Escolar Documentos
Profissional Documentos
Cultura Documentos
NBR Iso27001
NBR Iso27001
ABNT Associao
Brasileira de
Normas Tcnicas
Sede:
Rio de Janeiro
Av. Treze de Maio, 13 / 28 andar
CEP 20003-900 Caixa Postal 1680
Rio de Janeiro RJ
Tel.: PABX (21) 210-3122
Fax: (21) 2220-1762/2220-6436
Endereo eletrnico:
www.abnt.org.br
Copyright 2005
ABNTAssociao Brasileira
de Normas Tcnicas
Printed in Brazil/
Impresso no Brasil
Todos os direitos reservados
Projeto 21:204.01-012
Apresentao
I) Este Projeto de Reviso de Norma:
1) foi elaborado pela CE-21:204.01 Comisso de Estudo de Segurana Fsica em
Instalaes de Informtica do ABNT/CB21-Comit Brasileiro de Computadores e
Processamento de Dados;
2) equivalente a ISO/IEC 27001:2005 e quando da sua homologao receber a
seguinte denominao: ABNT NBR ISO/IEC 27001;
3) recebe sugestes de forma e objees de mrito, at a data estipulada no edital
correspondente;
4)
Ariosto Farias Jr
Larissa Prado
Andr Novaes Frutuoso
Denise C Menoncello
Andra Thom
ICS 35.040
ABNT Associao
Brasileira de
Normas Tcnicas
Sede:
Rio de Janeiro
Av. Treze de Maio, 13 / 28 andar
CEP 20003-900 Caixa Postal 1680
Rio de Janeiro RJ
Tel.: PABX (21) 210-3122
Fax: (21) 220-1762/220-6436
Endereo eletrnico:
www.abnt.org.br
Copyright 2005,
ABNTAssociao Brasileira
de Normas Tcnicas
Printed in Brazil/
Impresso no Brasil
Todos os direitos reservados
DEZ 2005
Projeto 21:204.01-012
30 pginas
Sumrio
Prefcio
0 Introduo
1 Escopo
2 Referncia normariva
3 Termos e definies
4 Sistema de gesto de segurana da informao
5 Responsabilidades de gesto
6 Auditorias internas do SGSI
7 Anlise crtica pela direo do SGSI
8 Melhoria do SGSI
ANEXOS
A Objetivos de controle e controles
B Princpios da OECD e desta Norma
C Correspondncia entre ABNT NBR ISO 9001:2000, ABNT NBR ISO 14001:2004 e esta Norma
Bibliografia
Prefcio
A ABNT Associao Brasileira de Normas Tcnicas o Frum Nacional de Normalizao. As Normas Brasileiras, cujo
contedo de responsabilidade dos Comits Brasileiros (ABNT/CB) e dos Organismos de Normalizao Setorial (ONS),
so elaboradas por Comisses de Estudo (CE), formadas por representantes dos setores envolvidos, delas fazendo parte:
produtores, consumidores e neutros (universidades, laboratrios e outros).
Os Projetos de Norma Brasileira, elaborados no mbito dos ABNT/CB e ABNT/ONS circulam para Consulta Nacional entre
os associados da ABNT e demais interessados.
Esta Norma equivalente ISO/IEC 27001:2005
0 Introduo
0.1 Geral
Esta Norma foi preparada para prover um modelo para estabelecer, implementar, operar, monitorar, revisar, manter e
melhorar um Sistema de Gesto de Segurana da Informao (SGSI). A adoo de um SGSI deve ser uma deciso
estratgica para uma organizao. A especificao e implementao do SGSI de uma organizao so influenciadas pelas
suas necessidades e objetivos, exigncias de segurana, os processos empregados e o tamanho e estrutura da
Projeto 21:204.01-012:2005
organizao. esperado que este e os sistemas de apoio mudem com o passar do tempo. esperado que a
implementao de um SGSI seja escalada conforme as necessidades da organizao, por exemplo, uma situao simples
requer uma soluo de SGSI simples.
Esta Norma pode ser usada para avaliaes de conformidade pelas partes interessadas internas e externas.
0.2 Estratgia de processo
Esta Norma promove a adoo de uma estratgia de processo para estabelecer e implementar, operar, monitorar, revisar,
manter e melhorar o SGSI de uma organizao.
Uma organizao precisa identificar e administrar muitas atividades para funcionar efetivamente. Qualquer atividade que
faz uso de recursos e os gerencia para habilitar a transformao de entradas em sadas pode ser considerada um
processo. Freqentemente a sada de um processo forma diretamente a entrada do processo seguinte.
A aplicao de um sistema de processos dentro de uma organizao, junto com a identificao e interaes destes
processos, e sua gesto, pode ser chamada de "estratgia de processo.
A estratgia de processo para a gesto da segurana da informao apresentada nesta Norma encoraja que seus usurios
enfatizem a importncia de:
a) Entendimento dos requisitos de segurana da informao de uma organizao e da necessidade de estabelecer
uma poltica e objetivos para a segurana de informao;
b) Implementao e operao de controles para gerenciar os riscos de segurana da informao de uma organizao
no contexto dos riscos de negcio globais da organizao;
c) Monitorao e reviso do desempenho e efetividade do SGSI; e
d) Melhoria contnua baseada em medidas objetivas.
Esta Norma adota o modelo de processo "Plan-Do-Check-Act (PDCA), que aplicado para estruturar todos os processos
do SGSI. A figura 1 ilustra como um SGSI considera as entradas de requisitos de segurana de informao e as
expectativas das partes interessadas, e como as aes necessrias e processos de segurana da informao produzidos
resultam no atendimento a estes requisitos e expectativas. A figura 1 tambm ilustra os vnculos nos processos
apresentados nas sees 4, 5, 6, 7 e 8.
