Escolar Documentos
Profissional Documentos
Cultura Documentos
Abnt NBR 177991
Abnt NBR 177991
NORMA
BRASILEIRA
ABNT NBR
ISO/IEC
17799
Segunda edio
31.08.2005
Vlida a partir de
30.09.2005
Nmero de referncia
ABNT NBR ISO/IEC 17799:2005
120 pginas
ABNT 2005
Cpia no autorizada
ABNT 2005
Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicao pode ser reproduzida
ou por qualquer meio, eletrnico ou mecnico, incluindo fotocpia e microfilme, sem permisso por escrito pela ABNT.
Sede da ABNT
Av.Treze de Maio, 13 - 28 andar
20031-901 - Rio de Janeiro - RJ
Tel.: + 55 21 3974-2300
Fax: + 55 21 2220-1762
abnt@abnt.org.br
www.abnt.org.br
Impresso no Brasil
ii
Cpia no autorizada
Sumrio
Pgina
Prefcio Nacional......................................................................................................................................................vii
0
0.1
0.2
0.3
0.4
0.5
0.6
0.7
0.8
Introduo......................................................................................................................................................ix
O que segurana da informao?............................................................................................................ix
Por que a segurana da informao necessria?..................................................................................ix
Como estabelecer requisitos de segurana da informao .....................................................................x
Analisando/avaliando os riscos de segurana da informao.................................................................x
Seleo de controles.....................................................................................................................................x
Ponto de partida para a segurana da informao...................................................................................xi
Fatores crticos de sucesso ........................................................................................................................xi
Desenvolvendo suas prprias diretrizes ..................................................................................................xii
Objetivo ..........................................................................................................................................................1
3
3.1
3.2
4
4.1
4.2
5
5.1
5.1.1
5.1.2
6
6.1
6.1.1
6.1.2
6.1.3
6.1.4
6.1.5
6.1.6
6.1.7
6.1.8
6.2
6.2.1
6.2.2
6.2.3
7
7.1
7.1.1
7.1.2
7.1.3
7.2
7.2.1
7.2.2
8
8.1
8.1.1
8.1.2
8.1.3
iii
Cpia no autorizada
Durante a contratao.................................................................................................................................28
Responsabilidades da direo...................................................................................................................28
Conscientizao, educao e treinamento em segurana da informao............................................28
Processo disciplinar....................................................................................................................................29
Encerramento ou mudana da contratao..............................................................................................29
Encerramento de atividades.......................................................................................................................30
Devoluo de ativos ....................................................................................................................................30
Retirada de direitos de acesso...................................................................................................................30
9
9.1
9.1.1
9.1.2
9.1.3
9.1.4
9.1.5
9.1.6
9.2
9.2.1
9.2.2
9.2.3
9.2.4
9.2.5
9.2.6
9.2.7
10
10.1
10.1.1
10.1.2
10.1.3
10.1.4
10.2
10.2.1
10.2.2
10.2.3
10.3
10.3.1
10.3.2
10.4
10.4.1
10.4.2
10.5
10.5.1
10.6
10.6.1
10.6.2
10.7
10.7.1
10.7.2
10.7.3
10.7.4
10.8
10.8.1
10.8.2
10.8.3
10.8.4
10.8.5
10.9
10.9.1
10.9.2
10.9.3
iv
Cpia no autorizada
Controle de acessos....................................................................................................................................65
Requisitos de negcio para controle de acesso......................................................................................65
Poltica de controle de acesso ...................................................................................................................65
Gerenciamento de acesso do usurio.......................................................................................................66
Registro de usurio .....................................................................................................................................66
Gerenciamento de privilgios ....................................................................................................................67
Gerenciamento de senha do usurio ........................................................................................................68
Anlise crtica dos direitos de acesso de usurio ...................................................................................68
Responsabilidades dos usurios ..............................................................................................................69
Uso de senhas .............................................................................................................................................69
Equipamento de usurio sem monitorao..............................................................................................70
Poltica de mesa limpa e tela limpa ...........................................................................................................70
Controle de acesso rede ..........................................................................................................................71
Poltica de uso dos servios de rede ........................................................................................................71
Autenticao para conexo externa do usurio ......................................................................................72
Identificao de equipamento em redes ...................................................................................................73
Proteo e configurao de portas de diagnstico remotas..................................................................73
Segregao de redes...................................................................................................................................73
Controle de conexo de rede .....................................................................................................................74
Controle de roteamento de redes ..............................................................................................................75
Controle de acesso ao sistema operacional ............................................................................................75
Procedimentos seguros de entrada no sistema (log-on) ........................................................................75
Identificao e autenticao de usurio ...................................................................................................77
Sistema de gerenciamento de senha ........................................................................................................77
Uso de utilitrios de sistema......................................................................................................................78
Desconexo de terminal por inatividade...................................................................................................79
Limitao de horrio de conexo ..............................................................................................................79
Controle de acesso aplicao e informao ......................................................................................80
Restrio de acesso informao ............................................................................................................80
Isolamento de sistemas sensveis.............................................................................................................80
Computao mvel e trabalho remoto ......................................................................................................81
Computao e comunicao mvel ..........................................................................................................81
Trabalho remoto ..........................................................................................................................................82
12
12.1
12.1.1
12.2
12.2.1
12.2.2
12.2.3
12.2.4
12.3
12.3.1
12.3.2
12.4
12.4.1
12.4.2
12.4.3
12.5
12.5.1
12.5.2
12.5.3
Cpia no autorizada
13
13.1
13.1.1
13.1.2
13.2
13.2.1
13.2.2
13.2.3
14
14.1
14.1.1
14.1.2
14.1.3
Conformidade ............................................................................................................................................108
Conformidade com requisitos legais ......................................................................................................108
Identificao da legislao vigente .........................................................................................................108
Direitos de propriedade intelectual .........................................................................................................108
Proteo de registros organizacionais ...................................................................................................109
Proteo de dados e privacidade de informaes pessoais ................................................................110
Preveno de mau uso de recursos de processamento da informao .............................................111
Regulamentao de controles de criptografia .......................................................................................111
Conformidade com normas e polticas de segurana da informao e conformidade tcnica........112
Conformidade com as polticas e normas de segurana da informao ............................................112
Verificao da conformidade tcnica ......................................................................................................113
Consideraes quanto auditoria de sistemas de informao ...........................................................113
Controles de auditoria de sistemas de informao ...............................................................................113
Proteo de ferramentas de auditoria de sistemas de informao .....................................................114
ndice .....................................................................................................................................................................116
vi
Cpia no autorizada
Prefcio Nacional
A Associao Brasileira de Normas Tcnicas (ABNT) o Frum Nacional de Normalizao.
As Normas Brasileiras, cujo contedo de responsabilidade dos Comits Brasileiros (ABNT/CB), dos Organismos
de Normalizao Setorial (ABNT/ONS) e das Comisses de Estudo Especiais Temporrias (ABNT/CEET), so
elaboradas por Comisses de Estudo (CE), formadas por representantes dos setores envolvidos, delas fazendo
parte: produtores, consumidores e neutros (universidades, laboratrios e outros).
A ABNT NBR ISO/IEC 17799 foi elaborada no Comit Brasileiro de Computadores e Processamento de Dados
(ABNT/CB-21), pela Comisso de Estudo de Segurana Fsica em Instalaes de Informtica (CE-21:204.01).
O Projeto circulou em Consulta Nacional conforme Edital n 03, de 31.03.2005, com o nmero de
Projeto NBR ISO/IEC 17799.
Esta Norma equivalente ISO/IEC 17799:2005.
Uma famlia de normas de sistema de gesto de segurana da informao (SGSI) est sendo desenvolvida no
ISO/IEC JTC 1/SC 27. A famlia inclui normas sobre requisitos de sistema de gesto da segurana da informao,
gesto de riscos, mtricas e medidas, e diretrizes para implementao. Esta famlia adotar um esquema de
numerao usando a srie de nmeros 27000 em seqncia.
A partir de 2007, a nova edio da ISO/IEC 17799 ser incorporada ao novo esquema de numerao como
ISO/IEC 27002.
Os termos relacionados a seguir, com a respectiva descrio, foram mantidos na lngua inglesa, por no
possurem traduo equivalente para a lngua portuguesa:
Back-up - cpias de segurana de arquivos.
BBS (Bulletin Board System) - sistema no qual o computador pode se comunicar com outros computadores
atravs de linha telefnica, como na Internet.
Call forwarding (Retorno de chamada) - procedimento para identificar um terminal remoto.
Covert channel - canal de comunicaes que permite que dois processos cooperativos transfiram a informao de
uma maneira que viole a poltica de segurana do sistema.
Denial of service (negao do servio) - impedimento do acesso autorizado aos recursos ou retardamento de
operaes crticas por um certo perodo de tempo.
Dial up - servio por meio do qual o terminal de computador pode usar o telefone para iniciar e efetuar uma
comunicao com outro computador.
E-business - Forma de uma organizao realizar uma transao comercial.
E-gov - forma de um governo realizar uma transao comercial.
Firewall - sistema ou combinao de sistemas que protege a fronteira entre duas ou mais redes.
Gateway - mquina que funciona como ponto de conexo entre duas redes.
Hackers - pessoa que tenta acessar sistemas sem autorizao, usando tcnicas prprias ou no, no intuito de ter
acesso a determinado ambiente para proveito prprio ou de terceiros. Dependendo dos objetivos da ao, podem
ser chamados de Cracker, Lammer ou BlackHat.
Logging - processo de estocagem de informaes sobre eventos que ocorreram num firewall ou numa rede.
vii
Cpia no autorizada
viii
Cpia no autorizada
0 Introduo
ix
Cpia no autorizada
0.4
1.
Uma fonte obtida a partir da anlise/avaliao de riscos para a organizao, levando-se em conta
os objetivos e as estratgias globais de negcio da organizao. Por meio da anlise/avaliao de
riscos, so identificadas as ameaas aos ativos e as vulnerabilidades destes, e realizada uma
estimativa da probabilidade de ocorrncia das ameaas e do impacto potencial ao negcio.
2.
3.
Os requisitos de segurana da informao so identificados por meio de uma anlise/avaliao sistemtica dos
riscos de segurana da informao. Os gastos com os controles precisam ser balanceados de acordo com os
danos causados aos negcios gerados pelas potenciais falhas na segurana da informao.
Os resultados da anlise/avaliao de riscos ajudaro a direcionar e a determinar as aes gerenciais
apropriadas e as prioridades para o gerenciamento dos riscos da segurana da informao, e para a
implementao dos controles selecionados para a proteo contra estes riscos.
Convm que a anlise/avaliao de riscos seja repetida periodicamente para contemplar quaisquer mudanas
que possam influenciar os resultados desta anlise/avaliao.
Informaes adicionais sobre a anlise/avaliao de riscos de segurana da informao podem ser encontradas
em 4.1 Analisando/avaliando os riscos de segurana da informao.
Cpia no autorizada
xi
Cpia no autorizada
distribuio de diretrizes e normas sobre a poltica de segurana da informao para todos os gerentes,
funcionrios e outras partes envolvidas;
j)
implementao de um sistema de medio1, que seja usado para avaliar o desempenho da gesto da
segurana da informao e obteno de sugestes para a melhoria.
1 Deve-se observar que as medies de segurana da informao esto fora do escopo desta Norma.
xii
Cpia no autorizada
NORMA BRASILEIRA
Objetivo
Esta Norma estabelece diretrizes e princpios gerais para iniciar, implementar, manter e melhorar a gesto de
segurana da informao em uma organizao. Os objetivos definidos nesta Norma provem diretrizes gerais
sobre as metas geralmente aceitas para a gesto da segurana da informao.
Os objetivos de controle e os controles desta Norma tm como finalidade ser implementados para atender aos
requisitos identificados por meio da anlise/avaliao de riscos. Esta Norma pode servir como um guia prtico
para desenvolver os procedimentos de segurana da informao da organizao e as eficientes prticas de
gesto da segurana, e para ajudar a criar confiana nas atividades interorganizacionais.
Termos e definies
2.3
diretriz
descrio que orienta o que deve ser feito e como, para se alcanarem os objetivos estabelecidos nas polticas
[ISO/IEC 13335-1:2004]
2.4
recursos de processamento da informao
qualquer sistema de processamento da informao, servio ou infra-estrutura, ou as instalaes fsicas que os
abriguem
2.5
segurana da informao
preservao da confidencialidade, da integridade e da disponibilidade da informao; adicionalmente, outras
propriedades, tais como autenticidade, responsabilidade, no repdio e confiabilidade, podem tambm estar
envolvidas
Cpia no autorizada
2.6
evento de segurana da informao
ocorrncia identificada de um sistema, servio ou rede, que indica uma possvel violao da poltica de
segurana da informao ou falha de controles, ou uma situao previamente desconhecida, que possa ser
relevante para a segurana da informao
[ISO/IEC TR 18044:2004]
2.7
incidente de segurana da informao
um incidente de segurana da informao indicado por um simples ou por uma srie de eventos de
segurana da informao indesejados ou inesperados, que tenham uma grande probabilidade de comprometer
as operaes do negcio e ameaar a segurana da informao
[ISO/IEC TR 18044:2004]
2.8
poltica
intenes e diretrizes globais formalmente expressas pela direo
2.9 risco
combinao da probabilidade de um evento e de suas conseqncias
[ABNT ISO/IEC Guia 73:2005]
2.10
anlise de riscos
uso sistemtico de informaes para identificar fontes e estimar o risco
[ABNT ISO/IEC Guia 73:2005]
2.11
anlise/avaliao de riscos
processo completo de anlise e avaliao de riscos
[ABNT ISO/IEC Guia 73:2005]
2.12
avaliao de riscos
processo de comparar o risco estimado com critrios de risco pr-definidos para determinar a importncia do
risco
[ABNT ISO/IEC Guia 73:2005]
2.13
gesto de riscos
atividades coordenadas para direcionar e controlar uma organizao no que se refere a riscos
NOTA
A gesto de riscos geralmente inclui a anlise/avaliao de riscos, o tratamento de riscos, a aceitao de riscos
e a comunicao de riscos.
Cpia no autorizada
2.16
ameaa
causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organizao
[ISO/IEC 13335-1:2004]
2.17
vulnerabildade
fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaas
Cpia no autorizada
Esta Norma contm 11 sees de controles de segurana da informao, que juntas totalizam 39 categorias
principais de segurana e uma seo introdutria que aborda a anlise/avaliao e o tratamento de riscos.
3.1
Sees
j)
k) Conformidade (3).
Nota:
A ordem das sees nesta Norma no significa o seu grau de importncia. Dependendo das circunstncias,
todas as sees podem ser importantes. Entretanto, cada organizao que utilize esta Norma deve identificar quais as
sees aplicveis, quo importante elas so e a sua aplicao para os processos especficos do negcio. Todas as alneas
nesta Norma tambm no esto ordenadas por prioridade, a menos que explicitado.
3.2
Cpia no autorizada
Informaes adicionais
Contm informaes adicionais que podem ser consideradas, como, por exemplo, consideraes legais e
referncias a outras normas.
Cpia no autorizada
4
4.1
Convm que as anlises/avaliaes de riscos identifiquem, quantifiquem e priorizem os riscos com base em
critrios para aceitao dos riscos e dos objetivos relevantes para a organizao. Convm que os resultados
orientem e determinem as aes de gesto apropriadas e as prioridades para o gerenciamento dos riscos de
segurana da informao, e para a implementao dos controles selecionados, de maneira a proteger contra
estes riscos. O processo de avaliar os riscos e selecionar os controles pode precisar ser realizado vrias vezes,
de forma a cobrir diferentes partes da organizao ou de sistemas de informao especficos.
Convm que a anlise/avaliao de riscos inclua um enfoque sistemtico de estimar a magnitude do risco
(anlise de riscos) e o processo de comparar os riscos estimados contra os critrios de risco para determinar a
significncia do risco (avaliao do risco).
Convm que as anlises/avaliaes de riscos tambm sejam realizadas periodicamente, para contemplar as
mudanas nos requisitos de segurana da informao e na situao de risco, ou seja, nos ativos, ameaas,
vulnerabilidades, impactos, avaliao do risco e quando uma mudana significativa ocorrer. Essas anlises/
avaliaes de riscos devem ser realizadas de forma metdica, capaz de gerar resultados comparveis e
reproduzveis.
Convm que a anlise/avaliao de riscos de segurana da informao tenha um escopo claramente definido
para ser eficaz e inclua os relacionamentos com as anlises/avaliaes de riscos em outras reas, se
necessrio.
O escopo de uma anlise/avaliao de riscos pode tanto ser em toda a organizao, partes da organizao,
em um sistema de informao especfico, em componentes de um sistema especfico ou em servios onde isto
seja praticvel, realstico e til. Exemplos de metodologias de anlise/avaliao de riscos so discutidas no
ISO/IEC TR 13335-3 (Guidelines for the management of IT security: Techniques for the management of IT
Security).
4.2
Convm que, antes de considerar o tratamento de um risco, a organizao defina os critrios para determinar
se os riscos podem ser ou no aceitos. Riscos podem ser aceitos se, por exemplo, for avaliado que o risco
baixo ou que o custo do tratamento no economicamente vivel para a organizao. Convm que tais
decises sejam registradas.
Para cada um dos riscos identificados, seguindo a anlise/avaliao de riscos, uma deciso sobre o tratamento
do risco precisa ser tomada. Possveis opes para o tratamento do risco, incluem:
a) aplicar controles apropriados para reduzir os riscos;
b) conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente poltica da
organizao e aos critrios para a aceitao de risco;
c) evitar riscos, no permitindo aes que poderiam causar a ocorrncia de riscos;
d) transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores.
Cpia no autorizada
Convm que, para aqueles riscos onde a deciso de tratamento do risco seja a de aplicar os controles
apropriados, esses controles sejam selecionados e implementados para atender aos requisitos identificados
pela anlise/avaliao de riscos. Convm que os controles assegurem que os riscos sejam reduzidos a um
nvel aceitvel, levando-se em conta:
a) os requisitos e restries de legislaes e regulamentaes nacionais e internacionais;
b) os objetivos organizacionais;
c) os requisitos e restries operacionais;
d) custo de implementao e a operao em relao aos riscos que esto sendo reduzidos e que
permanecem proporcionais s restries e requisitos da organizao;
e) a necessidade de balancear o investimento na implementao e operao de controles contra a
probabilidade de danos que resultem em falhas de segurana da informao.
Os controles podem ser selecionados desta Norma ou de outros conjuntos de controles, ou novos controles
podem ser considerados para atender s necessidades especficas da organizao. importante reconhecer
que alguns controles podem no ser aplicveis a todos os sistemas de informao ou ambientes, e podem no
ser praticveis para todas as organizaes. Como um exemplo, 10.1.3 descreve como as responsabilidades
podem ser segregadas para evitar fraudes e erros. Pode no ser possvel para pequenas organizaes
segregar todas as responsabilidades e, portanto, outras formas de atender o mesmo objetivo de controle
podem ser necessrias. Em um outro exemplo, 10.10 descreve como o uso do sistema pode ser monitorado e
as evidncias coletadas. Os controles descritos, como, por exemplo, eventos de logging, podem conflitar com
a legislao aplicvel, tais como a proteo privacidade dos clientes ou a exercida nos locais de trabalho.
Convm que os controles de segurana da informao sejam considerados na especificao dos requisitos e
nos estgios iniciais dos projetos e sistemas. Caso isso no seja realizado, pode acarretar custos adicionais e
solues menos efetivas, ou mesmo, no pior caso, incapacidade de se alcanar a segurana necessria.
Convm que seja lembrado que nenhum conjunto de controles pode conseguir a segurana completa, e que
uma ao gerencial adicional deve ser implementada para monitorar, avaliar e melhorar a eficincia e eficcia
dos controles de segurana da informao, para apoiar as metas da organizao.
Cpia no autorizada
5.1
Objetivo: Prover uma orientao e apoio da direo para a segurana da informao de acordo com os
requisitos do negcio e com as leis e regulamentaes relevantes.
Convm que a direo estabelea uma poltica clara, alinhada com os objetivos do negcio e demonstre apoio
e comprometimento com a segurana da informao por meio da publicao e manuteno de uma poltica de
segurana da informao para toda a organizao.
5.1.1
Controle
Convm que um documento da poltica de segurana da informao seja aprovado pela direo, publicado e
comunicado para todos os funcionrios e partes externas relevantes.
Diretrizes para implementao
Convm que o documento da poltica de segurana da informao declare o comprometimento da direo e
estabelea o enfoque da organizao para gerenciar a segurana da informao. Convm que o documento
da poltica contenha declaraes relativas a:
a) uma definio de segurana da informao, suas metas globais, escopo e importncia da segurana
da informao como um mecanismo que habilita o compartilhamento da informao (ver introduo);
b) uma declarao do comprometimento da direo, apoiando as metas e princpios da segurana da
informao, alinhada com os objetivos e estratgias do negcio;
c) uma estrutura para estabelecer os objetivos de controle e os controles, incluindo a estrutura de
anlise/avaliao e gerenciamento de risco;
d) breve explanao das polticas, princpios, normas e requisitos de conformidade de segurana da
informao especficos para a organizao, incluindo:
1) conformidade com a legislao e com requisitos regulamentares e contratuais;
2) requisitos de conscientizao, treinamento e educao em segurana da informao;
3) gesto da continuidade do negcio;
4) conseqncias das violaes na poltica de segurana da informao;
e) definio das responsabilidades gerais e especficas na gesto da segurana da informao, incluindo
o registro dos incidentes de segurana da informao;
f) referncias documentao que possam apoiar a poltica, por exemplo, polticas e procedimentos de
segurana mais detalhados de sistemas de informao especficos ou regras de segurana que os
usurios devem seguir.
Convm que esta poltica de segurana da informao seja comunicada atravs de toda a organizao para os
usurios de forma que seja relevante, acessvel e compreensvel para o leitor em foco.
