Abnt NBR Iso Iec 27002-2013

ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002

SET 2013
Tecnologia da Informao-Tcnicas de Segurana Cdigo de Prtica para

controles de segurana da informao
APRESENTAO
1) Este Projeto de Reviso foi elaborado pela Comisso de Estudo de Tcnicas de Segurana
(CE-21:027.00) do Comit Brasileiro de Computadores e Processamento de Dados
(ABNT/CB-21), nas reunies de:
02.07.2013
28.08.2013
2) Este Projeto de Reviso/Emenda previsto para cancelar e substituir a edio anterior

(ABNT NBR ISO IEC 27002:2005), quando aprovado, sendo que nesse nterim a referida norma
continua em vigor;
3) Previsto para ser equivalente ABNT NBR ISO/IEC 27002:2013;
4) No tem valor normativo;
5) Aqueles que tiverem conhecimento de qualquer direito de patente devem apresentar esta
informao em seus comentrios, com documentao comprobatria;
6) Este Projeto de Norma ser diagramado conforme as regras de editorao da ABNT quando
de sua publicao como Norma Brasileira.
7) Tomaram parte na elaborao deste Projeto:
Participantes
Representante
BAKERTILLY DO BRASIL
Andra Thom
CQSI
Ariosto Farias Jr
SERASA EXPERIAN
Denise Menoncello
USIMINAS
Gilmar Ribeiro
INDIVIDUAL
Lilian Prcola
GETNET
Luciano Domingues
TV GLOBO
Vincuis Brasileiro
BATORI
Ricardo Kiyoshi Batori
CEMIG
Giovani Davi Silva
CORREIOS
Otvio Quadros
DGITRO
Andreia S. G. Da Silva
NO TEM VALOR NORMATIVO
1/110
ABNT/CB-21
SET 2013
IPEA-SEG
Carlos Augusto Valim
IPEA-SEG
Vera P. Harger
MICROSOFT
Fernando Gebara
PROXIS
Olympio Neto
RIOSOFT
Gisele Villas Bas
RSA
Anchises De Paula
SABESP
Claudio Barbosa
SABESP
Marcelo Rezende
SEC4YOU
Luciano M. Kadoya
TIVIT
Luiz Gustavo Ribeiro
2/110
ABNT/CB-21
SET 2013
Tecnologia da informao Tcnicas de segurana Cdigo de prtica

para controles de segurana da informao
Information technology Security techniques Code of practice for information security
controls
Prefcio Nacional
A Associao Brasileira de Normas Tcnicas (ABNT) o Foro Nacional de Normalizao. As
Normas Brasileiras, cujo contedo de responsabilidade dos Comits Brasileiros (ABNT/CB),
dos Organismos de Normalizao Setorial (ABNT/ONS) e das Comisses de Estudo Especiais
(ABNT/CEE), so elaboradas por Comisses de Estudo (CE), formadas por representantes dos
setores envolvidos, delas fazendo parte: produtores, consumidores e neutros (universidades,
laboratrios e outros).
Os documentos Tcnicos ABNT so elaborados conforme as regras da Diretiva ABNT, Parte 2.
O Escopo desta Norma Brasileira em ingls o seguinte:
Scope
This Standard gives guidelines for organizational information security standards and information security
management practices including the selection, implementation and management of controls taking into
consideration the organizations information security risk environment(s).
This International Standard is designed to be used by organizations that intend to:
a) select controls within the process of implementing an Information Security Management System
based on ABNT NBR ISO/IEC 27001;
b) implement commonly accepted information security controls;
c) develop their own information security management guidelines.
3/110
ABNT/CB-21
SET 2013
0 Introduo
0.1 Contexto e histrico
Esta Norma projetada para as organizaes usarem como uma referncia na seleo de controles
dentro do processo de implementao de um sistema de gesto da segurana da informao (SGSI),
baseado na ABNT NBR ISO/IEC 27001 ou como um documento de orientao para as organizaes
implementarem controles de segurana da informao comumente aceitos.
Esta Norma tambm usada no desenvolvimento de organizaes e indstrias especificas de
gerenciamento de segurana da informao, levando em considerao os seus ambientes de risco de
segurana da informao especficos.
Organizaes de todos os tipos e tamanhos (incluindo o setor privado e pblico, organizaes
comerciais e sem fins lucrativos), coletam, processam, armazenam e transmitem informaes em
diferentes formatos, incluindo o eletrnico, fsico e verbal (por exemplo, conversaes e apresentaes).
O valor da informao vai alm das palavras escritas, nmeros e imagens: conhecimento, conceitos,
ideias e marcas so exemplos de formas intangveis da informao. Em um mundo interconectado, a
informao e os processos relacionados, sistemas, redes e pessoas envolvidas nas suas operaes,
so informaes que, como outros ativos importantes, tm valor para o negcio da organizao e,
consequentemente, requer proteo contra vrios riscos.
Ativos so objeto de ameaas, tanto acidentais como deliberadas, enquanto que os processos,
sistemas, redes e pessoas tm vulnerabilidades inerentes. Mudanas nos processos e sistemas do
negcio ou outras mudanas externas (tais como novas leis e regulamentaes), podem criar novos
riscos de segurana da informao. Desta forma, em funo das vrias maneiras nas quais as ameaas
podem se aproveitarem das vulnerabilidades para causar dano organizao, os riscos de segurana
da informao esto sempre presentes. Uma segurana da informao eficaz reduz estes riscos,
protegendo a organizao das ameaas e vulnerabilidades e, assim, reduzindo o impacto aos seus
ativos.
A segurana da informao alcanada pela implementao de um conjunto adequado de controles,
incluindo polticas, processos, procedimentos, estrutura organizacional e funes de software e
hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados
criticamente e melhorados, quando necessrio, para assegurar que os objetivos do negcio e a
segurana da informao da organizao so atendidos.
Um sistema de gesto da segurana da informao (SGSI), a exemplo do especificado na
ABNT NBR ISO/IEC 27001, considera uma viso holstica e coordenada dos riscos de segurana da
informao da organizao, para implementar um conjunto de controles de segurana da informao
detalhado, com base na estrutura global de um sistema de gesto coerente.
Muitos sistemas de informao no tm sido projetados para serem seguros, na tica da
ABNT NBR ISO/IEC 27001 e desta Norma. A segurana que pode ser alcanada atravs de meios
tcnicos limitada e est apoiada por procedimentos e gerenciamentos apropriados. A identificao de
quais controles devem ser implementados requer planejamento e ateno cuidadosa em nvel de
detalhes. Um sistema de gesto da segurana da informao bem sucedido requer apoio de todos os
funcionrios da organizao. Isto pode tambm exigir a participao de acionistas, fornecedores ou
outras partes externas. Orientaes de especialistas externos podem tambm ser necessrias.
4/110
ABNT/CB-21
SET 2013
De um modo geral, uma segurana da informao eficaz tambm garante direo e outras partes
interessadas que os ativos da organizao esto razoavelmente seguros e protegidos contra danos,
agindo como um facilitador dos negcios.
0.2
Requisitos de segurana da informao
essencial que uma organizao identifique os seus requisitos de segurana da informao.

Existem trs fontes principais de requisitos de segurana da informao.
a) Uma fonte obtida a partir da avaliao de riscos para a organizao, levando-se em conta os
objetivos e as estratgias globais de negcio da organizao. Por meio da avaliao de riscos, so
identificadas as ameaas aos ativos, e as vulnerabilidades destes e realizada uma estimativa da
probabilidade de ocorrncia das ameaas e do impacto potencial ao negcio.
b) Uma outra fonte a legislao vigente, os estatutos, a regulamentao e as clusulas contratuais
que a organizao, seus parceiros comerciais, contratados e provedores de servio tm que
atender, alm do seu ambiente sociocultural.
c) A terceira fonte so os conjuntos particulares de princpios, objetivos e os requisitos do negcio
para o manuseio, processamento, armazenamento, comunicao e arquivo da informao, que
uma organizao tem que desenvolver para apoiar suas operaes.
Os recursos empregados na implementao dos controles precisam ser balaneados com base na
probabilidade de danos ao negcio, resultado dos problemas de segurana pela ausncia desses
controles. Os resultados de uma avaliao de risco ajudar a orientar e determinar as aes de gesto
apropriadas e as prioridades para gerenciar os riscos de segurana da informao e a implementao
dos controles selecionados para proteger contra estes riscos.
A ABNT NBR ISO/IEC 27005 fornece diretrizes sobre gesto de riscos de segurana da informao,
incluindo orientaes sobre avaliao de riscos, tratamentos de riscos, aceitao de riscos,
comunicao de riscos, monitoramento e anlise critica dos riscos.
0.3 Seleo de controle

Controles podem ser selecionados desta norma ou de outros conjuntos de controles, ou novos controles
podem ser projetados para atender necessidades especificas, conforme apropriado.
A seleo de controles de segurana da informao depende das decises da organizao, baseadas
nos critrios para aceitao de risco, nas opes para tratamento do risco e no enfoque geral da gesto
de risco aplicado organizao, e convm que tambm esteja sujeito a todas as legislaes e
regulamentaes nacionais e internacionais, relevantes. A seleo de controles tambm depende da
maneira pela qual os controles interagem para prover uma proteo segura.
Alguns dos controles nesta norma podem ser considerados como princpios bsicos para a gesto da
segurana da informao e podem ser aplicados na maioria das organizaes. Os controles so
explicados em mais detalhes logo a seguir, no campo diretrizes para implementao.
Mais informaes sobre seleo de controles e outras opes para tratamento de riscos podem ser
encontradas na ABNT NBR ISO/IEC 27005.
5/110
ABNT/CB-21
SET 2013
0.4 Desenvolvendo suas prprias diretrizes

Esta Norma pode ser considerada como um ponto de partida para o desenvolvimento de diretrizes
especficas para a organizao. Nem todos os controles e diretrizes contidos neste cdigo de prtica
podem ser aplicados. Alm disto, controles adicionais e recomendaes no includas nesta Norma,
podem ser necessrios. Quando os documentos so desenvolvidos contendo controles ou
recomendaes adicionais, pode ser til realizar uma referncia cruzada com as sees desta Norma,
onde aplicvel, para facilitar a verificao da conformidade por auditores e parceiros de negcio.
0.5 Consideraes sobre o ciclo de vida

A informao tem um ciclo de vida natural, desde a sua criao e origem, armazenagem,
processamento, uso e transmisso, at a sua eventual destruio ou obsolecncia. O valor e os riscos
aos ativos podem variar durante o tempo de vida da informao (por exemplo, revelao no autorizada
ou roubo de balanos financeiros de uma companhia, muito menos importante depois que elas so
formalmente publicadas), porm a segurana da informao permanece importante em algumas etapas
de todos os estgios.
Sistemas de informao tm ciclos de vida nos quais eles so concebidos, especificados, projetados,
desenvolvidos, testados, implementados, usados, mantidos e, eventualmente, retirados do servio e
descartados. Convm que a segurana da informao seja considerada em cada estgio.
Desenvolvimentos de sistemas novos e mudanas nos sistemas existentes so oportunidades para as
organizaes atualizarem e melhorarem os controles de segurana, levando em conta os incidentes
reais e os riscos de segurana da informao, projetados e atuais.
0.6 Normas relacionadas

Enquanto esta Norma oferece uma diretriz em uma ampla gama de controles de segurana da
informao, que so normalmente aplicados em muitas organizaes diferentes, as outras partes da
famlia de normas ISO/IEC 27000 fornece orientaes complementares ou requisitos sobre outros
aspectos do processo global de gerenciamento da segurana da informao.
A ISO/IEC 27000 apresenta uma introduo geral de um sistema de gesto da segurana da
informao e da famlia de normas da srie 27000. A ISO/IEC 27000 fornece um glossrio, contendo
definies da maioria dos termos usados em toda a famlia de normas da srie 27000, e descreve o
escopo e objetivos para cada membro da famlia.
1 Escopo
Esta Norma fornece diretrizes para prticas de gesto de segurana da informao e normas de
segurana da informao para as organizaes, incluindo a seleo, implementao e o gerenciamento
de controles, levando em considerao os ambientes de risco da segurana da informao da
organizao.
Esta norma projetada para ser usada por organizaes que pretendam:
a) selecionar controles dentro do processo de implementao de um sistema de gesto da segurana
da informao baseado na ABNT NBR ISO/IEC 27001;
b) implementar controles de segurana da informao comumente aceitos;
c) desenvolver seus prprios princpios de gesto da segurana da informao.
6/110
ABNT/CB-21
SET 2013
2 Referncias normativas
O documento referenciado a seguir indispensvel aplicao desta norma. Para referncias datadas,
aplicam-se somente as edies citadas. Para referncias no datadas, aplicam-se as edies mais
recentes do referido documento (incluindo emendas).
ISO/IEC 27000, Information technology Security techniques Information security management
systems - Overview and vocabulary
3 Termos e definies
Para os efeitos deste documento, aplicam-se os termos e definies da ISO IEC 27000:
4 Estrutura desta Norma

Esta Norma contm 14 sees de controles de segurana da informao, 35 Objetivos de controles e
114 controles.
4.1 Sees
Cada seo definindo os controles de segurana da informao contm um ou mais objetivos de
controle.
A ordem em que se encontram as sees no implica nem significa o seu grau de importncia.
Dependendo das circunstncias, os controles de segurana da informao de uma de quaisquer das
sees podem ser importantes; assim, convm que cada organizao implemente esta Norma
identificando quais controles so aplicveis, quo importantes eles so e qual a aplicao para os
processos individuais do negcio. A relao dos controles, portanto, no est em ordem de prioridade.
4.2 Categorias de controles

Cada seo principal contm:
a) um objetivo de controle declarando o que se espera ser alcanado;
b) um ou mais controles que podem ser aplicados para se alcanar o objetivo do controle.
As descries do controle esto estruturadas da seguinte forma:
Controle
Define a declarao especfica do controle, para atender ao objetivo de controle.
Diretrizes para implementao
Apresenta informaes mais detalhadas para apoiar a implementao do controle e alcanar o objetivo
do controle. As diretrizes podem no ser totalmente adequada ou suficiente em todas as situaes e
podem, portanto, no atender completamente os requisitos de controle especficos da organizao.
7/110
ABNT/CB-21
SET 2013
Informaes adicionais
Apresenta mais dados que podem ser considerados, como por exemplo, questes legais e referncias
normativas. Se no existem informaes adicionais, esta parte no mostrada no controle.
5 Polticas de segurana da informao

5.1 Orientao da direo para segurana da informao
Objetivo: Prover uma orientao e apoio da direo para a segurana da informao, de acordo com os
requisitos do negcio e com as leis e regulamentaes relevantes.
5.1.1
Polticas para segurana da informao
Controle
Convm que um conjunto de polticas de segurana da informao seja definido, aprovado pela direo,
publicado e comunicado para todos os funcionrios e partes externas relevantes.
Convm que no mais alto nvel a organizao defina uma poltica de segurana da informao, que seja
aprovada pela direo e estabelea a abordagem da organizao para gerenciar os objetivos de
segurana da informao.
Convm que as polticas de segurana da informao contemplem requisitos oriundos da:
a) estratgia do negcio;
b) de regulamentaes, legislao e contratos;
c) do ambiente de ameaa da segurana da informao, atual e futuro.
Convm que a poltica de segurana da informao contenha declaraes relativas a:
a) definio da segurana da informao, objetivos e princpios para orientar todas as atividades
relativas segurana da informao;
b) atribuio de responsabilidades, gerais e especficas, para o gerenciamento da segurana da
informao para os papis definidos;
c) processos para o tratamento dos desvios e excees.
No nvel mais baixo, convm que a poltica de segurana da informao seja apoiada por polticas de
tpicos especficos, que exigem a implementao de controles de segurana e que sejam estruturadas
para considerar as necessidades de certos grupos de interesse dentro da organizao ou para cobrir
tpicos especficos.
So exemplos de polticas com tpicos especficos:
a) controle de acesso (ver 9);
8/110
ABNT/CB-21
SET 2013
b) classificao e tratamento da informao (ver 8.2);

c) segurana fsica e do ambiente (ver 11);
d) tpicos orientados aos usurios finais:
1)
uso aceitvel dos ativos (ver 8.1.3);
2)
mesa Limpa e Tela Limpa (ver11.2.9);
3)
transferncia de informaes (ver 13.2.1);
4)
dispositivos mveis e trabalho remoto (ver 6.2);
5)
restries sobre o uso e instalao de software (ver 12.6.2);
e) backup (ver 12.3);

f)
transferncia da informao (ver 13.2);
g) proteo contra cdigos maliciosos (ver 12.2);

h) gerenciamento de vulnerabilidades tcnicas (ver 12.6.1);
i)
Controles criptogrficos (ver 10);
j)
segurana nas comunicaes (ver 13);
k) proteo e privacidade da informao de identificao pessoal (ver 18.1.4);

l)
relacionamento na cadeia de suprimento (ver 15).
Convm que estas polticas sejam comunicadas aos funcionrios e partes externas relevantes de forma
que sejam entendidas, acessveis e relevantes aos usurios pertinentes, por exemplo, no contexto de
um programa de conscientizao, educao e treinamento em segurana da informao.
A necessidade de polticas internas de segurana da informao varia entre organizaes. Polticas
internas so especialmente teis em organizaes maiores e mais complexas onde aqueles que
definem e aprovam os nveis esperados de controle so segregados daqueles que implementam os
controles, ou em situaes onde uma poltica se aplica a muitas pessoas ou funes diferentes na
organizao. Polticas de segurana da informao podem ser emitidas em um nico documento,
"poltica de segurana da informao" ou como um conjunto de documentos individuais, relacionados.
Se qualquer uma das polticas de segurana da informao distribuda fora da organizao, convm
que cuidados sejam tomados para no divulgar informaes confidenciais.
Algumas organizaes usam outros termos para estes documentos da poltica, como "Normas",
"Diretrizes" ou "Regras".
9/110
ABNT/CB-21
SET 2013
5.1.2
Anlise crtica das polticas para segurana da informao
Controle
Convm que as polticas para a segurana da informao sejam analisadas criticamente a intervalos
planejados ou quando mudanas significativas ocorrerem, para assegurar a sua contnua pertinncia,
adequao e eficcia.
Convm que cada poltica de segurana da informao tenha um gestor que tenha aprovado a
responsabilidade pelo desenvolvimento, anlise crtica e avaliao das polticas de segurana da
informao. Convm que a anlise crtica inclua a avaliao de oportunidades para melhoria da poltica
de segurana da informao da organizao e tenha um enfoque para gerenciar a segurana da
informao em resposta s mudanas ao ambiente organizacional, s circunstncias do negcio, s
condies legais, ou ao ambiente de tecnologia.
Convm que a anlise crtica das polticas de segurana da informao leve em considerao os
resultados da anlise crtica pela direo.
Convm que seja obtida a aprovao da direo para a poltica revisada.
6 Organizao da segurana da informao

6.1 Organizao interna
Objetivo: Estabelecer uma estrutura de gerenciamento, para iniciar e controlar a implementao da
segurana da informao dentro da organizao.
6.1.1
Responsabilidades e papis pela segurana da informao
Controle
Convm que todas as responsabilidades pela segurana da informao sejam definidas e atribudas.
Convm que a atribuio das responsabilidades pela segurana da informao seja feita em
conformidade com as polticas de segurana da informao (ver 5.1.1). Convm que as
responsabilidades pela proteo de cada ativo e pelo cumprimento de processos de segurana da
informao especficos sejam claramente definidas. Convm que as responsabilidades pelas atividades
do gerenciamento dos riscos de segurana da informao e, em particular, pela aceitao dos riscos
residuais sejam definidas. Convm que as responsabilidades
sejam complementadas, onde
necessrio, com orientaes mais detalhadas para locais especficos e recursos de processamento da
informao. Convm que as responsabilidades locais para a proteo dos ativos e para realizar
processos de segurana da informao especficos, sejam definidas.
Convm que pessoas com responsabilidades definidas pela segurana da informao delegem as
tarefas de segurana da informao para outros usurios. Todavia, eles continuam responsveis para
verificar se as tarefas delegadas esto sendo executadas corretamente.
10/11
0
ABNT/CB-21
SET 2013
Convm que as reas pelas quais as pessoas sejam responsveis, estejam claramente definidas; em
particular recomenda-se que os seguintes itens sejam cumpridos:
a) Convm que os ativos e os processos de segurana da informao sejam identificados e
claramente definidos;
b) O gestor responsvel por cada ativo ou processo de segurana da informao tenha atribuies
definidas e os detalhes dessa responsabilidade sejam documentados (ver 8.1.2);
c) Os nveis de autorizao sejam claramente definidos e documentados;
d) As pessoas indicadas sejam competentes e capazes de cumprir com as responsabilidades pela
segurana da informao e a elas seja dada a oportunidade de manter-se atualizada com os
desenvolvimentos;
e) A coordenao e a viso global dos aspectos de segurana da informao na cadeia de suprimento
sejam identificadas e documentadas.
Muitas organizaes atribuem a um gestor de segurana da informao a responsabilidade global pelo
desenvolvimento e implementao da segurana da informao, e para apoiar a identificao de
controles.
Entretanto, a responsabilidade por pesquisar e implementar os controles frequentemente permanecer
com os gestores individuais. Uma poltica comum a nomeao de um proprietrio para cada ativo que,
ento, se torna responsvel por sua proteo no dia-a-dia.
6.1.2
Segregao de funes
Controle
Convm que funes conflitantes e reas de responsabilidade sejam segregadas para reduzir as
oportunidades de modificao no autorizada ou no intencional, ou uso indevido dos ativos da
organizao.
Convm que sejam tomados certos cuidados para impedir que uma nica pessoa possa acessar,
modificar ou usar ativos sem a devida autorizao ou deteco. Recomenda-se que o incio de um
evento seja separado de sua autorizao. A possibilidade de existncia de conluios seja considerada no
projeto dos controles.
Pequenas organizaes podem encontrar dificuldades em aplicar a segregao de funo, mas o
princpio deve ser aplicvel, to logo seja possvel e praticvel. Apesar da dificuldade em segregar,
convm considerar outros controles, como, monitorao de atividades, trilhas de auditoria e
gerenciamento da superviso.
11/11
0
ABNT/CB-21
SET 2013
Segregao de funes um mtodo para reduzir o risco de mau uso, acidental ou deliberado, dos
ativos de uma organizao.
6.1.3
Contato com autoridades
Controle
Convm que contatos apropriados com autoridades relevantes sejam mantidos.
Convm que a organizao tenha procedimentos implementados que especifiquem quando e quais
autoridades (por exemplo, obrigaes legais, corpo de bombeiros, autoridades fiscalizadoras, entidades
regulatrias) sero contactadas e como os incidentes de segurana da informao identificados sero
reportados em tempo hbil (por exemplo,no caso de suspeita de que a lei foi violada).
Organizaes sob ataque da internet podem vir a necessitar que autoridades tomem providncias
contra a origem dos ataques.
Manter tais contatos pode ser um requisito para apoiar a gesto de incidentes de segurana da
informao (ver 16) ou do processo de planejamento da contingncia e da continuidade de negcio (ver
clusula 17).Contatos com rgos regulatrios tambm so teis para antecipar-se e preparar-se para
futuras alteraes em leis ou regulamentos, que tero que ser implementados pela organizao.
Contatos com outras autoridades incluem servios de infraestrutura, servios de emergncia,
fornecedores de energia, sade e segurana, por exemplo, corpo de bombeiros (juntamente com
continuidade de negcios), fornecedores de telecomunicaes (juntamente com rotas de linha e
disponibilidade) e fornecedores de gua (juntamente com instalao de refrigerao para os
equipamentos).
6.1.4
Contato com grupos especiais
Controle
Convm que contatos apropriados com grupos especiais, associaes profissionais ou outros fruns
especializados em segurana da informao sejam mantidos.
Convm que a associao a grupos especiais ou fruns sejam considerados como forma de:
a) ampliar o conhecimento sobre as melhores prticas e manter-se atualizado com as informaes
relevantes sobre segurana da informao;
b) assegurar que o entendimento do ambiente de segurana da informao est atual e completo;
c) receber previamente advertncias de alertas, aconselhamentos e correes relativos a ataques e
vulnerabilidades;
d) conseguir acesso consultoria especializada em segurana da informao;
12/11
0
ABNT/CB-21
SET 2013
e) compartilhar e trocar informaes sobre novas tecnologias, produtos, ameaas ou vulnerabilidades;

f)
prover relacionamentos adequados quando tratar com incidentes de segurana da informao (ver
16).
Acordos de compartilhamento de informaes podem ser estabelecidos para melhorar a cooperao e
coordenao de assuntos de segurana da informao. Convm que tais acordos identifiquem
requisitos para a proteo de informao confidencial.
6.1.5
Segurana da informao no gerenciamento de projetos
Controle
Convm que a segurana da informao seja considerada no gerenciamento de projetos,
independentemente do tipo do projeto.
Convm que a segurana da informao seja integrada nos mtodos de gerenciamento de projeto da
organizao para assegurar que os riscos de segurana da informao esto identificados e
considerados como parte de um projeto. Isto se aplica de um modo geral, para qualquer projeto
independentemente do seu propsito, por exemplo, se um projeto para um processo crtico do
negcio, um processo de TI, de gerenciamento de recursos ou outro processo de apoio.
Convm que os mtodos de gerenciamento de projetos usados requeiram que:

a) os objetivos de segurana da informao sejam contemplados nos objetivos do projeto;
b) uma avaliao dos riscos de segurana da informao seja conduzida em estgios iniciais do
projeto para identificar os controles que so necessrios;
c) a segurana da informao seja parte integrante de todas as fases da metodologia do projeto.
Convm que as questes de segurana da informao sejam consideradas e analisadas criticamente a
intervalos planejados, em todos os projetos. Convm que as responsabilidades pela segurana da
informao sejam definidas e alocadas para papis especficos definidos dos mtodos de
gerenciamento de projeto.
6.2 Dispositivos mveis e trabalho remoto

Objetivo: Garantir a segurana das informaes no trabalho remoto e no uso de dispositivos mveis.
6.2.1
Poltica para o uso de dispositivo mvel
Controle
Convm que uma poltica e medidas que apoiam a segurana da informao seja adotada para
gerenciar os riscos decorrentes do uso de dispositivos mveis.
13/11
0
ABNT/CB-21
SET 2013

Convm que quando se utilizam dispositivos mveis, cuidados especiais sejam tomados para assegurar
que as informaes do negcio no sejam comprometidas. Convm que a poltica de dispositivos
mveis leve em considerao os riscos de se trabalhar com esses dispositivos mveis em ambientes
desprotegidos.
Convm que a poltica para uso de dispositivos mveis considere:
a) registros dos dispositivos mveis;
b) requisitos para a proteo fsica;
c) restries quanto instalao de softwares;
d) requisitos para as verses dos softwares e aplicaes de patches;
e) restries para conexo aos servios de informao;
f)
controle de acesso;
g) tcnicas criptogrficas;
h) proteo contra cdigos maliciosos;
i)
desativao, bloqueio e excluso de forma remota;
j)
backups;
k) uso dos servios web e aplicaes web.