1
A adoo do modelo PDCA tambm refletir os princpios como definidos nas Diretrizes da OECD (2002) para governar a
segurana de sistemas de informao e redes. Esta Norma prov um modelo robusto para implementar os princpios
nessas diretrizes para governar a anlise de risco, especificao e implementao de segurana, administrao de
segurana e reavaliao.
EXEMPLO 1
Um requisito poderia ser essas quebras de segurana de informao que no causam srios danos financeiros e/ou
constrangimentos organizao.
EXEMPLO 2
Uma expectativa poderia ser que se um incidente srio acontece talvez a invaso da pgina Internet de comrcio
eletrnico de uma organizao deveria haver pessoas com treinamento suficiente em procedimentos apropriados para
minimizar o impacto.
1 Diretrizes da OECD para a Segurana de Sistemas de Informao e Redes - Para uma Cultura de Segurana. Paris: OECD, 2002 de
julho. http://www.oecd.org.
Projeto 21:204.01-012:2005
Check (Checar) (monitorar e revisar o Avaliar e, onde aplicvel, medir o desempenho de um processo contra
SGSI)
a poltica do SGSI, objetivos e experincia prtica e relatar os
resultados para a gerncia para reviso.
Act (Agir) (manter e melhorar o SGSI)
Projeto 21:204.01-012:2005
no afetem a habilidade da organizao, e/ou responsabilidade de prover segurana da informao que satisfaa os
requisitos de segurana determinados por avaliaes de riscos e requisitos regulatrios aplicveis.
NOTA - Se uma organizao j tem um sistema de gesto de processo empresarial operativo (por exemplo, em relao com a
ABNT NBR ISO 9001 ou ABNT NBR ISO 14001), prefervel na maioria dos casos satisfazer as exigncias desta Norma dentro deste
sistema de gesto existente.
2 Referncias normativas
Os seguintes documentos referenciados so indispensveis para a aplicao deste documento. Para referncias datadas,
apenas a edio citada se aplica. Para referncias no datadas, a ltima edio do documento referenciado (incluindo
qualquer emenda) se aplica.
ABNT NBR ISO/IEC 17799:2005, Tecnologia da informao - Tcnicas de segurana - Cdigo de prtica para a Gesto da
Segurana da Informao.
3 Termos e definies
Para os efeitos deste documento, aplicam-se os seguintes termos e definies.
3.1
ativo
qualquer coisa que tenha valor para a organizao.
[ISO/IEC 13335-1:2004]
3.2
disponibilidade
propriedade de ser acessvel e utilizvel sob demanda por uma entidade autorizada.
[ISO/IEC 13335-1:2004]
3.3
confidencialidade
propriedade de que a informao no ser disponibilizada ou divulgada a indivduos, entidades ou processos sem
autorizao.
[ISO/IEC 13335-1:2004]
3.4
segurana da informao
preservao da confidencialidade, integridade e disponibilidade da informao; adicionalmente, outras propriedades, tais
como autenticidade, responsabilidade, no repdio e confiabilidade podem tambm estar envolvidas.
[ABNT NBR ISO/IEC 17799:2005]
3.5
evento de segurana da informao
ocorrncia identificada de um sistema, servio ou rede que indica uma possvel violao da poltica de segurana da
informao ou falha de controles, ou uma situao previamente desconhecida, que possa ser relevante para a segurana
da informao.
[ISO/IEC TR 18044:2004]
3.6
incidente de segurana da informao
um simples ou por uma srie de eventos de segurana da informao indesejados ou inesperados, que tenham uma
grande probabilidade de comprometer as operaes do negcio e ameaar a segurana da informao.
[ISO/IEC TR 18044:2004]
3.7
sistema de gesto da segurana da informao
SGSI
parte do sistema de gesto global, baseada em uma aproximao de risco empresarial, para estabelecer, implementar,
operar, monitorar, revisar, manter e melhorar a segurana da informao.
NOTA: O sistema de gesto inclui estrutura organizacional, polticas, planejamento de atividades, responsabilidades, prticas,
procedimentos, processos e recursos.
3.8
integridade
propriedade de proteo preciso e perfeio de recursos.
Projeto 21:204.01-012:2005
[ISO/IEC 13335-1:2004]
3.9
risco residual
risco que permanece aps o tratamento de riscos.
[ABNT ISO/IEC Guia 73:2005]
3.10
aceitao de riscos
deciso para aceitar um risco.
[ABNT ISO/IEC Guia 73:2005]
3.11
anlise de riscos
uso sistemtico da informao para identificar as fontes e estimar o risco.
[ABNT ISO/IEC Guia 73:2005]
3.12
avaliao de risco
processo global da anlise de risco e da valorao do risco.
[ABNT ISO/IEC Guia 73:2005]
3.13
valorao do risco
processo de comparar o risco estimado contra critrios de risco estabelecidos para determinar a significncia do risco.
[ABNT ISO/IEC Guia 73:2005]
3.14
gesto de riscos
atividades coordenadas para dirigir e controlar uma organizao, no que se refere aos riscos.
NOTA: A gesto do risco normalmente inclui a avaliao do risco, o tratamento do risco, a aceitao do risco e a comunicao do risco.
3.16
declarao de aplicabilidade
declarao documentada que descreve os objetivos de controle e controles que so pertinentes e aplicveis ao sgsi da
organizao.
NOTA: Os objetivos de controle e controles esto baseados nos resultados e concluses do processo de avaliao de risco e tratamento
de risco, requisitos legais ou regulatrios, obrigaes contratuais e os requisitos de negcio da organizao para a segurana da
informao.
