um sistema de classificagao da informagao seja usado para definir um conjunto apropriado de niveis de protegao e determinar a necessidade de medidas especiais de tratamento, 7.2.4 Recomendagées para classificagao Controle Convém que a informagao seja classificada em termos do seu valor, requisites legais, sensibilidade & criticidade para a organizacao. Diretrizes para implementacao Convém que a classificagao da informagao seus respectivos controles de protegao levem em consideracao as necessidades de compartilhamento ou restrig&o de informages e os respectivos impactos nos negécios, associados com tais necessidades. Convém que as diretrizes para classificagao incluam convengdes para classificagao inicial e reclassificagao a0, longo do tempo, de acorde com algumas politicas de controle de acesso predeterminadas (ver 11.1.1) Convém que seja de responsabilidade do proprietario do ativo (ver 7.1.2) definir a classificagao de um ativo, analisando-o criticamente a intervalos regulares, e assegurar que ele esta atvalizado e no nivel apropriado. Convém que a classificacao leve em consideragdo a agregacao do efeito mencionado em 10.7.2. Convém que cuidados sejam tomados com a quantidade de categorias de classificagéo e com os beneficios obtides pelo seu uso. Esquemas excessivamente complexos podem tomar o uso incémodo e ser inviaveis, economicamente ou impraticaveis. Convém que atengao especial seja dada na interpretagao dos rétulos de classificagaio sobre documentos de outras organizagbes, que podem ter definigées diferentes para rétulos iguais ou semethantes aos usados. Informacdes adicionais © nivel de protegao pode ser avaliado analisando a confidencialidade, a integridade @ a disponibilidade da informagao, bem como quaisquer outros requisitos que sejam considerados. A informagao frequentemente deixa de ser sensivel ou critica apés um certo periodo de tempo, por exemplo quando a informagao se tora publica. Convém que estes aspectos sejam levados em considerac&o, pols uma classificacao superestimada pode levar 4 implementagdo de custos desnecessérios, resultando em despesas adicionais. Considerar, conjuntamente, documentos com requisites de seguranga similares, quando da atribuigao dos niveis de classificago, pode ajudar a simplificar a tarefa de classificagdo. Em geral, a classificagao dada a informagéo 6 uma maneira de determinar como esta informagao vai ser tratada e protegida, GABNT 2005 - Todos 08 dlitvtes reservados 23ABNT NBR ISO/IEC 17799:2005 7.2.2 Rétulos e tratamento da informacao Controle Convém que um conjunto apropriado de procedimentos para rotulagao e tratamento da informagao seja definido e implementado de acordo com 0 esquema de classificagao adotado pela organizacéo. Diretrizes para implementacao s procedimentos para rotulagdo da informacao precisam abranger tanto os ativos de informagao no formato fisico quanto no eletrénico. Convém que as saidas de sistemas que contém informagoes classificadas como sensiveis ou criticas tenham © rétulo apropriado da classificagao da informagao (na saida). Convém que 0 rétulo reflita a classificaao de acordo com as regras estabelecidas em 7.2.1. Itens que devem ser considerados incluem relatérios impressos, telas, midias magnéticas (fitas, discos, CD), mensagens eletronicas e transferéncias de arquivos. Convém que sejam definidos, para cada nivel de classificagdo, procedimentos para o tratamento da informagéo que contemplem o processamento seguro, a armazenagem, a transmissao, a reclassificagao @ a destruigao. Convém que isto também inclua os procedimentos para a cadeia de custodia e registros de qualquer evento de seguranca relevante. Convém que acordos com outras organizagées, que incluam o compartithamento de informagées, considerem procedimentos para identificar a classificacao daquela informagao e para interpretar os rétulos de classificacdo de outras organizacées. Informagdes adicionais A rotulacdo e o tratamento seguro da classificagao da informacao @ um requisito-chave para os procedimentos de compartilhamento da informagao. Os rétulos fisicos sao uma forma usual de rotulagao. Entretanto, alguns ativos de informagao, como documentos em forma eletrénica, n4o podem ser fisicamente rotulados, sendo necessario usar um rétulo eletrénico. Por exemplo, a notificago do rétulo pode aparecer na tela ou no display. ‘Onde a aplicagaio do rétulo nao for possivel, outras formas de definir a classificagao da informagao podem ser usadas, por exemplo, por meio de procedimentos ou metadados. 24 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 8 Seguranga em recursos humanos 8.1 Antes da contratagao? Objetivo: Assegurar que os funcionarios, fornecedores e terceiros entendam suas responsabilidades @ estejam de acordo com 0s seus papéis, e reduzir o risco de furto ou roubo, fraude ou mau uso de recursos, Convém que as responsabilidades pela seguranga da informacao sejam atribuidas antes da contratacao, de forma adequada, nas descrig6es de cargos e nos lermos e condigées de contratagéo. Convém que todos os candidates ao emprego, fornecedores e terceiros sejam adequadamente analisados, especialmente em cargos com acesso a informagoes sensiveis. Convém que todos os funcionarios, fomecedores e terceiros, usuarios dos recursos de processamento da informagao, assinem acordos sobre Seus papéls e responsabilidades pela seguranca da informacao. 8.1.1. Papéis e responsabilidades Controle Convém que papéis @ responsabilidades pela seguranga da informagao de funciondrios, fornecedores © terceiros sejam definidos e documentados de acordo com a politica de seguranga da informacdo da organizagao. Diretrizes para implementacao Convém que 0s papéis e responsabilidades pela seguranga da informagdo incluam requisilos para’ a) _implementar e agir de acordo com as politicas de seguranca da informacao da organizagao (ver 5.1); b)__proteger at'vos contra acesso ndo autorizado, divulgacao, modificagao, destruigao ou interferéncia; ©) executar processos ou atividades particulares de seguranca da informacao; d) assegurar que a responsabilidade & atribuida a pessoa para tomada de agdes; 2) relatar eventos potenciais ou reais de seguranga da informacao ou outros riscos de seguranga para a organizago. Convém que papéis e responsabilidades de seguranga da informagao sejam definidos @ claramente comunicados aos candidatos a cargos, durante © processo de pré-contratapao. Informagses adicionais Descrigdes de cargos podem ser usadas para documentar responsabilidades e papéis pela seguranga da informagao. Convém que papéis responsabilidades pela seguranga da informagao para pessoas que nao estéo engajadas por meio do processo de contratacao da organizacao, como, por exemplo, através de uma organizagao tercelrizada, sejam claramente definidos e comunicados. Explicagio: A palavra ‘contratagao", neste contexto, visa cobrir todas as seguintes diferentes situagbes: contratag8o de pessoas (temporarias ou por longa durapao), nomeacao de fungoes, mudanca de fungGes, atribuigGes de contratos & encerramento de quaisquer destas situacdes. GABNT 2005 - Todos 08 dlitvtes reservados 25ABNT NBR ISO/IEC 17799:2005 81.2 Selegao Controle Convém que verificagées do histérico de todos os candidatos a emprego, fornecedores e terceiros sejam realizadas de acordo com a ética, as leis @ as regulamentagdes pertinentes, e proporcionais aos requisitos do negécio, a classificagao das informagées a serem acessadas ¢ aos riscos percebidos. Dirotrizes para implementagao Convém que as verificagdes levem em consideragéo toda a legislagéo pertinente relativa a privacidade, protegao de dados pessoais e/ou emprego, e onde permitido, incluam os seguintes itens: a) disponibilidade de referéncias de cardter satistatérias, por exemplo uma profissional e uma pessoal; »)_ uma verificago (da exatidéo e inteireza) das informagSes do curriculum vitae do candidato; ©) confirmagio das qualificagdes académicas e profissionais, 4) verificagao independente da identidade (passaporte ou documento similar); €) verificagées mais detalhadas, tals como verificagées financeiras (de crédito) ou verificagées de registros criminais. Convém que a organizagao também faga verificagdes mais detalhadas, onde um trabalho envolver pessoas, tanto por contratacao como por promocao, que tenham acesso aos recursos de processamento da informacao, em particular aquelas que tratam de informagdes sensiveis, tais como informagées financeiras ou informagoes altamente confidenciais. Convém que os procedimentos definam critérios ¢ limitages para as verificagbes de controle, por exemplo, quem esta qualificado para selecionar as pessoas, e como, quando e por que as verificagées de controle sao realizadas, Convém que um processo de selegao também seja feito para fornecedores e terceiros. Quando essas pessoas vem por meio de uma agéncia, convém que 0 contrato especifique claramente as responsabilidades da agéncia pela selegao © os procedimentos de notifcagdo que devem ser seguidos se a selegao nao for devidamente concluida ou quando os resultados obtidos forem motives de dividas ou preocupagées Do mesmo modo, convém que acordos com terceiros (ver 6.2.3) especifiquem claramente todas as responsabilidades e procedimentos de notificagao para a selegao. Convém que informagées sobre todos os candidatos que esto sendo considerados para certas posigies dentro da organizagao sejam levantadas e tratadas de acordo com qualquer legislacéio apropriada existente na jurisdigao periinente. Dependendo da legisiagao aplicavel, convém que os candidatos sejam previamente formados sobre as atividades de selegéo. 8.1.3 Termos e condigées de contratagao Controle ‘Como parte das suas obrigagées contratuais, convém que os funcionarios, fornecedores e terceiros concordem @ assinem os termos e condigées de sua contratago para o trabalho, os quais devem declarar as suas responsabilidades e a da organizagao para a seguranga da informagao, 26 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 Diretrizes para implementaco Convém que 08 termos e condigdes de trabalho reflitam a politica de seguranga da organizagao, esclarecendo e declarando: a) que todos os funcionarios, fornecedores ¢ terceiros que tenham acesso a informagées sensiveis assinem um termo de confidencialidade ou de nao divulgagao antes de hes ser dado 0 acesso aos recursos de processamento da informacao; b) as responsabilidades legals ¢ direitos dos funcionérios, fornecedores ¢ quaisquer outros usuarios, por exemplo, com relagao as leis de direitos autorais ou a legislagao de protegao de dados (ver 15.1.1 € 15.1.2); ©) a8 responsabllidades pela classificagdo da informagso e pelo gerenciamento dos ativos da ‘organizagdo associados com os sistemas de informagao e com os servigos conduzides pelos funcionérios, fornecedores ou terceiros (ver 7.2.1 ¢ 10.7.3); d) as responsabilidades dos funciondrios, fornecedores © terceiros pelo tratamento da informagao recebida de outras companhias ou de partes externas; e) responsabilidades da organizagao pelo tratamento das informagées pessoais, incluindo informagées pessoais criadas como resultado de, ou em decoréncia da, contratagdo com a organizacao (ver 15.1.4); f)responsabilidades que se estendem para fora das dependéncias da organizagao e fora dos horarios normais de trabalho, como, por exemplo, nos casos de execucao de trabalhos em casa (ver 9.2.5 € W741, 9g) agdes a serem tomadas no caso de o funcionario, fornecedor ou terceiro desrespeitar os requisitos de seguranga da informagao da organizagao (ver 8.2.3). Convém que a organizagao assegure que os funcionérios, fomecedores e terceiros concordam com os termos e condigées relativas @ seguranga da informagdo adequados & natureza e extensdo do acesso que eles terdo aos ativos da organizagao associados com os sistemas e servicos de informagao. Convém que as responsabilidades contidas nos termos condigdes de contratagao continuem por um periodo de tempo definido, apés o término da contratagao (ver 8.3), onde apropriado. Informagbes adicionais Um eédigo de conduta pode ser usado para contemplar as responsabilidades dos funcionarios, fornecedores ou terceiros, em relacao a confidencialidade, protegao de dados, éticas, uso apropriado dos recursos © dos equipamentos da organizagao, bem como praticas de boa conduta esperada pela organizagao. O fornecedor ou 0 terceiro pode estar associado com uma organizagao extema que possa, por sua vez, ser soliitada a Participar de acordos contratuais, em nome do contratado GABNT 2005 - Todos 08 dlitvtes reservados 27ABNT NBR ISO/IEC 17799:2005 8.2 Durante a contratacao ‘Gbjelvo: Assequrar que os Tunciondros, Tomecedores e Tercalos eclfo conscienles das ameapas ©] ProocupapSes relavas & seguranga da infomagdo, sue reaponsablidades « obrigagdes, « esto proparados para apoir a poltia de seguranga da informagao da organizacdo durante os seus tebalhos normals, © para reduzito isco de ero humana ‘Convém que as responsabilidades pela diregao sejam definidas para garantir que a seguranga da informagao ¢ aplicada em todo trabalho individual dentro da organizacdo. Convém que um nivel adequado de conscientizago, educago e treinamento nos procedimentos de ‘seguranga da informagao e no uso correto dos recursos de processamento da informagao seja fornecido para todos 08 funcionérios, fomecedores e lerceiros, para minimizar possiveis riscos de seguranga da informagao Convém que um processo discipinar formal para tratar das violagSes de seguranga da informagao seja estabelecido | 8.2.1 Responsat Controle Convém que a diregao solicite aos funcionarios, fomecedores ¢ terceiros que pratiquem a seguranga da informagao de acordo com o estabelecido nas politicas e procedimentos da organizagao. Diretrizes para implementa Convém que as responsabilidades da direcao assegurem que os funcionérios, fomecedores e terceiros: a) est&o adequadamente instruidos sobre as suas responsabilidades e papéis pela seguranga da informago antes de obter acesso as informagées sensiveis ou aos sistemas de informac&o; b) recebam diretrizes que definam quals as expectativas sobre @ seguranca da informagao de suas atividades dentro da organizago; ©) esto motivados para cumprir com as politicas de seguranga da informagao da organizagao; 4) _atinjam um nivel de conscientizagao sobre seguranga da informacao que seja relevante para os seus papéis e responsabilidades dentro da organizacao (ver 8.2.2); ) atendam aos termos e condigées de contratago, que incluam a politica de seguranga da informacao da organizagao @ métodos apropriados de trabalho; f)tenham as habilidades e qualificagdes apropriadas, Informagdes adicionais Se os funcionarios, fornecedores ¢ terceiros nao forem conscientizados das suas responsabilidades, eles podem causar consideraveis danos para a organizagao. Pessoas motivadas tém uma maior probabilidade de ‘serem mais confiaveis © de causar menos incidentes de seguranga da informagao. Uma ma gestao pode causar as pessoas o senlimento de sub-valorizacao, resultando em um impacto de seguranga da informacao negativo para a organizagao. Por exemplo, uma ma gestéo pode levar a seguranca da informiacao a ser negligenciada ou a um potencial mau uso dos ativos da organizagao. 82.2 Conscientizacao, educacao e treinamento em seguranga da informagao Controle Convém que todos os funcionarios da organizagao e, onde pertinente, fornecedores e terceiros recebam treinamento apropriades em conscientizagéo, e alualizagdes regulares nas politicas e procedimentos organizacionais, relevantes para as suas fungGes. 28 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 Diretrizes para implementaco Convém que 0 treinamento em conscientizagdo comece com um proceso formal de indugao concebido para introduzir as pollticas © expectativas de seguranga da informagao da organizagdo, antes que seja dado o acesso as informagoes ou servigos. Conyém que os treinamentos em curso incluam requisites de seguranga da informagao, responsabilidades legais e controles do negécio, bem como o treinamento do uso correto dos recursos de processamento da informagéo, como, por exempio, procedimentos de /og-on, 0 uso de pacotes de software e informagées sobre o processo disciplinar (ver 8.2.3). Informagses adicionais Convém que a conscientizagao, educagao e treinamento nas atividades de seguranga da informagao sejam adequados © relevantes para os papéis, responsabilidades e habilidades da pessoa, e que incluam informag6es sobre conhecimento de ameacas, quem deve ser contatado para orientagées sobre seguranga da informagao e os canais adequados para relatar os incidentes de seguranca da informacao (ver 13.1). © treinamento para aumentar a conscientizagao visa permitir que as pessoas reconhegam os problemas incidentes de seguranga da informagao, e respondam de acordo com as necessidades do seu trabalho. 8.2.3 Proceso disciplinar Controle Convém que exista um proceso disciplinar formal para os funcionérios que tenham cometido uma violagao da seguranga da informagao. Diretrizes para implementaco Convém que 0 proceso disciplinar nao inicie sem uma verificagao prévia de que a violagao da seguranga da informagao realmente ocorreu (ver 13.2.3 em coleta de evidéncias), Convém que 0 processo disciplinar formal assegure um tratamento justo e correlo aos funcionarios que so suspeitos de cometer violagées de seguranga da informagao. O proceso disciplinar formal deve dar uma resposta de forma gradual, que leve em consideragao fatores como a natureza e a gravidade da violagao eo seu impacto no negocio, se este ¢ ou néo o primeiro delito, se o infrator foi ou nao adequadamente treinado, as legislagées relevantes, os contratos do negécio e outros fatores conforme requerido. Em casos sérios de ma conduta, convém que o processo permita a imediata remogao das atribuigdes, direitos de acesso e privilégios e, dependendo da situagao, solicitar pessoa, a saida imediata das dependéncias da organizagao, escoltando-a Informacses adicionais Convém que 0 processo disciplinar também seja usado como uma forma de dissuasdo, para evitar que os funcionérios, fomecedores e terceiros viclem os procedimentos e as pollticas de seguranga da informagao da organizagao, e quaisquer outras violagdes na seguranga. 8.3. Encerramento ou mudanga da contratagao Objetivo: Assegurar que funcionarios, fornecedores @ terceiros deixem a organizacao ou mudem de trabalho de forma ordenada, Convém que responsabilidades sejam definidas para assegurar que a saida de funcionarios, fornecedores & terceiros da organizagao seja feita de modo controlado e que a devolugao de todos os equipamentos ea retirada de todos os direitos de acesso esto concluldas. Convém que as mudangas de responsabilidades de trabalhos dentro de uma organizagao sejam gerenciadas quando do encerramento da respectiva responsabilidade ou trabalho de acordo com esta segao, e quaisquer novos trabalhos sejam gerenciados conforme descrito em 8,1 GABNT 2005 - Todos 08 dlitvtes reservados 29ABNT NBR ISO/IEC 17799:2005 8.3.1. Encerramento de atividades Controle Convém que responsabilidades para realizar o encerramento ou a mudanga de um trabalho sejam claramente definidas e atribuidas. Diretrizes para implementacao Convém que a comunicagdo de encerramento de atividades inclua requisitos de seguranca © responsabllidades legais existentes e, onde apropriado, responsabilidades contidas em quaisquer acordos de confidencialidade (ver 6.1.5) e os termos e condigdes de trabalho (ver 8.1.3) que continuem por um periodo definido apés o fim do trabalho do funcionario, do fornecedor ou do terceiro. Convém que as responsabilidades e obrigagées contidas nos contratos dos funciondrios, fornecedores ou terceiros permanegam validas apés o encerramento das atividades, Convém que as mudangas de responsabilidades ou do trabalho sejam gerenciadas quando do encerramento da respectiva responsabilidade ou do trabalho, e que novas responsabilidades ou trabalho sejam controladas conforme descrito em 8.1 Informagdes adicionais ‘A fungao de Recursos Humanos é geralmente responsavel pelo processo global de encerramento e trabalha em conjunto com o geslor responsavel pela pessoa que esié saindo, para gerenciar os aspeclos de seguranca da informagao dos procedimentos pertinentes. No caso de um fornecedor, 0 processo de encerramento de atividades pode ser realizado por uma agéncia responsavel pelo fornecedor e, no caso de um outro usuario, isto pode ser tratado pela sua organizagao, Pode ser necessério informar aos funcionéirios, clientes, fomecedores ou terceiros sobre as mudangas de pessoal e procedimentos operacionais. 8.3.2 Devolugao de ativos Controle Convém que todos os funcionérios, fomecedores ¢ terceiros devolvam todos os alivos da organizago que estejam em sua posse, apés o enceframento de suas atividades, do contrato ou acordo. Diretrizes para implementacso Convém que 0 processo de encerramento de atividades seja formalizado para contemplar a devolugao de todos os equipamentos, documentos corporativos e software entregues @ pessoa, Outros ativos da organizagao, tais como disposttives de computagéo mavel, cartdes de créditos, cartes de acesso, software, manuais e informagdes armazenadas em micia eletrénica, também precisam ser devolvidos. No caso em que um funcionério, fornecedor ou terceiro compre 0 equipamento da organizagao ou use o seu proprio equipamento pessoal, convém que procedimentos sejam adotados para assegurar que toda a informagao relevante seja transterida para a organizagao e que seja apagada de forma segura do equipamento (ver 10.7.1) Nos casos em que o funcionario, fornecedor ou terceiro tenha conhecimento de que seu trabalho & importante para as atividades que so executadas, convém que este conhecimento seja documentado e transferido para a organizacao. 8.3.3 Retirada de direitos de acesso Controle Convem que os direitos de acesso de todos os funcionarios, fomecedores e terceiros as informacdes @ aos recursos de processamento da informagao sejam retirados apés 0 encerramento de suas atividades, contratos ou acordos, ou ajustado apés a mudanga desias atividades. 30 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 Diretrizes para implementaco Convém que 0s direitos de acesso da pessoa aos ativos associados com os sistemas de informagao e servigos sejam reconsiderados, apés o encerramento das atividades. Isto ira determinar se 6 necessério retirar os direitos de acesso. Convém que mudangas de uma atividade sejam refletidas na retirada de todos os direitos de acesso que nao foram aprovados para o novo trabalho. Convém que os direitos de acesso que sejam retirados ou adaptados incluam 0 acesso légico e fisico, chaves, cartées de identificagao, recursos de processamento da informacao (ver 11.2.4), subscrigdes @ retirada de qualquer documentagao que os identifiquem como um membro alual da organizagao. Caso o funcionario, fornecedor ou lerceiro que esteja saindo tenha conhecimento de senhas de contas que permanecem ativas, convém que estas sejam alteradas apés um encerramento das atividades, mudanga do trabalho, contrato ou acordo, Convém que os direitos de acesso aos ativos de informacao e aos recursos de processamento da informagao sejam reduzidos ou retirados antes que a atividade se encerre ou altere, dependendo da avaliagdo de fatores de risco, tais como: a) se 0 encerramento da atividade ou a mudanca é iniclada pelo funcionario, fornecedor ou terceiro, ou pelo gestor e a razdo do encerramento da atividade; b) as responsabilidades atuais do funcionério, fomecedor ou qualquer outro usuario; ©) valor dos ativos atualmente acessiveis, Informacses adicionais Em cerlas circunstancias os direitos de acesso podem ser alocados com base no que esta sendo disponibilizado para mais pessoas do que as que estdo saindo (funcionario, fornecedor ou terceiro), como, por exemplo, grupos de ID. Convém que, em tais casos, as pessoas que esto saindo da organizagao sejam retiradas de quaisquer listas de grupos de acesso e que sejam tomadas providéncias para avisar aos outros funcionérios, fomecedores e terceiros envolvides para néo mais compartilhar estas informagdes com a pessoa que esté saindo, Nos casos em que o encerramento da atividade seja da iniciativa do gestor, os funcionarios, fornecedores ou terceiros descontentes podem deliberadamente corromper a informagéo ou sabotar os recursos de processamento da informagao. No caso de pessoas demitidas ou exoneradas, elas podem ser tentadas a coletar informag6es para uso futuro. GABNT 2005 - Todos 08 dlitvtes reservados 34ABNT NBR ISO/IEC 17799:2005 9 Seguranga fisica e do ambiente 9.1 Areas seguras ‘Objetivo: Prevenir o acesso fisico no aulorizado, danos e interferéncias com as instalagdes @ informagbes da organizagao. Convém que as instalades de processamento da informagao criticas ou sensiveis sejam mantidas em areas seguras, protegidas por perimetros de seguranga definidos, com barreiras de seguranca e controles de acesso apropriados. Convém que sejam fisicamente protegidas contra 0 acesso nao autorizado, danos e | interferéncias. | | Convém que a protecao oferecida seja compativel com 0s riscas identificados. | 9.1.1. Perimetro de seguranga fisica Controle Convém que sejam utlizados perimetros de seguranca (barreiras tais como paredes, portdes de entrada controlados por cartéo ou balcdes de recepgdo com recepcionistas) para proteger as areas que contenham informagées ¢ instalagdes de processamento da informagao. Diretrizes para a implementago Convém que sejam levadas em consideragao e implementadas as seguintes diretrizes para perimetros de seguranga fisica, quando apropriado: a) os perimetros de seguranca sejam claramente definidos e que a localizago e a capacidade de resisténcia de cada perimetro dependam dos requisitos de seguranca dos ativos existentes no interior do perimetro, e dos resultados da andlise/avaliagao de riscos; b) os perimetros de um edificio ou de um local que contenha instalagSes de processamento da informagao sejam fisicamente sélidos (ou seja, 0 perimetro nao deve ter brechas nem pontos onde poderia ocorrer facilmente uma invasdo); convém que as paredes externas do local sejam de Construgao robusta e todas as portas externas sejam adequadamente protegidas contra acesso nao autorizado por meio de mecanismos de controle, por exemplo, barras, alarmes, fechaduras etc.; convém que as portas ¢ janelas sejam trancadas quando estiverem sem monitoragao, e que uma protego externa para as janelas seja considerada, principalmente para as que estiverem situadas no andar térreo; ¢)_ Seja implantada uma area de recepeao, ou um outro meio para controlar 0 acesso fisico ao local ou ao edificio; 0 acesso aos locais ou edificios deve ficar restrito somente ao pessoal autorizado; d)_sejam construidas barreiras fisicas, onde aplicavel, para impedir o acesso fisico nao autorizado © a contaminacao do meio ambiente; e) todas as portas corta-fogo do perimetro de seguranga sejam providas de alarme, monitoradas e testadas juntamente com as paredes, para estabelecer o nivel de resisténcia exigido, de acordo com ormas regionais, nacionais e intermacionais aceitaveis; elas devem funcionar de acordo com os cédigos locais de prevengao de incéndios e prevengao de falhas; 1) sistemas adequados de detecgéo de intrusos, de acordo com normas regionais, nacionais e internacionais, sejam instalados @ testados om intervalos regulares, @ cubram todas as portas externas, ¢ janelas acessiveis; as 4reas nao ocupadas devem ser prolegidas por alarmes o tempo todo; também. deve ser dada protecao a outras areas, por exemplo, salas de computadores ou salas de comunicagées; 9) as instalagées de processamento da informagdo gerenciadas pela organizagéo devem ficar fisicamente separadas daquelas que sao gerenciadas por terceiros. 32 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 Informagses adicionais Pode-se obter protecdo fisica criando uma ou mais barreiras fisicas ao redor das instalagdes ¢ dos recursos de processamento da informacdo da organizacdo. O uso de barreiras milliplas proporciona uma protegao adicional, uma vez que neste caso a falha de uma das barreiras nao significa que a seguranga fique comprometida imediatamente. Uma area segura pode ser um escritério trancavel ou um conjunto de salas rodeado por uma barreira fisica interna continua de seguranga. Pode haver necessidade de barreiras e perimetros adicionais para o controle do acesso fisico, quando existem areas com requisitos de seguranca diferentes dentro do perimetro de seguranga. Convém que sejam tomadas precaugdes especiais para a seguranga do acesso fisico no caso de edificios que alojam diversas organizagoes. 9.1.2 Controles de entrada fisica Controle Convém que as reas seguras sejam protegidas por controles apropriados de entrada para assegurar que somente pessoas autorizadas tenham acesso. Diretrizes para implementacdo Convém que sejam levadas em considerago as seguintes diretrizes: a) a data e hora da entrada e saida de visitantes sejam registradas, e todos os visitantes sejam supenisionados, a nao ser que o seu acesso tenha sido previamente aprovado; convém que as permissées de acesso sejam concedidas somente para finalidades especificas e autorizadas, © sejam emitidas com instrugdes sobre os requisitos de seguranga da area e os procedimentos de emergéncia; b) _acesso as dreas em que sao processadas ou armazenadas informagées sensiveis seja controlado restrito as pessoas aulorizadas; convém que sejam ulllizados controles de aulenticagao, por exemplo, cartéo de controle de acesso mais PIN (personal identification number), para autorizar e validar todos ‘98 acessos; deve ser mantido de forma segura um registro de todos os acessos para fins de auditoria; ©) Sela exigido que todos os funcionatios, fornecedores e terceiros, e todos os visitantes, tenham alguma forma visivel de identificagao, e eles devem avisar imediatamente o pessoal de seguranca caso encontrem visitantes nao acompanhados ou qualquer pessoa que nao esteja usando uma identificagao visivel; d) aos terceiros que realizam servigos de suporte, seja concedido acesso restrito as areas seguras ou as instalagdes de processamento da informagao sensivel somente quando necessario; este acesso deve ‘ser autorizado e monitorado; @) 08 direitos de acesso a areas seguras sejam revistos e atualizados em intervalos regulares, revogados quando necessario (ver 8.3.3) 9.1.3 Seguranga em escritérios, salas e instalages Controle Convém que seja projetada e aplicada seguranga fisica para escritérios, salas e instalagées. Diretrizes para implementacao Convém que sejam levadas em consideracao as seguintes diretrizes para proteger escritérios, salas ¢ instalagées: a) _sejam levados em conta os regulamentos e normas de satide e seguranca aplicaveis; b) as instalagdes-chave sejam localizadas de maneira a evitar 0 acesso do puibico; GABNT 2005 - Todos 08 dlitvtes reservados 33ABNT NBR ISO/IEC 17799:2005 ©) 08 edificios sejam discretos e déem a menor indicagéo possivel da sua finalidade, sem letreiros evidentes, fora ou dentro do edificio, que identifiquem a presenca de alividades de processamento de informagées, quando for aplicavel; d) as listas de funcionarios e guias telefénicos intemos que identifiquem a localizagao das instalages que processam informagées sensiveis nao fiquem facilmente acessiveis ao puiblico. 9.1.4 Protacao contra ameacas externas do meio ambiente Controle Convém que sejam projetadas e aplicadas protegao fisica contra incéndios, enchentes, terremotos, explosces, perturbagées da ordem piiblica e outras formas de desastres naturais ou causados pelo homem, Diretrizes para implementa Convém que sejam levadas em consideracao todas as ameagas a seguranca representadas por instalagoes vizinhas, por exemplo, um incéndio em um edificio vizinho, vazamento de agua do telhado ou em pisos do subsolo ou uma exploséo na rua. Convém que sejam levadas em consideragao as seguintes diretrizes para evitar danos causados por incéndios, enchentes, terremotos, explosoes, perturoagdes da ordem publica e outras formas de desastres naturais ou causados pelo homem: a) os materiais perigosos ou combustivels sejam armazenados a uma distancia segura da area de seguranga. Suprimentos em grande volume, como materiais de papelaria, nao devem ser armazenados dentro de uma area segura; b) 0s equipamentos para contingéncia e midia de backup fiquem a uma distancia segura, para que néo sejam danificados por um desastre que afete o local principal; ©) 0s equipamentos apropriados de detecgao e combate a incéndios sejam providenciados e posicionados corretamente, 9.1.5 Trabalhando em areas seguras Controle ‘Convem que seja projetada © aplicada protecao fisica, bem como diretrizes para o trabalho em dreas seguras. Dirotrizes para implementagao ‘Convém que sejam levadas em consideragao as seguintes diretrizes: 1a) pessoal sé tenha conhecimento da existéncia de areas seguras ou das atividades nelas realizadas, apenas se for necessério; b)_seja evitado 0 trabalho nao supervisionado em areas seguras, tanto por motivos de seguranga como para prevenir as atividades mal intencionadas; ©) as reas seguras no ocupadas sejam fisicamente trancadas e periodicamente verificadas; d) no seja permitido o uso de maquinas fotograficas, gravadores de video ou audio ou de outros equipamentos de gravacdo, tals como cameras em dispositives mévels, salvo se for autorizado. ‘As normas para o trabalho em reas seguras incluem 0 controle dos funcionarios, fornecedares e terceiros que trabaiham em tais reas, bem como o controle de outras atividades de terceiros nestas areas. 