Convm que cuidados sejam tomados ao se utilizarem dispositivos mveis em locais pblicos, salas de
reunies e outras reas desprotegidas. Convm que sejam estabelecidas protees para evitar o
acesso no autorizado ou a divulgao de informaes armazenadas e processadas nesses
dispositivos, por exemplo, atravs da utilizao de tcnicas de criptografia (ver 10) e do uso de
informao de autenticao secreta (ver 9.2.3).
Convm que os dispositivos mveis sejam tambm protegidos fisicamente contra roubo, especialmente
quando deixados, por exemplo, em carros ou em outros meios de transporte, quartos de hotis, centros
de conferncia e locais de reunio. Convm que seja estabelecido um procedimento especfico que leve
em considerao requisitos legais, securitrios e outros requisitos de segurana da organizao para
casos de furto, roubo ou perda de dispositivos mveis.
Convm que os dispositivos mveis que contm informaes importantes, sensveis e/ou crticas para o
negcio, no sejam deixados sem observao e, quando possvel, estejam fisicamente trancados com o
uso de travas especiais, para proteger esses dispositivos mveis.
Convm que seja programado treinamento para as pessoas que usam dispositivos mveis, como forma
de aumentar a conscientizao quanto aos riscos adicionais decorrentes desta forma de trabalho, e os
controles que recomenda-se implementar.
14/11
0
ABNT/CB-21
SET 2013
Onde a poltica de dispositivos mveis permita o uso de dispositivos pessoais, convm que esta poltica
e os controles de segurana relacionados, tambm considerem:
a) separao do uso do dispositivo para negcio e para fins pessoais, incluindo os softwares para
apoiar esta separao e proteger os dados do negcio em um dispositivo privado;
b) prover acesso s informaes do negcio somente depois que os usurios assinarem o acordo de
conhecimento das suas responsabilidades (quanto a proteo fsica, atualizao do software, entre
outros), renunciando direitos autorais dos dados do negcio, que permita a excluso remota dos
dados pela organizao no caso de furto, roubo ou perda do dispositivo mvel ou ainda, quando
no mais houver autorizao para o uso dos servios. Esta poltica precisa levar em considerao
a legislao sobre privacidade.
Conexes de dispositivos mveis sem fio so similares a outros tipos de conexes de rede, mas
possuem diferenas importantes as quais recomenda-se considerar na identificao dos controles. As
diferenas tpicas so:
a) alguns protocolos de segurana sem fio so imaturos e possuem fraquezas conhecidas;
b) informaes armazenadas em dispositivos mveis podem no ser passveis de cpia de segurana
por conta de limitaes da largura de banda da rede ou porque dispositivos mveis podem no
estar conectados no momento em que a cpia de segurana for agendada.
Dispositivos mveis geralmente compartilham funes comuns, por exemplo: rede, acesso internet, email e manuseio de arquivos, com uso de dispositivos fixos. Controles de segurana da informao para
os dispositivos mveis geralmente consistem naqueles adotados para o uso de dispositivos fixos e
aqueles para enderear ameaas levantadas pelo seu uso fora das instalaes da organizao.
6.2.2
Trabalho remoto
Controle
Convm que uma poltica e medidas que apoiam a segurana da informao sejam implementadas
para proteger as informaes acessadas, processadas ou armazenadas em locais de trabalho remoto
Convm que a organizao que permita a atividade de trabalho remoto publique uma poltica que defina
as condies e restries para o uso do trabalho remoto. Quando considerados aplicveis e permitidos
por lei, convm que os seguintes pontos sejam considerados:
a) a segurana fsica existente no local do trabalho remoto, levando-se em considerao a segurana
fsica do prdio e o ambiente local;
b) o ambiente fsico proposto para o trabalho remoto;
c) os requisitos de segurana nas comunicaes, levando em considerao a necessidade do acesso
remoto aos sistemas internos da organizao, a sensibilidade da informao que ser acessada e
trafegada na linha de comunicao e a sensibilidade do sistema interno;
15/11
0
ABNT/CB-21
SET 2013
d) a proviso de acesso virtual s estaes de trabalho dos usurios, para prevenir o processamento
e o armazenamento da informao em um equipamento de propriedade particular;
e) a ameaa de acesso no autorizado informao ou aos recursos de processamento da
informao por outras pessoas que utilizam o local, por exemplo familiares e amigos;
f)
o uso de redes domsticas e requisitos ou restries na configurao de servios de rede sem fio;
g) polticas e procedimentos para evitar disputas relativas a direitos de propriedade intelectual

desenvolvidas em equipamentos de propriedade particular;
h) acesso a equipamentos de propriedade particular (para verificar a segurana da mquina ou
durante uma investigao), que pode ser proibido legalmente;
i)
acordos de licenciamento de software que podem tornar as organizaes responsveis pelo

licenciamento do software cliente em estaes de trabalho particulares de propriedade de
funcionrios, fornecedores ou terceiros;
j)
requisitos de proteo contra vrus e requisitos de firewall.
Convm que as diretrizes e providncias considerem:

a) a proviso de equipamento e moblia apropriados s atividades de trabalho remoto, onde o uso de
equipamentos de propriedade particular que no esteja sob controle da organizao no seja
permitido;
b) uma definio do trabalho permitido, o perodo de trabalho, a classificao da informao que pode
ser tratada e os sistemas internos e servios que o usurio do trabalho remoto est autorizado a
acessar;
c) proviso de equipamento de comunicao apropriado, incluindo mtodos para acesso remoto
seguro;
d) segurana fsica;
e) regras e diretrizes sobre o acesso de familiares e visitantes ao equipamento e informao;
f)
a proviso de suporte e manuteno de hardware e software;
g) a proviso de seguro;
h) os procedimentos para cpias de segurana e continuidade do negcio;
i)
auditoria e monitoramento da segurana;
j)
revogao de autoridade e direitos de acesso, e devoluo do equipamento quando as atividades

de trabalho remoto cessarem.
16/11
0
ABNT/CB-21
SET 2013
Trabalho remoto refere-se a todas as formas de trabalho fora do escritrio, incluindo ambientes de
trabalho no tradicionais, como aqueles referidos como: ambientes de telecommuting, local de
trabalho flexvel, trabalho remoto e trabalho virtual.
7 Segurana em recursos humanos

7.1 Antes da contratao
Objetivo: Assegurar que funcionrios e partes externas entendam suas responsabilidades e estejam em
conformidade com os papis para os quais eles foram selecionados.
7.1.1
Seleo
Controle
Convm que verificaes do histrico sejam realizadas para todos os candidatos a emprego, de acordo
com a tica, regulamentaes e leis relevantes, e seja proporcional aos requisitos do negcio, aos
riscos percebidos e classificao das informaes a serem acessadas.
Convm que as verificaes levem em considerao toda a legislao pertinente relativa privacidade,
proteo da informao de identificao pessoal e do emprego e, onde permitido, incluam os seguintes
itens:
a) disponibilidade de referncias de carter satisfatrias, por exemplo uma profissional e uma pessoal;
b) uma verificao (da exatido e completeza) das informaes do curriculum vitae do candidato;
c) confirmao das qualificaes acadmicas e profissionais;
d) verificao independente da identidade (passaporte ou documento similar);
e) verificaes mais detalhadas, tais como verificaes financeiras (de crdito) ou verificaes de
registros criminais.
Convm que quando um individuo seja contratado para desempenhar o papel de segurana da
informao, a organizao certifique-se de que o candidato:
a) tem a competncia necessria para executar as atividades de segurana da informao;
b) suficientemente confivel para desempenhar a sua tarefa, especialmente se a atividade crtica
para a organizao.
Onde um trabalho envolver pessoas, tanto por contratao como por promoo, que tenham acesso
aos recursos de processamento da informao, em particular aquelas que tratam de informaes
sensveis, como informaes financeiras ou informaes altamente confidenciais, convm que a
organizao faa verificaes mais detalhadas.
17/11
0
ABNT/CB-21
SET 2013
Convm que procedimentos definam critrios e limitaes para as verificaes de controle, por
exemplo, quem est qualificado para selecionar as pessoas, e como, quando e por que as verificaes
de controle so realizadas.
Convm que um processo de seleo tambm seja feito para fornecedores e partes externas. Nestes
casos, convm que o acordo entre a organizao e o prestador de servios especifique as
responsabilidades por conduzir e realizar a seleo, bem como os procedimentos de notificao que
precisam ser seguidos no caso em que a seleo no tenha sido concluda ou se os resultados gerarem
dvidas ou preocupaes.
Convm que as informaes sobre todos os candidatos que esto sendo considerados para certas
posies dentro da organizao, sejam levantadas e tratadas de acordo com a legislao apropriada
existente na jurisdio pertinente. Dependendo da legislao aplicvel, convm que os candidatos
sejam previamente informados sobre as atividades de seleo.
7.1.2
Termos e condies de contratao
Controle
Convm que as obrigaes contratuais com funcionrios e partes externas, declarem as suas
responsabilidades e a da organizao para a segurana da informao.
Convm que as obrigaes contratuais para funcionrios e partes externas, reflitam as polticas para
segurana da informao da organizao, esclarecendo e declarando:
a) que todos os funcionrios, fornecedores e partes externas que tenham acesso a informaes
sensveis assinem um termo de confidencialidade ou de no divulgao, antes de lhes ser dado o
acesso aos recursos de processamento da informao (ver 13.2.4);
b) as responsabilidades legais e direitos dos funcionrios e partes externas, e quaisquer outros
usurios, por exemplo, com relao s leis de direitos autorais e legislao de proteo de dados
(ver 18.1.4);
c) as responsabilidades pela classificao da informao e pelo gerenciamento dos ativos da
organizao, associados com a informao, com os recursos de processamento da informao e
com os servios de informao conduzidos pelos funcionrios, fornecedores ou partes externas
(ver 8);
d) as responsabilidades dos funcionrios ou partes externas, pelo tratamento da informao recebida
de outras companhias ou partes interessadas;
e) aes a serem tomadas no caso de o funcionrio ou partes externas, desrespeitar os requisitos de
segurana da informao da organizao (ver 7.2.3).
Convm que os papis e responsabilidades pela segurana da informao sejam comunicados para o
candidato durante o processo de pr-contratao.
Convm que a organizao assegure que os funcionrios ou partes externas concordem com os
termos e condies relativas segurana da informao, adequados natureza e abrangncia do
18/11
0
ABNT/CB-21
SET 2013
acesso que eles tero aos ativos da organizao, associados com os sistemas e servios de
informao.
Onde apropriado, convm que as responsabilidades contidas nos termos e condies de contratao
continuem por um perodo de tempo definido, aps o trmino da contratao (ver 7.3).
Um cdigo de conduta pode ser usado para estabelecer as responsabilidades de segurana da
informao do funcionrio ou parte externa quanto confidencialidade, proteo de dados, tica, uso
apropriado dos equipamentos e recursos da organizao, assim como as prticas respeitosas
esperadas pela organizao. Partes externas com as quais um fornecedor associado podem ser
solicitadas a entrar nos acordos contratuais em nome do indivduo contratado.
7.2 Durante a contratao

Objetivo: Assegurar que os funcionrios e partes externas esto conscientes e cumprem as suas
responsabilidades pela segurana da informao.
7.2.1
Responsabilidades da direo
Controle
Convm que a Direo solicite a todos os funcionrios e partes externas que pratiquem a segurana da
informao de acordo com o estabelecido nas polticas e procedimentos da organizao.
Convm que as responsabilidades da direo assegurem que os funcionrios e partes externas:
a) esto adequadamente instrudos sobre as suas responsabilidades e papis pela segurana da
informao, antes de obter acesso s informaes sensveis ou aos sistemas de informao;
b) recebam diretrizes que definam quais as expectativas sobre a segurana da informao de suas
atividades dentro da organizao;
c) esto motivados para cumprir com as polticas de segurana da informao da organizao;
d) atinjam um nvel de conscientizao sobre segurana da informao que seja relevante para os
seus papis e responsabilidades dentro da organizao (ver 7.2.2);
e) cumpram com os termos e condies de trabalho, que incluam a poltica de segurana da
informao da organizao e mtodos apropriados de trabalho;
f)
tenham as habilidades e qualificaes apropriadas e sejam treinados em bases regulares;
g) tenham disponveis um canal de notificao, de forma annima, para reportar violaes nas
polticas e procedimentos de segurana da informao.
recomendado que a direo demonstre seu apoio s polticas, procedimentos e controles, e aja como
tal, de forma exemplar.
19/11
0
ABNT/CB-21
SET 2013
Se os funcionrios e fornecedores no forem conscientizados das suas responsabilidades em
segurana da informao, eles podem causar danos considerveis para uma organizao.
Pessoal motivado pode ser mais confivel e causar menos incidentes de segurana da informao.
Uma m gesto pode fazer com que o pessoal se sinta desvalorizado, resultando em impacto negativo
na segurana da informao da organizao. Por exemplo, uma m gesto pode levar a segurana da
informao a ser negligenciada ou a um potencial mau uso dos ativos da organizao.
7.2.2
Conscientizao, educao e treinamento em segurana da informao
Controle
Convm que todos os funcionrios da organizao e, onde pertinente, partes externas devem recebam
treinamento, educao e conscientizao apropriados, e as atualizaes regulares das polticas e
procedimentos organizacionais relevantes para as suas funes.
Convm que um programa de conscientizao em segurana da informao tenha por objetivo tornar os
funcionrios e, onde relevante, partes externas, conscientes das suas responsabilidades para a
segurana da informao e os meios pelos quais essas responsabilidades so realizadas.
Convm que um programa de conscientizao em segurana da informao seja estabelecido alinhado
com as polticas e procedimentos relevantes de segurana da informao da organizao, levando em
considerao as informaes da organizao a serem protegidas e os controles a serem
implementados para proteger a informao.
Convm que o programa de conscientizao considere um nmero de atividades de conscientizao,
tais como, campanhas (por exemplo, dia da segurana da informao) e a publicao de boletins ou
folhetos.
Convm que o programa de conscientizao seja planejado levando em considerao os papis a
serem desempenhados na organizao pelos funcionrios e, onde relevante, as expectativas da
organizao quanto conscientizao das partes externas. Convm que as atividades do programa de
conscientizao sejam planejadas ao longo do tempo, preferencialmente de forma regular, de tal modo
que as atividades sejam repetidas e contemplem novos funcionrios e partes externas.
Convm que o programa de conscientizao tambm seja atualizado regularmente, de modo que ele
permanea alinhado com as polticas e os procedimentos da organizao, e seja construdos com base
nas lies aprendidas dos incidentes de segurana da informao.
Convm que o treinamento em conscientizao seja realizado conforme requerido pelo programa de
conscientizao em segurana da informao da organizao. Convm que o treinamento em
consientizao use diferentes formas de apresentao, tais como, treinamento presencial, treinamento
a distncia, treinamento baseado em web, autodidata e outros.
Convm que o treinamento e educao em segurana da informao tambm contemple aspectos
gerais, como:
20/11
0
ABNT/CB-21
SET 2013
a) declarao do comprometimento da direo com a segurana da informao em toda a

organizao;
b) a necessidade de tornar conhecido e estar em conformidade com as obrigaes e regras de
segurana da informao aplicavis, conforme definido nas polticas, normas, leis,
regulamentaes, contratos e acordos.
c) responsabilidade pessoal por seus prprios atos e omisses, e compromissos gerais para manter
seguro ou para proteger a informao que pertena a organizao e partes externas.
d) procedimentos de segurana da informao bsicos (tais como, notificao de incidente de
segurana da informao) e controles bsicos (tais como, segurana da senha, controles contra
cdigos maliciosos e poltica de mesa limpa e tela limpa).
e) pontos de contato e recursos para informaes adicionais e orientaes sobre questes de
segurana da informao, incluindo materiais de treinamento e educao em segurana da
informao.
Convm que o treinamento e a educao em segurana da informao seja realizado periodicamente.
Treinamento e educao iniciais se aplicam aqueles que so transferidos para novas posies ou
atribuies com requisitos de segurana da informao completamente diferentes, e no apenas para
os novos iniciantes e deve ser realizado antes das pessoas assumirem os seus papis.
Convm que a organizao desenvolva o programa de treinamento e educao com o objetivo de
conduzir a educao e treinamento de forma eficaz. Convm que o programa esteja alinhado com as
polticas e procedimentos relevantes de segurana da informao da organizao, levando em
considerao as informaes da organizao a serem protegidas e os controles que devem ser
implementados para proteger a informao. Convm que o programa considere diferentes formas de
educao e treinamento, tais como, leituras ou auto-estudos.
Ao compor um programa de conscientizao, importante no focar apenas no o que e como, mas
tambm no por que. importante que os funcionrios entendam os objetivos da segurana da
informao e o impacto potencial, positivo e negativo, do seu prprio comportamento na organizao.
Conscientizao, educao e treinamento pode ser parte de, ou conduzido em colaborao com outras
atividades de treinamento geral em TI ou treinamento geral em segurana.
Conscientizao, educao e atividades de treinamento devem ser ajustveis e relevantes aos papis
dos indivduos, responsabilidades e habilidades (ver 7.2.2).
Uma avaliao do entendimento das pessoas pode ser conduzida no final do curso de conscientizao,
educao ou treinamento para testar a transferncia de conhecimento.
7.2.3
Processo disciplinar
Controle
Convm que exista um processo disciplinar formal, implantado e comunicado, para tomar aes contra
funcionrios que tenham cometido uma violao de segurana da informao.
21/11
0
ABNT/CB-21
SET 2013

Convm que o processo disciplinar no inice sem uma verificao prvia de que a violao da
segurana da informao realmente ocorreu (Ver 16.1.7).
Convm que o processo disciplinar formal assegure um tratamento justo e correto aos funcionrios que
so suspeitos de cometer violaes de segurana da informao. Convm que o processo disciplinar
formal apresente uma resposta de forma gradual, que leve em considerao fatores como a natureza e
a gravidade da violao e o seu impacto no negcio, se este ou no o primeiro delito, se o infrator foi
ou no adequadamente treinado, as legislaes relevantes, os contratos do negcio e outros fatores
conforme requerido.
Convm que o processo disciplinar tambm seja usado como uma forma de dissuaso, para evitar que
os funcionrios e partes externas, violem os procedimentos e as polticas de segurana da informao
da organizao, e quaisquer outras violaes na segurana da informao. Violaes deliberadas
(propositais), podem exigir aes imediatas.
O processo disciplinar pode tambm tornar-se uma motivao ou um incentivo se recompensas
positivas forem definidas por comportamento destacvel no que se refere segurana da informao.
7.3 Encerramento e mudana da contratao

Objetivo: Proteger os interesses da organizao como parte do processo de mudana ou encerramento
da contratao.
7.3.1
Responsabilidades pelo encerramento ou mudana da contratao
Controle
Convm que as responsabilidades e obrigaes pela segurana da informao que permaneam
vlidas aps um encerramento ou mudana da contratao, sejam definidas, comunicadas aos
funcionrios ou partes externas e sejam cumpridas.
Convm que a comunicao de encerramento de atividades inclua requisitos de segurana da
informao e responsabilidades legais existentes e, onde apropriado, responsabilidades contidas em
quaisquer acordos de confidencialidade e os termos e condies de trabalho que continuem por um
perodo definido aps o fim do trabalho do funcionrio ou partes externas.
Convm que as responsabilidades e obrigaes contidas nos contratos dos funcionrios ou partes
externas, permaneam vlidas aps o encerramento das atividades.
Convm que as mudanas de responsabilidades ou do trabalho sejam gerenciadas quando do
encerramento da responsabilidade ou do trabalho atual, combinado com o incio de novas
responsabilidades ou trabalho.
22/11
0
ABNT/CB-21
SET 2013
A funo de Recursos Humanos geralmente responsvel por todo processo de demisso e trabalha
junto com o gestor da pessoa que est saindo da empresa para gerir os aspectos relevantes dos
procedimentos de segurana da informao. No caso de um prestador de servio fornecido por uma
parte externa, este processo feito pela parte externa de acordo com o contrato entre a organizao e
a parte externa.
Pode ser necessrio informar funcionrios, clientes ou fornecedores de alteraes de pessoal e acordos
operacionais.
8 Gesto de ativos
8.1 Responsabilidade pelos ativos
Objetivo: Identificar os ativos da organizao e definir as responsabilidades apropriadas para a proteo
dos ativos.
8.1.1
Inventrio dos ativos
Controle
Convm que os ativos associados com informao e com os recursos de processamento da informao
sejam identificados e um inventrio destes ativos seja estruturado e mantido.
Convm que a organizao identifique os ativos relevantes no ciclo de vida da informao e documente
a sua importncia. Convm que o ciclo de vida da informao inclua a criao, o processamento, o
armazenamento, a transmisso, a excluso e a sua destruio. Convm que a documentao seja
mantida em um inventrio existente ou exclusivo, conforme apropriado.
Convm que o inventrio de ativos seja completo, atualizado, consistente e alinhado com outros
inventrios.
Convm que para cada um dos ativos identificados, seja indicado um responsvel (ver 8.1.2) e a
classificao do ativo a ser identificado (ver 8.2).
Os inventrios de ativos ajudam a assegurar que a proteo efetiva ocorra, e podem igualmente ser
exigidos para outras finalidades, tais como a sade e segurana, razes de seguro ou financeiras
(gesto de ativos).
A ABNT NBR ISO/IEC 27005 fornece exemplos de ativos que podem necessitar serem considerados
pela organizao na identificao dos ativos. O processo de compilao de um inventrio de ativos
um pr-requisito importante da gesto de riscos.
8.1.2
Proprietrio dos ativos
Controle
Convm que os ativos mantidos no inventrio tenham um proprietrio.
23/11
0
ABNT/CB-21
SET 2013

Convm que as pessoas e outras entidades que tenham responsabilidades aprovadas pela direo para
qualificar o ciclo de vida do ativo sejam designadas como o proprietrio deste ativo.
Convm que seja implementado um processo para assegurar a atribuio, em tempo hbil, do
proprietrio de um ativo. Convm que o proprietrio seja designado quando os ativos so criados ou
quando os ativos so transferidos para a organizao. Convm que o proprietrio do ativo seja
responsvel pelo prprio gerenciamento deste ativo ao longo do seu ciclo de vida.
Convm que o proprietrio do ativo:
a) assegure que os ativos so inventariados;
b) assegure que os ativos so adequadamente classificados e protegidos;
c) defina e periodicamente analise criticamente as classificaes e restries ao acesso aos ativos
importantes, levando em conta as polticas de controle de acesso aplicveis;
d) assegure um adequado tratamento quando o ativo excludo ou destrudo.
O proprietrio identificado pode ser um indivduo ou uma entidade que aprovou a responsabilidade pela
gesto, para controlar todo o ciclo de vida de um ativo. O proprietrio identificado no tem
necessariamente quaisquer direitos de propriedade sobre o ativo.
As tarefas de rotina podem ser delegadas, por exemplo, para um custodiante cuidar dos ativos no dia-adia, mas a responsabilidade permanece com o proprietrio.
Em sistemas de informao complexos, pode ser til definir grupos de ativos que atuem juntos para
fornecer um servio particular. Neste caso, o proprietrio deste servio responsvel pela entrega do
servio, incluindo a operao dos ativos envolvidos.
8.1.3
Uso aceitvel dos ativos
Controle
Convm que regras para o uso aceitvel das informaes, dos ativos associados com a informao e
dos recursos de processamento da informao, sejam identificadas, documentadas e implementadas.
Convm que funcionrios e partes externas que usam ou tm acesso aos ativos da organizao
estejam conscientes dos requisitos de segurana da informao dos ativos da organizao, associados
com a informao e os recursos e instalaes de processamento da informao. Convm que eles
sejam responsveis pelo seu uso de qualquer recurso de processamento da informao e tal uso seja
realizado sob sua responsabilidade
24/11
0
ABNT/CB-21
SET 2013
8.1.4
Devoluo de ativos
Controle
Convm que todos os funcionrios e partes externas devolvam todos os ativos da organizao que
estejam em sua posse, aps o encerramento de suas atividades, do contrato ou acordo.
Convm que o processo de encerramento de atividades seja formalizado para contemplar a devoluo
de todos os equipamentos fsico e eletronico, de propriedade da organizao.
Convm que no caso em que um funcionrio ou partes externas, compre o equipamento da organizao
ou use o seu prprio equipamento pessoal, procedimentos sejam adotados para assegurar que toda a
informao relevante seja transferida para a organizao e que seja apagada de forma segura do
equipamento (Ver 11.2.7).
Convm que nos casos em que o funcionrio ou partes externas, tenham conhecimento de que seu
trabalho importante para as atividades que so executadas, esta informao seja documentada e
transferida para a organizao.
Convm que durante o perodo de encerramento, a organizao monitore possveis cpias de
informaes relevantes (por exemplo, propriedade intelectual) pelos funcionrios ou partes externas que
esto saindo da organizao.
8.2 Classificao da informao

Objetivo: Assegurar que a informao receba um nvel adequado de proteo, de acordo com a sua
importncia para a organizao.
8.2.1
Classificao da informao
Controle
Convm que a informao seja classificada em termos do seu valor, requisitos legais, sensibilidade e
criticidade para evitar modificao ou divulgao no autorizada.
Convm que a classificao e os controles de proteo, associados para a informao, leve em
considerao as necessidades do negcio para compartilhar ou restrigir a informao bem como os
requisitos legais. Convm que outros ativos alm dos ativos de informao tambm sejam classificados
de acordo com a classificao da informao armazenada, processada, manuseada ou protegida pelo
ativo.
Convm que os proprietrios de ativos de informao sejam responsveis por sua classificao.
Convm que o esquema de classificao inclua convenes para classificao e critrios para anlise
crtica da classificao ao longo do tempo. Convm que o nvel de proteo seja avaliado por meio da
anlise da confidencialidade, integridade e disponibilidade e quaisquer requisitos considerados para a
informao.
25/11
0
ABNT/CB-21
SET 2013
Convm que o esquema esteja alinhado com a poltica de controle de acesso (Ver 9.1.1).
Convm que a cada nvel seja dado um nome que faa sentido no contexto do esquema de
classificao.
Convm que o esquema seja consistente em toda a organizao de forma que cada pessoa possa
classificar a informao e os ativos relacionados da mesma forma, e tenham um entendimento comum
dos requisitos de proteo e apliquem a proteo apropriada.
Convm que a classificao seja includa nos processos da organizao e seja consistente e coerente
em toda a organizao. Convm que os resultados da classificao indiquem o valor dos ativos em
funo da sua sensibilidade e criticidade para a organizao, em termos da confidencialidade,
integridade e disponibilidade. Convm que os resultados da classificao sejam atualizados de acordo
com as mudanas do seu valor, sensibilidade e criticidade ao longo do seu ciclo de vida.
A Classificao fornece s pessoas que lidam com informaes uma indicao concisa de como tratar e
proteger a informao. A criao de grupos de informao com necessidades de proteo semelhantes
e especificao dos procedimentos de segurana da informao que se aplicam a todas as informaes
de cada grupo, um facilitador. Esta abordagem reduz a necessidade de avaliao de risco e a
customizao personalizada de controles caso a caso.
A informao pode deixar de ser sensvel ou crtica aps certo perodo de tempo, por exemplo, quando
a informao se torna pblica. Convm que estes aspectos sejam levados em considerao, pois uma
classificao superestimada pode levar implementao de controles desnecessrios, resultando em
despesas adicionais ou, pelo contrrio, classificaes subestimada podem pr em perigo o alcance dos
objetivos de negcio.
Um exemplo de um esquema de classificao de confidencialidade da informao poderia ser baseado
em quatro nveis, a seguir:
a) quando sua divulgao no causa nenhum dano;
b) quando a divulgao causa constrangimento menor ou inconvenincia operacional menor;
c) quando a divulgao tem um pequeno impacto significativo nas operaes ou objetivos tticos;
d) quando a divulgao tem um srio impacto sobre os objetivos estratgicos de longo prazo, ou
coloca a sobrevivncia da organizao em risco.
8.2.2
Rtulos e tratamento da informao
Controle
Convm que um conjunto apropriado de procedimentos para rotular e tratar a informao seja
desenvolvido e implementado de acordo com o esquema de classificao da informao adotado pela
organizao.
26/11
0
ABNT/CB-21
SET 2013

Convm que procedimentos para a rotulao da informao abranjam a informao e os seus ativos
relacionados, nos formatos fsico e eletrnico. A rotulao pode refletir o esquema de classificao
estabelecido em 8.2.1. Convm que os rtulos sejam facilmente reconhecidos.
Convm que o procedimento oriente sobre onde e como os rtulos devem ser colocados, levando-se
em conta como a informao acessada ou os ativos so manuseados, em funo dos tipos de mdias.
O procedimento pode definir uma situao onde a rotulao omitida, por exemplo, rotulao de
informao no confidencial, para reduzir a carga de trabalho. Convm que os funcionrios e partes
externas estejam conscientes do procedimento de classificao da informao.
Convm que os resultados de sistemas que contm informaes classificadas como crticas ou
sensveis tenham um nvel de classificao apropriado.
A rotulao de informaes classificadas um requisito chave para acordos de compartilhamento de
informaes. Rtulos fsicos e metadados so uma forma comum de rotulagem.
A rotulao de informao e de ativos relacionados podem s vezes ter efeitos negativos. Ativos
classificados so mais fceis de identificar e, consequentemente, roubados por pessoas internas ou
externas.
8.2.3
Tratamento dos ativos
Controle
Convm que procedimentos para o tratamento dos ativos sejam desenvolvidos e implementados de
acordo com o esquema de classificao da informao adotada pela organizao.
Convm que procedimentos sejam estabelecidos para o tratamento, processamento, armazenamento e
a transmisso da informao, de acordo com a sua classificao (Ver 8.2.1).
Convm que os seguintes itens sejam considerados:
a) Restries de acesso para apoiar os requisitos de proteo para cada nvel de classificao;
b) Manuteno de um registro formal dos destinatrios de ativos autorizados;
c) Armazenamento dos ativos de TI de acordo com as especificaes dos fabricantes;
d) Identificao eficaz de todas as cpias das mdias, para chamar a ateno dos destinatrios
autorizados.
O esquema de classificao usado na organizao pode no ser equivalente aos esquemas usados por
outras organizaes, mesmo se os nomes dos nveis so similares;
27/11
0
ABNT/CB-21
SET 2013
Adicionalmente, uma informao que transita entre organizaes pode variar a sua classificao
dependendo do contexto da informao em cada organizao, mesmo se os esquemas de classifcao
so idnticos.
Convm que acordos com outras organizaes que incluam o compartilhamento de informao,
contemplem procedimento para identificar a classificao daquela informao e interpretar os rtulos de
classificao de outras organizaes.
8.3 Tratamento de mdias

Objetivo: Prevenir a divulgao no autorizada, modificao, remoo ou destruio da informao
armazenada nas mdias.
8.3.1
Gerenciamento de mdias removveis
Controle
Convm que existam procedimentos implementados para o gerenciamento de mdias removveis, de
acordo com o esquema de classificao adotado pela organizao.
Convm que as seguintes diretrizes para o gerenciamento de mdias removveis sejam consideradas:
a) quando no for mais necessrio, o contedo de qualquer meio magntico reutilizvel seja
destrudo, caso venha a ser retirado da organizao;
b) quando necessrio e prtico, seja requerida a autorizao para remoo de qualquer mdia da
organizao e mantido o registro dessa remoo como trilha de auditoria;
c) toda mdia seja guardada de forma segura em um ambiente protegido, de acordo com as
especificaes do fabricante;
d) convm que sejam usadas, no caso em que a integridade ou confidencialidade dos dados sejam
consideraes importantes, tcnicas de criptografia, para proteger os dados na mdia removvel;
e) para mitigar o risco de degradar a mdia enquanto os dados armazenados ainda so necessrios,
convm que os dados sejam transferidos para uma mdia nova antes de se tornar ilegveis;
f)
cpias mltiplas de dados valiosos sejam armazenadas em mdias separadas para reduzir riscos
futuros de perda ou dano, que ocorram por coincidncia nessas mdias;
g) as mdias removveis sejam registradas para limitar a oportunidade de perda de dados;

h) as unidades de mdia removveis sejam habilitadas somente se houver uma necessidade do
negcio;
i)
onde houver a necessidade para o uso de mdia removvel, a transferncia da informao contida
na mdia seja monitorada.
Convm que procedimentos e nveis de autorizao sejam documentados.