Projeto 21:204.01-012:2005
1) inclua uma estrutura de implementao para definir objetivos e estabelecer um senso de direo global e
princpios para aes relacionadas a segurana de informao;
2) considere requisitos de negcio, legais e/ou regulatrios, e obrigaes de segurana contratuais;
3) esteja alinhada com o contexto de gesto de risco estratgico da organizao no qual o estabelecimento e
manuteno do SGSI iro ocorrer;
4) estabelea critrios contra os quais os riscos sero avaliados (ver 4.2.1c)); e
5) seja aprovada pela direo
NOTA: Com a finalidade desta Norma, a poltica do SGSI considerada um documento maior da poltica de segurana de
informao. Esta poltica pode ser descrita em um documento.
d) Identificar os riscos;
2)
1) Identificar os ativos dentro do escopo do SGSI, e os proprietrios destes ativos;
______________________
2)
O termo 'proprietrio' identifica um indivduo ou entidade que aprovou a responsabilidade administrativa de controlar a produo,
desenvolvimento, manuteno, uso e segurana dos ativos. O termo 'proprietrio' no significa que a pessoa na verdade tem qualquer
direito de propriedade ao ativo.
Projeto 21:204.01-012:2005
Projeto 21:204.01-012:2005
5) Determinar se as aes tomadas para solucionar uma falha de segurana foram efetivas.
b) Responsabilizar-se por revises regulares da efetividade do SGSI (incluindo o conhecimento da poltica do SGSI e
objetivos, e reviso dos controles de segurana) considerando os resultados de auditorias de segurana, incidentes,
efetividade das medidas, sugestes e respostas de todas as partes interessadas;
c) Medir a efetividade dos controles para verificar se os requisitos de segurana foram atendidos;
d) Revisar as avaliaes de risco a intervalos planejados e revisar o nvel de risco residual e risco aceitvel
identificado, considerando mudanas de:
1) A organizao;
2) Tecnologias;
3) Objetivos empresariais e processos;
4) Ameaas identificadas;
5) Efetividade dos controles implementados; e
6) Eventos externos, como mudanas nos aspectos legais ou regulatrios, alteraes das obrigaes contratuais e
mudanas no aspecto social.
e) Conduzir auditorias internas no SGSI a intervalos planejados (ver 6);
NOTA: Auditorias internas, s vezes chamadas auditorias de primeira parte, so conduzidas por ou em nome da prpria
organizao para propsitos internos.
f) Responsabilizar-se por revises gerenciais do SGSI em uma base regular para assegurar que o escopo permanece
adequado e se so identificadas melhorias nos processos do SGSI (ver 7.1);
g) Atualizar os planos de segurana considerando as descobertas das atividades de monitorao e reviso; e
h) Registrar as aes e eventos que poderiam ter um impacto na efetividade ou desempenho do SGSI (ver 4.3.3).
4.2.4 Manter e melhorar o SGSI
A organizao deve fazer regularmente o seguinte:
a) Implementar as melhorias identificadas no SGSI;
b) Tomar as aes preventivas e corretivas apropriadas conforme 8.2 e 8.3. Aplicar as lies aprendidas de
experincias de segurana de outras organizaes e aquelas da prpria organizao;
c) Comunicar as aes e melhorias a todas as partes interessadas com o nvel de detalhamento apropriado para as
circunstncias e, quando aplicvel, aprovao de como proceder.
d) Assegurar que as melhorias alcancem os objetivos propostos.
4.3 Requisitos de documentao
4.3.1 Geral
A documentao deve incluir registros de decises gerenciais, para garantir que as aes estejam alinhadas s decises
gerenciais e polticas, e os resultados registrados sejam reproduzveis.
importante poder demonstrar a relao dos controles selecionados com os resultados da avaliao de risco e o processo
de tratamento de risco, e subseqentemente com a poltica do SGSI e seus objetivos.
A documentao do SGSI deve incluir:
a) declarao da poltica do sgsi documentada (ver 4.2.1b) e objetivos;
b) o escopo do sgsi (ver 4.2.1a));
c) procedimentos e controles que suportam o sgsi;
d) uma descrio da metodologia de avaliao de risco (ver 4.2.1c));
e) o relatrio de avaliao de risco (ver 4.2.1c a 4.2.1g));
f) o plano de tratamento de risco (ver 4.2.2b));
g) procedimentos documentados requeridos pela organizao para assegurar o planejamento efetivo, operao e
controle de seus processos de segurana de informao, e descrever como medir a efetividade dos controles (ver
4.2.3c));
Projeto 21:204.01-012:2005
10
Projeto 21:204.01-012:2005
h) Conduzindo revises gerenciais do SGSI (ver 7).
5.2 Gesto de recursos
5.2.1 Proviso de recursos
A organizao deve determinar e prover os recursos necessrios para:
a) Estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um SGSI;
b) Assegurar que os procedimentos de segurana da informao suportam os requisitos de negcio;
c) Identificar e enderear requisitos legais e regulatrios e obrigaes de segurana contratuais;
d) Manter a segurana adequada pela aplicao correta de todos os controles implementados;
e) Conduzir revises quando necessrio, e reagir adequadamente aos resultados destas revises; e
f) Onde exigido, melhorar a efetividade do SGSI.
5.2.2 Treinamento, conscientizao e competncia
A organizao deve assegurar que todo o pessoal que tem responsabilidades nomeadas definidas no SGSI competente
para executar as tarefas requeridas por:
a) Determinando as competncias necessrias para o pessoal que executa o trabalho efetuando o SGSI;
b) Provendo treinamento ou tomando outras aes (por exemplo, empregando pessoal competente) para satisfazer
estas necessidades;
c) Avaliando a efetividade das aes tomadas; e
d) Mantendo registros de educao, treinamento, habilidades, experincias e qualificaes (ver 4.3.3).
