NORMA ABNT NBR BRASILEIRA ISO/IEC 27002 Primeira edigao 31.08.2005 Valida a partir de ‘30.09.2005 Tecnologia da informagao — Técnicas de seguranga — Cédigo de pratica para a gestao da seguranga da informagao Information technology - Security technical - Code of pratice for information security management Palevras-chave: Tecnologia dainformacdo. Seguranga Dosertors Information fochnology. Security ICS 35.040 ISBN 978-85-07-00648-0 @ associat Namero de referéncia BENOHIAS ABNT NBR ISOIIEC 27002:7005 TECNICAS 120 paginas ‘@ABNT 2005ABNT NBR ISO/IEC 27002:2005 © ABNT 2005 Todos 06 direitos reservados. A menos que especiicado de outro modo, nenhuma parte desta publicagéo pode ser reproduzida ‘ou por qualquer meio, eletrénico ou mecéinico,incluindo fotocépia e microfilme, sem permissao por escrito pela ABNT. Sede da ABNT ‘Av-Treze de Maio, 13 - 28° andar 2031-901 - Rio de Janeiro - RJ Tol: + 55 21 3974-2300 Fax: + 55 21 2220-1762 abnt@abnt.org.br www.aont.org.br Impresso no Brasil ii @ABNT 2005 - Todos 08 ditelios reservadosABNT NBR ISO/IEC 27002:2005 Prefacio Nacional ‘A Associagto Brasileira de Normas Técnicas (ABNT) & 0 Foro Nacional de Normalizagso. As Normas Brasileiras, cujo contetido @ de responsabilidade dos Comités Brasileiros (ABNT/CB), dos Organismos de Normalizagao Setorial (ABNT/ONS) © das Comissées de Estudo Especiais Temporarias (ABNT/CEET), sao elaboradas por Comissées de Estudo (CE), formadas por representantes dos selores envolvidos, delas fazendo parte: produtores, consumidores e neutros (universidades, laboratérios e outros). (Os Documentos Técnicos ABNT sao elaborados conforme as regras da Diretivas ABNT, Parte 2. ‘A Associacao Brasileira de Normas Técnicas (ABNT) chama atencao para a possibilidade de que alguns dos elementos deste documento podem ser objeto de direito de patente. A ABNT nao deve ser considerada responsavel pela identificagdo de quaisquer direitos de patentes. A ABNT NBR ISO/IEC 27002 foi elaborada no Comité Brasileiro de Computadores @ Processamento de Dados (ABNTICB-21), pela Comissdo de Estudo de Seguranca Fisica em Instalag5es de Informatica (CE-21:027.00). Esta Norma 6 uma adogao idéntica, em contetido técnico, estrutura e redacéo, & ISO 27002:2008, que foi elaborada pelo Comité Técnico Information technology (ISO/IEC JTC 1), Subcomité SC 27, Security techniques, conforme ISO/IEC Guide 21-1:2005, Esta primeira edigio da ABNT NBR ISO/IEC 27002 compreende a ABNT NBR ISO/IEC 17799:2005 (Verséo Corrigida de 02.07.2007) @ a Errata 2 de 10.09.2007. Seu contetido técnico é idéntico ao da ABNT NBR ISO/IEC 17799:2005 (Verso Corrigida de 02.07.2007). A Errata 2:2007 altera 0 numero de referéncia da norma de 17799 para 27002. A ABNT NBR ISO/IEC 17799:2005 e a Errata 2:2007 sero provisoriamente mantidas até a publicagao da segunda edigdo da ABNT NBR ISO/IEC 27002, GABNT 2005 - Todos 08 alitvilos reservados tiiNORMA BRASILEIRA ABNT NBR ISO/IEC 17799:2005 ERRATA 2 Publicada em 10.09.2007 Tecnologia da informagao — Técnicas de seguranga — Cédigo de pratica para a gestao da seguranga da informagao ERRATA 2 Esta Errata 2 da ABNT NBR ISO/IEC 17799:2005, elaborada pela Comissdo de Estudo de Seguranga Fisica fem Instalagdes de Informatica (CE-21:027.00), tem por objetivo adotar 0 Technical Corrigendum 1 da ISOMEC 17799:2005. Em todo 0 documento: ‘Substituir “17799" por “27002" Ics 35.040 Ref.: ABNT NBR ISO/IEC 17799:2005/Err.2:2007 ‘© ABNT 2007 — Todos 08 direitos reservados 4NORMA ABNT NBR BRASILEIRA ISO/IEC 17799 ‘Segunda edigao 31.08.2005 Valida a partir de ‘30.09.2005 Verso corrigida 02.07.2007 Tecnologia da informagao — Técnicas de seguranga — Codigo de pratica para a gestao da seguranga da informagao Information technology — Security technical - Code of pratice for information security management Palavras-chave: Tecnologia da informago. Seguranga. Descriptors: Information technology. Security. Ics 35.040 ISBN 978-85-07-00519-3, assoccio Numero de referéneia DENORMAS ABNT