28/11
0
ABNT/CB-21
SET 2013
8.3.2
Descarte de mdias
Controle
Convm que as mdias sejam descartadas de forma segura, quando no forem mais necessrias, por
meio de procedimentos formais.
Convm que procedimentos formais para o descarte seguro das mdias sejam definidos para minimizar
o risco de vazamento de informaes sensveis para pessoas no autorizadas. Os procedimentos para
o descarte seguro das mdias, contendo informaes confidenciais, sejam proporcionais sensibilidade
das informaes. Recomenda-se que os itens abaixo sejam considerados:
a) convm que mdias contendo informaes confidenciais sejam guardadas e destrudas de forma
segura e protegida, como por exemplo, atravs de incinerao ou triturao, ou da remoo dos
dados para uso por outra aplicao dentro da organizao;
b) procedimentos sejam implementados para identificar os itens que requerem descarte seguro;
c) pode ser mais fcil implementar a coleta e descarte seguro de todas as mdias a serem inutilizadas
do que tentar separar apenas aquelas contendo informaes sensveis;
d) muitas organizaes oferecem servios de coleta e descarte de mdia; convm que sejam tomados
cuidados na seleo de um fornecedor com experincia e controles adequados;
e) convm que o descarte de itens sensveis sejam registrados, sempre que possvel, para se manter
uma trilha de auditoria.
Quando da acumulao de mdias para descarte, seja levada em considerao o efeito proveniente do
acmulo, o que pode fazer com que uma grande quantidade de informao no sensvel, torna-se
sensvel.
Equipamentos danificados contendo dados sensveis podem exigir uma avaliao de riscos para
determinar se recomendado que os itens sejam destrudos fisicamente ao invs de serem enviados
para conserto ou descartados (ver 11.2.7).
8.3.3
Transferncia fsica de mdias
Controle
Convm que mdias contendo informaes sejam protegidas contra acesso no autorizado, uso
imprprio ou corrupo, durante o transporte..
Convm que as seguintes recomendaes sejam consideradas, para proteger as mdias que contm
informaes, quando transportadas:
a) o meio de transporte ou o servio de mensageiros sejam confiveis;
29/11
0
ABNT/CB-21
SET 2013
b) seja definida uma relao de portadores autorizados em concordncia com o gestor;

c) seja estabelecido procedimento para a verificao da identificao dos transportadores;
d) a embalagem seja suficiente para proteger o contedo contra qualquer dano fsico, como os que
podem ocorrer durante o transporte, e que seja feita de acordo com as especificaes dos
fabricantes (como no caso de softwares), por exemplo, protegendo contra fatores ambientais que
possam reduzir a possibilidade de restaurao dos dados como a exposio ao calor, umidade ou
campos eletromagnticos;
e) registros (logs) sejam guardados, identificando o contedo da mdia, a proteo aplicada, bem
como os registros dos tempos de transferncia no trnsito entre o custodiante e o destino final.
Informaes podem ser vulnerveis a acesso no autorizado, uso indevido ou corrupo durante o
transporte fsico, por exemplo, quando o envio de mdia atravs do servio postal ou via correio. Neste
controle, incluem-se mdias de documentos em papel.
Quando a informao confidencial no criptografada na mdia, convm que seja considerada a
proteo fsica adicional desta mdia.
9 Controle de acesso
9.1 Requisitos do negcio para controle de acesso
Objetivo: Limitar o acesso informao e aos recursos de processamento da informao.
9.1.1 Poltica de controle de acesso

Controle
Convm que uma poltica de controle de acesso seja estabelecida, documentada e analisada
criticamente, baseada nos requisitos de segurana da informao e dos negcios.
Convm que os proprietrios dos ativos determinem regras apropriadas do controle de acesso, direitos
de acesso e restries para papis especficos dos usurios acessarem seus ativos, com o nvel de
detalhe e o rigor dos controles que reflitam os riscos de segurana da informao associados.
Convm que sejam considerados os controles de acesso lgico e fsico (Ver 11) de forma conjunta.
Convm que uma declarao ntida dos requisitos do negcio a serem atendidos pelo controle de
acesso, seja fornecida aos usurios e provedores de servios.
Convm que a poltica leve em considerao os seguintes itens:
a) requisitos de segurana de aplicaes de negcios individuais;
b) poltica para disseminao e autorizao da informao, por exemplo, o princpio necessidade de
conhecer e nveis de segurana e a classificao das informaes (ver 8.2);
30/11
0
ABNT/CB-21
SET 2013
c) consistncia entre os direitos de acesso e as polticas de classificao da informao em diferentes

sistemas e redes;
d) legislao pertinente e qualquer obrigao contratual relativa proteo de acesso para dados ou
servios (ver 18.1);
e) gerenciamento de direitos de acesso em um ambiente distribudo e conectado rede que
reconhece todos os tipos de conexes disponveis;
f)
segregao de funes de controle de acesso, por exemplo, pedido de acesso, autorizao de

acesso, administrao de acesso;
g) requisitos para autorizao formal de pedidos de acesso (ver 9.2.1);

h) requisitos para anlise crtica peridica de direitos de acesso (ver 9.2.5);
i)
remoo de direitos de acesso (ver 9.2.6);
j)
arquivo dos registros de todos os eventos significantes, relativos ao uso e gerenciamento das
identidades do usurio e da informao de autenticao secreta;
k) regras para o acesso privilegiado (ver 9.2.3).

Convm que sejam tomados cuidados na especificao de regras de controle de acesso quando se
considerar o seguinte:
a) estabelecer regra baseada na premissa de que Tudo proibido a menos que expressamente
permitido" em lugar da regra mais fraca que "Tudo permitido, a menos que expressamente
proibido";
b) mudanas em rtulos de informao (ver 8.2.2) que so iniciadas automaticamente atravs de
recursos de processamento da informao e aquelas iniciadas pela observao de um usurio;
c) mudanas em permisses de usurio que so iniciadas automaticamente pelo sistema de
informao e os que iniciaram por um administrador;
d) regras que requerem aprovao especfica antes de um decreto ou lei e as que no necessitam.
Convm que as regras para controle de acesso sejam apoiadas por procedimentos formais (ver
9.2, 9.3 e 9.4) e responsabilidades claramente definidas (ver 6.1.1, 9.2, e 15.1).
As regras baseadas em controles de acesso uma abordagem usada com sucesso por muitas
organizaes para relacionar os direitos de acesso com as atividades do negcio.
Dois dos frequentes princpios que orientam a poltica de controle de acesso so:
a) necessidade de conhecer: voc somente tem permisso para acessar informao que voc
necessita para desempenhar suas tarefas (tarefas e atribuies diferentes significam diferentes
necessidades de conhecer e diferentes perfis de acesso);
31/11
0
ABNT/CB-21
SET 2013
b) necessidade de uso: voc somente tem permisso para acessar os recursos de processamento da
informao (equipamentos de TI, aplicaes, procedimentos, salas), que voc necessita para
desempenhar a sua tarefa/funo/papel.
9.1.2 Acesso s redes e aos servios de rede

Controle
Convm que os usurios somente recebam acesso s redes e aos servios de rede que tenham sido
especificamente autorizados a usar.
Convm que uma poltica seja formulada com relao ao uso de redes e servios de rede. Convm que
esta poltica inclua:
a) redes e servios de redes que so permitidos de serem acessados;
b) procedimentos de autorizao para determinar quem tem permisso para acessar quais redes e
servios de redes;
c) procedimentos e controles de gerenciamento para proteger o acesso a conexes e servios de
redes;
d) os meios usados para acessar redes e servios de rede (por exemplo, uso de VPN ou redes sem
fio);
e) requisitos de autenticao do usurio para acessar vrios servios de rede;
f)
monitoramento do uso dos servios de rede.
Convm que a poltica do uso de servio de rede seja consistente com a poltica de controle de acesso
da organizao (ver 9.1.1).
Conexes sem autorizao e inseguras nos servios de rede podem afetar toda organizao. Este
controle particularmente importante para conexes de redes sensveis ou aplicaes de negcios
crticos ou para usurios em locais de alto risco, por exemplo, reas pblicas ou externas que esto fora
da administrao e controle da segurana da organizao.
9.2 Gerenciamento de acesso do usurio

Objetivo: Assegurar acesso de usurio autorizado e prevenir acesso no autorizado a sistemas e
servios.
32/11
0
ABNT/CB-21
SET 2013
9.2.1
Registro e cancelamento de usurio
Controle
Convm que um processo formal de registro e cancelamento de usurio seja implementado para
permitir atribuio de direitos de acesso.
Convm que o processo para gerenciar o identificador de usurio (ID de usurio) inclua:
a) o uso de um ID de usurio nico, para permitir relacionar os usurios com suas responsabilidades
e aes; o uso compartilhado de ID de usurio somente ser permitido, onde eles so necessrios
por razes operacionais ou de negcios e convm que seja aprovado e documentado;
b) a imediata remoo ou desabilitao do ID de usurio que tenha deixado a organizao (ver 9.2.5);
c) a remoo e identificao, de forma peridica, ou a desabilitao de usurios redundantes com ID;
d) a garantia de que o ID de usurio redundante no emitido para outros usurios;
Fornecer ou revogar o acesso informao ou aos recursos de processamento da informao,
normalmente um procedimento de duas etapas:
a) atribuir e permitir, ou revogar, um ID de um usurio;
b) fornecer, ou revogar, os direitos de acesso para este usurio de ID (ver 9.2.2)
9.2.2
Provisionamento para acesso de usurio
Controle
Convm que um processo formal de provisionamento de acesso do usurio seja implementado para
conceder ou revogar os direitos de acesso do usurio para todos os tipos de usurios em todos os tipos
de sistemas e servios.
Convm que o processo de provisionamento para atribuir ou revogar os direitos de acesso concedidos
ao ID de usurio inclua:
a) obteno de autorizao do proprietrio do sistema ou do servio da informao para o uso do
servio ou sistema da informao (ver 8.1.2); aprovaes separadas para os direitos de acesso da
direo tambm pode ser recomendada;
b) verificao de que o nvel de acesso concedido apropriado s polticas de acesso (ver 9.1) e
consistente com outros requisitos, tais como, segregao de funes(ver 6.1.2);
c) garantia de que os direitos de acesso no esto ativados (por exemplo, por provedores de
servios) antes que o procedimento de autorizao esteja completo;
33/11
0
ABNT/CB-21
SET 2013
d) manuteno de um registro central de direitos de acesso concedido ao ID de usurio para acessar

servios e sistemas de informao;
e) adaptao dos direitos de acesso dos usurios que tenham mudado de funo ou de atividades, e
imediata remoo ou bloqueio dos direitos de acesso dos usurios que deixaram a organizao;
f)
direitos de acesso analisados criticamente a intervalos regulares com os proprietrios dos servios
ou sistemas de informao (ver 9.2.4)
Convm que considerao seja dada para estabelecer as regras de acesso do usurio baseadas nos
requisitos do negcio que resumam um nmero de direitos de acesso em um perfil tpico de acesso do
usurio. Solicitaes de acesso e anlises crticas (ver 9.2.4), so facilmente gerenciadas no nvel de
tais papis do que no nvel de direitos particulares.
Convm que considerao seja dada para incluir clusulas nos contratos de pessoas e nos contratos de
servios, que especifiquem sanes no caso de tentativa de acesso no autorizado pelas pessoas ou
pelas partes externas (ver 7.1.2, 7.2.3,13.2.4 e 15.1.2)
9.2.3
Gerenciamento de direitos de acesso privilegiados
Controle
Convm que a concesso e uso de direitos de acesso privilegiado sejam restritos e controlados.
Convm que a alocao de direitos de acesso privilegiado seja controlada por meio de um processo de
autorizao formal, de acordo com a poltica de controle de acesso pertinente (ver 9.1.1).
Convm que os seguintes passos sejam considerados:
a) os direitos de acesso privilegiados, associados a cada sistema ou processo, por exemplo, sistema
operacional, sistemas de gerenciamento de banco de dados e cada aplicao, e de categorias de
usurios para os quais estes necessitam ser concedido, sejam identificados;
b) os direitos de acesso privilegiado sejam concedidos a usurios conforme a necessidade de uso e
com base em eventos alinhados com a poltica de controle de acesso (ver 9.1.1), baseado nos
requisitos mnimos para sua funo;
c) um processo de autorizao e um registro de todos os privilgios concedidos sejam mantidos.
direitos de acesso privilegiados no sejam concedidos at que todo o processo de autorizao
esteja finalizado;
d) requisitos para expirar os direitos de acesso privilegiado sejam definidos;
e) os direitos de acesso privilegiados sejam atribudos a um ID de usurio diferente daqueles usados
nas atividades normais do negcio. As atividades normais do negcio no sejam desempenhadas
usando contas privilegiadas;
34/11
0
ABNT/CB-21
SET 2013
f)
as competncias dos usurios com direitos de acesso privilegiado sejam analisadas criticamente a
intervalos regulares, para verificar se eles esto alinhados com as suas obrigaes;
g) procedimentos especficos sejam estabelecidos e mantidos para evitar o uso no autorizado de ID

de usurio de administrador genrico, de acordo com as capacidades de configurao dos
sistemas;
h) para o ID de usurio de administrador genrico, a confidencialidade da informao de autenticao
secreta seja mantida quando for compartilhada (por exemplo, mudanas de senhas com frequncia
e to logo quanto possvel, quando um usurio privilegiado deixa a organizao ou muda de
funo, comunicao entre os usurios privilegiados por meio de mecanismos apropriados).
Uso inapropriado de privilgios de administrador de sistemas (qualquer caracterstica ou recursos de
sistemas de informao que habilitam usurios a exceder o controle de sistemas ou aplicaes) pode
ser um grande fator de contribuio para falhas ou violaes de sistemas.
9.2.4
Gerenciamento da informao de autenticao secreta de usurios
Controle
Convm que a concesso de informao de autenticao secreta seja controlada por meio de um
processo de gerenciamento formal.
Convm que o processo inclua os seguintes requisitos:
a) solicitar aos usurios a assinatura de uma declarao, para manter a confidencialidade da
informao de autenticao secreta e manter as senhas de grupos de trabalho, exclusivamente
com os membros do grupo; esta declarao assinada pode ser includa nos termos e condies da
contratao (ver 7.1.2);
b) garantir, onde os usurios necessitam manter suas prprias informaes de autenticao secreta,
que lhes sejam fornecidas uma informao de autenticao secreta temporria, as quais o usurio
obrigado a alter-la no primeiro uso;
c) procedimentos sejam estabelecidos para verificar a identidade de um usurio antes de fornecer
uma informao de autenticao secreta, temporria, de substituio ou nova;
d) fornecer informao de autenticao secreta temporrias aos usurios de maneira segura; o uso de
mensagens de correio eletrnico de terceiros ou desprotegido (texto claro) seja evitado;
e) Informao de autenticao secreta temporria seja nica para uma pessoa e que no seja fcil de
ser advinhada;
f)
os usurios acusem o recebimento da informao de autenticao secreta;
g) as informaes de autenticaes secretas padro sejam alteradas logo aps a instalao de

sistemas ou software.
35/11
0
ABNT/CB-21
SET 2013
Senhas so normalmente usadas como um tipo de informao de autenticao secreta, e uma forma
comum de verificar a identidade de um usurio. Outros tipos de informao de autenticao secreta so
chaves criptogrficas e outros dados armazenados em tokens (por exemplo, smart cards), que
produzem cdigos de autenticao.
9.2.5
Anlise crtica dos direitos de acesso de usurio
Controle
Convm que os proprietrios de ativos analisem criticamente os direitos de acesso dos usurios, a
intervalos regulares.
Convm que a anlise crtica dos direitos de acesso considerem as seguintes orientaes:
a) os direitos de acesso de usurios sejam revisados em intervalos regulares e depois de quaisquer
mudanas, como promoo, remanejamento ou encerramento do contrato (ver 7);
b) os direitos de acesso de usurios sejam analisados criticamente e realocados quando movidos de
um tipo de atividade para outra na mesma organizao;
c) autorizaes para direitos de acesso privilegiado especial sejam revisadas em intervalos mais
frequentes.
d) as alocaes de privilgios sejam verificadas em intervalo de tempo regular para garantir que
privilgios no autorizados no foram obtidos;
e) as modificaes para contas privilegadas sejam registradas para anlise crtica peridica.
Este controle compensa possveis vulnerabilidades na execuo dos controles 9.2.1, 9.2.2 e 9.2.6.
9.2.6
Retirada ou ajuste de direitos de acesso
Controle
Convm que os direitos de acesso de todos os funcionrios e partes externas s informaes e aos
recursos de processamento da informao sejam retirados logo aps o encerramento de suas
atividades, contratos ou acordos, ou ajustados aps a mudana destas atividades.
Convm que, aps o encerramento das atividades, os direitos de acesso da pessoa aos ativos
associados com os sistemas de informao e servios sejam removidos ou suspensos. Isto ir
determinar se necessrio retirar os direitos de acesso.
36/11
0
ABNT/CB-21
SET 2013
As mudanas de uma atividade podem refletir na retirada de todos os direitos de acesso que no foram
aprovados para o novo trabalho. Convm que os direitos de acesso que sejam retirados ou adaptados,
incluam o acesso lgico e fsico.
A remoo ou o ajuste pode ser feito por meio da remoo, revogao ou substituio de chaves,
cartes de identificao, recursos de processamento da informao ou subscries.
Convm que qualquer documentao que identifique os direitos de acesso de funcionrios e partes
externas reflita a remoo ou ajuste dos direitos de acesso.
Caso o funcionrio, fornecedor ou terceiro que esteja saindo tenha conhecimento de senhas de contas
que permanecem ativas, convm que estas sejam alteradas aps um encerramento das atividades,
mudana do trabalho, contrato ou acordo.
Convm que os direitos de acesso aos ativos de informao e aos recursos de processamento da
informao sejam reduzidos ou retirados antes que a atividade se encerre ou altere, dependendo da
avaliao de fatores de risco, como:
a) se o encerramento da atividade ou a mudana iniciada pelo funcionrio, parte externa ou pelo
gestor e a razo do encerramento da atividade;
b) as responsabilidades atuais do funcionrio, parte externa ou qualquer outro usurio;
c) o valor dos ativos atualmente acessveis.
Em certas circunstncias os direitos de acesso podem ser alocados com base no que est sendo
disponibilizado para mais pessoas do que as que esto saindo (funcionrio, fornecedor ou terceiro),
como, por exemplo, grupos de ID. Em tais casos, convm que as pessoas que esto saindo da
organizao sejam retiradas de quaisquer listas de grupos de acesso e que sejam tomadas
providncias para avisar aos outros funcionrios, fornecedores e terceiros envolvidos para no mais
compartilhar esta informao com a pessoa que est saindo.
Nos casos em que o encerramento da atividade seja da iniciativa do gestor, os funcionrios,
fornecedores ou terceiros descontentes podem deliberadamente corromper a informao ou sabotar os
recursos de processamento da informao. No caso de pessoas demitidas ou exoneradas, elas podem
ser tentadas a coletar informaes para uso futuro.
9.3 Responsabilidades dos usurios

Objetivo: Tornar os usurios responsveis pela proteo das suas informaes de autenticao.
9.3.1
Uso da informao de autenticao secreta
Controle
Convm que os usurios sejam orientados a seguir as prticas da organizao quanto ao uso da
informao de autenticao secreta.
37/11
0
ABNT/CB-21
SET 2013

Convm que todos os usurios sejam informados para:
a) manter a confidencialidade da informao de autenticao secreta, garantindo que ela no
divulgada para quaisquer outras partes, incluindo autoridades e lideranas;
b) evitar manter anotadas a informao de autenticao secreta (por exemplo, papel, arquivos ou
dispositivos mveis), a menos que elas possam ser armazenadas de forma segura e o mtodo de
armazenamento esteja aprovado (por exemplo, sistema de gerenciamento de senha;
c) alterar a informao de autenticao secreta, sempre que existir qualquer indicao de possvel
comprometimento do sistema ou da prpria senha;
d) Quando as senhas so usadas como informao de autenticao secreta, selecione senhas de
qualidade com um tamanho mnimo que sejam:
1)
fceis de lembrar;
2)
no baseadas em nada que algum facilmente possa adivinhar ou obter usando informaes
relativas pessoa, por exemplo, nomes, nmeros de telefone e datas de aniversrio;
3)
no vulnerveis a ataque de dicionrio (por exemplo, no consistir em palavras inclusas no

dicionrio);
4)
isentas de caracteres idnticos consecutivos, todos numricos ou todos alfabticos

sucessivos;
5)
caso a senha seja temporria, ela deve ser mudada no primeiro acesso (log-on)
e) no compartilhar a informao de autenticao secreta de usurios individuais;

f)
garantir adequada proteo de senhas quando as senhas so usadas como informao de

autenticao secreta em procedimentos automticos de acesso (log-on) e so armazenadas;
g) no utilizar a mesma informao de autenticao secreta para uso com finalidades profissionais e
pessoais.
O fornecimento de um Simples Sign On (SSO) ou outras ferramentas de gerenciamento de informao
de autenticao secreta reduz o nmero de informao de autenticao secreta que os usurios so
solicitados a proteger, aumentando dessa forma a eficcia desse controle. Entretanto, estas
ferramentas podem tambm aumentar o impacto da revelao da informao de autenticao secreta.
9.4 Controle de acesso ao sistema e aplicao

Objetivo: Prevenir o acesso no autorizado aos sistemas e aplicaes.
38/11
0
ABNT/CB-21
SET 2013
9.4.1
Restrio de acesso informao
Controle
Convm que o acesso informao e s funes dos sistemas de aplicaes seja restrito, de acordo
com a poltica de controle de acesso.
Convm que restries para o acesso sejam baseadas nos requisitos das aplicaes individuais do
negcio e de acordo com a poltica de controle de acesso definida.
Convm que os seguintes controles sejam considerados de forma a apoiar os requisitos de restrio de
acesso:
a) fornecer menus para controlar o acesso s funes dos sistemas de aplicao;
b) controlar quais dados podem ser acessados por um usurio em particular;
c) controlar os direitos de acesso dos usurios, por exemplo, ler, escrever, excluir e executar;
d) controlar os direitos de acesso de outras aplicaes;
e) limitar a informao contidas nas sadas;
f)
prover controles de acesso lgico ou fisico para o isolamento de aplicaes sensveis, dados de
aplicao ou sistemas.
9.4.2
Procedimentos seguros de entrada no sistema (log-on)
Controle
Convm que, onde aplicvel pela poltica de controle de acesso, o acesso aos sistemas e aplicaes
sejam controlados por um procedimento seguro de entrada no sistema (log-on).
Convm que uma tcnica de autenticao adequada seja escolhida para validar a identificao alegada
de um usurio.
Onde requerida a verificao de identidade e uma forte autenticao, mtodos alternativos de
autenticao para as senhas, tais como, meios criptogrficos, smart cards, tokens ou biometria, sejam
usados.
Convm que o procedimento para entrada no sistema operacional seja configurado para minimizar a
oportunidade de acessos no autorizados. Convm que o procedimento de entrada (log-on) revele o
mnimo de informaes sobre o sistema ou aplicao, de forma a evitar o fornecimento de informaes
desnecessrias a um usurio no autorizado.
Convm que um bom procedimento de entrada no sistema (log-on):
39/11
0
ABNT/CB-21
SET 2013
a) no mostre identificadores de sistema ou de aplicao at que o processo tenha sido concludo

com sucesso;
b) mostre um aviso geral informando que o computador seja acessado somente por usurios
autorizados;
c) no fornea mensagens de ajuda durante o procedimento de entrada (log-on) que poderiam auxiliar
um usurio no autorizado;
d) valide informaes de entrada no sistema somente quando todos os dados de entrada estiverem
completos. Caso ocorra uma condio de erro, o sistema no indique qual parte do dado de
entrada est correto ou incorreto;
e) proteja contra tentativas foradas de entrada no sistema (log-on);
f)
registre tentativas de acesso ao sistema, sem sucesso e bem sucedida;
g) comunique um evento de segurana caso uma tentativa potencial ou uma violao bem sucedida
de entrada no sistema (log-on), seja detectada;
h) mostre as seguintes informaes quando o procedimento de entrada no sistema (log-on) finalizar
com sucesso:
1)
data e hora da ltima entrada no sistema (log-on) com sucesso;
2)
detalhes de qualquer tentativa sem sucesso de entrada no sistema (log-on) desde o ltimo
acesso com sucesso;
i)
no mostre a senha que est sendo informada;
j)
no transmita senhas em texto claro pela rede;
k) encerre sesses inativas aps um perodo definido de inatividade, especialmente em locais de alto
risco, tais como, locais pblicos, ou reas externas ao gerenciamento de segurana da organizao
ou quando do uso de dispositivos mveis;
l)
restrinja os tempos de conexo para fornecer segurana adicional nas aplicaes de alto risco e
reduzir a janela de oportunidade para acesso no autorizado.
Senhas representam uma forma comum de prover identificao e autenticao baseado no segredo de
que somente o usurio quem conhece. Isto tambm pode ser obtido com protocolos de autenticao e
meios criptogrficos. Convm que a complexidade de autenticao do usurio seja apropriada para a
classificao da informao a ser acessada.
Se as senhas forem transmitidas em texto claro durante o procedimento de entrada no sistema (log-on)
pela rede, elas podem ser capturadas por um programa de sniffer de rede, instalado nela.
40/11
0
ABNT/CB-21
SET 2013
9.4.3
Sistema de gerenciamento de senha
Controle
Convm que sistemas para gerenciamento de senhas sejam interativos e assegurem senhas de
qualidade.
Convm que o sistema de gerenciamento de senha:
a) obrigue o uso individual de ID de usurio e senha para manter responsabilidades;
b) permita que os usurios selecionem e modifiquem suas prprias senhas, incluindo um
procedimento de confirmao para evitar erros;
c) obrigue a escolha de senhas de qualidade;
d) obrigue os usurios a mudarem as suas senhas temporrias no primeiro acesso ao sistema;
e) force as mudanas de senha a intervalos regulares, conforme necessrio;
f)
mantenha um registro das senhas anteriores utilizadas e bloquei a reutilizao;
g) no mostre as senhas na tela quando forem digitadas;

h) armazene os arquivos de senha separadamente dos dados do sistema da aplicao;
i)
armazene e transmita as senhas de forma protegida.
Algumas aplicaes requerem que senhas de usurio sejam atribudas por uma autoridade
independente. Em alguns casos, as alneas b), d) e e) das diretrizes acima no se aplicam. Na maioria
dos casos, as senhas so selecionadas e mantidas pelos usurios.
9.4.4
Uso de programas utilitrios privilegiados
Controle
Convm que o uso de programas utilitrios que podem ser capazes de sobrepor os controles dos
sistemas e aplicaes sejam restrito e estritamente controlado.
Convm que as seguintes diretrizes para o uso de utilitrios de programa que possam ser capazes de
sobrepor os controles dos sistemas e as aplicaes, sejam consideradas:
a) uso de procedimentos de identificao, autenticao e autorizao para programas utilitrios de
sistema;
b) segregao de programas utilitrios dos softwares de aplicao;
41/11
0
ABNT/CB-21
SET 2013
c) limitao do uso de programas utilitrios a um nmero mnimo de usurios confiveis e autorizados

(ver 9.2.2);
d) autorizao para uso programas utilitrios no previstos;
e) limitao da disponibilidade dos programas utilitrios, por exemplo para a durao de uma
modificao autorizada;
f)
registro de todo o uso de programas utilitrios;
g) definio e documentao dos nveis de autorizao para os programas utilitrios;

h) remoo ou desabilitao de todos os programas utilitrios desnecessrios;
i)
no deixar programas utilitrios disponveis para usurios que tm acesso s aplicaes nos
sistemas onde a segregao de funes requerida.
A maioria das instalaes de computadores tem um ou mais programas utilitrios que podem ser
capazes de sobrepor os controles dos sistemas e aplicaes.
9.4.5
Controle de acesso ao cdigo-fonte de programas
Controle
Convm que o acesso ao cdigo-fonte de programa seja restrito.
Convm que o acesso ao cdigo-fonte de programas e de itens associados (como desenhos,
especificaes, planos de verificao e de validao) sejam estritamente controlados, com a finalidade
de prevenir a introduo de funcionalidade no autorizada e para evitar mudanas no intencionais,
bem como para manter a confidencialidade de propriedade intelectual valiosa.
Para os cdigos-fonte de programas, este controle pode ser obtido com a guarda centralizada do
cdigo, de preferncia utilizando bibliotecas de programa-fonte.
conveniente que as seguintes orientaes sejam consideradas para o controle de acesso s
bibliotecas de programa-fonte, com a finalidade de reduzir o risco de corrupo de programas de
computador:
a) quando possvel, convm que seja evitado manter as bibliotecas de programa-fonte no mesmo
ambiente dos sistemas operacionais.
b) convm que seja implementado o controle do cdigo-fonte de programa e das bibliotecas de
programa-fonte, conforme procedimentos estabelecidos;
c) convm que o pessoal de suporte no tenha acesso irrestrito s bibliotecas de programa-fonte;
42/11
0
ABNT/CB-21
SET 2013
d) convm que a atualizao das bibliotecas de programa-fonte e itens associados, e a entrega de

fontes de programas a programadores seja apenas efetuada aps o recebimento da autorizao
pertinente;
e) As listagens dos programas sejam mantidas num ambiente seguro;
f)
convm que seja mantido um registro de auditoria de todos os acessos a cdigo-fonte de

programas;
g) convm que a manuteno e a cpia das bibliotecas de programa-fonte estejam sujeitas a

procedimentos estritos de controles de mudanas (ver 14.2.2);
Se o cdigo do programa-fonte pretende ser publicado, controles adicionais, para ajudar a garantir a
sua integridade (por exemplo, assinatura digital), deve ser considerada.
10 Criptografia
10.1 Controles criptogrficos
Objetivo: Assegurar o uso efetivo e adequado da criptografia para proteger a confidencialidade,
autenticidade e/ou a integridade da informao.
10.1.1 Poltica para o uso de controles criptogrficos
Controle
Convm que seja desenvolvida e implementada uma poltica para o uso de controles criptogrficos para
a proteo da informao.
Quando do desenvolvimento de uma poltica para criptografia, convm que sejam considerados:
a) a abordagem gerencial quanto ao uso de controles criptogrficos em toda a organizao, incluindo
os princpios gerais sob os quais as informaes de negcio sejam protegidas;
b) a identificao do nvel requerido de proteo com base em uma avaliao de risco, levando em
considerao o tipo, a fora e a qualidade do algoritmo de criptografia requerido;
c) o uso de criptografia para a proteo de informaes sensveis transportadas em dispositivos
mveis, mdias removiveis ou atravs de linhas de comunicao;
d) a abordagem do gerenciamento de chaves, incluindo mtodos para lidar com a proteo das
chaves criptogrficas e a recuperao de informaes cifradas, no caso de chaves perdidas,
comprometidas ou danificadas;
e) papis e responsabilidades, por exemplo, de quem for responsvel:
1)
pela implementao da poltica;
2)
pelo gerenciamento de chaves, incluindo sua gerao (Ver 10.1.2).