A organizao tambm deve assegurar que todo o pessoal pertinente esteja atento da relevncia e importncia das suas
atividades de segurana de informao e como eles contribuem realizao dos objetivos do SGSI.
6 Auditorias internas do SGSI
A organizao deve conduzir auditorias internas no SGSI a intervalos planejados para determinar se os objetivos de
controle, controles, processos e procedimentos de seu SGSI:
a) Obedecem aos requisitos desta Norma e legislao pertinente ou regulamentos;
b) Obedecem aos requisitos de segurana da informao identificadas;
c) So efetivamente implementados e mantidos; e
d) So executados conforme esperado.
Um programa de auditoria deve ser planejado, considerando o estado e importncia dos processos e reas a serem
auditados, como tambm os resultados de auditorias anteriores. Devem ser definidos os critrios de auditoria, escopo,
freqncia e mtodos. A seleo de auditores e conduo de auditorias deve assegurar a objetividade e imparcialidade do
processo de auditoria. Os auditores no devem auditar seu prprio trabalho.
As responsabilidades e requisitos para planejar e administrar auditorias, e por informar resultados e manter registros (ver
4.3.3) devem ser definidas em um procedimento documentado.
A gerncia responsvel pela rea a ser auditada deve assegurar que as aes sero consideradas sem demora imprpria
para eliminar as no-conformidades descobertas e suas causas. Atividades de acompanhamento devem incluir a
verificao das aes tomadas e a comunicao de resultados de verificao (ver a seo 8).
NOTA: A ABNT NBR ISO 19011:2002, Diretrizes para auditorias de sistema de gesto da qualidade e/ou ambiental, pode prover uma
direo til para a conduo das auditorias internas do SGSI.
Projeto 21:204.01-012:2005
11
12
Projeto 21:204.01-012:2005
b) Avaliar a necessidade por aes para assegurar que as no-conformidades no ocorram novamente;
c) Determinar e implementar as aes preventivas necessrias;
d) Registrar os resultados das aes tomadas (ver 4.3.3); e
e) Analisar criticamente as aes preventivas tomadas.
A organizao deve identificar mudanas nos riscos e identificar requisitos de aes preventivas que enfocam ateno em
riscos significativamente alterados.
A prioridade de aes preventivas deve ser determinada baseado nos resultados das avaliaes de risco.
NOTA: Aes para prevenir no-conformidades so freqentemente mais efetivas que aes corretivas.
________________
//ANEXO
13
Projeto 21:204.01-012:2005
Anexo A (normativo)
Objetivos de controle e controles
Os objetivos de controle e controles listados na Tabela A.1 so derivados diretamente de e so alinhados com aqueles
listados na ABNT NBR ISO/IEC 17799:2005 - sees 5 a 15. As listas nestas tabelas no so exaustivas e uma
organizao pode considerar objetivos de controle e controles adicionais que so necessrios. Os objetivos de controle e
controles desta tabela devem ser selecionados como parte do processo de SGSI especificado em 4.2.1.
A ABNT NBR ISO/IEC 17799:2005 - sees 5 a 15 prov recomendaes e um guia de implementao das melhores
prticas em face aos controles especificados em A.5 a A.15.
Tabela A.1 - Objetivos de Controle e Controles
A.5 Poltica de segurana
A.5.1 Poltica de segurana da informao
Objetivo: Prover uma orientao e apoio da direo para a segurana da informao de acordo com os requisitos do
negcio e com as leis e regulamentaes relevantes.
A.5.1.1
A.5.1.2
Documento
da
poltica
segurana da informao
de
Controle
Um documento da poltica de segurana da informao
deve ser aprovado pela direo, publicado e comunicado
para todos os funcionrios e partes externas relevantes.
Controle
A poltica de segurana da informao deve ser analisada
criticamente a intervalos planejados ou quando mudanas
significativas ocorrerem, para assegurar a sua contnua
pertinncia, adequao e eficcia.
A.6.1.2
A.6.1.3
A.6.1.4
A.6.1.5
Comprometimento da Direo
com a segurana da informao
Controle
Coordenao da segurana da
informao
Controle
Controle
Controle
Acordos de confidencialidade
Controle
Controle
Contatos apropriados com autoridades relevantes devem
ser mantidos.
14
Projeto 21:204.01-012:2005
A.6.1.7
Controle
Contatos apropriados com grupos especiais de interesse
para a organizao ou outros fruns especializados de
segurana da informao e associaes profissionais
devem ser mantidos.
A.6.1.8
Controle
O enfoque da organizao para gerenciar a segurana da
informao e a sua implementao (por exemplo, controles,
objetivo dos controles, polticas, processos e procedimentos
para a segurana da informao) deve ser analisado
criticamente, de forma independente, a intervalos
planejados, ou quando ocorrerem mudanas significativas
relativas implementao da segurana da informao.
A.6.2.2
A.6.2.3
Identificao
dos
riscos
relacionados com partes externas
Controle
Identificando a segurana da
informao quando tratando com
os clientes.
Controle
Identificando
segurana
informao nos acordos
terceiros
Controle
da
com
Controle
Todos os ativos devem ser claramente identificados e um
inventrio de todos os ativos importantes deve ser
estruturado e mantido.
A.7.1.2
Controle
Todas as informaes e ativos associados com os recursos
de processamento da informao devem ter um proprietrio
designado por uma parte definida da organizao.
A.7.1.3
Controle
Devem ser identificadas, documentadas e implementadas,
regras para que seja permitido o uso de informaes e de
ativos associados aos recursos de processamento da
informao.
Recomendaes
classificao
para
Controle
A informao deve ser classificada em termos do seu valor,
requisitos legais, sensibilidade e criticidade para a
organizao.
