Conhea a NBR ISO/IEC 27002

Por Alxia Lage de Faria 04 de outubro de 2009

SEO 5 - POLTICA DE SEGURANA DA INFORMAO

Dando continuidade ao assunto

Segurana da Informao, hoje ser
abordada a norma NBR ISO/IEC
27002 - Cdigo de Prtica para a
Gesto de Segurana da
Informao, que tem como objetivo
estabelecer diretrizes e princpios

gerais para iniciar, implementar,

manter e melhorar a gesto de
segurana da informao em uma
organizao. Mas, o que
Segurana da Informao (SI)?
Significa proteger as informaes
consideradas importantes para a
continuidade e manuteno dos
objetivos de negcio da organizao.
preciso esclarecer que
anteriormente esta norma era
conhecida como NBR ISO/IEC
17799, mas a partir de 2007 a nova
edio da ISO/IEC 17799 foi
incorporada ao novo esquema de
numerao como ISO/IEC 27002.
A parte principal da norma se
encontra distribuda em 11 sees,
que correspondem a controles de
segurana da informao, conforme
apresentado a seguir. A numerao
dessas sees se inicia no nmero 5
(h outros aspectos descritos nas
sees anteriores, mas nos
concentraremos apenas na parte
mais significativa da norma).

Deve ser criado um documento sobre a poltica de segurana da

informao da organizao, que deveria conter, entre outros, os
conceitos de segurana da informao, o comprometimento da
direo com a poltica, uma estrutura para estabelecer os
objetivos de controle e os controles, a estrutura de anlise e
avaliao e gerenciamento de riscos, as polticas, princpios,
normas e requisitos de conformidade de segurana da
informao especficos para a organizao. Essa poltica tambm
deve ser comunicada a todos, bem como analisada e revisada
criticamente, em intervalos regulares ou quando mudanas se
fizerem necessrias.
SEO 6 - ORGANIZANDO A SEGURANA DA INFORMAO
Para implementar a SI em uma organizao necessrio que
seja estabelecida uma estrutura para gerenci-la. Para isso, as
atividades de segurana da informao devem ser coordenadas
por representantes de diversas partes da organizao, com
funes e papis relevantes. Todas as responsabilidades pela
segurana da informao tambm devem estar claramente
definidas. importante ainda que sejam estabelecidos acordos
de confidencialidade para proteger as informaes de carter
sigiloso, bem como as informaes que so acessadas,
comunicadas, processadas ou gerenciadas por partes externas,
tais como terceiros e clientes.
SEO 7 - GESTO DE ATIVOS
Ativo, de acordo com a norma, qualquer coisa que tenha valor
para a organizao. Gesto de Ativos significa proteger e
manter os ativos da organizao. Para que eles sejam
devidamente protegidos, devem ser primeiramente identificados
e levantados, com proprietrios tambm identificados e
designados, de tal forma que um inventrio de ativos possa ser
estruturado e posteriormente mantido. As informaes e os
ativos ainda devem ser classificados, conforme o nvel de
proteo recomendado para cada um deles, e seguir regras
documentadas, que definem qual o tipo de uso permitido fazer
com esses ativos.

FARIA, Alxia Lage de. Conhecendo a ABNT NBR ISO/IEC 27002 Parte 1. Belo Horizonte, Blog QualIT
News, 2009. Disponvel em: <http://qualitnews.blogspot.com/2009/10/conheca-nbr-isoiec-27002-parte1.html>. Acesso em: 04 out. 2009.