Informaes adicionais
A poltica de segurana da informao pode ser uma parte de um documento da poltica geral. Se a poltica de
segurana da informao for distribuda fora da organizao, convm que sejam tomados cuidados para no
revelar informaes sensveis. Informaes adicionais podem ser encontradas na ISO/IEC 13335-1:2004.
Cpia no autorizada
5.1.2
Controle
Convm que a poltica de segurana da informao seja analisada criticamente a intervalos planejados ou
quando mudanas significativas ocorrerem, para assegurar a sua contnua pertinncia, adequao e eficcia.
Diretrizes para implementao
Convm que a poltica de segurana da informao tenha um gestor que tenha aprovado a responsabilidade
pelo desenvolvimento, anlise crtica e avaliao da poltica de segurana da informao. Convm que a
anlise crtica inclua a avaliao de oportunidades para melhoria da poltica de segurana da informao da
organizao e tenha um enfoque para gerenciar a segurana da informao em resposta s mudanas ao
ambiente organizacional, s circunstncias do negcio, s condies legais, ou ao ambiente tcnico.
Convm que a anlise crtica da poltica de segurana da informao leve em considerao os resultados da
anlise crtica pela direo. Convm que sejam definidos procedimentos para anlise crtica pela direo,
incluindo uma programao ou um perodo para a anlise crtica.
Convm que as entradas para a anlise crtica pela direo incluam informaes sobre:
a) realimentao das partes interessadas;
b) resultados de anlises crticas independentes (ver 6.1.8);
c) situao de aes preventivas e corretivas (ver 6.1.8 e 15.2.1);
d) resultados de anlises crticas anteriores feitas pela direo;
e) desempenho do processo e conformidade com a poltica de segurana da informao;
f)
mudanas que possam afetar o enfoque da organizao para gerenciar a segurana da informao,
incluindo mudanas no ambiente organizacional, nas circunstncias do negcio, na disponibilidade dos
recursos, nas questes contratuais, regulamentares e de aspectos legais ou no ambiente tcnico;
Convm que as sadas da anlise crtica pela direo incluam quaisquer decises e aes relacionadas a:
a) melhoria do enfoque da organizao para gerenciar a segurana da informao e seus processos;
b) melhoria dos controles e dos objetivos de controles;
c) melhoria na alocao de recursos e/ou de responsabilidades.
Convm que um registro da anlise crtica pela direo seja mantido.
Convm que a aprovao pela direo da poltica de segurana da informao revisada seja obtida.
Cpia no autorizada
6.1
Controle
Convm que a direo apie ativamente a segurana da informao dentro da organizao, por meio de um
claro direcionamento, demonstrando o seu comprometimento, definindo atribuies de forma explcita e
conhecendo as responsabilidades pela segurana da informao.
Diretrizes para implementao
Convm que a direo:
a) assegure que as metas de segurana da informao esto identificadas, atendem aos requisitos da
organizao e esto integradas nos processos relevantes;
b) formule, analise criticamente e aprove a poltica de segurana da informao;
c) analise criticamente a eficcia da implementao da poltica de segurana da informao;
d) fornea um claro direcionamento e apoio para as iniciativas de segurana da informao;
e) fornea os recursos necessrios para a segurana da informao;
f)
10
Cpia no autorizada
Informaes adicionais
Outras informaes podem ser obtidas na ISO/IEC 13335-1:2004.
6.1.2
Controle
Convm que as atividades de segurana da informao sejam coordenadas por representantes de diferentes
partes da organizao, com funes e papis relevantes.
Diretrizes para implementao
Convm que a coordenao da segurana da informao envolva a cooperao e colaborao de gerentes,
usurios, administradores, desenvolvedores, auditores, pessoal de segurana e especialistas com habilidades
nas reas de seguro, questes legais, recursos humanos, TI e gesto de riscos.
Convm que esta atividade:
a) garanta que as atividades de segurana da informao so executadas em conformidade com a
poltica de segurana da informao;
b) identifique como conduzir as no-conformidades;
c) aprove as metodologias e processos para a segurana da informao, tais como anlise/avaliao de
riscos e classificao da informao;
d) identifique as ameaas significativas e a exposio da informao e dos recursos de processamento
da informao s ameaas;
e) avalie a adequao e coordene a implementao de controles de segurana da informao;
f)
Controle
Convm que todas as responsabilidades pela segurana da informao, estejam claramente definidas.
Diretrizes para implementao
Convm que a atribuio das responsabilidades pela segurana da informao seja feita em conformidade
com a poltica de segurana da informao (ver seo 5). Convm que as responsabilidades pela proteo de
cada ativo e pelo cumprimento de processos de segurana da informao especficos sejam claramente
definidas. Convm que esta responsabilidade seja complementada, onde for necessrio, com orientaes mais
detalhadas para locais especficos e recursos de processamento de informaes. Convm que sejam
claramente definidas as responsabilidades em cada local para a proteo dos ativos e para realizar processos
de segurana da informao especficos, como, por exemplo, o plano de continuidade de negcios.
Pessoas com responsabilidades definidas pela segurana da informao podem delegar as tarefas de
segurana da informao para outros usurios. Todavia eles continuam responsveis e convm que verifiquem
se as tarefas delegadas esto sendo executadas corretamente.
11
Cpia no autorizada
Convm que as reas pelas quais as pessoas sejam responsveis, estejam claramente definidas; em
particular convm que os seguintes itens sejam cumpridos:
a) os ativos e os processos de segurana da informao associados com cada sistema sejam
identificados e claramente definidos;
b) gestor responsvel por cada ativo ou processo de segurana da informao tenha atribuies
definidas e os detalhes dessa responsabilidade sejam documentados (ver 7.1.2);
c) os nveis de autorizao sejam claramente definidos e documentados.
Informaes adicionais
Em muitas organizaes um gestor de segurana da informao pode ser indicado para assumir a
responsabilidade global pelo desenvolvimento e implementao da segurana da informao e para apoiar a
identificao de controles.
Entretanto, a responsabilidade pela obteno dos recursos e implementao dos controles permanece sempre
com os gestores. Uma prtica comum indicar um responsvel por cada ativo, tornando-o assim responsvel
por sua proteo no dia a dia.
6.1.4
Controle
Convm que seja definido e implementado um processo de gesto de autorizao para novos recursos de
processamento da informao.
Diretrizes para implementao
Convm que as seguintes diretrizes sejam consideradas no processo de autorizao:
a) os novos recursos tenham a autorizao adequada por parte da administrao de usurios,
autorizando seus propsitos e uso. Convm que a autorizao tambm seja obtida junto ao gestor
responsvel pela manuteno do sistema de segurana da informao, para garantir que todas as
polticas e requisitos de segurana relevantes sejam atendidos;
b) hardware e o software sejam verificados para garantir que so compatveis com outros componentes
do sistema, onde necessrios;
c) uso de recursos de processamento de informao, pessoais ou privados, como, por exemplo, note
books, computadores pessoais ou dispositivos do tipo palm top, para processamento das informaes
do negcio, possa introduzir novas vulnerabilidades, e convm que controles necessrios sejam
identificados e implementados.
6.1.5
Acordos de confidencialidade
Controle
Convm que os requisitos para confidencialidade ou acordos de no divulgao que reflitam as necessidades
da organizao para a proteo da informao sejam identificados e analisados criticamente, de forma regular.
Diretrizes para implementao
Convm que os acordos de confidencialidade e de no divulgao considerem os requisitos para proteger as
informaes confidenciais, usando termos que so obrigados do ponto de vista legal. Para identificar os
requisitos para os acordos de confidencialidade ou de no divulgao, convm que sejam considerados os
seguintes elementos:
a) uma definio da informao a ser protegida (por exemplo, informao confidencial);
12
Cpia no autorizada
b) tempo de durao esperado de um acordo, incluindo situaes onde a confidencialidade tenha que ser
mantida indefinidamente;
c) aes requeridas quando um acordo est encerrado;
d) responsabilidades e aes dos signatrios para evitar a divulgao no autorizada da informao
(como o conceito need to know);
e) proprietrio da informao, segredos comerciais e de propriedade intelectual, e como isto se relaciona
com a proteo da informao confidencial;
f)
j)
Com base nos requisitos de segurana da informao da organizao, outros elementos podem ser
necessrios em um acordo de confidencialidade ou de no divulgao.
Convm que os acordos de confidencialidade e de no divulgao estejam em conformidade com todas as leis
e regulamentaes aplicveis na jurisdio para a qual eles se aplicam (ver 15.1.1)
Convm que os requisitos para os acordos de confidencialidade e de no divulgao sejam analisados
criticamente de forma peridica e quando mudanas ocorrerem que influenciem estes requisitos.
Informaes adicionais
Acordos de confidencialidade e de no divulgao protegem as informaes da organizao e informam aos
signatrios das suas responsabilidades, para proteger, usar e divulgar a informao de maneira responsvel e
autorizada.
Pode haver a necessidade de uma organizao usar diferentes formas de acordos de confidencialidade ou de
no divulgao, em diferentes circunstncias.
6.1.6
Controle
Convm que contatos apropriados com autoridades relevantes sejam mantidos.
Diretrizes para implementao
Convm que as organizaes tenham procedimentos em funcionamento que especifiquem quando e por quais
autoridades (por exemplo, obrigaes legais, corpo de bombeiros, autoridades fiscalizadoras) devem ser
contatadas e como os incidentes de segurana da informao identificados devem ser notificados em tempo
hbil, no caso de suspeita de que a lei foi violada.
Organizaes que estejam sob ataque da internet podem precisar do apoio de partes externas organizao
(por exemplo, um provedor de servio da internet ou um operador de telecomunicaes), para tomar aes
contra a origem do ataque.
13
Cpia no autorizada
Informaes adicionais
A manuteno de tais contatos pode ser um requisito para apoiar a gesto de incidentes de segurana da
informao (ver 13.2) ou da continuidade dos negcios e do processo de planejamento da contingncia
(ver seo 14). Contatos com organismos reguladores so tambm teis para antecipar e preparar para as
mudanas futuras na lei ou nos regulamentos, os quais tm que ser seguidos pela organizao. Contatos com
outras autoridades incluem utilidades, servios de emergncia, sade e segurana, por exemplo corpo de
bombeiros (em conjunto com a continuidade do negcio), provedores de telecomunicao (em conjunto com
as rotas de linha e disponibilidade), fornecedor de gua (em conjunto com as instalaes de refrigerao para
os equipamentos).
6.1.7
Controle
Convm que sejam mantidos contatos apropriados com grupos de interesses especiais ou outros fruns
especializados de segurana da informao e associaes profissionais.
Diretrizes para implementao
Convm que os membros de grupos de interesses especiais ou fruns sejam considerados como forma de:
a) ampliar o conhecimento sobre as melhores prticas e manter-se atualizado com as informaes
relevantes sobre segurana da informao;
b) ter o entendimento de que o ambiente de segurana da informao est correto e completo;
c) receber previamente advertncias de alertas, aconselhamentos e correes relativos a ataques e
vulnerabilidades;
d) conseguir acesso consultoria especializada em segurana da informao;
e) compartilhar e trocar informaes sobre novas tecnologias, produtos, ameaas ou vulnerabilidades;
f)
prover relacionamentos adequados quando tratar com incidentes de segurana da informao (ver
13.2.1).
Informaes adicionais
Acordos de compartilhamento de informaes podem ser estabelecidos para melhorar a cooperao e
coordenao de assuntos de segurana da informao. Convm que tais acordos identifiquem requisitos para
a proteo de informaes sensveis.
6.1.8
Controle
Convm que o enfoque da organizao para gerenciar a segurana da informao e a sua implementao (por
exemplo, controles, objetivo dos controles, polticas, processos e procedimentos para a segurana da
informao) seja analisado criticamente, de forma independente, a intervalos planejados, ou quando ocorrerem
mudanas significativas relativas implementao da segurana da informao.
Diretrizes para implementao
Convm que a anlise crtica independente seja iniciada pela direo. Tal anlise crtica independente
necessria para assegurar a contnua pertinncia, adequao e eficcia do enfoque da organizao para
gerenciar a segurana da informao. Convm que a anlise crtica inclua a avaliao de oportunidades para a
melhoria e a necessidade de mudanas para o enfoque da segurana da informao, incluindo a poltica e os
objetivos de controle.
14
Cpia no autorizada
Convm que a anlise crtica seja executada por pessoas independentes da rea avaliada, como, por exemplo,
uma funo de auditoria interna, um gerente independente ou uma organizao de terceira parte especializada
em tais anlises crticas. Convm que as pessoas que realizem estas anlises crticas possuam habilidade e
experincia apropriadas.
Convm que os resultados da anlise crtica independente sejam registrados e relatados para a direo que
iniciou a anlise crtica. Estes registros devem ser mantidos.
Se a anlise crtica independente identificar que o enfoque da organizao e a implementao para gerenciar a
segurana da informao so inadequados ou no-conformes com as orientaes estabelecidas pela
segurana da informao, no documento da poltica de segurana da informao (ver 5.1.1), convm que a
direo considere a tomada de aes corretivas.
Informaes adicionais
Convm que as reas onde os gerentes regularmente fazem a anlise crtica (ver 15.2.1) possam tambm ser
analisadas criticamente de forma independente. Tcnicas para a anlise crtica podem incluir entrevistas com a
gerncia, verificao de registros ou anlise crtica dos documentos da poltica de segurana da informao.
A ABNT NBR ISO 19011:2002, Diretrizes para auditoria de sistemas de gesto da qualidade e/ou do meio
ambiente, pode tambm fornecer orientaes para se realizar a anlise crtica independente, incluindo o
estabelecimento e a implementao de um programa de anlise crtica. A subseo 15.3 especifica os
controles relevantes para a anlise crtica independente de sistemas de informaes operacionais e o uso de
ferramentas de auditoria de sistemas.
6.2
Partes externas
Controle
Convm que os riscos para os recursos de processamento da informao e da informao da organizao
oriundos de processos do negcio que envolva as partes externas sejam identificados e controles apropriados
implementados antes de se conceder o acesso.
Diretrizes para implementao
Convm que uma anlise/avaliao de riscos (ver seo 4) seja feita para identificar quaisquer requisitos de
controles especficos, onde existir uma necessidade que permita o acesso de uma parte externa aos recursos
de processamento da informao ou informao de uma organizao. Convm que a identificao de riscos
relativos ao acesso da parte externa leve em considerao os seguintes aspectos:
a) os recursos de processamento da informao que uma parte externa esteja autorizada a acessar;
15
Cpia no autorizada
b) tipo de acesso que a parte externa ter aos recursos de processamento da informao e informao,
como, por exemplo:
1) acesso fsico ao escritrio, sala dos computadores, gabinetes de cabeamento;
2) acesso lgico ao banco de dados da organizao e aos sistemas de informaes;
3) rede de conexo entre a organizao e a rede da parte externa, como, por exemplo, conexo
permanente, acesso remoto;
4) se o acesso vai ser dentro ou fora da organizao;
c) valor e a sensibilidade da informao envolvida, e a sua criticidade para as operaes do negcio;
d) os controles necessrios para proteger a informao que no deva ser acessada pelas partes
externas;
e) as pessoas das partes externas envolvidas no manuseio das informaes da organizao;
f) como a organizao ou o pessoal autorizado a ter acesso pode ser identificado, como a autorizao
verificada e com qual freqncia isto precisa ser reconfirmado;
g) as diferentes formas e controles empregados pela parte externa quando estiver armazenando,
processando, comunicando, compartilhando e repassando informaes;
h) impacto do acesso no estar disponvel para a parte externa, quando requerido, e a entrada ou o
recebimento incorreto ou por engano da informao;
i) prticas e procedimentos para tratar com incidentes de segurana da informao e danos potenciais, e
os termos e condies para que a parte externa continue acessando, no caso que ocorra um incidente
de segurana da informao;
j) que os requisitos legais e regulamentares e outras obrigaes contratuais relevantes para a parte
externa sejam levados em considerao;
k) como os interesses de quaisquer uma das partes interessadas podem ser afetados pelos acordos.
Convm que o acesso s informaes da organizao pelas partes externas no seja fornecido at que os
controles apropriados tenham sido implementados e, onde for vivel, um contrato tenha sido assinado
definindo os termos e condies para a conexo ou o acesso e os preparativos para o trabalho. Convm que,
de uma forma geral, todos os requisitos de segurana da informao resultantes do trabalho com partes
externas ou controles internos estejam refletidos por um acordo com a parte externa (ver 6.2.2 e 6.2.3).
Convm que seja assegurado que a parte externa est consciente de suas obrigaes, e aceita as
responsabilidades e obrigaes envolvendo o acesso, processamento, comunicao ou o gerenciamento dos
recursos do processamento da informao e da informao da organizao.
Informaes adicionais
A informao pode ser colocada em risco por partes externas com uma gesto inadequada da segurana da
informao. Convm que os controles sejam identificados e aplicados para administrar o acesso da parte
externa aos recursos de processamento da informao. Por exemplo, se existir uma necessidade especial
para a confidencialidade da informao, acordos de no divulgao devem ser usados.
As organizaes podem estar sujeitas a riscos associados com processos interorganizacionais, gerenciamento
e comunicao, se um alto grau de terceirizao for realizado, ou onde existirem vrias partes externas
envolvidas.
16
Cpia no autorizada
Os controles de 6.2.2 e 6.2.3 cobrem diferentes situaes para as partes externas, incluindo, por exemplo:
a) provedores de servio, tais como ISP, provedores de rede, servios de telefonia e servios de apoio e
manuteno;
b) gerenciamento dos servios de segurana;
c) clientes;
d) operaes e/ou recursos de terceirizao, como, por exemplo, sistemas de TI, servios de coleta de
dados, operao de call center;
e) consultores em negcios e em gesto, e auditores;
f)
Controle
Convm que todos os requisitos de segurana da informao identificados sejam considerados antes de
conceder aos clientes o acesso aos ativos ou s informaes da organizao.
Diretrizes para implementao
Convm que os seguintes termos sejam considerados para contemplar a segurana da informao antes de
conceder aos clientes o acesso a quaisquer ativos da organizao (dependendo do tipo e extenso do acesso
concedido, nem todos os itens so aplicveis):
a) proteo dos ativos, incluindo:
1) procedimentos para proteger os ativos da organizao, incluindo informao e software, e a gesto
de vulnerabilidades conhecidas;
2) procedimentos para definir aes quando ocorrer o comprometimento de quaisquer dos ativos, por
exemplo, perda ou modificao de dados;
3) integridade;
4) restries em relao a cpias e divulgao de informaes;
b) descrio do produto ou servio a ser fornecido;
c) as diferentes razes, requisitos e benefcios para o acesso do cliente;
d) polticas de controle de acesso, cobrindo:
1) mtodos de acesso permitido e o controle e uso de identificadores nicos, tais como identificador
de usurio e senhas de acesso;
2) um processo de autorizao para acesso dos usurios e privilgios;
3) uma declarao de que todo o acesso que no seja explicitamente autorizado proibido;
17
Cpia no autorizada
Controle
Convm que os acordos com terceiros envolvendo o acesso, processamento, comunicao ou gerenciamento
dos recursos de processamento da informao ou da informao da organizao, ou o acrscimo de produtos
ou servios aos recursos de processamento da informao cubram todos os requisitos de segurana da
informao relevantes.
Diretrizes para implementao
Convm que o acordo assegure que no existe mal-entendido entre a organizao e o terceiro. Convm que
as organizaes considerem a possibilidade de indenizao do terceiro.
Convm que os seguintes termos sejam considerados para incluso no acordo, com o objetivo de atender aos
requisitos de segurana da informao identificados (ver 6.2.1):
a) poltica de segurana da informao;
b) controles para assegurar a proteo do ativo, incluindo:
1) procedimentos para proteger os ativos da organizao, incluindo informao, software e hardware;
2) quaisquer mecanismos e controles para a proteo fsica requerida;
3) controles para assegurar proteo contra software malicioso (ver 10.4.1);
18
Cpia no autorizada
4) procedimentos para definir aes quando ocorrer o comprometimento de quaisquer dos ativos, por
exemplo, perda ou modificao de informaes, software e hardware;
5) controles para assegurar o retorno ou a destruio da informao e dos ativos no final do contrato,
ou em um dado momento definido no acordo.
6) confidencialidade, integridade, disponibilidade e qualquer outra propriedade relevante (ver 2.1.5)
dos ativos;
7) restries em relao a cpias e divulgao de informaes, e uso dos acordos de
confidencialidade (ver 6.1.5).
c) treinamento dos usurios e administradores nos mtodos, procedimentos e segurana da informao;
d) assegurar a conscientizao dos usurios nas questes e responsabilidades pela segurana da
informao;
f) proviso para a transferncia de pessoal, onde necessrio;
f) responsabilidades com relao manuteno e instalao de software e hardware;
g) uma estrutura clara de notificao e formatos de relatrios acordados;
h)
i)
3)
4)
um requisito para manter uma lista de pessoas autorizadas a usar os servios que esto sendo
disponibilizados, e quais os seus direitos e privilgios com relao a tal uso;
5)
uma declarao de que todo o acesso que no seja explicitamente autorizado proibido;
6)
j)
k)
uma descrio do produto ou servio que est sendo fornecido e uma descrio da informao que
deve estar disponvel, juntamente com a sua classificao de segurana (ver 7.2.1);
l)
o)
direito de auditar as responsabilidades definidas do acordo, para ter essas auditorias realizadas por
terceira parte para enumerar os direitos regulamentares dos auditores;
19
Cpia no autorizada
p)
q)
requisitos para a continuidade dos servios, incluindo medies para disponibilidade e confiabilidade,
de acordo com as prioridades do negcio da organizao;
r)
s)
responsabilidades com relao a aspectos legais e como assegurado que os requisitos legais so
atendidos, por exemplo, leis de proteo de dados, levando-se em considerao especialmente os
diferentes sistemas legais nacionais, se o acordo envolver a cooperao com organizaes em outros
pases (ver 15.1);
t)
direitos de propriedade intelectual e direitos autorais (ver 15.1.2) e proteo de qualquer trabalho
colaborativo (ver 6.1.5);
u)
v)
um plano de contingncia deve ser elaborado no caso de uma das partes desejar encerrar a
relao antes do final do acordo;
2)
3)
listas atualizadas da documentao dos ativos, licenas, acordos ou direitos relacionados aos
ativos.