43/11
0
ABNT/CB-21
SET 2013
f)
os padres a serem adotados para a efetiva implementao ao longo de toda a organizao (qual
soluo usada para quais processos de negcios);
g) o impacto do uso de informaes cifradas em controles que dependem da inspeo de contedos

(por exemplo, deteco de cdigos maliciosos).
Convm que sejam consideradas na implementao da poltica criptogrfica da organizao, as leis ou
regulamentaes e restries nacionais aplicveis ao uso de tcnicas criptogrficas, nas diferentes
partes do mundo, e das questes relativas ao fluxo transfronteiras de informaes cifradas (ver 18.1.5).
Controles criptogrficos podem ser usados para alcanar diferentes objetivos de segurana, como por
exemplo:
a) confidencialidade: usando a criptografia da informao para proteger informaes sensveis ou
crticas, armazenadas ou transmitidas;
b) integridade/autenticidade: usando assinaturas digitais ou cdigos de autenticao de mensagens
(MAC) para verificar a autenticidade ou integridade de informaes sensveis ou crticas,
armazenadas ou transmitidas;
c) no-repdio: usando tcnicas de criptografia para obter evidncia da ocorrncia ou no ocorrncia
de um evento ou ao.
d) autenticao: usando tcnicas criptogrficas para autenticar usurios e outros sistemas que
requeiram acesso para transaes com usurios de sistemas, entidades e recursos.
Convm que a tomada de deciso quanto a uma soluo de criptografia ser apropriada, seja vista como
parte de processos mais amplos de avaliao de riscos e seleo de controles. Essa avaliao pode,
ento, ser usada para determinar se um controle criptogrfico apropriado, que tipo de controle convm
ser aplicado e para qual propsito e processos de negcio.
Uma poltica sobre o uso de controles criptogrficos necessria para maximizar os benefcios,
minimizar os riscos do uso de tcnicas criptogrficas e para evitar o uso incorreto ou inapropriado.
Convm que seja buscada a opinio de um especialista para identificar os controles criptogrficos
adequados para atender os objetivos da Poltica de Segurana da Informao.
10.1.2 Gerenciamento de chaves
Controle
Convm que uma poltica sobre o uso, proteo e ciclo de vida das chaves criptogrficas, seja
desenvolvida e implementada ao longo de todo o seu ciclo de vida.
Convm que a poltica inclua requisitos para o gerenciamento de chaves criptogrficas ao longo de todo
o seu ciclo de vida incluindo, a gerao, armazenagem, arquivo, recuperao, distribuio, retirada e
destruio das chaves.
44/11
0
ABNT/CB-21
SET 2013
Algoritmos criptogrficos, tamanho de chaves e prticas usuais sejam selecionados de acordo com as
melhores prticas.
Todas as chaves criptogrficas sejam protegidas contra modificao e perda. Adicionalmente, chaves
secretas e privadas necessitam de proteo contra o uso ou a divulgao no autorizada.
recomendvel que os equipamentos utilizados para gerar, armazenar e guardar as chaves sejam
fisicamente protegidos.
Convm que um sistema de gerenciamento de chaves seja baseado em um conjunto estabelecido de
normas, procedimentos e mtodos seguros para:
a) gerar chaves para diferentes sistemas criptogrficos e diferentes aplicaes;
b) gerar e obter certificados de chaves pblicas;
c) distribuir chaves para os usurios devidos, incluindo a forma como as chaves
quando recebidas;
so ativadas,
d) armazenar chaves, incluindo a forma como os usurios autorizados obtm acesso a elas;
e) mudar ou atualizar chaves, incluindo regras quando as chaves so mudadas e como isto deve ser
conduzido;
f)
lidar com chaves comprometidas;
g) revogar chaves, incluindo regras de como elas so retiradas ou desativadas, por exemplo quando
chaves tiverem sido comprometidas ou quando um usurio deixa a organizao ( recomendvel,
tambm neste caso, que as chaves sejam guardadas);
h) recuperar chaves perdidas ou corrompidas;
i)
realizar cpias de segurana ou guardar as chaves;
j)
destruir chaves;
k) manter registro e auditoria das atividades relacionadas com o gerenciamento de chaves;

Para reduzir a possibilidade de comprometimento, convm que as datas de ativao e desativao de
chaves sejam definidas de forma que possam ser utilizadas apenas por um perodo de tempo definido
na poltica de gerenciamento de chaves.
Alm do gerenciamento seguro de chaves secretas e privadas, convm que a autenticidade de chaves
pblicas seja considerada.
Este processo de autenticao pode ser conduzido utilizando-se certificados de chaves pblicas que
so normalmente emitidos por uma autoridade certificadora, a qual recomenda-se que seja uma
organizao reconhecida, com controles adequados e procedimentos implantados com o objetivo de
garantir o requerido nvel de confiana.
Convm que o contedo dos termos dos acordos de nvel de servio ou contratos com fornecedores
externos de servios criptogrficos, como por exemplo, com uma autoridade certificadora, cubram
45/11
0
ABNT/CB-21
SET 2013
aspectos como responsabilidades, confiabilidade dos servios e tempos de resposta para a execuo
dos servios contratados (ver 15.2) .
A gesto de chaves criptogrficas essencial para o uso eficaz de tcnicas criptogrficas. A
ISO/IEC 11770 fornece informao adicional sobre a gesto de chaves.
Tcnicas criptogrficas podem ser tambm utilizadas para proteger chaves criptogrficas. Pode ser
necessrio o estabelecimento de procedimentos para o manuseio de solicitaes legais para acesso a
chaves criptogrficas, por exemplo, a disponibilizao de informao cifrada pode ser requerida em sua
forma decifrada para uso como evidncia em um processo judicial.
11 Segurana fsica e do ambiente

11.1 reas seguras
Objetivo: Prevenir o acesso fsico no autorizado, danos e interferncias com os recursos de
processamento das informaes e as informaes da organizao.
11.1.1 Permetro de segurana fsica
Controle
Convm que permetros de segurana sejam definidos e usados para proteger tanto as reas que
contenham as instalaes de processamento da informao como as informaes crticas ou sensveis.
Convm que as seguintes diretrizes sejam consideradas e implementadas, onde apropriado, para os
permetros de segurana fsica:
a) convm que os permetros de segurana sejam claramente definidos e que a localizao e a
capacidade de resistncia de cada permetro dependam dos requisitos de segurana dos ativos
existentes no interior do permetro, e dos resultados da avaliao de riscos;
b) convm que os permetros de um edifcio ou de um local que contenha as instalaes de
processamento da informao sejam fisicamente slidos (ou seja, o permetro no deve ter brechas
nem pontos onde poderia ocorrer facilmente uma invaso); as paredes externas do local devem ser
de construo robusta e todas as portas externas sejam adequadamente protegidas contra acesso
no autorizado por meio de mecanismos de controle, por exemplo, barras, alarmes, fechaduras
etc.; as portas e janelas sejam trancadas quando estiverem sem monitorao, e que uma proteo
externa para as janelas seja considerada, principalmente para as que estiverem situadas no andar
trreo;
c) convm que seja implantada uma rea de recepo, ou um outro meio para controlar o acesso
fsico ao local ou ao edifcio; o acesso aos locais ou edifcios deve ficar restrito somente ao pessoal
autorizado;
d) convm que sejam construdas barreiras fsicas, onde aplicvel, para impedir o acesso fsico no
autorizado e a contaminao do meio ambiente;
46/11
0
ABNT/CB-21
SET 2013
e) convm que todas as portas corta-fogo do permetro de segurana sejam providas de alarme,
monitoradas e testadas juntamente com as paredes, para estabelecer o nvel de resistncia
exigido, de acordo com normas regionais, nacionais e internacionais aceitveis; elas devem
funcionar de acordo com os cdigos locais de preveno de incndios e preveno de falhas;
f)
convm que sistemas adequados de deteco de intrusos, de acordo com normas regionais,
nacionais e internacionais sejam instalados e testados em intervalos regulares, e cubram todas as
portas externas e janelas acessveis; as reas no ocupadas sejam protegidas por alarmes o
tempo todo; tambm seja dada proteo a outras reas, por exemplo, salas de computadores ou
salas de comunicaes;
g) convm que as instalaes de processamento da informao gerenciadas pela organizao fiquem

fisicamente separadas daquelas que so gerenciadas por partes externas.
Pode-se obter proteo fsica criando uma ou mais barreiras fsicas ao redor das instalaes e dos
recursos de processamento da informao da organizao. O uso de barreiras mltiplas proporciona
uma proteo adicional, uma vez que neste caso a falha de uma das barreiras no significa que a
segurana fique comprometida imediatamente.
Uma rea segura pode ser um escritrio trancvel ou um conjunto de salas rodeado por uma barreira
fsica interna contnua de segurana. Pode haver necessidade de barreiras e permetros adicionais para
o controle do acesso fsico, quando existem reas com requisitos diferentes de segurana dentro do
permetro de segurana.
Convm que sejam tomadas precaues especiais para a segurana do acesso fsico no caso de
edifcios que alojam diversas organizaes.
Convm que a aplicao de controles fsicos, especialmente para as reas seguras sejam adaptadas
para as circunstncias tcnicas e economicas da organizao, como definido na avaliao de riscos.
11.1.2 Controles de entrada fsica
Controle
Convm que as reas seguras sejam protegidas por controles apropriados de entrada para assegurar
que somente pessoas autorizadas tenham acesso permitido.
Convm que sejam levadas em considerao as seguintes diretrizes:
a) convm que a data e hora da entrada e sada de visitantes sejam registradas, e todos os visitantes
sejam supervisionados, a no ser que o seu acesso tenha sido previamente aprovado; as
permisses de acesso s sejam concedidas para finalidades especficas e autorizadas, e sejam
emitidas com instrues sobre os requisitos de segurana da rea e os procedimentos de
emergncia. A identidade dos visitantes seja autenticada por meios apropriados;
b) convm que o acesso s reas em que so processadas ou armazenadas informaes sensveis
seja restrito apenas ao pessoal autorizado pela implementao de controles de acesso
47/11
0
ABNT/CB-21
SET 2013
apropriados, por exemplo, mecanismos de autenticao de dois fatores, como, cartes de controle
de acesso e PIN (personal identification number);
c) convm que uma trilha de auditoria eletrnica ou um livro de registro fsico de todos os acessos
seja mantida e monitorada de forma segura;
d) convm que seja exigido que todos os funcionrios, fornecedores e partes externas, e todos os
visitantes, tenham alguma forma visvel de identificao, e que eles avisem imediatamente ao
pessoal de segurana, caso encontrem visitantes no acompanhados ou qualquer pessoa que no
esteja usando uma identificao visvel;
e) s partes externas que realizam servios de suporte, convm que seja concedido acesso restrito
s reas seguras ou as instalaes de processamento da informao sensveis, somente quando
necessrio; este acesso seja autorizado e monitorado;
f)
convm que os direitos de acesso a reas seguras sejam revistos e atualizados em intervalos
regulares, e revogados quando necessrio (ver 9.2.4 e 9.2.5).
11.1.3 Segurana em escritrios, salas e instalaes

Controle
Convm que seja projetada e aplicada segurana fsica para escritrios, salas e instalaes.
Convm que sejam levadas em considerao as seguintes diretrizes para proteger escritrios, salas e
instalaes:
a) convm que as instalaes-chave sejam localizadas de maneira a evitar o acesso do pblico;
b) quando for aplicvel, convm que os edifcios sejam discretos com a menor indicao possvel da
sua finalidade, sem letreiros evidentes, fora ou dentro do edifcio, que identifiquem a presena de
atividades de processamento de informaes;
c) convm que as instalaes sejam projetadas para evitar que as informaes confidenciais ou as
atividades sejam visveis e possam ser ouvidas da parte externa. Proteo eletromagntica
tambm seja considerado, conforme apropriado.
d) convm que as listas de funcionrios e guias telefnicos internos, que identifiquem a localizao
das instalaes que processam informaes sensveis, no fiquem facilmente acessveis a
qualquer pessoal no autorizada.
11.1.4 Proteo contra ameaas externas e do meio-ambiente
Controle
Convm que sejam projetadas e aplicadas proteo fsica contra desastres naturais, ataques maliciosos
ou acidentes.
48/11
0
ABNT/CB-21
SET 2013
Convm que orientaes de especialistas sejam obtidas sobre como evitar danos oriundos de fogo,
inundao, terremoto, exploso, manifestaes civis e outras formas de desastre natural ou provocado
pela natureza.
11.1.5 Trabalhando em reas seguras
Controle
Convm que seja projetado e aplicado procedimentos para o trabalho em reas seguras.

a) o pessoal s tenha conhecimento da existncia de reas seguras ou das atividades nelas
realizadas, apenas se for necessrio;
b) seja evitado o trabalho no supervisionado em reas seguras, tanto por motivos de segurana
como para prevenir as atividades mal intencionadas;
c) as reas seguras, no ocupadas, sejam fisicamente trancadas e periodicamente verificadas;
d) no seja permitido o uso de mquinas fotogrficas, gravadores de vdeo ou udio ou de outros
equipamentos de gravao, tais como cmeras em dispositivos mveis, salvo se for autorizado.
As normas para o trabalho em reas seguras incluam o controle dos funcionrios, fornecedores e partes
externas que trabalham em tais reas, cubram todas as atividades nestas reas.
11.1.6 reas de entrega e de carregamento
Controle
Convm que pontos de acesso, tais como reas de entrega e de carregamento e outros pontos em que
pessoas no autorizadas possam entrar nas instalaes, sejam controlados e, se possvel, isolados das
instalaes de processamento da informao, para evitar o acesso no autorizado.
a) convm que o acesso a uma rea de entrega e carregamento a partir do exterior do prdio fique
restrito ao pessoal identificado e autorizado;
b) convm que as reas de entrega e carregamento sejam projetadas de tal maneira que seja
possvel carregar e descarregar suprimentos sem que os entregadores tenham acesso a outras
partes do edifcio;
c) convm que as portas externas de uma rea de entrega e carregamento sejam protegidas
enquanto as portas internas estiverem abertas;
49/11
0
ABNT/CB-21
SET 2013
d) Os materiais entregues sejam inspecionados e examinados para detectar a presena de

explosivos, materiais qumicos ou outros materiais perigosos, antes de serem transportados da
rea de entrega e carregamento para o local de utilizao;
e) convm que os materiais entregues sejam registrados de acordo com os procedimentos de
gerenciamento de ativos, por ocasio da sua entrada no local (ver 8);
f)
convm que as remessas entregues sejam segregadas fisicamente das remessas que saem,
sempre que possvel;
g) convm que os materiais entregues sejam inspecionados para evidenciar alterao indevida. Caso
alguma alterao indevida seja descoberta, ela deve ser imediatamente notificado ao pessoal da
segurana.
11.2 Equipamentos
Objetivo: Impedir perdas, danos, furto ou roubo, ou comprometimento de ativos e interrupo das
operaes da organizao.
11.2.1 Escolha do local e proteo do equipamento
Controle
Convm que os equipamentos sejam colocados no local ou protegidos para reduzir os riscos de
ameaas e perigos do meio-ambiente, bem como as oportunidades de acesso no autorizado.
Convm que sejam levadas em considerao as seguintes diretrizes para proteger os equipamentos:
a) convm que os equipamentos sejam colocados no local, a fim de minimizar o acesso
desnecessrio s reas de trabalho;
b) convm que as instalaes de processamento da informao que manuseiam dados sensveis
sejam posicionadas cuidadosamente para reduzir o risco de que as informaes sejam vistas por
pessoal no autorizado durante a sua utilizao;
c) convm que as instalaes de armazenagem sejam protegidas de forma segura para evitar acesso
no autorizado;
d) convm que os itens que exigem proteo especial sejam protegidos para reduzir o nvel geral de
proteo necessrio;
e) convm que sejam adotados controles para minimizar o risco de ameaas fsicas potenciais e
ambientais, tais como furto, incndio, explosivos, fumaa, gua (ou falha do suprimento de gua),
poeira, vibrao, efeitos qumicos, interferncia com o suprimento de energia eltrica, interferncia
com as comunicaes, radiao eletromagntica e vandalismo;
f)
convm que sejam estabelecidas diretrizes quanto a comer, beber e fumar nas proximidades das
instalaes de processamento da informao;
50/11
0
ABNT/CB-21
SET 2013
g) convm que as condies ambientais, como temperatura e umidade, sejam monitoradas para a
deteco de condies que possam afetar negativamente as instalaes de processamento da
informao;
h) convm que todos os edifcios sejam dotados de proteo contra raios e todas as linhas de entrada
de fora e de comunicaes tenham filtros de proteo contra raios;
i)
para equipamentos em ambientes industriais, recomendado considerar o uso de mtodos

especiais de proteo, como membranas para teclados;
j)
convm que os equipamentos que processam informaes sensveis sejam protegidos, a fim de
minimizar o risco de vazamento de informaes em decorrncia de emanaes eletromagnticas.
11.2.2 Utilidades
Controle
Convm que os equipamentos sejam protegidos contra falta de energia eltrica e outras interrupes
causadas por falhas das utilidades.
Convm que todas as utilidades (como suprimento de energia eltrica, telecomunicaes, suprimento
de gua, gs, esgoto, calefao/ventilao e ar-condicionado) :
a) estejam em conformidade com as especificaes do fabricante do equipamento e com os requisitos
legais da localidade;
b) sejam avaliadas regularmente quanto sua capacidade para atender ao crescimento do negcio e
s interaes com outras utilidades;
c) sejam inspecionadas e testadas regularmente para assegurar o seu adequado funcionamento;
d) seja alarmada para detectar mau funcionamento, quando necessrio;
e) tenham mltiplas alimentaes com rotas fsicas diferentes;
Convm que seja providenciada iluminao e comunicao de emergncia. As chaves de emergncia
(switches) e vlvulas para o corte de energia, gua, gs ou outras utilidades, sejam localizadas prximo
das sadas de emergncia ou salas de equipamentos.
Redundncia adicional para conectividade em rede pode ser obtida por meio de mltiplas rotas de mais
de um provedor de utilidades.
11.2.3 Segurana do cabeamento
Controle
Convm que o cabeamento de energia e de telecomunicaes que transporta dado ou d suporte aos
servios de informaes seja protegido contra interceptao, interferncia ou danos.
51/11
0
ABNT/CB-21
SET 2013

Convm que sejam levadas em considerao as seguintes diretrizes para a segurana do cabeamento:
a) convm que as linhas de energia e de telecomunicaes que entram nas instalaes de
processamento da informao sejam subterrneas (ou fiquem abaixo do piso) sempre que
possvel, ou recebam uma proteo alternativa adequada;
b) convm que os cabos de energia sejam segregados dos cabos de comunicaes, para evitar
interferncias;
c) para sistemas sensveis ou crticos, convm que os seguintes controles adicionais, sejam
considerados:
1)
instalao de condutes blindados e salas ou caixas trancadas em pontos de inspeo e

pontos terminais;
2)
utilizao de blindagem eletromagntica para a proteo dos cabos;
3)
realizao de varreduras tcnicas e inspees fsicas para detectar a presena de

dispositivos no autorizados conectados aos cabos;
4)
acesso controlado aos painis de conexes e s salas de cabos.
11.2.4 Manuteno dos equipamentos

Controle
Convm que os equipamentos tenham uma manuteno correta para assegurar sua disponibilidade e
integridade permanente.
Convm que sejam levadas em considerao as seguintes diretrizes para a manuteno dos
equipamentos:
a) convm que a manuteno dos equipamentos seja realizada nos intervalos recomendados pelo
fornecedor e de acordo com as suas especificaes;
b) convm que a manuteno e os consertos dos equipamentos s sejam realizados por pessoal de
manuteno autorizado;
c) convm que sejam mantidos registros de todas as falhas, suspeitas ou reais, e de todas as
operaes de manuteno preventiva e corretiva realizadas;
d) convm que sejam implementados controles apropriados, na poca programada para a
manuteno do equipamento, dependendo da manuteno ser realizada pelo pessoal local ou por
pessoal externo organizao; onde necessrio, informaes sensveis sejam eliminadas do
equipamento, ou o pessoal de manuteno seja de absoluta confiana;
e) convm que sejam atendidas todas as exigncias de manuteno estabelecidas nas aplices de
seguro;
52/11
0
ABNT/CB-21
SET 2013
f)
antes de colocar o equipamento em operao, aps a sua manuteno, convm que ele seja
inspecionado para garantir que o equipamento no foi alterado indevidamente e que no est em
mau funcionamento.
11.2.5 Remoo de ativos

Controle
Convm que equipamentos, informaes ou software no sejam retirados do local sem autorizao
prvia.
a) convm que sejam claramente identificados os funcionrios, fornecedores e partes externas que
tenham autoridade para permitir a remoo de ativos para fora do local;
b) convm que sejam estabelecidos limites de tempo para a retirada de equipamentos do local, e a
devoluo seja controlada;
c) Sempre que necessrio ou apropriado, recomendado que seja feito um registro da retirada e da
devoluo de ativos, quando do seu retorno;
d) convm que a identidade, atribuio e funo de qualquer pessoa que manuseia ou utiliza os ativos
estejam documentados, e que esta documentao seja devolvida com o equipamento, a
informao ou software.
Podem ser feitas inspees aleatrias para detectar a retirada no autorizada de ativos e a existncia
de equipamentos de gravao no autorizados, armas etc., e impedir sua entrada e sada do local.
Convm que tais inspees aleatrias sejam feitas de acordo com a legislao e as normas aplicveis.
Convm que as pessoas sejam avisadas da realizao das inspees, e elas s possam ser feitas com
a devida autorizao, levando em conta as exigncias legais e regulamentares.
11.2.6 Segurana de equipamentos e ativos fora das dependncias da organizao
Controle
Convm que sejam tomadas medidas de segurana para ativos que operem fora do local, levando em
conta os diferentes riscos decorrentes do fato de se trabalhar fora das dependncias da organizao.
Convm que o uso de qualquer equipamento de processamento e armazenamento de informaes fora
das dependncias da organizao seja autorizado pela gerncia. Isto se aplica aos prprios
equipamentos da organizao e aos equipamentos pessoais, usados em nome da organizao.
Convm que as seguintes diretrizes sejam adotadas para a proteo de equipamentos usados fora das
dependncias da organizao:
53/11
0
ABNT/CB-21
SET 2013
a) convm que os equipamentos e mdias removidos das dependncias da organizao no fiquem

sem superviso em lugares pblicos;
b) convm que sejam observadas a qualquer tempo as instrues do fabricante para a proteo do
equipamento, por exemplo, proteo contra a exposio a campos eletromagnticos intensos;
c) convm que os controles para as localidades fora das dependncias da organizao, como, o
trabalho em casa e localidades remotas e temporrias, sejam determinados por uma avaliao de
riscos, devendo ser aplicados controles adequados para cada caso, por exemplo, arquivos
trancveis, poltica de "mesa limpa", controles de acesso a computadores, e comunicao segura
com o escritrio (ver tambm ISO/IEC 27033);
d) quando o equipamento fora das dependncias da organizao transferido entre diferentes
pessoas ou partes externas, convm que seja mantido um registro para definir a cadeia de custodia
do equipamento, incluindo pelo menos os nomes e organizaes daqueles que so responsveis
pelo equipamento.
Os riscos de segurana, por exemplo, de danos, furto ou espionagem, podem variar consideravelmente
de um local para outro, e convm que sejam levados em conta para determinar os controles mais
apropriados.
Os equipamentos de armazenagem e processamento de informaes incluem todas as formas de
computadores pessoais, agendas eletrnicas, telefones celulares, cartes inteligentes, papis e outros
tipos, utilizados no trabalho em casa, ou que so removidos do local normal de trabalho.
Informaes adicionais sobre outros aspectos da proteo de dispositivos mveis podem ser
encontradas em 6.2.
Recomenda-se evitar o risco, desencorajando os funcionrios de trabalharem fora das instalaes da
organizao, ou restringindo o uso de dispositivos mveis.
11.2.7 Reutilizao e alienao segura de equipamentos
Controle
Convm que todos os equipamentos que contenham mdias de armazenamento de dados sejam
examinados antes do descarte, para assegurar que todos os dados sensveis e softwares licenciados
tenham sido removidos ou sobre-gravados com segurana, antes do descarte ou do seu uso.
Convm que os equipamentos sejam inspecionados para verificar se a mdia est ou no armazenada,
antes do descarte ou reutilizao.
Convm que as mdias de armazenamento que contm informaes confidenciais ou de direitos
autorais sejam destrudas fisicamente, ou as informaes sejam destrudas, apagadas ou sobregravadas por meio de tcnicas que tornem as informaes originais irrecuperveis, em vez de se
usarem as funes-padro de apagar ou formatar.
54/11
0
ABNT/CB-21
SET 2013
No caso de dispositivos defeituosos que contenham informaes sensveis, pode ser necessria uma
avaliao de riscos para determinar se convm destruir fisicamente o dispositivo em vez de mand-lo
para o conserto ou descart-lo.
As informaes podem ser comprometidas por um descarte feito sem os devidos cuidados ou pela
reutilizao do equipamento.
Adicionalmente remoo segura das informaes contidas no disco, a encriptao completa do disco
reduz o risco de revelao de informao confidencial quando o equipamento descartado ou reparado
considerando que:
a) o processo de encriptao suficientemente robusto e cobre o disco por completo (incluindo slack
space, swap files, etc)
b) as chaves criptogrficas so de um tamanho considervel para resistir um ataque de fora bruta;
c) as chaves criptogrficas so guardadas de forma confidencial (por exemplo, nunca armazenada no
mesmo disco).
Para orientaes adicionais sobre criptografia ver seo 10.
Tcnicas para sobregravar de forma segura as mdias armazenadas, diferem em funo da tecnologia
usada para armazenar a mdia. Convm que ferramentas usadas para sobregravar sejam analisadas
criticamente para assegurar que elas so aplicveis tecnologia usada para o armazenamento da
mdia.
11.2.8 Equipamento de usurio sem monitorao
Controle
Convm que os usurios assegurem que os equipamentos no monitorados tenham proteo
adequada.
Convm que todos os usurios estejam cientes dos requisitos de segurana da informao e
procedimentos para proteger equipamentos desacompanhados, assim como suas responsabilidades
por implementar estas protees.
Convm que os usurios sejam informados para:
a) encerrar as sesses ativas, a menos que elas possam ser protegidas por meio de um mecanismo
de bloqueio, por exemplo tela de proteo com senha;
b) efetuar a desconexo de servios de rede ou aplicaes, quando no for mais necessrio;
c) proteger os computadores ou dispositivos mveis contra uso no autorizado atravs de tecla de
bloqueio ou outro controle equivalente, por exemplo, senha de acesso, quando no estiver em uso.
55/11
0
ABNT/CB-21
SET 2013
11.2.9 Poltica de mesa limpa e tela limpa

Controle
Convm que seja adotada uma poltica de mesa limpa de papis e mdias de armazenamento
removveis e uma poltica de tela limpa para os recursos de processamento da informao..
Convm que uma poltica de mesa limpa e tela protegida leve em considerao a classificao da
informao, requisitos contratuais e legais, e o risco correspondente e aspectos culturais da
organizao. Convm que as seguintes diretrizes sejam consideradas:
a) convm que as informaes do negcio sensveis ou crticas, por exemplo, em papel ou em mdia
de armazenamento eletrnicas, sejam guardadas em lugar seguro (idealmente em um cofre,
armrio ou outras formas de moblia de segurana) quando no em uso, especialmente quando o
escritrio est desocupado;
b) convm que os computadores e terminais sejam mantidos desligados ou protegidos com
mecanismo de travamento de tela e teclados controlados por senha, token ou mecanismo de
autenticao similar quando sem monitorao e protegida por tecla de bloqueio, senhas ou outros
controles, quando no usados;
c) convm que sejam evitados o uso no autorizado de fotocopiadoras e outra tecnologia de
reproduo (por exemplo, scanners, mquinas fotogrficas digitais);
d) convm que os documentos que contm informao sensvel ou classificada sejam removidos de
impressoras imediatamente.
Uma poltica de mesa limpa e tela protegida reduz o risco de acesso no autorizado, perda e dano da
informao durante e fora do horrio normal de trabalho. Cofres e outras formas de recursos de
armazenamento seguro tambm podem proteger informaes armazenadas contra desastres como
incndio, terremotos, enchentes ou exploso.
Considerar o uso de impressoras com funo de cdigo PIN, permitindo dessa forma que os
requerentes sejam os nicos que podem pegar suas impresses, e apenas quando estiverem prximas
s impressoras.
12 Segurana nas operaes

12.1 Responsabilidades e procedimentos operacionais
Objetivo: Garantir a operao segura e correta dos recursos de processamento da informao.
56/11
0
ABNT/CB-21
SET 2013
12.1.1 Documentao dos procedimentos de operao