34 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 9.1.6 Acesso do publico, areas de entrega e de carregamento Controle Convém que os pontos de acesso, tais como areas de entrega e de carregamento e outros pontos em que pessoas nao autorizadas possam entrar nas instalagdes, sejam controlados e, se possivel, isolados das instalagdes de processamento da informagao, para evitar 0 acesso nao autorizado. Diretrizes para implementacao Convém que sejam levadas em consideragdo as seguintes diretrizes: a) acesso a uma area de entrega @ carregamento a partir do exterior do prédio fique restrit identificado e autorizado; a0 pessoal b) as areas de entroga © carregamento sejam projetadas de tal maneira que soja possivel descarregar suprimentos sem que os enlregadores tenham acesso a oulras partes do edificio; ©) as portas externas de uma area de entrega e carregamento sejam protegidas enquanto as portas intemas estiverem abertas; d) os materiais entregues sejam inspecionados para detectar ameacas potenciais (ver 9.2.1d)) antes de ‘serem transportados da area de entrega e carregamento para o local de utllizagAo, e) 0s materials entregues sejam registrados por ocasio de sua entrada no local, usando-se procedimentos de gerenciamento de ativos (ver 7.1.1); ) as remessas entregues sejam segregadas fisicamente das remessas que saem, sempre que possivel 9.2 Seguranga de equipamentos (Objetiva: Impedir perdas, danos, furlo ou roubo, ou compromelimento de ativos e interrupgao das atividades da organizagao. Convém que 0s equipamentos sejam protegidos contra ameagas fisicas e do meio ambiente. ‘A protegao dos equipamentos (incluindo aquoles utlizados fora do local, @ a retirada de ativos) 6 necessaria para reduzir 0 risco de acesso nao autorizado as informagées e para proteger contra perdas ou danos. Convém que também seja levado em consideragao a introdugao de equipamentos no local, bem como sua remogao. Podem ser necessérios controles especiais para a protecao contra ameagas fisicas @ para a protegao de insialagdes de suporte, como a infra-estrutura de suprimento de energia e de cabeamento. 8.2.1 Instalagao e protegio do equipamento Controle Convém que 0s equipamentos sejam colocados no local ou protegidos para reduzir os riscos de ameagas & Perigos do meio ambiente, bem como as oportunidades de acesso nao autorizado, Diretrizes para implementacao Convém que sejam levadas em considerago as seguintes diretrizes para proteger os equipamentos: a) 08 equipamentos sejam colocadas no local, a fim de minimizar 0 acesso desnecessério as areas de trabalho; b) as instalagdes de processamento da informacao que manuseiam dados sensiveis sejam posicionadas de forma que o Angulo de visdo seja restrito, de modo a reduzir 0 r'sco de que as informagdes sejam vistas por pessoal nao autorizado durante a sua utilizagao, e os locais de armazenagem sejam Protegidos, a fim de evitar 0 acesso nao autorizado; GABNT 2005 - Todos 08 dlitvtes reservados 35ABNT NBR ISO/IEC 17799:2005 ©) 08 itens que exigem protegao especial devem ser isolados para reduzir o nivel geral de protegao necessario; 4) sejam adotados controles para minimizar o risco de ameagas fisicas potencials, tais como furto ou roubo, incéndio, explosivos, fumaga, agua (ou falha do suprimento de agua), poeira, vibragao, efeitos quimicos, interferéncia com o suprimento de energia elétrica, interferéncia com as comunicagées, radiaco eletromagnética e vandalismo; €) sejam estabelecidas diretrizes quanto a comer, beber e fumar nas proximidades das instalagdes de processamento da informagao; f) as condigdes ambientais, como temperatura e umidade, sejam monitoradas para a detecgao de condig6es que possam afelar negativamente os recursos de processamento da informacao; 4g) todos os edificios sejam dotados de protecdo contra raios e todas as linhas de entrada de forga e de comunicagdes tenham fitros de protegao contra raios; h) para equipamentos em ambientes industriais, o uso de métodos especiais de protegao, tais como membranas para teclados, deve ser considerado; i) 08 equipamentos que processam informages sensive's sejam protegidos, a fim de minimizar o risco de vazamento de informagdes em decorréncia de emanagées. 9.2.2 Utilidades Controle Convém que os equipamentos sejam protegidos contra falta de energia elétrica e outras interrupgées causadas por falhas das utilidades. Dirotrizes para implementacao Convém que todas as utllidades, tais como suprimento de energia elétrica, suprimento de agua, esgotos, calefacao/ventilacao e ar-condicionado sejam adequados para os sistemas que eles suportam. Convém que as utilidades sejam inspecionadas em intervalos regulares e testadas de maneira apropriada para assegurar seu funcionamento correto e reduzir os riscos de defeitos ou interrupgdes do funcionamento. Convém que seja rovidenciado um suprimento adequado de energia elétrica, de acordo com as especificagées do fabricante dos equipamentos. Recomenda-se 0 uso de UPS para suportar as paradas e desligamento dos equipamentos ou para manter 0 funcionamento continuo dos equipamentos que suportam operagoes criticas dos negécios. Convém que hajam planos de contingéncia de energia referentes &s providéncias a serem tomadas em caso de falha do UPS. Convém que seja considerado um gerador de emergéncia caso seja necessério que 0 processamento continue mesmo se houver uma interrupcao prolongada do suprimento de energia. Convém que esteja disponivel um suprimento adequado de combustivel para garantir a operacdo prolongada do gerador. Convém que os equipamentos UPS e os geradores sejam verificados em intervalos regulares para assegurar que eles tenham capacidade adequada, e sejam testados de acordo com as recomendagées do fabricante. Além disto, deve ser considerado o uso de multiplas fontes de energia ou de uma subestagao de forca separada, se o local for grande. Convém que as chaves de emergéncia para o desligamento da energia fiquem localizadas na proximidade das saidas de emergéncia das salas de equipamentos, para faciitar o desligamento rapido da energia em caso de uma emergéncia. Convém que seja providenciada iluminagao de emergéncia para 0 caso de queda da forga. Convém que o suprimento de agua seja estivel e adequado para abastecer os equipamentos de ar-condicionado & de umidificagao, bem como os sistemas de exlinggo de incéndios (quando usados). Falhas de funcionamento do abastecimento de Agua podem danificar o sistema ou impedir uma ago eficaz de ‘extingao de incéndios. Convém que seja analisada a necessidade de sistemas de alarme para detectar falhas de funcionamento das utilidades, instalando os alarmes, se necessario, 36 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 Convém que os equipamentos de telecomunicagées sejam conectados a rede piblica de energia elétrica através de pelo menos duas linhas separadas, para evitar que a falha de uma das conexdes interrompa os servigos de voz. Convém que os servigos de voz sejam adequados para atender as exigéncias legais locais, relativas a comunicagbes de emergéncia Informagées adicionais ‘As op¢6es para assegurar a continuidade do suprimento de energia incluem miiltiplas linhas de entrada, para evitar que uma falha em um Unico ponto comprometa o suprimento de energia, 9.2.3 Seguranga do cabeamento Controle Convém que 0 cabeamento de energia e de telecomunicagées que transporta dados ou dé suporte aos, servigos de informagées seja protegido contra interceptagao ou danos. Diretrizes para implementacao Convém que sejam levadas em considerago as seguintes diretrizes para a seguranca do cabeamento: a) as linhas de energia e de telecomunicagées que entram nas instalagdes de processamento da informagao sejam subterrdneas (ou fiquem abaixo do piso), sempre que possivel, ou recebam uma proteso allemativa adequada; b) cabeamento de redes seja protegido contra interceplagdo ndo autorizada ou danos, por exemplo, pelo uso de condultes ou evitando trajetos que passem por areas puiblicas; ©) 08 cabos de energia sejam segregados dos cabos de comunicagées, para evitar interferéncias; d) nos cabos e nos equipamentos, sejam utilizadas marcagoes claramente identificaveis, a fim de minimizar erros de manuselo, como, por exemplo, fazer de forma acidental conexées erradas em cabos da rede; e) seja utiizada uma lista de documentagao das conexdes para reduzir a possibilidade de erros; 1) para sistemas sensiveis ou criticos, os seguintes controles adicionais devem ser considerados: 1) instalagao de conduites biindados e salas ou caixas trancadas em pontos de inspegao @ pontos terminai 2) uso de rotas alternativas e/ou meios de transmisséo alternatives que proporcionem seguranga adequada; 3) _utilizagdo de cabeamento de fibras épticas: 4) _utilizagdo de blindagem eletromagnética para a protegdo dos cabos; 5) realizago de varreduras técnicas e inspegées fisicas para detectar a presenca de dispositivos no autorizados conectados aos cabos; 6) acesso controlado aos painéis de conexées e as salas de cabos. GABNT 2005 - Todos 08 dlitvtes reservados 37ABNT NBR ISO/IEC 17799:2005 9.2.4 Manutengao dos equipamentos Controle Convém que os equipamentos tenham uma manutencéo correta para assegurar sua disponibilidade e integridade permanentes. Diretrizes para implementacao ‘Convém que sejam levadas em consideragao as seguintes diretrizes para a manutengao dos equipamentos: a) a manutengao dos equipamentos seja realizada nos intervalos recomendados pelo fornecedor, @ de acordo com as suas especificaces; b) a manutengdo © os consertos dos equipamentos sejam realizados somente por pessoal de manutengao autorizado; )sejam mantidos os registros de todas as falhas, suspeilas ou reais, e de todas as operages de ‘manutengdo preventiva e corretiva realizadas; d) sejam implementados controles apropriados, na época programada para a manutengAo do equipamento, dependendo de a manutengao ser realizada pelo pessoal do local ou por pessoal extemo a organizagao; onde necessério, as informacées sensivels sejam eliminadas do equipamento, (uo pessoal de manutengao seja de absoluta confianga; €) _sejam atendidas todas as exigéncias estabelecidas nas apdlices de seguro. 9.2.5 Seguranga de equipamentos fora das dependéncias da organizagao Controle Convém que sejam tomadas medidas de seguranga para equipamentos que operem fora do local, levando em conta os diferentes riscos decorrentes do fato de se trabalhar fora das dependéncias da organizagao, Diretrizes para implementagéo Convém que, independentemente de quem saja o proprielério, a utilizagao de quaisquer equipamentos de processamento de informag6es fora das dependéncias da organizagao seja autorizada pela geréncia, Convém que sejam levadas om consideracao as seguintes diretrizos para a protecao de equipamentos usados fora das dependéncias da organizagao: a) 08 equipamentos e midias removidos das dependéncias da organizagao nao fiquem sem superviséo fem lugares piblicos; os computadores portateis sejam carregados como bagagem de mao disfargados, sempre que possivel, quando se viaja; b)sejam observadas a qualquer tempo as instrugdes do fabricante para a protegao do equipamento, por exemplo, protegao contra a exposigo a campos eletromagnéticos intensos; ©) 08 controles para 0 trabalho em casa sejam determinados por uma anélise/avaliacao de riscos, sendo aplicados controles adequades para cada caso, por exemplo, arquivos trancaveis, politica de "mesa limpa", controles de acesso a computadores, e comunicagao segura com o escritério (ver ISO/IEC 18028 — Network security), 4) haja uma cobertura adequada de seguro para proteger os equipamentos fora das dependéncias da organizacao. Os riscos de seguranga, por exemplo, de danos, furto ou espionagem, podem variar consideravelmente de um local para outro e convém que sejam levados em conta para determinar os controles mais apropriados. 38 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 Informacses adicionais Os equipamentos de armazenagem e processamento de informagdes incluem todas as formas de computadores pessoais, agendas eletr6nicas, telefones celulares, cartées inteligentes, papéis e outros tipos, utilizados no trabalho em casa, ou que $40 removidos do local normal de trabalho. Mais informagées sobre outros aspectos da protegao de equipamentos méveis podem ser encontradas em 11.7.4 9.2.6 Reuti ‘ago e alienagao segura de equipamentos Controle Convém que todos os equipamentos que contenham midias de armazenamento de dados sejam examinados antes do descarte, para assegurar que todos os dados sensiveis e softwares licenciados tenham sido removidos ou sobregravados com seguranga, Dirotrizes para implementacao Convém que os dispositivos que contenham informagées sensiveis sejam destruidos fisicamente ou as informagées sejam destruidas, apagadas ou sobregravadas por meio de técnicas que tornem as informagdes originals irrecuperaveis, em vez de se usarem as fungdes-padrao de apagar ou formatar. Informagées adicionais No caso de dispositives defeituosos que contenham informages sensivels, pode ser necessaria uma andlise/avaliagao de riscos para determinar se convém destruir fisicamente 0 dispositivo em vez de manda-lo para 0 conserto ou descarté-lo. As informagoes podem ser comprometidas por um descarte felto sem os devidos cuidados ou pela reutlizagao do equipamenio (ver 10.7.2) 9.2.7 Remogaio de propriedade Controle Convém que equipamentos, informagées ou software nao sejam retirados do local sem autorizagao prévia. Diretrizes para implementacao Convém que sejam levadas em consideragao as seguintes diretrizes: a) 0 equipamentos, informagées ou software nao sejam retirados do local sem autorizagao prévia; b) os funcionarios, fomecedores e terceiros que tenham autoridade para permitir a remogao de ativos Para fora do local sejam ciaramente identificados; ©) _sejam estabelecidos limites de tempo para a retirada de equipamentos do local, e a devolugo soja controlada; d) sempre que necessério ou apropriado, seja feito um registro da relirada e da devolugdo de equipamentos, quando do seu retorno. Informagses adicionais Podem ser feilas inspecdes aleatérias para delectar a retirada ndo autorizada de bens e a existéncia de equipamentos de gravacao nao autorizados, armas etc., e impedir sua entrada no local. Convém que tais, inspegdes aleatérias sojam feitas de acordo com a legislacao @ as normas aplicéveis. Convém que as pessoas, sejam avisadas da realizagao das inspeges, e elas s6 podem ser fellas com a devida autorizacdo, levando em conta as exigéncias legais e regulamentares. GABNT 2005 - Todos 08 dlitvtes reservados 39ABNT NBR ISO/IEC 17799:2005 10 Gerenciamento das operagées e comunicagées 10.1 Procedimentos e responsabilidades operacionais, ‘Objetivo: Garantir a operagao segura e correla dos recursos de processamento da informago. Convém que os procedimentos e responsabilidades pela gestéo e operagao de todos os recursos de Processamento das informagdes sejam definidos. Isto abrange o desenvolvimento de procedimentos ‘operacionais apropriados. Convém que seja utlizada a segregacao de fungées quando apropriado, para reduzir risco de mau uso ou uso doloso dos sistemas. 10.1.1 Documentagao dos procedimentos de operacao Controle ‘Convem que os procedimentos de operagao sejam documentados, mantidos atualizados e disponiveis a todos 0s usuarios que deles necessitem. Diretrizes para implementagao Convém que procedimentos documentados sejam preparados para as alividades de sistemas associadas a recursos de processamento © comunicagao de informagdes, tais como procedimentos de inicalizagao ¢ desligamento de computadores, geracdo de cépias de seguranca (backup), manulengéo de equipamentos, tratamento de midias, seguranca e gestao do tratamento das correspondéncias e das salas de computadores. Convém que os procedimentos de operacao especifiquem as instrugSes para a execugao detalhada de cada tarefa, incluindo: a) processamento e tratamento da informagao; b) backup (ver 10.5); ©) requisitos de agendamento, incluindo interdependéncias com outros sistemas, a primeira hora para inicio da tarefa e a ultima hora para o término da tarefa; d)_instruges para tratamento de erros ou outras condigées excepcionais, que possam ocorrer durante a execugao de uma tarefa, incluindo restrig6es de uso dos utiltérios do sistema (ver 11.5.4); ) dados para contatos de suporte para o caso de eventos operacionais inesperados ou dificuldades técnicas; 1) instrugdes especiais quanto ao manuseio e saida de midias, tais como 0 uso de formularios especiais ou © gerenciamento de saldas confidenciais, incluindo procedimentos para o descarte seguro de resultados provenientes de rotinas com falhas (ver 10.7.2 ¢ 10.7.3), 9) procedimento para 0 reinicio @ recuperagao em caso de falha do sistema; hh) gerenciamento de trilhas de auditoria @ informagées de registros (/og) de sistemas (ver 10.70). Convém que procedimentos operacionais © os procedimentos documentados para atividades de sistemas sejam tratados como documentos formais e as mudancas sejam autorizadas pela direcdo. Quando tecnicamente possivel, convém que os sistemas de informagao sejam gerenciados uniformemente, usando os mesmos procedimentos, ferramentas e utlitarios. 40 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 10.1.2 Gestdo de mudancas Controle Convém que modificagées nos recursos de processamento da informagao e sistemas sejam controladas. Diretrizes para implementacso Convém que sistemas operacionais e aplicativos estejam sujeitos a rigido controle de gest de mudangas. Em particular, convém que os seguintes itens sejam considerados: a) identificagdo e registro das mudangas significativas; b) planejamento e testes das mudangas; ©) avaliagdo de impactos potenciais, incluindo impactos de seguranga, de tals mudangas; d) procedimento formal de aprovagdo das mudancas propostas; ) comunicagao dos detalhes das mudangas para todas as pessoas envolvidas; f) procedimentos de recuperagao, incluindo procedimentos e responsabilidades pela interrupgao e Fecuperagdo de mudancas em caso de insucesso ou na ocorréncia de eventos inesperados. Convém que sejam estabelecidos os procedimentos e responsabilidades gerenciais formais para garantir que haja um controle satisfatério de todas as mudangas em equipamentos, software ou procedimentos. Quando mudangas forem realizadas, convém que seja mantido um registro de auditoria contendo todas as informagées relevanles, Informagées adicionais O conirole inadequado de modificagdes nos sistemas ¢ nos recursos de processamento da informagao 6 uma causa comum de falhas de seguranca ou de sistema. Mudancas a ambientes operacionais, especialmente quando da transferéncia de um sistema em desenvolvimento para o estagio operacional, podem trazer impactos & confiabilidade de aplicagdes (ver 12.5.1) Convém que mudangas em sistemas operacionals sejam apenas realizadas quando houver uma razao de negécio valida para tal, como um aumento no risco do sistema. A atualizagao de sistemas as verses mais atuais de sistemas operacionais ou aplicativos nem sempre é do interesse do negocio, pois pode introduzir mais vulnerabllidades e instabilidades ao ambiente do que a verso corrente. Pode haver ainda a necessidade de treinamento adicional, custos de licenciamento, suporte, manutengao e sobrecarga de administragao, bem como a necessidade de novos equipamentos, especialmente durante a fase de migragao. 10.1.3 Segregagao de funcées Controle Convém que fungdes e areas de responsabilidade sejam segregadas para reduzir as oportunidades de modificago ou uso indevido ndo autorizado ou néo intencional dos ativos da organizaco. Diretrizes para implementacdo A segregacao de fungdes 6 um método para redugdo do risco de uso indevido acidental ou deliberado dos sistemas. Convém que sejam tomados certos culdados para Impedir que uma Unica pessoa possa acessar, modificar ou usar alivos sem a devida autorizagao ou detecgéio. Convém que o inicio de um evento seja separado de sua autorizagao. Convém que a possibilidade de existéncia de conluios seja considerada no projeto dos controles. ‘As pequenas organizagées podem considerar a segregagao de fungées dificil de ser implantada, mas convém que 0 seu principio seja aplicado sempre que possivel e praticavel. Onde for dificil a segregagao, convém que outros controles, como a monitoragao das atividades, trilhas de auditoria © © acompanhamento gerencial, sejam considerados. E importante que a auditoria da seguranca permanega como uma atividade independente, GABNT 2005 - Todos 08 dlitvtes reservados aABNT NBR ISO/IEC 17799:2005 10.1.4 Separacdo dos recursos de desenvolvimento, teste e de produgdo Controle Convém que recursos de desenvolvimento, teste e produgéo sejam separados para reduzir o risco de acessos ou modificagdes nao autorizadas aos sistemas operacionais. Diretrizes para implementacao Convém que 0 nivel de separacao dos ambientes de producao, testes ¢ desenvolvimento que 6 necessario para prevenir problemas operacionais seja identificado e os controles apropriados sejam implementados. Convém que os seguintes itens sejam considerados: a) as regras para a transferéncia de software da situagao de desenvolvimento para a de produgao sejam dofinidas ¢ documentadas; b) software em desenvolvimento e o software em produg&o sejam, sempre que possivel, executados em diferentes sistemas ou processadores e em diferentes dominios ou diretérios; ©) 08 compiladores, editores e outras ferramentas de desenvolvimento ou utiltérios de sistemas nao sejam acessiveis a partir de sistemas operacionais, quando nao for necessério; 4) 0s ambientes de testes emulem o ambiente de produgao o mais préximo possivel; €) os usuarios tenham diferentes perfis para sistemas em testes e em produc mostrem mensagens apropriadas de identificagao para reduzir o risco de erro; © que os menus f) 08 dados sensiveis ndo sejam copiados para os ambientes de testes (ver 12.4.2) Informacdes adicionais As alividades de desenvolvimento e teste podem causar sérios problemas, como, por exemplo, modificagées inesperadas em arquivos ou sistemas ou falhas de sistemas. Nesse caso, é necesséria a manutengao de um ambiente conhecido ¢ estavel, no qual possam ser executados testes significativos e que seja capaz de prevenir 0 acesso indevido do pessoal de desenvolvimento, Quando o pessoal de desenvolvimento e teste possul acesso ao ambiente de produgdo e suas informagdes les podem introduzir cédigos ndo testados © nao autorizados, ou mesmo alterar os dados do sistema Em alguns sistemas essa capacidade pode ser mal ullizada para a execugdo de fraudes, ou introducdo de ‘codigos maliciosos ou nao testados, que podem causar sérios problemas operacionais, © pessoal de desenvolvimento e testes também representa uma ameaga a confidencialidade das informacées de producéo. As atividades de desenvolvimento e teste podem causar modificagées nao intencionais no software ¢ informagdes se eles compartilharem o mesmo ambiente computacional. A separacao dos ambientes de desenvolvimento, teste e produgao sao, portanto, desejavel para reduzir 0 risco de modificagdes acidentais ou acessos néo aulorizados aos sistemas operacionais e aos dados do negécio (ver 12.4.2 para a protecio de dados de teste). 10.2 Gerenciamento de servicos terceirizados ‘Objetivo: Implementar e manter o nivel apropriado de seguranga da informagao ¢ de entrega de servigos em consonéncia com acordos de entrega de servicas terceirizados, Convém que a organizagao verifique a implementagao dos acordos, monitore a conformidade com tais acordos gerencie as mudangas para garantir que os servigos entregues atendem a todos os requisites acordados com os terceiros. 42 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 10.2.1 Entrega de servigos Controle Convém que seja garantido que os controles de seguranga, as definicées de servico e os niveis de entrega incluidos no acordo de entrega de servicos terceirizados sejam implementados, executados e mantidos pelo terceiro, Diretrizes para implementacao Convém que a entrega de servigos por um terceiro inclua os arranjos de seguranga acordados, definigées de servigo © aspectos de gerenciamento de servigos. No caso de acordos de terceirizagao, convem que a organizacdo planeje as transicoes necessdrias (de informagao, recursos de processamento de informagées & quaisquer outros que necessitem de movimentagao) e garanta que a seguranga seja mantida durante todo 0 periodo de transigao. Convém que a organizagao garanta que o terceiro mantenha capacidade de servico suficiente, juntamente com planos vidveis projetados para garantir que os niveis de continuidade de servigos acordados sejam mantidos apés falhas de servigos severas ou desastres (ver 14.1). 10.2.2 Monitoramento ¢ anilise critica de servigos terceirizados Controle Convém que os servigos, relatorios e registros fornecidos por terceiro sejam regularmente monitorados & analisados criicamente, e que auditorias sejam executadas regularmente. Diretrizes para implementacdo Convém que a monitoragao e andlise critica dos servigos terceirizados garantam a aderéncia entre os termos de seguranga de informagao e as condigdes dos acordos, e que problemas @ incidentes de seguranca da informagéio sejam gerenciados adequadamente. Convém que isto envolva processos e relagées de gerenciamento de servico entre a organizago e o terceiro para: a)_monitorar niveis de desempenho de servigo para verificar aderéncia aos acordos; b)_analisar criticamente os relatérios de servigos produzidos por terceiros e agendamento de reuniées de progresso conforme requerido pelos acordos; ©) fornecer informacées acerca de incidentes de seguranca da informacéio e andlise critica de tais informagdes tanto pelo terceiro quanto pela organizagao, como requerido pelos acordos e por quaisquer procedimentos e diretrizes que os apdiem; 4d) analisar erticamente as trlhas de auditoria do terceiro e registros de eventos de seguranga, problemas operacionais, falhas, investigagao de falhas e interrupg6es relativas ao servico entregue; e) resolver e gerenciar quaisquer problemas identificados, Convém que a responsabilidade do gerenciamento de relacionamento com o terceiro seja atribulda a um individuo designado ou equipe de gerenciamento de servigo. Adicionalmente, convém que a organizagao garanta que o terceiro atribua responsabilidades pela verificagao de conformidade e reforgo aos requisitos dos acordos. Convém que habilidades técnicas suficientes © recursos sejam disponibilizados para monitorar se os requisitos dos acordos (ver 6.2.3), em particular os requisites de seguranga da informacao, estéo sendo atendidos. Convém que agdes apropriadas sejam tomadas quando deficiéncias na entrega dos servigos forem observadas. Convém que a organizagao mantenha suficiente controle geral e visibiidade em todos os aspectos de seguranga para as informagdes sensiveis ou criticas ou para os recursos de processamento da informagao acessados, processados ou gerenciados por um terceiro. Convém que a organizagao garanta a retengao da visibilidade nas alividades de seguranga como gerenciamento de mudangas, identificacao de vulnerabilidades e relatérioiresposta de incidentes de seguranga da informagao através de um processo de nolificacao, formatagao e estruturacéo claramente definido. GABNT 2005 - Todos 08 dlitvtes reservados 43ABNT NBR ISO/IEC 17799:2005 Informagdes adicionais Em caso de terceirizacao, a organizacao precisa estar ciente de que a responsabilidade final pela informagao processada por um parceiro de terceirizagdo permanece com a organizagao. 10.2.3 Gerenciamento de mudangas para servicos terceirizados Controle Convém que mudangas no provisionamento dos servigos, incluindo manutengdo e melhoria da politica de seguranga da informagao, procedimentos e controles existentes, sejam gerenciadas levando-se em conta a criticidade dos sistemas e processos de negécio envolvidos e a reandlise/reavaliagao de riscos. Diretrizes para implementacao (O processo de gerenciamento de mudangas para servigos terceirizados precisa levar em conta: a) mudangas feitas pela organizacao para a implementagao de: 41) melhorias dos servigos correntemente oferecidos; 2) desenvolvimento de quaisquer novas aplicagdes ou si mas; 3) modificagées ou atualizagées das pollticas e procedimentos da organizac&o; 4) novos controles para resolver os in: seguranga; fontes de seguranga da informaco © para melhorar a b)_mudangas em servigos de terceiros para implementagao de: 1) _ mudangas e melhorias em redes; 2) uso de novas tecnologias; 3) adogo de novos produtos ou novas versées; 4) novas ferramentas e ambientes de desenvolvimento; 5) _ mudangas de localizacao fisica dos recursos de servigos; 6) _ mudangas de fornecedores. 10.3 Planejamento e aceitagao dos sistemas ‘Objetivo: Minimizar o risco de falhas nos sistemas, © planejamento e a preparagdo prévios sdo requeridos para garantir a disponibilidade adequada de capacidade e recursos para entrega do desempenho desejado ao sistema | Convém que projecées de requisites de capacidade futura sejam feitas para reduzir o risco de sobrecarga dos sistemas. Convém que os requisitos operacionais dos novos sistemas sejam estabelecidos, documentados e testados | antes da sua accitagao 0 uso | 44 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 10.3.1 Gestdo de capacidade Controle Convém que a utllizagéio dos recursos seja monitorada e ajustada, e as projecées feitas para necessidades de capacidade futura, para garantir o desempenho requerido do sistema. Diretrizes para implementacao Convém que requisites de capacidade sejam identificados para cada atividade nova ou em andamento. Convém que 0 ajuste © 0 monitoramento dos sistemas sejam aplicados para garantir e, quando necessario, melhorar a disponibilidade e eficiéncia dos sistemas. Convém que controles detectivos sejam impiantados para identificar problemas em tempo habil. Convém que projecées de capacidade futura levem em consideracao os requisitos de novos negécios e sistemas e as tendéncias aluais e projetadas de capacidade de processamento de informagao da organizagao. Atengao particular precisa ser dada a qualquer recurso que possua um ciclo de renovagdo ou custo maior, sendo responsabiidade dos gestores monitorar a utiizagéo dos recursos-chave dos sistemas. Convém que eles identfiquem as tendéncias de uilizacao, partcularmente em relagao as aplicacdes do negécio ou as forramontas de gostao de sistemas do informagao. Convém que os gestores utilizem essas informacées para identificar e evitar os potencials gargalos e a dependéncia em pessoas-chave que possam representar ameagas a seguranga dos sistemas ou aos servigos, @ planejar agao corretiva apropriada, 10.3.2 Aceltagao de sistemas Controle Convém que sejam estabelecidos critérios de aceitagao para novos sistemas, atualizagdes novas versdes, 6 que sejam efeluados testes apropriados do(s) sistema(s) durante seu desenvolvimento e antes da sua aceitagao, Diretrizes para implementacao Convém que os gestores garantam que os requisites e critérios para aceitacdo de novos sistemas estejam claramente definidos, acordados, documentados e testados. Convém que novos sistemas de informacao, atualizagées © novas versées s6 sejam migrados para produgao apés a obtengao de aceitagao formal. Convém que 0s seguintes itens sejam considerados antes que a aceitacao formal seja emitida: a) requisitos de desempenho e de capacidade computacional; b) recuperagao de erros, procedimentos de reinicializagao e planos de contingéncia; ©) _preparagdo e teste de procedimentos operacionais de rotina, com base em normas definidas; 4) concordancia sobre o conjunto de controles de seguranga utilizados; ) procedimentos manuais eficazes; 1) requisitos de continuidade dos negécios (ver 14.1); 9) evidéncia de que a instalacdo do novo sistema nao afetara de forma adversa os sistemas existentes, Particularmente nos periodos de pico de processamento, como, por exemplo, em final de més; hh) evidéncia de que tenha sido considerado o impacto do novo sistema na seguranga da organizagao como um todo; i) treinamento na operagao ou uso de novos sistemas; |) facilidade de uso, uma vez que afeta o desempenho do usuario e evita falhas humanas. GABNT 2005 - Todos 08 dlitvtes reservados 45ABNT NBR ISO/IEC 17799:2005 Para os principais novos desenvolvimentos, convém que os usuarios e as fungdes de operagao sejam consultados em todos os estagios do processo de desenvolvimento, de forma a garantir a eficiéncia operacional do projeto de sistema proposto. Convém que os devidos testes sejam executados para garantir que todos os critérios de aceitagao tenham sido plenamente satisfeitos. Informagées adicionais A aceitacao pode incluir um proceso formal de certificagéio e reconhecimento para garantir que os requisites de seguranga tenham sido devidamente enderegados, 10.4 Protegao contra cédigos maliciosos e cédigos méveis Objetivo: Proteger a integridade do software e da informagao. Precaugées sao requeridas para prevenir e detectar a introdugao de cédigos maliciosos e cédigos méveis nao aulorizados. Os recursos de processamento da informagaio © os softwares so vulnerévels introdugdo de cédigo malicioso, tais como virus de computador, worms de rede, cavalos de Tréia e bombas logicas. Convém que os usudrios estejam conscientes dos perigas do cédigo malicioso. Convém que os gestores, onde apropriado, implantem controles para prevenir, detectar e remover cédigo malicioso e controlar cédigos méveis, 10.4.1 Controles contra cédigos maliciosos Controle Convém que sejam implantados controles de detecyao, prevengdo e recuperagao para proteger contra cédigos maliciosos, assim como procedimentos para a devida conscientizacao dos usuarios. Diretrizes para implementacao Convém que a protecdo contra cédigos maliciosos seja baseada em softwares de deteccdo de cédigos maliciosos e reparo, na conscientizagao da seguranga da informagao, no controle de acesso adequado © nos controles de gerenciamento de mudangas. Convém que as seguintes diretrizes sejam consideradas: a) estabelecer uma politica formal proibindo o uso de softwares néo autorizados (ver 15.1.2); b) estabelecer uma politica formal para protecdo contra os riscos associados com a importagdo de arquivos e softwares, seja de redes externas, ou por qualquer outro meio, indicando quais medidas preventivas devem ser adoladas; ©) conduzir andlises criticas regulares dos softwares e dados dos sistemas que suportam processos criticos de negécio; convém que a presenga de quaisquer arquivos ndo aprovados ou atualizagao ndo autorizada seja formalmente investigada; d)_instalar e atualizar regularmente softwares de detecgao e remogao de cédigos maliciosos para o exame de computadores e midias magnéticas, de forma preventiva ou de forma rotineira; convém que as verificagées realizadas incluam: 1) verificagdo, antes do uso, da existéncia de cédigos maliciosos nos arquivos em midias éticas ou eletrénicas, bem como nos arquivos transmitidos através de redes; 2) verificago, antes do uso, da existéncia de software malicioso em qualquer arquivo recebido através de correio eletrénico ou importado (download). Convém que essa avaliagao soja feita em diversos locais, como, por exemplo, nos servidores de correlo eletrénico, nos computadores pessoas ou quando da sua entrada na rede da organizagao; 3) verificagao da existéncia de cédigos maliciosos em paginas web; 46 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 e) definir procedimentos de gerenciamento e respectivas responsabilidades para tratar da protegao de cédigo malicioso nos sistemas, treinamento nesses procedimentos, reporte e recuperagdo de ataques de cédigos maliciosos (ver 13.1 e 13.2); f) _preparar planos de continuidade do negécio adequados para a recuperagéo em caso de ataques por cédigos malicioses, incluindo todos os procedimentos necessarios para a cépia ¢ recuperagao dos dados e softwares (ver segao 14), 9) implementar procedimentos para regularmente coletar informagées, tais como, assinaturas de listas de discussao e visitas a sites informativos sobre novos cédigos maliciosos; h) implementar procedimentos para a verificagao de informagao relacionada a cédigos maliciosos & garantia de que os boletins com alertas sejam precisos e informativos; convém que os gestores garantam que fontes qualificadas, como, por exemplo, jornais com reputagao idénea, sites confiaveis ou fornecedores de software de protecao contra cédigos maliciosos, sejam utiizadas para diferenciar boatos de noticias reals sobre cédigos maliciosos; convém que todos os usuarios estejam cientes dos problemas decorrentes de boatos e capacitados a lidar com eles. Informagses adicionais A.utlizagdo de dois ou mais tipos de software de controle contra cédigos maliciosos de diferentes fornecedores no ambiente de processamento da informagao pode aumentar a eficdcia na protego contra cédigos maliciosos, Softwares de protegao contra cédigo malicioso podem ser instalados para prover atualizagdes automaticas dos arquivos de definicao © mecanismos de varredura, para garantir que a protecao esteja atualizada. Adicionalmente, estes softwares podem ser instalados em todas as estagdes de trabalho para a realizagao de verificagées automaticas, Convém que seja tomado cuidado quanto a possivel introdugao de cédigos maliciosos durante manutengées & quando esto sendo realizados procedimentos de emergéncia. Tais procedimentos podem ignorar controles normais de protegao contra cédigos maliciosos. 