Informaes adicionais
Os acordos podem variar consideravelmente para diferentes organizaes e entre os diferentes tipos de
terceiros. Convm, entretanto, que sejam tomados cuidados para incluir nos acordos todos os riscos
identificados e os requisitos de segurana da informao (ver 6.2.1). Onde necessrio, os procedimentos e
controles requeridos podem ser includos em um plano de gesto de segurana da informao.
Se a gesto da segurana da informao for terceirizada, convm que os acordos definam como os terceiros
iro garantir que a segurana da informao, conforme definida na anlise/avaliao de riscos, ser mantida e
como a segurana da informao ser adaptada para identificar e tratar com as mudanas aos riscos.
Algumas das diferenas entre as terceirizaes e as outras formas de proviso de servios de terceiros
incluem a questo das obrigaes legais, o planejamento do perodo de transio e de descontinuidade da
operao durante este perodo, planejamento de contingncias e anlise crtica de investigaes, e coleta e
gesto de incidentes de segurana da informao. Entretanto, importante que a organizao planeje e
gerencie a transio para um terceirizado e tenha processos adequados implantados para gerenciar as
mudanas e renegociar ou encerrar os acordos.
Os procedimentos para continuar processando no caso em que o terceiro se torne incapaz de prestar o servio
precisam ser considerados no acordo para evitar qualquer atraso nos servios de substituio.
Acordos com terceiros podem tambm envolver outras partes. Convm que os acordos que concedam o
acesso a terceiros incluam permisso para designao de outras partes autorizadas e condies para os seus
acessos e envolvimento.
De um modo geral os acordos so geralmente elaborados pela organizao. Podem existir situaes onde, em
algumas circunstncias, um acordo possa ser elaborado e imposto pela organizao para o terceiro.
A organizao precisa assegurar que a sua prpria segurana da informao no afetada
desnecessariamente pelos requisitos do terceiro, estipulados no acordo imposto.
20
Cpia no autorizada
Gesto de ativos
7.1
Controle
Convm que todos os ativos sejam claramente identificados e um inventrio de todos os ativos importantes
seja estruturado e mantido.
Diretrizes para implementao
Convm que a organizao identifique todos os ativos e documente a importncia destes ativos. Convm que
o inventrio do ativo inclua todas as informaes necessrias que permitam recuperar de um desastre,
incluindo o tipo do ativo, formato, localizao, informaes sobre cpias de segurana, informaes sobre
licenas e a importncia do ativo para o negcio. Convm que o inventrio no duplique outros inventrios
desnecessariamente, porm ele deve assegurar que o seu contedo est coerente.
Adicionalmente, convm que o proprietrio (ver 7.1.2) e a classificao da informao (ver 7.2) sejam
acordados e documentados para cada um dos ativos. Convm que, com base na importncia do ativo, seu
valor para o negcio e a sua classificao de segurana, nveis de proteo proporcionais importncia dos
ativos sejam identificados (mais informaes sobre como valorar os ativos para indicar a sua importncia
podem ser encontradas na ISO IEC TR 13335-3).
Informaes adicionais
Existem vrios tipos de ativos, incluindo:
a) ativos de informao: base de dados e arquivos, contratos e acordos, documentao de sistema,
informaes sobre pesquisa, manuais de usurio, material de treinamento, procedimentos de suporte
ou operao, planos de continuidade do negcio, procedimentos de recuperao, trilhas de auditoria e
informaes armazenadas;
b) ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitrios;
c) ativos fsicos: equipamentos computacionais, equipamentos de comunicao, mdias removveis e
outros equipamentos;
d) servios: servios de computao e comunicaes, utilidades gerais, por exemplo aquecimento,
iluminao, eletricidade e refrigerao;
e) pessoas e suas qualificaes, habilidades e experincias;
f)
Os inventrios de ativos ajudam a assegurar que a proteo efetiva do ativo pode ser feita e tambm pode ser
requerido para outras finalidades do negcio, como sade e segurana, seguro ou financeira (gesto de ativos).
O processo de compilao de um inventrio de ativos um pr-requisito importante no gerenciamento de
riscos (ver seo 4).
21
Cpia no autorizada
7.1.2
Controle
Convm que todas as informaes e ativos associados com os recursos de processamento da informao
tenham um proprietrio2 designado por uma parte definida da organizao.
Diretrizes para implementao
Convm que o proprietrio do ativo seja responsvel por:
a) assegurar que as informaes e os ativos associados com os recursos de processamento da
informao estejam adequadamente classificados;
b) definir e periodicamente analisar criticamente as classificaes e restries ao acesso, levando em
conta as polticas de controle de acesso, aplicveis.
O proprietrio pode ser designado para:
a) um processo do negcio;
b) um conjunto de atividades definidas;
c) uma aplicao; ou
d) um conjunto de dados definido.
Informaes adicionais
As tarefas de rotina podem ser delegadas, por exemplo, para um custodiante que cuida do ativo no dia-a-dia,
porm a responsabilidade permanece com o proprietrio.
Em sistemas de informao complexos pode ser til definir grupos de ativos que atuem juntos para fornecer
uma funo particular, como servios. Neste caso, o proprietrio do servio o responsvel pela entrega do
servio, incluindo o funcionamento dos ativos, que prov os servios.
7.1.3
Controle
Convm que sejam identificadas, documentadas e implementadas regras para que sejam permitidos o uso de
informaes e de ativos associados aos recursos de processamento da informao.
Diretrizes para implementao
Convm que todos os funcionrios, fornecedores e terceiros sigam as regras para o uso permitido de
informaes e de ativos associados aos recursos de processamento da informao, incluindo:
a) regras para o uso da internet e do correio eletrnico (ver 10.8);
b) diretrizes para o uso de dispositivos mveis, especialmente para o uso fora das instalaes da
organizao (ver 11.7.1).
2 O termo proprietrio identifica uma pessoa ou organismo que tenha uma responsabilidade autorizada para controlar a
produo, o desenvolvimento, a manuteno, o uso e a segurana dos ativos. O termo "proprietrio" no significa que a
pessoa realmente tenha qualquer direito de propriedade ao ativo.
22
Cpia no autorizada
Convm que regras especficas ou diretrizes sejam fornecidas pelo gestor relevante. Convm que funcionrios,
fornecedores e terceiros que usem ou tenham acesso aos ativos da organizao estejam conscientes dos
limites que existem para os usos das informaes e ativos associados da organizao aos recursos de
processamento da informao. Convm que eles sejam responsveis pelo uso de quaisquer recursos de
processamento da informao e de quaisquer outros usos conduzidos sob a suas responsabilidades.
7.2
Classificao da informao
Controle
Convm que a informao seja classificada em termos do seu valor, requisitos legais, sensibilidade e
criticidade para a organizao.
Diretrizes para implementao
Convm que a classificao da informao e seus respectivos controles de proteo levem em considerao
as necessidades de compartilhamento ou restrio de informaes e os respectivos impactos nos negcios,
associados com tais necessidades.
Convm que as diretrizes para classificao incluam convenes para classificao inicial e reclassificao ao
longo do tempo, de acordo com algumas polticas de controle de acesso predeterminadas (ver 11.1.1)
Convm que seja de responsabilidade do proprietrio do ativo (ver 7.1.2) definir a classificao de um ativo,
analisando-o criticamente a intervalos regulares, e assegurar que ele est atualizado e no nvel apropriado.
Convm que a classificao leve em considerao a agregao do efeito mencionado em 10.7.2.
Convm que cuidados sejam tomados com a quantidade de categorias de classificao e com os benefcios
obtidos pelo seu uso. Esquemas excessivamente complexos podem tornar o uso incmodo e ser inviveis
economicamente ou impraticveis. Convm que ateno especial seja dada na interpretao dos rtulos de
classificao sobre documentos de outras organizaes, que podem ter definies diferentes para rtulos
iguais ou semelhantes aos usados.
Informaes adicionais
O nvel de proteo pode ser avaliado analisando a confidencialidade, a integridade e a disponibilidade da
informao, bem como quaisquer outros requisitos que sejam considerados.
A informao freqentemente deixa de ser sensvel ou crtica aps um certo perodo de tempo, por exemplo
quando a informao se torna pblica. Convm que estes aspectos sejam levados em considerao, pois uma
classificao superestimada pode levar implementao de custos desnecessrios, resultando em despesas
adicionais.
Considerar, conjuntamente, documentos com requisitos de segurana similares, quando da atribuio dos
nveis de classificao, pode ajudar a simplificar a tarefa de classificao.
Em geral, a classificao dada informao uma maneira de determinar como esta informao vai ser
tratada e protegida.
23
Cpia no autorizada
7.2.2
Controle
Convm que um conjunto apropriado de procedimentos para rotulao e tratamento da informao seja
definido e implementado de acordo com o esquema de classificao adotado pela organizao.
Diretrizes para implementao
Os procedimentos para rotulao da informao precisam abranger tanto os ativos de informao no formato
fsico quanto no eletrnico.
Convm que as sadas de sistemas que contm informaes classificadas como sensveis ou crticas tenham
o rtulo apropriado da classificao da informao (na sada). Convm que o rtulo reflita a classificao de
acordo com as regras estabelecidas em 7.2.1. Itens que devem ser considerados incluem relatrios impressos,
telas, mdias magnticas (fitas, discos, CD), mensagens eletrnicas e transferncias de arquivos.
Convm que sejam definidos, para cada nvel de classificao, procedimentos para o tratamento da
informao que contemplem o processamento seguro, a armazenagem, a transmisso, a reclassificao e a
destruio. Convm que isto tambm inclua os procedimentos para a cadeia de custdia e registros de
qualquer evento de segurana relevante.
Convm que acordos com outras organizaes, que incluam o compartilhamento de informaes, considerem
procedimentos para identificar a classificao daquela informao e para interpretar os rtulos de classificao
de outras organizaces.
Informaes adicionais
A rotulao e o tratamento seguro da classificao da informao um requisito-chave para os procedimentos
de compartilhamento da informao. Os rtulos fsicos so uma forma usual de rotulao. Entretanto, alguns
ativos de informao, como documentos em forma eletrnica, no podem ser fisicamente rotulados, sendo
necessrio usar um rtulo eletrnico. Por exemplo, a notificao do rtulo pode aparecer na tela ou no display.
Onde a aplicao do rtulo no for possvel, outras formas de definir a classificao da informao podem ser
usadas, por exemplo, por meio de procedimentos ou metadados.
24
Cpia no autorizada
8.1
Objetivo: Assegurar que os funcionrios, fornecedores e terceiros entendam suas responsabilidades e estejam
de acordo com os seus papis, e reduzir o risco de roubo, fraude ou mau uso de recursos.
Convm que as responsabilidades pela segurana da informao sejam atribudas antes da contratao, de
forma adequada, nas descries de cargos e nos termos e condies de contratao.
Convm que todos os candidatos ao emprego, fornecedores e terceiros sejam adequadamente analisados,
especialmente em cargos com acesso a informaes sensveis.
Convm que todos os funcionrios, fornecedores e terceiros, usurios dos recursos de processamento da
informao, assinem acordos sobre seus papis e responsabilidades pela segurana da informao.
8.1.1
Papis e responsabilidades
Controle
Convm que papis e responsabilidades pela segurana da informao de funcionrios, fornecedores e
terceiros sejam definidos e documentados de acordo com a poltica de segurana da informao da
organizao.
Diretrizes para implementao
Convm que os papis e responsabilidades pela segurana da informao incluam requisitos para:
a) implementar e agir de acordo com as polticas de segurana da informao da organizao (ver 5.1);
b) proteger ativos contra acesso no autorizado, divulgao, modificao, destruio ou interferncia;
c) executar processos ou atividades particulares de segurana da informao;
d) assegurar que a responsabilidade atribuda pessoa para tomada de aes;
e) relatar eventos potenciais ou reais de segurana da informao ou outros riscos de segurana para a
organizao.
Convm que papis e responsabilidades de segurana da informao sejam definidos e claramente
comunicados aos candidatos a cargos, durante o processo de pr-contratao.
Informaes adicionais
Descries de cargos podem ser usadas para documentar responsabilidades e papis pela segurana da
informao. Convm que papis e responsabilidades pela segurana da informao para pessoas que no
esto engajadas por meio do processo de contratao da organizao, como, por exemplo, atravs de uma
organizao terceirizada, sejam claramente definidos e comunicados.
Explicao: A palavra contratao, neste contexto, visa cobrir todas as seguintes diferentes situaes: contratao de
pessoas (temporrias ou por longa durao), nomeao de funes, mudana de funes, atribuies de contratos e
encerramento de quaisquer destas situaes.
25
Cpia no autorizada
8.1.2
Seleo
Controle
Convm que verificaes de controle de todos os candidatos a emprego, fornecedores e terceiros sejam
realizadas de acordo com as leis relevantes, regulamentaes e ticas, e proporcional aos requisitos do
negcio, classificao das informaes a serem acessadas e aos riscos percebidos.
Diretrizes para implementao
Convm que as verificaes de controle levem em considerao todos os aspectos relevantes relacionados
com a privacidade, legislao baseada na contratao e/ou proteo de dados pessoais e, onde permitido,
incluam os seguintes itens:
a) disponibilidade de referncias de carter satisfatrias, por exemplo uma profissional e uma pessoal;
b) uma verificao (da exatido e inteireza) das informaes do curriculum vitae do candidato;
c) confirmao das qualificaes acadmicas e profissionais;
d) verificao independente da identidade (passaporte ou documento similar);
e) verificaes mais detalhadas, tais como verificaes financeiras (de crdito) ou verificaes de
registros criminais.
Convm que a organizao tambm faa verificaes mais detalhadas, onde um trabalho envolver pessoas,
tanto por contratao como por promoo, que tenham acesso aos recursos de processamento da informao,
em particular aquelas que tratam de informaes sensveis, tais como informaes financeiras ou informaes
altamente confidenciais.
Convm que os procedimentos definam critrios e limitaes para as verificaes de controle, por exemplo,
quem est qualificado para selecionar as pessoas, e como, quando e por que as verificaes de controle so
realizadas.
Convm que um processo de seleo tambm seja feito para fornecedores e terceiros. Quando essas pessoas
vm por meio de uma agncia, convm que o contrato especifique claramente as responsabilidades da
agncia pela seleo e os procedimentos de notificao que devem ser seguidos se a seleo no for
devidamente concluda ou quando os resultados obtidos forem motivos de dvidas ou preocupaes. Do
mesmo modo, convm que acordos com terceiros (ver 6.2.3) especifiquem claramente todas as
responsabilidades e procedimentos de notificao para a seleo.
Convm que informaes sobre todos os candidatos que esto sendo considerados para certas posies
dentro da organizao sejam levantadas e tratadas de acordo com qualquer legislao apropriada existente na
jurisdio pertinente. Dependendo da legislao aplicvel, convm que os candidatos sejam previamente
informados sobre as atividades de seleo.
8.1.3
Controle
Como parte das suas obrigaes contratuais, convm que os funcionrios, fornecedores e terceiros concordem
e assinem os termos e condies de sua contratao para o trabalho, os quais devem declarar as suas
responsabilidades e a da organizao para a segurana da informao.
26
Cpia no autorizada
responsabilidades que se estendem para fora das dependncias da organizao e fora dos horrios
normais de trabalho, como, por exemplo, nos casos de execuo de trabalhos em casa (ver 9.2.5 e
11.7.1);
27
Cpia no autorizada
8.2
Durante a contratao
Objetivo: Assegurar que os funcionrios, fornecedores e terceiros esto conscientes das ameaas e
preocupaes relativas segurana da informao, suas responsabilidades e obrigaes, e esto preparados
para apoiar a poltica de segurana da informao da organizao durante os seus trabalhos normais, e para
reduzir o risco de erro humano.
Convm que as responsabilidades pela direo sejam definidas para garantir que a segurana da informao
aplicada em todo trabalho individual dentro da organizao.
Convm que um nvel adequado de conscientizao, educao e treinamento nos procedimentos de
segurana da informao e no uso correto dos recursos de processamento da informao seja fornecido para
todos os funcionrios, fornecedores e terceiros, para minimizar possveis riscos de segurana da informao.
Convm que um processo disciplinar formal para tratar das violaes de segurana da informao seja
estabelecido.
8.2.1
Responsabilidades da direo
Controle
Convm que a direo solicite aos funcionrios, fornecedores e terceiros que pratiquem a segurana da
informao de acordo com o estabelecido nas polticas e procedimentos da organizao.
Diretrizes para implementao
Convm que as responsabilidades da direo assegurem que os funcionrios, fornecedores e terceiros:
a) esto adequadamente instrudos sobre as suas responsabilidades e papis pela segurana da
informao antes de obter acesso s informaes sensveis ou aos sistemas de informao;
b) recebam diretrizes que definam quais as expectativas sobre a segurana da informao de suas
atividades dentro da organizao;
c) esto motivados para cumprir com as polticas de segurana da informao da organizao;
d) atinjam um nvel de conscientizao sobre segurana da informao que seja relevante para os seus
papis e responsabilidades dentro da organizao (ver 8.2.2);
e) atendam aos termos e condies de contratao, que incluam a poltica de segurana da informao
da organizao e mtodos apropriados de trabalho;
f)
Informaes adicionais
Se os funcionrios, fornecedores e terceiros no forem conscientizados das suas responsabilidades, eles
podem causar considerveis danos para a organizao. Pessoas motivadas tm uma maior probabilidade de
serem mais confiveis e de causar menos incidentes de segurana da informao.
Uma m gesto pode causar s pessoas o sentimento de sub-valorizao, resultando em um impacto de
segurana da informao negativo para a organizao. Por exemplo, uma m gesto pode levar a segurana
da informao a ser negligenciada ou a um potencial mau uso dos ativos da organizao.
8.2.2
Controle
Convm que todos os funcionrios da organizao e, onde pertinente, fornecedores e terceiros recebam
treinamento apropriados em conscientizao, e atualizaes regulares nas polticas e procedimentos
organizacionais, relevantes para as suas funes.
28
Cpia no autorizada
Processo disciplinar
Controle
Convm que exista um processo disciplinar formal para os funcionrios que tenham cometido uma violao da
segurana da informao.
Diretrizes para implementao
Convm que o processo disciplinar no inicie sem uma verificao prvia de que a violao da segurana da
informao realmente ocorreu (ver 13.2.3 em coleta de evidncias).
Convm que o processo disciplinar formal assegure um tratamento justo e correto aos funcionrios que so
suspeitos de cometer violaes de segurana da informao. O processo disciplinar formal deve dar uma
resposta de forma gradual, que leve em considerao fatores como a natureza e a gravidade da violao e o
seu impacto no negcio, se este ou no o primeiro delito, se o infrator foi ou no adequadamente treinado, as
legislaes relevantes, os contratos do negcio e outros fatores conforme requerido. Em casos srios de m
conduta, convm que o processo permita, por um certo perodo, a remoo das responsabilidades, dos direitos
de acesso e privilgios e, dependendo da situao, solicitar pessoa, a sada imediata das dependncias da
organizao, escoltando-a.
Informaes adicionais
Convm que o processo disciplinar tambm seja usado como uma forma de dissuaso, para evitar que os
funcionrios, fornecedores e terceiros violem os procedimentos e as polticas de segurana da informao da
organizao, e quaisquer outras violaes na segurana.
8.3
Objetivo: Assegurar que funcionrios, fornecedores e terceiros deixem a organizao ou mudem de trabalho
de forma ordenada.
Convm que responsabilidades sejam definidas para assegurar que a sada de funcionrios, fornecedores e
terceiros da organizao seja feita de modo controlado e que a devoluo de todos os equipamentos e a
retirada de todos os direitos de acesso esto concludas.
Convm que as mudanas de responsabilidades e de trabalhos dentro de uma organizao sejam gerenciadas
quando do encerramento da respectiva responsabilidade ou trabalho de acordo com esta seo, e quaisquer
novos trabalhos sejam gerenciados conforme descrito em 8.1.
29
Cpia no autorizada
8.3.1
Encerramento de atividades
Controle
Convm que responsabilidades para realizar o encerramento ou a mudana de um trabalho sejam claramente
definidas e atribudas.
Diretrizes para implementao
Convm que a comunicao de encerramento de atividades inclua requisitos de segurana e
responsabilidades legais existentes e, onde apropriado, responsabilidades contidas em quaisquer acordos de
confidencialidade (ver 6.1.5) e os termos e condies de trabalho (ver 8.1.3) que continuem por um perodo
definido aps o fim do trabalho do funcionrio, do fornecedor ou do terceiro.
Convm que as responsabilidades e obrigaes contidas nos contratos dos funcionrios, fornecedores ou
terceiros permaneam vlidas aps o encerramento das atividades.
Convm que as mudanas de responsabilidades ou do trabalho sejam gerenciadas quando do encerramento
da respectiva responsabilidade ou do trabalho, e que novas responsabilidades ou trabalho sejam controladas
conforme descrito em 8.1.
Informaes adicionais
A funo de Recursos Humanos geralmente responsvel pelo processo global de encerramento e trabalha
em conjunto com o gestor responsvel pela pessoa que est saindo, para gerenciar os aspectos de segurana
da informao dos procedimentos pertinentes. No caso de um fornecedor, o processo de encerramento de
atividades pode ser realizado por uma agncia responsvel pelo fornecedor e, no caso de um outro usurio,
isto pode ser tratado pela sua organizao.
Pode ser necessrio informar aos funcionrios, clientes, fornecedores ou terceiros sobre as mudanas de
pessoal e procedimentos operacionais.