NBR ISO/IEC 17799:2005 TECNICAS 120 paginas ‘@ABNT 2005ABNT NBR ISO/IEC 17799:2005 © ABNT 2005 Todos 08 direitos reservados. A menos que especiicado de outro modo, nenhuma parte desta publicagdo pode ser reproduzida ‘04 por qualquer meio, eletrdnico ou mecéinico,incluindo fotocépia e microfilme, sem permissao por escrito pela ABNT. ‘Sede da ABNT ‘Av-Treze de Maio, 13 - 28° andar 2031-901 - Rio de Janeiro - RJ Tel: + 55 21 3974-2300 Fax: + 55 21 2220-1762 abnt@abnt.org.br www.abnt.org.br Impresso no Brasil ii @ABNT 2005 - Todos 08 ditetos reservadosABNT NBR ISO/IEC 17799:2005 Sumario Pagina Prefacio Nacional. o oO 02 03 04 05 Introdugao. . © que é seguranca da informagao?..... Por que a seguranga da informagao é necessaria?. Como estabelecer requisitos de seguranca da informagao Analisandolavaliando os riscos de seguranga da informacao.. ‘Selegao de controles. Ponto de partida para a seguranga da informagio..... Fatores criticos de sucesso ... Desenvolvendo suas préprias diretrizes Objetivo Termos e defini¢des Estrutura desta Norma.. Segces : Principais categorias de seguranga da Informagao ... Anilise/avaliagao e tratamento de riscos Analisandolavaliando os riscos de seguranga da informagao.. Tratando 08 riscos de seguranga da informacao Politica de seguranga da informagao... Politica de seguranca da informagao. Documento da politica de seguranga da informagao. Analise critica da politica de seguranca da informagao Organizando a seguranga da informaga Organizagao interna ‘Comprometimento da direcdo com a seguranga da Informacao ... Coordenagao da seguranca da informagao.. Atribuigao de responsabilidades para a seguranga da informagao Processo de autorizacao para os recursos de processamento da informacao ... Acordos de confidencialidade Contato com autoridades Contato com grupos especials Andlise critica independente de seguranga da informagao. Partes externas. Identificacdo dos riscos relacionados com partes externas. Identificando a seguranca da informagao, quando tratando com os clientes. Identificando seguranca da informagdo nos acordos com terceiros. Gestao de ativos... Responsabilidade pelos ativos. Inventério dos ativos. Proprietario dos ativos.... Uso aceitavel dos ativos. Classificagao da informagao Recomendagées para classificagao.... Rétulos e tratamento da informagao... ‘Seguranga em recursos humanos.. Antes da contratagao .... Papéls e responsabilidades ... Selegao . Termos e condigées de contratagao L©ABNT 2005 - Todos oe alto tos reservados iABNT NBR ISO/IEC 17799:2005 82 824 822 823 83 83.4 Durante a contratacao. Responsabilidades da direcao. Conscientizagao, educagao e treinamento em seguranga da informagao. Processo disciplinar.. Encerramento ou mudanca da contratacao.. Encerramento de atividades.. Devolugao de ativos. Retirada de direitos de acesso... Seguranga fisica o do ambiente. Areas seguras.. Perimetro de seguranca fisica ... Controles de entrada fisica ‘Seguranca em escritérios, salas e instalacoes Protecao contra ameacas externas e do meio ambiente ... Trabalhando em areas seguras.. Acesso do pubblico, areas de entrega e de carregamento.. Seguranca de equipamentos. Instalagao e protege do equipamento... Utilidades. ‘Seguranca do cabeamento.. Manutengao dos equipamentos. Seguranga de equipamentos fora das dependéncias da organizagao Reutilizagao e alienacao segura de equipamentos... Remosao de propriedade.... Gerenclamento das operagées e comunicagées. Procedimentos e responsabilidades operacionais... Documentagao dos procedimentos de operacao Gestao de mudancas. Segregacdo de funcoes ‘Separagdo dos recursos de desenvolvimento, teste e de produgao.. Gerenciamento de servicos terceirizados Entrega de servicos. Monitoramento e andlise critica de servigos terceirizados... Gerenciamento de mudangas para servicos terceirizados. Planejamento e aceitagao dos sistemas. Gestdo de capacidade... Aceitacao de sistemas Protecdo contra cédigos maliciosos e cédigos moveis .. Controles