10.4.2 Controles contra cédigos méveis, Controle Onde 0 uso de cédigos méveis ¢ autorizado, convém que a configuragSo garanta que o cédigo mével autorizado opere de acordo com uma politica de seguranga da informacao claramente definida @ cédigos méveis no autorizados tenham sua execugaio impedida. Diretrizes para implementacd Convém que as seguintes agdes sejam consideradas para proteger contra agdes nao autorizadas realizadas por cédigos méveis: a) executar cédigos méveis em ambientes isolados logicamente; )_ bloquear qualquer tipo de uso de cédigo mével ©) bloquear o recebimento de cédigos méveis; 4) ativar medidas técnicas disponiveis nos sistemas especificos para garantir que 0 cédigo movel esteja sendo administrado; €) controlar os recursos disponiveis para acesso ao cédigo mével; f)_estabelecer controles criptograficos de autenticagao exclusiva do cédigo mével GABNT 2005 - Todos 08 dlitvtes reservados 47ABNT NBR ISO/IEC 17799:2005 Informagdes adicionais Cédigo mével & um cédigo transferido de um computador a outro executando automaticamente e realizando funges especificas com pequena ou nenhuma interagdo por parte do usuario. Cédigos méveis so associados a.uma variedade de servigos middleware. Além de garantir que os cédigos méveis néo carreguem cédigos maliciosos, manter 0 controle deles & essencial na prevencdo contra 0 uso nao autorizado ou interrupgao de sistemas, redes ou aplicativos, e na revengao contra violagdes de seguranga da informagao. 10.5 Cépias de seguranca Objetivo: Manter a integridade © disporibiidade da informagdo e dos recursos de processamento de informagao, Convém que procedimentos de rotina sejam eslabelecidos para implementar as polilicas e estralégias definidas para a geragao de cépias de seguranga (ver 14.1) possibilitar a geragao das cépias de seguranca dos dados e sua recuperacdo em um tempo aceitavel 10.5.1 Cépias de seguranga das informagées Controle Convém que as cépias de seguranca das informagées e dos softwares sejam efetuadas e testadas regularmente conforme a politica de geracao de cépias de seguranca definida. Diretrizes para implementagao Convém que recursos adequados para a geracao de cépias de seguranca sejam disponibilizados para garantir que toda informagao e software essenciais possam ser recuperados apés um desastre ou a falha de uma midia, Convém que os seguintes itens para a geragao das cépias de seguranga sejam considerados: a) definigao do nivel necessario das cépias de seguranga das informagées; b) produc&o de registras completos e exatos das céplas de seguranga e documentagao apropriada sobre 08 procedimentos de restauraco da informagao; ©) a.extensdo (por exemplo, completa ou diferencial) e a freqliéncia da geracao das cépias de seguranga reflita os requisitos de negocio da organizagao, além dos requisitos de seguranga da informagao envolvidos e a criticidade da informago para a continuidade da operagao da organizacao; d) as c6pias de seguranga sejam armazenadas em uma localidade remota, a uma distancia suficiente para escapar dos danos de um desastre ocorrido no local principal, ) deve ser dado um nivel apropriado de protegao fisica e ambiental das informacdes das cépias de seguranga (ver segdo 9), consistente com as normas aplicadas na instalagdo principal; os controles aplicados as midias na instalagao principal sejam usados no local das cépias de seguranca;, f) as_midias de cépias de seguranga sejam testadas regularmente para garantir que elas sio suficientemente confiaveis para uso de emergéncia, quando necessario; 9) 08 procedimentos de recuperacdo sejam verificados e testados regularmente, de forma a garantir que estes so efetivos e que podem ser concluldos dentro dos prazos definidos nos procedimentos operacionais de recuperagao; h)_ em situagées onde a confidencialidade é importante, cépias de seguranga sejam protegidas através de encriptagao. 48 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 Convém que as cépias de seguranca de sistemas especificos sejam testadas regularmente para garantir que elas estéo aderentes aos requisitos definidos nos planos de continuidade do negécio (ver seao 14), Para sistemas criticos, convém que os mecanismos de geragdo de cépias de seguranca abranjam todos os sistemas de informagao, aplicagdes @ dados necessarios para a completa recuperagao do sistema em um evento de desastre. Convém que o periodo de retengéo para informagées essenciais ao negécio e também qualquer requisite para que cépias de arquivo sejam permanentemente retidas seja determinado (ver 15.1.3). Informagées adicionais (Os mecanismos de cépias de seguranca podem ser automatizados para facilitar os processos de geragao & recuperagao das oépias de seguranga. Convém que tais solugées automatizadas sejam suficientemente testadas antes da implementagao e verificadas em intervalos regulares. 10.6 Gerenciamento da seguranga em redes, ‘Objetivo: Garantir a protegao das informagoes em redes e a protegao da infra-estrutura de suporte. © gerenciamento seguro de redes, que pode ir além dos limites da organizagao, requer culdadosas consideragdes relacionadas ao fluxo de dados, implicagoes legais, monitoramento e protecao. Controles adicionais podem ser necessarios para proteger informagées sensiveis trafegando sobre redes piblicas 10.6.1 Controles de redes Controle Convém que as redes sejam adequadamente gerenciadas e controladas, de forma a protegé-las contra ameagas e manter a seguranga de sistemas e aplicagdes que utllizam estas redes, incluindo a informagaio em transite Diretrizes para implementacao Convém que gestores de redes implementem controles para garantir a seguranca da informago nestas redes, @ a protegdo dos servicos a elas conectadas, de acesso nao autorizado, Em particular, convém que os seguintes itens sejam considerados: a) a responsabilidade operacional pelas redes seja separada da operagao dos recursos compulacionais onde for apropriado (ver 10.1.3); b) as responsabilidades e procedimentos sobre o gerenciamento de equipamentos remotos, incluindo equipamentos em areas de usuarios, sejam estabelecidos; c) 08 controles especiais sejam estabelecidos para protegéio da confidencialidade e integridade dos dados trafegando sobre redes publicas ou sobre as redes sem fio (wireless) e para proteger os sistemas & aplicagées a elas conectadas (ver 11.4 © 12.3); controles especiais podem também ser requeridos para manter a disponibilidade dos servigos de rede ¢ computadores conectados; 4) 0s mecanismos apropriados de registro e monitoragdo sejam aplicados para habilitar a gravagao das ages relevantes de seguranga; ©) as atividades de gerenciamento sejam coordenadas para otimizar os servigos para a organizago @ assegurar que os controles estejam aplicados de forma consistente sobre toda a infra-estrutura de processamento da informagao. Informagées adicionais Informagoes adicionals sobre seguranga de redes podem ser encontradas na ISO/IEC 18028, Information technology — Security techniques — IT network security. GABNT 2005 - Todos 08 dlitvtes reservados 49ABNT NBR ISO/IEC 17799:2005 10.6.2 Seguranca dos servicos de rede Controle Convém que as caracteristicas de seguranga, niveis de servico e requisitos de gerenciamento dos servigos de rede sejam identificados e incluidos em qualquer acordo de servicos de rede, tanto para servigos de rede providos internamente ou terceirizados. Dirotrizes para implementagao Convém que a capacidade do provedor dos servigos de rede de gerenciar os servigos acordados de maneira segura seja determinada e monitorada regularmente, bem como que 0 direito de audité-los seja acordado. Convém que as definigdes de seguranga necessarias para servigos especificos, como caracteristicas de seguranca, niveis de servigo e requisites de gerenciamento, sejam identificadas. Convém que a organizacdo assegure que os provedores dos servicos de rede implementa estas medidas. Informacdes adicionais Servigas de rede incluem o fornecimento de conexées, servicos de rede privados, redes de valor agregado solugdes de seguranga de rede gerenciadas como firewalls e sistemas de detecgao de intrusos. Estes servigos podem abranger desde o simples fornecimento de banda de rede nao gerenciada até complexas ofertas de solugées de valor agregado, Funcionalidades de seguranga de servigos de rede podem ser: a) tecnologia aplicadas para seguranga de servigos de redes como autenticagao, encriptagao e controles de conexses de rede; b) pardmetro técnico requerido para uma conexdo segura com os servigos de rede de acordo com a seguranga e regras de conexao de redes; ©) procedimentos para o uso de servigos de rede para restringir 0 acesso a servigos de rede ou aplicacoes, onde for necessario. 10.7 Manuseio de midias Objelivo: Prevenir contra divulgagdo ndo aulorizada, modificagdo, remog3o ou desiruigdo aos alivos, e interrupgées das atividades do negécio. ‘Convém que as midias sejam controladas e fisicamente protegidas, ‘Convém que procedimentos operacionais apropriados sejam estabelecidos para proteger documentos, midias | magnéticas de computadores (tas, discos), dados de entrada e saida e documentacdo dos sistemas contra divulgagéo nao autorizada, modilicagao, remogao e desiruigdo. 10.7.1 Gerenciamento de midias removivei Controle Convém que existam procedimentos implementados para o gerenciamento de midias removivels. Diretrizes para implementacao Convém que as seguintes diretrizes para o gerenciamento de midias removiveis sejam consideradas: a) quando nao for mais necessario, 0 contetido de qualquer meio magnético reutilizdvel seja destruido, caso venha a ser retirado da organizagao; b) quando necessério pratico, seja requerida a autorizagéo para remogdo de qualquer midia da organizagao e mantido 0 registro dessa remogao como trilha de auditoria; 50 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 ©) toda midia seja guardada de forma segura em um ambiente protegido, de acordo com as especificagées do fabricante; d) informagées armazenadas em midias que precisam estar disponivels por muito tempo (em conformidade com as especificagées dos fabricantes) sejam também armazenadas em outro local para evitar perda de informagoes devido a deterioragao das midias; ©) as midias removiveis sejam registradas para limitar a oportunidade de perda de dados; f) a unidades de midias removiveis estejam habilitadas somente se houver uma necessidade do negécio, Convém que todos os procedimentos € os niveis de autorizagao sejam explicitamente documentados. Informagdes adicionais Midia removivel inclui fitas, discos, flash disks, discos removiveis, CD, DVD e 10.7.2 Descarte de mi Controle Convém que as midias sejam descartadas de forma segura e protegida quando nao forem mais necessérias, or melo de procedimentos formais. Diretrizes para implementacao Convém que procedimentos formais para o descarte seguro das midias sejam definidos para minimizar o risco de vazamento de informages sensiveis para pessoas nao autorizadas. Convém que os procedimentos para o descarte seguro das midias, contendo informacées sensiveis, sejam relativos a sensibilidade das informagées. Convém que 0s seguintes itens sejam considerados 2) midias contend informagdes sensiveis sejam guardadas e destruidas de forma segura ¢ protegida, como, por exemplo, através de incineragao ou trituragao, ou da remogao dos dados para uso por uma outa aplicagdo dentro da organizacao; b)_procedimentos sejam implementados para identificar os itens que requerem descarte seguro; ©) pode ser mais facil implementar a coleta e descarte seguro de todas as midias a serem inutiizadas do que tentar separar apenas aquelas contendo informacées sensiveis; d) muitas organizagées oferecem servicos de coleta e descarte de papel, de equipamentos e de midias magnéticas; convém que se tenha o cuidado na seleg4o de um fornecedor com experiéncia e controles adequados; e) descarte de itens sensiveis seja registrado em controles sempre que possivel para se manter uma trlha de auditoria Quando da acumulagao de midias para descarte, convém que se leve em considerago o efeito proveniente do actimulo, © que pode fazer com que uma grande quantidade de informagao nao sensivel torne-se sensivel. Informagses adicionais Informagoes sensiveis podem ser divulgadas através do descarte negligente das midias (ver 9.2.6 para informagoes de descarte de equipamentos), GABNT 2005 - Todos 08 dlitvtes reservados 51ABNT NBR ISO/IEC 17799:2005 10.7.3 Procedimentos para tratamento de informagao Controle Convém que sejam estabelecidos procedimentos para o tratamento e o armazenamento de informagées, para proteger tais informagées contra a divulgagao nao autorizada ou uso indevido. Diretrizes para implementacao Convém que procedimentos sojam estabelecidos para o tratamento, processamento, armazenamento @ transmissdo da informagdo, de acordo com a sua classificagdo (ver 7.2). Convém que os seguintes itens sejam considerados: a) tratamento e identificagao de todos os meios magnéticos indicando o nivel de classificacao; b)_restrigoes de acesso para prevenir 0 acesso de pessoas ndo autorizadas; ) manutengéio de um registro formal dos destinatarios de dados autorizados; ¢) garantia de que a entrada de dados seja completa, de que o processamento asteja devidamente concluido e de que a validagao das saidas seja aplicada; ) protegao dos dados preparados para expedicao ou impressao de forma consistente com a sua criticidade; 1) armazenamento das midias em conformidade com as especificagées dos fabricantes; 9) manutengo da distribuigdo de dados no menor nivel possivel; hh) identificagao eficaz de todas as cépias das midias, para chamar a atengdo dos destinatarios autorizados; i) andlise critica das listas de distrbuigao ¢ das istas de destinatarios autorizados em intervalos regulares. Informagées adicional Estes procedimentos sao aplicados para informagdes em documentos, sistemas de computadores, redes de computadores, computagaio mével, comunicacao mével, correio eletronico, correio de voz, comunicagao de voz em geral, multimidia, servigos postais, uso de maquinas de fax e qualquer outro item sensivel, como, por ‘exemplo, cheques em branco e faturas. 10.7.4 Seguranga da documentagao dos sistemas Controle Convém que a documentaco dos sistemas seja protegida contra acessos nao autorizados. Diretrizes para implementagao Para proteger a documentagao dos sistemas, convém que os seguintes itens sejam considerados: a) a documentagao dos sistemas seja guardada de forma segura; b) a relago de pessoas com acesso autorizado a documentagao de sistemas seja a menor possivel & autorizada pelo proprietario do sistema; ¢) a documentagao de sistema mantida em uma rede publica, ou fomecida através de uma rede publica, soja protegida de forma apropriada, Informagées adicionais ‘A documentagao dos sistemas pode conter uma série de informacdes sensiveis, como, por exemplo, descrigoes de processos da aplicagao, procedimentos, estruturas de dados e processos de autorizacao. 52 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 10.8 Troca de informagées Objetivo: Manter a seguranga na troca de informagées e softwares intemamente a organizagao e com quaisquer entidades externas. Convém que as trocas de informagées e softwares entre organizagées estejam baseadas numa politica formal especifica, sejam efetuadas a partir de acordos entre as partes e estejam em conformidade com toda a legislagao pertinente (ver seco 15). Convém que sejam estabelecidos procedimentos normas para proteger a informagao e a midia fisica que contém informagao em transite 10.8.1 Politicas e procedimentos para troca de informagées Controle Convém que politicas, procedimentos e controles sejam estabelecidos ¢ formalizados para proteger a troca de informagdes em todos os tipos de recursos de comunicacao. Diretrizes para implementacdo Convém que os procedimentos e controles estabelecidos para a troca de informagBes em recursos eletrénicos de comunicagao considerem os tépicos a seguir: a) b) °) 3) e) 9) ) procedimentos formulados para proteger a informagao em transito contra interceptagao, cépia, Modificagao, desvio e destruigao; procedimentos para deteccdo e protege contra cédigo malicioso que pode ser transmitide através do Uso de recursos eletrénicos de comunicago (ver 10.4.1); procedimentos para pr 1980 de informagGes eletronicas sensiveis que sejam transmitidas na forma de politica ou diretrizes que especifiquem o uso aceitével dos recursos eletrénicos de comunicagao (ver 7.1.3); procedimentos para 0 uso de comunicagao sem fio (wireless), levando em conta os riscos particulares envolvidos; as responsabilidades de funcionérios, fornecedores e quaisquer outros usuarios nao devem comprometer a organizagéo através de, por exemplo, difamagéo, assédio, falsa identidade, retransmissao de "correntes", compras nao autorizadas etc.; uso de técnicas de criptografia para, por exemplo, proteger a confidencialidade, a integridade © a autenticidade das informagGes (ver 12.3); diretrizes de retengao e descarte para toda a correspondéncia de negécios, incluindo mensagens, de acordo com regulamentagdes e legislagao locais e nacionais relevantes; nao deixar informagées criticas ou sensiveis em equipamentos de impressdo, tais como copiadoras, impressoras e aparelhos de fax, de tal forma que pessoas nao autorizadas tenham acesso a elas; controles e restrigSes associados a retransmissdo em recursos de comunicagao como, por exemplo, a retransmissao automdtica de correios oletronicos para endoregos externos; GABNT 2005 - Todos 08 dlitvtes reservados 53ABNT NBR ISO/IEC 17799:2005 k) lembrar as pessoas que elas devem tomar precaugdes adequadas como, por exemplo, nao revelar informagdes sensiveis, para evitar que sejam escutadas ou interceptadas durante uma ligacao telefénica por: 1) pessoas em sua vizinhanga, especialmente quando estiver usando telefone celular; 2) grampo telefonico e outras formas de escuta clandestina através do acesso fisico ao aparelho telefénico ou a linha, ou, ainda, pelo uso de rastreadores; 3) pessoas ao lado do interlocutor; I) nao deixar mensagens contendo informagdes sensiveis em secretérias eletrOnicas, uma vez que as mensagens podem ser reproduzidas por pessoas nao autorizadas, gravadas em sistemas puiblicos ou gravadas indovidamente por orro de discagem; m) lembrar as pessoas sobre os problemas do uso de aparelhos de fax, tais como: 1) acesso no autorizado a dispositivos para recuperagto de mensagens; 2) programacao de aparelhos, deliberada ou acidental, para enviar mensagens para niimeros especificos determinados; 3) envio de documentos e mensagens para numero errado, seja por falha na discagem ou uso de numero armazenado errado; fn) lembrar as pessoas para que evitem 0 armazenamento de dados pessoais, como enderegos de correios eletrénicos ou informagées adicionais particulares, em qualquer software, impedindo que sejam capturados para uso nao autorzado; ©) lembrar as pessoas sobre a existéncia de aparelhos de fax e copiadoras que tém dispositives de armazenamento temporario de paginas para o caso de falha no papel ou na transmissao, as quais serao impressas apés a corregao da falha Adicionalmente, convém que as pessoas sejam lembradas de que no devem manter conversas confidenciais em locais publicos, escritérios abertos ou locais de reuniao que nao disponham de paredes & prova de som. Convém que os recursos utiizados para a troca de informagdes estejam de acordo com os requisites legais pertinentes (ver segao 15). Informacies adicionais A troca de informac6es pode ocorrer através do uso de varios tipos diferentes de recursos de comunicagao, incluindo correios olotrénicos, voz, fax @ video. A troca de softwares pode ocorrer de diferentes formas, incluindo a baixa (download) da intemet ou a aquisi¢ao junto a fornecedores que vendem produtos em série. Convém que sejam consideradas as possiveis implicagSes nos negécios, nos aspectos legais e na seguranga, relacionadas com a troca eletrénica de dados, com o comércio eletrénico, comunicagao eletrénica ¢ com os requisitos para controles. As informagées podem ser comprometidas devido 4 falta de conscientizag&o, de politicas ou de procedimentos no uso de recursos de troca de informagdes, como, por exemplo, a escuta de conversas ao telefone celular em locais piblicos, erro de enderecamento de mensagens de correio eletrénico, escuta nao autorizada de mensagens gravadas em secretarias eletronicas, acesso ndo autorizado a sistemas de correio de voz ou 0 envio acidental de faxes para aparelhos errados. 54 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 ‘As operagdes do negécio podem ser prejudicadas e as informagbes podem ser comprometidas se os recursos de comunicagao falharem, forem sobrecarregados ou interrompidos (ver 10.3 e segao 14). As informagoes podem ser comprometidas se acessadas por usuarios ndo autorizados (ver seco 11). 10.8.2 Acordos para a troca de informacées Controle Convém que sejam estabelecides acordos para a troca de informagées e softwares entre a organizacao e entidades externas, Diretrizes para implementacao Convém que os acordos de troca de informagées considerem as seguintes condigées de seguranga da informagao: a) responsabilidades do gestor pelo controle e notificagdo de transmissdes, expedigdes ¢ recepcdes; b) procedimentos para notificar o emissor da transmissao, expedigao e recepcao; ¢)_procedimentos para assegurar a rastreabilidade dos eventos e 0 nao-repiidio; d)__padrées técnicos minimos para embalagem e transmissao; ©) acordos para procedimentos de custédia; f)normas para identificagéo de portadores; 9) responsabilidades e obrigagSes na ocorréncia de incidenles de seguranga da informagéo, como perda de dados; h) utilizagao de um sistema acordado de identificagao para informagées criticas e sensiveis, garantindo que 0 significado dos rétulos seja imediatamente entendido e que a informagao esteja devidamente protegida; i) propriedade e responsabilidades sobre a protegao dos dados, direitos de propriedade, conformidade com as licencas dos softwares e consideragées afins (ver 15.1.2 e 15.1.4); |) normas técnicas para a gravacdo e leltura de informacées e softwares: k) quaisquer controles especials que possam ser necessarios para protegao de itens sensivels, tals como chaves criptograficas (ver 12.3). Convém que politicas, procedimentos © normas para proteger as informagdes © as midias em trénsito (Ver também 10.8.3) sejam estabelecidos © mantides, além de serem referenciados nos mencionados acordos para a troca de informagoes. Convém que 0s aspectos de seguranga contidos nos acordos refitam a sensibiidade das informagoes envolvidas no negécio. Informagées adicionais Os acordos podem ser eletrénicos ou manuais, e podem estar no formato de contratos formais ou condigdes, de contratagao. Para informagdes sensiveis, convém que os mecanismos especificos usados para a troca de tais informages sejam consistentes com todas as organizacées e tipos de acordos. GABNT 2005 - Todos 08 dlitvtes reservados 55ABNT NBR ISO/IEC 17799:2005 10.8.3 Midias em transito Controle Convém que midias contendo informacées sejam protegidas contra acesso nao autorizado, uso impréprio ou alteragao indevida durante o transporte extemo aos limites fisicos da organizacao. Diretrizes para implementacao Convém que as seguintes recomendagdes sejam consideradas, para proteger as midias que sao transportadas entre localdades: a) meio de transporte ou o servigo de mensageiros sejam confiaveis; b)_seja definida uma relagao de portadores autorizados em concordancia com o gestor; ©) sejam estabelecidos procedimentos para a verificagao da identificagao dos transportadores; 4) a embalagem seja suficiente para proteger 0 contetdo contra qualquer dano fisico, como os que podem ocorrer durante o transporte, ¢ que seja feita de acordo com as especificagées dos fabricantes (como no caso de softwares), por exemplo, protegendo contra fatores ambientais que possam reduzir a possibilidade de restauragao dos dados como a exposicéo ao calor, umidade ou campos eletromagnéticos; )_sejam adotados controles, onde necessario, para proteger informagées sensivels contra divulgagao nao autorizada ou modificagao; como exemplo, pode-se incluir 0 seguinte: 1) utilizagao de recipientes lacrados; 2) entrega em mos; 3) lacre explicito de pacotes (que revele qualquer tentativa de acesso); 4) em casos excepcionais, diviséo do contetido em mais de uma remessa e expedic&o por rotas distintas, Informacdes adicionais As informagSes podem estar vulnerdvels a acesso no autorizado, uso impréprio ou alterac&o indevida durante © transporte fisico, por exemplo quando a midia 6 enviada por via postal ou sistema de mensageiros. 10.8.4 Mensagens eletrénicas Controle Convém que as informacées que trafegam em mensagens eletrénicas sejam adequadamente protegidas. Diretrizes para implementagé Convém que as consideragdes de seguranga da informagao sobre as mensagens eletronicas inciuam o seguinte a) protegao das mensagens contra acesso nao autorizado, modificago ou negagao de servico; b) assegurar que 0 enderegamento ¢ o transporte da mensagem estejam corretos; ©) confiabilidade e disponibilidade geral do servigo; 4d) aspectos legais, como, por exemplo, requisites de assinaturas eletrénicas; ) aprovagao prévia para o uso de servicos piiblicos extemos, tais como sistemas de mensagens instanténeas e compartlhamento de arquivos; 56 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 )_niveis mais altos de autenticagao para controlar o acesso a partir de redes publicas. Informagées adicionais Mensagens eletranicas como correlo eletrénico, Eletronic Data Interchange (EDI) e sistemas de mensagens instantaneas cumprem um papel cada vez mais importante nas comunicagées do negocio. A mensagem eletrénica tem riscos diferentes, se comparada com a comunicagao em documentos impressos. 10.8.5 Sistemas de informacées do negécio Controle Convém que politicas e procedimentos sejam desenvolvidos e implementados para proteger as informagses associadas com a interconexao de sistemas de informagées do negécio. Diretrizes para implementacdo Convém que as consideracées sobre seguranga da informagao e implicagdes no negécio das interconexdes de sistemas incluam 0 seguint: a) vulnerabilidades conhecidas nos sistemas administrativos © contébeis onde as informagées so compartilhadas com diferentes areas da organizacao; b) vulnerabilidades da informagao nos sistemas de comunicagéo do negécio, como, por exemplo, gravagéo de chamadas telefonicas ou teleconferéncias, confidencialidade das chamadas, armazenamento de faxes, abertura de correio e distribuigéo de correspondéncia; ©) politica e controles apropriados para gerenciar 0 compartilhamento de informagées; d) exclusdo de categorias de informagdes sensiveis e documentos confidenciais, caso o sistema nao fornega o nivel de protegao apropriado (ver 7.2); ©) restrigdo do acesso a informagGes de trabalho relacionado com individuos especificos, como, por exemplo, um grupo que trabalha com projetos sensiveis; f) categorias de pessoas, fomecedores ou parceiros nos negécios autorizados a usar o sistema e as localidades a partir das quais pode-se obter acesso ao sistema (ver 6.2 ¢ 6.3); 9) restrigao aos recursos selecionados para categorias especificas de usuarios; h)_identificagéio da condi¢ao do usuario, como, por exemplo,funciondrios da organizag&o ou fornecedores na lista de catalogo de usuarios em beneficio de outros usuarios; i) retengao e cépias de seguranga das informagdes mantidas no sistema (ver 10.5.1); 1) requisitos e procedimentos para recuperagao e contingéncia (ver segao 14). Informagées adicionais Os sistemas de informacdo de escritério representam uma oportunidade de rapida disseminagéo compartilhamento de informagdes do negécio através do uso de uma combinagao de: documentos, computadores, dispositivos méveis, comunicagao sem fio, correio, correio de voz, comunicagao de voz em geral, multimidia, servicos postais e aparelhos de fax. GABNT 2005 - Todos 08 dlitvtes reservados 87ABNT NBR ISO/IEC 17799:2005 10.9 Servicos de comércio eletrénico ‘Objetivo: Garantir a seguranga de servigos de comércio eletrOnico e sua utlizagaio segura, Convém que as implicagdes de seguranga da informacao associadas com 0 uso de servigos de comércio életrénico, incluindo transacées on-line e os requisites de controle, sejam consideradas. Convém que a fegridade e a disponibilidade da informagéo publicada eletronicamente por sistemas publicamente poniveis sejam também consideradas. 10.9.1 Comércio eletrénico Controle Convém que as informag6es envolvidas em comércio eletrénico transitando sobre redes publicas sejam protegidas de atividades fraudulentas, disputas contratuais e divulgagao e modificagdes nao autorizadas. Diretrizes para implementa Convém que as consideragdes de seguranca da informagao para comércio eletrénico incluam os seguintes itens: a) nivel de confianga que cada parte requer na suposta identidade de outros, como, por exemplo, por meio de mecanismos de autenticagao; b) processos de autorizagao com quem pode determinar pregos, emitir ou assinar documentos-chave de egociagao; ©) garantia de que parceiros comerciais esto completamente informados de suas autorizagées; 4) determinar e atender requisitos de confidencialidade, integridade, evidéncias de emissto e recebimento de documentos-chave, e a ndo-repudiagado de contratos, como, por exemplo, os associados aos processos de licitagdes e contratacées; ) nivel de confianga requerido na integridade das listas de pregos anunciadas; f) a confidencialidade de quaisquer dados ou informacées sensiveis; 9) @ confidencialidade e inlegridade de quaisquer transag6es de pedidos, informagSes de pagamento, detalhes de enderego de entrega e confirmagdes de recebimentos; h)_grau de investigagao apropriado para a verificagao de informacées de pagamento fornecidas por um cliente; ’)_selegdo das formas mais apropriadas de pagamento para protegao contra fraudes: j) nivel de protegao requerida para manter a confidencialidade e integridade das informagdes de pedidos; k)__prevengao contra perda ou duplicagao de informagao de transagao; 1) responsabilidades associados com quaisquer transagées fraudulentas; m) requisitos de seguro. Muitas das consideracdes acima podem ser enderecadas pela aplicagao de controles criptogréficos (ver 12.3), levando-se em conla a conformidade com os requisitos legais (ver 15.1, especialmente 15.1.6 para legislagao sobre criptogratia). 