Controle
Convm que os procedimentos de operao sejam documentados e disponibilizados a todos os
usurios que necessitem deles.
Convm que os procedimentos documentados sejam preparados para as atividades operacionais
associadas a recursos de processamento de comunicao e informaes, tais como procedimentos de
inicializao e desligamento de computadores, gerao de cpias de segurana (backup), manuteno
de equipamentos, tratamento de mdias, segurana e gesto do tratamento das correspondncias e das
salas de computadores.
conveniente que os procedimentos de operao especifiquem as instrues, incluindo:
a) a instalao e configurao de sistemas;
b) processamento e tratamento da informao, tanto automtica como manual;
c) cpias de segurana (backup) (ver 12.3);
d) requisitos de agendamento, incluindo interdependncias com outros sistemas, a primeira hora para
incio da tarefa e a ltima hora para o trmino da tarefa;
e) instrues para tratamento de erros ou outras condies excepcionais, que possam ocorrer durante
a execuo de uma tarefa, incluindo restries de uso dos utilitrios do sistema (ver 9.4.4);
f)
contatos para suporte e escalao, incluindo contatos de suporte externos, para o caso de eventos
operacionais inesperados ou dificuldades tcnicas;
g) instrues quanto ao manuseio de mdias e sadas especiais, tais como o uso de formulrios
especiais ou o gerenciamento de dados confidenciais, incluindo procedimentos para o descarte
seguro de resultados provenientes de rotinas com falhas (ver 8.3 e11.2.7);
h) procedimento para o reincio e recuperao em caso de falha do sistema;
i)
gerenciamento de trilhas de auditoria e informaes de registros (logs) de sistemas (ver 12.4);
j)
procedimentos de monitoramento (ver 12.4).
Convm que os procedimentos operacionais e os procedimentos documentados para atividades de

sistemas sejam tratados como documentos formais e as mudanas sejam autorizadas pela direo.
Quando tecnicamente possvel, sistemas de informao sejam gerenciados uniformemente, usando os
mesmos procedimentos, ferramentas e utilitrios.
12.1.2 Gesto de mudanas
Controle
57/11
0
ABNT/CB-21
SET 2013
Convm que mudanas na organizao, nos processos do negcio, nos recursos de processamento da
informao e nos sistemas que afetam a segurana da informao, sejam controladas.
Convm que os seguintes itens em particular, sejam considerados:
a) identificao e registro das mudanas significativas;
b) planejamento e testes das mudanas;
c) avaliao de impactos potenciais, incluindo impactos de segurana da informao, de tais
mudanas;
d) procedimento formal de aprovao das mudanas propostas;
e) verificao de que os requisitos de segurana da informao foram atendidos;
f)
comunicao dos detalhes das mudanas para todas as pessoas relevantes;
g) procedimentos de recuperao, incluindo procedimentos e responsabilidades para interrupo e

recuperao de mudanas em caso de insucesso ou na ocorrncia de eventos inesperados.
h) proviso de um processo emergencial de mudana para permitir uma implementao rpida e
controlada de mudanas, necessrias para resolver um incidente (ver 16.1).
Convm que sejam estabelecidos procedimentos e responsabilidades de gesto formais para garantir
que haja um controle satisfatrio de todas as mudanas. Quando mudanas forem realizadas,
conveniente manter um registro de auditoria contendo todas as informaes relevantes.
O controle inadequado de modificaes nos sistemas e nos recursos de processamento das
informaes uma causa comum de falhas de segurana ou de sistema. Mudanas em ambientes
operacionais, especialmente quando da transferncia de um sistema em desenvolvimento para o
estgio operacional, podem trazer impactos confiabilidade de aplicaes (ver 14.2.2).
12.1.3 Gesto de capacidade
Controle
Convm que a utilizao dos recursos seja monitorada e ajustada e as projees sejam feitas para
necessidades de capacidade futura para garantir o desempenho requerido do sistema.
Convm que requisitos de capacidade sejam identificados levando-se em conta a criticidade do
negcio do sistema em questo. Que o ajuste e monitoramento dos sistemas sejam aplicados para
garantir e, quando necessrio, melhorar a disponibilidade e eficincia dos sistemas. recomendvel
que os controles detectivos sejam implantados para identificar problemas em tempo hbil.
conveniente que projees de capacidade futura levem em considerao os requisitos de novos
58/11
0
ABNT/CB-21
SET 2013
negcios e sistemas e as tendncias atuais e projetadas de capacidade de processamento de

informao da organizao.
Ateno particular precisa ser dada a qualquer recurso que possua um ciclo de renovao longo ou
custos alto, sendo responsabilidade dos gestores monitorar a utilizao dos recursos-chave dos
sistemas. Convm que eles identifiquem as tendncias de utilizao, particularmente em relao s
aplicaes do negcio ou s ferramentas de gesto de sistemas de informao.
Convm que os gestores utilizem essas informaes para identificar e evitar os potenciais gargalos e a
dependncia em pessoas-chave que possam representar ameaas segurana dos sistemas ou aos
servios, e planejar ao apropriada.
O fornecimento de capacidade suficiente pode ser obtido por meio do aumento de capacidade ou pela
reduo da demanda. Exemplos de gerenciamento da demanda de capacidade incluem:
a) excluso de dados obsoletos (espao em disco);
b) desativao de aplicaes, sistemas, bases de dados ou ambientes;
c) otimizao das programaes e dos processos de lote;
d) otimizao da lgica de aplicao ou das consultas base de dados;
e) negar ou restringir a largura da banda para servios que demandam muitos recursos se estes no
so crticos ao negcio (por exemplo streaming de vdeo).
Um plano documentado da gesto de capacidade convm ser considerado para os sistemas de misso
crtica.
Este controle tambm considera a capacidade dos recursos humanos, bem como dos escritrios e
instalaes.
12.1.4 Separao dos ambientes de desenvolvimento, teste e de produo
Controle
Convm que ambientes de desenvolvimento, teste e produo sejam separados para reduzir os riscos
de acessos ou modificaes no autorizadas no ambiente de produo.
Convm que o nvel de separao dos ambientes de produo, testes e desenvolvimento, que
necessrio para prevenir problemas operacionais, seja identificado e os controles apropriados sejam
implementados.
Convm que os seguintes itens sejam considerados:
a) convm que as regras para a transferncia de software do ambiente de desenvolvimento para o de
produo sejam definidas e documentadas;
59/11
0
ABNT/CB-21
SET 2013
b) convm que o software em desenvolvimento e o software em produo sejam, sempre que

possvel, executados em diferentes sistemas ou processadores e em diferentes domnios ou
diretrios;
c) convm que as mudanas nas aplicaes e nos sistemas operacionais sejam testadas em um
ambiente de teste ou projeto piloto, antes de ser aplicado aos sistemas operacionais.
d) convm que os testes no sejam realizados nos sistemas operacionais, exceto em circunstncias
excepcionais;
e) convm que os compiladores, editores e outras ferramentas de desenvolvimento ou utilitrios de
sistemas no sejam acessveis aos sistemas operacionais, quando no for necessrio;
f)
convm que os usurios tenham diferentes perfis para sistemas em testes e em produo, e que os
menus mostrem mensagens apropriadas de identificao para reduzir o risco de erro;
g) convm que os dados sensveis no sejam copiados para os ambientes de testes, a menos que
controles equivalentes sejam fornecidos para o sistema de teste (ver 14.3).
As atividades de desenvolvimento e teste podem causar srios problemas, como, por exemplo,
modificaes inesperadas em arquivos ou no ambiente dos sistemas, ou falhas de sistemas. Nesse
caso, necessria a manuteno de um ambiente conhecido e estvel, no qual possam ser executados
testes significativos e que seja capaz de prevenir o acesso indevido do pessoal de desenvolvimento ao
ambiente operacional.
Quando o pessoal de desenvolvimento e teste possui acesso ao sistema operacional e suas
informaes, estes podem introduzir cdigos no autorizados e no testados, ou mesmo alterar os
dados de produo. Em alguns sistemas essa capacidade pode ser mau utilizada para a execuo de
fraudes ou introduo de cdigos maliciosos ou no testados, que podem causar srios problemas
operacionais.
O pessoal de desenvolvimento e testes tambm representa uma ameaa confidencialidade das
informaes de produo. As atividades de desenvolvimento e teste podem causar modificaes no
intencionais no software ou nas informaes se eles compartilharem o mesmo ambiente computacional.
A separao dos ambientes de desenvolvimento, teste e produo , portanto, desejvel para reduzir o
risco de modificaes acidentais ou acessos no autorizados aos sistemas operacionais e aos dados do
negcio (ver 14.3 para a proteo de dados de teste).
12.2 Proteo contra cdigos maliciosos

Objetivo: Assegurar que as informaes e os recursos de processamento da informao esto
protegidos contra cdigos maliciosos.
12.2.1 Controles contra cdigos maliciosos
Controle
Convm que sejam implementados controles de deteco, preveno e recuperao para proteger
contra cdigos maliciosos, combinado com um adequado programa de conscientizao do usurio.
60/11
0
ABNT/CB-21
SET 2013

Convm que a proteo contra cdigos maliciosos seja baseada em softwares de deteco e resposta a
cdigos maliciosos, na conscientizao da segurana da informao, no controle de acesso adequado e
nos controles de gerenciamento de mudanas. Recomenda-se que os seguintes controles sejam
considerados:
a) estabelecer uma poltica formal proibindo o uso de softwares no autorizados (ver 12.6.2 e 14.2);
b) implementar controles para prevenir ou detectar o uso de softwares no autorizado (por exemplo
whitelisting, ou seja, uma lista de softwares permitidos a acessar o sistema);
c) implementar controles para prevenir ou detectar o uso de websites maliciosos, suspeitos ou
conhecidos (por exemplo blacklisting, ou seja, uma lista de softwares permitidos a acessar o
sistema);
d) estabelecer uma poltica formal para proteo contra os riscos associados com a importao de
arquivos e softwares, seja de redes externas, ou por qualquer outro meio, indicando as medidas
preventivas a serem adotadas;
e) reduzir vulnerabilidades que possam ser exploradas por cdigos maliciosos, por exemplo por meio
do gerenciamento de vulnerabilidades tcnicas (ver 12.6);
f)
conduzir anlises crticas regulares dos softwares e dados dos sistemas que suportam processos
crticos de negcio; convm que a presena de quaisquer arquivos no aprovados ou atualizao
no autorizada seja formalmente investigada;
g) instalar e atualizar regularmente softwares de deteco e remoo de cdigos maliciosos para o

exame de computadores e mdias magnticas, de forma preventiva ou de forma rotineira; convm
que as verificaes realizadas incluam:
1)
varredura, antes do uso, da existncia de cdigos maliciosos nos arquivos recebidos por meio
de redes ou em qualquer mdia de armazenamento;
2)
verificao, antes do uso, da existncia de software malicioso em qualquer arquivo recebido

atravs de correio eletrnico ou importado (download). Essa avaliao pode ser feita em
diversos locais, como, por exemplo, nos servidores de correio eletrnico, nos computadores
pessoais ou quando da sua entrada na rede da organizao;
3)
verificao da existncia de cdigos maliciosos em pginas web;
h) definir procedimentos e responsabilidades para tratar da proteo de cdigo malicioso nos

sistemas, treinamento nesses procedimentos, reporte e recuperao de ataques de cdigos
maliciosos (cdigos maliciosos);
i)
preparar planos de continuidade do negcio adequados para a recuperao em caso de ataques

por cdigos maliciosos, incluindo todos os procedimentos necessrios para recuperao e cpia
dos dados e softwares (ver 12.3);
j)
implementar procedimentos para coletar regularmente informaes, atravs por exemplo, de

assinaturas de listas de discusso e visitas a sites informativos sobre novos cdigos maliciosos;
61/11
0
ABNT/CB-21
SET 2013
k) implementar procedimentos para verificar a informao relacionada a cdigos maliciosos e garantir

que os boletins com alertas sejam precisos e informativos; Convm que os gestores garantam que
fontes qualificadas, como, por exemplo, jornais com reputao idnea, sites confiveis ou
fornecedores de software de proteo contra cdigos maliciosos, sejam utilizadas para diferenciar
boatos de notcias reais sobre cdigos maliciosos; convm que todos os usurios estejam cientes
dos problemas decorrentes de boatos e estejam capacitados a lidar com eles;
l)
isolar os ambientes onde impactos catastrficos possam ser gerados.
A utilizao de dois ou mais tipos de software de controle contra cdigos maliciosos de diferentes
fornecedores e tecnologias no ambiente de processamento da informao pode aumentar a eficcia na
proteo contra cdigos maliciosos.
Convm que seja tomado cuidado para proteo contra a introduo de cdigos maliciosos durante
manutenes e procedimentos de emergncia, os quais podem ultrapassar os controles comuns de
proteo contra cdigos maliciosos.
Sob certas condies, a proteo contra cdigos maliciosos pode causar perturbao nas operaes.
O uso isolado de softwares de reparao e deteco contra cdigos maliciosos no usualmente
adequado e geralmente necessita ser acompanhado de procedimentos operacionais que previnam a
introduo de cdigos maliciosos.
12.3 Cpias de segurana

Objetivo: Proteger contra a perda de dados.
12.3.1 Cpias de segurana das informaes
Controle
Convm que cpias de segurana das informaes, softwares e das imagens do sistema, sejam
efetuadas e testadas regularmente conforme a poltica de gerao de cpias de segurana definida.
Convm que a poltica de backup seja estabelecida para definir os requisitos da organizao relativos
s cpias de segurana das informaes, dos softwares e dos sistemas.
Convm que a poltica de backup defina os requisitos para proteo e reteno.
Convm que os recursos adequados para a gerao de cpias de segurana sejam disponibilizados
para garantir que toda informao e software essenciais possam ser recuperados aps um desastre ou
a falha de uma mdia.
Quando da elaborao de um plano de backup, convm que os seguintes itens sejam levados em
considerao:
62/11
0
ABNT/CB-21
SET 2013
a) registros completos e exatos das cpias de segurana e documentao apropriada sobre os

procedimentos de restaurao da informao, os quais convm que sejam produzidos;
b) a abrangncia (por exemplo, completa ou diferencial) e a freqncia da gerao das cpias de
segurana reflitam os requisitos de negcio da organizao, alm dos requisitos de segurana da
informao envolvidos e a criticidade da informao para a continuidade da operao da
organizao;
c) convm que as cpias de segurana sejam armazenadas em uma localidade remota, a uma
distncia suficiente para escapar dos danos de um desastre ocorrido no local principal;
d) convm que seja dado um nvel apropriado de proteo fsica e ambiental das informaes das
cpias de segurana (ver 11), consistentes com as normas aplicadas na instalao principal;
e) convm que as mdias de backup sejam regularmente testadas para garantir que elas so
confiveis no caso do uso emergencial; Convm que isto seja combinado com um teste de
restaurao e checado contra o tempo de restaurao requerido. Convm que os testes da
capacidade para restaurar os dados copiados sejam realizados em uma mdia de teste dedicada,
no sobrepondo a mdia original, no caso em que o processo de restaurao ou backup falhe e
cause irreparvel dano ou perda dos dados;
f)
em situaes onde a confidencialidade importante, convm que cpias de segurana sejam

protegidas atravs de encriptao.
Convm que cpias de segurana de sistemas e servios especficos sejam testadas regularmente para
garantir que elas esto aderentes aos requisitos definidos nos planos de continuidade do negcio. Para
servios e sistemas crticos, convm que sejam criados mecanismos de gerao de cpias de
segurana que abranjam todos os sistemas de informao, aplicaes e dados necessrios para a
completa recuperao do sistema em um evento de desastre.
O perodo de reteno para informaes essenciais ao negcio e tambm qualquer requisito para que
cpias de arquivo sejam permanentemente retidas, conm que seja determinado.
12.4 Registros e monitoramento

Objetivo: Registrar eventos e gerar evidncias.
12.4.1 Registros de eventos
Controle
Convm que registros (log) de eventos das atividades do usurio, excees, falhas e eventos de
segurana da informao sejam produzidos, mantidos e analisados criticamente, a intervalos regulares.
Convm que os registros (log) de eventos incluam, quando relevante:
a) identificao dos usurios (ID);
b) atividades do sistema;
63/11
0
ABNT/CB-21
SET 2013
c) datas, horrios e detalhes de eventos-chave, como, por exemplo, horrio de entrada (log-on) e
sada (log-off) no sistema;
d) identidade do dispositivo ou sua localizao quando possvel e o identificador do sistema;
e) registros das tentativas de acesso ao sistema, aceitas e rejeitadas;
f)
registros das tentativas de acesso a outros recursos e dados, aceitos e rejeitados;
g) alteraes na configurao do sistema;

h) uso de privilgios;
i)
Uso de aplicaes e utilitrios do sistema;
j)
arquivos acessados e o tipo de acesso;
k) endereos e protocolos de rede;

l)
alarmes provocados pelo sistema de controle de acesso;
m) ativao e desativao dos sistemas de proteo, como sistemas de antivrus e sistemas de

deteco de intrusos;
n) registros de transaes executadas pelos usurios nas aplicaes.
Os registros de eventos estabelecem o fundamento para os sistemas de monitoramento automticos, os
quais so capazes de gerar relatrios consolidados e alertas na segurana do sistema.
Os registros (log) de eventos podem conter dados confidenciais e informao de identificao pessoal.
Convm que medidas apropriadas de proteo de privacidade sejam tomadas (ver 18.1.4).
Quando possvel, convm que os administradores de sistemas no tenham permisso de excluso ou
desativao dos registros (log) de suas prprias atividades (ver 12.4.3).
12.4.2 Proteo das informaes dos registros de eventos (logs)
Controle
Convm que as informaes dos registros de eventos (log) e seus recursos sejam protegidas contra
acesso no autorizado e adulterao.
Convm que os controles implementados objetivem a proteo contra modificaes no autorizadas s
informaes dos (logs) e problemas operacionais com os recursos dos registros (log), tais como:
a) alteraes dos tipos de mensagens que so gravadas;
b) arquivos de registros (log) sendo editados ou excludos;
64/11
0
ABNT/CB-21
SET 2013
c) capacidade de armazenamento da mdia magntica do arquivo de registros (log) excedida,

resultando em falhas no registro de eventos ou sobreposio do registro de evento anterior.
Alguns registros (log) de auditoria podem ser guardados como parte da poltica de reteno de registros
ou devido aos requisitos para a coleta e reteno de evidncia (ver 16.1.7).
Registros (logs) de sistema frequentemente contm um grande volume de informaes, muitas das
quais no dizem respeito ao monitoramento de segurana da informao. Para ajudar a identificar
eventos significativos para o propsito de monitoramento de segurana da informao, convm
considerar que seja feita a cpia automtica dos tipos apropriados de mensagens para um segundo
registro, ou que sejam utilizados utilitrios de sistemas adequados ou ferramentas de auditoria para
realizar a racionalizao e investigao do arquivo.
Registros (log) de sistema precisam ser protegidos, porque se os dados forem modificados ou
excludos, a sua existncia pode gerar a falsa sensao de segurana. A cpia de registros em tempo
real para um sistema fora do controle do administrador ou operador do sistema pode ser utilizada como
salvaguarda para os registros.
12.4.3 Registros de eventos (log) de administrador e operador
Controle
Convm que as atividades dos administradores e operadores do sistema sejam registradas e os
registros (logs) protegidos e analisados criticamente, a intervalos regulares.
As pessoas que possuem conta de usurio privilegiado podem ser capazes de manipular os registros
(logs) nos recursos de processamento da informao que esto sob o seu controle direto, sendo
portanto necessrio proteger e analisar criticamente os registros (logs) para manter o controle dos
usurios privilegiados.
Um sistema de deteco de intrusos gerenciado fora do controle dos administradores de rede e de
sistemas pode ser utilizado para monitorar a conformidade das atividades dos administradores dos
sistemas e de rede.
12.4.4 Sincronizao dos relgios
Controle
Convm que os relgios de todos os sistemas de processamento de informaes relevantes, dentro da
organizao ou do domnio de segurana, sejam sincronizados com uma nica fonte de tempo precisa.
Convm que requisitos internos e externos relativos exatido, sincronizao e tempo de
representao sejam documentados. Tais requisitos podem ser legais, regulatrios, contratuais de
65/11
0
ABNT/CB-21
SET 2013
conformidade com normas ou requisitos para monitoramento interno. Um tempo padro de referncia
para uso dentro da organizao, pode ser definido.
Convm que a abordagem da organizao para obter o tempo de referncia de uma fonte externa e,
como sincronizar, de forma confivel os relgios internos, seja documentada e implementada.
O ajuste correto dos relgios dos computadores importante para garantir a exatido dos registros (log)
de auditoria, que podem ser requeridos para investigaes ou como evidncias em casos legais ou
disciplinares. Registros (log) de auditoria incorretos podem dificultar tais investigaes e causar danos
credibilidade dessas evidncias. Um relgio interno ligado ao relgio atmico nacional via transmisso
de rdio pode ser utilizado como relgio principal para os sistemas de registros (logging). O protocolo de
hora da rede pode ser utilizado para sincronizar todos os relgios dos servidores com o relgio principal.
12.5 Controle de software operacional

Objetivo: Assegurar a integridade dos sistemas operacionais.
12.5.1 Instalao de software nos sistemas operacionais
Controle
Convm que procedimentos para controlar a instalao de software em sistemas operacionais sejam
implementados.
Convm que as seguintes diretrizes sejam consideradas para controlar as mudanas de software em
sistemas operacionais:
a) convm que as atualizaes do software operacional, aplicativos e bibliotecas de programas sejam
executadas por administradores treinados e com autorizao gerencial apropriada (ver 9.4.5);
b) convm que os sistemas operacionais somente contenham cdigo executvel e aprovado, e no
contenham cdigos em desenvolvimento ou compiladores;
c) convm que sistemas operacionais e aplicativos somente sejam implementados aps testes
extensivos e bem sucedidos; recomendvel que os testes incluam testes sobre uso, segurana,
efeitos sobre outros sistemas como tambm sobre uso amigvel, e sejam realizados em sistemas
separados (ver 12.1.4); Convm que seja assegurado que todas as bibliotecas de cdigo fonte dos
programas correspondentes tenham sido atualizadas;
d) convm que um sistema de controle de configurao seja utilizado para manter controle da
implementao do software assim como da documentao do sistema;
e) convm que uma estratgia de retorno s condies anteriores seja disponibilizada antes que
mudanas sejam implementadas no sistema;
f)
convm que um registro de auditoria seja mantido para todas as atualizaes das bibliotecas dos
programas operacionais;
66/11
0
ABNT/CB-21
SET 2013
g) convm que verses anteriores dos softwares aplicativos sejam mantidas como medida de
contingncia;
h) convm que verses antigas de software sejam arquivadas, junto com todas as informaes e
parmetros requeridos, procedimentos, detalhes de configuraes, e software de suporte durante
um prazo igual ao prazo de reteno dos dados;
recomendvel que software adquirido de fornecedores e utilizado em sistemas operacionais seja
mantido em um nvel apoiado pelo fornecedor. Ao transcorrer o tempo, fornecedores de software
cessam o apoio s verses antigas do software. recomendado que a organizao considere os riscos
associados dependncia de software sem suporte.
Convm que qualquer deciso de atualizao para uma nova verso considere os requisitos do negcio
para a mudana, e da segurana associada por exemplo,a introduo de uma nova funcionalidade de
segurana da informao ou a quantidade e a gravidade dos problemas de segurana da informao
associados a esta verso.
Convm que os pacotes de correes de software sejam aplicados quando puderem remover ou reduzir
as vulnerabilidades de segurana da informao (ver 12.6).
recomendado que acessos fsicos e lgicos sejam concedidos a fornecedores, somente quando
necessrio, com a finalidade de suporte e com aprovao gerencial. Convm que as atividades do
fornecedor sejam monitoradas (ver 15.2.1).
Softwares para computadores podem depender de outros softwares e mdulos fornecidos
externamente, os quais convm que sejam monitorados e controlados para evitar mudanas no
autorizadas, que podem introduzir fragilidades na segurana.
12.6 Gesto de vulnerabilidades tcnicas

Objetivo: Prevenir a explorao de vulnerabilidades tcnicas.
12.6.1 Gesto de vulnerabilidades tcnicas
Controle
Convm que informaes sobre vulnerabilidades tcnicas dos sistemas de informao em uso, sejam
obtidas em tempo hbil, com a exposio da organizao a estas vulnerabilidades avaliadas e tomadas
as medidas apropriadas para lidar com os riscos associados.
Um inventrio completo e atualizado dos ativos de informao (ver 8) um pr-requisito para uma
gesto efetiva de vulnerabilidade tcnica. Informao especifica para o apoio gesto de
vulnerabilidade tcnica inclui o fornecedor de software, o nmero da verso, o status atual de
desenvolvimento (por exemplo, quais softwares esto instalados e em quais sistemas), e a(s) pessoa(s)
na organizao responsvel (is) pelos softwares.
Convm que seja tomada ao apropriada, no devido tempo, como resposta s potenciais
vulnerabilidades tcnicas identificadas. recomendvel que as seguintes diretrizes sejam seguidas
para o estabelecimento de um processo de gesto efetivo de vulnerabilidades tcnicas:
67/11
0
ABNT/CB-21
SET 2013
a) convm que a organizao defina e estabelea as funes e responsabilidades associadas na

gesto de vulnerabilidades tcnicas, incluindo o monitoramento de vulnerabilidades, a avaliao de
risco de vulnerabilidades, correes, acompanhamento dos ativos e qualquer responsabilidade de
coordenao requerida;
b) convm que os recursos de informao a serem usados para identificar vulnerabilidades tcnicas
relevantes e para manter a conscientizao sobre os mesmos, sejam identificados, para softwares
e outras tecnologias (baseado na lista de inventrio dos ativos, ver 8.1.1); convm que esses
recursos de informao sejam mantidos atualizados com base nas mudanas no inventrio de
ativos, ou quando outros recursos novos ou teis sejam encontrados;
c) convm que seja definido um prazo para a reao a notificaes de potenciais vulnerabilidades
tcnicas relevantes;
d) uma vez que uma vulnerabilidade tcnica potencial tenha sido identificada, convm que a
organizao avalie os riscos associados e as aes a serem tomadas; tais aes podem requerer o
uso de emendas de correes (patches) nos sistemas vulnerveis e/ou a aplicao de outros
controles;
e) dependendo da urgncia exigida para tratar uma vulnerabilidade tcnica, convm que a ao a ser
tomada esteja em acordo com os controles relacionados com a gesto de mudanas (ver 12.1.2)
ou que sejam seguidos os procedimentos de resposta a incidentes de segurana da informao
(ver 16.1.5).
f)
se uma correo disponibilizada, convm que sejam avaliados os riscos associados sua
instalao (convm que os riscos associados vulnerabilidade sejam comparados com os riscos
de instalao da correo);
g) convm que as emendas (patches) sejam testadas e avaliadas antes de serem instaladas para
assegurar a efetividade e que no tragam efeitos que no possam ser tolerados; quando no existir
a disponibilidade de uma emenda de correo, convm considerar o uso de outros controles, como:
1)
a desativao de servios ou potencialidades relacionadas vulnerabilidade;
2)
a adaptao ou a agregao de controles de acesso, por exemplo firewalls nas fronteiras da

rede (ver 13.1);
3)
o aumento do monitoramento para detectar ou prevenir ataques reais;
4)
o aumento da conscientizao sobre a vulnerabilidade.
h) convm que seja mantido um registro de auditoria de todos os procedimentos realizados;

i)
com a finalidade de assegurar a eficcia e a eficincia, convm que processo de gesto de

vulnerabilidades tcnicas seja monitorado e avaliado regularmente;
j)
recomenda-se contemplar em primeiro lugar os sistemas com altos riscos;
k) convm que um processo de gesto de vulnerabilidade tcnica eficaz esteja alinhado com as
atividades de gesto de incidentes, para comunicar dados sobre as vulnerabilidades, s funes de
resposta a incidentes e fornecer procedimentos tcnicos no caso em que ocorra um incidente.
68/11
0
ABNT/CB-21
SET 2013
l)
convm que seja definido um procedimento para contemplar a situao onde uma vulnerabilidade
tenha sido identificada e no existam controles adequados. Nesta situao, convm que a
organizao avalie os riscos relativos vulnerabilidade conhecida e defina correes e aes
corretivas apropriadas.
A gesto de vulnerabilidades tcnicas pode ser vista como uma subfuno da gesto de mudanas e,
como tal, pode aproveitar os procedimentos e processos da gesto de mudanas (ver 12.1.2 e 14.2.2).
Fornecedores esto frequentemente sob grande presso para liberar correes o mais breve possvel.
Portanto, existe a possibilidade de uma correo no resolver o problema adequadamente e causar
efeitos colaterais negativos. Tambm, em alguns casos, a desinstalao de uma correo pode no ser
facilmente obtida aps sua instalao.
Quando testes adequados de correo no forem possveis, por exemplo, devido a custos ou falta de
recursos, um atraso na aplicao da correo pode ser considerado para avaliar os riscos associados,
baseados nas experincias relatadas por outros usurios. O uso da ISO/IEC 27031 pode ser benfico.
12.6.2 Restries quanto instalao de software
Controle
Convm que sejam estabelecidas e implementadas regras definindo critrios para a instalao de
software pelos usurios.
Convm que a organizao defina e crie uma poltica mandatria e restrita, sobre quais os tipos de
software os usurios podem instalar.
Convm que o princpio do privilgio mnimo seja aplicado. Se certos privilgios so concedidos, os
usurios podem ter a capacidade de instalar software.
Convm que a organizao identifique quais os tipos de software so permitidos instalar (por exemplo,
atualizao e segurana de patches ao software existente), e quais tipos de instalaes so proibidas
(por exemplo, software que usado somente para fins pessoais e software cuja possibilidade de ser
potencialmente malicioso, desconhecida ou suspeita).
Convm que estes privilgios sejam concedidos aos usurios pertinentes.
A instalao de software no controlada em dispositivos computadorizados pode introduzir
vulnerabilidades e em seguida gerar o vazamento de informaes, perda de integridade ou outros
incidentes de Segurana da Informao alm da violao de direitos de propriedade intelectual.
12.7 Consideraes quanto auditoria de sistemas de informao

Objetivo: Minimizar o impacto das atividades de auditoria nos sistemas operacionais.
69/11
0
ABNT/CB-21
SET 2013
12.7.1 Controles de auditoria de sistemas de informao

Controle
Convm que os requisitos e atividades de auditoria envolvendo verificao nos sistemas operacionais
sejam cuidadosamente planejados e acordados para minimizar interrupo dos processos do negcio.
Convm que as seguintes diretrizes sejam observadas:
a) convm que os requisitos de auditoria para acesso aos sistemas e dados sejam acordados com o
nvel apropriado da gerncia;
b) convm que o escopo dos testes tcnicos da auditoria seja acordado e controlado;
c) convm que os testes de auditoria sejam limitados ao acesso somente para leitura de software e
dados;
d) convm que os outros acessos diferentes de apenas leitura sejam permitidos somente atravs de
cpias isoladas dos arquivos do sistema, as quais recomenda-se que sejam apagadas ao final da
auditoria, ou dada proteo apropriada quando existir uma obrigao para guardar tais arquivos
como requisitos da documentao da auditoria;
e) convm que os requisitos para processamento adicional ou especial sejam identificados e
acordados; os testes de auditoria que possam afetar a disponibilidade do sistema seja realizado
fora do horrio normal de trabalho;
f)
convm que todo o acesso seja monitorado e registrado de forma a produzir uma trilha de
referncia.
13 Segurana nas comunicaes

13.1 Gerenciamento da segurana em redes
Objetivo: Garantir a proteo das informaes em redes e dos recursos de processamento da
informao que os apoiam.
13.1.1 Controles de redes
Controle
Convm que as redes sejam gerenciadas e controladas para proteger as informaes nos sistemas e
aplicaes.
Convm que controles sejam implementados para garantir a segurana da informao nestas redes, e a
proteo dos servios a elas conectadas, de acesso no autorizado. Em particular, convm que os
seguintes itens sejam considerados:
70/11
0
ABNT/CB-21
SET 2013
a) convm que responsabilidades e procedimentos sobre o gerenciamento de equipamentos de rede

sejam estabelecidos;
b) convm que a responsabilidade operacional pelas redes seja separada da operao dos recursos
computacionais, onde apropriado (ver 6.1.1);
c) convm que controles especiais sejam estabelecidos para proteo da confidencialidade e
integridade dos dados que trafegam sobre redes pblicas ou sobre as redes sem fio (wireless) e
proteger os sistemas e aplicaes a elas conectadas (ver 10 e 13.2); controles especiais podem
tambm ser requeridos para manter a disponibilidade dos servios e computadores conectados;
d) convm que sejam aplicados mecanismos apropriados de registro e monitorao para habilitar a
gravao e deteco de aes que possam afetar, ou ser relevante para a segurana da
informao;
e) convm que atividades de gerenciamento sejam coordenadas para otimizar os servios para a
organizao e assegurar que os controles esto aplicados de forma consistente sobre toda a
infraestrutura de processamento da informao;
f)
convm que sistemas sobre as redes sejam autenticados;
g) convm que a conexo de sistemas rede seja restrita.