15
Projeto 21:204.01-012:2005
A.7.2.2
Rtulos
e
informao
tratamento
da
Controle
Um conjunto apropriado de procedimentos para rotular e
tratar a informao deve ser definido e implementado de
acordo com o esquema de classificao adotado pela
organizao.
Papis e responsabilidades
Controle
Os papis e responsabilidades pela segurana da
informao de funcionrios, fornecedores e terceiros devem
ser definidos e documentados de acordo com a poltica de
segurana da informao da organizao.
A.8.1.2
Seleo
Controle
Verificaes de controle de todos os candidatos a emprego,
fornecedores e terceiros devem ser realizadas de acordo
com as leis relevantes, regulamentaes e ticas, e
proporcional aos requisitos do negcio, classificao das
informaes a serem acessadas e aos riscos percebidos.
A.8.1.3
Termos
e
contratao
condies
de
Controle
Como parte das suas obrigaes contratuais os
funcionrios, fornecedores e terceiros devem concordar e
assinar os termos e condies de sua contratao para o
trabalho, os quais devem declarar as suas responsabilidade
e a da organizao para a segurana da informao.
Responsabilidades da Direo
Controle
A Direo deve solicitar aos funcionrios, fornecedores e
terceiros que pratiquem a segurana da informao de
acordo com o estabelecido nas polticas e procedimentos
da organizao.
A.8.2.2
A.8.2.3
Conscientizao, educao e
treinamento em segurana da
informao
Controle
Processo disciplinar
Controle
Encerramento de atividades
Controle
As responsabilidades para realizar o encerramento ou a
mudana de um trabalho devem ser claramente definidas e
atribudas.
16
Projeto 21:204.01-012:2005
A.8.3.2
Devoluo de ativos
Controle
Todos os funcionrios, fornecedores e terceiros devem
devolver todos os ativos da organizao que estejam em
sua posse aps o encerramento de suas atividades, do
contrato ou acordo.
A.8.3.3
Controle
Os direitos de acesso de todos os funcionrios,
fornecedores e terceiros s informaes e aos recursos de
processamento da informao devem ser retirados aps o
encerramento de suas atividades, contratos ou acordos, ou
ajustado aps a mudana destas atividades.
Controle
Devem ser utilizados permetros de segurana (barreiras
tais como paredes, portes de entrada controlados por
carto ou balces de recepo com recepcionistas) para
proteger as reas que contenham informaes e recursos
de processamento da informao.
A.9.1.2
Controle
As reas seguras devem ser protegidas por controles
apropriados de entrada para assegurar que s tenham
acesso as pessoas autorizadas.
A.9.1.3
A.9.1.4
A.9.1.5
Controle
Proteo
contra
ameaas
externas e do meio-ambiente
Controle
Controle
Controle
Pontos de acesso, tais como reas de entrega e de
carregamento e outros pontos em que pessoas no
autorizadas podem entrar nas instalaes, devem ser
controlados e, se possvel, isolados dos recursos de
processamento da informao, para evitar o acesso no
autorizado.
A.9.2.2
Instalao
e
equipamento
Utilidades
proteo
do
Controle
Os equipamentos devem ser colocados no local ou
protegidos para reduzir os riscos de ameaas e perigos do
meio-ambiente, bem como as oportunidades de acesso no
autorizado.
Controle
Os equipamentos devem ser protegidos contra interrupes
de energia eltrica e outras falhas causadas pelas
utilidades.
17
Projeto 21:204.01-012:2005
A.9.2.3
Segurana do cabeamento
Controle
O cabeamento de energia e de telecomunicaes que
transporta dados ou d suporte aos servios de
informaes deve ser protegido contra interceptao ou
danos.
A.9.2.4
Controle
Os equipamentos devem ter uma manuteno correta para
assegurar sua disponibilidade e integridade permanente.
A.9.2.5
A.9.2.6
A.9.2.7
Controle
Controle
Retiradas de bens
Controle
A.10.1.2
Documentao
procedimentos de operao
dos
Controle
Os procedimentos de operao devem ser documentados,
mantidos atualizados e disponveis a todos os usurios que
deles necessitem.
Gesto de mudanas
Controle
Modificaes nos recursos de processamento
informao e sistemas devem ser controladas.
A.10.1.3
Segregao de funes
da
Controle
Funes e reas de responsabilidade devem ser
segregadas para reduzir as oportunidades de modificao
ou uso indevido no autorizado ou no intencional dos
ativos da organizao.
A.10.1.4
de
de
Controle
Ambientes de desenvolvimento, teste e produo devem
ser separados para reduzir o risco de acessos ou
modificaes no autorizadas aos sistemas operacionais.
Entrega de servios
Controle
Deve ser garantido que os controles de segurana, as
definies de servio e os nveis de entrega includos no
acordo de entrega de servios terceirizados sejam
implementados, executados e mantidos pelo terceiro.
A.10.2.2
Controle
Os servios, relatrios e registros providos pelo terceiro
devem ser regularmente monitorados e analisados
criticamente, e auditorias ser executadas regularmente.
18
Projeto 21:204.01-012:2005
A.10.2.3
Gerenciamento de mudanas
para servios terceirizados
Controle
Mudanas no provisionamento dos servios, incluindo
manuteno e melhoria da poltica de segurana da
informao, dos procedimentos e controles existentes,
devem ser gerenciadas, levando-se em conta a criticidade
dos sistemas e processos de negcio envolvidos e a
reavaliao de riscos.
Gesto de capacidade
Controle
A utilizao dos recursos deve ser monitorada e
sincronizada e as projees feitas para necessidades de
capacidade futura para garantir a performance requerida do
sistema.
A.10.3.2
Aceitao de sistemas
Controle
Devem ser estabelecidos critrios de aceitao para novos
sistemas, atualizaes e novas verses e que ser efetuados
testes apropriados do(s) sistema(s) durante seu
desenvolvimento e antes da sua aceitao.