8.3.2
Devoluo de ativos
Controle
Convm que todos os funcionrios, fornecedores e terceiros devolvam todos os ativos da organizao que
estejam em sua posse, aps o encerramento de suas atividades, do contrato ou acordo.
Diretrizes para implementao
Convm que o processo de encerramento de atividades seja formalizado para contemplar a devoluo de
todos os equipamentos, documentos corporativos e software entregues pessoa. Outros ativos da
organizao, tais como dispositivos de computao mvel, cartes de crditos, cartes de acesso, software,
manuais e informaes armazenadas em mdia eletrnica, tambm precisam ser devolvidos.
No caso em que um funcionrio, fornecedor ou terceiro compre o equipamento da organizao ou use o seu
prprio equipamento pessoal, convm que procedimentos sejam adotados para assegurar que toda a
informao relevante seja transferida para a organizao e que seja apagada de forma segura do equipamento
(ver 10.7.1).
Nos casos em que o funcionrio, fornecedor ou terceiro tenha conhecimento de que seu trabalho importante
para as atividades que so executadas, convm que este conhecimento seja documentado e transferido para a
organizao.
8.3.3
Controle
Convm que os direitos de acesso de todos os funcionrios, fornecedores e terceiros s informaes e aos
recursos de processamento da informao sejam retirados aps o encerramento de suas atividades, contratos
ou acordos, ou ajustado aps a mudana destas atividades.
30
Cpia no autorizada
31
Cpia no autorizada
9.1
reas seguras
Objetivo: Prevenir o acesso fsico no autorizado, danos e interferncias com as instalaes e informaes da
organizao.
Convm que as instalaes de processamento da informao crticas ou sensveis sejam mantidas em reas
seguras, protegidas por permetros de segurana definidos, com barreiras de segurana e controles de acesso
apropriados. Convm que sejam fisicamente protegidas contra o acesso no autorizado, danos e
interferncias.
Convm que a proteo oferecida seja compatvel com os riscos identificados.
9.1.1
Controle
Convm que sejam utilizados permetros de segurana (barreiras tais como paredes, portes de entrada
controlados por carto ou balces de recepo com recepcionistas) para proteger as reas que contenham
informaes e instalaes de processamento da informao.
Diretrizes para a implementao
Convm que sejam levadas em considerao e implementadas as seguintes diretrizes para permetros de
segurana fsica, quando apropriado:
a) os permetros de segurana sejam claramente definidos e que a localizao e a capacidade de
resistncia de cada permetro dependam dos requisitos de segurana dos ativos existentes no interior
do permetro, e dos resultados da anlise/avaliao de riscos;
b) os permetros de um edifcio ou de um local que contenha instalaes de processamento da
informao sejam fisicamente slidos (ou seja, o permetro no deve ter brechas nem pontos onde
poderia ocorrer facilmente uma invaso); convm que as paredes externas do local sejam de
construo robusta e todas as portas externas sejam adequadamente protegidas contra acesso no
autorizado por meio de mecanismos de controle, por exemplo, barras, alarmes, fechaduras etc.;
convm que as portas e janelas sejam trancadas quando estiverem sem monitorao, e que uma
proteo externa para as janelas seja considerada, principalmente para as que estiverem situadas no
andar trreo;
c) seja implantada uma rea de recepo, ou um outro meio para controlar o acesso fsico ao local ou ao
edifcio; o acesso aos locais ou edifcios deve ficar restrito somente ao pessoal autorizado;
d) sejam construdas barreiras fsicas, onde aplicvel, para impedir o acesso fsico no autorizado e a
contaminao do meio ambiente;
e) todas as portas corta-fogo do permetro de segurana sejam providas de alarme, monitoradas e
testadas juntamente com as paredes, para estabelecer o nvel de resistncia exigido, de acordo com
normas regionais, nacionais e internacionais aceitveis; elas devem funcionar de acordo com os
cdigos locais de preveno de incndios e preveno de falhas;
f)
32
Cpia no autorizada
Informaes adicionais
Pode-se obter proteo fsica criando uma ou mais barreiras fsicas ao redor das instalaes e dos recursos de
processamento da informao da organizao. O uso de barreiras mltiplas proporciona uma proteo
adicional, uma vez que neste caso a falha de uma das barreiras no significa que a segurana fique
comprometida imediatamente.
Uma rea segura pode ser um escritrio trancvel ou um conjunto de salas rodeado por uma barreira fsica
interna contnua de segurana. Pode haver necessidade de barreiras e permetros adicionais para o controle
do acesso fsico, quando existem reas com requisitos de segurana diferentes dentro do permetro de
segurana.
Convm que sejam tomadas precaues especiais para a segurana do acesso fsico no caso de edifcios que
alojam diversas organizaes.
9.1.2
Controle
Convm que as reas seguras sejam protegidas por controles apropriados de entrada para assegurar que
somente pessoas autorizadas tenham acesso.
Diretrizes para implementao
Convm que sejam levadas em considerao as seguintes diretrizes:
a) a data e hora da entrada e sada de visitantes sejam registradas, e todos os visitantes sejam
supervisionados, a no ser que o seu acesso tenha sido previamente aprovado; convm que as
permisses de acesso sejam concedidas somente para finalidades especficas e autorizadas, e sejam
emitidas com instrues sobre os requisitos de segurana da rea e os procedimentos de emergncia;
b) acesso s reas em que so processadas ou armazenadas informaes sensveis seja controlado e
restrito s pessoas autorizadas; convm que sejam utilizados controles de autenticao, por exemplo,
carto de controle de acesso mais PIN (personal identification number), para autorizar e validar todos
os acessos; deve ser mantido de forma segura um registro de todos os acessos para fins de auditoria;
c) seja exigido que todos os funcionrios, fornecedores e terceiros, e todos os visitantes, tenham alguma
forma visvel de identificao, e eles devem avisar imediatamente o pessoal de segurana caso
encontrem visitantes no acompanhados ou qualquer pessoa que no esteja usando uma identificao
visvel;
d) aos terceiros que realizam servios de suporte, seja concedido acesso restrito s reas seguras ou s
instalaes de processamento da informao sensvel somente quando necessrio; este acesso deve
ser autorizado e monitorado;
e) os direitos de acesso a reas seguras sejam revistos e atualizados em intervalos regulares, e
revogados quando necessrio (ver 8.3.3).
9.1.3
Controle
Convm que seja projetada e aplicada segurana fsica para escritrios, salas e instalaes.
Diretrizes para implementao
Convm que sejam levadas em considerao as seguintes diretrizes para proteger escritrios, salas e
instalaes:
a) sejam levados em conta os regulamentos e normas de sade e segurana aplicveis;
b) as instalaes-chave sejam localizadas de maneira a evitar o acesso do pblico;
33
Cpia no autorizada
c) os edifcios sejam discretos e dem a menor indicao possvel da sua finalidade, sem letreiros
evidentes, fora ou dentro do edifcio, que identifiquem a presena de atividades de processamento de
informaes, quando for aplicvel;
d) as listas de funcionrios e guias telefnicos internos que identifiquem a localizao das instalaes
que processam informaes sensveis no fiquem facilmente acessveis ao pblico.
9.1.4
Controle
Convm que sejam projetadas e aplicadas proteo fsica contra incndios, enchentes, terremotos, exploses,
perturbaes da ordem pblica e outras formas de desastres naturais ou causados pelo homem.
Diretrizes para implementao
Convm que sejam levadas em considerao todas as ameaas segurana representadas por instalaes
vizinhas, por exemplo, um incndio em um edifcio vizinho, vazamento de gua do telhado ou em pisos do
subsolo ou uma exploso na rua.
Convm que sejam levadas em considerao as seguintes diretrizes para evitar danos causados por incndios,
enchentes, terremotos, exploses, perturbaes da ordem pblica e outras formas de desastres naturais ou
causados pelo homem:
a) os materiais perigosos ou combustveis sejam armazenados a uma distncia segura da rea de
segurana. Suprimentos em grande volume, como materiais de papelaria, no devem ser
armazenados dentro de uma rea segura;
b) os equipamentos para contingncia e mdia de backup fiquem a uma distncia segura, para que no
sejam danificados por um desastre que afete o local principal;
c) os equipamentos apropriados de deteco e combate a incndios sejam providenciados e
posicionados corretamente.
9.1.5
Controle
Convm que seja projetada e aplicada proteo fsica, bem como diretrizes para o trabalho em reas seguras.
Diretrizes para implementao
Convm que sejam levadas em considerao as seguintes diretrizes:
a) pessoal s tenha conhecimento da existncia de reas seguras ou das atividades nelas realizadas,
apenas se for necessrio;
b) seja evitado o trabalho no supervisionado em reas seguras, tanto por motivos de segurana como
para prevenir as atividades mal intencionadas;
c) as reas seguras no ocupadas sejam fisicamente trancadas e periodicamente verificadas;
d) no seja permitido o uso de mquinas fotogrficas, gravadores de vdeo ou udio ou de outros
equipamentos de gravao, tais como cmeras em dispositivos mveis, salvo se for autorizado.
As normas para o trabalho em reas seguras incluem o controle dos funcionrios, fornecedores e terceiros que
trabalham em tais reas, bem como o controle de outras atividades de terceiros nestas reas.
34
Cpia no autorizada
9.1.6
Controle
Convm que os pontos de acesso, tais como reas de entrega e de carregamento e outros pontos em que
pessoas no autorizadas possam entrar nas instalaes, sejam controlados e, se possvel, isolados das
instalaes de processamento da informao, para evitar o acesso no autorizado.
Diretrizes para implementao
Convm que sejam levadas em considerao as seguintes diretrizes:
a) acesso a uma rea de entrega e carregamento a partir do exterior do prdio fique restrito ao pessoal
identificado e autorizado;
b) as reas de entrega e carregamento sejam projetadas de tal maneira que seja possvel descarregar
suprimentos sem que os entregadores tenham acesso a outras partes do edifcio;
c) as portas externas de uma rea de entrega e carregamento sejam protegidas enquanto as portas
internas estiverem abertas;
d) os materiais entregues sejam inspecionados para detectar ameaas potenciais (ver 9.2.1d)) antes de
serem transportados da rea de entrega e carregamento para o local de utilizao;
e) os materiais entregues sejam registrados por ocasio de sua entrada no local, usando-se
procedimentos de gerenciamento de ativos (ver 7.1.1);
f)
9.2
as remessas entregues sejam segregadas fisicamente das remessas que saem, sempre que possvel.
Segurana de equipamentos
Objetivo: Impedir perdas, danos, furto ou comprometimento de ativos e interrupo das atividades da
organizao.
Convm que os equipamentos sejam protegidos contra ameaas fsicas e do meio ambiente.
A proteo dos equipamentos (incluindo aqueles utilizados fora do local, e a retirada de ativos) necessria
para reduzir o risco de acesso no autorizado s informaes e para proteger contra perdas ou danos.
Convm que tambm seja levado em considerao a introduo de equipamentos no local, bem como sua
remoo. Podem ser necessrios controles especiais para a proteo contra ameaas fsicas e para a
proteo de instalaes de suporte, como a infra-estrutura de suprimento de energia e de cabeamento.
9.2.1
Controle
Convm que os equipamentos sejam colocados no local ou protegidos para reduzir os riscos de ameaas e
perigos do meio ambiente, bem como as oportunidades de acesso no autorizado.
Diretrizes para implementao
Convm que sejam levadas em considerao as seguintes diretrizes para proteger os equipamentos:
a) os equipamentos sejam colocados no local, a fim de minimizar o acesso desnecessrio s reas de
trabalho;
b) as instalaes de processamento da informao que manuseiam dados sensveis sejam posicionadas
de forma que o ngulo de viso seja restrito, de modo a reduzir o risco de que as informaes sejam
vistas por pessoal no autorizado durante a sua utilizao, e os locais de armazenagem sejam
protegidos, a fim de evitar o acesso no autorizado;
35
Cpia no autorizada
c) os itens que exigem proteo especial devem ser isolados para reduzir o nvel geral de proteo
necessrio;
d) sejam adotados controles para minimizar o risco de ameaas fsicas potenciais, tais como furto,
incndio, explosivos, fumaa, gua (ou falha do suprimento de gua), poeira, vibrao, efeitos
qumicos, interferncia com o suprimento de energia eltrica, interferncia com as comunicaes,
radiao eletromagntica e vandalismo;
e) sejam estabelecidas diretrizes quanto a comer, beber e fumar nas proximidades das instalaes de
processamento da informao;
f)
g) todos os edifcios sejam dotados de proteo contra raios e todas as linhas de entrada de fora e de
comunicaes tenham filtros de proteo contra raios;
h) para equipamentos em ambientes industriais, o uso de mtodos especiais de proteo, tais como
membranas para teclados, deve ser considerado;
i)
9.2.2
os equipamentos que processam informaes sensveis sejam protegidos, a fim de minimizar o risco
de vazamento de informaes em decorrncia de emanaes.
Utilidades
Controle
Convm que os equipamentos sejam protegidos contra falta de energia eltrica e outras interrupes causadas
por falhas das utilidades.
Diretrizes para implementao
Convm que todas as utilidades, tais como suprimento de energia eltrica, suprimento de gua, esgotos,
calefao/ventilao e ar-condicionado sejam adequados para os sistemas que eles suportam. Convm que as
utilidades sejam inspecionadas em intervalos regulares e testadas de maneira apropriada para assegurar seu
funcionamento correto e reduzir os riscos de defeitos ou interrupes do funcionamento. Convm que seja
providenciado um suprimento adequado de energia eltrica, de acordo com as especificaes do fabricante
dos equipamentos.
Recomenda-se o uso de UPS para suportar as paradas e desligamento dos equipamentos ou para manter o
funcionamento contnuo dos equipamentos que suportam operaes crticas dos negcios. Convm que hajam
planos de contingncia de energia referentes s providncias a serem tomadas em caso de falha do UPS.
Convm que seja considerado um gerador de emergncia caso seja necessrio que o processamento continue
mesmo se houver uma interrupo prolongada do suprimento de energia. Convm que esteja disponvel um
suprimento adequado de combustvel para garantir a operao prolongada do gerador. Convm que os
equipamentos UPS e os geradores sejam verificados em intervalos regulares para assegurar que eles tenham
capacidade adequada, e sejam testados de acordo com as recomendaes do fabricante. Alm disto, deve ser
considerado o uso de mltiplas fontes de energia ou de uma subestao de fora separada, se o local for
grande.
Convm que as chaves de emergncia para o desligamento da energia fiquem localizadas na proximidade das
sadas de emergncia das salas de equipamentos, para facilitar o desligamento rpido da energia em caso de
uma emergncia. Convm que seja providenciada iluminao de emergncia para o caso de queda da fora.
Convm que o suprimento de gua seja estvel e adequado para abastecer os equipamentos de arcondicionado e de umidificao, bem como os sistemas de extino de incndios (quando usados). Falhas de
funcionamento do abastecimento de gua podem danificar o sistema ou impedir uma ao eficaz de extino
de incndios. Convm que seja analisada a necessidade de sistemas de alarme para detectar falhas de
funcionamento das utilidades, instalando os alarmes, se necessrio.
36
Cpia no autorizada
Convm que os equipamentos de telecomunicaes sejam conectados rede pblica de energia eltrica
atravs de pelo menos duas linhas separadas, para evitar que a falha de uma das conexes interrompa os
servios de voz. Convm que os servios de voz sejam adequados para atender s exigncias legais locais
relativas a comunicaes de emergncia.
Informaes adicionais
As opes para assegurar a continuidade do suprimento de energia incluem mltiplas linhas de entrada, para
evitar que uma falha em um nico ponto comprometa o suprimento de energia.
9.2.3
Segurana do cabeamento
Controle
Convm que o cabeamento de energia e de telecomunicaes que transporta dados ou d suporte aos
servios de informaes seja protegido contra interceptao ou danos.
Diretrizes para implementao
Convm que sejam levadas em considerao as seguintes diretrizes para a segurana do cabeamento:
a) as linhas de energia e de telecomunicaes que entram nas instalaes de processamento da
informao sejam subterrneas (ou fiquem abaixo do piso), sempre que possvel, ou recebam uma
proteo alternativa adequada;
b) cabeamento de redes seja protegido contra interceptao no autorizada ou danos, por exemplo, pelo
uso de condutes ou evitando trajetos que passem por reas pblicas;
c) os cabos de energia sejam segregados dos cabos de comunicaes, para evitar interferncias;
d) nos cabos e nos equipamentos, sejam utilizadas marcaes claramente identificveis, a fim de
minimizar erros de manuseio, como, por exemplo, fazer de forma acidental conexes erradas em
cabos da rede;
e) seja utilizada uma lista de documentao das conexes para reduzir a possibilidade de erros;
f)
para sistemas sensveis ou crticos, os seguintes controles adicionais devem ser considerados:
1)
2)
uso de rotas alternativas e/ou meios de transmisso alternativos que proporcionem segurana
adequada;
3)
4)
5)
6)
37
Cpia no autorizada
9.2.4
Controle
Convm que os equipamentos tenham uma manuteno correta para assegurar sua disponibilidade e
integridade permanentes.
Diretrizes para implementao
Convm que sejam levadas em considerao as seguintes diretrizes para a manuteno dos equipamentos:
a) a manuteno dos equipamentos seja realizada nos intervalos recomendados pelo fornecedor, e de
acordo com as suas especificaes;
b) a manuteno e os consertos dos equipamentos sejam realizados somente por pessoal de
manuteno autorizado;
c) sejam mantidos os registros de todas as falhas, suspeitas ou reais, e de todas as operaes de
manuteno preventiva e corretiva realizadas;
d) sejam implementados controles apropriados, na poca programada para a manuteno do
equipamento, dependendo de a manuteno ser realizada pelo pessoal do local ou por pessoal
externo organizao; onde necessrio, as informaes sensveis sejam eliminadas do equipamento,
ou o pessoal de manuteno seja de absoluta confiana;
e) sejam atendidas todas as exigncias estabelecidas nas aplices de seguro.
9.2.5
Controle
Convm que sejam tomadas medidas de segurana para equipamentos que operem fora do local, levando em
conta os diferentes riscos decorrentes do fato de se trabalhar fora das dependncias da organizao.
Diretrizes para implementao
Convm que, independentemente de quem seja o proprietrio, a utilizao de quaisquer equipamentos de
processamento de informaes fora das dependncias da organizao seja autorizada pela gerncia.
Convm que sejam levadas em considerao as seguintes diretrizes para a proteo de equipamentos usados
fora das dependncias da organizao:
a) os equipamentos e suportes fsicos de dados removidos das dependncias da organizao no fiquem
sem superviso em lugares pblicos; os computadores portteis sejam carregados como bagagem de
mo e disfarados, sempre que possvel, quando se viaja;
b) sejam observadas a qualquer tempo as instrues do fabricante para a proteo do equipamento, por
exemplo, proteo contra a exposio a campos eletromagnticos intensos;
c) os controles para o trabalho em casa sejam determinados por uma anlise/avaliao de riscos, sendo
aplicados controles adequados para cada caso, por exemplo, arquivos trancveis, poltica de "mesa
limpa", controles de acesso a computadores, e comunicao segura com o escritrio
(ver ISO/IEC 18028 Network security);
d) haja uma cobertura adequada de seguro para proteger os equipamentos fora das dependncias da
organizao.
Os riscos de segurana, por exemplo, de danos, furto ou espionagem, podem variar consideravelmente de um
local para outro e convm que sejam levados em conta para determinar os controles mais apropriados.
38
Cpia no autorizada
Informaes adicionais
Os equipamentos de armazenagem e processamento de informaes incluem todas as formas de
computadores pessoais, agendas eletrnicas, telefones celulares, cartes inteligentes, papis e outros tipos,
utilizados no trabalho em casa, ou que so removidos do local normal de trabalho.
Mais informaes sobre outros aspectos da proteo de equipamentos mveis podem ser encontradas
em 11.7.1.
9.2.6
Controle
Convm que todos os equipamentos que contenham mdias de armazenamento de dados sejam examinados
antes do descarte, para assegurar que todos os dados sensveis e softwares licenciados tenham sido
removidos ou sobregravados com segurana.
Diretrizes para implementao
Convm que os dispositivos que contenham informaes sensveis sejam destrudos fisicamente ou as
informaes sejam destrudas, apagadas ou sobregravadas por meio de tcnicas que tornem as informaes
originais irrecuperveis, em vez de se usarem as funes-padro de apagar ou formatar.
Informaes adicionais
No caso de dispositivos defeituosos que contenham informaes sensveis, pode ser necessria uma
anlise/avaliao de riscos para determinar se convm destruir fisicamente o dispositivo em vez de mand-lo
para o conserto ou descart-lo.
As informaes podem ser comprometidas por um descarte feito sem os devidos cuidados ou pela reutilizao
do equipamento (ver 10.7.2).
9.2.7
Remoo de propriedade
Controle
Convm que equipamentos, informaes ou software no sejam retirados do local sem autorizao prvia.
Diretrizes para implementao
Convm que sejam levadas em considerao as seguintes diretrizes:
a) os equipamentos, informaes ou software no sejam retirados do local sem autorizao prvia;
b) os funcionrios, fornecedores e terceiros que tenham autoridade para permitir a remoo de ativos
para fora do local sejam claramente identificados;
c) sejam estabelecidos limites de tempo para a retirada de equipamentos do local, e a devoluo seja
controlada;
d) sempre que necessrio ou apropriado, seja feito um registro da retirada e da devoluo de
equipamentos, quando do seu retorno.
Informaes adicionais
Podem ser feitas inspees aleatrias para detectar a retirada no autorizada de bens e a existncia de
equipamentos de gravao no autorizados, armas etc., e impedir sua entrada no local. Convm que tais
inspees aleatrias sejam feitas de acordo com a legislao e as normas aplicveis. Convm que as pessoas
sejam avisadas da realizao das inspees, e elas s podem ser feitas com a devida autorizao, levando em
conta as exigncias legais e regulamentares.