58 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 Convém que os procedimentos para comércio eletronico entre parceiros comerciais sejam apoiados por um acordo formal que comprometa ambas as partes aos termos da transagao, incluindo detalhes de autorizagao (ver b) acima). Outros acordos com fornecedores de servicas de informagao e redes de valor agregado podem ser necessarios, Convém que sistemas comerciais puiblicos divulguem seus termos comerciais a seus clientes. Convém que sejam consideradas a capacidade de resiliéncia dos servidores utilzados para comércio eletrénico contra ataques e as implicagSes de seguranga de qualquer interconexéo que seja necesséria na rede de telecomunicagées para a sua implementagao (ver 17.4.6). Informagses adicionais Comercio eletranico & vulneravel a intmeras ameacas de rede que podem resultar em atividades fraudulentas, disputas contratuais, e divulgagdo ou modificagao de informagao. Comércio eletrénico pode utilizar métodos seguros de autenticagao, como, por exemplo, criptografia de chave Plblica e assinaturas digitais (ver 12,3) para reduzir os riscos. Ainda, terceiros confiaveis podem ser utilizados onde tals servigos forem necessérios. 10.9.2 Transagées on-line Controle Convém que informagées envolvidas em transag6es on-line sejam protegidas para prevenir transmissées incompletas, eros de roteamento, alteragdes nao autorizadas de mensagens, divulgagao nao autorizada, duplicagao ou reapresentacao de mensagem nao autorizada, Diretrizes para implementacdo Convém que as consideragdes de seguranga para transagées on-line incluam os seguintes itens: a) _uso de assinaturas eletrénicas para cada uma das partes envolvidas na transagao; b)_ todos os aspectos da transacao, ou seja, garantindo que: 1) credenciais de usuario para todas as partes so validas e verificadas; 2) a transacao permanega confidencial; ¢ 3) a privacidade de todas as partes envolvidas seja mantida; ¢) caminho de comunicagao entre todas as partes envolvidas é criptografado; d) protocolos usados para comunicagées entre todas as partes envolvidas é seguro; ) garantir que o armazenamento dos detalhes da transagao esta localizado fora de qualquer ambiente Publicamente acessivel, como por exemplo, numa plataforma de armazenamento na intranet da ‘organizaco, e nao retida e exposta em um dispositive de armazenamento diretamente acessivel pela internet; f) onde uma autoridade confivel utiizada (como, por exemplo, para propésitos de emisséo e manutencéo de assinaturas efou certificados digitais), seguranga é integrada a todo o processo de gerenciamento de certificados/assinaturas, Informacoes adicionais ‘A extenséo dos controles adotados precisaré ser proporcional ao nivel de risco associado a cada forma de transago on-line GABNT 2005 - Todos 08 dlitvtes reservados 59ABNT NBR ISO/IEC 17799:2005 ‘Transagdes podem precisar estar de acordo com leis, regras e regulamentagdes na jurisdigao em que a transago € gerada, processada, completa ou armazenada. Existem muitas formas de transagées que podem ser executadas de forma on-line, como, por exemplo, contratuais, financeiras etc. 10.9.3 Informagées publicamente disponiveis Controle Convém que a integridade das informagées disponibilizadas em sistemas publicamente acessiveis seja protegida para prevenir modificagbes nao autorizadas. Dirotrizes para implementagao Convém que aplicagSes, dados e informagées adicionais que requelram um alto nivel de integridade e que sejam disponibilizados em sistemas publicamente acessiveis sejam protegidos por mecanismos apropriados, como, por exemplo, assinaturas digitais (ver 12.3). Convém que os sistemas acessiveis publicamente sejam testados contra fragllidades e falhas antes da informago estar disponivel. Convém que haja um processo formal de aprovagao antes que uma informagao seja publicada. Adicionalmente, ‘convém que todo dado de entrada fornecido por fontes externas ao sistema seja verificado e aprovado. Convém que sistemas de publicagao eletrénica, especialmente os que permitem realimentagao entrada direta de informaco, sejam cuidadosamente controlados, de forma que: a) informagées sejam obtidas em conformidade com qualquer legislagdo de protegdo de dados (ver 16.1.4); b) informagdes que sejam entradas e processadas por um sistema de publicagao sejam processadas completa e corretamente em um tempo adequado; €)_ informagdes sensivels sejam protegidas durante a coleta, processamento e armazenamento; 4) _acesso a sistemas de publicagao nao permita acesso nao intencional a rades as quais tal sistema esta conectado. Informagées adicionais Informages em sistemas publicamente disponivels, como, por exemplo, informagées em servidores web acessiveis por meio da intemet, podem necessitar estar de acordo com leis, regras e regulamentages na jurisdigao em que o sistema esta localizado, onde a transacdo esté ocorrendo ou onde o proprietario reside. Modificagées nao autorizadas de informagSes publicadas podem trazer prejuizos 4 reputagao da organizagao que a publica. 10.10 Monitoramento ‘Objetivo: Detectar atividades nao aulorizadas de processamento da informagao, Convém que os sistemas sejam monitorados e eventos de seguranga da informagao sejam registrados. Convém que registros (log) de operador e registros (log) de falhas sejam utllizados para assegurar que os problemas de sistemas de informagao sao identificados. Convém que as organizagdes estejam de acordo com todos os requisites legais relevantes aplicaveis para suas atividades de registro e monitoramento, Convém que 0 monitoramento do sistema seja utlizado para checar a eficdcla dos controles adotados e para verificar a conformidade com 0 modelo de politica de acesso. 60 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 10.10.1. Registros de auditoria Controle Convém que registros (log) de auditoria contendo atividades dos usuarios, excegées e outros eventos de seguranga da informagao sejam produzidos e mantidos por um periodo de tempo acordado para auxiliar em futuras investigagdes e monitoramento de controle de acesso. Diretrizes para implementacao Convém que 0s registros (/og) de auditoria incluam, quando relevante: a) identificagao dos usuarios; b) datas, horérios e detalhes de eventos-chave, como, por exemplo, horario de entrada (/og-on) e saida ((og-off) no sistema; ©) identidade do terminal ou, quando possivel, a sua localizagao; d)_registros das tentativas de acesso ao sistema aceltas e rejeitadas; e) registros das tentativas de acesso a outros recursos e dados aceitos e rejeitados; 1) _alteragdes na configuragao do sistema; 9) uso de privilégios: h) uso de aplicagées e utlitérios do sistema; i) arquivos acessados e tipo de acesso; |) enderegos e protocolos de rede; k)_ alarmes provocados pelo sistema de controle de acesso: I) ativagéio e desativagao dos sistemas de protecdo, tais como sistemas de antivirus e sistemas de detecgao de intrusos. Informagses adicionais Os registros (/og) de auditoria podem conter dados pessoais confidencials e de intrusos. Convém que medidas apropriadas de protecdo de privacidade sejam tomadas (ver 15.1.4). Quando possivel, convém que administradores de sistemas nao tenham permissao de exclusdo ou desativagao dos registros (log) de suas préprias atividades (ver 10.1.3), 0.10.2 Monitoramento do uso do sistema Controle Convém que sejam estabelecidos procedimentos para o monitoramento do uso dos recursos de processamento da informagao e os resultados das atividades de monitoramento sejam analisados criticamente, de forma regular. GABNT 2005 - Todos 08 dlitvtes reservados 61ABNT NBR ISO/IEC 17799:2005 Diretrizes para implementagao Convém que 0 nivel de monitoramento requerido para os recursos individuais seja determinado através de uma andlise/avaliagao de riscos. Convém que a organizaco esteja de acordo com todos os requisites legais rolevantes, aplicaveis para suas atividades de monitoramento, Convém que as seguintes reas sojam consideradas: a) acessos autorizados, incluindo detalhes do tipo. 1) oldentificador do usuario (ID de usuario); 2) _adata @ o hordrio dos eventos-chave; 3) tipo do evento; 4) 08 arquivos acessados; 5) _ 08 programas ou utiitérios utiizados; b) todas as operagies privilegiadas, tais como: 1) _ uso de contas privilagiadas, por exemplo: supervisor, root, administrador; 2) Inicializagdo e finalizacdo do sistema; 3) a conexo e a desconexao de dispositivos de entrada e saida; ©) tentativas de acesso nao autor'zadas, tais como: 1) ages de usuarios com falhas ou rejeitados; 2) ages envolvendo dados ou outros recursos com falhas ou rejeitadas; 3) violagao de politicas de acesso e notificagées para gateways de rede ¢ firewalls; 4) _ alertas dos sistemas proprietarios de detecgao de intrusos; d) _alertas e falhas do sistema, tais como: 1) _alertas ou mensagens do console; 2) registro das excegbes do sistema; 3) alarmes do gerenciamento da rede; 4) alarmes disparados pelo sistema de controle de acesso; e) _alteragdes ou tentativas de alteragdes nos controles e parametros dos sistemas de seguranga, Convém que a freqiiéncia da analise critica dos resultados das atividades de monitaramento dependa dos riscos envalvidos. Convém que os seguintes fatores de risco sejam considerados: 62 a) ctlticidade dos processos de aplicagao; b) valor, sensibilidade e criticidade da informagao envolvida; ©) experiéncia anterior com infitragdes uso impréprio do sistema e da freqUéncia das vulnerabilidades sendo exploradas; ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 4) _extensao da interconexao dos sistemas (particularmente com redes publicas); e) desativagao da gravagao dos registros (logs). Informagses adicionais © uso de procedimentos de monitoramento & necessdrio para assegurar que os usuarios esto executando somente as atividades que foram explicitamente autorizadas, A anilise critica dos registros (/og) envolve a compreensdo das ameagas encontradas no sistema e a maneira pela qual isto pode acontecer, Exemplos de eventos que podem requerer uma maior investigagdo em casos de incidentes de seguranca da informagao s4o comentados em 13.1.1 10.10.3 Protegao das informacées dos registros (/og) Controle Convém que os recursos e informagdes de registros (log) sejam protegidos contra falsificacdo e acesso nao autorizado. Diretrizes para implementaco Convém que os controles implementados objetivem a protegdo contra modificagées ndo autorizadas e problemas operacionais com os recursos dos registros (log), tais como: a) alteragées dos tipos de mensagens que s8o gravadas; b)_arquivos de registros (/og) sendo editados ou excluidos; ©) capacidade de armazenamento da midia magnética do arquivo de registros (log) excedida, resultando em falhas no registro de eventos ou sobreposigao do registro de evento anterior. Aiguns registros (log) de auditoria podem ser guardados como parte da politica de retengo de registros ou devido aos requisitos para a coleta e retengao de evidéncia (ver 13.2.3). Informagoes adicionais Registros (log) de sistema normalmente conlém um grande volume de informagdes e muitos dos quais ndo dizem respeito ao monitoramento da seguranga. Para ajudar a identificar eventos significativos para proposito de monitoramento de seguranga, convém que a cépia automatica dos tipos de mensagens para a execucao de consulta seja considerada efou o uso de sistemas utlltérios adequados ou ferramentas de auditoria para realizar a racionalizagao e investigagao do arquivo seja considerado. Registros (log) de sistema precisam ser protegidos, pois os dados podem ser modificados e excluidos e suas ocorréncias podem causar falsa impresséo de seguranga. 10.104 Registros (/og) de administrador e operador Controle Convém que as atividades dos administradores e operadores do sistema sejam registradas. Diretrizes para implementacao Convém que esses registros (log) incluam: a) ahora em que o evento ocorreu (sucesso ou falha); b) informagdes sobre 0 evento (exemplo: arquivos manuseados) ou falha (exemplo: erros ocorridos & ages corretivas adotadas); ©) que conta e que administrador ou operador estava envolvido; GABNT 2005 - Todos 08 dlitvtes reservados 63ABNT NBR ISO/IEC 17799:2005 4d) que processos estavam envolvidos. Convém que os registros (og) de atividades dos operadores e administradores dos sistemas sejam analisados criticamente em intervalos regulares, Informacées adicionais Um sistema de deteccao de intrusos gerenciado fora do controle dos administradores de rede e de sistemas pode ser utiizado para monitorar a conformidade das atividades dos administradores do sistema @ da rede. 10.105 Registros (log) de falhas Controle Convém que as falhas ocorridas sejam registradas e analisadas, ¢ que sejam adotadas agdes apropriadas. Diretrizes para implementacao Convém que falhas informadas pelos usuarios ou pelos programas de sistema relacionado a problemas com rocessamento da informagao ou sistemas de comunicagao sejam registradas. Convém que existam regras claras para o tratamento das falhas informadas, incluindo: a) anélise critica dos registros (log) de falha para assegurar que as falhas foram satisfatoriamente resolvidas; b) anélise critica das medidas corretivas para assegurar que os controles nao foram comprometidos e que a aco tomada é completamente autorizada Convém que seja assegurado que o registro de erros esteja habiltado, caso essa funcéo do sistema esteja disponivel Informacdes adicionais Registros de falhas ¢ erros podem impactar 0 desempenho do sistema. Convém que cada tipo de registro a ser coletado seja habilitado por pessoas competentes e que o nivel de registro requerido para cada sistema individual seja determinado por uma analise/avaliagao de riscos, levando em consideragao a degradacao do desempenho do sistema. 10.106 Sincronizagao dos relégios Controle Convém que os relégios de todos os sistemas de processamento de informacées relevantes, dentro da organizago ou do dominio de seguranga, sejam sincronizados com uma fonte de tempo precisa, acordada, Diretrizes para implementacao ‘Onde um computador ou dispositivo de comunicagao tiver a capacidade para operar um relégio (clock) de tempo real, convém que o relégio seja ajustado conforme o padrao acordado, por exemplo o tempo ‘coordenado universal (Coordinated Universal Time - UTC) ou um padrao de tempo local. Como alguns relégios ‘so conhecidos pela sua variagdo durante o tempo, convém que exista um procedimento que verifique esses tipos de inconsisténcias e corrja qualquer variagAo significativa, A interpretago correta do formato data/hora é importante para assegurar que o timestamp reflete a datahhora real. Convém que se lovem em conta especificagées locais (por exemplo, horario de vera), Informagées adicionais © eslabelecimento correto dos relégios dos computadores & importante para assegurar a exaliddo dos registros (/og) de ausitoria, que podem ser requeridos por investigagdes ou como evidéncias em casos legais ou disciplinares. Registros (/og) de auditoria incorretos podem impedir tais investigacdes e causar danos & credibilidade das evidéncias. Um relégio intemo ligado ao relégio atémico nacional via transmisso de radio pode ser utiizado como relégio principal para os sistemas de registros (logging). O protocolo de hora da rede pode ser utilizado para sincronizar todos os relégios dos servidores com o relégio principal 64 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 11 Controle de acessos 11.1 Requisitos de negécio para controle de acesso ‘Objetiva: Controlar acesso & informagao. Convém que 0 acesso a informagao, recursos de processamento das informagdes e processos de negocios Sejam controtados com base nos requisitos de negécio e seguranga da informagao. Convém que as regras de controle de acesso levem em consideracao as pollticas para autorizagio e disseminagdo da informag&o. 11.1.1 Politica de controle de acesso Controle Convém que a politica de controle de acesso seja estabelecida documentada e analisada criticamente, tomando-se como base os requisitos de acesso dos negécios e seguranga da informagao. Diretrizes para implementacao Convém que as regras de controle de acesso e direitos para cada usuario ou grupos de usuarios sejam expressas claramente na politica de controle de acesso. Convém considerar os controles de acesso légico & fisico (ver segao 9) de forma conjunta. Convém fomecer aos usuarios ¢ provedores de servigos uma declaragao nitida dos requisitos do negécio a serem atendidos pelos controles de acessos. Convém que a politica leve em consideragao os seguintes ilens: a) ») °) a) e) p 9) ) requisites de seguranca de aplicagdes de negécios individuais; identificagao de todas as informagbes relacionadas as aplicagbes de negécios e os riscos a que as informagoes estao exposias; politica para disseminagao e aulorizagao da informagao, por exemplo, o principio need lo know niveis de seguranga e a classificagao das informagGes (ver 7.2); consisténcia entre controle de acesso e politicas de classificagao da informagao em diferentes sistemas e redes; legislagdo pertinente e qualquer obrigagéo contratual relativa & protegdo de acesso para dados ou servigos (ver 15.1); petfis de acesso de usuario-padrao para traballios comuns na organizagao; administracao de direitos de acesso em um ambiente distribuldo e conectado a rede que reconhece todos os tipos de conexées disponivels; segregapdo de fungées para controle de acesso, por exemplo, pedido de acesso, aulorizacao de acesso, administragdo de acesso; requisitos para autorizagao formal de pedidos de acesso (ver 11.2.1); requisitos para analise critica periédica de controles de acesso (ver 11.2.4); remogiio de direitos de acesso (ver 8.3.3). GABNT 2005 - Todos 08 dlitvtes reservados 65ABNT NBR ISO/IEC 17799:2005 Informagdes adicionais Convém que sejam tomados cuidados na especificagao de regras de controle de acesso quando se considerar © seguinte: a) diferenciar entre regras que devem ser obrigatérias e forgadas, e diretrizes que so opcionais ou condicionais; b) estabelecer regra baseada na premissa “Tudo é proibido, a menos que expressamente permitido” em lugar da regra mais fraca "Tudo é permitido, a menos que expressamente proibido"; ¢)_ mudangas em rétulos de informagao (ver 7.2) que so iniciadas automaticamente através de recursos de processamento da informago e os que iniciaram pela ponderacao de um usuario; d)_mudangas em permissées de usuario que so iniciadas automaticamente pelo sistema de informagao © aqueles iniciados por um administrador, ) regras que requerem aprovacao especifica antes de um decreto ou lei e as que nao necessitam. Convém que as regras para controle de acesso sejam apoiadas por procedimentos formais e responsabllidades claramente definidas (ver 6.1.3, 11.3, 10.4.1 e 11.6) 11.2 Gerenciamento de acesso do usuario ‘Objetivo: Assagurar acesso de usuario aulorizado @ prevenir acesso no aulorizado a sistemas de informagao, Convém que procedimentos formals sejam implementados para controlar a distribuigdo de direitos de acesso a sistemas de informagao e servigos. Convém que os procedimentos cubram todas as fases do ciclo de vida de acesso do usuario, da inscri¢ao inicial como novos usuérios até 0 cancelamento final do registro de usuarios que ja ndo requerem acesso a sistemas de informagao e servigos. Convém que atengdo especial seja dada, onde apropriado, para a necessidade de controlar a distribuigéo de direitos de acesso privilegiado que permitem os usudrios mudar controles de sistemas. 11.2.1 Registro de usuario Controle Convém que exista um procedimento formal de registro © cancelamento de usuério para garantir e revogar acessos em todos os sistemas de informagao e servicos. Diretrizes para implementacao Convém que os procedimentos de controle de acesso para registro e cancelamento de usuarios incluam: a) utilizar identificador de usuario (ID de usuario) unico para assegurar a responsabilidade de cada usuario por suas agdes; convém que 0 uso de grupos de ID somente seja permitido onde existe a necessidade para o negécio ou por razées operacionais, e isso seja aprovado e documentado; b)_verificar se o usuario tem autorizagao do proprietario do sistema para o uso do sistema de informagao ou servigo; aprovagao separada para direitos de acesso do gestor também pode ser apropriada, ©) verificar se o nivel de acesso concedido é apropriado ao propésito do negécio (ver 11.1) e é consistente com a politica de seguranga da organizagao, por exemplo, no compromete a segregacaio de fungi (ver 10.1.3); 4d) dar para os usudrios uma declaracao por escrito dos seus direitos de acesso; 66 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 e) requerer aos usuérios a assinatura de uma deciaragao indicando que eles entendem as condigdes de acesso; f) assegurar aos provedores de servigas que nao sero dados acessos até que os procedimentos de autorizagao tenham sido concluidos; 9) manter um registro formal de todas as pessoas registradas para usar 0 servigo; h) remover imediatamente ou bloquear direitos de acesso de usuarios que mudaram de cargos ou fung6es, ou deixaram a organizacao; i) verificar periodicamente e remover ou bloquear identificadores (ID) ¢ contas de usuario redundantes (ver 11.2.4); j) _assegurar que identificadores de usuério (ID de usuario) redundantes nao sejam atribuidos para outros Informagées adicionais Convém que seja considerado estabelecer perfis de acesso do usuario baseados nos requisitos dos negocios que resumam um ndmero de direitos de acessos dentro de um perfil de acesso tipico de usuario. Solicitagdes, de acessos e analises criticas (ver 11.2.4) sao mais faceis de gerenciar ao nivel de tais perfis do que ao nivel de direitos particulares. Convém que seja considerada a inclusao de cléusulas nos contratos de usuarios e de servigos que especifiquem as sangdes em caso de tentativa de acesso no autorizado pelos usuarios ou por terceiros (ver 6.1.5, 8.1.368.23) 11.2.2 Gerenciamento de privilégios Controle Convém que a concessao ¢ o uso de privilégios sejam restritos € controlados. Diretrizes para implementaco Convém que os sistemas de multiusudrios que necessitam de protegao contra acesso nao autorizado tenham a concessao de privilégios controlada por um proceso de autorizac&o formal. Convém que os seguintes Passos sejam considerados: a) privilégio de acesso de cada produto de sistema, por exemplo, sistema operacional, sistemas de gerenciamento de banco de dados e cada aplicacao, e de categorias de usuarios para os quais estes ecessitam ser concedido, seja identificado; b)_ 08 privilégios sejam concedidos a usuarios conforme a necessidade de uso ¢ com base em eventos alinhados com a politica de controle de acesso (ver 11.1.1), por exemplo, requisitos minimos para sua Tungo somente quando necessério; ©) um proceso de autorizagao e um registro de todos os privilégios concedidos sejam mantidos, Convém que os privilégios nao sejam fornecidos até que todo 0 processo de autorizagao esteja finalizado; d) desenvolvimento e uso de rotinas de sistemas sejam incentivados de forma a evitar a necessidade de fornecer privilégios aos usuarios; e) desenvolvimento e uso de programas que nao necessitam funcionar com privilégios sejam estimulados; ) 08 privilégios sejam atribuidos para um identificador de usudrio (ID de usuario) diferente daqueles usados normalmente para os negocios. GABNT 2005 - Todos 08 dlitvtes reservados 67ABNT NBR ISO/IEC 17799:2005 Informagdes adicionais © uso inapropriado de privilégios de administrador de sistemas (qualquer caracteristica ou recursos de sistemas de informago que habllitam usuarios a exceder o controle de sistemas ou aplicagbes) pode ser um grande fator de contribuigao para falhas ou violagdes do sistemas 11.2.3 Gerenciamento de senha do usuario. Controle ‘Convém que a concessao de senhas seja controlada através de um processo de gerenciamento formal. Diretrizes para implementacao ‘Convém que o processo considere os seguintes requisites: a) solicitar aos usuétios a assinatura de uma declaragao, para manter a confidencialidade de sua senha pessoal e das senhas de grupos de trabalho, exclusivamente com os membros do grupo; esta declaragao assinada pode ser incluida nos termos e condigbes da contratacao (ver 8.1.3); b) garantir, onde os usuarios necessitam manter suas préprias senhas, que sejam fornecidas inicialmente senhas seguras e tempordrias (ver 11.3.1), o que obriga o usuario a alterd-la imediatamente; ©) estabelecer procedimentos para verificar a identidade de um usuario antes de fomecer uma senha temporaria, de substituicao ou nova; d) fomecer senhas tempordrias aos usuarios de maneira segura; convém que o uso de mensagens de correio eletrénico de terceiros ou desprotegido (texto claro) seja evitado; )_senhas temporarias sejam tinicas para uma pessoa e ndo sejam faceis de serem adivinhadas; f) usuarios acusem o recebimento de senhas; 9) as senhas nunca sejam armazenadas nos sistemas de um computador de forma desprotegida; h) as senhas padrao sejam alteradas logo apés a instalacao de sistemas ou software. Informacées adicionais Senhas s40 um meio comum de verificar a identidade de um usuario antes que acessos sejam concedidos a tum sistema de informagao ou servigo de acordo com a autorizago do usuario. Outras tecnologias para identificagao de usuario e autenticagao, como biométrica, por exemplo, verificagao de digitais, verificacao de assinatura, e uso de tokens, por exemplo, e cart6es inteligentes, esto disponivels, e convém que sejam consideradas, se apropriado. 11.2.4 Anéllse critica dos direltos de acesso de usuario Controle ‘Convém que 0 gestor conduza a intervalos regulares a andlise critica dos direitos de acesso dos usuarios, por meio de um processo formal, Diretrizes para implementacao ‘Convém que a analise critica dos direitos de acesso considere as seguintes orientagdes: a) 08 direitos de acesso de usuarios sejam revisados em intervalos regulares, por exemplo, um periodo de seis meses e depois de qualquer mudanca, como promogao, rebaixamento ou encerramento do contrato (ver 11.2.1); b) os direitos de acesso de usuarios sejam analisados criticamente e realocados quando movidos de um tipo de atividade para outra na mesma organizacao; 68 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 ©) autorizagées para direitos de acesso privilegiado especial (ver 11.2.2) sejam analisadas criticamente em intervalos mais freqdentes, por exemplo, em um periodo de trés meses; d) as alocacées de privilégios sejam verificadas em intervalo de tempo regular para garantir que privilégios nao autorizados nao foram obtidos; e) as modificagdes para contas de privilégios sejam registradas para analise critica periédica.. Informagées adicionais E necessario analisar crticamente, a intervalos regulares, os direitos de acesso de usuérios para manter o controle efetivo sobre os acessos de dados @ servigos de informagao. 11.3 Responsabilidades dos usuarios [ Objetivo: Prevenir 0 acesso ndo autorizado dos usuarios e evitar 0 comprometimento ou furto da informagao e | dos recursos de processamento da informagao. ‘A cooperago de usudrios autorizados € essencial para uma efeliva seguranga. Convém que os usuarios estejam conscientes de suas responsabilidades para manter efetivo controle de acesso, particularmente em relago ao uso de senhas @ de seguranca dos equipamentos de usuarios. Convém que uma politica de mesa e tela limpa seja implementada para reduzir 0 risco de acessos néo autorizados ou danos a documentos/papéis, midias e recursos de processamento da informacéo. 11.3.1 Uso de senhas Controle Convém que os usuarios sejam solicitados a seguir as boas praticas de seguranga da informagao na selegao e uso de senhas. Diretrizes para implementacao Convém que todos os usuarios sejam informados para: a)_manter a confidencialidade das senhas; b) evitar manter anotadas senhas (por exemplo, papel, arquivos ou dispositivos méveis), a menos que elas possam ser armazenadas de forma segura e o método de armazenamento esteja aprovado; ©) alterar senha sempre que existir qualquer indicagao de possivel comprometimento do sistema ou da propria senha; d)_selecionar senhas de qualidade com um tamanho minimo que sejam: 1) faceis de lembrar; 2) no baseadas em nada que alguém facilmente possa adivinhar ou obter usando informagies relativas & pessoa, por exemplo, nomes, nimeros de telefone e datas de aniversario; 3) nao vulneraveis a ataque de diciondrio (por exemplo, nao consistir em palavras inclusas no dicionario), 4) isentas de caracteres idénticos consecutivos, todos numéricos ou todos alfabéticos sucessivos; e) moditicar senhas regularmente ou com base no ntimero de acessos (convém que senhas de acesso a contas privilegiadas sejam modificadas mais freqlentemente que senhas normais) e evitar a reulilizagao ou reutilizagdo do ciclo de senhas antigas; GABNT 2005 - Todos 08 dlitvtes reservados 69ABNT NBR ISO/IEC 17799:2005 )_ modificar senhas temporérias no primeiro acesso ao sistema; g) nao incluir senhas em nenhum processo automatico de acesso ao sistema, por exemplo, armazenadas ‘em um macro ou funcées-chave; h) nao compartithar senhas de usuarios individuais; 1) no utilizar a mesma senha para uso com finalidades profissionais e pessoais. Se os usuérios necessitam acessar miltiplos servigos, sistemas ou plataformas, e forem requeridos para manter separadamente miiltiplas senhas, convém que eles sejam alertados para usar uma Gnica senha de qualidade (ver d) acima) para todos os services, j4 que o usuario estard assegurado de que um razoavel nivel de prote¢ao foi estabelecido para o armazenamento da senha em cada servigo, sistema ou plataforma, Informagdes adicionais A gestao do sistema de help desk que trata de senhas perdidas ou esquecidas necessita de culdado especial, pois este caminho pode ser também um dos meios de ataque ao sistema de senha 11.3.2 Equipamento de usuario sem monitoragao Controle Convém que os usuarios assegurem que os equipamentos no monitorados tenham protege adequada, Diretrizes para implementagao Convém que todos os usuarios estejam cientes dos requisitos de seguranga da informagao e procedimentos para proteger equipamentos desacompanhados, assim como suas responsabilidades por implementar estas protegdes. Convém que os usuarios sejam informados para: a) encerrar as sessdes ativas,a menos que elas possam ser protegidas por meio de um mecanismo de bloqusio, por exemplo tela de protego com senha; b) efetuar a desconexto com 0 computador de grande porte, servidores © computadores pessoais do escritério, quando a sessao for finalizada (por exemplo: no apenas desligar a tela do computador ou 0 terminal); ©) proteger os microcomputadores ou terminais contra uso nao autorizado através de tecla de bloqueio 0u outro controle equivalente, por exemplo, senha de acesso, quando néo estiver em uso (ver 11.3.3). Informacbes adicionais Equipamentos instalados em dreas de usuarios, por exemplo, estagdes de trabalho ou servidores de arquivos, podem requerer protecdo especial contra acesso ndo autorizado, quando deixados sem monitorago por um eriodo extenso, 11.3.3 Politica de mesa limpa e tela limpa Controle Convém que seja adotada uma politica de mesa limpa de papéis e midias de armazenamento removivel e politica de tela limpa para os recursos de processamento da informagao. Dirotrizes para implementagao Convém que uma politica de mesa limpa e tela limpa leve em consideragdo a classificacio da informacao (ver 7.2), requisitos contratuais e legais (ver 15.1), e 0 risco correspondente e aspectos culturais da corganizacao, Convém que as seguintes diretrizes sejam consideradas: a) informagées do negécio sensiveis ou criticas, por exemplo, em papel ou em midia de armazenamento eletronicas, sejam guardadas em lugar seguro (idealmente em um cofre, armario ou outras formas de mobilia de seguranga) quando nao em uso, especialmente quando o escritorio esta desocupado; 70 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 b) computadores e terminais sejam mantidos desligados ou protegidos com mecanismo de travamento de tela e teclados controlados por senha, token ou mecanismo de autenticagao similar quando sem monitoraco e protegidos por tecla de bloqueio, senhas ou outros controles, quando ndo usados; ©) pontos de entrada e saida de correspondéncias e maquinas de fac-simile sem monitoragao sejam protegidos; 4d) _sejam evitados o uso nao autorizado de fotocopiadoras @ outra tecnologia de reprodugao (por exemplo, scanners, maquinas fotograficas digitais); e) documentos que contém informagao sensivel ou classificada sejam removidos de impressoras imediatamente. Informagses adicionais Uma politica de mesa limpa e tela limpa reduz o risco de acesso néo autorizado, perda e dano da informagao durante e fora do horario normal de trabalho. Cofres e outras formas de recursos de armazenamento seguro também podem proteger informages armazenadas contra desastres como incéndio, terremotos, enchentes ou explosao. Considerar o uso de impressoras com fungao de cédigo PIN, permitindo desta forma que os requerentes sejam 05 tinicos que possam pegar suas impressdes, © apenas quando estiverem proximos as impresoras. 11.4 Controle de acesso a rede ‘Objetivo: Prevenir acesso nao autorizado aos servigos de rede. ‘Convém que 0 acesso aos servigos de rede internos e extemnos seja controlado. Convém que os usuarios com acesso as redes e aos servigos de rede néo comprometam a seguranga desses servigos, assegurando: a) uso de interfaces apropriadas entre a rede da organizago e as redes de outras organizagées e redes pilblicas; b)_uso de mecanismos de autenticago apropriados para os usudrios e equipamentos; ©) controle de acesso compulsério de usuarios aos servigos de informagao, 14.4.1 Politica de uso dos servigos de rede Controle Convém que usuarios somente recebam acesso para os servigos que tenham sido especificamente autorizados a usar. Diretrizes para implementacdo Convém que uma politica seja formulada relativamente ao uso de redes e servigos de rede. Convém que esta politica cubra: a) redes e servigos de redes que so permitidos de serem acessados; b) procedimentos de autorizagao para determinar quem tem permisséo para acessar em quais redes e servigos de redes; ©) procedimentos e controles de gerenciamento para proteger acesso a conexdes e servigos de redes; GABNT 2005 - Todos 08 dlitvtes reservados m1ABNT NBR ISO/IEC 17799:2005 d) os meios usados para acessar redes e servigos de rede (por exemplo, as condigdes por permitir acesso discado para acessar o provedor de servigo internet ou sistema remoto). Convém que a politica no uso de servicos de rede seja consistente com a politica de controle de acesso do negocio (ver 11.1). Informagdes adicionais Conexées sem autorizacdo @ inseguras nos servigos de rede podem afetar toda organizagao. Este controle 6 particularmente importante para conexbes de redes sensivels ou aplicagbes de negécios criticos ou para usuarios em locais de alto risco, por exemplo, reas piiblicas ou externas que esto fora da administracao e controle da seguranca da organizacao. 