contra cédigos maliciosos Controles contra cédigos méveis. Cépias de seguranga. Cépias de seguranca das informacées.. Gerenciamento da seguranga em redes Controles de redes Seguranca dos servicos de rede Manuseio de midias. Gerenciamento de midias removiveis. Descarte de midias. Procedimentos para tratamento de informaga Seguranga da documentacao dos sistemas. Troca de informagées ... Politicas e procedimentos para troca de informagées. Acordos para a troca de informacées. Midias em transito Mensagens eletrénicas Sistemas de informagées do negécio. Servigos de comércio eletrénico .. Comércio eletrénico... Transagées on-line. Informagées publicamente disponiveis. (GABNT 2005 - Todos 08 dvotos reservadosABNT NBR ISO/IEC 17799:2005 10.10 Monitoramento 10.10.1 Registros de auditoria... 60 61 10.10.2 Monitoramento do uso do sistema... 61 10.10.3 Protecao das informagées dos registros (/og). 63 10.10.4 Registros (log) de administrador e operador 63 10.10.5 Registros (log) de falhas.. . 10.10.6 Sincronizacao dos relégios. 64 " M4 11.1.1 Politica de controle de acesso... 11.2. Gerenciamento de acesso do usuario, 11.2.4 Registro de usuario... 11.2.2 Gerenciamento de privilégios 11.23. Gerenciamento de senha do usuario 11.2.4 Andlise critica dos direitos de acesso de usuario 11.3 Responsabilidades dos usuarios 113.4 Uso de senhas 11.3.2. Equipamento de usuario sem monitoragao. 11.3.3 Politica de mesa limpa e tela limpa 114 Controle de acesso a rede. 11.4.1. Politica de uso dos servicos de red. 11.4.2. Autenticacao para conexao externa do usuario 11.4.3. Identificagao de equipamento em redes 11.4.4 Protecao de portas de configuragao e diagnéstico remotos. 11.4.5 Segregacao de redes. 11.4.6 Controle de conexao de rede 11.4.7 Controle de roteamento de redes 11.5 Controle de acesso ao sistema operacional 11.5.1 Procedimentos seguros de entrada no sistema (log-on)... 11.5.2 Identificacao autenticacao de usuario 11.5.3 Sistema de gerenciamento de senha .. 11.5.4 Uso de utilitarios de sistema. 11.5.5 Limite de tempo de sessao. 11.5.6 Limitagao de horario de conexao 11.6 Controle de acesso a aplicagao e a informagao 11.6.1. Restrigao de acesso a informacao 11.6.2 Isolamento de sistemas sensiveis. 11.7 Computagao mével e trabalho remoto 11.7.1 Computagao e comunicacdo mével 14.7.2 Trabalho remote .. 12 Aquisicao, desenvolvimento e manutengdo de sistemas de informagao 12.1 Requisitos de seguranca de sistemas de informacao. 12.1.1 Andlise e especificacao dos requisitos de seguranca 12.2 Processamento correto nas aplicacées. 12.2.1 Validagao dos dados de entrada. 12.2.2 Controle do processamento interno. 12.2.3. Integridade de mensagens 12.2.4 Validagao de dados de saida. 12.3. Controles criptograficos.. 12.3.1. Politica para o uso de controles criptograficos .. 12.3.2 Gerenciamento de chave 12.4 Seguranca dos arquivos do sistema... 12.4.1. Controle de software operacional. 12.4.2 Protegao dos dados para teste de sistema.. 12.4.3 Controle de acesso ao cédigo-fonte de programa ... 12.5 Seguranca em processos de desenvolvimento e de suporte. 12.5.1 Procedimentos para controle de mudancas, : 12.5.2 Anilise critica técnica das aplicagoes apés mudancas no sistema operacional 94 12.5.3 Restric6es sobre mudangas em pacotes de software.. @ABNT 2005 - Todos 08 diteltos reservados vABNT NBR ISO/IEC 17799:2005 125.4 1255 126 126.1 13 134 43.4.4 13.1.2 13.2 13.2.4 13.22 13.23 vi Vazamento de informagées . Desenvolvimento terceirizado de software, 96 Gestdo de vulnerabilidades técnicas .. Controle de vulnerabilidades técnicas. Gestao de incidentes de seguranga da informagio .... Notificacao de fragilidades e eventos de seguranga da Informacao. Notificaco de eventos de seguranca da informagao Notificando fragilidades de seguranca da informagao. Gestao de incidentes de seguranca da informacao e molhorias, Responsabilidades e procedimentos... Aprendendo com os incidentes de seguranga da informagao.. Coleta de evidéncias Gestio da