39
Cpia no autorizada
instrues para tratamento de resultados especiais e mdias, tais como o uso de formulrios especiais
ou o gerenciamento de resultados confidenciais, incluindo procedimentos para a alienao segura de
resultados provenientes de rotinas com falhas (ver 10.7.2 e 10.7.3);
40
Cpia no autorizada
Convm que sejam estabelecidos os procedimentos e responsabilidades gerenciais formais para garantir que
haja um controle satisfatrio de todas as mudanas em equipamentos, software ou procedimentos. Quando
mudanas forem realizadas, convm que seja mantido um registro de auditoria contendo todas as informaes
relevantes.
Informaes adicionais
O controle inadequado de modificaes nos sistemas e nos recursos de processamento da informao uma
causa comum de falhas de segurana ou de sistema. Mudanas a ambientes operacionais, especialmente
quando da transferncia de um sistema em desenvolvimento para o estgio operacional, podem trazer
impactos confiabilidade de aplicaes (ver 12.5.1).
Convm que mudanas em sistemas operacionais sejam apenas realizadas quando houver uma razo de
negcio vlida para tal, como um aumento no risco do sistema. A atualizao de sistemas s verses mais
atuais de sistemas operacionais ou aplicativos nem sempre do interesse do negcio, pois pode introduzir
mais vulnerabilidades e instabilidades ao ambiente do que a verso corrente. Pode haver ainda a necessidade
de treinamento adicional, custos de licenciamento, suporte, manuteno e sobrecarga de administrao, bem
como a necessidade de novos equipamentos, especialmente durante a fase de migrao.
10.1.3 Segregao de funes
Controle
Convm que funes e reas de responsabilidade sejam segregadas para reduzir as oportunidades de
modificao ou uso indevido no autorizado ou no intencional dos ativos da organizao.
Diretrizes para implementao
A segregao de funes um mtodo para reduo do risco de uso indevido acidental ou deliberado dos
sistemas. Convm que sejam tomados certos cuidados para impedir que uma nica pessoa possa acessar,
modificar ou usar ativos sem a devida autorizao ou deteco. Convm que o incio de um evento seja
separado de sua autorizao. Convm que a possibilidade de existncia de conluios seja considerada no
projeto dos controles.
As pequenas organizaes podem considerar a segregao de funes difcil de ser implantada, mas convm
que o seu princpio seja aplicado sempre que possvel e praticvel. Onde for difcil a segregao, convm que
outros controles, como a monitorao das atividades, trilhas de auditoria e o acompanhamento gerencial,
sejam considerados. importante que a auditoria da segurana permanea como uma atividade independente.
41
Cpia no autorizada
Informaes adicionais
As atividades de desenvolvimento e teste podem causar srios problemas, como, por exemplo, modificaes
inesperadas em arquivos ou sistemas ou falhas de sistemas. Nesse caso, necessria a manuteno de um
ambiente conhecido e estvel, no qual possam ser executados testes significativos e que seja capaz de
prevenir o acesso indevido do pessoal de desenvolvimento.
Quando o pessoal de desenvolvimento e teste possui acesso ao ambiente de produo e suas informaes,
eles podem introduzir cdigos no testados e no autorizados, ou mesmo alterar os dados do sistema. Em
alguns sistemas essa capacidade pode ser mal utilizada para a execuo de fraudes, ou introduo de cdigos
maliciosos ou no testados, que podem causar srios problemas operacionais.
O pessoal de desenvolvimento e testes tambm representa uma ameaa confidencialidade das informaes
de produo. As atividades de desenvolvimento e teste podem causar modificaes no intencionais no
software e informaes se eles compartilharem o mesmo ambiente computacional. A separao dos ambientes
de desenvolvimento, teste e produo so, portanto, desejvel para reduzir o risco de modificaes acidentais
ou acessos no autorizados aos sistemas operacionais e aos dados do negcio (ver 12.4.2 para a proteo de
dados de teste).
42
Cpia no autorizada
43
Cpia no autorizada
Informaes adicionais
Em caso de terceirizao, a organizao precisa estar ciente de que a responsabilidade final pela informao
processada por um parceiro de terceirizao permanece com a organizao.
10.2.3 Gerenciamento de mudanas para servios terceirizados
Controle
Convm que mudanas no provisionamento dos servios, incluindo manuteno e melhoria da poltica de
segurana da informao, procedimentos e controles existentes, sejam gerenciadas levando-se em conta a
criticidade dos sistemas e processos de negcio envolvidos e a reanlise/reavaliao de riscos.
Diretrizes para implementao
O processo de gerenciamento de mudanas para servios terceirizados precisa levar em conta:
a) mudanas feitas pela organizao para a implementao de:
1) melhorias dos servios correntemente oferecidos;
2) desenvolvimento de quaisquer novas aplicaes ou sistemas;
3) modificaes ou atualizaes das polticas e procedimentos da organizao;
4) novos controles para resolver os incidentes de segurana da informao e para melhorar a
segurana;
b) mudanas em servios de terceiros para implementao de:
1)
2)
3)
4)
5)
6)
mudanas de fornecedores.
44
Cpia no autorizada
g) evidncia de que a instalao do novo sistema no afetar de forma adversa os sistemas existentes,
particularmente nos perodos de pico de processamento, como, por exemplo, em final de ms;
h) evidncia de que tenha sido considerado o impacto do novo sistema na segurana da organizao
como um todo;
i)
j)
facilidade de uso, uma vez que afeta o desempenho do usurio e evita falhas humanas.
45
Cpia no autorizada
Para os principais novos desenvolvimentos, convm que os usurios e as funes de operao sejam
consultados em todos os estgios do processo de desenvolvimento, de forma a garantir a eficincia
operacional do projeto de sistema proposto. Convm que os devidos testes sejam executados para garantir
que todos os critrios de aceitao tenham sido plenamente satisfeitos.
Informaes adicionais
A aceitao pode incluir um processo formal de certificao e reconhecimento para garantir que os requisitos
de segurana tenham sido devidamente endereados.
46
Cpia no autorizada
e)
f)
g)
h)
Informaes adicionais
A utilizao de dois ou mais tipos de software de controle contra cdigos maliciosos de diferentes fornecedores
no ambiente de processamento da informao pode aumentar a eficcia na proteo contra cdigos maliciosos.
Softwares de proteo contra cdigo malicioso podem ser instalados para prover atualizaes automticas dos
arquivos e mecanismos de busca, para garantir que a proteo esteja atualizada. Adicionalmente, estes
softwares podem ser instalados em todas as estaes de trabalho para a realizao de verificaes
automticas.
Convm que seja tomado cuidado quanto a possvel introduo de cdigos maliciosos durante manutenes e
quando esto sendo realizados procedimentos de emergncia. Tais procedimentos podem ignorar controles
normais de proteo contra cdigos maliciosos.
10.4.2 Controles contra cdigos mveis
Controle
Onde o uso de cdigos mveis autorizado, convm que a configurao garanta que o cdigo mvel
autorizado opere de acordo com uma poltica de segurana da informao claramente definida e cdigos
mveis no autorizados tenham sua execuo impedida.
Diretrizes para implementao
Convm que as seguintes aes sejam consideradas para proteger contra aes no autorizadas realizadas
por cdigos mveis:
a) executar cdigos mveis em ambientes isolados logicamente;
b) bloquear qualquer tipo de uso de cdigo mvel;
c) bloquear o recebimento de cdigos mveis;
d) ativar medidas tcnicas disponveis nos sistemas especficos para garantir que o cdigo mvel esteja
sendo administrado;
e) controlar os recursos disponveis para acesso ao cdigo mvel;
f)
47
Cpia no autorizada
Informaes adicionais
Cdigo mvel um cdigo transferido de um computador a outro executando automaticamente e realizando
funes especficas com pequena ou nenhuma interao por parte do usurio. Cdigos mveis so associados
a uma variedade de servios middleware.
Alm de garantir que os cdigos mveis no carreguem cdigos maliciosos, manter o controle deles
essencial na preveno contra o uso no autorizado ou interrupo de sistemas, redes ou aplicativos, e na
preveno contra violaes de segurana da informao.
as mdias de cpias de segurana sejam testadas regularmente para garantir que elas so
suficientemente confiveis para uso de emergncia, quando necessrio;
48
Cpia no autorizada
Convm que as cpias de segurana de sistemas especficos sejam testadas regularmente para garantir que
elas esto aderentes aos requisitos definidos nos planos de continuidade do negcio (ver seo 14).
Para sistemas crticos, convm que os mecanismos de gerao de cpias de segurana abranjam todos os
sistemas de informao, aplicaes e dados necessrios para a completa recuperao do sistema em um
evento de desastre.
Convm que o perodo de reteno para informaes essenciais ao negcio e tambm qualquer requisito para
que cpias de arquivo sejam permanentemente retidas seja determinado (ver 15.1.3).
Informaes adicionais
Os mecanismos de cpias de segurana podem ser automatizados para facilitar os processos de gerao e
recuperao das cpias de segurana. Convm que tais solues automatizadas sejam suficientemente
testadas antes da implementao e verificadas em intervalos regulares.
49
Cpia no autorizada
50
Cpia no autorizada
c) toda mdia seja guardada de forma segura em um ambiente protegido, de acordo com as
especificaes do fabricante;
d) informaes armazenadas em mdias que precisam estar disponveis por muito tempo (em
conformidade com as especificaes dos fabricantes) sejam tambm armazenadas em outro local para
evitar perda de informaes devido deteriorao das mdias;
e) as mdias removveis sejam registradas para limitar a oportunidade de perda de dados;
f)
as unidades de mdias removveis estejam habilitadas somente se houver uma necessidade do negcio.
51
Cpia no autorizada
anlise crtica das listas de distribuio e das listas de destinatrios autorizados em intervalos regulares.
Informaes adicionais
Estes procedimentos so aplicados para informaes em documentos, sistemas de computadores, redes de
computadores, computao mvel, comunicao mvel, correio eletrnico, correio de voz, comunicao de voz
em geral, multimdia, servios postais, uso de mquinas de fax e qualquer outro item sensvel, como, por
exemplo, cheques em branco e faturas.
10.7.4 Segurana da documentao dos sistemas
Controle
Convm que a documentao dos sistemas seja protegida contra acessos no autorizados.
Diretrizes para implementao
Para proteger a documentao dos sistemas, convm que os seguintes itens sejam considerados:
a) a documentao dos sistemas seja guardada de forma segura;
b) a relao de pessoas com acesso autorizado documentao de sistemas seja a menor possvel e
autorizada pelo proprietrio do sistema;
c) a documentao de sistema mantida em uma rede pblica, ou fornecida atravs de uma rede pblica,
seja protegida de forma apropriada.
Informaes adicionais
A documentao dos sistemas pode conter uma srie de informaes sensveis, como, por exemplo,
descries de processos da aplicao, procedimentos, estruturas de dados e processos de autorizao.
52
Cpia no autorizada
j)
53
Cpia no autorizada
k) lembrar s pessoas que elas devem tomar precaues adequadas como, por exemplo, no revelar
informaes sensveis, para evitar que sejam escutadas ou interceptadas durante uma ligao
telefnica por:
1)
2)
grampo telefnico e outras formas de escuta clandestina atravs do acesso fsico ao aparelho
telefnico ou linha, ou, ainda, pelo uso de rastreadores;
3)
l) no deixar mensagens contendo informaes sensveis em secretrias eletrnicas, uma vez que as
mensagens podem ser reproduzidas por pessoas no autorizadas, gravadas em sistemas pblicos ou
gravadas indevidamente por erro de discagem;
m) lembrar as pessoas sobre os problemas do uso de aparelhos de fax, tais como:
1)
2)
3)
envio de documentos e mensagens para nmero errado, seja por falha na discagem ou uso de
nmero armazenado errado;
n) lembrar as pessoas para que evitem o armazenamento de dados pessoais, como endereos de
correios eletrnicos ou informaes adicionais particulares, em qualquer software, impedindo que
sejam capturados para uso no autorizado;
o) lembrar as pessoas sobre a existncia de aparelhos de fax e copiadoras que tm dispositivos de
armazenamento temporrio de pginas para o caso de falha no papel ou na transmisso, as quais
sero impressas aps a correo da falha.
Adicionalmente, convm que as pessoas sejam lembradas de que no devem manter conversas confidenciais
em locais pblicos, escritrios abertos ou locais de reunio que no disponham de paredes prova de som.
Convm que os recursos utilizados para a troca de informaes estejam de acordo com os requisitos legais
pertinentes (ver seo 15).
Informaes adicionais
A troca de informaes pode ocorrer atravs do uso de vrios tipos diferentes de recursos de comunicao,
incluindo correios eletrnicos, voz, fax e vdeo.
A troca de softwares pode ocorrer de diferentes formas, incluindo a baixa (download) da internet ou a aquisio
junto a fornecedores que vendem produtos em srie.
Convm que sejam consideradas as possveis implicaes nos negcios, nos aspectos legais e na segurana,
relacionadas com a troca eletrnica de dados, com o comrcio eletrnico, comunicao eletrnica e com os
requisitos para controles.
As informaes podem ser comprometidas devido falta de conscientizao, de polticas ou de procedimentos
no uso de recursos de troca de informaes, como, por exemplo, a escuta de conversas ao telefone celular em
locais pblicos, erro de endereamento de mensagens de correio eletrnico, escuta no autorizada de
mensagens gravadas em secretrias eletrnicas, acesso no autorizado a sistemas de correio de voz ou o
envio acidental de faxes para aparelhos errados.
54
Cpia no autorizada
As operaes do negcio podem ser prejudicadas e as informaes podem ser comprometidas se os recursos
de comunicao falharem, forem sobrecarregados ou interrompidos (ver 10.3 e seo 14). As informaes
podem ser comprometidas se acessadas por usurios no autorizados (ver seo 11).
10.8.2 Acordos para a troca de informaes
Controle
Convm que sejam estabelecidos acordos para a troca de informaes e softwares entre a organizao e
entidades externas.
Diretrizes para implementao
Convm que os acordos de troca de informaes considerem as seguintes condies de segurana da
informao:
a) responsabilidades do gestor pelo controle e notificao de transmisses, expedies e recepes;
b) procedimentos para notificar o emissor da transmisso, expedio e recepo;
c) procedimentos para assegurar a rastreabilidade dos eventos e o no-repdio;
d) padres tcnicos mnimos para embalagem e transmisso;
e) acordos para procedimentos de custdia;
f)
j)
k) quaisquer controles especiais que possam ser necessrios para proteo de itens sensveis, tais como
chaves criptogrficas (ver 12.3).
Convm que polticas, procedimentos e normas para proteger as informaes e as mdias em trnsito
(ver tambm 10.8.3) sejam estabelecidos e mantidos, alm de serem referenciados nos mencionados acordos
para a troca de informaes.
Convm que os aspectos de segurana contidos nos acordos reflitam a sensibilidade das informaes
envolvidas no negcio.
Informaes adicionais
Os acordos podem ser eletrnicos ou manuais, e podem estar no formato de contratos formais ou condies
de contratao. Para informaes sensveis, convm que os mecanismos especficos usados para a troca de
tais informaes sejam consistentes com todas as organizaes e tipos de acordos.
55
Cpia no autorizada
56
Cpia no autorizada
f)
nveis mais altos de autenticao para controlar o acesso a partir de redes pblicas.
Informaes adicionais
Mensagens eletrnicas como correio eletrnico, Eletronic Data Interchange (EDI) e sistemas de mensagens
instantneas cumprem um papel cada vez mais importante nas comunicaes do negcio. A mensagem
eletrnica tem riscos diferentes, se comparada com a comunicao em documentos impressos.
10.8.5 Sistemas de informaes do negcio
Controle
Convm que polticas e procedimentos sejam desenvolvidos e implementados para proteger as informaes
associadas com a interconexo de sistemas de informaes do negcio.
Diretrizes para implementao
Convm que as consideraes sobre segurana da informao e implicaes no negcio das interconexes de
sistemas incluam o seguinte:
a) vulnerabilidades conhecidas nos sistemas administrativos e contbeis onde as informaes so
compartilhadas com diferentes reas da organizao;
b) vulnerabilidades da informao nos sistemas de comunicao do negcio, como, por exemplo,
gravao de chamadas telefnicas ou teleconferncias, confidencialidade das chamadas,
armazenamento de faxes, abertura de correio e distribuio de correspondncia;
c) poltica e controles apropriados para gerenciar o compartilhamento de informaes;
d) excluso de categorias de informaes sensveis e documentos confidenciais, caso o sistema no
fornea o nvel de proteo apropriado (ver 7.2);
e) restrio do acesso a informaes de trabalho relacionado com indivduos especficos, como, por
exemplo, um grupo que trabalha com projetos sensveis;
f)
j)
Informaes adicionais
Os sistemas de informao de escritrio representam uma oportunidade de rpida disseminao e
compartilhamento de informaes do negcio atravs do uso de uma combinao de: documentos,
computadores, dispositivos mveis, comunicao sem fio, correio, correio de voz, comunicao de voz em
geral, multimdia, servios postais e aparelhos de fax.
57
Cpia no autorizada
seleo das formas mais apropriadas de pagamento para proteo contra fraudes;
j)
nvel de proteo requerida para manter a confidencialidade e integridade das informaes de pedidos;
m) requisitos de seguro.
Muitas das consideraes acima podem ser endereadas pela aplicao de controles criptogrficos (ver 12.3),
levando-se em conta a conformidade com os requisitos legais (ver 15.1, especialmente 15.1.6 para legislao
sobre criptografia).
58
Cpia no autorizada
Convm que os procedimentos para comrcio eletrnico entre parceiros comerciais sejam apoiados por um
acordo formal que comprometa ambas as partes aos termos da transao, incluindo detalhes de autorizao
(ver b) acima). Outros acordos com fornecedores de servios de informao e redes de valor agregado podem
ser necessrios.
Convm que sistemas comerciais pblicos divulguem seus termos comerciais a seus clientes.
Convm que sejam consideradas a capacidade de resilincia dos servidores utilizados para comrcio
eletrnico contra ataques e as implicaes de segurana de qualquer interconexo que seja necessria na
rede de telecomunicaes para a sua implementao (ver 11.4.6).
Informaes adicionais
Comrcio eletrnico vulnervel a inmeras ameaas de rede que podem resultar em atividades fraudulentas,
disputas contratuais, e divulgao ou modificao de informao.
Comrcio eletrnico pode utilizar mtodos seguros de autenticao, como, por exemplo, criptografia de chave
pblica e assinaturas digitais (ver 12.3) para reduzir os riscos. Ainda, terceiros confiveis podem ser utilizados
onde tais servios forem necessrios.
10.9.2 Transaes on-line
Controle
Convm que informaes envolvidas em transaes on-line sejam protegidas para prevenir transmisses
incompletas, erros de roteamento, alteraes no autorizadas de mensagens, divulgao no autorizada,
duplicao ou reapresentao de mensagem no autorizada.
Diretrizes para implementao
Convm que as consideraes de segurana para transaes on-line incluam os seguintes itens:
a) uso de assinaturas eletrnicas para cada uma das partes envolvidas na transao;
b) todos os aspectos da transao, ou seja, garantindo que:
1) credenciais de usurio para todas as partes so vlidas e verificadas;
2) a transao permanea confidencial; e
3) a privacidade de todas as partes envolvidas seja mantida;
c) caminho de comunicao entre todas as partes envolvidas criptografado;
d) protocolos usados para comunicaes entre todas as partes envolvidas seguro;
e) garantir que o armazenamento dos detalhes da transao est localizado fora de qualquer ambiente
publicamente acessvel, como por exemplo, numa plataforma de armazenamento na intranet da
organizao, e no retida e exposta em um dispositivo de armazenamento diretamente acessvel pela
internet;
f) onde uma autoridade confivel utilizada (como, por exemplo, para propsitos de emisso e
manuteno de assinaturas e/ou certificados digitais), segurana integrada a todo o processo de
gerenciamento de certificados/assinaturas.
Informaes adicionais
A extenso dos controles adotados precisar ser proporcional ao nvel de risco associado a cada forma de
transao on-line.
59
Cpia no autorizada
Transaes podem precisar estar de acordo com leis, regras e regulamentaes na jurisdio em que a
transao gerada, processada, completa ou armazenada.
Existem muitas formas de transaes que podem ser executadas de forma on-line, como, por exemplo,
contratuais, financeiras etc.
10.9.3 Informaes publicamente disponveis
Controle
Convm que a integridade das informaes disponibilizadas em sistemas publicamente acessveis seja
protegida para prevenir modificaes no autorizadas.
Diretrizes para implementao
Convm que aplicaes, dados e informaes adicionais que requeiram um alto nvel de integridade e que
sejam disponibilizados em sistemas publicamente acessveis sejam protegidos por mecanismos apropriados,
como, por exemplo, assinaturas digitais (ver 12.3). Convm que os sistemas acessveis publicamente sejam
testados contra fragilidades e falhas antes da informao estar disponvel.
Convm que haja um processo formal de aprovao antes que uma informao seja publicada. Adicionalmente,
convm que todo dado de entrada fornecido por fontes externas ao sistema seja verificado e aprovado.
Convm que sistemas de publicao eletrnica, especialmente os que permitem realimentao e entrada
direta de informao, sejam cuidadosamente controlados, de forma que:
a) informaes sejam obtidas em conformidade com qualquer legislao de proteo de dados (ver
15.1.4);
b) informaes que sejam entradas e processadas por um sistema de publicao sejam processadas
completa e corretamente em um tempo adequado;
c) informaes sensveis sejam protegidas durante a coleta, processamento e armazenamento;
d) acesso a sistemas de publicao no permita acesso no intencional a redes s quais tal sistema est
conectado.
Informaes adicionais
Informaes em sistemas publicamente disponveis, como, por exemplo, informaes em servidores web
acessveis por meio da internet, podem necessitar estar de acordo com leis, regras e regulamentaes na
jurisdio em que o sistema est localizado, onde a transao est ocorrendo ou onde o proprietrio reside.