Informaes adicionais sobre segurana em rede pode ser encontrada na ISO / IEC 27033.
13.1.2 Segurana dos servios de rede
Controle
Convm que mecanismos de segurana, nveis de servio e requisitos de gerenciamento de todos os
servios de rede, sejam identificados e includos em qualquer acordo de servios de rede, tanto para
servios de rede providos internamente como para terceirizados.
Convm que a capacidade do provedor dos servios de rede para gerenciar os servios acordados de
maneira segura, seja determinada e monitorados regularmente, bem como o direito de audit-los seja
acordado.
conveniente que as definies de segurana necessrias para servios especficos, como
caractersticas de segurana, nveis de servio e requisitos de gerenciamento sejam identificadas.
Convm que a organizao assegure que os provedores dos servios de rede implementam estas
medidas.
Servios de rede incluem o fornecimento de conexes, servios de rede privados, redes de valor
agregado e solues de segurana de rede gerenciadas como firewalls e sistemas de deteco de
intrusos.
71/11
0
ABNT/CB-21
SET 2013
Estes servios podem abranger desde o simples fornecimento de banda de rede no gerenciada at
complexas ofertas de solues de valor agregado.
Funcionalidades de segurana de servios de rede podem ser:
a) tecnologias aplicadas para segurana de servios de redes como autenticao, encriptao e
controles de conexes de rede;
b) parmetros tcnicos requeridos para uma conexo segura com os servios de rede de acordo com
as regras de conexo de redes e segurana;
c) procedimentos para o uso de servios de rede para restringir o acesso a servios de rede ou
aplicaes, onde for necessrio.
13.1.3 Segregao de redes
Controle
Convm que grupos de servios de informao, usurios e sistemas de informao sejam segregados
em redes.
Um mtodo de controlar a segurana da informao em grandes redes dividir em diferentes domnios
de redes. Os domnios podem ser escolhidos baseado no nvel de confiana (por exemplo, domnio de
acesso pblico, domnio de estao de trabalho, domnio de servidor), em todas as reas da
organizao (por exemplo, RH, financeiro, marketing). A segregao pode ser feita, tanto usando
diferentes redes fsicas ou usando diferentes redes lgicas (por exemplo, VPN).
Convm que o permetro de cada domnio seja bem definido. O acesso entre os domnios de rede
permitido, porm recomendado que seja controlado no permetro por meio do uso de um gateway (por
exemplo, firewall, roteador de filtro). Convm que o critrio para segregao de redes em domnios e o
acesso permitido atravs dos gateways seja baseado em uma avaliao dos requisitos de segurana da
informao de cada domnio.
Convm que a avaliao seja feita de acordo com a poltica de controle de acesso (ver 9.1.1), os
requisitos de acesso, o valor e a classificao da informao processada, e que leve em conta o
impacto no desempenho e no custo da incorporao da tecnologia gateway, adequada.
Redes wireless requerem tratamento especial devido ao permetro de rede definido ser fraco. Convm
que, para ambientes sensveis, considerao seja dada para tratar todos os acessos wireless como
conexo externa (ver 9.4.2) e segregar esse acesso das redes internas, at que o acesso tenha
passado por um gateway, baseado na poltica de controle de redes (ver 13.1.1), antes de conceder o
acesso aos sistemas internos.
Autenticao, encriptao e as normas modernas de tecnologia de nveis de controle de acesso do
usurio a rede, baseadas nas redes wireless podem ser suficientes para controlar a conexo com a
rede interna da organizao, quando implementado adequadamente.
72/11
0
ABNT/CB-21
SET 2013
Redes esto sendo progressivamente estendidas alm dos limites organizacionais tradicionais, tendo
em vista as parcerias de negcio que so formadas e que podem requerer a interconexo ou
compartilhamento de processamento de informao e recursos de rede. Tais extenses podem
aumentar o risco de acesso no autorizado aos sistemas de informao existentes que usam a rede, e
alguns dos quais podem requerer proteo de outros usurios de rede por causa da sensibilidade ou
criticidade.
13.2 Transferncia de informao

Objetivo: Manter a segurana da informao transferida dentro da organizao e com quaisquer
entidades externas.
13.2.1 Polticas e procedimentos para transferncia de informaes
Controle
Convm que polticas, procedimentos e controles de transferncias formais, sejam estabelecidos para
proteger a transferncia de informaes, por meio do uso de todos os tipos de recursos de
comunicao.
Convm que procedimentos e controles estabelecidos para a troca de informaes em recursos
eletrnicos de comunicao considerem os tpicos a seguir:
a) procedimentos para proteger a informao transferida contra interceptao, cpia, modificao,
desvio e destruio;
b) procedimentos para deteco e proteo contra cdigo malicioso que pode ser transmitido atravs
do uso de recursos eletrnicos de comunicao (ver 12.2.1);
c) procedimentos para proteo de informaes eletrnicas sensveis que sejam transmitidas na
forma de anexos;
d) poltica ou diretrizes que especifiquem o uso aceitvel dos recursos eletrnicos de comunicao
(ver 8.1.3);
e) que as responsabilidades de funcionrios, fornecedores e partes externas possam comprometer a
organizao atravs de, por exemplo, difamao, assdio, falsa identidade, retransmisso de
"correntes", compras no autorizadas etc.;
f)
uso de tcnicas de criptografia para, por exemplo, proteger a confidencialidade, a integridade e a

autenticidade das informaes (ver 10);
g) diretrizes de reteno e descarte para toda a correspondncia de negcios, incluindo mensagens,

de acordo com regulamentaes e legislao locais e nacionais, relevantes.
73/11
0
ABNT/CB-21
SET 2013
h) controles e restries associados retransmisso em recursos de comunicao como, por

exemplo, a retransmisso automtica de mensagens eletrnicas (e-mails) para endereos
externos;
i)
orientar as pessoas para adotar precaues apropriadas no revelando informaes confidenciais;
j)
no deixar informaes crticas ou sensveis em secretrias eletrnicas uma vez que elas podem
ser acessadas por pessoas no autorizadas, armazenadas em sistemas comuns ou armazenadas
de forma incorreta, por engano;
k) lembrar as pessoas sobre os problemas do uso de aparelhos de fax, como:

1)
acesso no autorizado a dispositivos para recuperao de mensagens;
2)
programao de aparelhos, de forma deliberada ou acidental, para enviar mensagens para

nmeros especficos determinados;
3)
envio de documentos e mensagens para nmero errado, seja por falha na discagem ou uso
de nmero armazenado errado.
Adicionalmente, convm que as pessoas sejam lembradas de que no devem manter conversas
confidenciais em locais pblicos, escritrios abertos, canais de comunicao inseguros e locais de
reunio.
Convm que os servios de transferncia de informaes estejam de acordo com os requisitos legais
pertinentes (ver 18.1).
A transferncia de informaes pode ocorrer atravs do uso de vrios tipos diferentes de recursos de
comunicao, incluindo mensagens eletrnicas (e-mails), voz, fax e vdeo.
A transferncia de softwares pode ocorrer de diferentes formas, incluindo a baixa (download) da internet
e a aquisio junto a fornecedores que vendem produtos em srie.
Convm que sejam considerados os controles para os requisitos e as possveis implicaes nos
negcios, nos aspectos legais e na segurana, relacionadas com a troca eletrnica de dados, com o
comrcio eletrnico e com o correio eletrnico.
13.2.2 Acordos para transferncia de informaes
Controle
Convm que sejam estabelecidos acordos para transferncia segura de informaes do negcio entre a
organizao e partes externas.
Convm que os acordos de transferncia de informaes incorporem as seguintes condies:
a) responsabilidades do gestor pelo controle e notificao de transmisses, expedies e recepes;
74/11
0
ABNT/CB-21
SET 2013
b) procedimentos para assegurar a rastreabilidade dos eventos e o no-repdio.

c) padres tcnicos mnimos para embalagem e transmisso;
d) acordos para procedimentos de custdia;
e) normas para identificao de portadores;
f)
responsabilidades e obrigaes na ocorrncia de incidentes de segurana da informao, como

perda de dados.
g) utilizao de um sistema acordado de identificao para informaes crticas e sensveis,

garantindo que o significado dos rtulos seja imediatamente entendido e que a informao esteja
devidamente protegida (ver 8.2).
h) normas tcnicas para a gravao e leitura de informaes e softwares;
i)
quaisquer controles especiais que possam ser necessrios para proteo de itens sensveis, tais
como chaves criptogrficas (ver 10);
j)
manuteno de uma cadeia de custdia enquanto a informao encontra-se em trnsito;
k) nveis aceitveis de controle de acesso.

Convm que polticas, procedimentos e normas para proteger as informaes e as mdias em trnsito
(ver 8.3.3) sejam estabelecidos e mantidos, alm de serem referenciados nos mencionados acordos
para transferncia de informaes.
recomendado que os aspectos de segurana da informao contidos nos acordos reflitam a
sensibilidade das informaes envolvidas no negcio.
Os acordos podem ser eletrnicos ou manuais, e podem estar no formato de contratos formais. Para
informaes sensveis, convm que os mecanismos especficos, usados para a transferncia de tais
informaes, sejam consistentes com todas as organizaes e tipos de acordos.
13.2.3 Mensagens eletrnicas
Controle
Convm que as informaes que trafegam em mensagens eletrnicas sejam adequadamente
protegidas.
Convm que as consideraes de segurana da informao sobre as mensagens eletrnicas incluam o
seguinte:
a) proteo das mensagens contra acesso no autorizado, modificao ou negao de servio,
combinado com o esquema de classificao adotado pela organizao;
75/11
0
ABNT/CB-21
SET 2013
b) assegurar que o endereamento e o transporte da mensagem estejam corretos;

c) confiabilidade e disponibilidade do servio;
d) aspectos legais, como, por exemplo, requisitos de assinaturas eletrnicas;
e) aprovao prvia para o uso de servios pblicos externos tais como sistemas de mensagens
instantneas, redes sociais e compartilhamento de arquivos;
f)
nveis mais altos de autenticao para controlar o acesso a partir de redes pblicas.
Existem muitos tipos de mensagem eletrnica, como, e-mails, Eletronic Data Interchange (EDI), e redes
sociais que cumprem um papel importante nas comunicaes do negcio.
13.2.4 Acordos de confidencialidade e no divulgao
Controle
Convm que os requisitos para confidencialidade ou acordos de no divulgao que reflitam as
necessidades da organizao para a proteo da informao sejam identificados, analisados
criticamente e documentados.
Convm que os acordos de confidencialidade e de no divulgao considerem os requisitos para
proteger as informaes confidenciais, usando termos que so obrigados do ponto de vista legal.
Acordos de confidencialidade ou no divulgao so aplicaveis as partes externas ou aos funcionrios
da organizao.
Convm que os elementos sejam selecionados ou acrescentados considerando-se o tipo do acesso
permitido para a outra parte, ou para o tratamento da informao confidencial. Para identificar os
requisitos para os acordos de confidencialidade ou de no divulgao, convm que os seguintes
elementos sejam considerados:
a) uma definio da informao a ser protegida (por exemplo, informao confidencial);
b) o tempo de durao esperado de um acordo, incluindo situaes onde a confidencialidade tenha
que ser mantida indefinidamente;
c) aes requeridas quando um acordo est encerrado;
d) responsabilidades e aes dos signatrios para evitar a divulgao no autorizada da informao;
e) o proprietrio da informao, segredos comerciais e de propriedade intelectual, e como isto se
relaciona com a proteo da informao confidencial;
f)
o uso permitido da informao confidencial, e os direitos do signatrio para usar a informao;
g) o direito de auditar e monitorar as atividades que envolvem as informaes confidenciais;

76/11
0
ABNT/CB-21
SET 2013
h) o processo para notificao e relato de divulgao no autorizada ou vazamento das informaes

confidenciais;
i)
termos para a informao ser retornada ou destruda quando do trmino do acordo;
j)
aes esperadas a serem tomadas no caso de uma violao deste acordo.
Baseado nos requisitos de segurana da informao da organizao, outros elementos podem ser
necessrios em um acordo de confidencialidade ou de no divulgao.
Convm que os acordos de confidencialidade e de no divulgao estejam em conformidade com
todas as leis e regulamentaes aplicveis na jurisdio para a qual eles se aplicam (ver 18.1).
Convm que os requisitos para os acordos de confidencialidade e de no divulgao, sejam analisados
criticamente de forma peridica e quando mudanas ocorrerem que influenciem estes requisitos.
Acordos de confidencialidade e de no divulgao protegem as informaes da organizao e informam
aos signatrios das suas responsabilidades, para proteger, usar e divulgar a informao de maneira
responsvel e autorizada.
Pode haver uma necessidade de uma organizao usar diferentes formas de acordos de
confidencialidade ou de no divulgao, em diferentes circunstncias.
14 Aquisio, desenvolvimento e manuteno de sistemas

14.1 Requisitos de segurana de sistemas de informao
Objetivo: Garantir que a segurana da informao parte integrante de todo o ciclo de vida dos
sistemas de informao. Isto tambm inclui os requisitos para sistemas de informao que fornecem
servios sobre as redes pblicas.
14.1.1 Anlise e especificao dos requisitos de segurana da informao
Controle
Convm que os requisitos relacionados com segurana da informao sejam includos nos requisitos
para novos sistemas de informao ou melhorias dos sistemas de informao existentes.
Convm que os requisitos de segurana da informao sejam identificados usando vrios mtodos,
como, requisitos de conformidade oriundos de poltica e regulamentaes, modelos de ameaas,
anlises crticas de incidentes ou o uso de limiares de vulnerabilidade. Convm que os resultados da
identificao sejam documentados e analisados criticamente por todas as partes interessadas.
Convm que os controles e requisitos de segurana da informao reflitam o valor da informao
envolvida para o negcio (ver 8.2) e o seu potencial impacto negativo, que possa resultar de uma
falha da segurana da informao.
77/11
0
ABNT/CB-21
SET 2013
Convm que a identificao e a gesto dos requisitos de segurana da informao e os processos

associados sejam integrados nos estgios iniciais dos projetos de sistemas de informao.
Consideraes iniciais dos requisitos de segurana da informao, por exemplo, na fase do projeto
podem conduzir a uma soluo de custo mais eficiente e eficaz.
Convm que os requisitos de segurana da informao tambm considerem:
a) o nvel de confiana exigido para as identidades alegadas dos usurios para determinar requisitos
de autenticao do usurio;
b) os processos de autorizao e provisionamento de acessos, para usurios tcnicos ou com
acessos privilegiados;
c) informar os usurios e operadores quanto s suas obrigaes e responsabilidades;
d) as necessidades de proteo requerida dos ativos envolvidos, em particular com relao a
disponibilidade, confidencialidade e integridade.
e) requisitos derivados dos processos do negcio, tais como registros de transaes,

monitoramento e requisitos de no repdio;
f)
requisitos mandatrios de outros controles de segurana, por exemplo interfaces para registro e
monitoramento ou sistemas de deteco de vazamento de dados.
Convm que para aplicaes que fornecem servios sobre as redes pblicas ou que implementam
transaes sejam considerados os controles dedicados 14.1.2 e 14.1.3.
Se produtos so adquiridos, convm que um processo formal de aquisio e teste seja seguido.
Convm que os contratos com os fornecedores enderecem os requisitos de segurana identificados.
Onde a funcionalidade segurana em um produto proposto no atenda ao requisito especificado,
convm que o risco introduzido e os controles associados sejam reconsiderados antes da compra do
produto.
Convm que as orientaes para as configuraes de segurana do produto estejam disponveis e o
alinhamento com a o software final seja avaliado e implementado.
Convm que critrios para aceitao de produtos sejam definidos, por exemplo em termos da sua
funcionalidade, o qual dar garantia de que os requisitos de segurana identificados so atendidos.
Convm que os produtos sejam avaliados com base nesses critrios, antes da sua aquisio. Convm
que funcionalidades adicionais sejam analisadas criticamente para assegurar que ela no introduz
riscos adicionais inaceitveis.
A ABNT NBR ISO IEC 27005 e a ABNT NBR ISO 31000 fornecem diretrizes sobre o uso de processos
de gesto de riscos, para identificar controles que atendam os requisitos de segurana da informao.
78/11
0
ABNT/CB-21
SET 2013
14.1.2 Servios de aplicao seguros em redes pblicas

Controle
Convm que as informaes envolvidas nos servios de aplicao que transitam sobre redes pblicas
sejam protegidas de atividades fraudulentas, disputas contratuais e divulgao e modificaes no
autorizadas.
Convm que as consideraes de segurana da informao para servios de aplicao que transitam
sobre redes pblicas, considerem os seguintes itens:
a) o nvel de confiana que cada parte requer na identidade alegada, como por exemplo, atravs de
autenticao;
b) processos de autorizao associados com quem pode aprovar contedos, publicar ou assinar
documentos transacionais chave;
c) garantia de que os parceiros de comunicao esto completamente informados de suas
autorizaes para o fornecimento ou uso do servio;
d) determinar e atender aos requisitos de confidencialidade, integridade, evidncias de emisso e
recebimento de documentos-chave e o no-repdio de contratos, como por exemplo, os
associados aos processos de licitao e contratos;
e) o nvel de confiana requerido na integridade dos documentos chave;
f)
os requisitos de proteo de quaisquer informaes confidenciais;
g) a confidencialidade e integridade de quaisquer transaes de pedidos, informaes de pagamento,

detalhes de endereo de entrega e confirmaes de recebimentos;
h) o grau de investigao apropriado para a verificao de informaes de pagamento fornecidas por
um cliente;
i)
seleo das formas mais apropriadas de pagamento para proteo contra fraudes;
j)
o nvel de proteo requerida para manter a confidencialidade e integridade das informaes de

pedidos;
k) preveno contra perda ou duplicao de informao de transao;

l)
responsabilidades associados com quaisquer transaes fraudulentas;
m) requisitos de aplice de seguro.

Muitas das consideraes acima podem ser endereadas pela aplicao de controles criptogrficos (ver
10), levando-se em conta a conformidade com requisitos legais (ver 18, especificamente o item 18.1.5
para legislao de criptografia).
79/11
0
ABNT/CB-21
SET 2013
Convm que os acordos de servios de aplicao entre parceiros sejam apoiados por um acordo formal
que comprometa ambas as partes com os termos de servio acordados, incluindo detalhes de
autorizao (ver item b) acima).
Convm que requisitos de resilincia contra ataques sejam considerados, os quais podem incluir
requisitos para a proteo dos servidores da aplicao envolvidos, ou garantir a disponibilidade da
interconexo de redes, necessrias para a entrega do servio.
Aplicaes acessadas atravs de redes pblicas so suscetveis a uma variedade de ameaas de rede,
tais como: atividades fraudulentas, disputas contratuais ou divulgao de informao para o pblico. Por
estes motivos, uma avaliao de riscos detalhada e uma seleo de controles apropriada so
indispensveis. Os controles requeridos sempre incluem: mtodos de criptografia para autenticao e
segurana na transferncia dos dados.
Servios de aplicao podem fazer uso de mtodos de autenticao segura, por exemplo: usando
chave pblica criptografada e assinaturas digitais (veja 10), para reduzir os riscos. Alm disso,
confiana em terceiros pode ser utilizada, onde tais servios so necessrios.
14.1.3 Protegendo as transaes nos aplicativos de servios
Controle
Convm que informaes envolvidas em transaes nos aplicativos de servios sejam protegidas para
prevenir transmisses incompletas, erros de roteamento, alterao no autorizada da mensagem,
divulgao no autorizada, duplicao ou reapresentao da mensagem no autorizada.
Convm que as consideraes de segurana da informao para transaes nos aplicativos de servios
incluam os seguintes itens:
a) o uso de assinaturas eletrnicas para cada uma das partes envolvidas na transao;
b) todos os aspectos da transao, ou seja, garantindo que:
1)
informao de autenticao secreta de usurio so vlidas e verificadas para todas as partes;
2)
a transao permanea confidencial;
3)
a privacidade de todas as partes envolvidas seja mantida;
c) o caminho de comunicao entre todas as partes envolvidas criptografado;

d) protocolos usados para comunicaes entre todas as partes envolvidas seguro;
e) garantir que o armazenamento dos detalhes da transao est localizado fora de qualquer
ambiente publicamente acessvel, como por exemplo, em uma plataforma de armazenamento
existente na Intranet da organizao, e no retida e exposta em um meio de armazenamento
acessvel diretamente pela Internet;
80/11
0
ABNT/CB-21
SET 2013
f)
onde uma autoridade confivel utilizada (como por exemplo, para propsitos de emisso e
manuteno de assinaturas e/ou certificados digitais) a segurana integrada ao longo de todo o
processo de gesto dos certificados/ assinaturas.
A abrangncia dos controles adotados, precisa ser compatvel com o nvel de risco associado a cada
tipo de transao do servio da aplicao.
Transaes podem precisar de conformidade com requisitos legais e regulamentares na jurisdio nas
quais as transaes foram geradas, processadas, finalizadas ou armazenadas.
14.2 Segurana em processos de desenvolvimento e de suporte

Objetivo: Garantir que a segurana da informao est projetada e implementada no desenvolvimento
do ciclo de vida dos sistemas de informao.
14.2.1 Poltica de desenvolvimento seguro

Controle
Convm que regras para o desenvolvimento de sistemas e software sejam estabelecidas e aplicadas
aos desenvolvimentos realizados dentro da organizao.
Desenvolvimento seguro um requisito para construir um servio, uma arquitetura, um software e um
sistema seguro. Dentro de uma poltica de desenvolvimento seguro, convm que os seguintes aspectos
sejam considerados:
a) segurana do ambiente de desenvolvimento;
b) orientaes sobre a segurana no ciclo de vida do desenvolvimento do software:
1)
segurana na metodologia de desenvolvimento do software;
2)
diretrizes de cdigos seguro para cada linguagem de programao usada.
c) requisitos de segurana na fase do projeto;

d) pontos de verificao de segurana no cronograma do projeto;
e) repositrios seguros;
f)
segurana no controle de verses;
g) necessrios conhecimentos de segurana de aplicaes;

h) capacidade dos desenvolvedores de evitar, encontrar e corrigir vulnerabilidades.
81/11
0
ABNT/CB-21
SET 2013
Convm que as tcnicas de programao seguras sejam usadas tanto para novos desenvolvimentos
como para cenrios de reuso dos cdigos, onde as normas aplicadas ao desenvolvimento podem no
ser conhecidas ou no estarem consistentes com as melhores prticas atuais. Convm que Normas de
cdigos seguro sejam consideradas e, onde relevante, seja exigido o seu uso.
Convm que os desenvolvedores sejam treinados no uso das tcnicas de programao segura, e os
testes e as anlises crticas de cdigo verifiquem a necessidade de uso dessas tcnicas.
Quando o desenvolvimento terceirizado, convm que a organizao obtenha garantia de que a parte
externa est em conformidade com essas regras para o desenvolvimento seguro (ver 14.2.7).
O desenvolvimento tambm pode ocorrer dentro das aplicaes, como as aplicaes para escritrio,
scripts, navegadores e banco de dados.
14.2.2 Procedimentos para controle de mudanas de sistemas

Controle
Convm que as mudanas em sistemas no ciclo de vida de desenvolvimento sejam controladas
utilizando procedimentos formais de controle de mudanas.
Convm que os procedimentos de controle de mudanas sejam documentados e reforados para
assegurar a integridade do sistema, das aplicaes e produtos, nos estgios iniciais dos projetos,
atravs de um subsequente esquema de manuteno.
Convm que a introduo de novos sistemas e mudanas maiores em sistemas existentes, siga um
processo formal de documentao, especificao, teste, controle da qualidade e gesto da
implementao.
Convm que este processo inclua uma avaliao de riscos, anlise do impacto das mudanas e a
especificao dos controles de segurana requeridos. Convm que este processo tambm assegure
que a segurana e os procedimentos de controle atuais no sejam comprometidos, que os
programadores de suporte tenham acesso somente s partes do sistema necessrias para o
cumprimento das tarefas e que sejam obtidas concordncia e aprovao formal para qualquer mudana
obtida.
Quando aplicvel, convm que os procedimentos de controle de mudanas operacional e de aplicao
sejam integrados (ver 12.1.2).
Convm que os procedimentos de controle de mudanas incluam, porm no se limitem a:
a) a manuteno de um registro dos nveis acordados de autorizao;
b) a garantia de que as mudanas sejam submetidas por usurios autorizados;
82/11
0
ABNT/CB-21
SET 2013
c) a anlise crtica dos procedimentos de controle e integridade para assegurar que as mudanas no
os comprometam;
d) a identificao de todo software, informao, entidades em bancos de dados e hardware que
precisam correes;
e) a identificao e a verificao do cdigo crtico de segurana para minimizar a probabilidade da
ocorrncia de fragilidades de segurana conhecidas;
f)
a obteno de aprovao formal para propostas detalhadas antes do incio dos trabalhos;
g) a garantia de que os usurios autorizados aceitam as mudanas antes da implementao;

h) a garantia da atualizao da documentao do sistema aps concluso de cada mudana e de que
a documentao antiga seja arquivada ou descartada;
i)
a manuteno de um controle de verso para todas as atualizaes de software;
j)
a manuteno de uma trilha de auditoria de todas as mudanas solicitadas;
k) a garantia de que toda a documentao operacional (ver 12.1.1), e procedimentos dos usurios
sejam alterados conforme necessrio para se manter adequado;
l)
a garantia de que as mudanas sejam implementadas em horrios apropriados e no perturbe os

processos de negcio envolvidos.
Mudanas em software podem impactar no ambiente operacional e vice versa.
Boas prticas incluem os testes de novo software em um ambiente segregado dos ambientes de
produo e desenvolvimento (ver 12.1.4). Isto proporciona formas de ter controle sobre o novo software
e permite proteo adicional das informaes operacionais que so usadas para fins de teste. Convm
que isto inclua correes, pacotes de servio, entre outras atualizaes.
Onde atualizaes automticas so consideradas, convm que o risco para a integridade e
disponibilidade do sistema seja avaliada contra os benefcios da rpida implantao da atualizao. No
recomendada a utilizao de atualizaes automticas em sistemas crticos visto que algumas
atualizaes podem causar falhas em aplicaes crticas.
14.2.3 Anlise crtica tcnica das aplicaes aps mudanas nas plataformas operacionais
Controle
Quando plataformas operacionais forem modificadas, convm que as aplicaes crticas de negcio
sejam analisadas criticamente e testadas para assegurar que no ocorreu nenhum impacto adverso nas
operaes da organizao ou na segurana.
Convm que este processo compreenda:
83/11
0
ABNT/CB-21
SET 2013
a) a anlise crtica dos controles da aplicao e dos procedimentos de integridade para assegurar que
eles no foram comprometidos pelas mudanas na plataforma operacional;
b) a garantia de que as mudanas previstas na plataforma operacional sejam comunicadas em tempo
hbil para permitir os testes e anlises crticas antes da implementao;
c) a garantia de que as mudanas necessrias sejam includas nos planos de continuidade de
negcios (ver 17).
Plataformas operacionais incluem sistemas operacionais, banco de dados e plataformas intermedirias.
Convm que os controles tambm sejam aplicados para mudanas em aplicaes.
14.2.4 Restries sobre mudanas em pacotes de Software
Controle
Convm que modificaes em pacotes de software sejam desencorajadas e estejam limitadas s
mudanas necessrias, e todas as mudanas sejam estritamente controladas.
Convm que quando possvel e praticvel, os pacotes de softwares providos pelos fornecedores sejam
utilizados sem modificaes. Quando um pacote de software requer modificao, convm que sejam
considerados os seguintes itens:
a) o risco de que controles e processos de integridade embutidos no software sejam comprometidos;
b) a obteno do consentimento do fornecedor;
c) a possibilidade de obteno junto ao fornecedor das mudanas necessrias como atualizao
padro do programa;
d) o impacto resultante quando a organizao passa a ser responsvel para a manuteno futura do
software como resultado das mudanas;
e) a compatibilidade com outros softwares em uso;
Se mudanas forem necessrias, convm que o software original seja retido e as mudanas aplicadas
em uma cpia. Convm que um processo de gesto da atualizao de software seja implementado para
assegurar que as atualizaes das aplicaes e os pacotes mais atualizados sejam instalados para
todos os softwares autorizados (ver 12.6.1). Convm que todas as mudanas sejam totalmente testadas
e documentadas, para que elas possam ser reaplicadas, se necessrio, para futuras atualizaes do
software. Se requerido, convm que as modificaes sejam testadas e validadas por um organismo
independente de avaliao.
84/11
0
ABNT/CB-21
SET 2013
14.2.5 Princpios para projetar sistemas seguros