continuidade do negécio. Aspectos da gestio da continuldade do negécio, relativos a seguranga da Informag: Incluindo seguranca da informagao no processo de gestae da continuidade de negécio... Continuidade de negécios e andlise/avaliagao de riscos, Desenvolvimento ¢ implementagao de planos de continuidade relatives 4 seguranga da informagao 104 105 Estrutura do plano de continuidade do negécio. Testes, manutengao e reavaliagao dos planos de continuidade do negécio . ‘Conformidad: Conformidade com requisitos legais . Identificacao da legislagao aplicavel. Direitos de propriedade intelectual Protecao de registros organizacionais .. Protecdo de dados e privacidade de informacées pessoais Prevengao de mau uso de recursos de processamento da informacao ... Regulamentacao de controles de criptografia ‘Conformidade com normas e politicas de seguranga da informagao e conformidade técnica, Conformidade com as politicas e normas de seguranga da informacao.. Verificacao da conformidade técnica.. Consideracées quanto a auditoria de sistemas de informacao. Controles de auditoria de sistemas de informacao. Protecdo de ferramentas de auditoria de sistemas de informagao (GABNT 2005 - Todos 08 dvotos reservadosABNT NBR ISO/IEC 17795 2005 Prefacio Nacional A Associagéo Brasileira de Normas Técnicas (A3NT) o Férum Nacional de Normalizagdo, ‘As Normas Brasileiras, cujo contetido 6 de responsabilidade dos Comités Brasileiros (ABNT/CB), dos Organismos de Normalizagao Setorial (ABNT/ONS) e das Comissées de Esludo Especiais Temporarias (ABNT/CEET), sd0 elaboradas por Comisses de Estudo (CE), formadas por representantes dos setores envolvidos, delas fazendo Parte: produtores, consumidores e neutros (universidades, laboratérios e outros). A ABNT NBR ISO/IEC 17799 fol elaborada no Comité Brasileiro de Computadores e Processamento de Dados (ABNTICB-21), pela Comissdo de Estudo de Seguranca Fisica em Instalagées de Informatica (CE-21:204.01). © Projeto circulou em Consulta Nacional conforme Eaital n* 03, de 31.03.2005, com 0 niimero de Projeto NBR ISO/IEC 17799. Esta Norma é equivalente a ISO/IEC 17799:2005. Uma familia de normas de sistema de gestéo de seguranga da informagao (SGSI) esté sendo desenvolvida no ISO/IEC JTC 1/SC 27. A familia inclui normas sobre requisites de sistema de gestao da seguranga da informagao, gestdo de riscos, métricas e medidas, e diretrizes para implementagao. Esta familia adotara um esquema de numeragao usando a série de nlimeros 27000 em seqliéncia, A partir de 2007, a nova edigéo da ISO/IEC 17799 sera incorporada ao novo esquema de numeragéo como ISO/IEC 27002. Os termos relacionados a seguir, com a respectiva descrigao, foram mantidos na lingua inglesa, por nao possuirem tradugdo equivalente para a lingua portuguesa: Back-up — cépias de seguranga de arquivos. BBS (Bulletin Board System) ~ sistema no qual um computador pode se comunicar com outros computadores por meio de linha telefonica, como na Internet. Buffer overflow/overrun ~ transbordamento de dados. Situagao que ocorre quando dados em demasia so aceitos na entrada de uma aplicaco ou durante o processamento interno do sistema, ullrapassando a sua capacidade de armazenamento. Call back — retorno de chamada, Call center — central de atendimento. Call forwarding - encaminhamento de chamada. Covert channel — canal de comunicagées que permite o fluxo de informagées de uma maneira que viole a politica de seguranga do sistema, Denial of service (negago do servigo) — impedimento do acesso autorizado aos recursos ou retardamento de operacées criticas por um certo periodo de tempo. Dial up — servigo por meio do qual um computador pode usar a linha telef6nica para iniclar e efetuar uma ‘comunicago com outro computador. Display — dispositive de apresentagao de dados. Download - descarregamento, transferéncia de arquivos entre computadores por meio de uma rede. E-business - modalidade eletrénica de realizagao de transagbes de negécios, {@ABNT 2005 - Todos 08 direitos reservados vilABNT NBR ISO/IEC 17799:2005 EDI ~ Eletronic Data Interchange — intercdmbio eletrénico de dados. E-government ~ modalidade eletrénica de realizagao de transagdes de negécios @ prestagao de servicos por entidades governamentais. Firewall - sistema ou combinago de sistemas que protege a fronteira entre duas ou mais redes. Flash Disks — dispositivos de armazenamento de dados que utiiza circuitos integrados de meméria nao volatil Gateway — equipamento que funciona como ponto de conexao entre duas redes. Hacker — pessoa que tenta acessar sistemas sem autorizagao, usando técnicas proprias ou nao, no intuito de ter acesso a determinado ambiente para provelto préprio ou de terceiros, Dependendo dos objetivos da aco, podem ser chamados de Cracker, Lammer ou BlackHat. Hash — representagao matemdtica Unica de um conjunto de dados (resumo de mensagem). Help desk — fonte de suporte técnico aos usuarios, ISP provedores de servigos de Internet. Log-On — processo de identificacao e autenticagao de um usuario para permitir 0 seu acesso a um sistema. Logging ~ registro do histérico de atividades realizadas ou de eventos ocorridos em um determinado sistema ou proceso. Middleware — personalizagao de software; software de sistema que foi personalizado por um vendedor para um. usudrio particular. Need fo know ~ concelto que define que uma sé pessoa precisa acessar os sistemas necessérios para realizar a sua atividade, ‘Network worms (vermes de rede) — cédigo malicioso autopropagavel que pode ser distribuido automaticamente de um computador para outro por meio de conexdes de rede local ou pela _ Internet. Um worm pode realizar ages perigosas, como consumir banda de rede e recursos locals. Patch — corregao temporaria efetuada em um programa; pequena corregao executada pelo usuario no software, com as instrugdes do fabricante do software. PDA ~assistente digital pessoal. PIN (Personal Identification Number) — niimero de identificagao pessoal. Program-to-program controls ~ controles entre programas. Root ~ usuario administrador com privilégios irrestritos no sistema. Rup-to-run controls — controles entre execugoes. ‘Scanners — periférico de digitalizagao de imagens e documentos. ‘Snapshot - retrato do estado de um sistema em um estagio especttico. Sniffer — um software ou dispositive especializado que captura pacotes na rede. Timostamp (carimbo de tempo) - registro temporal de um evento. vill @ABNT 2005 - Todos o8 direitos reservadosABNT NBR ISO/IEC 17799:2005 Tokens ~ Dispositivo fisico para autenticagao. Exemplos: token criptogréfico, token de senha dinémica, token de meméria, entre outros, UTC ~ Coordinated Universal Time — Tempo Universal Coordenad. Wireless ~ sistema de comunicagao que no requer flos para transportar sinais. Em 6.1.3, Diretrizes para implementagdo, primeiro paragrafo, a ISO/IEC 17799:2005 faz uma referéncia equivocada a seco 4. Esse equivoco foi corrigido nesta ABNT NBR ISO/IEC 17799 e a notificagao deste foi feita ao ISO/IEC JTC 1 para correcdo da norma original Esta segunda edigéo cancela e substitul a edigéo anterior (ABNT NBR ISO/IEC 17799:2001), a qual fol tecnicamente revisada. Esta versao corrigida da ABNT NBR ISO/IEC 17799:2005 incorpora a Errata 1 de 28.08.2008 e Errata 1 de 02.07.2207. CABNT 2005 - Todos 08 direitos reservados xABNT NBR ISO/IEC 17799:2005 0 Introdugdo 0.1 © que é seguranga da informago? A informagao 6 um ativo que, como qualquer outro ativo importante, 6 essencial para os negécios de uma organizagao e conseqilentemente necesita ser adequadamente protegida, Isto 6 especialmente importante no ambiente dos negécios, cada vez mais interconectado. Como um resultado deste incrivel aumento da interconectvidade, a informagao esté agora exposta a um crescente numero @ a uma grande variedade de ameacas e vulnerabilidades (ver OECD Diretrizes para a Seguranga de Sistemas de Informagées ¢ Redes). A informagao pode existir em