11.4.2 Autenticagao para conexdo externa do usuario Controle Convém que métodos apropriados de autenticagdes sejam usados para controlar acesso de usuarios remotos, Diretrizes para implementagao ‘A autenticagao de usuarios remotos pode ser alcangada usando, por exemplo, técnica baseada em criptografia, hardware tokens ou um protocolo de desafiolresposta. Podem ser achadas possiveis implementagoes de tais técnicas em varias solugées de redes privadas virtual (VPN), Também padem ser usadas linhas privadas dedicadas para prover garantia da origem de conexées. Os procedimentos e controles de discagem reversa (dial-back), por exemplo, usando modens com discagem reversa, podem prover protegao contra conexées nao autorizadas e nao desejadas nos recursos de processamento da informagao de uma organizagao. Este tipo de controle autentica usuérios que tentam estabelecer conexdes com a rede de uma organizagdes de localidades remotas. Ao usar este controle, convém que uma organizagéo nao use servicos de rede que incluem transferéncia de chamadas (forward) ou, se eles fizerem, convém que seja desabilitado o uso de tais faciidades para evitar exposicao a fragilidades associadas ao call forward. Convém que processo de discagem reversa assegure que uma desconexdo atval no lado da organizagao acontega. Caso contrario, o usudrio remoto poderia reter aberta a linha simulando que a verificagao do retorno da chamada (call back) ocorreu. Convém que os procedimentos e controles da discagem reversa sejam testados completamente para esta possibilidade. Autenticacdo de um né pode servir como meio alternative de autenticar grupos de usuarios remotos onde eles 0 conectados a recursos de computador seguros e compartihados. Técnicas criptograficas, por exemplo, com base em certificados de maquina, podem ser usadas para autenticagao de né. Isto é parle de varias solugdes baseado em VPN. Convém que seja implementado controle de autenticagao adicional para controlar acesso a redes sem fios, Em particular, cuidado especial é necessario na selegao de controles para redes sem fios devido as numerosas oportunidades de ndo deteccao de interceptacao e insergo de trafico de rede. Informagées adicionais ‘AS conexdes externas proporcionam um potencial de acessos nao autorizados para as informagdes de negécio, por exemplo, acesso por méiodos discados (dial-up). Existem diferentes lipos de métodos de autenticacao, alguns deles proporcionam um maior nivel de protegao que outros, por exemplo, métodos baseados em técnicas de criptografia que podem proporcionar autenticagao forte. E importante determinar o nivel de protecdo requerido a partir de uma andliselavaliagdo de riscos. Isto é necessério para selecionar apropriadamente um método de autenticagao. s recursos de conexao automatica para computadores remotos podem prover um caminho para ganhar acesso nao autorizado nas aplicagdes de negécio. Isto é particularmente importante se a conexao usar uma rede que esta fora do controle do gerenciamento de seguranga da informagao da organizagao, 72 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 11.4.3 Identificacao de equipamento em redes Controle Convém que sejam consideradas as identificagées automaticas de equipamentos como um meio de autenticar conexGes vindas de localizacdes e equipamentos especificos. Diretrizes para implementacao Uma identiicacao de equipamentos pode ser usada se for importante que a comunicagao possa somente ser iniciada de um local ou equipamento especifico. Um identificador no equipamento pode ser usado para indicar se este equipamento possui permissao para conectar-se a rede. Convém que estes identificadores indiquem claramente para qual rede o equipamento possui permissao para conectar-se, se existe mais de uma rede & particularmente se estas redes s4o de sensibilidade diferente, Pode ser necessario considerar protegao fisica do equipamento para manter a seguranga do identificador do equipamento. Informagdes adicionais Este controle pode ser complementado com outras técnicas para autenticar 0 usuario do equipamento (ver 11.4.2), Pode ser aplicada identificagao de equipamento adicionalmente a autenticagao de usuario. 11.4.4 Protegao de portas de configuragao e diagnéstico remotos Controle Convém que sejam controlados os acessos fisico e légico a portas de diagnéstico e configuragao. Diretrizes para implementacao Os controles potenciais para o acesso as portas de diagnéstico e configuragao incluem 0 uso de uma tecla de bloqueio e procedimentos de suporte para controlar o acesso fisico as portas. Um exemplo para tal procedimento é assegurar que as portas de diagnéstico e configuragéo sdo apenas acessiveis pela combinagao do acesso requerido entre o gestor dos servicos do computador pelo pessoal de suporte do hardware/software. Convém que portas, servigos ¢ recursos similares instalados em um computador ou recurso de rede que nao so especificamente requeridos para a funcionalidade do negécio sejam desabllitados ou removidos. Informagées adicionais Muitos sistemas de computadores, sistemas de rede e sistemas de comunicagao sao instalados com os recursos de diagnéstico ou configuragéo remota para uso pelos engenheiros de manutengao. Se desprotegidas, estas portas de diagnéstico proporcionam meios de acesso nao autorizado. 11.4.5 Segregacao de redes Convém que grupos de servios de informacao, usuarios e sistemas de informago sejam segregados em redes, Diretrizes para implementacdo Um método de controlar a seguranga da informago em grandes redes 6 dividir em diferentes dominios de redes légicas, por exemplo, os dominios de redes internas de uma organizacdo e dominios externos de uma rede, cada um protegido por um perlmetro de seguranca definido. Um conjunto de controles regulaveis pode ser aplicado em dominios de redes légicas diferentes para adicionar mais seguranga aos ambientes de seguranga de rede, por exemplo, sistemas publicamente acessiveis, redes interas e alivos criticos, Convém que os dominios sejam definidos com base em uma andlise/avaliagao de riscos e os requisites de seguranga diferentes dentro de cada um dos dominios. GABNT 2005 - Todos 08 dlitvtes reservados 73ABNT NBR ISO/IEC 17799:2005 Tal perimetro de rede pode ser implementado instalando um gateway seguro entre as duas redes a serem interconectadas para controlar 0 acesso e 0 fluxo de informagao entre os dois dominios. Convém que este gateway seja configurado para filtar trético entre estes dominios (ver 11.4.6 e 11.4.7) @ bloquear acesso ndo autorizado conforme a politica de controle de acesso da organizagao (ver 11.1). Um exemplo deste tipo de gateway & 0 que geralmente é chamado de firewall. Outro mélodo de segregar dominios lagicos é restringir acesso de rede usando redes privadas virtuais para grupos de usuario dentro da organizagao. Podem também ser segregadas redes usando a funcionalidade de dispositive de rede, por exemplo, IP switching. Os dominios separados podem ser implementados controlando os fluxos de dados de rede, usando as capacidades de roteamento/chaveamento (routing/switching), do mesmo modo que listas de controle de acesso. Convém que critérios para segregagao de redes em dominios estejam baseados na politica de controle de acesso e requisitos de acesso (ver 10.1), @ também levem em conta os custos relativos e impactos de desempenho em incorporar roteamento adequado a rede ou tecnologia de gateway (ver 11.4.6 e 11.4.7). Alem disso, convém que segregagao de redes esteja baseada no valor e classificagao de informagdes armazenadas ou processadas na rede, niveis de confianca ou linhas de negécio para reduzir o impacto total de uma interrupgao de servigo. Convém considerar @ segregagao de redes sem fios de redes intermas e privadas. Como os perimetros de redes sem fios nao sao bem definidos, convém que uma andliselavaliagao de riscos seja realizada em tais casos para identificar os controles (por exemplo, autenticago forte, métodos criplograficos e selec de frequiéncia) para manter segregagao de rede. Informagées adicionais As redes estdo sendo progressivamente estendidas além dos limites organizacionais tradicionais, tendo em vista as parcerias de negécio que sao formadas e que podem requerer a interconexao ou compartilhamento de processamento de informagtio e recursos de rede, Tais extensées podem aumentar o risco de acesso nao autorizado a sistemas de informaco existentes que usam a rede e alguns dos quais podem requerer protecao de outros usuarios de rede devido a sensibilidade ou criticidade. 11.4.6 Controle de conexao de rede Controle Para redes compartilhadas, especialmente essas que se estendem pelos limites da organizagao, convém que a capacidade dos usuarios para conectar-se a rede seja restrita, alinhada com a politica de controle de acesso € 0S requisites das aplicagbes do negécio (ver 11.1), Diretrizes para implementagao Convém que 0s direitos de acesso dos usuarios a rede sejam mantidos e atualizados conforme requerido pela politica de controle de acesso (ver 11.1.1) A capacidade de conexéo de usuérios pode ser restrita através dos gateways que fitram tréfico por melo de tabelas ou regras predefinidas. Convém que sejam aplicadas restrigbes nos seguintes exemplos de aplicagdes: a) _mensagens, por exemplo, correio eletrénico; b) transferéncia de arq ) acesso interatvo; 4) acesso & aplicagéo. Convém que sejam considerados direitos de acesso entre redes para certo perlodo do dia ou datas. 74 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 Informagses adicionais ‘A incorporacao de controles para restringir a capacidade de conexao dos usuarios pode ser requerida pela politica de controle de acesso para redes compartiIhadas, especialmente aquelas que estendam os limites organizacionais. 14.4.7 Controle de roteamento de redes Controle Convém que seja implementado controle de roteamento na rede, para assegurar que as conexdes de computador ¢ fluxos de informagao nao violem a politica de controle de acesso das aplicagdes do negécio. Diretrizes para implementacdo Convém que os controles de roteamento sejam baseados no mecanismo de verificagao positiva do enderego de origem e destinos. Os gateways de seguranga podem ser usados para validar enderagos de origem @ destino nos pontos de controle de rede intema ou extema se o proxy e/ou a tecnologia de tradugao de enderego forem empregados. Convém que os implementadores estejam conscientes da forga @ deficiéncias de qualquer mecanismo implementado. Convém que os requisites de controles de roteamento das redes sejam baseados na politica de controle de acesso (ver 11.1), Informagées adicionais ‘As redes compartihadas, especialmente as que estendem os limites organizacionais, podem requerer controles adicionais de roteamento. Isto se aplica particularmente onde sdo compariihadas redes com terceiros (usuarios que nao pertencem a organizagao). 11.5 Controle de acesso ao sistema operacional ‘Objetivo: Prevenir acesso nao autorizado aos sistemas operacionais. Convém que recursos de seguranga da informacao sejam usados para restringir o acesso aos sistemas operacionais para usuarios autorizados, Convém que estes recursos permitam: a) autenticacio de usudrios autorizados, conforme a politica de controle de acesso definida; b) registro das tentativas de autenticagao no sistema com sucesso ou falha; €) registro do uso de privilégios especiais do sistema; d) disparo de alarmes quando as politicas de seguranga do sistema so violadas; €) fomecer meios apropriados de autenticagao; ) _restrigéio do tempo de conexo dos usuarios, quando apropriado, 14.5.1 Procedimentos seguros de entrada no sistema (log-on) Controle Convem que o acesso aos sistemas operacionais seja controlado por um procedimento seguro de entrada no sistema (/og-on), GABNT 2005 - Todos 08 dlitvtes reservados 75ABNT NBR ISO/IEC 17799:2005 Diretrizes para implementagao Convém que o procedimento para entrada no sistema operacional seja configurado para minimizar a oportunidade de acessos ndo autorizados. Convém que o procedimento de entrada (log-on) divulgue o minimo de informagdes sobre o sistema, de forma a evitar o fomecimento de informagées desnecessérias a um usudrio nao autorizado. Convém que um bom procedimento de entrada no sistema (/og-on}: a) b) °) 3) e) f) 9) ) D} nao mostre identificadores de sistema ou de aplicagao até que 0 processo tenha sido concluide com sucesso; mostre um aviso geral informando que o computador seja acessado somente por usuarios autorizados; ndo fornega mensagens de ajuda durante o procedimento de entrada (log-on) que poderiam auxiliar um usuério no autorizado; valide informagées de entrada no sistema somente quando todos os dados de entrada estiverem completos. Caso ocorra uma condigéo de erro, convém que 0 sistema nao indique qual parte do dado de entrada esta correta ou incorreta;, limite o ndmero permitido de tentativas de entradas no sistema (log-on) sem sucesso, por exemplo, trés tentativas, e considere: 1) registro das tentat'vas com sucesso ou com falha; 2) _ imposigo do tempo de espera antes de permitir novas tentativas de entrada no sistema (log-on) ‘0u rejeigdo de qualquer tentativa posterior de acesso sem autorizagao especifica; 3) encerramento das conexdes por data link; 4) envio de uma mensagem de alerta para 0 console do sistema, se 0 nimero maximo de tentativas de entrada no sistema (log-on) for alcangado; 5) configuragao do ntimero de tentativas de senhas alinhado com o tamanho minimo da senha ¢ o valor do sistema que esta sendo protegido; limite © tempo maximo e minimo permitide para o procedimento de entrada no sistema (/og-on). Se excedido, convém que o sistema encerre o procedimento; mostre as seguintes informacSes, quando 0 procedimento de entrada no sistema (/og-on) finalizar com sucesso: 1) data e hora da ultima entrada no sistema (/og-on) com sucesso; 2) detalhes de qualquer tentaliva sem sucesso de entrada no sistema (log-on) desde o tltimo ‘acesso com sucesso; no mostre a senha que esté sendo informada ou considere ocullar os caracteres da senha por simbolos; do transmita senhas em texto claro pela rede. Informagdes adicionais Se as senhas forem transmitidas om texto claro durante procedimento de entrada no sistema (log-on) pela rede, elas podem ser capturadas por um programa de sniffer de rede, instalado nela. 76 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 14.5.2 Identificagao e autenticagao de usuario Controle Convém que todos os usuarios tenham um identificador tinico (ID de usuario) para uso pessoal e exclusive, & convém que uma técnica adequada de autenticagao seja escolhida para validar a identidade alegada por um usuario Diretrizes para implementacao Convém que este controle seja aplicado para todos os tipos de usuarios (incluindo 0 pessoal de suporte tecnico, operadores, administradores de rede, programadores de sistema e administradores de banco de dados). Convém que os identificadores de usuarios (ID de usuarios) possam ser utllizados para rastrear atividades ao individuo responsavel. Convém que atividades regulares de usuarios nao sejam executadas através de contas, privilegiadas. Em circunstancias excepcionais, onde exista um claro beneficio ao negécio, pode acorrer a utiizagdo de um identificador de usuario (ID de usuario) compartihado por um grupo de usuarios ou para um trabalho especifico. Convém que a aprovacao pelo gestor esteja documentada nestes casos. Controles adicionais, podem ser necessérios para manter as responsabilidades, Convém que identificadores de usuérios (ID de usuarios) genéricos para uso de um individuo somente sejam Permitidos onde as fungdes acessiveis ou as agdes executadas pelo usuario nao precisam ser rastreadas (por exemplo, acesso somente leitura), ou quando existem outros controles implementados (por exemplo, senha para identificador de usuario genérico somente fornecida para um individuo por vez e registrada). Convém que onde autenticagao forte ¢ verificagéio de identidade & requerida, métodos altemativos de autenticago de senhas, como meios criptogréficos, cartées inteligentes (smart card), tokens © meios biométricos sejam utiizados. Informagées adicionais As senhas (ver 11.3.1 @ 11.5.3) séio uma maneira muito comum de se prover identificagao ¢ autenticagao com base em um segredo que apenas o usuario conhece. O mesmo pode ser abtido com meios criotograficos protocolos de autenticagao. Convém que a forga da identificagao e autenticagéo de usuario seja adequada com a sensibilidade da informagao a ser acessada Objetos como tokens de meméria ou cartées inteligentes (smart card) que os usuarios possuem também podem ser usados para identificagaio @ autenticagao. As tecnologias de autenticagao biométrica que usam caracteristicas ou atributos tinicos de um individuo também podem ser usadas para autenticar a identidade de uma pessoa, Uma combinacao de tecnologias e mecanismos seguramente relacionados resultara em uma autenticacao forte. 14.8.3 Sistema de gerenciamento de senha Controle Convém que sistemas para gerenciamento de senhas sejam interativos e assegurem senhas de qualidade. Diretrizes para implementacao Convém que 0 sistema de gerenciamento de senha: a) obrigue o uso de identificador de usuario (ID de usuério) e senha individual para manter responsabllidades; b) permita que os usuérios selecionem e modifiquem suas proprias senhas, incluindo um procedimento de confirmagao para evitar erros; ©) obrigue a escolha de senhas de qualidade (ver 11.3.1); GABNT 2005 - Todos 08 dlitvtes reservados 7ABNT NBR ISO/IEC 17799:2005 4d) obrigue a troca de senhas (ver 11.3.1); fe) obrigue os usuarios a trocar a senha temporérria no primeiro acesso (ver 11.2.3); 4) mantenha um registro das senhas anteriores utilizadas e bloqueie a reutiizacao; 9) nao mostre as senhas na tela quando forem digitadas; fh) armazene os arquivos de senha separadamente dos dados do sistema da aplicagao; i) armazene e transmita as senhas de forma protegida (por exemplo, criptografada ou hashed), Informacbes adicionais ‘A senha 6 um dos principais meios de validar a autoridade de um usuario para acessar um servigo de ‘computador. Aigumas aplicages requerem que senhas de usudrio sejam atribuldas por uma autoridade Independente. Em alguns casos, as alineas b), d) e e) das diretrizes acima nao se aplicam. Na maioria dos casos, as senhas ‘S40 selecionadas e mantidas pelos usuarios. Ver 11.3.1 para diretrizes do uso de senhas. 11.5.4 Uso de utilitarios de sistema Controle Convém que 0 uso de programas utiitarios que podem ser capazes de sobrepor os controles dos sistemas @ aplicagées seja restrito e estritamente controlado. Diretrizes para implementagao Convém que as seguintes diretrizes para 0 uso de utiitérios de sistema sejam consideradas: a) _uso de procedimentos de identificagao, autenticagao e autorizagao para utilitrios de sistema; b)segregagao dos ullitérios de sistema dos softwares de aplicacao; ©) limitagao do uso dos utilitérios de sistema a um niimero minimo de usuarios confidveis @ autorizados (ver 11.2.2), 4) autorizagdo para uso de utiltérios de sistema nao previstos, ) limitagao da disponibilidade dos utlitarios de sistema, por exemplo para a duragao de uma modificagao autorizada; f) registro de todo 0 uso de utllitarios de sistemas; 9) definico © documentago dos niveis de autorizacdo para os utltarios de sistema; hh) remogo ou desabilitagdo de todos os softwares utlitarios e de sistema desnecessarios; i) no deixar utiltérios de sistema disponiveis para usuarios que tém acesso as aplicagdes nos sistemas onde segregagao de fung6es 6 requerida, Informagdes adicionais A maioria das instalagdes de compuladores tem um ou mais programas ullllérios de sistema que podem ser capazes de sobrepor os controles dos sistemas e aplicages, 78 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 14.5.5 Limite de tempo de sesso Controle Convém que sessées inativas sejam encerradas apés um periodo definido de inatividade, Diretrizes para implementaco Convém que 0 recurso de limitagao de tempo limpe a tela da sessao e também, possivelmente mais tarde, feche tanto a aplicacao quanto as sessées de rede apés um periodo definido de inatividade. Convém que 0 prazo de tempo para a desconexdo refita os riscos de seguranga da érea, a classificagao da informacao que esta sendo manuseada, as aplicacbes que esto sendo utlizadas e os riscos relacionados para os usuarios do terminal do equipamento. Uma forma limitada para 0 recurso de limitag&o de tempo pode ser provida por alguns sistemas, os quais, limpam a tela e previnem acesso nao autorizado, mas nao fecham as sessées das aplicagdes ou da rede. Informagses adicionais Este controle 6 particularmente importante em locais de alto risco, os quais incluem areas piblicas ou externas fora dos limites do gerenciamento de seguranga da organizago. Convém que estas sesses sejam encerradas para prevenir 0 acesso por pessoas nao autorizadas e ataques de negacao de servigo. 11.5.6 Limitagao de hordrio de conexéo Controle Convém que restrigées nos hordrios de conexo sejam utilizadas para proporcionar seguranga adicional para aplicagées de alto risco. Diretrizes para implementacdo Convém que controles de horario de conexo sejam considerados para aplicages computacionais sensiveis, ‘especialmente aquelas com terminais instalados em locais de alto risco, por exemplo em Areas piblicas ou exlemas fora dos limiles do gerenciamento de seguranga da organizacdo. Exemplos deste tipo de restrigao incluem: a) utilizagao de janelas de tempo predeterminadas, por exemplo para transmisséo de arquivos em lote ou sess6es regulares interativas de curta duraco; b) restrigdo dos hordrios de conexdo s horas normals de expediente se ndo houver necessidades para horas extras ou trabalhos fora do hordrio normal; ©) considerar a reautenticagao em intervalos de tempo. Informagses adicionais Limitar © periodo durante o qual as conexées de terminal para os servicos computadorizados so permitidas reduz a janela de oportunidade para acessos nao autorizados. Limitar a duragdo de sess6es ativas inibe os usudrios a manter segGes abertas, para evitar reautenticagao, GABNT 2005 - Todos 08 dlitvtes reservados 79ABNT NBR ISO/IEC 17799:2005 11.6 Controle de acesso a aplicagao e a informagao Objetivo: Prevenir acesso nao autorizado @ informagao contida nos sistemas de aplicagao. Convém que os recursos de seguranga da informacao sejam utllizados para restringir 0 acesso aos sistemas Ge aplicagao. Convém que 0 acesso légico @ aplicagao e informagao seja restrito a usuérios autorizados. Convém que os sistemas de aplicacao: a) controlem 0 acesso dos ususrios a informago e as fungdes dos sistemas de aplicagdo, de acordo com uma politica de controle de acesso definida: b) proporcionem proteao contra acesso nao autorizado para qualquer software utlitério, sistema operacional e software malicioso que seja capaz de sobrepor ou contornar os controles da aplicag&o ou do sistema; ©) n&o comprometam outros sistemas com 0s quais os recursos de informagao sao compartilhados. 11.6.1 Restrigdo de acesso a informagao Controle Convém que 0 acesso a informacdo e as fungées dos sistemas de aplicacdes por usuarios e pessoal de suporie seja restrito de acordo com o definido na politica de controle de acesso. Diretrizes para implementacao Convém que restrigdes para acesso sejam baseadas nos requisitos das aplicagées individuais do negécio. Convém que a politica de controle de acesso seja consistente com a politica de acesso organizacional (ver 11.1). Convém que a aplicagéo dos seguintes controles seja considerada de forma a suportar os requisitos de restrigdio de acesso: a) forecer menus para controlar o acesso as fungdes dos sistemas de aplicagéo; b) controlar os direitos de acesso dos usuarios, por exemplo, ler, escrever, excluir e executar; ©) controlar os direitos de acesso de outras aplicagoes; 4d) assegurar que as saidas dos sistemas de aplicacao que tratam informagées sensiveis contenham apenas a informago relevante ao uso de tals saldas e s4o enviadas apenas para os terminals e locals autorizados; convém incluir uma anélise critica periédica de tais saidas, para assegurar que informagao redundante seja removida. 11.6.2 Isolamento de sistemas sensiveis Controle Convém que sistemas sensiveis tenham um ambiente computacional dedicado (isolado). Diretrizes para implementacdo Convém que 08 seguintes pontos sejam considerados para o isolamento de um sistema sensivel: a) a sensibilidade de um sistema de aplicagao seja explicitamente identificada e documentada pelo Proprietario da aplicagao (ver 7.1.2); 80 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 b) quando uma aplicagao sensivel 6 executada em um ambiente compartilhado, convém que se identifiquem os sistemas de aplicagdo com os quais ela compartilhard recursos e os correspondentes Tiscos, ¢ que se obtenha a concordancia do proprietario da aplicago sensivel. Informagses adicionais ‘Alguns sistemas de aplicagao sdo suficientemente sensiveis a perdas potenciais, requerendo tratamento especial. A sensibilidade pode indicar que o sistema de aplicagao. a) seja executado a partir de um computador dedicado; ou b) compartitha recursos somente com sistemas de aplicagao confiaveis. O isolamento pode ser obtido utilizando-se métodos fisicos ou logicos (ver 11.4.5). 11.7 Computagao mével e trabalho remoto Objetivo: Garantir a seguranga da informagao quando se utllizam a computagaio mavel e recursos de trabalho remoto. Convém que a protegao requerida seja proporcional com o risco desta forma especifica de trabalho. Quando se utiiza a computagao movel, convém que os riscos de trabalhar em um ambiente desprotegido sejam considerados e a protegao adequada seja aplicada. No caso de trabalho remoto, convém que a organizagao aplique prote¢o ao local do trabalho remoto e assegure que as providéncias adequadas estao implementadas [para este tipo de trabalho, 14.7.1 Computagao e comunicagao mével Controle Convém que uma politica formal seja estabelecida e que medidas de seguranga apropriadas sejam adotadas para a protegao contra os riscos do uso de recursos de computagao e comunicagao méveis. Diretrizes para implementacdo Quando se utilizam recursos de computagao e comunicagao méveis, como, por exemplo, notebooks, palmtops, laptops, cartées inteligentes (smart cards) e telefones celulares, convém que cuidados especiais sejam tomados para assegurar que as informagSes do negécio nao sejam comprometidas. A politica de computagao mével deve levar em consideragao os riscos de se trabalhar com equipamentos de computagao mével em ambientes desprotegidos. Convém que @ politica de computacao mével inclua os requisites de protec fisica, controles de acesso, técnicas criptograficas, cépias de seguranga e protecao contra virus. Convém que esta politica inclua também regras e recomendacées sobre a conexdo de recursos méveis a rede e diretrizes sobre o uso destes recursos em locals publics. Convém que sejam tomadas certas precaugSes ao se utilizarem os recursos de computagao mével em locais, Piblicos, salas de reunides @ outras areas desprotegidas fora dos limites da organizagao. Convém que sejam estabelecidas protesées para evitar 0 acesso nao autorizado ou a divulgagdo de informacées armazenadas e processadas nestes recursos, por exemplo através da ulllizagdo de técnicas de criptogratia (ver 12.3), Convém que usuarios de recursos de computagao mével em locais piiblicos tomem cuidado para evitar o risco de captacao por pessoas nao autorizadas. Convém que procedimentos contra softwares maliciosos sejam estabelecidos e mantidos sempre atualizados (ver 10.4). Convém que cépias de seguranca das informagées criticas de negécio sejam feitas regularmente. Convém que equipamentos estejam disponiveis para possibiltar a realizagdo de cépias de seguranga das informagoes de forma rapida e facil. Para essas cépias de seguranga, convém que sejam adotadas protegées adequadas contra, por exemplo, furto ou roubo, ou perda de informacao. GABNT 2005 - Todos 08 dlitvtes reservados 81ABNT NBR ISO/IEC 17799:2005 Convém que protegao adequada seja dada para o uso dos recursos de computago movel conectados em rede. Convém que 0 acesso remoto as informagées do negécio através de redes publicas, usando os recursos de computagao mével, ocorra apenas apés o sucesso da identificagéo e da autenticagdo, e com os apropriados mecanismos de controle de acesso implantados (ver 11.4). Convém que os recursos de computago mével também estejam protegidos fisicamente contra furto ou roubo, especialmente quando deixados, por exemplo, em carros ou em outros meios de transporte, quartos de hotéis, centros de conferéncia e locais de reuniao. Convém que esteja estabelecido um procedimento especifico que leve em consideragao requisitos legais, securitérios e outros requisitos de seguranca da organizac&o para casos de roubo ou perda de recursos de computagdo mével. Convém que os equipamentos que contém informagées importantes, sensiveis e/ou criticas para 0 negocio nao sejam deixados sem observagao e, quando possivel, estejam fisicamente trancados, ou convém que travas especiais sejam utilizadas para proteger 0 equipamento. (ver 9.2.5). Convém que seja providenciado treinamento para os usuarios de computagao mével, para aumentar o nivel de conscientizagaio @ respeito dos riscos adicionais resultantes desta forma de trabalho e dos controles que devem ser implementados, Informacbes adicionais As redes de conexao sem fio so similares a outros tipos de redes, mas possuem diferengas importantes que convém que sejam consideradas quando da identificacao de controles. As diferengas tipicas s4o: a) alguns protocolos de seguranga de redes sem flo s8o imaturos e possuem fragilidades conhecidas; b) pode ndo ser possivel efetuar cépias de seguranga das informagées armazenadas em computadores méveis devido a largura de banda limitada e/ou devido ao equipamento mével nao estar conectado no ‘momento em que as cOpias de seguranga esto programadas. 