Modificaes no autorizadas de informaes publicadas podem trazer prejuzos reputao da organizao
que a publica.
10.10 Monitoramento
Objetivo: Detectar atividades no autorizadas de processamento da informao.
Convm que os sistemas sejam monitorados e eventos de segurana da informao sejam registrados.
Convm que registros (log) de operador e registros (log) de falhas sejam utilizados para assegurar que os
problemas de sistemas de informao so identificados.
Convm que as organizaes estejam de acordo com todos os requisitos legais relevantes aplicveis para
suas atividades de registro e monitoramento.
Convm que o monitoramento do sistema seja utilizado para checar a eficcia dos controles adotados e para
verificar a conformidade com o modelo de poltica de acesso.
60
Cpia no autorizada
10.10.1
Registros de auditoria
Controle
Convm que registros (log) de auditoria contendo atividades dos usurios, excees e outros eventos de
segurana da informao sejam produzidos e mantidos por um perodo de tempo acordado para auxiliar em
futuras investigaes e monitoramento de controle de acesso.
Diretrizes para implementao
Convm que os registros (log) de auditoria incluam, quando relevante:
a) identificao dos usurios;
b) datas, horrios e detalhes de eventos-chave, como, por exemplo, horrio de entrada (log-on) e sada
(log-off) no sistema;
c) identidade do terminal ou, quando possvel, a sua localizao;
d) registros das tentativas de acesso ao sistema aceitas e rejeitadas;
e) registros das tentativas de acesso a outros recursos e dados aceitos e rejeitados;
f)
g) uso de privilgios;
h) uso de aplicaes e utilitrios do sistema;
i)
j)
ativao e desativao dos sistemas de proteo, tais como sistemas de antivrus e sistemas de
deteco de intrusos.
Informaes adicionais
Os registros (log) de auditoria podem conter dados pessoais confidenciais e de intrusos. Convm que medidas
apropriadas de proteo de privacidade sejam tomadas (ver 15.1.4). Quando possvel, convm que
administradores de sistemas no tenham permisso de excluso ou desativao dos registros (log) de suas
prprias atividades (ver 10.1.3).
10.10.2
Controle
Convm que sejam estabelecidos procedimentos para o monitoramento do uso dos recursos de
processamento da informao e os resultados das atividades de monitoramento sejam analisados criticamente,
de forma regular.
61
Cpia no autorizada
b)
c)
d)
e)
1)
2)
3)
tipo do evento;
4)
os arquivos acessados;
5)
2)
3)
2)
3)
4)
2)
3)
4)
Convm que a freqncia da anlise crtica dos resultados das atividades de monitaramento dependa dos
riscos envolvidos. Convm que os seguintes fatores de risco sejam considerados:
a) criticidade dos processos de aplicao;
b) valor, sensibilidade e criticidade da informao envolvida;
c) experincia anterior com infiltraes e uso imprprio do sistema e da freqncia das vulnerabilidades
sendo exploradas;
62
Cpia no autorizada
Controle
Convm que os recursos e informaes de registros (log) sejam protegidos contra falsificao e acesso no
autorizado.
Diretrizes para implementao
Convm que os controles implementados objetivem a proteo contra modificaes no autorizadas e
problemas operacionais com os recursos dos registros (log), tais como:
a) alteraes dos tipos de mensagens que so gravadas;
b) arquivos de registros (log) sendo editados ou excludos;
c) capacidade de armazenamento da mdia magntica do arquivo de registros (log) excedida, resultando
em falhas no registro de eventos ou sobreposio do registro de evento anterior.
Alguns registros (log) de auditoria podem ser guardados como parte da poltica de reteno de registros ou
devido aos requisitos para a coleta e reteno de evidncia (ver 13.2.3).
Informaes adicionais
Registros (log) de sistema normalmente contm um grande volume de informaes e muitos dos quais no
dizem respeito ao monitoramento da segurana. Para ajudar a identificar eventos significativos para propsito
de monitoramento de segurana, convm que a cpia automtica dos tipos de mensagens para a execuo de
consulta seja considerada e/ou o uso de sistemas utilitrios adequados ou ferramentas de auditoria para
realizar a racionalizao e investigao do arquivo seja considerado.
Registros (log) de sistema precisam ser protegidos, pois os dados podem ser modificados e excludos e suas
ocorrncias podem causar falsa impresso de segurana.
10.10.4
Controle
Convm que as atividades dos administradores e operadores do sistema sejam registradas.
Diretrizes para implementao
Convm que esses registros (log) incluam:
a) a hora em que o evento ocorreu (sucesso ou falha);
b) informaes sobre o evento (exemplo: arquivos manuseados) ou falha (exemplo: erros ocorridos e
aes corretivas adotadas);
c) que conta e que administrador ou operador estava envolvido;
63
Cpia no autorizada
Controle
Convm que as falhas ocorridas sejam registradas e analisadas, e que sejam adotadas aes apropriadas.
Diretrizes para implementao
Convm que falhas informadas pelos usurios ou pelos programas de sistema relacionado a problemas com
processamento da informao ou sistemas de comunicao sejam registradas. Convm que existam regras
claras para o tratamento das falhas informadas, incluindo:
a) anlise crtica dos registros (log) de falha para assegurar que as falhas foram satisfatoriamente
resolvidas;
b) anlise crtica das medidas corretivas para assegurar que os controles no foram comprometidos e
que a ao tomada completamente autorizada.
Convm que seja assegurada que a coleta dos registros de erros permitida, caso essa funo do sistema
esteja disponvel.
Informaes adicionais
Registros de falhas e erros podem impactar o desempenho do sistema. Convm que cada tipo de registro a
ser coletado seja permitido por pessoas competentes e que o nvel de registro requerido para cada sistema
individual seja determinado por uma anlise/avaliao de riscos, levando em considerao a degradao do
desempenho do sistema.
10.10.6
Controle
Convm que os relgios de todos os sistemas de processamento da informao relevantes, dentro da
organizao ou do domnio de segurana, sejam sincronizados de acordo com uma hora oficial.
Diretrizes para implementao
Onde um computador ou dispositivo de comunicao tiver a capacidade para operar um relgio (clock) de
tempo real, convm que o relgio seja ajustado conforme o padro acordado, por exemplo o tempo
coordenado universal (Coordinated Universal Time - UTC) ou um padro de tempo local. Como alguns relgios
so conhecidos pela sua variao durante o tempo, convm que exista um procedimento que verifique esses
tipos de inconsistncias e corrija qualquer variao significativa.
A interpretao correta do formato data/hora importante para assegurar que o timestamp reflete a data/hora
real. Convm que se levem em conta especificaes locais (por exemplo, horrio de vero).
Informaes adicionais
O estabelecimento correto dos relgios dos computadores importante para assegurar a exatido dos
registros (log) de auditoria, que podem ser requeridos por investigaes ou como evidncias em casos legais
ou disciplinares. Registros (log) de auditoria incorretos podem impedir tais investigaes e causar danos
credibilidade das evidncias. Um relgio interno ligado ao relgio atmico nacional via transmisso de rdio
pode ser utilizado como relgio principal para os sistemas de registros (logging). O protocolo de hora da rede
pode ser utilizado para sincronizar todos os relgios dos servidores com o relgio principal.
64
Cpia no autorizada
11 Controle de acessos
11.1 Requisitos de negcio para controle de acesso
Objetivo: Controlar acesso informao.
Convm que o acesso informao, recursos de processamento das informaes e processos de negcios
sejam controlados com base nos requisitos de negcio e segurana da informao.
Convm que as regras de controle de acesso levem em considerao as polticas para autorizao e
disseminao da informao.
11.1.1 Poltica de controle de acesso
Controle
Convm que a poltica de controle de acesso seja estabelecida documentada e analisada criticamente,
tomando-se como base os requisitos de acesso dos negcios e segurana da informao.
Diretrizes para implementao
Convm que as regras de controle de acesso e direitos para cada usurio ou grupos de usurios sejam
expressas claramente na poltica de controle de acesso. Convm considerar os controles de acesso lgico e
fsico (ver seo 9) de forma conjunta. Convm fornecer aos usurios e provedores de servios uma
declarao ntida dos requisitos do negcio a serem atendidos pelos controles de acessos.
Convm que a poltica leve em considerao os seguintes itens:
a) requisitos de segurana de aplicaes de negcios individuais;
b) identificao de todas as informaes relacionadas s aplicaes de negcios e os riscos a que as
informaes esto expostas;
c) poltica para disseminao e autorizao da informao, por exemplo, a necessidade de conhecer
princpios e nveis de segurana e a classificao das informaes (ver 7.2);
d) consistncia entre controle de acesso e polticas de classificao da informao em diferentes
sistemas e redes;
e) legislao pertinente e qualquer obrigao contratual relativa proteo de acesso para dados ou
servios (ver 15.1);
f)
j)
65
Cpia no autorizada
Informaes adicionais
Convm que sejam tomados cuidados na especificao de regras de controle de acesso quando se considerar
o seguinte:
a) diferenciar entre regras que devem ser obrigatrias e foradas, e diretrizes que so opcionais ou
condicionais;
b) estabelecer regra baseada na premissa Tudo proibido, a menos que expressamente permitido" em
lugar da regra mais fraca "Tudo permitido, a menos que expressamente proibido";
c) mudanas em rtulos de informao (ver 7.2) que so iniciadas automaticamente atravs de recursos
de processamento da informao e os que iniciaram pela ponderao de um usurio;
d) mudanas em permisses de usurio que so iniciadas automaticamente pelo sistema de informao e
aqueles iniciados por um administrador;
e) regras que requerem aprovao especfica antes de um decreto ou lei e as que no necessitam.
Convm que as regras para controle de acesso sejam apoiadas por procedimentos formais e
responsabilidades claramente definidas (ver 6.1.3, 11.3, 10.4.1 e 11.6).
66
Cpia no autorizada
e) requerer aos usurios a assinatura de uma declarao indicando que eles entendem as condies de
acesso;
f)
assegurar aos provedores de servios que no sero dados acessos at que os procedimentos de
autorizao tenham sido concludos;
j)
assegurar que identificadores de usurio (ID de usurio) redundantes no sejam atribudos para outros
usurios.
Informaes adicionais
Convm que seja considerado estabelecer perfis de acesso do usurio baseados nos requisitos dos negcios
que resumam um nmero de direitos de acessos dentro de um perfil de acesso tpico de usurio. Solicitaes
de acessos e anlises crticas (ver 11.2.4) so mais fceis de gerenciar ao nvel de tais perfis do que ao nvel
de direitos particulares.
Convm que seja considerada a incluso de clusulas nos contratos de usurios e de servios que
especifiquem as sanes em caso de tentativa de acesso no autorizado pelos usurios ou por terceiros
(ver 6.1.5, 8.1.3 e 8.2.3).
11.2.2 Gerenciamento de privilgios
Controle
Convm que a concesso e o uso de privilgios sejam restritos e controlados.
Diretrizes para implementao
Convm que os sistemas de multiusurios que necessitam de proteo contra acesso no autorizado tenham
a concesso de privilgios controlada por um processo de autorizao formal. Convm que os seguintes
passos sejam considerados:
a) privilgio de acesso de cada produto de sistema, por exemplo, sistema operacional, sistemas de
gerenciamento de banco de dados e cada aplicao, e de categorias de usurios para os quais estes
necessitam ser concedido, seja identificado;
b) os privilgios sejam concedidos a usurios conforme a necessidade de uso e com base em eventos
alinhados com a poltica de controle de acesso (ver 11.1.1), por exemplo, requisitos mnimos para sua
funo somente quando necessrio;
c) um processo de autorizao e um registro de todos os privilgios concedidos sejam mantidos. Convm
que os privilgios no sejam fornecidos at que todo o processo de autorizao esteja finalizado;
d) desenvolvimento e uso de rotinas de sistemas sejam incentivados de forma a evitar a necessidade de
fornecer privilgios aos usurios;
e) desenvolvimento e uso de programas que no necessitam funcionar com privilgios sejam
estimulados;
f)
os privilgios sejam atribudos para um identificador de usurio (ID de usurio) diferente daqueles
usados normalmente para os negcios.
67
Cpia no autorizada
Informaes adicionais
O uso inapropriado de privilgios de administrador de sistemas (qualquer caracterstica ou recursos de
sistemas de informao que habilitam usurios a exceder o controle de sistemas ou aplicaes) pode ser um
grande fator de contribuio para falhas ou violaes de sistemas.
11.2.3 Gerenciamento de senha do usurio
Controle
Convm que a concesso de senhas seja controlada atravs de um processo de gerenciamento formal.
Diretrizes para implementao
Convm que o processo considere os seguintes requisitos:
a) solicitar aos usurios a assinatura de uma declarao, para manter a confidencialidade de sua senha
pessoal e das senhas de grupos de trabalho, exclusivamente com os membros do grupo; esta
declarao assinada pode ser includa nos termos e condies da contratao (ver 8.1.3);
b) garantir, onde os usurios necessitam manter suas prprias senhas, que sejam fornecidas inicialmente
senhas seguras e temporrias (ver 11.3.1), o que obriga o usurio a alter-la imediatamente;
c) estabelecer procedimentos para verificar a identidade de um usurio antes de fornecer uma senha
temporria, de substituio ou nova;
d) fornecer senhas temporrias aos usurios de maneira segura; convm que o uso de mensagens de
correio eletrnico de terceiros ou desprotegido (texto claro) seja evitado;
e) senhas temporrias sejam nicas para uma pessoa e no sejam de fcil memorizao;
f)
68
Cpia no autorizada
c) autorizaes para direitos de acesso privilegiado especial (ver 11.2.2) sejam analisadas criticamente
em intervalos mais freqentes, por exemplo, em um perodo de trs meses;
d) as alocaes de privilgios sejam verificadas em intervalo de tempo regular para garantir que
privilgios no autorizados no foram obtidos;
e) as modificaes para contas de privilgios sejam registradas para anlise crtica peridica.
Informaes adicionais
necessrio analisar criticamente, a intervalos regulares, os direitos de acesso de usurios para manter o
controle efetivo sobre os acessos de dados e servios de informao.
modificar senhas regularmente ou com base no nmero de acessos (convm que senhas de acesso a
contas privilegiadas sejam modificadas mais freqentemente que senhas normais) e evitar a
reutilizao ou reutilizao do ciclo de senhas antigas;
69
Cpia no autorizada
f)
g)
no incluir senhas em nenhum processo automtico de acesso ao sistema, por exemplo, armazenadas
em um macro ou funes-chave;
h)
i)
Se os usurios necessitam acessar mltiplos servios, sistemas ou plataformas, e forem requeridos para
manter separadamente mltiplas senhas, convm que eles sejam alertados para usar uma nica senha de
qualidade (ver d) acima) para todos os servios, j que o usurio estar assegurado de que um razovel nvel
de proteo foi estabelecido para o armazenamento da senha em cada servio, sistema ou plataforma.
Informaes adicionais
A gesto do sistema de help desk que trata de senhas perdidas ou esquecidas necessita de cuidado especial,
pois este caminho pode ser tambm um dos meios de ataque ao sistema de senha.
11.3.2 Equipamento de usurio sem monitorao
Controle
Convm que os usurios assegurem que os equipamentos no monitorados tenham proteo adequada.
Diretrizes para implementao
Convm que todos os usurios estejam cientes dos requisitos de segurana da informao e procedimentos
para proteger equipamentos desacompanhados, assim como suas responsabilidades por implementar estas
protees. Convm que os usurios sejam informados para:
a) encerrar as sesses ativas,a menos que elas possam ser protegidas por meio de um mecanismo de
bloqueio, por exemplo tela de proteo com senha;
b) efetuar a desconexo com o computador de grande porte, servidores e computadores pessoais do
escritrio, quando a sesso for finalizada (por exemplo: no apenas desligar a tela do computador ou o
terminal);
c) proteger os microcomputadores ou terminais contra uso no autorizado atravs de tecla de bloqueio
ou outro controle equivalente, por exemplo, senha de acesso, quando no estiver em uso (ver 11.3.3).
Informaes adicionais
Equipamentos instalados em reas de usurios, por exemplo, estaes de trabalho ou servidores de arquivos,
podem requerer proteo especial contra acesso no autorizado, quando deixados sem monitorao por um
perodo extenso.
11.3.3 Poltica de mesa limpa e tela limpa
Controle
Convm que seja adotada uma poltica de mesa limpa de papis e mdias de armazenamento removvel e
poltica de tela limpa para os recursos de processamento da informao.
Diretrizes para implementao
Convm que uma poltica de mesa limpa e tela limpa leve em considerao a classificao da informao
(ver 7.2), requisitos contratuais e legais (ver 15.1), e o risco correspondente e aspectos culturais da
organizao. Convm que as seguintes diretrizes sejam consideradas:
a) informaes do negcio sensveis ou crticas, por exemplo, em papel ou em mdia de armazenamento
eletrnicas, sejam guardadas em lugar seguro (idealmente em um cofre, armrio ou outras formas de
moblia de segurana) quando no em uso, especialmente quando o escritrio est desocupado;
70
Cpia no autorizada
71
Cpia no autorizada
d) os meios usados para acessar redes e servios de rede (por exemplo, as condies por permitir
acesso discado para acessar o provedor de servio internet ou sistema remoto).
Convm que a poltica no uso de servios de rede seja consistente com a poltica de controle de acesso do
negcio (ver 11.1).
Informaes adicionais
Conexes sem autorizao e inseguras nos servios de rede podem afetar toda organizao. Este controle
particularmente importante para conexes de redes sensveis ou aplicaes de negcios crticos ou para
usurios em locais de alto risco, por exemplo, reas pblicas ou externas que esto fora da administrao e
controle da segurana da organizao.
11.4.2 Autenticao para conexo externa do usurio
Controle
Convm que mtodos apropriados de autenticaes sejam usados para controlar acesso de usurios remotos.
Diretrizes para implementao
A autenticao de usurios remotos pode ser alcanada usando, por exemplo, tcnica baseada em criptografia,
hardware tokens ou um protocolo de desafio/resposta. Podem ser achadas possveis implementaes de tais
tcnicas em vrias solues de redes privadas virtuais (VPN). Tambm podem ser usadas linhas privadas
dedicadas para prover garantia da origem de conexes.
Os procedimentos e controles de discagem reversa (dial-back), por exemplo, usando modens com discagem
reversa, podem prover proteo contra conexes no autorizadas e no desejadas nos recursos de
processamento da informao de uma organizao. Este tipo de controle autentica usurios que tentam
estabelecer conexes com a rede de uma organizaes de localidades remotas. Ao usar este controle,
convm que uma organizao no use servios de rede que incluem transferncia de chamadas (forward) ou,
se eles fizerem, convm que seja desabilitado o uso de tais facilidades para evitar exposio a fragilidades
associadas ao call forward. Convm que o processo de discagem reversa assegure que uma desconexo atual
no lado da organizao acontea. Caso contrrio, o usurio remoto poderia reter aberta a linha simulando que
a verificao do retorno da chamada (call back) ocorreu. Convm que os procedimentos e controles da
discagem reversa sejam testados completamente para esta possibilidade.
Autenticao de um n pode servir como meio alternativo de autenticar grupos de usurios remotos onde eles
so conectados a recursos de computador seguros e compartilhados. Tcnicas criptogrficas, por exemplo,
com base em certificados de mquina, podem ser usadas para autenticao de n. Isto parte de vrias
solues baseado em VPN.
Convm que seja implementado controle de autenticao adicional para controlar acesso a redes sem fios.
Em particular, cuidado especial necessrio na seleo de controles para redes sem fios devido s
numerosas oportunidades de no deteco de interceptao e insero de trfico de rede.
Informaes adicionais
As conexes externas proporcionam um potencial de acessos no autorizados para as informaes de negcio,
por exemplo, acesso por mtodos discados (dial-up). Existem diferentes tipos de mtodos de autenticao,
alguns deles proporcionam um maior nvel de proteo que outros, por exemplo, mtodos baseados em
tcnicas de criptografia que podem proporcionar autenticao forte. importante determinar o nvel de
proteo requerido a partir de uma anlise/avaliao de riscos. Isto necessrio para selecionar
apropriadamente um mtodo de autenticao.
Os recursos de conexo automtica para computadores remotos podem prover um caminho para ganhar
acesso no autorizado nas aplicaes de negcio. Isto particularmente importante se a conexo usar uma
rede que est fora do controle do gerenciamento de segurana da informao da organizao.
72
Cpia no autorizada
73
Cpia no autorizada
Tal permetro de rede pode ser implementado instalando um gateway seguro entre as duas redes a serem
interconectadas para controlar o acesso e o fluxo de informao entre os dois domnios. Convm que este
gateway seja configurado para filtrar trfico entre estes domnios (ver 11.4.6 e 11.4.7) e bloquear acesso no
autorizado conforme a poltica de controle de acesso da organizao (ver 11.1). Um exemplo deste tipo de
gateway o que geralmente chamado de firewall. Outro mtodo de segregar domnios lgicos restringir
acesso de rede usando redes privadas virtuais para grupos de usurio dentro da organizao.
Podem tambm ser segregadas redes usando a funcionalidade de dispositivo de rede, por exemplo,
IP switching. Os domnios separados podem ser implementados controlando os fluxos de dados de rede,
usando as capacidades de routing/switching, do mesmo modo que listas de controle de acesso.
Convm que critrios para segregao de redes em domnios estejam baseados na poltica de controle de
acesso e requisitos de acesso (ver 10.1), e tambm levem em conta os custos relativos e impactos de
desempenho em incorporar roteamento adequado rede ou tecnologia de gateway (ver 11.4.6 e 11.4.7).
Alm disso, convm que segregao de redes esteja baseada no valor e classificao de informaes
armazenadas ou processadas na rede, nveis de confiana ou linhas de negcio para reduzir o impacto total de
uma interrupo de servio.