Controle
Convm que princpios para projetar sistemas seguros sejam estabelecidos, documentados, mantidos e
aplicados para qualquer implementao de sistemas de informao.
Convm que procedimentos para projetar sistemas de informao seguros, baseados nos princpios da
engenharia de segurana sejam estabelecidos, documentados e aplicados nas atividades internas de
engenharia de sistemas de informao da organizao.
Convm que a segurana seja projetada em todas as camadas da arquitetura (negcios, dados,
aplicaes e tecnologia), realizando o balanceamento entre a necessidade da segurana da informao
com a necessidade de acessibilidade. Convm que novas tecnologias sejam analisadas quanto aos
riscos de segurana e o projeto seja analisado criticamente com base em modelos de ataque
conhecidos.
Convm que estes princpios e os procedimentos de engenharia estabelecidos sejam analisados
criticamente a intervalos regulares, para assegurar que eles esto contribuindo de forma eficaz para
melhorar as normas de segurana no processo da engenharia. Convm que eles tambm analisem
criticamente, a intervalos regulares, para garantir que eles permanecem atualizados para combater
quaisquer novas ameaas potenciais e permanecer aplicvel aos avanos das solues e tecnologias a
serem implementadas.
Convm que o estabelecimento dos princpios de engenharia de segurana seja aplicado onde
pertinente, para sistemas de informao terceirizados, por meio de contratos e outras formas de
acordos entre a organizao e o fornecedor para o qual a organizao terceirizou. Convm que a
organizao confirme que o rigor dos princpios de engenharia de segurana do fornecedor
comparvel com seu prprio princpio.
Convm que procedimentos de desenvolvimento de aplicaes implementem tcnicas de engenharia
seguras no desenvolvimento de aplicaes que possuem interfaces de entrada e sada. Tcnicas de
engenharia seguras provm guias sobre tcnicas de autenticao de usurios, controle de sesses
seguras e validao de dados, higienizao e eliminao de depurao de cdigos.
14.2.6 Ambiente seguro para desenvolvimento
Controle
Convm que as organizaes estabeleam e protejam adequadamente ambientes de desenvolvimento
seguros para os esforos de desenvolvimento e integrao de sistemas, que cubram todo o ciclo de
vida de desenvolvimento de sistema.
Um ambiente de desenvolvimento seguro inclui pessoas, processos e tecnologia, associados com a
integrao e o desenvolvimento de sistemas.
85/11
0
ABNT/CB-21
SET 2013
Convm que as organizaes avaliem os riscos associados com os esforos de desenvolvimento de

sistemas individuais e estabeleam ambientes de desenvolvimento seguro, para esforos de
desenvolvimento de sistemas especficos, considerando:
a) a sensibilidade dos dados a serem processados, armazenados e transmitidos pelo sistema;
b) requisitos internos e externos aplicveis, por exemplo, oriundos de polticas ou regulamentaes;
c) controles de segurana j implementados pela organizao, que suportam o desenvolvimento de
sistemas;
d) confiabilidade das pessoas que trabalham no ambiente (ver 7.1.1);
e) o grau de terceirizao associado com o desenvolvimento do sistema;
f)
a necessidade de segregao entre os diferentes ambientes de desenvolvimento;
g) controle de acesso ao ambiente de desenvolvimento;

h) monitoramento de mudanas ao ambiente e do cdigo armazenado no ambiente;
i)
os backups armazenados em locais seguros externos organizao.
Uma vez que o nvel de proteo seja determinado para um especifico ambiente de desenvolvimento,
convm que a organizao documente os processos correspondentes em procedimentos de
desenvolvimento seguro, e fornea esses procedimentos a todos os indivduos que deles necessitam.
14.2.7 Desenvolvimento terceirizado
Controle
Convm que a organizao supervisione e monitore as atividades de desenvolvimento de sistemas
terceirizado.
Quando o desenvolvimento de sistemas for terceirizado, convm que os seguintes pontos sejam
considerados ao longo de toda a cadeia de suprimento externo da organizao:
a) acordos de licena, propriedade do cdigo e direitos de propriedade intelectual relacionado com o
contedo terceirizado (ver 18.1.2);
b) requisitos contratuais para um projeto seguro, prticas de cdigo e teste (ver 14.2.1);
c) fornecimento de um modelo de ameaa aprovado para o desenvolvedor externo;
d) teste de aceitao relativos qualidade e exatido dos itens entregues;
e) fornecimento de evidncia de que os princpios de segurana foram usados para estabelecer um
nvel mnimo de segurana aceitvel e a qualidade da privacidade;
86/11
0
ABNT/CB-21
SET 2013
f)
fornecimento de evidncias de que testes suficientes foram realizados para proteger contra a
ausncia de contedo malicioso, tanto intencional e no intencional no momento da entrega;
g) fornecimento de evidncias de que testes suficientes foram aplicados para proteger contra a
presena de vulnerabilidades conhecidas;
h) acordos de garantia, por exemplo se o cdigo fonte no est mais disponvel;
i)
direitos contratuais para auditar os controles e processos de desenvolvimento;
j)
documentao efetiva da construo do ambiente usado para realizar as entregas;
k) a organizao permanece responsvel pela conformidade com as leis aplicveis e a verificao da

eficcia dos controles.
Mais informaes sobre as relaes com fornecedores podem ser encontradas em ISO/IEC 27036.
14.2.8 Teste de segurana do sistema
Controle
Convm que os testes de funcionalidades de segurana sejam realizados durante o desenvolvimento de
sistemas.
Sistemas novos e atualizados requerem verificao e testes completos, durante o processo de
desenvolvimento, incluindo a preparao de uma programao de atividades detalhada, com testes de
entrada e sada esperadas sob determinadas condies. Para o desenvolvimento interno, convm que
tais testes sejam inicialmente realizados pela equipe de desenvolvimento.
Convm que testes de aceitao independente, tambm sejam realizados (tanto para desenvolvimento
interno como para desenvolvimento terceirizado), para assegurar que o sistema trabalha conforme
esperado e apenas como previsto em 14.1.1 e 14.1.2. Convm que a abrangncia do teste seja
proporcional importncia e natureza do sistema.
14.2.9 Teste de aceitao de sistemas
Controle
Convm que programas de testes de aceitao e critrios relacionados sejam estabelecidos para novos
sistemas de informao, atualizaes e novas verses.
Convm que testes de aceitao de sistemas incluam testes de requisitos de segurana da informao
(ver 14.1.1 e 14.1.2) e aderncia s prticas de desenvolvimento seguro de sistemas (ver 14.2.1).
Convm que os testes tambm sejam realizados nos componentes recebidos e nos sistemas
integrados. As organizaes podem aproveitar as ferramentas automatizadas, como ferramentas de
87/11
0
ABNT/CB-21
SET 2013
anlise de cdigos ou scanners de vulnerabilidade, para verificar a correo dos defeitos relacionados
segurana.
Convm que os testes sejam realizados em um ambiente de teste realstico para assegurar que o
sistema no introduzir vulnerabilidades ao ambiente da organizao e que os testes so confiveis.
14.3 Dados para teste

Objetivo: Assegurar a proteo dos dados usados para teste.
14.3.1 Proteo dos dados para teste
Controle
Convm que os dados de teste sejam selecionados com cuidado, protegidos e controlados.
Convm que seja evitado, para propsitos de teste, o uso de bancos de dados operacionais que
contenham informao de identificao pessoal ou qualquer outra informao confidencial.
Se a informao de identificao pessoal ou outras informaes sensveis forem utilizadas com o
propsito de teste, convm que todos os detalhes e contedos sejam protegidos contra remoo ou
modificao (ver ISO/IEC 29101).
Convm que as seguintes orientaes sejam aplicadas para a proteo de dados operacionais, quando
utilizados para fins de teste:
a) convm que os procedimentos de controle de acesso, aplicveis aos sistemas de aplicaes
operacionais, sejam tambm aplicados aos sistemas de aplicaes em teste;
b) convm que seja obtida autorizao cada vez que for utilizada uma cpia da informao
operacional para uso em ambiente de teste;
c) convm que a informao operacional seja apagada do ambiente de teste, imediatamente aps
finalizar os testes;
d) convm que a cpia e o uso de informao operacional sejam registrados de forma a prover uma
trilha para auditoria;
O sistema e o teste de aceitao geralmente requerem um volume substancial de dados para teste, o
mais prximo possvel dos dados operacionais.
15 Relacionamento na cadeia de suprimento

15.1 Segurana da informao na cadeia de suprimento.
Objetivo: Garantir a proteo dos ativos da organizao que so acessveis pelos fornecedores
88/11
0
ABNT/CB-21
SET 2013
15.1.1 Poltica de segurana da informao no relacionamento com os fornecedores

Controle
Convm que os requisitos de segurana da informao para mitigar os riscos associados com o acesso
dos fornecedores aos ativos da organizao sejam acordados com o fornecedor e documentados.
Convm que a organizao identifique e exija os controles de segurana da informao para tratar,
especificamente, do acesso do fornecedor as informaes da organizao, atravs de uma poltica.
Convm que estes controles considerem os procedimentos e processos a serem implementados
pela organizao, bem como aqueles processos e procedimentos que a organizao requeira do
fornecedor a sua implementao, incluindo:
a) identificao e documentao dos tipos de fornecedores, por exemplo, servios de TI, utilidades,
servios financeiros, componentes de infraestrutura de TI, aos quais a organizao permitir
acessar suas informaes;
b) um processo padronizado e o ciclo de vida para gerenciar as relaes com o fornecedor;
c) definio dos tipos de acesso informao que diferentes tipos de fornecedores tero permisso, o
monitoramento e o controle do acesso;
d) requisitos mnimos de segurana da informao para cada tipo de acesso e tipo de informao,
para servir como base para acordos individuais com o fornecedor, baseados nos perfis de risco,
requisitos e necessidades de negcio;
e) procedimentos e processos para monitorar a aderncia dos requisitos de segurana da informao
estabelecidos para cada tipo de acesso e tipo de fornecedor, incluindo anlise crtica da parte
externa e a validao do produto;
f)
completeza e exatido dos controles para assegurar a integridade da informao ou o

processamento da informao provido pelas partes;
g) tipos de obrigaes aplicveis aos fornecedores para proteger as informaes da organizao;

h) tratamentos de incidentes e contingncias associados com o acesso do fornecedor incluindo
responsabilidades, tanto da organizao como dos fornecedores;
i)
resilincia e, quando necessrio, acordos de contingncia e recuperao para assegurar a

disponibilidade da informao ou o processamento da informao fornecido pelas partes;
j)
treinamento de conscientizao para o pessoal da organizao envolvido com aquisio, relativo

aos procedimentos, processos e polticas aplicveis;
k) treinamento de conscientizao para o pessoal da organizao que interage com o pessoal do

fornecedor, relativo s regras apropriadas de interao e comportamento baseado no tipo do
fornecedor e no nvel de acesso do fornecedor s informaes e sistemas da organizao;
89/11
0
ABNT/CB-21
SET 2013
l)
condies sob as quais os controles e requisitos de segurana da informao sero documentados

em um acordo, assinado por ambas as partes;
m) o gerenciamento da transio necessria da informao, dos recursos de processamento da

informao e de qualquer coisa que necessite ser transferido, e a garantia de que a segurana da
informao est mantida ao longo de todo o perodo de transio.
As informaes podem ser colocadas em risco por fornecedores com a gesto da segurana da
informao inadequada. Convm que controles sejam identificados e aplicados para administrar os
acessos dos fornecedores aos recursos de processamento da informao. Por exemplo: se existir uma
necessidade especial de confidencialidade da informao, acordos de no divulgao podem ser
utilizados. Outro exemplo so os riscos de proteo dos dados quando os acordos com fornecedores
envolvem a transferncia ou acesso a informao atravs das barreiras. A organizao precisa estar
ciente de que as responsabilidades contratuais e legais para proteger a informao permanecem com a
organizao.
15.1.2 Identificando segurana da informao nos acordos com fornecedores
Controle
Convm que todos os requisitos de segurana da informao relevantes sejam estabelecidos e
acordados com cada fornecedor que possa acessar, processar, armazenar, comunicar, ou prover
componentes de infraestrutura de TI para as informaes da organizao.
Convm que os acordos com fornecedores sejam estabelecidos e documentados para assegurar que
no existem desentendimentos entre a organizao e o fornecedor, com relao obrigao de ambas
as partes com o cumprimento dos requisitos de segurana da informao relevantes.
Convm que os seguintes termos sejam considerados para incluso nos acordos visando atender aos
requisitos da segurana da informao identificados:
a) descrio da informao a ser acessada/fornecida e os mtodos de acesso a informao;
b) classificao da informao de acordo com o esquema de classificao da organizao (ver 8.2);
quando necessrio, mapeamento do esquema de classificao da organizao com o esquema de
classificao do fornecedor;
c) requisitos regulamentares e legais, incluindo a proteo de dados, os direitos de propriedade
intelectual e direitos autorais, e uma descrio sobre como isto ser assegurado que os
fornecedores cumpriro.
d) obrigao de cada parte contratual para implementar o conjunto de controles acordados, incluindo
o controle de acesso, a anlise crtica do desempenho, o monitoramento, o reporte e a auditoria;
e) regras de uso aceitvel da informao, incluindo o uso inaceitvel, se necessrio;
90/11
0
ABNT/CB-21
SET 2013
f)
uma lista explcita do pessoal do fornecedor autorizado a acessar ou receber as informaes da

organizao ou as condies e procedimentos para autorizao e remoo do pessoal do
fornecedor para acessar ou receber as informaes da organizao;
g) polticas de segurana da informao relevantes para o contrato especfico;

h) procedimentos e requisitos de gesto de incidentes (especialmente para notificao e colaborao
durante a correo de um incidente);
i)
requisitos de treinamento e conscientizao para procedimentos especficos e requisitos de

segurana da informao, por exemplo, resposta a incidentes, procedimentos de autorizao;
j)
regulamentaes relevantes para subcontratao, incluindo os controles que precisam ser

implementados;
k) acordos relevantes com parceiros, incluindo um contato pessoal para as questes de segurana da
informao;
l)
requisitos de seleo, se necessrio para o pessoal do fornecedor, incluindo responsabilidades por

realizar a verificao e procedimentos de notificao caso a verificao no tenha sido concluda
ou se os resultados apresentados causem dvidas ou preocupaes;
m) direito de auditar os processos do fornecedor e os controles relacionados ao acordo;

n) processos para resoluo de defeitos e de conflitos;
o) obrigaes do fornecedor para, periodicamente, apresentar um relatrio independente da eficcia
dos controles e um acordo das correes em tempo hbil, das questes relevantes apresentadas
no relatrio;
p) obrigaes do fornecedor de cumprir com os requisitos de segurana da informao da
organizao.
Os acordos podem variar consideravelmente para diferentes organizaes e entre os diferentes tipos de
fornecedores. Por este motivo, convm tomar cuidados para incluir todos os requisitos e riscos de
segurana da informao relevantes. Acordos com fornecedores podem tambm envolver outras partes
(por exemplo: sub-fornecedores).
Convm que sejam considerados nos acordos procedimentos para continuidade nos casos em que o
fornecedor se torne incapaz de fornecer seus produtos ou servios, para evitar qualquer atraso nos
acordos de substituio de produtos ou servios.
15.1.3 Cadeia de suprimento na tecnologia da comunicao e informao
Controle
Convm que acordos com fornecedores incluam requisitos para contemplar os riscos de segurana da
informao associados com a cadeia de suprimento de produtos e servios de tecnologia das
comunicaes e informao.
91/11
0
ABNT/CB-21
SET 2013

Convm que os seguintes tpicos sejam considerados para incluso nos acordos com fornecedores na
segurana da cadeia de suprimento:
a) definio dos requisitos de segurana da informao aplicveis na aquisio de servios ou
produtos de tecnologia da comunicao e informao, em acrscimo aos requisitos de segurana
da informao gerais, na relao com os fornecedores.
b) para os servios de tecnologia da comunicao e informao, exigir que os fornecedores divulgue
os requisitos de segurana da informao da organizao em toda a cadeia de suprimento, caso os
sub-fornecedores sejam parte do servio de tecnologia da comunicao e informao a ser
fornecido para a organizao;
c) para produtos de tecnologia de comunicao e informao, exigir que os fornecedores divulguem
as prticas de segurana da informao apropriadas ao longo de toda a cadeia de suprimento,
caso esses produtos incluam componentes comprados de outros fornecedores;
d) implementao de um processo de monitoramento e mtodos aceitveis para validao dos
servios e produtos de tecnologia da comunicao e informao entregues esto aderentes aos
requisitos de segurana da informao estabelecidos;
e) implementao de um processo para identificao dos componentes do servio ou produto que so
crticos para manter a funcionalidade e, portanto, requer uma maior ateno e verificao quando
construdo fora da organizao, especialmente se o fornecedor principal terceiriza partes dos
componentes do servio ou produto com outros fornecedores;
f)
obteno de garantia de que os componentes crticos e as suas origens podem ser rastreadas ao
longo de toda a cadeia de suprimento;
g) obteno de garantia de que os produtos de tecnologia da comunicao e informao entregues

esto funcionando conforme esperado, sem quaisquer caractersticas no desejadas ou no
esperadas;
h) definio de regras para compartilhamento da informao com relao a cadeia de suprimento e
quaisquer questes potenciais e compromissos assumidos entre a organizao e os fornecedores;
i)
a implementao de processos especficos para gerenciar os riscos de segurana associados, a

disponibilidade e os componentes do ciclo de vida da tecnologia da comunicao e informao. isto
inclui a gesto dos riscos de componentes quando no estiverem mais disponveis, devido ao
fornecedor no estar mais no negcio ou o fornecedor no mais fornecer esses componentes
devido aos avanos da tecnologia.
Prticas de gesto de riscos especficas para a cadeia de suprimento de tecnologia da comunicao e
informao so construdas sobre as prticas de segurana da informao, qualidade, gesto de
projetos e engenharia de sistemas, mas no as substituem.
As organizaes so aconselhadas para trabalhar com fornecedores que entendam da cadeia de
suprimento de tecnologia da comunicao e informao e quaisquer questes que tenham impacto
92/11
0
ABNT/CB-21
SET 2013
relevante sobre os produtos e servios que esto sendo fornecidos. As organizaes podem influenciar
as prticas de segurana da informao da cadeia de suprimento da tecnologia da comunicao e
informao, deixando claro nos acordos com seus fornecedores os assuntos que devem ser abordados
por outros fornecedores da cadeia de fornecimento de tecnologia da comunicao e informao.
A cadeia de suprimento de tecnologia da comunicao e informao aqui abordada inclui os servios de
computao na nuvem.
15.2 Gerenciamento da entrega do servio do fornecedor

Objetivo: Manter um nvel acordado de segurana da informao e de entrega de servios em
consonncia com os acordos com fornecedores.
15.2.1 Monitoramento e anlise crtica de servios com fornecedores
Controle
Convm que a organizao monitore, analise criticamente e audite a intervalos regulares, a entrega dos
servios executados pelos fornecedores.
Convm que a monitorao e a anlise crtica dos servios fornecidos garantam que os termos e
condies dos acordos de segurana de informao sejam cumpridos e que os incidentes e problemas
de segurana da informao sejam gerenciados de forma apropriada. Convm que envolva um
processo de gesto do relacionamento dos servios entre a organizao e o fornecedor para:
a) monitorar os nveis de desempenho de servio para verificar aderncia aos acordos;
b) analisar criticamente os relatrios de servios produzidos por fornecedores e agendamento de
reunies de progresso conforme requerido pelos acordos;
c) realizar auditorias nos fornecedores, em conjunto com a anlise crtica dos relatrios de auditoria
independente, quando disponveis, bem como o acompanhamento das questes identificadas;
d) fornecer informaes sobre incidentes de segurana de informao e analisar criticamente tais
informaes, conforme requerido pelos acordos e por quaisquer procedimentos e diretrizes que os
apoiem;
e) analisar criticamente as trilhas de auditoria do fornecedor e registros de eventos de segurana da
informao, problemas operacionais, falhas, investigao de falhas e interrupes relativas ao
servio entregue;
f)
resolver e gerenciar quaisquer problemas identificados;
g) analisar criticamente os aspectos de segurana da informao na relao dos fornecedores com

seus prprios fornecedores;
h) garantir que o fornecedor mantm capacidade de servio suficiente em conjunto com planos de
trabalho desenhados para assegurar que os nveis de continuidade do servio acordados so
mantidos, no caso de um desastre ou falha dos servios principais (ver 17).
93/11
0
ABNT/CB-21
SET 2013
Convm que a responsabilidade sobre o gerenciamento de relacionamento com o fornecedor seja

atribuda a um indivduo designado ou para a equipe de gerenciamento de servio.
Adicionalmente, convm que a organizao assegure que o fornecedor atribua responsabilidades pela
verificao de conformidade e reforce os requisitos dos acordos.
Convm que habilidades tcnicas suficientes e recursos sejam disponibilizados para monitorar os
requisitos dos acordos, em particular os requisitos de segurana de informao foram atendidos.
Convm que aes apropriadas sejam tomadas quando deficincias na entrega dos servios so
observadas.
Convm que a organizao mantenha controles gerais suficientes e visibilidade de todos os aspectos
de segurana para as informaes sensveis ou crticas ou para os recursos de processamento da
informao acessados, processados ou gerenciado por um fornecedor.
Convm que a organizao mantenha visibilidade sobre as atividades de segurana, como o
gerenciamento de mudanas, a identificao de vulnerabilidades, os relatrios e respostas de incidentes
de segurana da informao, atravs de um processo definido de notificao.
15.2.2 Gerenciamento de mudanas para servios com fornecedores
Controle
Convm que mudanas no provisionamento dos servios pelos fornecedores, incluindo manuteno e
melhoria das polticas de segurana da informao, dos procedimentos e controles existentes, sejam
gerenciadas, levando-se em conta a criticidade das informaes do negcio, dos sistemas e processos
envolvidos, e a reavaliao de riscos.
Convm que os seguintes aspectos sejam levados em considerao:
a) mudanas nos acordos com o fornecedor;
b) mudanas feitas pela organizao para implementar:
1)
melhorias dos servios atualmente oferecidos;
2)
desenvolvimento de quaisquer novas aplicaes e sistemas;
3)
modificaes ou atualizaes das polticas e procedimentos da organizao;
4)
controles novos ou modificados para resolver os incidentes de segurana de informao e

para melhorar a segurana da informao;
c) mudanas nos servios de fornecedores para implementar:

1)
mudanas e melhorias em redes;
2)
uso de novas tecnologias;
3)
adoo de novos produtos ou novas verses;

94/11
0
ABNT/CB-21
SET 2013
4)
novas ferramentas e ambientes de desenvolvimento;
5)
mudanas de localizao fsica dos recursos de servios;
6)
mudanas de fornecedores;
7)
subcontratao com outro fornecedor.
16 Gesto de incidentes de segurana da informao

16.1 Gesto de incidentes de segurana da informao e melhorias
Objetivo: Assegurar um enfoque consistente e efetivo para gerenciar os incidentes de segurana da
informao, incluindo a comunicao sobre fragilidades e eventos de segurana da informao.
16.1.1 Responsabilidades e procedimentos

Controle
Convm que responsabilidades e procedimentos de gesto sejam estabelecidos para assegurar
respostas rpidas, efetivas e ordenadas a incidentes de segurana da informao.
Convm que as seguintes diretrizes para o gerenciamento de responsabilidades e procedimentos com
relao gesto de incidentes de segurana da informao sejam consideradas:
a) responsabilidades pelo gerenciamento sejam estabelecidas para assegurar que os seguintes
procedimentos so desenvolvidos e comunicados, de forma adequada, dentro da organizao:
1)
procedimentos para preparao e planejamento a respostas a incidentes;
2)
procedimentos para monitoramento, deteco, anlise e notificao de incidentes e eventos

de segurana da informao;
3)
procedimentos pra registros das atividades de gerenciamento de incidentes;
4)
procedimentos para tratamento para evidncias forenses;
5)
procedimentos para avaliao e deciso dos eventos de segurana da informao e avaliao

de fragilidades de segurana da informao;
6)
procedimentos para resposta, incluindo aquelas relativas a escalao, recuperao

controlada de um incidente e comunicao as pessoas ou organizaes relevantes, internas e
externas.
b) procedimentos estabelecidos assegurem que:
95/11
0
ABNT/CB-21
SET 2013
1)
pessoal competente trata as questes relativas a incidentes de segurana dentro da

organizao;
2)
um ponto de contato para notificao e deteco de incidentes de segurana est

implementado;
3)
contatos apropriados so mantidos com autoridades, grupos de interesses externos ou fruns

que tratam de questes relativas a incidentes de segurana da informao.
c) convm que procedimentos de notificao incluam:

1)
preparao de formulrios de notificao de evento de segurana da informao para apoiar

as aes de notificao e ajudar a pessoa que est notificando, lembrando de todas as aes
necessrias no caso de um evento de segurana da informao;
2)
o procedimento a ser realizado no caso de um evento de segurana da informao, por

exemplo relatar todos os detalhes (tipo de no conformidade ou violao, mau funcionamento,
mensagens na tela, comportamento estranho) imediatamente; e no tomar nenhuma ao
sozinho, porm notificar imediatamente ao ponto de contato, tomando apenas aes
coordenadas;
3)
referncia a um processo disciplinar formal estabelecido para tratar com funcionrios que
cometam violaes de segurana da informao;
4)
processo de realimentao adequado para assegurar que aquelas pessoas que notificaram
um evento de segurana da informao so informadas dos resultados aps o assunto ter
sido tratado e encerrado.
Convm que os objetos para a gesto de incidentes de segurana da informao sejam acordados com
a direo e garantam que as pessoas responsveis pela gesto dos incidentes de segurana da
informao entendem as prioridades da organizao para tratar com os incidentes de segurana da
informao.
Incidentes de segurana da informao podem transcender os limites organizacionais e nacionais. Para
responder tais incidentes existe uma crescente necessidade de coordenar resposta e compartilhar
informao sobre esses incidentes com organizaes externas, quando apropriado.
Diretriz detalhada em gesto de incidentes de segurana da informao fornecida em ISO/IEC 27035.
16.1.2 Notificao de eventos de segurana da informao
Controle
Convm que os eventos de segurana da informao sejam relatados atravs dos canais apropriados
da direo, o mais rapidamente possvel.
96/11
0
ABNT/CB-21
SET 2013
Convm que todos os funcionrios e partes externas sejam alertados sobre sua responsabilidade de
notificar qualquer evento de segurana da informao o mais rapidamente possvel. Convm que eles
tambm estejam cientes do procedimento para notificar os eventos de segurana da informao e do
ponto de contato, ao qual os eventos devem ser notificados.
Situaes a serem consideradas para notificar um evento de segurana da informao incluem:
a) controle de segurana ineficaz;
b) violao da disponibilidade, confidencialidade e integridade da informao;
c) erros humanos;
d) no-conformidade com polticas ou diretrizes;
e) violaes de procedimentos de segurana fsica;
f)
mudanas descontroladas de sistemas;
g) mau funcionamento de software ou hardware;

h) violao de acesso.
Mau funcionamento ou outro comportamento anmalo do sistema pode ser um indicador de um ataque
de segurana ou violao na segurana atual e, portanto, convm que sempre seja reportado como um
evento de segurana da informao.
16.1.3 Notificando fragilidades de segurana da informao
Controle
Convm que os funcionrios e partes externas que usam os sistemas e servios de informao da
organizao, sejam instrudos a registrar e notificar quaisquer fragilidades de segurana da informao,
suspeita ou observada, nos sistemas ou servios.
Convm que todos os funcionrios e partes externas notifiquem essas questes para o ponto de
contato, o mais rpido possivel, de forma a prevenir incidentes de segurana da informao. O
mecanismo de notificao deve ser fcil, acessivel e disponvel, sempre que possvel.
Convm que funcionrios e fornecedores sejam avisados a no tentar provar suspeitas de fraquezas de
segurana. Testar fraquezas pode ser interpretado como potencial mau uso do sistema e pode tambm
causar danos ao servio ou sistema de informao e resultar em responsabilidade legal para o indivduo
que executou o teste.
97/11
0
ABNT/CB-21
SET 2013
16.1.4 Avaliao e deciso dos eventos de segurana da informao