A.10.4.2
Controle
maliciosos
contra
cdigos
Controle
Devem ser implantados controles de deteco, preveno
e recuperao para proteger contra cdigos maliciosos,
assim como procedimentos para a devida conscientizao
dos usurios.
Controle
Onde o uso de cdigos mveis autorizado, a configurao
deve garantir que o cdigo mvel autorizado opere de
acordo com uma poltica de segurana da informao
claramente definida, e cdigos mveis no autorizados
tenham sua execuo impedida.
Cpias
de
informaes
segurana
das
Controle
Cpias de segurana das informaes e dos softwares
devem ser efetuadas e testadas regularmente conforme a
poltica de gerao de cpias de segurana definida.
Controles de redes
Controle
Redes devem ser adequadamente gerenciadas e
controladas, de forma a proteg-las contra ameaas e
manter a segurana de sistemas e aplicaes que utilizam
estas redes, incluindo a informao em trnsito.
A.10.6.2
Controle
Caractersticas de segurana, nveis de servio e requisitos
de gerenciamento dos servios de rede devem ser
identificados e includos em qualquer acordo de servios de
rede, tanto para servios de rede providos internamente ou
terceirizados.
19
Projeto 21:204.01-012:2005
A.10.7.1
A.10.7.2
Gerenciamento
removveis
de
mdias
Controle
Devem existir procedimentos implementados
gerenciamento de mdias removveis.
Descarte de mdias
para
Controle
As mdias devem ser descartadas de forma segura e
protegida quando no forem mais necessrias, por meio de
prodecimentos formais.
A.10.7.3
A.10.7.4
Controle
Controle
A.10.8.2
A.10.8.3
Controle
Acordos para
informaes
Controle
troca
de
Mdias em trnsito
Controle
Mdias contendo informaes devem ser protegidas contra
acesso no autorizado, uso imprprio ou alterao indevida
durante o transporte externo aos limites fsicos da
organizao.
A.10.8.4
Correio Eletrnico
Controle
As informaes que trafegam em mensagens eletrnicas
devem ser adequadamente protegidas.
A.10.8.5
Sistemas
negcio
de
informaes
do
Controle
Polticas e procedimentos devem ser desenvolvidos e
implementados para proteger as informaes, associadas
com interconexo de sistemas de informaes do
negcio.
Comrcio eletrnico
Controle
As informaes envolvidas em comrcio eletrnico
transitando sobre redes pblicas devem ser protegidas de
atividades fraudulentas, disputas contratuais e divulgao e
modificaes no autorizadas.
A.10.9.2
Transaes On-Line
Controle
Informaes envolvidas em transaes on-line devem ser
protegidas para prevenir transmisses incompletas, erros
de roteamento, alteraes no-autorizadas de mensagens,
divulgao no autorizada, duplicao ou reapresentao
de mensagem no autorizada.
A.10.9.3
Informaes
disponveis
publicamente
Controle
A integridade das informaes disponibilizadas em sistemas
publicamente acessveis deve ser protegida para prevenir
modificaes no autorizadas.
20
Projeto 21:204.01-012:2005
A.10.10 Monitoramento
Objetivo: Detectar atividades no autorizadas de processamento da informao.
A.10.10.1
Registros de auditoria
Controle
Registros (log) de auditoria contendo atividades dos
usurios, excees e outros eventos de segurana da
informao devem ser produzidos e mantidos por um
perodo de tempo acordado para auxiliar em futuras
investigaes e monitoramento de controle de acesso.
A.10.10.2
Controle
Devem ser estabelecidos procedimentos para o
monitoramento do uso dos recursos de processamento da
informao e os resultados das atividades de
monitoramento devem ser analisados criticamente,de forma
regular.
A.10.10.3
A.10.10.4
A.10.10.5
Controle
Controle
Controle
Controle
Os relgios de todos os sistemas de processamento de
informaes relevantes, dentro da organizao ou do
domnio de segurana, devem ser sincronizados de acordo
com uma hora oficial.
Controle
A poltica de controle de acesso deve ser estabelecida,
documentada e revisada, tomando-se como base os
requisitos de acesso dos negcios e segurana.
Registro de Usurio
Controle
Deve existir um procedimento formal de registro e
cancelamento de usurio para garantir e revogar acessos
em todos os sistemas de informao e servios.
A.11.2.2
Gerenciamento de privilgios
Controle
A concesso e uso de privilgios devem ser restritos e
controlados.
A.11.2.3
A.11.2.4
Gerenciamento
usurio
de
senha
do
Controle
A concesso de senhas seja controlada por meio de um
processo de gerenciamento formal.
Controle
O gestor deve conduzir a intervalos regulares a anlise
critica dos direitos de acesso dos usurios, por meio de um
processo formal.
21
Projeto 21:204.01-012:2005
A.11.3.1
Uso de senhas
Controle
Os usurios devem ser orientados a seguir boas prticas de
segurana na seleo e uso de senhas.
A.11.3.2
A.11.3.3
Equipamento
monitorao
de
usurio
sem
Controle
Os usurios devem assegurar que os equipamentos no
monitorados tenham proteo adequada.
Controle
Deve ser adotada uma poltica de mesa limpa de papis e
mdias de armazenamento removveis e uma poltica de tela
limpa para os recursos de processamento da informao.
A.11.4.2
A.11.4.3
A.11.4.4
A.11.4.5
Controle
Autenticao
para
externa do usurio
Controle
conexo
Identificao de equipamento em
redes
Controle
Controle
Segregao de redes
Controle
Controle
Para redes compartilhadas, especialmente as que se
estendem alm dos limites da organizao, a capacidade
de usurios para conectar a rede deve ser restrita, de
acordo com a poltica de controle de acesso e os requisitos
das aplicaes do negcio (ver 11.1).