Convm considerar segregao de redes sem fios de redes internas e privadas. Como os permetros de
redes sem fios no so bem definidos, convm que uma anlise/avaliao de riscos seja realizada em tais
casos para identificar os controles (por exemplo, autenticao forte, mtodos criptogrficos e seleo de
freqncia) para manter segregao de rede.
Informaes adicionais
As redes esto sendo progressivamente estendidas alm dos limites organizacionais tradicionais, tendo em
vista as parcerias de negcio que so formadas e que podem requerer a interconexo ou compartilhamento de
processamento de informao e recursos de rede. Tais extenses podem aumentar o risco de acesso no
autorizado a sistemas de informao existentes que usam a rede e alguns dos quais podem requerer proteo
de outros usurios de rede devido a sensibilidade ou criticidade.
11.4.6 Controle de conexo de rede
Controle
Para redes compartilhadas, especialmente essas que se estendem pelos limites da organizao, convm que
a capacidade dos usurios para conectar-se rede seja restrita, alinhada com a poltica de controle de acesso
e os requisitos das aplicaes do negcio (ver 11.1).
Diretrizes para implementao
Convm que os direitos de acesso dos usurios a rede sejam mantidos e atualizados conforme requerido pela
poltica de controle de acesso (ver 11.1.1).
A capacidade de conexo de usurios pode ser restrita atravs dos gateways que filtram trfico por meio de
tabelas ou regras predefinidas. Convm que sejam aplicadas restries nos seguintes exemplos de aplicaes:
a) mensagens, por exemplo, correio eletrnico;
b) transferncia de arquivo;
c) acesso interativo;
d) acesso aplicao.
Convm que sejam considerados direitos de acesso entre redes para certo perodo do dia ou datas.
74
Cpia no autorizada
Informaes adicionais
A incorporao de controles para restringir a capacidade de conexo dos usurios pode ser requerida pela
poltica de controle de acesso para redes compartilhadas, especialmente aquelas que estendam os limites
organizacionais.
11.4.7 Controle de roteamento de redes
Controle
Convm que seja implementado controle de roteamento na rede, para assegurar que as conexes de
computador e fluxos de informao no violem a poltica de controle de acesso das aplicaes do negcio.
Diretrizes para implementao
Convm que os controles de roteamento sejam baseados no mecanismo de verificao positiva do endereo
de origem e destinos.
Os gateways de segurana podem ser usados para validar endereos de origem e destino nos pontos de
controle de rede interna ou externa se o proxy e/ou a tecnologia de traduo de endereo forem empregados.
Convm que os implementadores estejam conscientes da fora e deficincias de qualquer mecanismo
implementado. Convm que os requisitos de controles de roteamento das redes sejam baseados na poltica de
controle de acesso (ver 11.1).
Informaes adicionais
As redes compartilhadas, especialmente as que estendem os limites organizacionais, podem requerer
controles adicionais de roteamento. Isto se aplica particularmente onde so compartilhadas redes com
terceiros (usurios que no pertencem a organizao).
75
Cpia no autorizada
2)
imposio do tempo de espera antes de permitir novas tentativas de entrada no sistema (log-on)
ou rejeio de qualquer tentativa posterior de acesso sem autorizao especfica;
3)
4)
envio de uma mensagem de alerta para o console do sistema, se o nmero mximo de tentativas
de entrada no sistema (log-on) for alcanado;
5)
f) limite o tempo mximo e mnimo permitido para o procedimento de entrada no sistema (log-on).
Se excedido, convm que o sistema encerre o procedimento;
g) mostre as seguintes informaes, quando o procedimento de entrada no sistema (log-on) finalizar com
sucesso:
1)
2)
detalhes de qualquer tentativa sem sucesso de entrada no sistema (log-on) desde o ltimo
acesso com sucesso;
h) no mostre a senha que est sendo informada ou considere ocultar os caracteres da senha por
smbolos;
i) no transmita senhas em texto claro pela rede.
Informaes adicionais
Se as senhas forem transmitidas em texto claro durante o procedimento de entrada no sistema (log-on) pela
rede, elas podem ser capturadas por um programa de sniffer de rede, instalado nela.
76
Cpia no autorizada
77
Cpia no autorizada
Informaes adicionais
A senha um dos principais meios de validar a autoridade de um usurio para acessar um servio de
computador.
Algumas aplicaes requerem que senhas de usurio sejam atribudas por uma autoridade independente.
Em alguns casos, as alneas b), d) e e) das diretrizes acima no se aplicam. Na maioria dos casos, as senhas
so selecionadas e mantidas pelos usurios. Ver 11.3.1 para diretrizes do uso de senhas.
11.5.4 Uso de utilitrios de sistema
Controle
Convm que o uso de programas utilitrios que podem ser capazes de sobrepor os controles dos sistemas e
aplicaes seja restrito e estritamente controlado.
Diretrizes para implementao
Convm que as seguintes diretrizes para o uso de utilitrios de sistema sejam consideradas:
a) uso de procedimentos de identificao, autenticao e autorizao para utilitrios de sistema;
b) segregao dos utilitrios de sistema dos softwares de aplicao;
c) limitao do uso dos utilitrios de sistema a um nmero mnimo de usurios confiveis e autorizados
(ver 11.2.2);
d) autorizao para uso de utilitrios de sistema no previstos;
e) limitao da disponibilidade dos utilitrios de sistema, por exemplo para a durao de uma modificao
autorizada;
f)
no deixar utilitrios de sistema disponveis para usurios que tm acesso s aplicaes nos sistemas
onde segregao de funes requerida.
Informaes adicionais
A maioria das instalaes de computadores tem um ou mais programas utilitrios de sistema que podem ser
capazes de sobrepor os controles dos sistemas e aplicaes.
78
Cpia no autorizada
79
Cpia no autorizada
Controle
Convm que sistemas sensveis tenham um ambiente computacional dedicado (isolado).
Diretrizes para implementao
Convm que os seguintes pontos sejam considerados para o isolamento de um sistema sensvel:
a) a sensibilidade de um sistema de aplicao seja explicitamente identificada e documentada pelo
proprietrio da aplicao (ver 7.1.2);
80
Cpia no autorizada
81
Cpia no autorizada
Convm que proteo adequada seja dada para o uso dos recursos de computao mvel conectados em
rede. Convm que o acesso remoto s informaes do negcio atravs de redes pblicas, usando os recursos
de computao mvel, ocorra apenas aps o sucesso da identificao e da autenticao, e com os
apropriados mecanismos de controle de acesso implantados (ver 11.4).
Convm que os recursos de computao mvel tambm estejam protegidos fisicamente contra roubo,
especialmente quando deixados, por exemplo, em carros ou em outros meios de transporte, quartos de hotis,
centros de conferncia e locais de reunio. Convm que esteja estabelecido um procedimento especfico que
leve em considerao requisitos legais, securitrios e outros requisitos de segurana da organizao para
casos de roubo ou perda de recursos de computao mvel. Convm que os equipamentos que contm
informaes importantes, sensveis e/ou crticas para o negcio no sejam deixados sem observao e,
quando possvel, estejam fisicamente trancados, ou convm que travas especiais sejam utilizadas para
proteger o equipamento. (ver 9.2.5).
Convm que seja providenciado treinamento para os usurios de computao mvel, para aumentar o nvel de
conscientizao a respeito dos riscos adicionais resultantes desta forma de trabalho e dos controles que
devem ser implementados.
Informaes adicionais
As redes de conexo sem fio so similares a outros tipos de redes, mas possuem diferenas importantes que
convm que sejam consideradas quando da identificao de contoles. As diferenas tpicas so:
a) alguns protocolos de segurana de redes sem fio so imaturos e possuem fragilidades conhecidas;
b) pode no ser possvel efetuar cpias de segurana das informaes armazenadas em computadores
mveis devido largura de banda limitada e/ou devido ao equipamento mvel no estar conectado no
momento em que as cpias de segurana esto programadas.
11.7.2 Trabalho remoto
Controle
Convm que uma poltica, planos operacionais e procedimentos sejam desenvolvidos e implementados para
atividades de trabalho remoto.
Diretrizes para implementao
Convm que as organizaes somente autorizem atividades de trabalho remotas apenas se elas estiverem
certas de que as providncias apropriadas e controles de segurana esto implementados e que estes esto
de acordo com a poltica de segurana da organizao.
Convm que a proteo apropriada ao local do trabalho remoto seja implantada para evitar, por exemplo, o
roubo do equipamento e de informaes, a divulgao no autorizada de informao, o acesso remoto no
autorizado aos sistemas internos da organizao ou mau uso de recursos. Convm que o trabalho remoto seja
autorizado e controlado pelo gestor e convm que sejam asseguradas as providncias adequadas a esta
forma de trabalho.
Convm que os seguintes pontos sejam considerados:
a) a segurana fsica existente no local do trabalho remoto, levando-se em considerao a segurana
fsica do prdio e o ambiente local;
b) o ambiente fsico proposto para o trabalho remoto;
c) os requisitos de segurana nas comunicaes, levando em considerao a necessidade do acesso
remoto aos sistemas internos da organizao, a sensibilidade da informao que ser acessada e
trafegada na linha de comunicao e a sensibilidade do sistema interno;
d) a ameaa de acesso no autorizado informao ou aos recursos por outras pessoas que utilizam o
local, por exemplo familiares e amigos;
82
Cpia no autorizada
e) o uso de redes domsticas e requisitos ou restries na configurao de servios de rede sem fio;
f)
g) a proviso de seguro;
h) os procedimentos para cpias de segurana e continuidade do negcio;
i)
j)
Informaes adicionais
As atividades de trabalho remoto utilizam tecnologias de comunicao que permitem que as pessoas
trabalhem remotamente de uma localidade fixa externa sua organizao.
83
Cpia no autorizada
84
Cpia no autorizada
c)
d)
e)
f)
g)
Informaes adicionais
A verificao e validao automtica de dados de entrada podem ser consideradas, onde aplicveis, para
reduzir o risco de erros e prevenir ataques conhecidos como buffer overflow e injeo de cdigo.
85
Cpia no autorizada
86
Cpia no autorizada
Informaes adicionais
Tipicamente, sistemas e aplicaes so construdos no pressuposto de que, tendo sido efetuadas as
validaes apropriadas, verificaes e testes, as sadas estaro sempre corretas. Contudo, este pressuposto
nem sempre vlido, isto , sistemas que tenham sido testados podem ainda produzir dados de sada
incorretos sob certas circunstncias.
87
Cpia no autorizada
88
Cpia no autorizada
Uma poltica sobre o uso de controles criptogrficos necessria para maximizar os benefcios e minimizar os
riscos do uso de tcnicas criptogrficas para evitar o uso incorreto ou inapropriado. Quanto ao uso de
assinaturas digitais, convm que seja considerada toda a legislao relevante, em particular aquela que
descreve as condies sob as quais uma assinatura digital legalmente aceita (ver 15.1).
Convm que seja buscada a opinio de um especialista para identificar o nvel apropriado de proteo e definir
as especificaes aplicveis que proporcionaro o nvel requerido de proteo e o apoio implementao de
um sistema seguro de gerenciamento de chaves (ver 12.3.2).
O ISO/IEC JTC1 SC27 desenvolveu diversas normas relacionadas com controles criptogrficos. Informaes
adicionais podem tambm ser encontradas na IEEE P1363 e no OECD Guidelines on Cryptography.
12.3.2 Gerenciamento de chaves
Controle
Convm que um processo de gerenciamento de chaves seja implantado para apoiar o uso de tcnicas
criptogrficas pela organizao.
Diretrizes para implementao
Convm que todas as chaves criptogrficas sejam protegidas contra modificao, perda e destruio.
Adicionalmente, chaves secretas e privadas necessitam de proteo contra a divulgao no autorizada.
Convm que os equipamentos utilizados para gerar, armazenar e guardar as chaves sejam fisicamente
protegidos.
Convm que um sistema de gerenciamento de chaves seja baseado em um conjunto estabelecido de normas,
procedimentos e mtodos de segurana para:
a) gerar chaves para diferentes sistemas criptogrficos e diferentes aplicaes;
b) gerar e obter certificados de chaves pblicas;
c) distribuir chaves para os usurios devidos, incluindo a forma como as chaves devem ser ativadas,
quando recebidas;
d) armazenar chaves, incluindo a forma como os usurios autorizados obtm acesso a elas;
e) mudar ou atualizar chaves, incluindo regras relativas a quando as chaves devem ser mudadas e como
isto ser feito;
f)
g) revogar chaves, incluindo regras de como elas devem ser retiradas ou desativadas, por exemplo
quando chaves tiverem sido comprometidas ou quando um usurio deixa a organizao (convm que,
tambm neste caso, que as chaves sejam guardadas);
h) recuperar chaves perdidas ou corrompidas, como parte da gesto da continuidade do negcio, por
exemplo para recuperao de informaes cifradas;
i)
guardar chaves, por exemplo para informaes guardadas ou armazenadas em cpias de segurana;
j)
destruir chaves;
89
Cpia no autorizada
Convm, para reduzir a possibilidade de comprometimento, que datas de ativao e desativao de chaves
sejam definidas de forma que possam ser utilizadas apenas por um perodo de tempo limitado. Convm que
este perodo de tempo seja dependente das circunstncias sob as quais o controle criptogrfico est sendo
usado, assim como do risco percebido.
Alm do gerenciamento seguro de chaves secretas e privadas, convm que a autenticidade de chaves
pblicas seja tambm considerada. Este processo de autenticao pode ser conduzido utilizando-se
certificados de chaves pblicas que so normalmente emitidos por uma autoridade certificadora, a qual
convm que seja uma organizao reconhecida, com controles adequados e procedimentos implantados com
o objetivo de garantir o requerido nvel de confiana.
Convm que o contedo dos termos dos acordos de nvel de servio ou contratos com fornecedores externos
de servios criptogrficos, por exemplo com uma autoridade certificadora, cubram aspectos como
responsabilidades, confiabilidade dos servios e tempos de resposta para a execuo dos servios
contratados (ver 6.2.3).
Informaes adicionais
O gerenciamento de chaves criptogrficas essencial para o uso efetivo de tcnicas criptogrficas.
A ISO/IEC 11770 fornece informao adicional sobre gerenciamento de chaves. Os dois tipos de tcnicas
criptogrficas so:
a) tcnicas de chaves secretas, onde duas ou mais partes compartilham a mesma chave, a qual
utilizado tanto para cifrar quanto para decifrar a informao; esta chave deve ser mantida secreta, uma
vez que qualquer um que tenha acesso a ela ser capaz de decifrar todas as informaes que tenham
sido cifradas com essa chave ou dela se utilizando para introduzir informao no autorizada;
b) tcnicas de chaves pblicas, onde cada usurio possui um par de chaves; uma chave pblica
(que pode ser revelada para qualquer um) e uma chave privada (que deve ser mantida secreta);
tcnicas de chaves pblicas podem ser utilizadas para cifrar e para produzir assinaturas digitais
(ver tambm ISO/IEC 9796 e ISO/IEC 14888).
Existe a ameaa de que seja forjada uma assinatura digital pela substituio da chave pblica do usurio. Este
problema resolvido pelo uso de um certificado de chave pblica.
Tcnicas criptogrficas podem ser tambm utilizadas para proteger chaves criptogrficas. Pode ser necessrio
o estabelecimento de procedimentos para a manipulao de solicitaes legais para acesso a chaves
criptogrficas, por exemplo, informao cifrada pode ser requerida em sua forma decifrada para uso como
evidncia em um processo judicial.
90
Cpia no autorizada
um registro de auditoria seja mantido para todas as atualizaes das bibliotecas dos programas
operacionais;
g) verses anteriores dos softwares aplicativos sejam mantidas como medida de contingncia;
h) verses antigas de software sejam arquivadas, junto com todas as informaes e parmetros
requeridos, procedimentos, detalhes de configuraes e software de suporte durante um prazo igual
ao prazo de reteno dos dados.
Convm que software adquirido de fornecedores e utilizado em sistemas operacionais seja mantido num nvel
apoiado pelo fornecedor. Ao transcorrer do tempo, fornecedores de software cessam o apoio s verses
antigas do software. Convm que a organizao considere os riscos associados dependncia de software
sem suporte.
Convm que qualquer deciso de atualizao para uma nova verso considere os requisitos do negcio para a
mudana e da segurana associada, por exemplo, a introduo de uma nova funcionalidade de segurana ou
a quantidade e a gravidade dos problemas de segurana associados a esta verso. Convm que pacotes de
correes de software sejam aplicados quando puderem remover ou reduzir as vulnerabilidades de segurana
(ver 12.6.1).
Convm que acessos fsicos e lgicos sejam concedidos a fornecedores, quando necessrio, para a finalidade
de suporte e com aprovao gerencial. Convm que as atividades do fornecedor sejam monitoradas.
Os softwares para computadores podem depender de outros softwares e mdulos fornecidos externamente, os
quais convm ser monitorados e controlados para evitar mudanas no autorizadas, que podem introduzir
fragilidades na segurana.
Informaes adicionais
Convm que sistemas operacionais sejam atualizados quando existir um requisito para tal, por exemplo, se a
verso atual do sistema operacional no suportar mais os requisitos do negcio. Convm que as atualizaes
no sejam efetivadas pela mera disponibilidade de uma verso nova do sistema operacional. Novas verses
de sistemas operacionais podem ser menos seguras, com menor estabilidade, e ser menos entendidas do que
os sistemas atuais.
91
Cpia no autorizada
92
Cpia no autorizada
93
Cpia no autorizada
j)
a garantia de que toda a documentao operacional (ver 10.1.1) e procedimentos dos usurios sejam
alterados conforme necessrio e que se mantenham apropriados;
94
Cpia no autorizada
95
Cpia no autorizada
A precauo contra acesso no autorizado rede (ver 11.4), como tambm polticas e procedimentos para
dissuadir o mau uso de servios de informao pelo pessoal (ver 15.1.5), pode ajudar a proteger contra covert
channels.
12.5.5 Desenvolvimento terceirizado de software
Controle
Convm que a organizao supervisione e monitore o desenvolvimento terceirizado de software.
Diretrizes para implementao
Convm que sejam considerados os seguintes itens quando do desenvolvimento de software terceirizado:
a) acordos de licenciamento, propriedade do cdigo e direitos de propriedade intelectual (ver 15.1.2);
b) certificao da qualidade e exatido do servio realizado;
c) provises para custdia no caso de falha da terceira parte;
d) direitos de acesso para auditorias de qualidade e exatido do servio realizado;
e) requisitos contratuais para a qualidade e funcionalidade da segurana do cdigo;
f)
96
Cpia no autorizada
se um patch for disponibilizado, convm que sejam avaliados os riscos associados sua instalao
(convm que os riscos associados vulnerabilidade sejam comparados com os riscos de instalao do
patch);
g) patches sejam testados e avaliados antes de serem instaladas para assegurar a efetividade e que no
tragam efeitos que no possam ser tolerados; quando no existir a disponibilidade de um patch,
convm considerar o uso de outros controles, tais como:
1) a desativao de servios ou potencialidades relacionadas vulnerabilidade;
2) a adaptao ou agregao de controles de acesso, por exemplo firewalls nas fronteiras da rede
(ver 11.4.5);
3) o aumento do monitoramento para detectar ou prevenir ataques reais;
4) o aumento da conscientizao sobre a vulnerabilidade;
h)
i)
com a finalidade de assegurar a eficcia e a eficincia, convm que seja monitorado e avaliado
regularmente o processo de gesto de vulnerabilidades tcnicas;
j)
Informaes adicionais
O correto funcionamento do processo de gesto de vulnerabilidades tcnicas crtico para muitas
organizaes e, portanto, convm que seja monitorado regularmente. Um inventrio de ativos preciso
essencial para assegurar que vulnerabilidades potenciais relevantes sejam identificadas.
A gesto de vulnerabilidades tcnicas pode ser vista como uma subfuno da gesto de mudanas e, como tal,
pode aproveitar os procedimentos e processos da gesto de mudanas (ver 10.1.2 e 12.5.1).
Os fornecedores esto sempre sob grande presso para liberar patches to logo quanto possvel. Portanto, um
patch pode no abordar o problema adequadamente e pode causar efeitos colaterais negativos. Tambm, em
alguns casos, a desinstalao de um patch pode no ser facilmente realizvel aps sua instalao.
Quando testes adequados de patch no forem possveis, por exemplo, devido a custos ou falta de recursos,
um atraso no uso do patch pode ser considerado para avaliar os riscos associados, baseado nas experincias
relatadas por outros usurios.
97
Cpia no autorizada
4 Alarme de coao um mtodo usado para indicar, de forma secreta, que uma ao est acontecendo sob coao.
98
Cpia no autorizada
Informaes adicionais
Exemplos de eventos e incidentes de segurana da informao so:
a) perda de servio, equipamento ou recursos;
b) mau funcionamento ou sobrecarga de sistema;
c) erros humanos;
d) no-conformidade com polticas ou diretrizes;
e) violaes de procedimentos de segurana fsica;
f)
99
Cpia no autorizada
100
Cpia no autorizada
c) convm que trilhas de auditoria e evidncias similares sejam coletadas (ver 13.2.3) e protegidas, como
apropriado, para:
1)
2)
uso como evidncia forense para o caso de uma potencial violao de contrato ou de normas
reguladoras ou em caso de delitos civis ou criminais, por exemplo relacionados ao uso imprprio
de computadores ou legislao de proteo dos dados;
3)
d) convm que as aes para recuperao de violaes de segurana e correo de falhas do sistema
sejam cuidadosa e formalmente controladas; convm que os procedimentos assegurem que:
1)
2)
3)
4)
a integridade dos sistemas do negcio e seus controles sejam validados na maior brevidade.
Convm que os objetivos da gesto de incidentes de segurana da informao estejam em concordncia com
a direo e que seja assegurado que os responsveis pela gesto de incidentes de segurana da informao
entendem as prioridades da organizao no manuseio de incidentes de segurana da informao.