11.7.2 Trabalho remoto Controle Convém que uma politica, planos operacionais ¢ procedimentos sejam desenvolvides e implementados para atividades de trabalho remoto. Diretrizes para implementagao Convém que as organizagdes somente autorizem atividades de trabalho remotas apenas se elas estiverem certas de que as providéncias apropriadas e controles de seguranga esto implementados e que estes esto de acordo com a politica de seguranga da organizagao. Convém que a protegao apropriada ao local do trabalho remoto seja implantada para evitar, por exemplo, 0 {urto ou roubo do equipamento e de informagées, a divulgagdo nao autorizada de informacao, o acesso remoto no autorizado aos sistemas intemnos da organizagao ou mau uso de recursos. Convém que 0 trabalho remoto seja autorizado e controlado pelo gestor ¢ convém que sejam asseguradas as providéncias adequadas a esta forma de trabalho. Convém que os seguintes pontos sejam considerados: a) a segurang fisica do pré« ica existente no local do trabalho remoto, levando-se em consideragao a seguranga 8.0 ambiente local; b) ambiente fisico proposto para o trabalho remoto; ¢) 08 requisitos de seguranga nas comunicagées, levando em consideragSo a necessidade do acesso remoto aos sistemas internos da organizago, a sensibilidade da informagao que sera acessada e trafegada na linha de comunicagao e a sensibilidade do sistema interno; d) a ameaga de acesso nao autorizado a informagéo ou aos recursos por outras pessoas que ulllizam local, por exemplo familiares e amigos; 82 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 e) 0.uso de redes domésticas e requisitos ou restrigdes na configuragao de servigos de rede sem fio; f) politicas e procedimentos para evitar disputas relativas a direitos de propriedade intelectual desenvolvidas em equipamentos de propriedade particular; g) acesso a equipamentos de propriedade particular (para verificar a seguranca da méquina ou durante uma investigagao), que pode ser proibide legalmente; h) acordos de licenciamento de software que podem tomar as organizag6es responsaveis pelo licenciamento do software cliente em estagdes de trabalho particulares de propriedade de funcionarios, fornecedores ou terceiros; i) requisitos de protegao contra virus e requisitos de firewall, Convém que as diretrizes e providéncias a serem consideradas incluam: a) a proviséo de equipamento © mobilia apropriados as atividade de trabalho remoto, onde 0 uso de equipamentos de propriedade particular que néo esteja sob controle da organizagao nao é permitido; b) uma defini¢do do trabalho permitido, o perfodo de trabalho, a classificago da informagao que pode ser tratada e 08 sistemas internos e servigos que o usuario do trabalho remoto esta autorizado a acessar; ©) a proviséo de equipamento de comunicag4o apropriado, incluindo métodos para acesso remoto ‘seguro; d) seguranga fisica; e) regras e diretrizes sobre o acesso de familiares e visitantes ao equipamento e a informaco, f) a proviso de suporte e manutengao de hardware e software; 9) a provisdo de seguro; h)_ 08 procedimentos para cépias de seguranga e continuidade do negocio; i) auditoria monitoramento da seguranca; |) revogagao de autoridade e direitos de acesso, e devolugdo do equipamento quando as atividades de trabalho remoto cessarem. Informagses adicionais ‘As atividades de trabalho remoto utliizam tecnologias de comunicagéo que permitem que as pessoas trabalhem remotamente de uma localidade fixa externa a sua organizagAo. GABNT 2005 - Todos 08 dlitvtes reservados 83ABNT NBR ISO/IEC 17799:2005 12 Aquisigao, desenvolvimento e manutengao de sistemas de informacao 12.1 Requisitos de seguranga de sistemas de informagao | ‘bjavo: Garanir que soguranca 6 parle Inteprante de siclomas de informa, Sistemas de informagao incluem sistemas operacionais, infra-estrutura, aplicagGes de negécios, produtos de prateleira, servicos ¢ aplicagdes desenvolvidas pelo usuario. O projeto © a implementacdo de sistemas de informagdo destinados a apoiar 0 proceso de negdcios podem ser cruciais para a seguranga. Convém que os requisites de seguranga sejam identificados ¢ acordados antes do desenvolvimento e/ou implementagao de sistemas de informaga. projeto e justiicados, acordados e documentados como parte do caso geral de negocios para um sistema de | Con que todos oe rsutoe de segura ejam Keone na fate de defini de rues de | intormagées | 12.1.1 Anélise ¢ especificagao dos requisitos de seguranga Controle Convém que sejam especificados os requisitos para controles de seguranga nas especificagdes de requisitos de negécios, para novos sistemas de informagao ou melhorias em sistemas existentes, Diretrizes para implementacao Convém que as especificagdes para os requisitos de controles, nos sistemas de informagao, considerem os controles automdticos a serem incorporados, assim como a necessidade de apoiar controles manuais. Convém que consideragées similares sejam aplicadas quando da avaliagdo de pacotes de softwares, desenvolvidos internamente ou comprados, para as aplicagdes de negécios. Convém que requisitos de seguranga @ controles refitam o valor para 0 negécio dos ativos de informagao envolvidos (ver 7.2), € os danos potenciais ao negécio que poderiam resultar de uma falha ou auséncia de seguranga. Convém que 0s requisitos de sistemas para a seguranga da informagao, bem como os processos para iplementé-la sejam integrados aos estagios iniciais dos projetos dos sistemas de informagao. Controles introduzidos no estagio de projeto s4o significativamente mais baratos para implementar e manter do que aqueles incluldos durante ou apés a implementagao. Convém que, no caso de produtos comprados, um processo formal de aquisigao e testes seja seguido. Convém que contratos com fornecedores levem em consideracao os requisitos de seguranga identificados. Nas situagdes em que funcionalidades de seguranga de um produto proposto nao satisfagam requisites especiticados, convém que 0 risco introduzido, assim como os controles associados, sejam reconsiderados antes da compra do produto. Nas situagdes em que as funcionalidades adicionais incorporadas acarretem riscos @ seguranga, convém que estas sejam desativadas ou a estrutura de controles proposta seja analisada criticamente para determinar se ha vantagem na utilza¢do das funcionalidades em questéo. Informacées adicionals Se considerado apropriado, por exemplo, por razdes de custos, o gestor pode considerar 0 uso de produtos avaliados © certificados por entidade independents. Informagao adicional sobre critérios de avaliagao de produtos pode ser encontrada na ISO/IEC 15408 ou em oulras normas de avaliagdo ou cerliicagao apropriadas A ISO/IEC 13335-3 possui orientagao sobre 0 uso de processos de gerenciamento de riscos para a identificagao de requisitos de controles de seguranga, 84 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 12.2 Processamento correto nas aplicagées [ Objetivo: Prevenir a ocorréncla de erros, perdas, modlicaplo nao autorizada ou mau uso de informapbes em apleagées | | Convém que controles apropriados sejam incorporados no projeto das aplicagées, inclusive aquelas | desenvolvidas pelos usudrios, para assegurar o processamento correto. Convém que esses controles incluam | a validagao dos dados de entrada, do processamento interno e dos dados de saida. | Controles adicionais podem ser necessérios para sistemas que processem informagées sensiveis, valiosas ou criticas, ou que nestas exergam algum impacto. Convém que tals controles sejam determinados com base em Tequisitos de seguranga e a analise/avaliagao de riscos. 12.2.1 Validagao dos dados de entrada Controle Convém que os dados de entrada de aplicagdes sejam validados para garantir que sao corretos e apropriados. Diretrizes para implementago Gonvém que sejam aplicadas checagens na entrada de transagées de negécios, em dados permanentes (por exemplo, nomes @ enderecos, limites de crédito, nimeros de referéncia de clientes) e em, parametros de tabelas (por exemplo, pregos de venda, taxas de conversao de moedas, tarifas de impostos). Convém que as seguintes diretrizes séjam consideradas: a) entrada duplicada ou outros tipos de verificacdo, tais como checagem de limites ou campos limitando as faixas especiticas de dados de entrada, para detectar os seguintes erros: 1) valores fora de faixa; 2) caracteres invalidos em campos de dados; 3) dados incompletos ou faltantes; 4) volumes de dados excedendo limites superiores ou inferiores; 5) dados de controle inconsistentes ou ndo aulorizados; b) verificagéio periédica do contetdo de campos-chave ou arquivos de dados para confirmar a sua validade ¢ integridade; ©) inspegao de cépias impressas de documentos de entrada para detectar quaisquer alteragées nao aulorizadas (convém que todas as mudangas em documentos de entrada sejam autorizadas); d) procedimentos para tratar erros de validagéo; e) procedimentos para testar a plausibilidade dos dados de entrada: 4) definigéo da responsabilidade de todo o pessoal envolvido no processo de entrada de dados; 9) _ctiagao de um registro de atividades envolvendo o proceso de entrada de dados (ver 10.10.1). Informacdes adicionais A verificagdo e validagdo automatica de dados de entrada podem ser consideradas, onde aplicévels, para reduzir 0 risco de erros e prevenir ataques conhecidos como buffer overfiow e injegao de codigo. GABNT 2005 - Todos 08 dlitvtes reservados 85ABNT NBR ISO/IEC 17799:2005 12.2.2 Controle do processamento interno Controle Convém que sejam incorporadas, nas aplicagdes, checagens de validagéio com o objetivo de detectar qualquer corrupgao de informagées, por erros ou por agdes deliberadas. Diretrizes para implementacao Convém que 0 projeto ¢ a implementagao das aplicagbes garantam que 0s riscos de falhas de processamento que levem a perda de integridade sejam minimizados. Areas especificas a serem consideradas incluem: a) 0.uso das funges, como incluir, modificar e remover para implementagao de alteragdes nos dados; b)_procedimentos para evitar que programas rodem na ordem errada ou continuem rodando apés uma falha de processamento (ver 10.1.1); ¢) uso de programas apropriados para recuperacao de falhas, para assegurar o processamento correto dos dados; 4d) protegao contra ataques usando buffer overrun/overffow, Convém que seja preparada uma lista de verificagao apropriada, as atividades sejam documentadas © os resultados sejam mantidos em seguranca. Exemplos de verificagdes que podem ser incorporadas incluem: a) controles de sessées ou de lotes, para reconciliar saldos de arquivos apés as alualizages de transagoes; b) controles de saldos, para verificagao de saldos abertos comparando com saldos previamente encerrados o batimento de saldos de abertura contra saldos de fechamento, utllizando 1) controles run-to-run; 2) tolalizagbes na atualizagao de arquivos; 3) controles program-to-program; ©) validagao de dados de entrada gerados pelo sistema (ver 12.2.1); d) verificagées de integridade, autenticidade ou qualquer outra caracteristica de seguranga, de dados ou softwares transferidos, ou atualizados entre compuladores centrais e remolos; e) implementagio de técnicas de consisténcia (hash) para registros e arquivos; 1) verificagées para garantir que os programas sejam rodados no tempo correto; 9) verificagées para garantir que os programas sejam rodados na ordem correta e terminem em caso de falha, ¢ que qualquer processamento adicional seja estancado, até que o problema seja resolvido; h) criagao de um registro das atividades envolvidas no processamento (ver 10.10.1) Informaces adicionais (Os dados que tenham sido corretamente alimentados podem ser corrompidos por falhas de hardware, erros de Processamento ou por atos deliberados. As verificagées de validacao requeridas dependem da natureza das aplicagées e do impacto, no negécio, de qualquer corrupcao de dados. ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 12.2.3 Integridade de mensagens Controle Convém que requisites para garantir a autenticidade e proteger a integridade das mensagens em aplicagdes, sejam identificados e os controles apropriados sejam identificados e implementados. Diretrizes para implementacdo Convém que soja efetuada uma andlise/avaliagao dos riscos de seguranga para determinar se a integridade das mensagens é requerida e para identificar o método mais apropriado de implementago. Informacées adicionais ‘As lécnicas criptograficas (ver 12.3) podem ser usadas como um meio apropriado para a implementagao da autenticacéo de mensagens. 12.2.4 Validagao de dados de saida Controle Convém que os dados de saida das aplicagées sejam validados para assegurar que 0 processamento das, informagées armazenadas esta correto e @ apropriado as circunstancias. Diretrizes para implementacdo A validagao de dados de saida pode incluir: a) verificagées de plausibilidade para testar se os dados de saida sao razodveis; b)_controles envolvendo contagens de reconciliacao para garantir o processamento de todos os dados; ©) fomecimento de informagao suficiente para que um leitor ou um sistema de processamento subseqiiente possa determinar a exatidéo, completeza, precisdo e classificagao das informagoes; d)_procedimentos para responder aos testes de validagao dos dados de saida; ©) definigao das responsabilidades de todo 0 pessoal envolvido no proceso de dados de saida; f)_criagdo de um registro de atividades do proceso de validagao dos dados de salda, Informagbes adicionais Tipicamente, sistemas e aplicagées séo construidos no pressuposto de que, tendo sido efetuadas as validagées apropriadas, verificagoes e testes, as saidas estarao sempre corretas. Contudo, este pressuposto em sempre & valido, isto 6, sistemas que tenham sido testados podem ainda produzir dados de saida incorretos sob certas circunstancias. 12.3 Controles criptograficos Objetivo: Proteger a confidencialidade, a autenticidade ou a integridade das informagées por meios ctiptograficos, Convém que uma politica seja desenvolvida para o uso de controles criptograficos. Convém que o | gerenciamento de chaves seja implementado para apoiar o uso de técnicas criptograficas. GABNT 2005 - Todos 08 dlitvtes reservados 87ABNT NBR ISO/IEC 17799:2005 12.3.1 Politica para 0 uso de controles criptograficos Controle Convém que seja desenvolvida e implementada uma politica para o uso de controles criptograficos para a protegdo da informagao. Diretrizes para implementacao Convém que, quando do desenvolvimento de uma politica para criptografia, sejam considerados: a) a abordagem gerencial quanto ao uso de controles criptogréficos em toda a organizago, incluindo os principios gerais sob os quais as informagdes de negécio sejam protegidas (ver 5.1.1); b) a identificagaio do nivel requerido de protego com base em uma analise/avaliagao de riscos, levando ‘em consideragao o tipo, a forga @ a qualidade do algoritmo de criptografia requerido; €) © uso de ctiptografia para a protectio de informagées sensiveis transportadas em colulares @ PDA, midias removiveis ou méveis, dispositivos ou linhas de comunicagao; d) a abordagem do gerenciamento de chaves, incluindo métodos para lidar com a protegao das chaves criptograficas e a recuperacao de informacées cifradas, no caso de chaves perdidas, comprometidas ou danificadas; €) papéis e responsabilidades, por exemplo, de quem for responsavel 1) pela implementagao da politica; 2) pelo gerenciamento de chaves, incluindo sua geragao (ver 12.3.2); f) 08 padres a serem adotados para a efetiva implementagao ao longo de toda a organizagao (qual solug&o 6 usada para quais processos de negécios); 9) © impacto do uso de informagées cifradas em controles que dependem da inspego de contetidos (por exemplo, detecgao de virus) Convém que sejam consideradas, na implamentagao da politica criptografica da organizacao, as leis ou regulamentagées ¢ restrigSes nacionais aplicdveis ao uso de técnicas criplogréficas, nas diferentes partes do mundo, ¢ das quest6es relativas ao fluxo transfronteiras de informagées cifradas (ver 15.1.6). Controles criptograficos podem ser usados para alcangar diversos objetivos de seguranga, como, por exemplo: a) confidencialidade: usando a criptografia da informagao para proteger informagées sensiveis ou criticas, armazenadas ou transmitidas; b) integridade/autenticidade: usando assinaturas digitais ou cédigos de autenticacdo de mensagens (MAC) para proteger a autenticidade e integridade de informagdes sensiveis ou criticas, armazenadas ou transmitidas; ) néo-repidio: usando técnicas de criptografia para obter prova da ocorréncia ou néo acorréncia de um evento ou agao. Informacdes adicionais Convém que a tomada de decisio para verificar se uma solugao de criptografia é apropriada soja vista como parte de um processo de andlise/avaliagao de riscos e selegao de controles mais amplos. Essa avaliagio pode, entao, ser usada para determinar se um controle criptografico & apropriado, que tipo de controle seja usado e para que propésito e processos de negécios, 88 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 Uma politica sobre 0 uso de controles criptograficos 6 necessaria para maximizar os beneficios e minimizar os riscos do uso de técnicas criptograficas para evitar o uso incorreto ou inapropriado. Quanto ao uso de assinaturas digitals, convém que seja considerada toda a legislago relevante, em particular aquela que descreve as condi¢des sob as quais uma assinatura digital 6 legalmento aceita (ver 15.1). Convém que seja buscada a opiniao de um especialista para identificar 0 nivel apropriado de protegao e definir as especificacées aplicavels que proporcionarao o nivel requerido de protecao ¢ 0 apoio a implementagdo de um sistema seguro de gerenciamento de chaves (ver 12.3.2), O ISO/IEC JTC1 $C27 desenvolveu diversas normas relacionadas com controles criptograficos. Informagoes adicionais podem também ser encontradas na IEEE P1363 e no OECD Guidelines on Cryptography. 12.3.2 Gerenciamento de chaves Controle Convém que um process de gerenciamento de chaves seja implantado para apoiar 0 uso de técnicas ctiptograficas pela organizagao. Diretrizes para implementacdo Convém que todas as chaves criptograficas sejam protegidas contra modificagao, perda e destruigao. Adicionalmente, chaves secretas e privadas necessitam de protegao contra a divulgagéo ndo autorizada. Conveém que 0s equipamentos utiizados para gerar, armazenar e guardar as chaves sejam fisicamente protegidos. Convém que um sistema de gerenclamento de chaves seja baseado em um conjunto estabelecido de normas, procedimentos @ métodos de seguranga para: a) _gerar chaves para diferentes sistemas criptogréficos e diferentes aplicagées; b) gerar e obter certificados de chaves publicas; ©) distribuir chaves para os usuarios devidos, incluindo a forma como as chaves devem ser ativadas, quando recebidas; 4d) _armazenar chaves, incluindo a forma como os usuarios autorizados abtém acesso a elas; e) mudar ou atualizar chaves, incluindo regras relativas a quando as chaves devem ser mudadas e como isto sera feito; ) lidar com chaves comprometidas; 9) revogar chaves, incluindo regras de como elas devem ser retiradas ou desativadas, por exemplo quando chaves tiverem sido comprometidas ou quando um usuério deixa a organizagao (convém que, também neste caso, que as chaves sejam guardadas); h) recuperar chaves perdidas ou corrompidas, como parte da gestéo da continuidade do negécio, por exemplo para recuperacao de informagées cifradas; i) guardar chaves, por exemplo para informagées guardadas ou armazenadas em cépias de seguranga; ) destruir chaves k)_manter registro e auditoria das atividades relacionadas com o gerenciamento de chaves. GABNT 2005 - Todos 08 dlitvtes reservados 89ABNT NBR ISO/IEC 17799:2005 Convém, para reduzir a possibilidade de comprometimento, que datas de ativagao e desativagao de chaves sejam definidas de forma que possam ser utlizadas apenas por um periodo de tempo limitado. Convém que este perlodo de tempo seja dependente das circunstancias sob as quais 0 controle criotografico esta sendo usado, assim como do risco percebido. Alem do gerenciamento seguro de chaves secretas e privadas, convém que a autenticidade de chaves iblicas seja também considerada, Este proceso de autenticacéo pode ser conduzido utllizando-se certificados de chaves piblicas que s8o normalmente emitidos por uma autoridade ceriificadora, a qual convém que seja uma organizagao reconhecida, com controles adequados e procedimentos implantados com © objetivo de garantir o requerido nivel de confianga. Convém que o contetido dos termos dos acordos de nivel de servigo ou contratos com fornecedores externos de servicos criptograficos, por exemplo com uma autoridade certificadora, cubram aspectos como responsabilidades, confiabilidade dos servicos e tempos de resposta para a execugéo dos servicos contratados (ver 6.2.3). Informacdes adicionais © gerenciamento de chaves criptograficas 6 essencial para o uso efetivo de técnicas criptograficas, A ISO/IEC 11770 fornece informag&o adicional sobre gerenciamento de chaves. Os dois tipos de técnicas criptograficas sao: a) técnicas de chaves secretas, onde duas ou mais partes compartiham a mesma chave, a qual é utllizado tanto para cifrar quanto para decifrar a informagao; esta chave deve ser mantida secreta, uma vez que qualquer um que tenha acesso a ela sera capaz de decifrar todas as informagées que tenham sido cifradas com essa chave ou dela se utilizando para introduzir informagao nao autorizada; b) técnicas de chaves piblicas, onde cada usuario possui um par de chaves; uma chave publica (que pode ser revelada para qualquer um) e uma chave privada (que deve ser mantida secreta); técnicas de chaves pliblicas podem ser utiizadas para cifrar e para produzir assinaturas digitais (ver também ISO/IEC 9796 e ISO/IEC 14888), Existe a ameaca de que seja forjada uma assinatura digital pela substituigo da chave publica do usuario. Este problema é resolvido pelo uso de um certficado de chave publica Técnicas criptogréficas podem ser também utilizadas para proteger chaves criptograficas. Pode ser necessério © estabelecimento de procedimentos para a manipulagéo de solicitagdes legais para acesso a chaves criptograficas, por exemplo, informagao cifrada pode ser requerida em sua forma decifrada para uso como evidéncia em um processo judicial 12.4 Seguranga dos arquivos do sistema ‘Objetivo: Garantir a seguranga de arquivos de sistema Convém que 0 acesso aos arquivos de sistema e aos programas de cédigo fonte seja controlado e que atividades de projeto de tecnologia da informagao e de suporte sejam conduzidas de forma segura. Convém que culdados sejam tomados para evitar a exposigao de dados sensivels em ambientes de teste. | 12.4.1 Controle de software operacional Controle Convem que procedimentos para controlar a instalagéo de software em sistemas operacionais sejam implementados, 90 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 Diretrizes para implementaco Para minimizar 0 risco de corrupgao aos sistemas operacionais, convém que as seguintes diretrizes sejam consideradas para controlar mudangas: a) a atualizagao do software operacional, de aplicativos e de bibliotecas de programas seja executada ‘somente por administradores treinados © com autorizagao gerencial (ver 12.4.3); b) sistemas operacionais somente contenham cédigo executavel @ aprovado, © ndo contenham cédigos em desenvolvimento ou compiladores; ©) sistemas operacionais aplicativos somente sejam implementados apés testes extensivos @ bem- sucedidos; 6 recomendavel que os testes incluam testes sobre uso, seguranca, efeitos sobre outros sistemas, como também sobre uso amigavel, e sejam realizados em sistemas separados (ver 10.1.4); convém que seja assegurado que todas as bibliotecas de programa-fonte correspondentes tenham sido atualizadas; d) um sistema de controle de configuragéo seja utilizado para manter controle da implementaco do software assim como da documentagao do sistema; e) uma estratégia de retorno as condig6es anteriores seja disponibilizada antes que mudangas sejam implementadas no sistema; f) um registro de auditoria seja mantido para todas as atualizacdes das bibliotecas dos programas operacionais; 9) _vers6es anteriores dos softwares aplicativos sejam mantidas como medida de contingéncia; h) versdes antigas de software sejam arquivadas, junto com todas as informagées © pardmetros requeridos, procedimentos, detalhes de configuracdes e software de suporte durante um prazo igual ao prazo de retengao dos dados. Convém que software adquirido de fornecedores e utlizado em sistemas operacionais seja mantido num nivel apolado pelo fornecedor. Ao transcorrer do tempo, fornecedores de software cessam o apoio as versées antigas do software. Convém que a organizagao considere os riscos associados 4 dependéncia de software sem suporte. Convém que qualquer decisao de atualizagao para uma nova versao considere os requisitos do negécio para a mudanga e da seguranga assaciada, por exemplo, a introdugao de uma nova funcionalidade de seguranga ou a quantidade e a gravidade dos problemas de seguranca associados a esta versao. Convém que pacotes de corregdes de software sejam aplicados quando puderem remover ou reduzir as vulnerabilidades de seguranga (ver 12.6.1). Convém que acesses fisicos e légicos sejam concedidos a fornecedores, quando necessério, para a finalidade de suporte e com aprovagao gerencial. Convém que as atividades do foriecedor sejam monitoradas. Os softwares para computadores podem depender de outros softwares e médulos fornecidos externamente, os quais convém ser monitorados e controlados para evitar mudangas no autorizadas, que podem introduzir fragllidades na seguranca. Informagses adicionais Convém que sistemas operacionais sejam atualizados quando existir um requisito para tal, por exemplo, se a verso alval do sistema operacional nao suporiar mais os requisites do negécio. Convém que as atualizagdes nao sejam efetivadas pela mera disponibilidade de uma verséo nova do sistema operacional. Novas versées de sistemias operacionais podem ser menos seguras, com menor estabilidade, e ser menos entendidas do que 0s sistemas atuais. GABNT 2005 - Todos 08 dlitvtes reservados 1ABNT NBR ISO/IEC 17799:2005 12.4.2 Protecao dos dados para teste de sistema Controle Convém que os dados de teste sejam selecionados com culdado, protegidos e controlados, Diretrizes para implementaco Para propésitos de teste, convém que seja evitado 0 uso de bancos de dados operacionais que contenham informagées de natureza pessoal ou qualquer outra informagao considerada sensivel. Se informacao de natureza pessoal ou outras informagées sensiveis forem utilizadas com 0 propésito de teste, convém que todos os detalhes e contetido sensivel sejam removidos ou modificados de forma a evitar reconhecimento antes do seu uso. Convém que sejam aplicadas as seguintes diretrizes para a protecao de dados operacionais, quando utiizados para fins de teste: a) 0s procedimentos de controle de acesso, aplicaveis aos aplicativos de sistema em ambiente operacional, sejam também aplicados aos aplicativos de sistema em ambiente de teste; b)_seja obtida autorizagéio cada vez que for utiizada uma cépia da informacao operacional para uso de um aplicativo em teste; ©) a informagao operacional seja apagada do aplicativo em teste imediatamente apés completar o teste; 4d) a cépia e 0 uso de informagao operacional sejam registrados de forma a prover uma trilha para auditoria, Informacbes adicionais Testes de sistema e testes de aceitagdo requerem normalmente volumes significativos de dados de teste que sejam o mais proximo possivel aos dados utilizados no ambiente operacional 12.4.3 Controle de acesso ao cédigo-fonte de programa Controle ‘Convem que 0 acesso ao cédigo-fonte de programa seja restrito. Diretrizes para implementago Convém que 0 acesso a0 cédigo-fonte de programa e de itens associados (como desenhos, especificagées, pianos de verificacao e de validagao) seja estritamente controlado, com a finalidade de prevenir a introducao de funcionalidade nao autorizada e para evitar mudangas nao intencionais. Para os cédigos-fonte de programas, este controle pode ser obtido com a guarda centralizada do cédigo, de preferéncia utilizando bibliotecas de programa-fonte, Convém que as seguintes orientagdes sejam consideradas (ver segao 11) para © controle de acesso as bibliotecas de programa-fonte, com a finalidade de reduzir 0 risco de corrupgéo de programas de computador: a) quando possivel, seja evitado manter as bibliotecas de programa-fonte no mesmo ambiente dos sistemas operacionais; b) seja implementado 0 controle do cédigo-fonte de programa @ das bibliotecas de programa-fonte, conforme procedimentos estabelecidos; ©) 0 pessoal de suporte nao tenha acesso irrestrito as bibliotecas de programa-fonte; 4) a atualizagao das biblictecas de programa-fonte ¢ itens associados © a entrega de fontes de programas a programadores seja apenas efetuada apés o recebimento da autorizagao pertinente; €) as listagens dos programas sejam mantidas num ambiente seguro (ver 10.7.4); f)_seja mantido um registro de auditoria de todos os acessos a cédigo-fonte de programa; 92 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 g) a manutengéo e a cépia das bibliotecas de programa-fonte estejam sujeitas a procedimentos estritos de controles de mudangas (ver 12.5.1); Informagées adicionais Os cédigos-fonte de programas so cédigos escritos por programadores, que so compilados (¢ ligados) para criar programas executaveis. Algumas linguagens de programagao nao fazem uma distingao formal entre cédigo-fonte e executavel, pois os executaveis so criados no momento da sua alivagao. ‘As ABNT NBR ISO 10007 e ABNT NBR ISO/IEC 12207 possuem mais informagSes sobre a gestéo de configuragao e proceso de ciclo de vida de software. 12.5 Seguranga em processos de desenvoh jento ¢ de suporte (Objetivo: Manter a seguranga de sistemas aplicativos e da informagao. Convém que os ambientes de projeto e de suporte sejam estritamente controlados. Convém que os gerentes responsaveis pelos sistemas aplicativos sejam também responsdveis pela seguranga dos ambientes de projeto ou de suporte. Convém que eles assegurem que mudangas propostas sejam analisadas criticamente para verificar que néo comprometam a seguranga do sistema ou do ambiente operacional. 12.5.1 Procedimentos para controle de mudangas Controle Convém que a implementago de mudangas seja controlada utlizando procedimentos formals de controle de mudangas. Diretrizes para implementacao Convém que os procedimentos de controle de mudangas sejam documentados e reforgados com a finalidade de minimizar a corrupgao dos sistemas da informagéo. Convém que a introdugo de novos sistemas e mudangas maiores em sistemas existentes sigam um processo formal de documentagao, especificacao, teste, controle da qualidade e gestéo da implementago. Gonvém que o processo inclua uma analise/avaliagéo de riscos, andlise do impacto das mudangas ¢ a especificagao dos controles de seguranga requeridos. Convém que 0 processo garanta que a seguranga e os procedimentos de controle aluais nao sejam comprometides, que os programadores de suporte tenham acesso somente as partes do sistema necessérias para o cumprimento das tarefas e que sejam obtidas concordancia © aprovagao formal para qualquer mudanga obtida. Convém que, quando praticavel, os procedimentos de controle de mudangas sejam integrados (ver 10.1.2) Convém que 0s procedimentos de mudancas incluam: a) amanutengdo de um registro dos niveis acordados de autorizagao; b) a garantia de que as mudangas sejam submetidas por usuarios autorizados; ©) a analise critica dos procedimentos de controle e integridade para assegurar que as mudangas nao os comprometam; d) a identificagdo de todo software, informaco, entidades em bancos de dados e hardware que precisam de emendas; ©) a obtengao de aprovagao formal para propostas detalhadas antes da implementacao; f)_agarantia da aceitagao das mudangas por usuarios autorizados, antes da implementagao; GABNT 2005 - Todos 08 dlitvtes reservados 93ABNT NBR ISO/IEC 17799:2005 9) a garantia da atualizagao da documentago do sistema apés concluséo de cada mudanga e de que a documentagao antiga seja arquivada ou descartada; h)_amanutengao de um controle de verso de todas as atualizagées de softwares; 1) _amanutengo de uma trlha para auditoria de todas as mudangas solicitadas; }) a garantia de que toda a documentagao operacional (ver 10.1.1) e procedimentos dos usuérios sejam alterados conforme necessario e que se mantenham apropriados; k) a garantia de que as mudangas sejam implementadas em hordrios apropriados, sem a perturbacao dos processos de negécios cabiveis. Informacbes adicionais ‘A mudanga de software pode ter impacto no ambiente operacional. As boas praticas incluem o teste de novos softwares em um ambiente segregado dos ambientes de produao @ de desenvolvimento (ver 10.1.4). Isto fornece um meio de controle sobre o novo software @ permite uma prote¢ao adicional a informacao operacional que é utiizada para propésitos de teste. Aplica-se também as corregées, pacotes de servico e outras atualizagées, Convém que atualizagées automaticas no sejam utllizadas em sistemas criticos, pols algumas atualizacées podem causar falhas em aplicagdes criticas (ver 12.6). 12.5.2 Anélise critica técnica das aplicagées apés mudancas no sistema operacional Contrale Convém que aplicagées criticas de negocios sejam analisadas criticamente e testadas quando sistemas operacionais sao mudados, para garantir que nao havera nenhum impacto adverso na operacdo da corganizaco ou na seguranca, Diretrizes para implementacao ‘Convem que © proceso compreenda: a)_uma analise critica dos procedimentos de controle ¢ integridade dos controles para assegurar que nao foram comprometidos pelas mudancas no sistema operacional, b) a garantia de que o plano anual de suporte e 0 orgamento iréo cobrir as anélises e testes do sistema devido as mudangas no sistema operacional; ©) a garantia de que as mudangas pretendidas sejam comunicadas em tempo habil para permitir os testes e andlises criticas antes da implementacdo das mudancas; d) a garantia de que as mudangas necessarias sejam executadas nos planos de continuidade de negécios (ver segao 14) Convém que seja dada responsabilidade a um grupo especifico ou a um individu para monitoramento das vulnerabilidades e divulgagdo de emendas e corregées dos fornecedores de software (ver 12.6). 94 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 12.5.3 Restrigdes sobre mudancas em pacotes de software Controle Convém que madificagdes em pacotes de software sejam desencorajadas e limitadas as mudancas necessarias, e que todas as mudangas sejam estritamente controladas. Diretrizes para implementacao Quando possivel ¢ praticavel, convém que pacotes de softwares providos pelos fornecedores sejam utilizados sem modificagdes, Quando um pacote de software requer modificacdo, convém que sejam considerados os seguintes itens: a) orisco de que controles e processos de integridade embutidos no software sejam comprometidos; b) a obtengao do consentimento do fornecedor; ©) @ possibilidade de obtengao junto ao fornecedor das mudangas necessarias como atualizagao padrao do programa; d) © impacto resultante quando a organizagao passa a ser responsavel para a manutengao futura do software como resultado das mudangas. ‘Se mudangas forem necessérias, convém que o software original seja mantido e as mudangas aplicadas numa cépia claramente identificada. Convém que um proceso de gestdo de atualizagdes seja implementado para assegurar a instalagao das mais recentes corregdes e atualizagdes para todos os softwares autorizados (ver 12.8). Convém que todas as mudancas sejam completamente testadas e documentadas para que possam ser reaplicadas, se necessario, em atualizagées futuras do software. Se requerido, convém que as modificagdes sejam testadas e validadas por um grupo de avaliagao independente. 12.5.4 Vazamento de informagées Controle Convem que oportunidades para vazamento de informagdes sejam prevenidas. Diretrizes para implementacao Convém que os seguintes itens sejam considerados, para limitar o risco de vazamento de informagées, por exemplo através do uso e exploragao de covert channels: a) a varredura do envio de midia e comunicagées para verificar a presenga de informagao oculta; b) 0 mascaramento a modulagdo do comportamento dos sistemas ¢ das comunicagées para reduzir a possibilidade de terceiros deduzirem informagées a partir do comportamento dos sistemas: ©) a utllizagao de sistemas e software reconhecides como de alta integridade, por exemplo utlizando Produtos avaliados (ver ISO/IEC 15408); d) 0 monitoramento regular das atividades do pessoal e do sistema, quando permitido pela legislagao ou regulamentagao vigente; e) omonitoramento do uso de recursos de sistemas de computacao. Informacdes adicionais ©s covert channels sdo caminhos nao previstos para conduzir fluxo de informagdes, mas que no entanto podem existir num sistema ou rede. Por exemplo, a manipulagSo de bits no protocolo de pacotes de ‘comunicagao poderia ser utlizada como um método oculto de sinalizagao, Devido sua natureza, seria dificil se nao impossivel, precaver-se contra a existéncia de todos os possiveis covert channels. No entanto, a exploragao destes canais freqientemente é realizada por cédigo troiano (ver 10.4.1). A adogao de medidas de protegao contra cédigo troiano reduz, conseqiientemente, 0 risco de exploragao de covert channels. GABNT 2005 - Todos 08 dlitvtes reservados 95ABNT NBR ISO/IEC 17799:2005 A precaugao contra acesso néo autorizado a rede (ver 11.4), como também politicas e procedimentos para dissuadir 0 mau uso de servigos de informagao pelo pessoal (ver 15.1.5), pode ajudar a proteger contra covert channels. 