A.11.4.7
Controle
Deve ser implementado controle de roteamento na rede
para assegurar que as conexes de computador e fluxos de
informao no violem a poltica de controle de acesso das
aplicaes do negcio.
A.11.5.2
A.11.5.3
Procedimentos
seguros
entrada no sistema (log-on)
de
Controle
O acesso aos sistemas operacionais deve ser controlado
por um procedimento seguro de entrada no sistema (logon).
Identificao e autenticao de
usurio
Controle
Sistema de gerenciamento de
senha
Controle
22
Projeto 21:204.01-012:2005
A.11.5.4
Controle
O uso de programas utilitrios que podem ser capazes de
sobrepor os controles dos sistemas e aplicaes deve ser
restrito e estritamente controlado.
A.11.5.5
A.11.5.6
Desconexo
inatividade
de
terminal
por
Controle
Terminais inativos devem ser desconectados aps um
perodo definido de inatividade.
Controle
Restries nos horrios de conexo devem ser utilizadas
para proporcionar segurana adicional para aplicaes de
alto risco.
Controle
O acesso informao e funes dos sistemas de
aplicaes por usurios e pessoal de suporte deve ser
restrito de acordo com o definido na poltica de controle de
acesso.
A.11.6.2
Controle
Sistemas sensveis devem ter um ambiente computacional
dedicado (isolado).
A.11.7.2
Computao
mvel
comunicao
Controle
Uma poltica formal deve ser estabelecida e medidas de
segurana apropriadas devem ser adotadas para a
proteo contra os riscos do uso de recursos de
computao e comunicao mveis.
Trabalho remoto
Controle
Uma poltica, planos operacionais e procedimentos devem
ser desenvolvidos e implementados para atividades de
trabalho remoto.
Anlise e especificao
requisitos de segurana
dos
Controle
Devem ser especificados os requisitos para controles de
segurana nas especificaes de requisitos de negcios,
para novos sistemas de informao ou melhorias em
sistemas existentes.
Controle
Os dados de entrada de aplicaes devem ser validados
para garantir que so corretos e apropriados.
A.12.2.2
Controle
interno
do
processamento
Controle
Devem ser incorporados nas aplicaes checagens de
validao com o objetivo de detectar qualquer corrupo de
informaes, por erros ou por aes deliberadas.
23
Projeto 21:204.01-012:2005
A.12.2.3
Integridade de mensagens
Controle
Requisitos para garantir a autenticidade e proteger a
integridade das mensagens em aplicaes devem ser
identificados, e os controles apropriados, identificados e
implementados.
A.12.2.4
Controle
Os dados de sada das aplicaes devem ser validados
para assegurar que o processamento das informaes
armazenadas esta correta e apropriado s circunstncias.
A.12.3.2
Controle
Gerenciamento de chaves
Controle
Controle
Procedimentos para controlar a instalao de software em
sistemas operacionais devem ser implementados.
A.12.4.2
A.12.4.3
Controle
Controle
A.12.5.2
A.12.5.3
A.12.5.4
Controle
Controle
Controle
Vazamento de informaes
Controle
Desenvolvimento terceirizado de
software
Controle
A organizao deve supervisionar e
desenvolvimento terceirizado de software.
monitorar
24
Projeto 21:204.01-012:2005
A.12.6.1
Controle
tcnicas
de
vulnerabilidades
Controle
Deve ser seja obtida informao em tempo hbil sobre
vulnerabilidades tcnicas dos sistemas de informao em
uso, avaliada a exposio da organizao a estas
vulnerabilidades, e tomadas as medidas apropriadas para
lidar com os riscos associados.
A.13.1.2
Notificao
de
eventos
segurana da informao
de
Notificando
fragilidades
segurana da informao
de
Controle
Os eventos de segurana da informao devem ser
relatados atravs dos canais apropriados da direo, o mais
rapidamente possvel.
Controle
Os funcionrios, fornecedores terceiros de sistemas e
servios de informao devem ser instrudos a registrar e
notificar qualquer observao ou suspeita de fragilidade em
sistemas ou servios.
A.13.2.2
A.13.2.3
Responsabilidades
procedimentos
Controle
Responsabilidades e procedimentos de gesto devem ser
estabelecidos para assegurar respostas rpidas, efetivas e
ordenadas a incidentes de segurana da informao.
Controle
Coleta de evidncias
Controle
A.14.1.2
Incluindo
segurana
informao no processo
gesto da continuidade
negocio
Continuidade de
avaliao de risco
negcios
da
de
de
Controle
Um processo de gesto deve ser desenvolivido e mantido
para assegurar a continuidade do negcio por toda a
organizao e que contemple os requisitos de segurana da
informao necessrios para a continuidade do negcio da
organizao.
Controle
Devem ser identificados os eventos que podem causar
interrupes aos processos de negcio, junto
probabilidade e impacto de tais interrupes e as
conseqncias para a segurana de informao.
25
Projeto 21:204.01-012:2005
A.14.1.3
A.14.1.4
A.14.1.5
Desenvolvimento
implementao de planos
continuidade
relativos
segurana da informao
e
de
Controle
Estrutura
do
plano
continuidade do negcio
de
Controle
A.15 Conformidade
A.15.1 Conformidade com requisitos legais
Objetivo: Evitar violao de qualquer lei criminal ou civil, estatutos, regulamentaes ou obrigaes contratuais e de
quaisquer requisitos de segurana.
A.15.1.1
Controle
Todos os requisitos estatutrios, regulamentares e
contratuais relevantes, e o enfoque da organizao para
atender a esses requisitos, devem ser explicitamente
definidos, documentados e mantidos atualizados para cada
sistema de informao da organizao.