Informaes adicionais
Os incidentes de segurana da informao podem transcender fronteiras organizacionais e nacionais.
Para responder a estes incidentes, cada vez mais h a necessidade de resposta coordenada e troca de
informaes sobre eles com organizaes externas, quando apropriado.
13.2.2 Aprendendo com os incidentes de segurana da informao
Controle
Convm que sejam estabelecidos mecanismos para permitir que tipos, quantidades e custos dos incidentes de
segurana da informao sejam quantificados e monitorados.
Diretrizes para implementao
Convm que a informao resultante da anlise de incidentes de segurana da informao seja usada para
identificar incidentes recorrentes ou de alto impacto.
Informaes adicionais
A anlise de incidentes de segurana da informao pode indicar a necessidade de melhorias ou controles
adicionais para limitar a freqncia, danos e custos de ocorrncias futuras ou para ser levada em conta
quando for realizado o processo de anlise crtica da poltica de segurana da informao (ver 5.1.2).
101
Cpia no autorizada
102
Cpia no autorizada
103
Cpia no autorizada
j)
garantia de que a gesto da continuidade do negcio esteja incorporada aos processos e estrutura da
organizao. Convm que a responsabilidade pela coordenao do processo de gesto de
continuidade de negcios seja atribuda a um nvel adequado dentro da organizao (ver 6.1.1).
104
Cpia no autorizada
105
Cpia no autorizada
Convm que cada plano tenha um gestor especfico. Convm que procedimentos de emergncia, de
recuperao, manual de planejamento e planos de reativao sejam de responsabilidade dos gestores dos
recursos de negcios ou dos processos envolvidos. Convm que procedimentos de recuperao para servios
tcnicos alternativos, como processamento de informao e meios de comunicao, sejam normalmente de
responsabilidade dos provedores de servios.
Convm que uma estrutura de planejamento para continuidade de negcios contemple os requisitos de
segurana da informao identificados e considere os seguintes itens:
a) condies para ativao dos planos, os quais descrevem os processos a serem seguidos (como se
avaliar a situao, quem deve ser acionado etc.) antes de cada plano ser ativado;
b) procedimentos de emergncia que descrevam as aes a serem tomadas aps a ocorrncia de um
incidente que coloque em risco as operaes do negcio;
c) procedimentos de recuperao que descrevam as aes necessrias para a transferncia das
atividades essenciais do negcio ou os servios de infra-estrutura para localidades alternativas
temporrias e para a reativao dos processos do negcio no prazo necessrio;
d) procedimentos operacionais temporrios para seguir durante a concluso de recuperao e
restaurao;
e) procedimentos de recuperao que descrevam as aes a serem adotadas quando do
restabelecimento das operaes;
f)
uma programao de manuteno que especifique quando e como o plano dever ser testado e a
forma de se proceder manuteno deste plano;
106
Cpia no autorizada
Convm que vrias tcnicas sejam utilizadas, de modo a assegurar a confiana de que o(s) plano(s) ir(o)
operar consistentemente em casos reais. Convm que sejam considerados:
a) testes de mesa simulando diferentes cenrios (verbalizando os procedimentos de recuperao para
diferentes formas de interrupo);
b) simulaes (particularmente til para o treinamento do pessoal nas suas atividades gerenciais aps o
incidente);
c) testes de recuperao tcnica (garantindo que os sistemas de informao possam ser efetivamente
recuperados);
d) testes de recuperao em um local alternativo (executando os processos de negcios em paralelo com
a recuperao das operaes distantes do local principal);
e) testes dos recursos, servios e instalaes de fornecedores (assegurando que os servios e produtos
fornecidos por terceiros atendem aos requisitos contratados);
f)
Estas tcnicas podem ser utilizadas por qualquer organizao. Convm que elas reflitam a natureza do plano
de recuperao especfico. Convm que os resultados dos testes sejam registrados e aes tomadas para a
melhoria dos planos, onde necessrio.
Convm que a responsabilidade pelas anlises crticas peridicas de cada parte do plano seja definida e
estabelecida. Convm que a identificao de mudanas nas atividades do negcio que ainda no tenham sido
contempladas nos planos de continuidade de negcio seja seguida por uma apropriada atualizao do plano.
Convm que um controle formal de mudanas assegure que os planos atualizados so distribudos e
reforados por anlises crticas peridicas do plano como um todo.
Os exemplos de mudanas onde convm que a atualizao dos planos de continuidade do negcio seja
considerada so a aquisio de novos equipamentos, atualizao de sistemas e mudanas de:
a) pessoal;
b) endereos ou nmeros telefnicos;
c) estratgia de negcio;
d) localizao, instalaes e recursos;
e) legislao;
f)
107
Cpia no autorizada
15 Conformidade
15.1 Conformidade com requisitos legais
Objetivo: Evitar violao de qualquer lei criminal ou civil, estatutos, regulamentaes ou obrigaes contratuais
e de quaisquer requisitos de segurana da informao.
O projeto, a operao, o uso e a gesto de sistemas de informao podem estar sujeitos a requisitos de
segurana contratuais, regulamentares ou estatutrios.
Convm que consultoria em requisitos legais especficos seja procurada em organizaes de consultoria
jurdica ou em profissionais liberais, adequadamente qualificados nos aspectos legais. Os requisitos
legislativos variam de pas para pas e tambm para a informao criada em um pas e transmitida para outro
(isto , fluxo de dados transfronteira).
15.1.1 Identificao da legislao vigente
Controle
Convm que todos os requisitos estatutrios, regulamentares e contratuais relevantes, e o enfoque da
organizao para atender a esses requisitos, sejam explicitamente definidos, documentados e mantidos
atualizados para cada sistema de informao da organizao
Diretrizes para implementao
Convm que os controles especficos e as responsabilidades individuais para atender a estes requisitos sejam
definidos e documentados de forma similar.
15.1.2 Direitos de propriedade intelectual
Controle
Convm que procedimentos apropriados sejam implementados para garantir a conformidade com os requisitos
legislativos, regulamentares e contratuais no uso de material, em relao aos quais pode haver direitos de
propriedade intelectual e sobre o uso de produtos de software proprietrios.
Diretrizes para implementao
Convm que as seguintes diretrizes sejam consideradas para proteger qualquer material que possa ser
considerado como propriedade intelectual:
a) divulgar uma poltica de conformidade com os direitos de propriedade intelectual que defina o uso legal
de produtos de software e de informao;
b) adquirir software somente por meio de fontes conhecidas e de reputao, para assegurar que o direito
autoral no est sendo violado;
c) manter conscientizao das polticas para proteger os direitos de propriedade intelectual e notificar a
inteno de tomar aes disciplinares contra pessoas que violarem essas polticas;
d) manter de forma adequada os registros de ativos e identificar todos os ativos com requisitos para
proteger os direitos de propriedade intelectual;
e) manter provas e evidncias da propriedade de licenas, discos-mestre, manuais etc.;
f)
implementar controles para assegurar que o nmero mximo de usurios permitidos no excede o
nmero de licenas adquiridas;
g) conduzir verificaes para que somente produtos de software autorizados e licenciados sejam
instalados;
108
Cpia no autorizada
j)
k) cumprir termos e condies para software e informao obtidos a partir de redes pblicas;
l)
no duplicar, converter para outro formato ou extrair de registros comerciais (filme, udio) outros que
no os permitidos pela lei de direito autoral;
m) no copiar, no todo ou em partes, livros, artigos, relatrios ou outros documentos, alm daqueles
permitidos pela lei de direito autoral.
Informaes adicionais
Direitos de propriedade intelectual incluem direitos de software ou documento, direitos de projeto, marcas,
patentes e licenas de cdigos-fonte.
Produtos de software proprietrios so normalmente fornecidos sob um contrato de licenciamento que
especifica os termos e condies da licena, por exemplo, restringe o uso dos produtos em mquinas
especificadas ou limita a cpia apenas para criao de uma cpia de segurana. A questo relativa aos
direitos de propriedade intelectual de software desenvolvido pela organizao precisa ser esclarecida com as
pessoas.
Legislao, regulamentao e requisitos contratuais podem estabelecer restries para cpia de material que
tenha direitos autorais. Em particular, pode ser requerido que somente material que seja desenvolvido pela
organizao ou que foi licenciado ou fornecido pelos desenvolvedores para a organizao seja utilizado.
Violaes aos direitos de propriedade intelectual podem conduzir a aes legais, que podem envolver
processos criminais.
15.1.3 Proteo de registros organizacionais
Controle
Convm que registros importantes sejam protegidos contra perda, destruio e falsificao, de acordo com os
requisitos regulamentares, estatutrios, contratuais e do negcio.
Diretrizes para implementao
Convm que registros sejam categorizados em tipos de registros, tais como registros contbeis, registros de
base de dados, registros de transaes, registros de auditoria e procedimentos operacionais, cada qual com
detalhes do perodo de reteno e do tipo de mdia de armazenamento, como, por exemplo, papel, microficha,
meio magntico ou tico. Convm que quaisquer chaves de criptografia relacionadas com arquivos cifrados ou
assinaturas digitais (ver 12.3) sejam tambm armazenadas para permitir a decifrao de registros pelo perodo
de tempo que os registros so mantidos.
Convm que cuidados sejam tomados a respeito da possibilidade de deteriorao das mdias usadas no
armazenamento dos registros. Convm que os procedimentos de armazenamento e manuseio sejam
implementados de acordo com as recomendaes dos fabricantes. Convm que, para o armazenamento de
longo tempo, o uso de papel e microficha seja considerado.
Onde mdias eletrnicas armazenadas forem escolhidas, convm que sejam includos procedimentos para
assegurar a capacidade de acesso aos dados (leitura tanto na mdia como no formato utilizado) durante o
perodo de reteno, para proteger contra perdas ocasionadas pelas futuras mudanas na tecnologia.
Convm que sistemas de armazenamento de dados sejam escolhidos de modo que o dado solicitado possa
ser recuperado de forma aceitvel, dependendo dos requisitos a serem atendidos.
109
Cpia no autorizada
Convm que o sistema de armazenamento e manuseio assegure a clara identificao dos registros e dos seus
perodos de reteno, conforme definido pela legislao nacional ou regional ou por regulamentaes, se
aplicvel. Convm que seja permitida a destruio apropriada dos registros aps esse perodo, caso no
sejam mais necessrios organizao.
Para atender aos objetivos de proteo dos registros, convm que os seguintes passos sejam tomados dentro
da organizao:
a) emitir diretrizes gerais para reteno, armazenamento, tratamento e disposio de registros e
informaes;
b) elaborar uma programao para reteno, identificando os registros essenciais e o perodo que cada
um deve ser mantido;
c) manter um inventrio das fontes de informaes-chave;
d) implementar controles apropriados para proteger registros e informaes contra perda, destruio e
falsificao.
Informaes adicionais
Alguns registros podem precisar ser retidos de forma segura para atender a requisitos estatutrios, contratuais
ou regulamentares, assim como para apoiar as atividades essenciais do negcio. Exemplo disso so os
registros que podem ser exigidos como evidncia de que uma organizao opera de acordo com as regras
estatutrias e regulamentares, para assegurar a defesa adequada contra potenciais processos civis ou
criminais ou confirmar a situao financeira de uma organizao perante os acionistas, partes externas e
auditores. O perodo de tempo e o contedo da informao retida podem estar definidos atravs de leis ou
regulamentaes nacionais.
Outras informaes sobre como gerenciar os registros organizacionais, podem ser encontradas
na ISO 15489-1.
15.1.4 Proteo de dados e privacidade de informaes pessoais
Controle
Convm que a privacidade e proteo de dados sejam asseguradas conforme exigido nas legislaes
relevantes, regulamentaes e, se aplicvel, nas clusulas contratuais.
Diretrizes para implementao
Convm que uma poltica de privacidade e proteo de dados da organizao seja desenvolvida e
implementada. Convm que esta poltica seja comunicada a todas as pessoas envolvidas no processamento
de informaes pessoais.
A conformidade com esta poltica e todas as legislaes e regulamentaes relevantes de proteo de dados
necessita de uma estrutura de gesto e de controles apropriados. Geralmente isto melhor alcanado atravs
de uma pessoa responsvel, como, por exemplo, um gestor de proteo de dados, que deve fornecer
orientaes gerais para gerentes, usurios e provedores de servio sobre as responsabilidades de cada um e
sobre quais procedimentos especficos recomenda-se seguir. Convm que a responsabilidade pelo tratamento
das informaes pessoais e a garantia da conscientizao dos princpios de proteo dos dados sejam
tratadas de acordo com as legislaes e regulamentaes relevantes. Convm que medidas organizacionais e
tcnicas apropriadas para proteger as informaes pessoais sejam implementadas.
Informaes adicionais
Alguns pases tm promulgado leis que estabelecem controles na coleta, no processamento e na transmisso
de dados pessoais (geralmente informao sobre indivduos vivos que podem ser identificados a partir de tais
informaes). Dependendo da respectiva legislao nacional, tais controles podem impor responsabilidades
sobre aqueles que coletam, processam e disseminam informao pessoal, e podem restringir a capacidade de
transferncia desses dados para outros pases.
110
Cpia no autorizada
111
Cpia no autorizada
112
Cpia no autorizada
113
Cpia no autorizada
g) todo acesso seja monitorado e registrado de forma a produzir uma trilha de referncia; convm que o
uso de trilhas de referncia (time stamped) seja considerado para os sistemas ou dados crticos;
h) todos os procedimentos, requisitos e responsabilidades sejam documentados;
i)
114
Cpia no autorizada
Bibliografia
ABNT NBR ISO 10007:2005 Sistemas de gesto da qualidade - Diretrizes para a gesto de configurao
ABNT NBR ISO 19011:2002 Diretrizes para auditorias de sistema de gesto da qualidade e/ou ambiental
ABNT NBR ISO/IEC 12207:1998 Tecnologia de informao - Processos de ciclo de vida de software
ABNT ISO/IEC Guia 2:1998 Normalizao e atividades relacionadas Vocabulrio geral
ABNT ISO/IEC Guia 73:2005 Gesto de riscos Vocabulrio Recomendaes para uso em normas
ISO 15489-1:2001 Information and documentation Records management Part 1: General
ISO/IEC 9796-2:2002 Information technology Security techniques Digital signature schemes giving
message recovery Part 2: Integer factorization based mechanisms
ISO/IEC 9796-3:2000 Information technology Security techniques Digital signature schemes giving
message recovery Part 3: Discrete logarithm based mechanisms
ISO/IEC 11770-1:1996
Part 1: Framework
Information
technology
Security
techniques
Key
management
115
Cpia no autorizada
ndice
A
aceitao de sistemas 10.3.2
acesso do pblico, reas de entrega e de carregamento 9.1.6
acordos de confidencialidade 6.1.5
acordos para a troca de informaes 10.8.2
ameaa 2.16
anlise/avaliao de riscos 2.11, 4.1
anlise crtica da poltica de segurana da informao 5.1.2
anlise crtica das aplicaes aps mudanas no sistema operacional 12.5.2
anlise crtica dos direitos de acesso de usurio 11.2.4
anlise crtica independente de segurana da informao 6.1.8
anlise de riscos 2.10
anlise e especificao dos requisitos de segurana 12.1.1
antes da contratao 8.1
aprendendo com os incidentes de segurana da informao 13.2.2
aquisio, desenvolvimento e manuteno de sistemas de informao 12
reas de entrega e de carregamento 9.1.6
reas seguras 9.1
aspectos da gesto da continuidade do negcio, relativos segurana da informao 14.1
ativo 2.1
atribuio das responsabilidades para a segurana da informao 6.1.3
autenticao para conexo externa do usurio 11.4.2
avaliao de riscos 2.12
C
classificao da informao 7.2
coleta de evidncias 13.2.3
comrcio eletrnico 10.9.1
comprometimento da direo com a segurana da informao 6.1.1
computao e comunicao mvel 11.7.1
computao mvel e trabalho remoto 11.7, 11.7.2
conformidade 15
conformidade com normas e polticas de segurana da informao e conformidade tcnica 15.2, 15.2.1
conformidade com requisitos legais 15.1
conformidades com as polticas e normas de segurana da informao 15.2.1
conscientizao, educao e treinamento em segurana da informao 8.2.2
consideraes quanto auditoria de sistemas de informao 15.3
contato com autoridades 6.1.6
contato com grupos especiais 6.1.7
continuidade de negcios e anlise/avaliao de risco 14.1.2
controle 2.2, 3.2
controles contra cdigos mveis 10.4.2
controle de acessos 11
controle de acesso aplicao e informao 11.6
controle de acesso rede 11.4
controle de acesso ao cdigo-fonte de programas 12.4.3
controle de acesso ao sistema operacional 11.5
controles de auditoria de sistemas de informao 15.3.1
controle de conexo de rede 11.4.6
controle de entrada fsica 9.1.2
controle de processamento interno 12.2.2
controle de roteamento de redes 11.4.7
116
Cpia no autorizada
D
descarte de mdias 10.7.2
desconexo de terminal por inatividade 11.5.5
desenvolvimento e implementao de planos de continuidade relativos segurana da informao 14.1.3
desenvolvimento terceirizado de software 12.5.5
devoluo de ativos 8.3.2
direitos de propriedade intelectual 15.1.2
diretriz 2.3
documentao dos procedimentos de operao 10.1.1
documento da poltica de segurana da informao 5.1.1
durante a contratao 8.2
E
encerramento de atividades 8.3.1
encerramento ou mudana da contratao 8.3
entrega de servios 10.2.1
equipamento de usurio sem monitorao 11.3.2
estrutura do plano de continuidade do negcio 14.1.4
evento de segurana da informao 2.6, 13.1
G
gerenciamento da segurana em redes 10.6
gerenciamento das operaes e comunicaes 10
gerenciamento de acesso do usurio 11.2
gerenciamento de chaves 12.3.2
gerenciamento de mdias removveis 10.7.1
gerenciamento de mudanas para servios terceirizados 10.2.3
gerenciamento de privilgios 11.2.2
gerenciamento de senha do usurio 11.2.3
gerenciamento de servios terceirizados 10.2
gesto da continuidade do negcio 14
gesto de ativos 7
gesto de capacidade 10.3.1
gesto de incidentes de segurana da informao 13, 13.2
gesto de mudanas 10.1.2
gesto de riscos 2.13
gesto de vulnerabilidades tcnicas 12.6
117
Cpia no autorizada
I
identificao da legislao vigente 15.1.1
identificao de equipamento em redes 11.4.3
identificao dos riscos relacionados com partes externas 6.2.1
identificao e autenticao de usurio 11.5.2
identificando a segurana da informao, quando tratando com os clientes 6.2.2
identificando segurana da informao nos acordos com terceiros 6.2.3
incidente de segurana da informao 2.7, 13.2
incluindo segurana da informao no processo de gesto da continuidade do negcio 14.1.1
informaes publicamente disponveis 10.9.3
infra-estrutura da segurana da informao 6.1
instalao e proteo do equipamento 9.2.1
integridade de mensagens 12.2.3
inventrio dos ativos 7.1.1
isolamento de sistemas sensveis 11.6.2
L
limitao de horrio de conexo 11.5.6
M
manuseio de mdias 10.7
manuteno dos equipamentos 9.2.4
mensagens eletrnicas 10.8.4
mdias em trnsito 10.8.3
monitoramento 10.10
monitoramento do uso do sistema 10.10.2
monitoramento e anlise crtica de servios terceirizados 10.2.2
N
notificao de eventos de segurana da informao 13.1.1
notificao de fragilidades e eventos de segurana da informao 13.1, 13.1.2
notificando fragilidades de segurana da informao 13.1.2
O
organizando a segurana da informao 6
P
papis e responsabilidades 8.1.1
partes externas 6.2
permetro de segurana fsica 9.1.1
planejamento e aceitao dos sistemas 10.3
poltica 2.8
poltica de controle de acesso 11.1.1
poltica de mesa limpa e tela limpa 11.3.3
poltica de segurana da informao 5, 5.1
poltica de uso dos servios de rede 11.4.1
118
Cpia no autorizada
R
recomendaes para classificao 7.2.1
recursos de processamento da informao 2.4
registros (log) de administrador e operador 10.10.4
registros (log) de falhas 10.10.5
registros de auditoria 10.10.1
regulamentao de controles de criptografia 15.1.6
requisitos de negcio para controle de acesso 11.1
responsabilidade pelos ativos 7.1
responsabilidades da direo 8.2.1
responsabilidades dos usurios 11.3
responsabilidades e procedimentos 13.2.1
restrio de acesso informao 11.6, 11.6.1
restries sobre mudanas em pacotes de software 12.5.3
remoo de propriedade 9.2.7
retirada de direitos de acesso 8.3.3
reutilizao e alienao segura de equipamentos 9.2.6
risco 2.9
rtulos e tratamento da informao 7.2.2
S
segregao de funes 10.1.3
segregao de redes 11.4.5
segurana da documentao dos sistemas 10.7.4
segurana da informao 2.5
segurana de equipamentos 9.2
segurana de equipamento fora das dependncias da organizao 9.2.5
segurana do cabeamento 9.2.3
segurana dos arquivos do sistema 12.4
segurana dos servios de rede 10.6.2
segurana em escritrios, salas e instalaes 9.1.3
segurana em processos de desenvolvimento e de suporte 12.5
119
Cpia no autorizada
T
terceiros 2.15
termos e condies de contratao 8.1.3
testes, manuteno e reavaliao dos planos de continuidade do negcio 14.1.5
trabalho em reas seguras 9.1.5
trabalho remoto 11.7.2
transaes on-line 10.9.2
tratamento de risco 2.14, 4.2
troca de informaes 10.8
U
uso aceitvel dos ativos 7.1.3
uso de senhas 11.3.1
uso de utilitrios de sistema 11.5.4
utilidades 9.2.2
V
validao de dados de sada 12.2.4
validao dos dados de entrada 12.2.1
vazamento de informaes 12.5.4
verificao da conformidade tcnica 15.2.2
vulnerabilidades 2.17
120