Pgina | 1

Conhecendo a ABNT NBR ISO/IEC 27002

Por Alxia Lage de Faria 04 de outubro de 2009

SEO 8 - SEGURANA EM RECURSOS HUMANOS

Antes de realizar a contratao de um funcionrio ou mesmo de fornecedores e terceiros, importante
que cada um deles entenda suas responsabilidades e esteja de acordo com o papel que desempenhar.
Portanto, as descries de cargo e os termos e condies de contratao devem ser explcitos,
especialmente no que tange s responsabilidades de segurana da informao. importante tambm
que quaisquer candidatos sejam devidamente analisados, principalmente se forem lidar com
informaes de carter sigiloso. A inteno aqui mitigar o risco de roubo, fraude ou mau uso dos
recursos.
Durante todo o tempo em que funcionrios, fornecedores e terceiros estiverem trabalhando na
empresa, eles devem estar conscientes sobre as ameaas relativas segurana da informao, bem
como de suas responsabilidades e obrigaes, de tal maneira que estejam preparados para apoiar a
poltica de segurana da informao da organizao. Eles tambm devem ser educados e treinados nos
procedimentos de segurana da informao e no uso correto dos recursos de processamento da
informao. fundamental ainda que um processo disciplinar formal seja estabelecido para tratar das
violaes de segurana da informao.
No momento em que ocorrer o encerramento ou uma mudana na contratao, a sada de funcionrios,
fornecedores e terceiros deve ser feita de modo ordenado e controlado, para que a devoluo de todos
os equipamentos e a retirada de todos os direitos de acesso sejam concludas.

SEO 9 - SEGURANA FSICA E DO AMBIENTE

As instalaes de processamento de informao crticas ou sensveis devem ser mantidas em reas
seguras, com nveis e controles de acesso apropriados, incluindo proteo fsica. Essa proteo deve ser
compatvel com os riscos previamente identificados.
Os equipamentos tambm devem ser protegidos contra ameaas fsicas e ambientais, incluindo aqueles
utilizados fora do local.

SEO 10 - GESTO DAS OPERAES E COMUNICAES

importante que estejam definidos os procedimentos e responsabilidades pela gesto e operao de
todos os recursos de processamento das informaes. Alm disso, deve-se utilizar sempre que
necessria a segregao de funes (recomenda-se que uma pessoa realize uma ou algumas partes de
um processo, mas no todas), visando reduzir o risco de mau uso ou uso indevido dos sistemas.
Para o gerenciamento de servios terceirizados, deve-se implementar e manter o nvel apropriado de
segurana da informao e em conformidade com acordos de entrega de servios terceirizados.
fundamental planejar e preparar a disponibilidade e os recursos dos sistemas para minimizar o risco
de falhas, bem como prever a capacidade futura dos sistemas, de forma a reduzir os riscos de
FARIA, Alxia Lage de. Conhecendo a ABNT NBR ISO/IEC 27002 Parte 1. Belo Horizonte, Blog QualIT
News, 2009. Disponvel em: <http://qualitnews.blogspot.com/2009/10/conheca-nbr-isoiec-27002-parte1.html>. Acesso em: 04 out. 2009.

Pgina | 2

Conhecendo a ABNT NBR ISO/IEC 27002

Por Alxia Lage de Faria 04 de outubro de 2009

sobrecarga. Tambm deve-se prevenir e detectar a introduo de cdigos maliciosos e os usurios

devem estar conscientes sobre isso.
Procedimentos para a gerao de cpias de segurana e sua recuperao tambm devem ser
estabelecidos.
Deve-se garantir ainda o gerenciamento seguro de redes. Controles adicionais podem at mesmo ser
necessrios para proteger informaes confidenciais que trafegam em redes pblicas.
As trocas de informaes entre organizaes devem ser baseadas em uma poltica formal especfica,
devendo ser efetuadas a partir de acordos entre as partes e sempre em conformidade com toda a
legislao pertinente.
Deve-se ainda implementar mecanismos de monitorao
de atividades no autorizadas de
processamento da informao. Os eventos de segurana da informao devem ser registrados,
lembrando que as organizaes devem estar aderentes aos requisitos legais aplicveis para suas
atividades de registro e monitoramento.