Controle
Convm que os eventos de segurana da informao sejam avaliados e seja decidido se eles so
classificados como incidentes de segurana da informao.
Convm que o ponto de contato avalie cada evento de segurana da informao usando uma escala de
classificao de incidentes e eventos de segurana da informao, para decidir se recomendado que
o evento seja classificado como um incidente de segurana da informao. A priorizao e a
classificao de incidentes pode ajudar a identificar o impacto e a abrangncia de um incidente.
Em casos onde a organizao tenha uma equipe de resposta a incidentes de segurana da informao,
a avaliao e deciso seja encaminhada para a equipe, para confirmao ou reavaliao.
Convm que os resultados da avaliao e deciso sejam registrados em detalhes, para o propsito de
verificao e referncia futura.
16.1.5 Resposta aos incidentes de segurana da informao
Controle
Convm que incidentes de segurana da informao sejam reportados de acordo com procedimentos
documentados.
Convm que incidentes de segurana da informao sejam reportados para um ponto de contato
definido e outras pessoas relevantes da organizao, ou ainda, partes externas (ver 16.1.1).
Convm que a notificao inclua os seguintes itens:
a) coleta de evidncias, to rpido quanto possvel, logo aps a ocorrncia;
b) realizao de anlise forense de segurana da informao, conforme requerido (ver 16.1.7);
c) escalao, conforme requerido;
d) garantia de que todas as atividades de respostas envolvidas so adequadamente registradas para
anlise futura;
e) comunicao da existncia de incidente de segurana da informao ou qualquer detalhe relevante
para pessoas internas ou externas, ou organizaes que precisam tomar conhecimento;
f)
tratamento com as fragilidades de segurana da informao encontradas que causem ou

contribuam para o incidente;
g) uma vez que o incidente foi, de forma bem sucedida, formalmente tratado, encerrar o incidente e
registra-lo.
98/11
0
ABNT/CB-21
SET 2013
Convm que anlises ps-incidente sejam realizadas, se necessrio, para identificar a fonte do
incidente.
O primeiro objetivo de resposta a incidente voltar ao nvel de segurana normal e ento iniciar a
recuperao necessria.
16.1.6 Aprendendo com os incidentes de segurana da informao
Controle
Convm que os conhecimentos obtidos da anlise e resoluo dos incidentes de segurana da
informao sejam usados para reduzir a probabilidade ou o impacto de incidentes futuros.
Convm que haja um mecanismo implementado para permitir monitorar e quantificar os tipo, volumes e
custos de incidentes de segurana da informao. Convm que a informao resultante da anlise de
incidentes de segurana da informao seja usada para identificar incidentes recorrentes ou de alto
impacto.
A avaliao de incidentes de segurana da informao pode indicar a necessidade de melhoria ou
controles adicionais para diminuir a frequncia, dano e custo de futuras ocorrncias ou ser levado em
conta no processo de anlise crtica da poltica de segurana (ver 5.1.2).
Com o devido cuidado aos aspectos de confidencialidade, estrias de incidentes atuais de segurana
da informao podem ser usadas em treinamentos de conscientizaes de usurios (ver 7.2.2) como
exemplos do que pode acontecer, como responder a tais incidentes e como evita-los no futuro.
16.1.7 Coleta de evidncias
Controle
Convm que a organizao defina e aplique procedimentos para a identificao, coleta, aquisio e
preservao das informaes, as quais podem servir como evidncias.
Convm que procedimentos internos sejam desenvolvidos e seguidos quando tratando de obter
evidncias para os propsitos de aes legais ou disciplinares.
Geralmente os procedimentos para evidncia fornecem processos de identificao, coleta, aquisio e
preservao de evidncias, de acordo com diferentes tipos de mdia, dispositivos e situao dos
dispositivos, por exemplo, se esto ligados ou desligados. Convm que os procedimentos levem em
conta:
a) a cadeia de custodia;
b) a segurana da evidncia;
99/11
0
ABNT/CB-21
SET 2013
c) a segurana das pessoas;

d) papis e responsabilidades das pessoas envolvidas;
e) competncia do pessoal;
f)
documentao;
g) resumo do incidente.
Quando disponvel, certificaes ou outros meios de qualificao de pessoal e ferramentas
buscados, para aumentar o valor da evidncia preservada.
so
Evidncia forense pode ir alm dos limites da organizao ou da jurisdio. Em tais casos, convm que
seja assegurado que a organizao tem direito de coletar as informaes requeridas como evidncia
forense. Os requisitos de diferentes jurisdies podem ser considerados para maxmizar as chances de
admisso ao longo das jurisdies relevantes.
Identificao o processo envolvendo a busca, reconhecimento e documentao de potencial
evidncia. Coleta o processo de levantamento de itens fsicos que podem conter potencial evidncia.
Aquisio o processo de criao de uma cpia dos dados dentro de um cenrio definido. Preservao
o processo para manter e proteger a integridade e condio original da potencial evidncia.
Logo quando um evento de segurana da informao detectado pode no ser bvio se o evento
resultar em uma ao judicial ou no. Portanto, existe o perigo que esta evidncia necessria seja
destruda intencionalmente ou acidentalmente antes que a gravidade do incidente seja percebida.
aconselhvel envolver um advogado ou a polcia o quanto antes em qualquer ao legal e receber
aconselhamento sobre a evidncia requerida.
A ABNT NBR ISO/IEC 27037 fornece diretrizes para identificao, coleta, aquisio e preservao de
evidncias digitais.
17 Aspectos da segurana da informao na gesto da continuidade do negcio

17.1 Continuidade da segurana da informao
Objetivo: recomendado que a continuidade da segurana da informao seja considerada nos
sistemas de gesto da continuidade do negcio da organizao.
17.1.1 Planejando a continuidade da segurana da informao
Controle
Convm que a organizao determine seus requisitos para a segurana da informao e a continuidade
da gesto da segurana da informao em situaes adversas, por exemplo, durante uma crise ou
desastre.
100/1
10
ABNT/CB-21
SET 2013
Convm que uma organizao avalie se a continuidade da segurana da informao est contida dentro
do processo de gesto da continuidade do negcio ou no processo de gesto de recuperao de
desastre. Requisitos de segurana da informao podem ser determinados quando do planejamento da
continuidade do negcio e da recuperao de desastre.
Na ausncia de um planejamento formal de continuidade do negcio e de recuperao de desastre,
convm que a gesto da segurana da informao assuma que os requisitos de segurana da
informao permanecem os mesmos, em situaes adversas, comparadas com as condies de
operao normal. Alternativamente, uma organizao pode realizar uma anlise de impacto do negcio
relativa aos aspectos de segurana da informao, para determinar os requisitos de segurana da
informao que so aplicveis nas situaes adversas.
Para reduzir o tempo e o esforo de uma anlise de impacto do negcio adicional, da segurana da
informao, recomendado capturar os aspectos da segurana da informao no gerenciamento da
continuidade normal dos negcios ou na anlise do impacto ao negcio no gerenciamento da
recuperao de um desastre. Isto implica que os requisitos de continuidade da segurana da
informao esto explicitamente contemplados na gesto da continuidade do negcio ou nos processos
de gerenciamento da recuperao de desastre.
Informaes sobre gesto da continuidade do negcio podem ser encontrada na ISO/IEC 27031,
ISO 22313 e ABNT NBR ISO 22301.
17.1.2 Implementando a continuidade da segurana da informao
Controle
Convm que a organizao estabelea, documente, implemente e mantenha processos, procedimentos
e controles para assegurar o nvel requerido de continuidade para a segurana da informao, durante
uma situao adversa.
Convm que uma organizao assegure-se de que:
a) uma estrutura de gerenciamento adequada est implementada para mitigar e responder a um
evento de interrupo, usando pessoal com a necessria autoridade, experincia e competncia;
b) o pessoal de resposta a incidente com a necessria responsabilidade, autoridade e competncia
para gerenciar um incidente e garantir a segurana da informao, est designado;
c) planos documentados, procedimentos de recuperao e resposta estejam desenvolvidos e
aprovados, detalhando como a organizao ir gerenciar um evento de interrupo e como
manter a sua segurana da informao em um nvel pr-determinado, com base nos objetivos de
continuidade da segurana da informao aprovado pela direo (ver 17.1.1).
Em funo dos requisitos de continuidade de segurana da informao, convm que a organizao
estabelea, documente, implemente e mantenha:
101/1
10
ABNT/CB-21
SET 2013
a) controles de segurana da informao dentro dos processos de recuperao de desastre ou de

continuidade do negcio, procedimentos e ferramentas e sistemas de suporte;
b) processos, procedimentos e mudana de implementao para manter os controles de segurana
da informao existentes durante uma situao adversa;
c) controles compensatrios para os controles de segurana da informao que no possam ser
mantidos durante uma situao adversa.
Dentro do contexto da continuidade do negcio ou da recuperao de desastre, procedimentos e
processos especficos podem ser necessrios, que sejam definidos. Convm que informaes que
sejam tratadas nestes processos e procedimentos ou em sistemas de informao dedicados para apoialos, sejam protegidas. Desta forma, convm que a organizao envolva especialistas em segurana da
informao, quando do estabelecimento, implementao e manuteno dos procedimentos e processos
de recuperao de desastres ou da continuidade dos negcios.
Convm que os controles de segurana da informao a serem implementados continuem a operar
durante uma condio de situao adversa. Se os controles de segurana no so capazes de manter a
informao segura, convm que outros controles sejam estabelecidos, implementados e mantidos para
garantir um nvel aceitvel da segurana da informao.
17.1.3 Verificao, anlise crtica e avaliao da continuidade da segurana da informao
Controle
Convm que a organizao verifique os controles de continuidade da segurana da informao,
estabelecidos e implementados, a intervalos regulares, para garantir que eles so vlidos e eficazes em
situaes adversas.
Mudanas organizacionais, tcnicas, de procedimentos e processos, quando em um contexto
operacional ou de continuidade, podem conduzir a mudanas nos requisitos de continuidade da
segurana da informao. Em tais casos, convm que a continuidade dos processos, procedimentos e
controles para segurana da informao sejam analisados criticamente com base nesses requisitos
alterados.
Convm que a organizao verifique se a sua continuidade da gesto da segurana da informao est:
a) testada e verificada a funcionalidade dos processos, procedimentos e controles da continuidade da
segurana da informao para garantir que eles so consistentes com os objetivos da continuidade
as segurana da informao;
b) testada e verificada quanto ao conhecimento e rotina para operar os procedimentos, processos e
controles de continuidade da segurana da informao de modo a assegurar que o seu
desempenho est consistente com os objetivos da continuidade da segurana da informao;
c) analisada criticamente quanto validade e eficcia dos controles de continuidade da segurana da
informao, quando os sistemas de informao, processos de segurana da informao,
102/1
10
ABNT/CB-21
SET 2013
procedimentos e controles ou gesto da continuidade do negcio/gesto de recuperao de

desastre e solues de mudana.
A verificao dos controles da continuidade da segurana da informao diferente das verificaes e
testes da segurana da informao normal, e convm que sejam realizados fora do mbito dos testes
de mudanas. Quando possvel recomendvel integrar a verificao dos controles da continuidade da
segurana da informao, com os testes de recuperao de desastre ou da continuidade dos negcios
da organizao.
17.2 Redundncias
Objetivo: Assegurar a disponibilidade dos recursos de processamento da informao.
17.2.1 Disponibilidade dos recursos de processamento da informao
Controle
Convm que os recursos de processamento da informao sejam implementados com redundncia
suficiente para atender aos requisitos de disponibilidade.
Convm que a organizao identifique os requisitos do negcio quanto disponibilidade de sistemas de
informao. Quando a disponibilidade no puder ser assegurada usando a arquitetura de sistemas
existentes, componentes redundantes ou arquiteturas sejam considerados.
Onde aplicvel, convm que sistemas de informao redundantes sejam testados para assegurar que a
transferncia de um componente para outro componente, quando existe falha do primeiro componente,
este funciona conforme esperado.
A implementao de redundncias pode introduzir riscos a integridade ou confidencialidade da
informao e dos sistemas de informao, os quais precisam ser considerados quando do projeto dos
sistemas de informao.
18 Conformidade
18.1 Conformidade com requisitos legais e contratuais
Objetivo: Evitar violao de quaisquer obrigaes legais, estatutrias, regulamentares ou contratuais
relacionadas segurana da informao e de quaisquer requisitos de segurana.
103/1
10
ABNT/CB-21
SET 2013
18.1.1 Identificao da legislao aplicvel e de requisitos contratuais

Controle
Convm que todos os requisitos legislativos estatutrios, regulamentares e contratuais pertinentes, e o
enfoque da organizao para atender a esses requisitos, sejam explicitamente identificados,
documentados e mantidos atualizados para cada sistema de informao da organizao.
Convm que os controles especficos e as responsabilidades individuais para atender a estes requisitos
sejam definidos e documentados.
Convm que os gestores identifiquem toda a legislao aplicvel sua organizao, para atender aos
requisitos relativos ao seu tipo de negcio. Caso a organizao realize negcios em outros pases
convm que os gestores considerem a conformidade em todos esses pases.
18.1.2 Direitos de propriedade intelectual
Controle
Convm que procedimentos apropriados sejam implementados para garantir a conformidade com os
requisitos legislativos, regulamentares e contratuais relacionados com os direitos de propriedade
intelectual, e sobre o uso de produtos de software proprietrios.
Convm que as seguintes diretrizes sejam consideradas para proteger qualquer material que possa ser
considerado como propriedade intelectual:
a) divulgar uma poltica de conformidade com os direitos de propriedade intelectual que defina o uso
legal de produtos de software e de informao;
b) adquirir software somente por meio de fontes conhecidas e de reputao, para assegurar que o
direito autoral no est sendo violado;
c) manter conscientizao das polticas para proteger os direitos de propriedade intelectual e notificar
a inteno de tomar aes disciplinares contra pessoas que violarem essas polticas;
d) manter de forma adequada os registros de ativos, e identificar todos os ativos com requisitos para
proteger os direitos de propriedade intelectual;
e) manter provas e evidncias da propriedade de licenas, discos-mestres, manuais etc.;
f)
implementar controles para assegurar que o nmero mximo de usurios permitidos, dentro da
licena concedida, no est excedido;
g) conduzir verificaes para que somente produtos de software autorizados e licenciados sejam
instalados;
h) estabelecer uma poltica para a manuteno das condies adequadas de licenas;
104/1
10
ABNT/CB-21
SET 2013
i)
estabelecer uma poltica para disposio ou transferncia de software para outros;
j)
cumprir termos e condies para software e informao obtidos a partir de redes pblicas;
k) no duplicar, converter para outro formato ou extrair de registros comerciais (filme, udio) outros
que no os permitidos pela lei de direito autoral;
l)
no copiar no todo ou em partes, livros, artigos, relatrios ou outros documentos, alm daqueles
permitidos pela lei de direito autoral.
Direitos de propriedade intelectual incluem direitos autorais de software ou documento, direitos de
projetos, marcas, patentes e licenas de cdigo fonte.
Produtos de software proprietrios so normalmente fornecidos sob um contrato de licenciamento que
especifica os termos e condies da licena, por exemplo, limitar o uso dos produtos em mquinas
especificadas ou limita a reproduo apenas para a criao de cpias de backup. Convm que a
importncia e a conscientizao dos direitos de propriedade intelectual de software sejam comunicados
aos responsveis pelo desenvolvimento de software na organizao.
Requisitos legais, regulamentares e contratuais podem colocar restries sobre a cpia de material
proprietrio. Em particular, eles podem exigir que apenas o material que desenvolvido pela
organizao ou que est licenciado ou fornecido pelo desenvolvedor para a organizao, pode ser
utilizado. Violao de direitos autorais pode levar a ao judicial e pode envolver multas e processos
criminais.
18.1.3 Proteo de registros
Controle
Convm que registros sejam protegidos contra perda, destruio, falsificao, acesso no autorizado e
liberao no autorizada, de acordo com os requisitos regulamentares, estatutrios, contratuais e do
negcio.
Convm que quando a organizao decida proteger os registros especficos, a classificao
correspondente seja baseada no esquema classificao da organizao. Convm que os registros
sejam categorizados em tipos de registros, tais como registros contbeis, registros de base de dados,
registros de transaes, registros de auditoria e procedimentos operacionais, cada qual com detalhes
do perodo de reteno e do tipo de mdia de armazenamento como, por exemplo, papel, microficha,
meio magntico ou tico. Convm que quaisquer chaves de criptografia relacionadas com arquivos
cifrados ou assinaturas digitais (ver 10) sejam armazenadas para permitir a decifrao de registros pelo
perodo de tempo que os registros so mantidos.
Convm que cuidados sejam tomados a respeito da possibilidade de deteriorao das mdias usadas
no armazenamento dos registros. Convm que os procedimentos de armazenamento e manuseio
sejam implementados de acordo com as recomendaes dos fabricantes.
105/1
10
ABNT/CB-21
SET 2013
Onde mdias eletrnicas armazenadas forem escolhidas, convm que sejam includos procedimentos
para assegurar a capacidade de acesso aos dados (leitura tanto na mdia como no formato utilizado)
durante o perodo de reteno, para proteger contra perdas ocasionadas pelas futuras mudanas na
tecnologia.
Sistemas de armazenamento de dados sejam escolhidos de modo que o dado solicitado possa ser
recuperado de forma aceitvel, dependendo dos requisitos a serem atendidos.
Convm que o sistema de armazenamento e manuseio assegure a clara identificao dos registros e
dos seus perodos de reteno, conforme definido pela legislao nacional ou regional ou por
regulamentaes, se aplicvel. Convm que este sistema permita a destruio apropriada dos
registros aps esse perodo, caso no sejam mais necessrios organizao.
Para atender aos objetivos de proteo dos registros, convm que os seguintes passos sejam tomados
pela organizao:
a) emitir diretrizes gerais para reteno, armazenamento, tratamento e disposio de registros e
informaes;
b) elaborar uma programao para reteno, identificando os registros essenciais e o perodo
recomendado para que cada um seja mantido;
c) manter um inventrio das fontes de informaes-chave.
Alguns registros podem precisar ser retidos de forma segura para atender a requisitos estatutrios,
regulamentares ou contratuais, bem como para apoiar as atividades essenciais do negcio. Exemplos
incluem os registros que podem ser exigidos como prova de que uma organizao opera dentro de
normas estatutrias ou regulamentares, para assegurar a defesa contra potencial ao civil ou criminal,
ou para confirmar a situao financeira de uma organizao perante os acionistas, partes externas e
auditores. A legislao nacional ou a regulamentao pode definir contedo de dados e o perodo de
tempo para a reteno de informaes.
Outras informaes sobre o gerenciamento de registros organizacionais podem ser encontrados na
ISO 15489-1.
18.1.4 Proteo e privacidade de informaes de identificao pessoal
Controle
Convm que a privacidade e proteo das informaes de identificao pessoal sejam asseguradas
conforme requerido por legislao e regulamentao pertinente, quando aplicvel.
Convm que uma poltica de dados da organizao para proteo e privacidade da informao de
identificao pessoal, seja desenvolvida e implementada. Esta poltica deve ser comunicada a todas as
pessoas envolvidas no processamento de informao de identificao pessoal.
106/1
10
ABNT/CB-21
SET 2013
A conformidade com esta poltica e todas as regulamentaes e legislao relevantes, relativas

proteo da privacidade das pessoas e da proteo da informao de identificao pessoal requer um
controle e uma estrutura de gerenciamento apropriada. Quase sempre isto melhor conseguido
indicando uma pessoa responsvel, como por exemplo, um privacy officer, que tem a funo de
fornecer orientaes aos gestores, usurios e provedores de servios sobre as suas responsabilidades
individuais e procedimentos especficos que devem ser seguidos.
A responsabilidade pelo manuseio da informao de identificao pessoal e a garantia da
conscientizao sobre os princpios da privacidade, sejam tratados de acordo com as regulamentaes
e legislaes pertinentes. Convm que tcnicas apropriadas e medidas da organizao para proteger a
informao de identificao pessoal, sejam implementadas.
ISO/IEC 29100 fornece uma estrutura de alto nvel para a proteo da informao de identificao
pessoal, no mbito dos sistemas de tecnologia da comunicao e informao.
Alguns pases tm introduzido legislao que estabelecem controles na coleta, processamento e
transmisso de informao de identificao pessoal (geralmente informao sobre indivduos vivos que
podem ser identificados a partir de tais informaes). Dependendo da respectiva legislao nacional,
esses controles podem impor direitos sobre a coleta, tratamento e divulgao de informao de
identificao pessoal, e pode tambm restringir a capacidade de transferir informao de identificao
pessoal para outros pases.
18.1.5 Regulamentao de controles de criptografia
Controle
Convm que controles de criptografia sejam usados em conformidade com todas as leis, acordos,
legislao e regulamentaes pertinentes.
Convm que os seguintes itens sejam considerados para conformidade com leis, acordos e
regulamentaes relevantes:
a) restries importao e/ou exportao de hardware e software de computador para execuo de
funes criptogrficas;
b) restries importao e/ou exportao de hardware e software de computador que foi projetado
para ter funes criptogrficas embutidas;
c) restries no uso de criptografia;
d) mtodos mandatrios ou discricionrios de acesso pelas autoridades dos pases informao
cifrada por hardware ou software para fornecer confidencialidade ao contedo.
Convm que a assessoria jurdica garanta a conformidade com as legislaes e regulamentaes
vigentes. Convm que seja obtida assessoria jurdica antes de se transferir informaes cifradas ou
controles de criptografia para outros pases.
107/1
10
ABNT/CB-21
SET 2013
18.2 Anlise crtica da segurana da informao

Objetivo: Garantir que a segurana da informao est implementada e operada de acordo com as
polticas e procedimentos da organizao.
18.2.1 Anlise crtica independente da segurana da informao
Controle
Convm que o enfoque da organizao para gerenciar a segurana da informao e a sua
implementao (por exemplo, controles, objetivo dos controles, polticas, processos e procedimentos
para a segurana da informao) seja analisado criticamente, de forma independente, a intervalos
planejados, ou quando ocorrerem mudanas significativas.
Convm que a anlise crtica independente seja iniciada pela direo. Tal anlise crtica independente
necessria para assegurar a contnua pertinncia, adequao e eficcia do enfoque da organizao
para gerenciar a segurana da informao. Convm que a anlise crtica inclua a avaliao de
oportunidades para melhoria e a necessidade de mudanas para o enfoque da segurana da
informao, incluindo a poltica e os objetivos de controle.
Convm que anlise crtica seja executada por pessoas independentes da rea avaliada, como por
exemplo, uma funo de auditoria interna, um gerente independente ou uma organizao de externa
especializada em tais anlises crticas. Convm que as pessoas que realizem estas anlises crticas
possuam habilidade e experincia apropriadas.
Convm que os resultados da anlise crtica independente sejam registrados e relatados para a direo
que iniciou a anlise crtica e que estes registros sejam mantidos.
Se a anlise crtica independente identificar que o enfoque da organizao e a implementao para
gerenciar a segurana da informao so inadequados ou no conforme com as orientaes
estabelecidas pela segurana da informao, convm que nas polticas de segurana da informao, a
direo considere a tomada de aes corretivas.
A ISO/IEC 27007, "Diretrizes para auditoria de sistemas de gesto da segurana da informao e a
ISO/IEC TR 27008 , "Diretrizes para auditores sobre controles de segurana da informao" tambm
fornecem orientaes para a realizao de anlise crtica independente.
18.2.2 Conformidade com as polticas e procedimentos de segurana da informao
Controle
Convm que os gestores analisem criticamente, a intervalos regulares, a conformidade dos
procedimentos e do processamento da informao, dentro das suas reas de responsabilidade, com as
normas e polticas de segurana e quaisquer outros requisitos de segurana da informao.
108/1
10
ABNT/CB-21
SET 2013

Convm que os gestores identifiquem como analisar criticamente se os requisitos da segurana da
informao estabelecidos nas polticas, procedimentos, normas e outras regulamentaes aplicveis,
esto sendo atendidos. Ferramentas de notificao e medies automticas podem ser consideradas
para alcanar uma anlise critica regular de forma eficaz.
Se qualquer no conformidade for encontrada com um resultado da anlise critica, convm que os
gestores:
a) identifiquem as causas da no conformidade;
b) avaliem a necessidade de aes para atender conformidade;
c) implementem ao corretiva apropriada;
d) analisem criticamente ao corretiva tomada, para verificar a sua eficcia e identificar quaisquer
deficincias ou fragilidades.
Convm que os resultados das anlises crticas e das aes corretivas realizadas pelos gestores sejam
registrados e esses registros sejam mantidos. Convm que os gestores relatem os resultados para as
pessoas que esto realizando a anlise crtica independente, quando a anlise critica independente (ver
18.2.1) for realizada na rea de sua responsabilidade.
A monitorizao operacional de sistemas em uso apresentada em 12.4.
18.2.3 Anlise crtica da conformidade tcnica
Controle
Convm que os sistemas de informao sejam analisados criticamente, a intervalos regulares, para
verificar a conformidade com as normas e polticas de segurana da informao da organizao.
Convm que a verificao de conformidade tcnica seja analisada criticamente, preferencialmente com
o apoio de uma ferramenta automtica, a qual gera relatrios tcnicos para a interpretao do
especialistas tcnicos. Alternativamente, anlises criticas manuais (auxiliado por ferramentas de
software apropriadas, se necessrio) pode ser realizada por um engenheiro de sistemas experiente.
Se forem usados teste de invaso ou avaliaes de vulnerabilidades, convm que sejam tomadas
precaues uma vez que tais atividades podem conduzir a um comprometimento da segurana do
sistema. Convm que tais testes sejam planejados, documentados e repetidos.
Qualquer verificao de conformidade tcnica somente seja executada por pessoas autorizadas e
competentes, ou sob a superviso de tais pessoas.
109/1
10
ABNT/CB-21
SET 2013
A verificao da conformidade tcnica envolve a anlise dos sistemas operacionais para garantir que
controles de hardware e software foram corretamente implementados. Este tipo anlise critica de
conformidade exige conhecimentos tcnicos especializados.
Anlise de conformidade tambm engloba, por exemplo, testes de invaso e avaliaes de
vulnerabilidades, que podem ser realizadas por peritos independentes contratados especificamente
para esta finalidade. Isto pode ser til na deteco de vulnerabilidades no sistema e na verificao do
quanto os controles so eficientes na preveno de acessos no autorizados devido a estas
vulnerabilidades.
Os testes de invaso e avaliao de vulnerabilidades fornecem um snapshot de um sistema em um
estado especfico para um tempo especfico. O snapshot est limitado para aquelas partes do sistema
realmente testadas durante a etapa da invaso. O teste de invaso e as avaliaes de vulnerabilidades
no so um substituto da avaliao de risco.
A ISO/IEC TR 27008 fornece orientaes especficas sobre as anlises criticas de conformidade
tcnica.
110/1
10
ABNT/CB-21
SET 2013
Bibliografia
[1]
Diretiva ABNT, Parte 2, Regras para estrutura e redao de Documentos Tcnicos ABNT
[2]
ISO/IEC 117701, Information technology Security techniques Key management Part 1:

Framework
[3]
ISO/IEC 117702, Information technology Security techniques Key management Part 2:

Mechanisms using symmetric techniques
[4]
ISO/IEC 117703, Information technology Security techniques Key management Part

3:Mechanisms using asymmetric techniques
[5]
ISO 154891, Information and documentation Records management Part 1: General
[6]
ABNT NBR ISO/IEC 200001:2011, Tecnologia da informao Gesto de servios Parte 1:

Requisitos do sistema de gesto de servios
[7]
ABNT NBR ISO/IEC 200002:2013, Tecnologia da informao Gerenciamento de servios Parte 2: Guia de aplicao do sistema de gesto de servios
[8]
ABNT NBR ISO 22301:2013, Segurana da sociedade Sistema de gesto de continuidade de

negcios Requisitos
[9]
ISO 22313:2012, Societal security Business continuity management systems Guidance
[10] ABNT NBR ISO/IEC 27001, Tecnologia da informao - Tcnicas de segurana - Sistemas de
gesto de segurana da informao Requisitos

[11] ABNT NBR ISO/IEC 27005, Tecnologia da informao Tcnicas de segurana Gesto de
riscos de segurana da informao

[12] ABNT NBR ISO/IEC 27007, Diretrizes para auditoria de sistemas de gesto da segurana da
informao
[13] ISO/IEC TR 27008, Information technology Security techniques Guidelines for auditors on
information security controls

[14] ISO/IEC 27031, Information technology Security techniques Guidelines for information and
communication technology readiness for business continuity

[15] ISO/IEC 270331, Information technology Security techniques Network security Part 1:
Overview and concepts

Guidelines for the design and implementation of network security

111/1
11
ABNT/CB-21
SET 2013
Reference networking scenarios Threats, design techniques and control issues

Securing communications between networks using security gateways

Securing communications across networks using Virtual Private Network (VPNs)

[20] ISO/IEC 27035, Information technology Security techniques Information security incident
management
[21] ISO/IEC 270361, Information technology Security techniques Information security for supplier
relationships Part 1: Overview and concepts

relationships Part 2: Common requirements

relationships Part 3: Guidelines for ICT supply chain security

[24] ISO/IEC 27037, Information technology Security techniques Guidelines for identification,
collection, acquisition and preservation of digital evidence

[25] ISO/IEC 29100, Information technology Security techniques Privacy framework
[26] ISO/IEC 29101, Information technology Security techniques Privacy architecture framework
[27] ABNT NBR ISO 31000, Gesto de riscos - Princpios e diretrizes
112/1
12

Abnt NBR Iso Iec 27002-2013

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Abnt NBR Iso Iec 27002-2013

Enviado por

Direitos autorais:

Formatos disponíveis

ABNT/CB-21

PROJETO ABNT NBR ISO/IEC 27002

Tecnologia da Informao-Tcnicas de Segurana Cdigo de Prtica para

2) Este Projeto de Reviso/Emenda previsto para cancelar e substituir a edio anterior

Ricardo Kiyoshi Batori

Giovani Davi Silva

Carlos Augusto Valim

Gisele Villas Bas

Luiz Gustavo Ribeiro

NO TEM VALOR NORMATIVO

Tecnologia da informao Tcnicas de segurana Cdigo de prtica

NO TEM VALOR NORMATIVO

Requisitos de segurana da informao

essencial que uma organizao identifique os seus requisitos de segurana da informao.

0.3 Seleo de controle

0.4 Desenvolvendo suas prprias diretrizes

0.5 Consideraes sobre o ciclo de vida

0.6 Normas relacionadas

4 Estrutura desta Norma

4.2 Categorias de controles

NO TEM VALOR NORMATIVO

5 Polticas de segurana da informao

Polticas para segurana da informao

NO TEM VALOR NORMATIVO

b) classificao e tratamento da informao (ver 8.2);

uso aceitvel dos ativos (ver 8.1.3);

mesa Limpa e Tela Limpa (ver11.2.9);

transferncia de informaes (ver 13.2.1);

dispositivos mveis e trabalho remoto (ver 6.2);

restries sobre o uso e instalao de software (ver 12.6.2);

e) backup (ver 12.3);

transferncia da informao (ver 13.2);

g) proteo contra cdigos maliciosos (ver 12.2);

Controles criptogrficos (ver 10);

segurana nas comunicaes (ver 13);

k) proteo e privacidade da informao de identificao pessoal (ver 18.1.4);

relacionamento na cadeia de suprimento (ver 15).

NO TEM VALOR NORMATIVO

Anlise crtica das polticas para segurana da informao

6 Organizao da segurana da informao

Responsabilidades e papis pela segurana da informao

NO TEM VALOR NORMATIVO

NO TEM VALOR NORMATIVO

Contato com autoridades

Contato com grupos especiais

e) compartilhar e trocar informaes sobre novas tecnologias, produtos, ameaas ou vulnerabilidades;

Segurana da informao no gerenciamento de projetos

Convm que os mtodos de gerenciamento de projetos usados requeiram que:

6.2 Dispositivos mveis e trabalho remoto

Poltica para o uso de dispositivo mvel

NO TEM VALOR NORMATIVO

Diretrizes para implementao

desativao, bloqueio e excluso de forma remota;

k) uso dos servios web e aplicaes web.

NO TEM VALOR NORMATIVO

g) polticas e procedimentos para evitar disputas relativas a direitos de propriedade intelectual

acordos de licenciamento de software que podem tornar as organizaes responsveis pelo

requisitos de proteo contra vrus e requisitos de firewall.

Convm que as diretrizes e providncias considerem:

a proviso de suporte e manuteno de hardware e software;

auditoria e monitoramento da segurana;

revogao de autoridade e direitos de acesso, e devoluo do equipamento quando as atividades

NO TEM VALOR NORMATIVO