diversas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletronicos, apresentada em filmes ou falada em conversas. Seja qual for a forma apresentada ou o meio através do qual a informacao 6 compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente, ‘Seguranca da informagao € a protecdo da informago de varios tipos de ameagas para garantir a continuidade do negécio, minimizar 0 risco a0 negécio, maximizar o retorno sobre os investimentos @ as oportunidades de negécio, A seguranca da informagao € obtida a partir da implementagao de um conjunto de controles adequados, incluindo politicas, processos, procedimentos, estruturas organizacionais e fungdes de software © hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente melhorados, onde necessério, para garantir que os objetivos do negocio e de seguranga da organizacao sejam atendidos. Convém que isto seja feito em conjunto com outros processos de gestao do negécio. 0.2 Por que a seguranga da informagao é necessaria? A informagdo @ 0s processos de apoio, sistemas e redes sdo importantes ativos para os negécios Definir, alcangar, manter © melhorar a seguranca da informacdo podem ser atividades essenciais para assegurar a competitividade, o fluxo de calxa, a lucratividade, o alendimento aos requisites legais ¢ a imagem da organizagao junto ao mercado, As organizagoes, seus sistemas de informagao e redes de computadores sao expostos a diversos tipos de ameacas & seguranca da informagao, incluindo fraudes eletrénicas, espionagem, sabotagem, vandalismo, incéndio e inundagdo. Danos causados por cédigo malicioso, hackers alaques de denial of service estao se tomando cada vez mais comuns, mais ambiciosos e incrivelmente mais sofisticados. ‘A seguranga da informagao 6 importante para os negécios, tanto do setor piiblico como do setor privado, @ para proteger as infra-estruluras criticas. Em ambos os setores, a fungao da seguranga da informagdo é viabilizar os Negécios como 0 governo eletrénico (e-gov) ou 0 comércio eletrénico (e-business), e evitar ou reduzir 0s riscos, relevantes. A interconexao de redes publicas privadas e o compartilhamento de recursos de informagao aumentam a dificuldade de se controlar 0 acesso. A tendéncia da computago distribulda reduz a eficacia da implementagao de um controle de acesso centralizado. Muitos sistemas de informagao nao foram projetados para serem seguros. A seguranca da informagao que pode ser alcangada por meios técnicos 6 limitada e deve ser apoiada por uma gesléo e por procedimentos apropriados. A identificacdo de controles a serem implantados requer um planejamento cuidadoso © uma atengao aos detalhes. A gesio da seguranca da informacao requer pelo menos a participagao de todos os funcionérios da organizagao. Pode ser que seja necesséria também a parlicipagdio de acionistas, fomecedores, terceiras partes, clientes ou outras partes extemas. Uma consultoria externa especializada pode ser também necessétia. x @ABNT 2005 - Todos o8 direitos reservadosABNT NBR ISO/IEC 17795 2005 0.3 Como estabelecer requisitos de seguranga da informagao E essencial que uma organizagiio identifique os seus requisilos de seguranga da informagabo. Existem trés fontes principais de requisitos de seguranga da informacao. 1. Uma fonte é obtida a partir da andlise/avaliagdo de riscos para a organizagao, levando-se em conta 08 objetivos © as estratégias globais de negécio da organizacao. Por meio da andlise/avaliacdo de fiscos, séo identificadas as ameagas aos ativos e as vulnerabilidades destes, e realizada uma estimativa da probabilidade de ocorréncia das ameagas e do impacto potencial ao negécio. 2, Uma outra fonte 6 a legislagao vigente, os estatutos, a regulamentagao e as clausulas contratuais que a organizagéo, seus parceiros comerciais, contratados e provedores de servigo tém que atender, além do seu ambiente sociocultural. 3. A terceira fonte um conjunto particular de principios, objetivos @ os requisites do negécio para o processamento da informagao que uma organizacdo tem que desenvolver para apolar suas operagées. 