SEO 11 - CONTROLE DE ACESSO

O acesso informao, aos recursos de processamento das informaes e aos processos de negcios
devem ser controlados com base nos requisitos de negcio e na segurana da informao. Portanto,
deve ser assegurado o acesso de usurio autorizado e prevenido o acesso no autorizado a sistemas de
informao. Para isso, deve haver procedimentos que englobem desde o cadastro inicial de um novo
usurio at o cancelamento final do seu registro, garantindo assim que j no possuem mais acesso a
sistemas de informao e servios.
Os usurios sempre devem estar conscientes de suas responsabilidades, particularmente no que se
refere ao uso de senhas e de segurana dos equipamentos de usurios. Nesse sentido, sugere-se ainda
a adoo da poltica de mesa e tela limpa, para reduzir o risco de acessos no autorizados ou danos a
documentos, papis, mdias e recursos de processamento da informao que estejam ao alcance de
qualquer um.

SEO 12 - AQUISIO, DESENVOLVIMENTO E MANUTENO DE SISTEMAS DE INFORMAO

Segundo a norma, Sistemas de informao incluem sistemas operacionais, infra-estrutura, aplicaes
de negcios, produtos de prateleira, servios e aplicaes desenvolvidas pelo usurio. Por essa razo,
os requisitos de segurana de sistemas de informao devem ser identificados e acordados antes do
seu desenvolvimento e/ou de sua implementao.
As informaes devem ser protegidas visando a manuteno de sua confidencialidade, autenticidade ou
integridade por meios criptogrficos.
FARIA, Alxia Lage de. Conhecendo a ABNT NBR ISO/IEC 27002 Parte 1. Belo Horizonte, Blog QualIT
News, 2009. Disponvel em: <http://qualitnews.blogspot.com/2009/10/conheca-nbr-isoiec-27002-parte1.html>. Acesso em: 04 out. 2009.

Pgina | 3

Conhecendo a ABNT NBR ISO/IEC 27002

Por Alxia Lage de Faria 04 de outubro de 2009

SEO 13 - GESTO DE INCIDENTES DE SEGURANA DA INFORMAO

Deve-se assegurar que eventos de segurana da informao sejam o mais rpido possvel comunicados,
de tal forma que a tomada de ao corretiva ocorra em tempo hbil. Para isso, devem ser estabelecidos
procedimentos formais de registro e escalonamento, bem como todos os funcionrios, fornecedores e
terceiros devem estar conscientes sobre os procedimentos para notificao dos diferentes tipos de
eventos.

SEO 14 - GESTO DA CONTINUIDADE DO NEGCIO

Deve-se impedir a interrupo das atividades do negcio e proteger os processos crticos contra efeitos
de falhas ou desastres significativos, e assegurar que a sua retomada ocorra em tempo hbil.
Para isso, planos de continuidade do negcio, incluindo controles para identificar e reduzir riscos, devem
ser desenvolvidos e implementados, visando assegurar que as operaes essenciais sejam rapidamente
recuperadas.

SEO 15 CONFORMIDADE
Deve-se garantir e evitar a violao de qualquer lei criminal ou civil, estatutos, regulamentaes ou
obrigaes contratuais e de quaisquer requisitos de segurana da informao.
Para isso, conveniente contratar, caso necessrio, consultoria especializada, bem como analisar
criticamente a segurana dos sistemas de informao a intervalos regulares, verificando, sobretudo, sua
conformidade e aderncia a requisitos legais e regulamentares.
Em resumo, nota-se claramente ao longo de toda a norma, que a caracterstica predominante a
preveno, evitando-se a todo o custo, a adoo de medidas de carter reativo. Mesmo as que forem
reativas, como por exemplo, a execuo de um plano de continuidade de negcios, so previamente
planejadas para que, no momento oportuno e se necessrias, sejam devidamente implementadas.

REFERNCIA BIBLIOGRFICA:
ABNT Associao Brasileira de Normas Tcnicas. ABNT NBR ISO/IEC 27002 - Tecnologia da
informao - Tcnicas de segurana - Cdigo de prtica para a gesto de segurana da informao.
ABNT, 2005.

FARIA, Alxia Lage de. Conhecendo a ABNT NBR ISO/IEC 27002 Parte 1. Belo Horizonte, Blog QualIT
News, 2009. Disponvel em: <http://qualitnews.blogspot.com/2009/10/conheca-nbr-isoiec-27002-parte1.html>. Acesso em: 04 out. 2009.

Pgina | 4