A.15.1.2
Controle
Procedimentos apropriados devem ser implementados para
garantir a conformidade com os requisitos legislativos,
regulamentares e contratuais no uso de material, em
relao aos quais pode haver direitos de propriedade
intelectual, e sobre o uso de produtos de software
proprietrios.
A.15.1.3
A.15.1.4
A.15.1.5
A.15.1.6
Proteo
de
organizacionais
registros
Controle
Registros importantes devem ser protegidos contra perda,
destruio e falsificao, de acordo com os requisitos
regulamentares, estatutrios, contratuais e do negcio.
Controle
Controle
Regulamentao de controles de
criptografia
Controle
Controle
Os gestores devem garantir que todos os procedimentos de
segurana dentro da sua rea de responsabilidade sejam
executados corretamente para atender a conformidade com
as normas e politicas de segurana.
26
Projeto 21:204.01-012:2005
A.15.2.2
Verificao
tcnica
da
conformidade
Controle
Os sistemas de informao devem ser periodicamente
verificados em sua conformidade com as normas de
segurana implementadas.
A.15.3.2
Controles
de
auditoria
sistemas de informao
de
Proteo de ferramentas
auditoria
de
sistemas
informao
de
de
Controle
Os requisitos e atividades de auditoria envolvendo
verificao nos sistemas operacionais devem ser
cuidadosamente planejados e acordados para minimizar os
riscos de interrupo dos processos do negcio.
Controle
O acesso s ferramentas de auditoria de sistema de
informao deve ser protegido para prevenir qualquer
possibilidade de uso imprprio ou comprometimento.
27
Projeto 21:204.01-012:2005
Anexo B (Informativo)
Princpios da OECD e desta Norma
Os princpios definidos pelas Diretrizes de OECD para a Segurana de Sistemas de Informao e Redes aplicam-se para
toda a poltica e nveis operacionais que governam a segurana de sistemas de informao e redes. Esta Norma prov
uma estrutura de um sistema de gesto de segurana de informao para implementar alguns dos princpios da OECD que
usam o modelo PDCA e os processos descritos nas Sees 4, 5, 6 e 8, como indicado na Tabela B.1.
Tabela B.1 Princpios da OECD e o modelo PDCA
Princpio de OECD
Conscientizao
Convm que os participantes estejam conscientizados da
necessidade por segurana de sistemas de informao e
redes e o que eles podem fazer para aumentar a
segurana.
Responsabilidade
Todos os participantes so responsveis pela segurana
de sistemas de informao e redes.
Resposta
28
Projeto 21:204.01-012:2005
Anexo C (Informativo)
Correspondncia entre ABNT NBR ISO 9001:2000, ABNT NBR ISO 14001:2004 e esta Norma
A Tabela C.1 mostra a correspondncia entre a ABNT NBR ISO 9001:2000, ABNT NBR ISO 14001:2004 e esta Norma.
Tabela C.1 Correspondncia entre ISO 9001:2000, ISO 14001:2004 e esta Norma.
Esta Norma
0 Introduo
0 Introduo
Introduo
0.1 Geral
0.1Geral
0.3 Compatibilidade
sistemas de gesto
com
1 Escopo
1 Escopo
1.1 Geral
1.1 Geral
1.2 Aplicao
1.2 Aplicao
Referncias normativas
Termos e definies
Sistema de gesto de
segurana da informao
com
outros
1
Escopo
Referncias normativas
Referncias normativas
Termos e definies
Termos e definies
Sistema de gesto da
qualidade
Requisitos do SGA
4.2.4
8.2.4
Monitorao e medida de
produtos
Monitorao e medida
4.3.1
4.3.1
Geral
4.3.2
Manual da qualidade
Geral
4.3.2
Controle de documentos
4.3.3
Controle de documentos
4.4.5
Controle de documentos
4.3.3
Controle de registros
4.3.4
Controle de registros
4.5.4
Controle de registros
Responsabilidades de gesto
Responsabilidades de gesto
5.4 Planejamento
4.3 Planejamento
5.1.1
Proviso de recursos
Gesto de recursos
29
Projeto 21:204.01-012:2005
Esta Norma
8.2.2
4.5.5
Auditorias internas
7.1 Geral
5.6.1
Geral
5.6.2
5.6.3
Melhoria do SGSI
Auditorias internas
30
Projeto 21:204.01-012:2005
Bibliografia
Normas publicadas
[1]
[2]
[3]
ISO/IEC TR 13335-3:1998, Information technology Guidelines for the management of IT Security Part 3:
Techniques for the management of IT security
[4]
ISO/IEC TR 13335-4:2000, Information technology Guidelines for the management of IT Security Part 4:
Selection of safeguards
[5]
ABNT NBR ISO 14001:2004, Sistemas da gesto ambiental - Requisitos com orientaes para uso
[6]
ISO/IEC TR 18044:2004, Information technology Security techniques Information security incident management
[7]
ABNT NBR ISO 19011:2002, Diretrizes para auditorias de sistema de gesto da qualidade e/ou ambiental
[8]
ABNT ISO/IEC Guia 62:1997, Requisitos gerais para organismos que operam avaliao e certificao/registro de
sistemas da qualidade
[9]
ABNT ISO/IEC Guia 73:2005, Gesto de riscos - Vocabulrio - Recomendaes para uso em normas
Outras Publicaes
[1] OECD, Guidelines for the Security of Information Systems and Networks Towards a Culture of
Security. Paris: OECD, July 2002. www.oecd.org
[2] NIST SP 800-30, Risk Management Guide for Information Technology Systems
[3] Deming W.E., Out of the Crisis, Cambridge, Mass: MIT, Center for Advanced Engineering Study, 1986
________________