0.4 Analisando/avaliando os riscos de seguranga da informagao Os requisitos de seguranga da informacao sao identificados por meio de uma analise/avaliagao sistematica dos riscos de seguranca da informagao. Os gastos com os controles precisam ser balanceados de acordo com os danos causados aos negécios gerados pelas potenciais falhas na seguranga da informacao. Os resultados da andlise/avaliagao de riscos ajudaro a direcionar e a delerminar as acées gerenciais apropriadas @ as prioridades para o gerenciamento dos riscos da seguranga da informagéo, e para a implementagao dos controles selecionados para a protegao contra estes riscos. Convém que a analise/avaliagao de riscos seja repetida periodicamente para contemplar quaisquer mudangas que possam influenciar os resullados desta andlise/avaliagao. Informagées adicionais sobre a anélise/avaliacdo de riscos de seguranga da informago podem ser encontradas em 4.1 “Analisandofavaliando os riscos de seguranga da informagao". 0.5 Selegdo de controles Uma vez que 0s requisitos de seguranga da informagao e os riscos tenham sido identificados e as decisées para o tratamento dos riscos tenham sido tomadas, convém que controles apropriados sejam selecionados e implementados para assegurar que os riscos sejam reduzidos a um nivel aceitével. Os controles podem ser selecionados a partir desta Norma ou de um outro conjunto de controles ou novos controles podem ser desenvolvidos para atender as necessidades especificas, conforme apropriado. A selego de controles de seguranca da informacaio depende das decisées da organizacéo, baseadas nos critérios para aceltagto de Tisco, nas opgées para tratamento do risco e no enfoque geral da gestao de risco aplicado 4 organizagao, & convém que também esteja sujeito a todas as legislagdes e regulamentagGes nacionais e internacionais, relevantes, Alguns dos controles nesta Norma podem ser considerados como principios basicos para a gesto da seguranga da informagao e podem ser aplicados na maioria das organizages. Estes controles sao explicados ‘em mais detalhes no item “Ponto de partida para a seguranca da informacao Informagées adicionais sobre selegdo de controles e oulras opgdes para tratamenlo de risco podem ser ‘encontradas em 4.2 “Tratamento dos riscos de seguranga da informagao" CABNT 2005 - Todos 08 direitos reservados xiABNT NBR ISO/IEC 17799:2005 0.6 Ponto de partida para a seguranga da informagao Um certo niimero de controles pode ser considerado um bom ponto de partida para a implementagao da seguranga da informagao. Estes controles sao baseados tanto em requisitos legais como nas melhores praticas de seguranga da informacao normalmente usadas. (Os controles considerados essenciais para uma organizago, sob 0 ponto de vista legal, incluem, dependendo da legistagao aplicave!: a) protecao de dados e privacidade de informagbes pessoais (ver 15.1.4); b)_protegao de registros organizacionais (ver 18.1.3); ©) direitos de propriedade intelectual (ver 15.1.2). Os controles considerados praticas para a seguranga da informagao incluem 2) documento da politica de seguranca da informagao (ver 5.1.1); b) atribuigdo de responsabilidades para a seguranga da informago (ver 6.1.3); €) conscientizagso, educagio e treinamento em seguranca da informagao (ver 8.2.2); 4) processamento correto nas aplicacbes (ver 12.2); €) gestao de vulnerabilidades técnicas (ver 12.6); 4) gestao da continuidade do negécio (ver segao 14); 9) gestdo de incidentes de seguranga da informagao @ melhorias (ver 13.2) Esses controles se aplicam para a maioria das organizagées @ na maioria dos ambientes. Convém observar que, embora todos os controles nesta Norma sejam importantes e devam ser considerados, @ relevancia de qualquer controle deve ser determinada segundo os riscos especfficos a que uma organizagéo ‘esta exposta. Por isto, embora o enfoque acima seja considerado um bom ponto de partida, ele ndo substitui a selecdo de controles, baseado na andlise/avaliagao de riscos. 