12.5.5 Desenvolvimento terceirizado de software Controle Convém que a organizacdo supervisione e monitore o desenvolvimento terceirizado de software. Diretrizes para implementagao Convém que sejam considerados os seguintes itens quando do desenvolvimento de software terceirizado: a) acordos de licenciamento, propriedade do cédigo e direitos de propriedade intelectual (ver 15.1.2); b) certficagao da qualidade e exatidao do servigo realizado; ©) _provisées para custédia no caso de falha da terceira parte; d) direitos de acesso para auditorias de qualidade e exatidao do servigo realizado; ) requisites contratuais para a qualidade e funcionalidade da seguranga do cédigo; 1) testes antes da instalagao para detectar a presenga de cédigo malicioso e troiano. 12.6 Gestao de vulnerabilidades técnicas Objetivo: Reduzir riscos resultantes da exploragao de vulnerabilidades técnicas conhecidas. Convém que a implementagao da gesiao de vuinerabilidades técnicas seja implementada de forma efetiva, | sistematica e de forma repetivel com medig6es de confirmagao da efelividade. Convém que estas consideragdes incluam sistemas operacionals e quaisquer outras aplicagbes em uso. 12.6.1 Controle de vulnerabilidades técnicas Controle Convém que seja obtida informagéo em tempo habil sobre vulnerabilidades técnicas dos sistemas de formagao em uso, avaliada a exposig¢ao da organizagéo a estas vulnerabilidades e tomadas as medidas apropriadas para lidar com os riscos associados. Diretrizes para implementacao Um inventario completo e atualizado dos ativos de informagao (ver 7.1) 6 um pré-requisito para uma gestéo efetiva de vuinerabilidade técnica. Informagao especifica para 0 apoio a gestdo de vulnerabilidade técnica inclui o fomecedor de software, 0 nimero de verso, o slalus atual de uso e distribuig40 (por exemplo, que softwares estao instalados e em quais sistemas) e a(s) pessoa(s) na organizagao responsavel(is) pelos softwares. Convém que a ago apropriada seja tomada, no devido tempo, como resposta as potenciais vulnerabllidades técnicas identificadas. Convém que as seguintes diretrizes sejam seguidas para o estabelecimento de um processo de gestdo efelivo de vulnerabilidades técnicas: a) a organizagao defina e estabeleca as funcées e responsabilidades associadas na gestéo de vulnerabilidades técnicas, incluindo 0 monitoramento de vulnerabilidades, a andlise/avaliagao de riscos. de vulnerabilidades, patches, acompanhamento dos ativos e qualquer coordenago de responsabllidades requerida; 96 ©ABNT 2005 - Todos oe dlitotos reservadosb) °) 4) e) 9) h) d ABNT NBR ISO/IEC 17799:2005 08 recursos de informagao a serem usados para a identificar vulnerabilidades técnicas relevantes e para manter a conscientizacao sobre eles sejam identificados para softwares e outras tecnologias (com base na lista de inventario dos ativos, ver 7.1.1); convém que esses recursos de informacao sejam mantidos atvalizados com base nas mudangas no inventario de ativos, ou quando outros recursos novos ou tileis forem encontrados; seja definido um prazo para a reaco a notificagées de potenciais vulnerabilidades técnicas relevantes; uma vez que uma vulnerabilidade técnica potencial tenha sido identificada, convém que a organizagao avalie os riscos associados ¢ as ages a serem tomadas; tals agdes podem requerer o uso de patches nos sistemas vulnerdveis e/ou a aplicagdo de outros controles; dependendo da urgéncia exigida para tratar uma vulnerabilidade técnica, convém que a ago tomada esteja de acordo com os controles relacionados com a gestao de mudancas (ver 12.5.1) ou que sejam ‘seguidos os procedimentos de resposta a incidentes de seguranca da informagao (ver 13.2); se um patch for disponibilizado, convém que sejam avaliados os riscas associados a sua instalagao (convém que os riscos associados a vulnerabilidade sejam comparados com os riscos de instalagao do patch); patches sejam testados @ avaliados antes de serom instaladas para assegurar a efetividade © que nao lragam efeilos que ndo possam ser tolerados; quando no exislir a disponibilidade de um patch, convém considerar 0 uso de outros controles, tais como: 1) a desativagao de servigos ou potencialidades relacionadas a vulnerabilidade; 2) a adaptagao ou agregagao de controles de acesso, por exemple firewalls nas fronteiras da rede (ver 11.4.5); 3) 0 aumento do monitoramento para detectar ou prevenir ataques reais; 4) 0 aumento da conscientizagao sobre a vulnerabilidade; seja mantido um registro de auditoria de todos os procedimentos realizados com a finalidade de assegurar a eficacia © a eficiéncia, convém que seja monitorado © avaliado regularmente o processo de gestao de vulnerabilidades técnicas; convém abordar em primeiro lugar os sistemas com altos riscos. Informagbes adicionais © correto funcionamento do processo de gestéo de vulnerabilidades técnicas 6 critico para muitas organizacées e, portanto, convém que seja monitorado regularmente. Um inventario de ativos preciso & essencial para assegurar que vulnerabilidades potenciais relevantes sejam identificadas. A gestao de vulnerabilidades técnicas pode ser vista como uma subfungao da gestdo de mudangas e, como tal, pode aproveitar os procedimentos e processos da gestdo de mudangas (ver 10.1.2 12.5.1). Os fornecedores estéo sempre sob grande pressdo para liberar patches to logo quanto possivel. Portanto, um patch pode nao abordar o problema adequadamente pode causar efeitos colaterais negativos. Também, em alguns casos, a desinstalagao de um patch pode nao ser facilmente realizavel apés sua instalagao, Quando testes adequados de patch nao forem possiveis, por exemplo, devido a custos ou falta de recursos, um atraso no uso do patch pode ser considerado para avaliar os riscos associados, baseado nas experiéncias, relatadas por outros usuarios. GABNT 2005 - Todos 08 dlitvtes reservados 97ABNT NBR ISO/IEC 17799:2005 13 Gestao de incidentes de seguranga da informagao 13.1 Notificagao de fragilidades e eventos de seguranca da informacao ‘Objetivo: Assegurar que fragilidades © eventos de seguranca da informagao associados com sistemas de informagao sejam comunicados, permitindo a tomada de agao corretiva em tempo habil Convém que sejam estabelecidos procedimentos formais de registro @ escalonamento. Convém que todos os funciondrios, fornecedores e terceiros estejam conscientes sobre os procedimentos para nolificago dos diferentes tipos de eventos ¢ fragilidades que possam ter impactos na seguranga dos ativos da organizagao. Convém que seja requerido que os eventos de seguranca da inormacao ¢ fragilidades sejam notificados, tao logo quanto possivel, ao ponto de contato designado. 13.1.1 Notificagao de eventos de seguranca da informagao Controle Convém que os eventos de seguranca da informagao sejam relatados através dos canais apropriados da diregao, o mais rapidamente possive! Diretrizes para implementacao Convém que um procedimento de notificacao formal seja estabelecido para relatar os eventos de seguranca da informago, junto com um procedimento de resposta a incidente e escalonamento, estabelecendo a ago a ser tomada ao se receber a notificagao de um evento de seguranga da informagao. Convém que um ponto de contato seja estabelecido para receber as notificages dos eventos de seguranca da informagao. Convém que este ponto de contato seja de conhecimento de toda a organizagao e esteja sempre disponivel e em condigdes de assegurar uma resposta adequada e oportuna, Convém que todos 0s funcionarios, fomecedores e terceiros sejam alerlados sobre sua responsabilidade de notificar qualquer evento de seguranca da informacao o mais rapidamente possivel. Convém que eles também estejam cientes do procedimento para notificar os eventos de seguranga da informagao e do ponto de contato designado para este fim. Convém que os procedimentos incluam: a) processos adequados de realimentagdo para assegurar que os eventos de seguranga da informacao relatados sejam notificados dos resultados apés a questo ter sido conduzida e concluida; b) formulario para apoiar a agao de notificar um evento de seguranga da informacao e ajudar as pessoas a lembrar as ages nacessarias para a notificag4o do evento; ¢) © comportamento correto a ser tomado no caso de um evento de seguranga da informago, como, por cexemplo: 1) anotar todos os detalhes importantes imediatamente (por exemplo, tipo de ndo-conformidade ou violag4o, mau funcionamento, mensagens na tela, comportamento estranho); 2) nao tomar nenhuma ago prépria, mas informar imediatamente o evento ao ponto de contato; d) referéncia para um processo disciplinar formal estabelecido para lidar com funcionarios, fornecedores ou terceiros que cometam violagbes de seguranga da informacao. Em ambientes de alto risco, podem ser forecidos alarmes de coagao* através do qual a pessoa que esta sendo coagida possa sinalizar o que esta ocorrendo. Convém que os procedimentos para responder a alarmes de coagdo reflitam 0 alto risco que a situacao exige 4 Atarme de coagao & um método usado para incicar, de forma secret, que uma ago esta acontecendo sab coago. 98 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 Informagses adicionais Exemplos de eventos e incidentes de seguranga da informagao sao: a) _perda de servico, equipamento ou recursos; b) mau funcionamento ou sobrecarga de sistema; ©) erros humanos; d) ndo-conformidade com politicas ou diretrizes; e) violagdes de procedimentos de seguranga fisica; f) mudangas descontroladas de sistemas; g) mau funcionamento de software ou hardware; h)_ violagao de acesso. Considerando os cuidados com os aspectos de confidencialidade, os incidentes de seguranga da informago podem ser utllizados em treinamento de conscientizacdo (ver 8.2.2) como exemplos do que poderia ocorrer, como responder a tais incidentes e como evité-los futuramente. Para ser capaz de destinar os eventos incidentes de seguranga da informagéo adequadamente, pode ser necessario coletar evidéncias téo logo quanto possivel depois da ocorréncia (ver 13.2.3). Um mau funcionamento ou outras anomalias de comportamento de sistemas podem ser um indicador de um ataque de seguranga ou violagéo de seguranga e, portanto, convém que sempre sejam notificados como um evento de seguranga da informagao. Mais informag6es sobre notificago de eventos de seguranga da informagdo e gestao de incidentes de seguranga da informagao podem ser encontradas na ISO/IEC TR 18044. 13.1.2 Notificando fragilidades de seguranga da informacao Controle Convem que 0s funcionarios, fornecedores e terceiros de sistemas e servigos de informagao sejam instruidos a registrar e notificar qualquer observagSo ou suspelta de fragllidade em sistemas ou servigos. Diretrizes para implementacdo Convém que os funcionarios, fornecedores e terceiros notifiquem esse assunto o mais rapido possivel para sua diregao ou diretamente ao seu provedor de servigos, de forma a prevenir incidentes de seguranca da Informagéio. Convém que o mecanismo de notificacdo seja facil, acessivel e disponivel sempre que possivel. Convém que os usuarios sejam informados que nao podem, sob nenhuma circunstancia, tentar averiguar fragilidade suspeita, Informagées adicionais Convém que os funcionérios, fomecedores e terceiros sejam alertados para nao tentarem averiguar uma fragilidade de seguranga da informagdo suspeita. Testar fragilidades pode ser interpretado como um uso impréprio potencial do sistema e também pode causar danos ao sistema ou servigo de informagao, resultando ‘em responsabilidade legal ao individuo que efetuar o teste, GABNT 2005 - Todos 08 dlitvtes reservados 99ABNT NBR ISO/IEC 17799:2005 13.2 Gestdo de incidentes de seguranca da informagao e melhorias ‘Objetivo: Assegurar que um enfoque consistente 6 efelivo seja aplicado A gestéo de Incidentes de seguranga | da informagao | [ | Convém que responsabilidades € procedimentos estejam definidos para o manuseio efetivo de eventos de seguranga da informacdo e fragiidades, uma vez que estes tenham sido notificados. Convém que um processo de melhoria continua seja aplicado as respostas, monitoramento, avaliagao e gestao total de incidentes de seguranga da informagao, Convém que onde evidéncias sejam exigidas, estas sejam coletadas para assegurar a conformidade com as exigéncias legais. 13.2.1 Responsal idades @ procedimentos Contrale Convém que responsabilidades e procedimentos de gestéo sejam estabelecidos para assegurar respostas rapidas, ofetivas @ ordenadas a incidentes de seguranca da informacao. Diretrizes para implementac&o Convem que, adicionalmente a notificagao de eventos de seguranca da informagdo e fragilidades (ver 13.1), 0 monitoramento de sistemas, alertas ¢ vulnerabilidades (10.10.2) seja utilizado para a detecgao de incidentes de seguranga da informac&o. Convém que as seguintes diretrizes para procedimentos de gestao de incidentes de seguranga da informagao sejam consideradas: a) procedimentos sejam estabelecidos para manusear diferentes tipos de incidentes de seguranga da informagdo, incluindo: 1) falhas de sistemas de informagbes e perda de servigos: 2) cédigo malicioso (ver 10.4.1); 3) denial of service (negagao de servigo); 4) erros resultantes de dados incompletos ou inconsistentes; 5) violages de confidencialidade e integridade, 6) uso impréprio de sistemas de informacao; b)_além dos planos de contingéncia (ver 14.1.3), convém que os procedimentos também considerem (ver 13.2.2) 1) andlise e identificagao da causa do incidente; 2) retengao; 3) planejamento e implementagao de agao corretiva para prevenir a sua repetigao, se necessétio, 4) comunicagao com aqueles afetados ou envolvidos com a recuperagao do incidente; 5) notificagao da ago para a autoridade apropriada; 100 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 ©) _convém que thas de auditoria e evidéncias similares sejam coletadas (ver 13.2.3) e protegidas, como apropriado, para: 1) anélise de problemas internos; 2) uso como evidéncia forense para o caso de uma potencial violagao de contrato ou de normas reguladoras ou em caso de delitos civis ou criminais, por exemplo relacionados ao uso improprio de computadores ou legislagao de protegao dos dados; 3) negociagao para compensagao ou ressarcimento por parte de fornecedores de software @ servicos;, d) convém que as agdes para recuperagao de violagdes de seguranga e corregao de falhas do sistema ‘sojam cuidadosa ¢ formaimente controladas; convém que os procedimentos assegurem que: 1) apenas funcionérios explicitamente identificados e autorizados estejam liberados para acessar sistemas e dados em produgao (ver 6.2 para acesso extemo); 2) todas as agdes de emergéncia sejam documentadas em detalhe; 3) as agdes de emergéncia sejam relatadas para a diregao e analisadas criticamente de maneira ordenada; 4) alintegridade dos sistemas do negécio e seus controles sejam validados na maior brevidade. Convém que os objetivos da gestéo de incidentes de seguranga da informago estejam em concordancia com a direcdo e que seja assegurado que os responsaveis pela gestdo de incidentes de seguranca da informagao entendem as prioridades da organizaco no manuseio de incidentes de seguranga da informagao. Informagées adicionais Os incidentes de seguranga da informagao podem transcender fronteiras organizacionais e nacionais. Para responder a estes incidentes, cada vez mais ha a necessidade de resposta coordenada e troca de informagées sobre eles com organizagdes externas, quando apropriado, 13.2.2 Aprendendo com os incidentes de seguranga da informacao Controle Convém que sejam estabelecidos mecanismos para permitir que tipos, quantidades e custos dos incidentes de seguranga da informagao sejam quantificados e monitorados. Diretrizes para implementacao Convém que a informagao resultante da andlise de incidentes de seguranca da informagao seja usada para identificar incidentes recorrentes ou de alto impacto. Informacses adicionais A analise de incidentes de seguranga da informagao pode indicar a necessidade de melhorias ou controles adicionais para limitar a freqléncia, danos e custos de ocorréncias futuras ou para ser levada em conta quando for realizado o proceso de andlise critica da politica de seguranga da informagao (ver 5.1.2). GABNT 2005 - Todos 08 dlitvtes reservados 101ABNT NBR ISO/IEC 17799:2005 13.2.3 Coleta de evidéncias Controle Nas casos em que uma ago de acompanhamento contra uma pessoa ou organizagéo, apés um incidente de seguranga da informacao, envolver uma ago legal (civil ou criminal), convém que evidéncias sejam coletadas, armazenadas © apresentadas em conformidade com as normas de armazenamento de evidéncias da jurisdigao(6es) pertinente(s). Diretrizes para implementacao Convém que procedimentos internos sejam elaborados e respeitados para as atividades de coleta e apresentagdo de evidéncias com o propésito de ago disciplinar mavida em uma organizagao. Em geral, as normas para evidéncias abrangem: a) admissibilidade da evidéncia: se a evidéncia pode ser ou ndo ulilizada na corte; 'b) importancia da evidéncia: qualidade e inteireza da evidéncia Para obter a admissibilidade da evidéncia, convém que a organizagao assegure que seus sistemas de informago estejam de acordo com qualquer norma ou cédigo de pratica publicado para produgao de evidéncia admissivel. Convém que 0 valor da evidéncia esteja de acordo com algum requisito aplicavel. Para obter o valor da evidéncia, convém que a qualidade e a inteireza dos controles usados para proteger as evidéncias de forma correta @ consistente (ou seja, 0 processo de controle de evidéncias) durante todo o periodo de armazenamento e processamento da evidéncia sejam demonstradas por uma trilha forte de evidéncia, Em geral, essa trlha forte de evidéncia pode ser estabelecida sob as seguintes condigdes: a) para documentos em papel: 0 original é mantido de forma segura, com um registro da pessoa que o encontrou, do local e data em que foi encontrado e quem testemunhou a descoberta; convém que qualquer investigagao assegure que os originais nao foram adulterados; b) para informacao em midia eletrénica: convém que imagens espelho ou cépias (dependendo de requisites aplicaveis) de quaisquer midias removiveis, discos rigidos ou em memérias sejam providenciadas para assegurar disponibilidade; convém que o registro de todas as agdes tomadas durante 0 processo de cépia seja guardado e que o processo seja teslemunhado; convém que a midia original que contém a informagao e o registro (ou, caso isso nao seja possivel, pelo menos uma imagem ‘espelho ou cépia) seja mantido de forma segura @ intocavel Convém que qualquer trabalho forense seja somente realizado em cépias do material de evidéncia Convém que a integridade de todo material de evidéncia seja preservada. Convém que o proceso de cépia de todo material de evidéncia seja supervisionado por pessoas confiéveis e que as informagdes sobre a data, local, pessoas, ferramentas e programas envolvidos no processo de cépia sejam registradas. Informages adicionais ‘Quando um evento de seguranca da informagao 6 detectado, pode néo ser ébvio que ele resultaré num Possivel processo juridico. Entretanto, existe o perigo de que a evidéncia seja destruida intencional ou acidentalmente antes que seja percebida a seriedade do incidente. & conveniente envolver um advogado ou a Policia tao logo seja constatada a possibilidade de processo juridico e obter consultoria sobre as evidéncias necessérias As evidénclas podem ultrapassar limites organizacionals e/ou de jurisdig6es. Nesses casos, convém assegurar que a organizago seja devidamente autorizada para coletar as informagdes requeridas como evidéncias, Convem que os requisitos de diferentes jurisdigées sejam também considerados para maximizar as possibilidades de admissao da evidéncia em todas as jurisdigdes relevantes. 102 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 14 Gestao da continuidade do negécio 14.1 Aspectos da gestio da continuidade do negécio, relativos 4 seguranga da informagao Objetivo: Nao permilir a interrupgao das atividades do negécio e proteger os processos criticos contra efeilos de falhas ou desastres significativos, e assegurar a sua retomada em tempo habil, se for 0 caso. Convém que 0 processo de gestao da continuidade do negécio seja implementado para minimizar um impacto sobre a organizagdo e recuperar perdas de ativos da informagéo (que pode ser resultante de, por exemplo, desastres naturais, acidentes, falhas de equipamentos © agbes intencionais) a um nivel aceitavel através da Combinagao de agdes de prevengdo @ recuperagao, Convém que este processo identifique 0s processos criticos e integre a gestéo da seguranca da informag3o com as exigéncias da gestéo da conlinuidade do negécio com outros requisitos de continuidade relativo a tais aspectos como operacées, funciondirios, materiais, transporte e instalagbes, Convém que as conseqliéncias de desastres, falhas de seguranga, perda de servigos e disponibilidade de servigos estejam sujeitas a uma analise de impacto nos negécios. Convém que os planos de continuidade do negécio sejam desenvolvidos @ implementados para assegurar que as operagdes essenciais sejam recuperadas dentro da requerida escala de tempo. Convém que a seguranga da informagao seja uma parle integrante do processo global de continuidade de negdcios e a gestéo de outros processos dentro da corganizacdo. Convém que a gestéo da continuidade do negécio inclua controles para identificar e reduzir riscos, em complementagao ao proceso de analise/avaliagao de riscos global, limite as conseqUéncias aos danos do incidente e garanta que as informagdes requeridas para os processos do negécio estejam prontamente disponiveis. 14.1.1 Incluindo seguranga da informagao no processo de gestao da continuidade de negécio Controle Convém que um processo de gestéo seja desenvolvido e mantido para assegurar a continuidade do negécio por toda a organizagdo e que contemple os requisitos de seguranga da informagao necessarios para a continuidade do negécio da organizacao. Diretrizes para implementacdo Convém que este processo agregue 0s seguintes elementos-chave da gestéo da continuidade do negécio: a) _entendimento dos riscos a que a organizagao esta exoosta, no que diz respeito a sua probabilidade e impacto no tempo, incluindo a identificagao © priorizagéio dos processos criticos do negécio (ver 14.1.2); b)_identificagdo de todos os ativos envolvidos em processos criticos de negécio (ver 7.1.1); ©) entendimento do impacto que incidentes de seguranga da informagao provavelmente terdo sobre os negécios (6 importante que as solugdes encontradas possam tratar tanto os pequenos incidentes, como os mais séfios, que poderiam colocar em risco a continuidade da organizagéo) & estabelecimento dos objetivos do negocio dos recursos de processamento da informagao; d) consideragao de contratagao de seguro compativel que possa ser parte integrante do proceso de continuidade do negécio, bem como a parte de gesto de risco operacional; e) identificagdo e consideragao da implementagao de controles preventivos e de mitigag&o; )identificagao de recursos financeiros, organizacionais, técnicos e ambientais suficientes para identificar 98 requisitos de seguranga da informagao; GABNT 2005 - Todos 08 dlitvtes reservados 103ABNT NBR ISO/IEC 17799:2005 9) garantia da seguranga de pessoal e protegdo de recursos de processamento das informagées e bens organizacionais; h) detalhamento e documentacao de planos de continuidade de negécio que contemplem os requisitos de seguranga da informagao alinhados com a estratégia da continuidade do negécio estabelecida (ver 14.1.3); i) testes © atualizagdes regulares dos planos processos impiantados (ver 14.1.5); |) garantia de que a gestao da continuidade do negécio esteja incorporada aos processos e estrutura da organizacao. Convém que a responsabilidade pela coordenagéo do proceso de gestdo de continuidade de negécios seja atribuida a um nivel adequado dentro da organizagao (ver 6.1.1) 14.1.2 Continuidade de negécios e analise/avaliagao de riscos Controle Convém identificar os eventos que podem causar interrupgdes aos processos de negécio, junto a probabilidade e impacto de tas interrupg6es e as conseqliéncias para a seguranca de informacao. Diretrizes para implementago Convém que os aspectos da continuidade do negécios relativos & seguranga da informagao sejam baseados nna identificagéo de eventos (ou sucesstio de eventos) que possam causar interrupgdes aos processos de negocios das organizagées, por exemplo, falha de equipamento, erros humanos, furto ou roubo, incéndio, desastres naturais e atos terroristas. Em seguida, convém que seja feita uma analise/avaliagao de riscos para a determinacao da probabilidade e impacto de tais interrupgées, tanto em termos de escala de dano quanto em relagao ao periodo de recuperagao. Convém que as andlses/avaliagses de riscos da continidade do negécio sejam realizadas com total envolvimento dos responsaveis pelos processos o recursos do negécio. Convém que a andlselavalaggo considere todos os processos do negécio © néo esleja limilada aos recursos. de processamento das informag6es, mas inclua os resultados especiicos da seguranga da informago. E importante a jungdo de aspectos de riscos diferentes, para obter um quadro completo dos requisites de continuidade de negécios da organizagdo. Convém que a andlselavaliag&o identiique, quantiique e priorize os crtéios baseados nos riscos e os objetivos pertinentes a organiza¢do, incluindo recursos criticos, impactos de interrupgao, possiblidade de auséncia de tempo e prioridades de recuperagao. Em fungo dos resultados da andlise/avaliagao de riscos, convém que um plano estratégico seja desenvalvido para se determinar a abordagem mais abrangente a ser adotada para a continuidade dos negécios, Uma vez criada a estratégia, convém que ela soja validada pela direcao © que um plano seja elaborado & validado para implementar tal estratégia. 14.1.3 Desenvolvimento e implementagao de planos de conti iformagao jidade relativos a seguranga da Controle Convém que os planos sejam desenvolvides e implementados para a manutengSo ou recuperacdo das operacdes @ para assegurar a disponibilidade da informacao no nivel requerido e na escala de tempo requerida, apés a ocorréncia de interrupgées ou falhas dos processes criticos do negécio, Di para implementagdo Convém que o processo de planejamento da continuidade de negécios considere os seguintes itens: a) identificagao e concordancia de todas as responsabilidades e procedimentos da continuidade do negocio; 104 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 b)_identificagao da perda aceitavel de informagies e servigos; ©) implementagao dos procedimentos que permitam a recuperagao e restauragao das operagdes do negécio e da disponibilidade da informagao nos prazos necessérios; atengdo especial precisa ser dada a avaliagao de dependéncias externas ao negocio e de contratos existentes; @) procedimentos operacionais que permitam a conciusao de restauragao e recuperagao que estejam pendentes; e) documentagao dos processos e procedimentos acordados; f) educagao adequada de pessoas nos procedimentos e processos definidos, incluindo o gerenciamento de crise; 9) teste © atualizagao dos planos. Convém que 0 processo de planejamento foque os objetivos requerides do negécio, por exemplo recuperagao de determinados servicos especfficos para os clientes, em um periado de tempo aceitavel. Convém identificar 08 servigos e recursos que facilitam isso, prevendo a contemplagao de pessoal e recursos em geral, além da tecnologia de informago, assim como 0 procedimento de recuperacao dos recursos de processamento das informagées. Tais procedimentos de recuperagéo podem incluir procedimentos com terceiros na forma de um acordo de reciprocidade, ou um contrato de prestacao de servigos. Convém que o plano de continuidade do negécio trate as vulnerabilidades da organizagao, que pode conter informages sensivels ¢ que necessitem de protecéo adequada. Convém que cépias do plano de continuidade do negécio sejam guardadas em um ambiente remoto, a uma distdncia suficiente para escapar de qualquer dano de um desastre no local principal. Convém que 0 gestor garanta que as cépias dos planos de continuidade do negécio estejam atualizadas e protegidas no mesmo nivel de seguranca como aplicado no ambiente principal. Convém que outros materiais necessdrios para a execupdo do plano de continuidade do negécio também sejam armazenados em local remoto, Convém que, se os ambientes alternativos temporarios forem usados, o nivel de controles de seguranga implementados nestes locals seja equivalente ao ambiente principal Informagées adicionais Convém que seja destacado que as atividades e os planos de gerenciamento de crise (ver 14.1.3 f)) possam ser diferentes de gestao de continuidade de negécios, isto &, uma crise pode acontecer e ser suprida através dos procedimentos normais de gestao. 14.1.4 Estrutura do plano de continuldade do negéclo Convém que uma estrutura basica dos planos de continuidade do negécio seja mantida para assegurar que todos os planos so consistentes, para contemplar os requisitos de seguranca da informagao e para identificar prioridades para lestes e manutengao. Diretrizes para implementacdo Gonvém que cada plano de continuidade do negécio descreva 0 enfoque para continuidade, por exemplo, 0 enfoque para assegurar a disponibilidade e seguranga do sistema de informago ou da informagao. Convém que cada plano também especifique o plano de escalonamento e as condig6es para sua ativagdo, assim como as responsabilidades individuais para execugdo de cada uma das atividades do plano. Quando novos requisites so identificados, é importante que os procedimentos de emergéncia relacionados sejam ajustados de forma apropriada, por exemplo o plano de abandono ou 0 procedimento de recuperagao. Convém que os procedimentos do programa de gestéo de mudanga da organizacao sejam incluidos para assegurar que os assuntos de continuidade de negécios estejam sempre direcionados adequadamente. GABNT 2005 - Todos 08 dlitvtes reservados 105ABNT NBR ISO/IEC 17799:2005 Convém que cada plano tenha um gestor especifico. Convém que procedimentos de emergéncia, de recuperagao, manual de planejamento e planos de reativagao sejam de responsabilidade dos gestores dos recursos de negécios ou dos processos envolvides. Convém que procedimentos de recuperago para servicos técnicos alternativos, como processamento de informagao @ meios de comunicagao, sejam normalmente de responsabilidade dos provedores de servicos. Convém que uma estrutura de planejamento para continuidade de negécios contemple os requisitos de seguranga da informagao identificados e considere os seguintes itens: a) condigdes para ativagao dos pianos, os quais descrevem os processos a serem seguidos (como se avaliar a situagao, quem deve ser acionado etc.) antes de cada plano ser ativado; b) procedimentos de emergéncia que descrevam as aces a serem tomadas apés a ocorréncia de um incidente que coloque em risco as operacdes do negécio; ©) procedimentos de recuperagdo que descrevam as agdes necessérias para a transferéncia das atividades essenciais do negécio ou os servigos de infra-estrutura para localidades alterativas temporarias e para a reativagao dos processos do negécio no prazo necessari ) procedimentos operacionais tempordrios para seguir durante a conclusdo de recuperagao e restauracao; e) procedimentos de recuperagéo que descrevam as agées a serem adotadas quando do restabelecimento das operacées; f) uma programagao de manutengao que especifique quando e como o plano deverd ser testado © a forma de se proceder a manutengao deste plano; 9) atividades de treinamento, conscientizagdo e educagdo com o propésito de criar 0 entendimento do proceso de continuidade de negécios e de assegurar que os processos continuem a ser efetivo; h) designagao das responsabilidades individuais, descrevendo quem é responsavel pela execugao de que item do plano. Convém que suplentes sejam definidos quando necessario; 08 ativos e recursos criticos precisam estar aptos a desempenhar os procedimentos de emergéncia, recuperagao e reativagao. 14.1.5 Testes, manutengao e reavaliagao dos planos de continuidade do negécio Controle Convém que os planos de continuidade do negécio sejam testados e atualizados regularmente, de forma a assegurar sua permanente atualizagao e efetividade. Diretrizes para implementagao Convém que os testes do plano de continuidade do negécio assegurem que todos os membros da equipe de recuperagao e outras pessoas relevantes estejam conscientes dos planos e de suas responsabilidades para a continuidade do negécio e a seguranca da informacdo, e conhecam as suas atividades quando um plano for acionado. Convém que o planejamento e a programacao dos testes do(s) plano(s) de continuidade de negécios indiquem como @ quando cada elemento do plano seja testado. Convém que os componentes isolados do(s) plano(s) sejam freqdentemente testados. 106 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 Convém que varias técnicas sejam utiizadas, de modo a assegurar a confianga de que o(s) plano(s) ira(ao) operar consistentemente em casos reais. Convém que sejam considerados: a) b) °) 4) ) testes de mesa simulando diferentes cenarios (verbalizando os procedimentos de recuperagao para diferentes formas de interrup¢ao); simulagdes (particularmente uit! para o treinamento do pessoal nas suas atividades gerenciais apés 0 incidente); testes de recuperacao técnica (garantindo que os sistemas de informacao possam ser efetivamente recuperados); testes de recuperagao em um local altemativo (executando os processos de negocios em paralelo com a recuperacao das operagées distantes do local principal}; testes dos recursos, servigos e instalagdes de fornecedores (assegurando que os servigos e produtos Tornecidos por terceiros atendem aos requisitos contratados); ensaio geral (testando se a organizagao, 0 pessoal, 0s equipamentos, os recursos © 0s processos podem enfrentar interrupcdes). Estas técnicas podem ser utilizadas por qualquer organizagdo. Convém que elas reflitam a natureza do plano de recuperagao especifico. Convém que os resultados dos testes sejam registrados e ages tomadas para a melhoria dos planos, onde necessario. Convém que a responsabilidade pelas andlises crticas periédicas de cada parte do plano seja definida & estabelecida. Convém que a identificagéio de mudancas nas atividades do negécio que ainda nao tenham sido contempladas nos planos de continuidade de negécio seja seguida por uma apropriada atualizacao do plano. Convém que um controle formal de mudancas assegure que 0s planos atualizados sao distribuidos & reforgados por andlises criticas peri6dicas do piano como um todo. Os exemplos de mudangas onde convém que a atualizagao dos planos de continuidade do negécio seja considerada so a aquisigéio de novos equipamentos, atualizacdo de sistemas e mudangas de: a) ») c) d) ) f) 9) h) pessoal; enderegos ou numeros telefénicos; estratégia de negécio; localizagao, instalagdes e recursos; legislagao; prestadores de servigos, fornecedores e clientes-chave; processos (inclusées © exclusdes); risco (operacional e financeiro) GABNT 2005 - Todos 08 dlitvtes reservados 107ABNT NBR ISO/IEC 17799:2005 15 Conformidade 15.1 Conformidade com requisitos legais ‘Objetivo: Evitar violagSes de quaisquer obrigagées legais, estatulérias, regulamentares ou contratuais, e de quaisquer requisitos de seguranga da informagao. © projeto, a operacao, 0 uso © a gosto de sistemas de informacao podem estar sujeitos a requisites de seguranga contratuais, regulamentares ou estatutérios. Convém que consultoria em requisites legais especificos seja procurada em organizacées de consultoria juridica ou em profissionais liberais, adequadamente qualificados nos aspectos legais. Os requisitos legislativos variam de pais para pais e também para a informago criada em um pais e transmitida para outro {isto 6, fluxo de dados transfronteira). 15.1.1 Identificagao da legislagao aplicavel Controle Convém que todos os requisitos estatutarios, regulamentares © contratuais pertinentes, e 0 enfoque da organizagao para atender a esses requisites, sejam explcitamente definides, documentados e mantidos atualizados para cada sistema de informagao da organizagao Diretrizes para implementacéo Convém que os controles especificos e as responsabilidades individuais para atender a estes requisitos sejam definidos e documentados de forma similar. 18.1.2 Direitos de propriedade intelectual Controle ‘Convém que procedimentos apropriados sejam implementados para garantir a conformidade com os requisitos legislativos, regulamentares e contratuais no uso de material, em relacdo aos quais pode haver direitos de propriedade intelectual e sobre o uso de produtos de software proprietarios. Diretrizes para implementagao Convém que as seguintes diretrizes sejam consideradas para proteger qualquer material que possa ser considerado como propriedade intelectual: a) divulgar uma politica de conformidade com os direitos de propriedade intelectual que defina o uso legal de produtos de sofware e de informagao; b) _adquirir software somente por meio de fontes conhecidas e de reputacdo, para assegurar que o direito autoral ndo esta sendo violado; ©) manter conscientizacao das politicas para proteger os direitos de propriedade intelectual ¢ notificar a intengao de tomar agdes disciplinares contra pessoas que violarem essas politicas; d)_manter de forma adequada os registros de ativos e identificar todos os ativos com requisitos para proteger os direitos de propriedade intelectual; fe) _manter provas e evidéncias da propriedade de licengas, discos-mestre, manuais etc. 4) implementar controles para assegurar que 0 niimero maximo de usuarios permitidos nao excede 0 numero de licengas adquiridas; 9) conduzir verificagées para que somente produtos de software autorizados e licenciados sejam instalados; 108 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 h)_ estabelecer uma politica para a manutengao das condigdes adequadas de licengas; i) estabelecer uma politica para disposigao ou transferéncia de software para outros; i) utilizar ferramentas de auditoria apropriadas; k)__cumprir termos e condigées para software e informagao obtidos a partir de redes pilblicas; |) no duplicar, converter para outro formato ou extrair de regisiros comerciais (filme, audio) outros que do os permitidos pela lei de direito autoral; m) no copiar, no todo ou em partes, livros, artigos, relatérios ou outros documentos, além daqueles permitidos pela lei de direito autoral Informagses adicionais Direitos de propriedade intelectual incluem direitos de software ou documento, direitos de projeto, marcas, Patentes e licengas de cédigos-fonte. Produtos de software proprietérios s80 normalmente fomecidos sob um contrato de licenciamento que especifica os termos e condigées da licenga, por exemplo, restringe 0 uso dos produtos em maquinas especificadas ou limita a copia apenas para criagao de uma cépia de seguranga. A questao relativa aos direitos de propriedade intelectual de software desenvolvido pela organizacao precisa ser esclarecida com as pessoas. Legisiagdo, regulamentagao e requisitos contratuais podem estabelecer restrigdes para cdpia de material que tenha direitos autorais. Em particular, pode ser requerido que somente material que seja desenvolvido pela organizaco ou que foi licenciado ou fornecido pelos desenvolvedores para a organizagdo seja utlizado. Vioiagdes aos direitos de propriedade intelectual podem conduzir a agdes legais, que podem envolver processos criminais. 15.1.3 Protecdo de registros organizacionais Controle Convém que registros importantes sejam protegidos contra perda, destruigao e falsificagao, de acordo com os, requisites regulamentares, estatutérios, contratuais e do negécio. Diretrizes para implementaco Convém que registros sejam categorizados em tipos de registros, tais como registros contabeis, registros de base de dados, registros de transagées, registros de auditoria e procedimentos operacionais, cada qual com detalhes do periodo de retengao e do tipo de midia de armazenamento, como, por exemplo, papel, microficha, meio magnético ou ético. Convém que quaisquer chaves de criptografia relacionadas com arquivos cifrados ou assinaturas digitals (ver 12.3) sejam também armazenadas para permitir a decifracdo de registros pelo periodo de tempo que os registros s8o mantidos. Convém que cuidados sejam tomados a respeito da possibilidade de deteriorago das midias usadas no armazenamento dos registros. Convém que os procedimentos de armazenamento e manuseio sejam implementados de acordo com as recomendagées dos fabricantes. Convém que, para o armazenamento de longo tempo, o uso de papel e microficha seja considerado. Onde midias elelrénicas armazenadas forem escolhidas, convém que sejam incluidos procedimentos para assegurar a capacidade de acesso aos dados (leitura tanto na midia como no formato utllizado) durante © eriodo de retenedo, para proteger contra perdas ocasionadas pelas futuras mudangas na tecnologia. Convém que sistemas de armazenamento de dados sejam escolhidos de modo que 0 dado solicitado possa ser recuperado de forma aceitdvel, dependendo dos requisites a serem atendidos. GABNT 2005 - Todos 08 dlitvtes reservados 109ABNT NBR ISO/IEC 17799:2005 Convém que o sistema de armazenamento e manuseio assegure a clara identificagao dos registros e dos seus periodos de retengao, conforme definido pela legislagao nacional ou regional ou por regulamentagées, se aplicével. Convém que seja permitida a destruiggo apropriada dos registros apés esse perfodo, caso ndo Sojam mais necessérios & organizagao. Para atender aos objetivos de protegao dos registros, convém que os seguintes passos sejam tomados dentro da organizagao: a) emitir diretrizes gerais para retencdo, armazenamento, tratamento @ disposi¢go de registros e informagoes; b) _elaborar uma programagao para retengdo, identificando os registros essenciais e 0 periodo que cada um deve ser mantido; )_manter um inventério das fontes de informagées-chave; d)_implementar controles apropriados para proteger regi falsificagao. s e informagées contra perda, destruigao & Informagées adicionais Alguns registros podem precisar ser retidos de forma segura para atender a requisites estatutérios, contratuais ou regulamentares, assim como para apoiar as alividades essenciais do negécio. Exemplo disso sdo os registros que podem ser exigidos como evidéncia de que uma organizagao opera de acordo com as regras estatutarias e regulamentares, para assegurar a defesa adequada contra potenciais processos civis ou criminais ou confirmar a situagao financeira de uma organizacao perante os acionistas, partes externas e auditores. O perlodo de tempo e 0 contetido da informagao retida podem estar definidos através de le's ou regulamentag6es nacionais. Outrasinformages sobre como gerenciar os registros organizacionais, podem ser encontradas na ISO 15489-1 15.1.4 Protegdo de dados e privacidade de informagées pessoais Controle Convem que a privacidade © a protegao de dados sejam asseguradas conforme exigido nas legislagées, regulamentagdes e, se aplicavel, nas clausulas contratuais pertinentes. Diretrizes para implementagao Convém que uma politica de privacidade e protecéo de dados da organizagao seja desenvolvida e implementada. Convém que esta politica seja comunicada a todas as pessoas envolvidas no processamento de informagdes pessoais. A conformidade com esta politica e todas as legislagdes e regulamentagdes relevantes de protegao de dados necessita de uma estrutura de gestao e de controles apropriados. Geralmente isto 6 melhor alcangado através de uma pessoa responsavel, como, por exemplo, um gestor de protegdo de dados, cue deve fornecer orientagbes gerais para gorenies, usuarios © provedores de servico sobre as responsabllidades de cada um @ sobre quais procedimentos especiticos recomenda-se seguir. Convém que a responsabilidade pelo tratamento das informag6es pessoais e a garantia da conscientizagao dos principios de protecao dos dados sejam tratadas de acordo com as legislacdes © regulamentagdes relevantes. Convém que medidas organizacionais © técnicas apropriadas para proteger as informacdes pessoais sejam implementadas. Informacbes adicionais Aiguns paises tém promulgado leis que estabelecem controles na coleta, no processamenio @ na transmissao de dados pessoais (geralmente informacao sobre individuos vivos que podem ser identificados a partir de tais informagées). Dependendo da respectiva legislacdo nacional, tals controles podem impor responsabllidades sobre aqueles que coletam, processam e disseminam informacao pessoal, e podem restringir a capacidade de transferéncia desses dados para outros paises. 110 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 15.1.5 Prevengao de mau uso de recursos de processamento da informagao Controle Convém que os usuarios sejam dissuadidos de usar os recursos de processamento da informagao para propésitos nao autorizados, Diretrizes para implementacao Convém que a ciregao aprove 0 uso de recursos de processamento da informagao. Convém que qualquer uso destes recursos para propésitos nao relacionados ao negécio ou nao autorizados, sem a aprovagdo da diregao (ver 6.1.4), ou para quaisquer propésites nao autorizados, seja considerado como uso improprio desses recursos. Se qualquer atividade nao autorizada for identificada por processo de monitoragao ou outros meios, convém que esta atividade seja levacia ao conhecimento do gestor responsdve! para que sejam aplicadas as ages disciplinares e/ou legais pertinentes. Convém que se busque uma assessoria legal antes da implementagao dos procedimentos de monitoracdo. Convém que todos os usuarios estejam conscientes do escopo preciso de suas permissées de acesso e da monitoragao realizada para detectar 0 uso ndo autorizado. Isto pode ser alcangado pelo registro das autorizagdes dos usuarios por escrito, convém que a cépia soja assinada pelo usuario © armazenada de forma segura pela organizacéo, Convém que os funcionarios de uma organizacdo, fornecedores e terceiros sejam informados de que nenhum acesso é permitido com excegao daqueles que foram autorizados. No momento da conexao inicial, convém que seja apresentada uma mensagem de adverténcia para indicar que 0 recurso de processamento da informagao que esté sendo usado é de propriedade da organizacao e que Zo so permitidos acessos nao autorizados. O usuario tem que confirmar e reagir adequadamente & mensagem na tela para continuar com o processo de conexado (ver 11.5.1) Informagses adicionais Os recursos de processamento da informagao de uma organizagao so destinados basica ou exclusivamente Para atender aos propésitos do negécio. Ferramentas do tipo deteccao de intrusos, inspegéo de contetido © outras formas de monitoragéo podem ajudar a prevenir ¢ detectar 0 mau uso dos recursos de processamento da informacdo. Muitos paises tém legislago para proteger contra 0 mau uso do computador. Pode ser crime usar um computador para propésitos nao autorizados. A legalidade do processo de monitoragao do uso do computador varia de pais para pais e pode requerer que a direcdo avise a todos os usuarios dessa monitoragdo elou que concordem formalmente com este proceso. Quando o sistema estiver sendo usado para acesso piiblico (por exemplo, um servidor ptiblico web) e sujeito a uma monitoragdo de seguranga, convém que uma mensagem soja exibida na tela informando deste processo. 15.1.6 Regulamentagao de controles de criptografia Controle Convém que controles de criptografia sejam usados em conformidade com todas as leis, acordos & regulamentagées pertinentes. Diretrizes para implementacdo Convém que os seguintes itens sejam considerados para conformidade com leis, acordos e regulamentagoes pertinentes: a) restrigSes & importagio elou exportagéo de hardware @ software de computador para execugtio de fungées criptograficas; b)_restrigoes a importagao e/ou exportagao de hardware e software de computador que foi projetado para ler funges criptograficas embutidas; GABNT 2005 - Todos 08 dlitvtes reservados 111ABNT NBR ISO/IEC 17799:2005 ©) restrigdes no uso de criptografia; d)_métodos mandatérios ou discriciondrios de acesso pelas autoridades dos paises a informagao cifrada por hardware au software para fornecer confidencialidade ao contetido. Convém que assessoria juridica seja obtida para garantir a conformidade com as legislag6es e leis nacionais vigentes. Também convém que seja obtida assessoria juridica antes de se transferirem informagGes cifradas ou controles de criptografia para outros paises. 15.2 Conformidade com normas e p¢ técnica icas de seguranga da informagao e conformidade ‘Objetivo: Garantir conformidade dos sistemas com as polllicas © normas organizacionais de seguranga da informacao, Convém que a seguranga dos sistemas de informagao soja analisada criticamente a intervalos regulares. Convém que tais andlises criticas sejam executadas com baso nas politicas de seguranga da informagao apropriadas e que as plalaformas lécnicas e sistemas de informagdo sejam audilados em conformidade com | as normas de seguranca da informagao implementadas pertinentes © com os controles de seguranca | | documentados. | 15.2.1 Conformidade com as politicas e normas de seguranga da informagao Controle Convém que gestores garantam que todos os procedimentos de seguranga da informagao dentro da sua area de responsabilidade estéo sendo executados corretamente para atender conformidade com as normas € politicas de seguranga da informagab. Diretrizes para implementagao Convém que os gestores analisem criticamente, a intervalos regulares, a conformidade do processamento da informagao dentro da sua area de responsabilidade com as politicas de seguranga da informagao, normas ¢ uaisquer outros requisitos de seguranga. ‘Se qualquer nao-conformidade for encontrada como um resultado da analise critica, convém que os gestores: a) determinem as causas da ndo-conformidade; b) avaliem a necessidade de agées para assegurar que a ndo-conformidade no se repita; ©) determinem e implementem agao corretiva apropriada: 4d) anaiisem criticamente a agao corretiva tornada. Convém que os resultados das andlises criticas e das ag6es corretivas realizadas pelos gestores sejam registrados © que esses registros sejam mantidos. Gonvém que os gestores relatem os resultados para as pessoas que esto realizando a andlise critica independente (ver 6.1.8), quando a andlise critica independente for realizada na area de sua responsablidade Informagées adicionais ‘A monitorago operacional de sistemas em uso é apresentada em 10.10. 112 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 18.2.2 Verificagae da conformidade técnica Controle Convém que sistemas de informagao sejam periodicamente verificades em sua conformidade com as normas de seguranga da informagao implementadas. Diretrizes para implementacdo Convém que a verificagdo de conformidade técnica soja executada manuaimente (auxiliada por ferramentas de software apropriadas, se necessario) por um engenheiro de sistemas experiente, e/ou com a assisténcia de ferramentas automatizadas que gerem relatorio técnico para interpretagao subseqiiente por um técnico especialista. Se 0 teste de invasdo ou avaliagdes de vulnerabllidades forem usados, convém que sejam tomadas precauges, uma vez que tais atividades podem conduzir a um comprometimento da seguranca do sistema. Convém que tais testes sejam planejados, documentados e repetidos. Convém que qualquer verificagao de conformidade técnica somente seja executada por pessoas autorizadas @ competentes, ou sob a supervisao de tais pessoas. Informagoes adicionais ‘A verificacao da conformidade técnica envolve a analise dos sistemas operacionais para garantir que controles de hardware e software foram corretamente implementados. Este lipo de verificagéo de conformidade requer a assisténcia de técnicos especializados. ‘A verificagao de conformidade também engloba, por exemplo, testes de invasdo e avaliagies de vulnerabilidades, que podem ser executados por especialisias independentes contratados especificamente para este fim. Isto pode ser util na detecgao de vulnerabilidades do sistema e na veriicacao do quanto os Controles sao eficientes na prevencao de acessos ndo aulorizados devido a estas vulnerabiidades. Teste de invasdo e avaliacéo de vulnerabilidades fornece um snapshot de um sistema em um estagio especifico para um tempo especifico. O snapshot esta limitado para aquelas partes do sistema realmente testadas durante a etapa da invasdo. O teste de invasao e as avaliagdes de vulnerabilidades ndo sao um substituto da andlise/avaliago de riscos. 15.3 Consideragées quanto a auditoria de sistemas de informag: Objetivo: Maximizar a eficdcia © minimizar a interferéncia no proceso de auditoria dos sistemas de informagao. Convém que existam controles para a protegao dos sistemas operacionais e ferramentas de auditoria durante as auditorias de sistema de informacdo. Protecao também & necesséria para proteger a integridade e prevenir 0 uso indevido das ferramentas de auditoria 15.3.1 Controles de auditoria de sistemas di informacao Controle Convém que requisitos ¢ atividades de auditoria envolvendo verificagao nos sistemas operacionais sejam cuidadosamente planejados e acordados para minimizar os riscos de interrupcéio dos processos do negécio. Diretrizes para implementacdo Convém que as seguintes diretrizes sejam observadas: a) requisitos de auditoria sejam acordados com o nivel apropriado da administragao; b)_escopo da verificagao seja acordado e controlado; GABNT 2005 - Todos 08 dlitvtes reservados 113ABNT NBR ISO/IEC 17799:2005 ©) _averificagao esteja limitada ao acesso somente para leitura de software e dados; 4) outros acessos diferentes de apenas leitura sejam permitidos somente através de cépias isoladas dos arquivos do sistema, e sejam apagados ao final da auditoria, ou dada protegao apropriada quando. exist uma obrigacao para guardar tais arquivos como requisites da documentagao da auditoria; ) recursos para execugao da verificagao sejam identficados explicitamente ¢ tomados disponiveis; 4) requisitos para processamento adicional ou especial sejam identiicados e acordados; 9) todo acesso soja monitorado @ registrado de forma a produzir uma trlha de referéncia; convém que 0 uso de trilhas de referéncia (time stamped) seja considerado para os sistemas ou dados criticos; h)_ todos os procedimentos, requisites e responsabilidades sejam documentados; i) as pessoas que executem a auditoria sejam independentes das atividades auditadas. 15.3.2 Protegdo de ferramentas de auditoria de sistemas de informacao Controle Convém que o acesso as ferramentas de auditoria de sistema de informagao seja protegido, para prevenir qualquer possibilidade de uso impréprio ou comprometimento. Diretrizes para implementagao Convém que acessos as ferramentas de auditoria de sistemas de informago, por exemplo, software ou arquivos de dados, sejam separados de sistemas em desenvolvimento e em operagao e nao sejam mantidos om fitas de biblioteca ou areas de usudrios, a menos que seja dado um nivel apropriado de protegao adicional. Informacées adicionais ‘Quando terceiros estao envolvidos em uma auditoria, existe um risco de mau uso de ferramentas de auditoria or esses terceiros e da informagao que esta sendo acessada por este terceiro. Controls, tais como em 6.2.1 {para avaliar os riscos) e 9.1.2 (para restringir 0 acesso fisica), podem ser consideradas para contemplar este isco, e convém que quaisquer conseqUiéncias, tals como trocar imediatamente as senhas reveladas para os auditores, sejam tomadas. 114 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 Bibliografia ABNT NBR ISO 10007:2005 - Sistemas de gestéo da qualidade - Diretrizes para a gestao de configuragao ABNT NBR ISO 19011:2002 - Diretrizes para auditorias de sistema de gestéo da qualidade e/ou ambiental ABNT NBR ISO/IEC 12207:1998 - Tecnologia de informagao - Processos de ciclo de vida de software ABNT ISO/IEC Guia 2:1998 ~ Normalizago e atividades relacionadas ~ Vocabulario geral ABNT ISO/IEC Guia 73:2005 ~ Gestéo de riscos ~ Vocabulario ~ Recomendag6es para uso em normas ISO 15489-1:2001 — Information and documentation — Records management — Part 1: General ISO/IEC 9796-2:2002 — Information technology — Security techniques — Digital signature schemes giving message recovery — Part 2: Integer factorization based mechanisms ISO/IEC 9796-3:2000 ~ Information technology ~ Security techniques ~ Digital signature schemes giving message recovery — Part 3: Discrete logarithm based mechanisms ISO/EC 11770-1:1996 - Information technology - Security techniques - Key management — Part 1: Framework ISO/IEC 13335-1:2004 — Information technology ~ Security techniques — Management of information and communications technology security — Part 1: Concepts and models for information and communications technology security management ISO/IEC 1388-1: 1997 — Information technology ~ Security techniques ~ Non-repudiation — Part 1: General ISO/IEC 14516:2002 — Information technology ~ Security techniques ~ Guidelines for the use and management of Trusted Third Party services ISO/IEC 14888-1:1998 — Information technology — Security techniques — Digit Part 1: General, signatures with appendix — ISO/IEC 15408-1:1999 — Information technology - Security techniques ~ Evaluation Criteria for IT security ~ Part 1: Introduction and general model ISO/IEC 18028-4 — Information technology — Security techniques — IT Network security ~ Part 4: Securing remote access ISO/IEC TR 13335-3:1998 ~ Information technology - Guidelines for the Management of IT Security Parl 3: Techniques for the management of IT Securily ISO/IEC TR 18044 — Information technology — Security techniques — Information security incident IEEE P1363-2000: Standard Specifications for Public-Key Cryptography OECD Guidelines for the Security of Information Systems and Networks: ‘Towards a Culture of Security’, 2002 OECD Guidelines for Cryptography Policy, 1997 GABNT 2005 - Todos 08 dlitvtes reservados 15ABNT NBR ISO/IEC 17799:2005 indice A aceitagdo de sistemas 10.3.2 ‘acesso do piiblico, areas de entrega e de carregamento 9.1.6 acordos de confidencialidade 6.1.5 acordos para a troca de informagoes 10.8.2 ameaga 2.16 anélise/avaliacdo de riscos 2.11, 4.1 andlise critica da politica de seguranga da informagao 5.1.2 anélise critica das aplicagées apés mudangas no sistema operacional 12.5.2 andlise critica dos direitos de acesso de usuario 11.2.4 anélise critica independente de seguranga da informagao 6.1.8 andlise de riscos 2.10 andlise e especificacao dos requisitos de seguranga 12.1.1 antes da contratagao 8.1 aprendendo com os incidentes de seguranga da informagao 13.2.2 aquisi¢ao, desenvolvimento e manutengao de sistemas de informacéo 12 reas de entrega © de carregamento 9.1.6 reas seguras 9.1 aspectos da gestao da continuidade do negécio, relatives a seguranga da informagao 14.1 ativo 2.4 atribuigdo das responsabilidades para a segurana da informagao 6.1.3, autenticagao para conexao exteria do usuario 11.4.2 avaliagdo de riscos 2.12 c classificagao da informagao 7.2 coleta de evidéncias 13.2.3 comércio eletrénico 10.9.1 ‘comprometimento da diregao com a seguranga da informagao 6.1.1 computagao e comunicagao mével 11.7.1 ‘computagao mével ¢ trabalho remoto 11.7, 11.7.2 conformidade 15 conformidade com normas e politicas de seguranca da informagao e conformidade téchica 15.2, 15.2.1 conformidade com requisites legais 15.1 conformidades com as politicas e normas de seguranga da informagao 15.2.1 conscientizacao, educacao e treinamento em seguranca da informagao 8.2.2 consideragdes quanto a auditoria de sistemas de informacao 15.3 contato com autoridades 6.1.6 ccontato com grupos especiais 6.1.7 continuidade de negécios e andlise/avaliagao de risco 14.1.2 controle 2.2, 3.2 ccontroles contra cédigos méveis 10.4.2 controle de acessos 11 controle de acesso a aplicagao e & informagéo 11.6 controle de acesso a rede 11.4 controle de acesso ao cédigo-fonte de programas 12.4.3 controle de acesso ao sistema operacional 11.5 controles de auditoria de sistemas de informacao 15.3.1 controle de conexéo de rede 11.4.6 controle de entrada fisica 9.1.2 controle de processamento interno 12.2.2 controle de roteamento de redes “1.4.7 116 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 controle de software operacional 12.4.1 controle de vulnerabilidades técnicas 12.6.1 controle do processamento interno 12.2.2 controles contra cédigos maliciosos 10.4.1 controles contra cédigos méveis 10.4.2 controles criptograficos 12.3 controles de auditoria de sistemas de informacao 15.3.1 controles de entrada fisica 9.1.2 controles de redes 10.6.1 coordenagao da seguranga da informagao 6.1.2 cépias de seguranga 10.5, Cépias de seguranga das informagées 10.5.1 D descarte de midias 10.7.2 desconexao de terminal por inatividade 11.5.5 desenvolvimento e implementaco de planos de continuidade relativos a seguranga da informagao 14.1.3, desenvolvimento terceirizado de software 12.5.5, devolucao de ativos 8.3.2 direitos de propriedade intelectual 15.1.2 diretriz 2.3 documentacao dos procedimentos de operacao 10.1.1 documento da politica de seguranga da informagao 5.1.1 durante a contratagao 8.2 E encerramento de atividades 8.3.1 encerramento ou mudanga da contratagao 8.3 entrega de servigas 10.2.1 equipamento de usuario sem monitoragao 11.3.2 estrutura do plano de continuidade do negécio 14.1.4 evento de seguranga da informagao 2.6, 13.1 G gerenciamento da seguranga em redes 10.6 gerenciamento das operagées e comunicagées 10 gerenciamento de acesso do usuario 11.2 gerenciamento de chaves 12.3.2 gerenciamento de midias removiveis 10.7.1 gerenciamento de mudancas para servigos terceirizados 10.2.3, gerenciamento de privilégios 11.2.2 gerenciamento de senha do usuario 11.2.3 gerenciamento de servicos terceirizados 10.2 gestéo da continuidade do negécio 14 gestao de ativos 7 gestio de capacidade 10.3.1 gestdo de incidentes de seguranga da informago 13, 13.2 gestao de mudangas 10.1.2 gestao de riscos 2.13 gesto de vulnerabilidades técnicas 12.6 GABNT 2005 - Todos 08 dlitvtes reservados 17ABNT NBR ISO/IEC 17799:2005 identificacao da legislagao vigente 15.1.1 identificagao de equipamento em redes 11.4.3 identificagao dos riscos relacionados com partes extemas 6.2.1 identificagao e autenticagao de usuario 11.5.2 identificando a seguranga da informagao, quando tratando com os clientes 6.2.2 identificando seguranca da informagao nos acordos com lerceiros 6.2.3, incidente de seguranga da informagao 2.7, 13.2 icluindo seguranga da informagao no processo de gestao da continuidade do negécio 14.1.1 informagées publicamente disponiveis 10.9.3 infra-estrutura da seguranga da informacao 6.1 talagao e protegao do equipamento 9.2.1 fegridade de mensagens 12.2.3 wentério dos ativos 7.1.1 isolamento de sistemas sensiveis 11.6.2 L limitagao de horario de conexao 11.5.6 manuseio de midias 10.7 ‘manutengao dos equipamentos 9.2.4 mensagens eletrénicas 10.8.4 midias em transito 10.8.3 ‘monitoramento 10.10 monitoramento do uso do sistema 0.10.2 ‘monitoramento e andlise critica de servicos terceirizados 10.2.2 notificago de eventos de seguranca da informagéo 13.1.1 notificagao de fragilidades e eventos de seguranga da informagao 13.1, 13.1.2 notificando fragilidades de seguranga da informagao 13.1.2 ° organizando a seguranga da informagao 6 Pp apéis e responsabilidades 8.1.1 partes externas 6.2 perimetro de seguranga fisica 9.1.1 planejamento e aceitagao dos sistemas 10.3 politica 2.8 Politica de controle de acesso 11.1.1 politica de mesa limpa e tela limpa 11.3.3 politica de seguranga da informagao 5, 5.1 politica de uso dos servigos de rede 11.4.1 118 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 Politica e procedimentos para troca de informagées 10.8.1 politica para o uso de controles criptograticos 12.3.1 politicas e procedimentos para troca de informacdes 10.8.1 Prevengao de mau uso de recursos de processamento da informagao 15.1.5 principais categorias de seguranca da informagao 3.2 procedimentos e responsabilidades operacionais 10.1, 10.1.1 procedimentos para controle de mudangas 12.5.1 procedimentos para tratamento de informagao 10.7.3. procedimentos seguros de entrada no sistema (log-on) 11.5.1 processamento correto nas aplicagées 12.2 proceso de autorizagdo para os recursos de processamento da informago 6.1.4 proceso disciplinar 8.2.3 proprietario dos ativos 7.1.2 protegdo contra ameacas externas @ do melo ambiente 9.1.4 protegao contra cédigos maliciosos @ cédigos méveis 10.4 protegdo das informacées dos registros (/og) 10.10.3 protegao de dados e privacidade de informagao pessoal 15.1.4 protegao de ferramentas de auditoria de sistemas de informagao 15.3.2 protegdo de registros organizacionais 15.1.3, protegao dos dados para teste de sistema 12.4.2 protegao © configuragao de portas de diagnéstico remotas 11.4.4 R recomendagdes para classificagao 7.2.1 recursos de processamento da informagao 2.4 registros (log) de administrador e operador 10.10.4 registros (log) de falhas 10.10.5 registros de auditoria 10.10.1 regulamentago de controles de criptografia 15.1.6 requisitos de negécio para controle de acesso 11.1 responsabilidade pelos ativos 7.1 responsabilidades da direcao 8.2.1 responsabilidades dos usuarios 11.3 responsabilidades ¢ procedimentos 13.2.1 resirigao de acesso a informagao 11.6, 11.6.1 restrig6es sobre mudancas em pacoles de software 12.5.3 remogao de propriedade 9.2.7 retirada de direitos de acesso 8.3.3 reutiizagao e alienagdo segura de equipamentos 9.2.6 fisco 2.9 rétulos @ tratamento da informagao 7.2.2 s segregacao de funcdes 10.1.3 segregacao de redes 11.4.5, seguranca da documentaco dos sistemas 10.7.4 seguranga da informagao 2.5 seguranca de equipamentos 9.2 seguranga de equipamento fora das dependéncias da organizagao 9.2.5, seguranga do cabeamento 9.2.3, seguranca dos arquivos do sistema 12.4 seguranca dos servigos de rede 10.6.2 seguranca om escritérios, salas o instalagées 9.1.3, seguranga em processos de desenvolvimento e de suporte 12.5 GABNT 2005 - Todos 08 dlitvtes reservados 119ABNT NBR ISO/IEC 17799:2005 seguranga fisica e do ambiente 9 seguranga em recursos humanos 8 segurangas de equipamentos 9.2 selegao 8.1.2 separagao dos recursos de desenvolvimento, tesle @ de produgdo 10.1.4 servigos de comércio eletrénico 10.9 sincronizagao dos relégios 10.10.6 sistema de gerenciamento de senha 11.5.3 sistemas de informagdes do negécio 10.8.5, T terceiros 2.15 termos e condigdes de contratago 8.1.3 testes, manutengao e reavaliagao dos planos de continuidade do negécio 14.1.5, trabalho em areas seguras 9.1.5 trabalho remoto 11.7.2 transagées on-line 10.9.2 tratamento de risco 2.14, 4.2 troca de informagdes 10.8 u uso aceltével dos uso de senhas 11.3.1 uso de utlitérios de sistema 11.5.4 utllidades 9.2.2 os 7.1.3 v validagao de dados de salda 12.2.4 validago dos dados de entrada 12.2.1 vazamento de informagdes 12.5.4 verificago da canformidade técnica 15.2.2 vulnerabilidades 2.17 120 ©ABNT 2005 - Todos 08 dltetos reservados