0.7 Fatores criticos de sucesso A experiéncia tem mostrado que os seguintes fatores so geralmente criticos para o sucesso da implementacao da seguranga da informagao dentro de uma organizagao: a) politica de seguranga da informacao, abjetivas e atividades, que refitam os objetives do negécio; b) uma abordagem e uma estrutura para a implementagao, manutengao, monitoramento e melhoria da seguranga da informagao que seja consistente com a cultura organizacional; ©) comprometimento ¢ apoio visivel de todos os niveis gerenciais; 4) um bom entendimento dos requisitos de seguranga da informacao, da andlise/avaliacao de riscos © da gestdo de risco; e) divulgago eficiente da seguranca da informagao para todos os gerentes, funcionatios e outras partes envolvidas para se alcangar a conscientizagao; xii @ABNT 2005 - Todos o8 direitos reservadosABNT NBR ISO/IEC 17795 2005 f) distribuigao de diretrizes e normas sobre a politica de seguranga da informagao para todos os gerentes, funcionérios e outras partes envolvidas; @) proviso de recursos financeiros para as atividades da gestdo de seguranga da informagéo; h)_provisde de conscientizagao, treinamento e educagao adequados; i) estabelecimento de um eficiente processo de gesiéo de incidentes de seguranga da informagéio; }) implementagao de um sistema de medigao?, que soja usado para avaliar o desempenho da gestéo da seguranga da informagao e obtengao de sugestées para a melhoria 0.8 Desenvolvendo suas préprias diretrizes Esta Norma pode ser considerada como um ponto de partida para o desenvolvimento de diretrizes especiticas para a organizagéo. Nem todos os controles e diretizes contidos nesta Norma podem ser aplicados. Alem isto, controles adicionais © recomendacdes nao incluidos nesta Norma podem ser necessarios. Quando os documentos so desenvolvidos contendo controles ou recomendagées adicionais, pode ser ail realizar uma referéncia cruzada para as segdes desta Norma, onde aplicavel, para faciltar a verificagao da conformidade por auditores e parceiros do negécio. * Deve-se observar que as medigdes de seguranga da informagao esto fora do escopo desta Norma CABNT 2005 - Todos 08 direitos reservados xiiNORMA BRASILEIRA ABNT NBR ISO/IEC 17799:2005 Tecnologia da informagao — Técnicas de seguranga — Cédigo de pratica para a gestdo da seguranca da informagao 1 Objetivo Esta Norma estabelece diretrizes e principios gerais para iniciar, implementar, manter e melhorar a gestao de seguranga da informagaio em uma organizago. Os objetivos definidos nesta Norma provéem diretrizes gerais, sobre as metas geralmente aceitas para a gestao da seguranga da informagao, Os objetivos de controle os controles desta Norma t&m como finalidade ser implementados para atender aos, requisitos identificados por meio da andliselavaliagao de riscos. Esta Norma pode servir como um guia pratico para desenvolver os procedimentos de seguranga da informagao da organizagao e as eficientes praticas de gestao da seguranca, e para ajudar a criar confianca nas atividades interorganizacionais. 2 Termos e definigées Para os efeitos desta Norma, aplicam-se os seguintes termos e definicées. 24 ativo qualquer coisa que tenha valor para a organizaco [ISO/EC 13335-1:2004] 22 controle forma de gerenciar 0 risco, incluindo politicas, procedimentos, diretrizes, praticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de gestao ou legal NOTA Controle é também usado como um sindmino para protege ou contramedida, 23 jrotriz descrig&o que orienta o que deve ser feito e como, para se alcangarem os objetivos estabelecidos nas politicas [ISONEC 13335-1:2004] 24 recursos de processamento da informacao qualquer sistema de processamento da informagao, servigo ou infra-estrutura, ou as instalagdes fisicas que os, abriguem 25 seguranga da informagao preservacao da confidencialidade, da integridade © da disponibilidade da informagao; adicionaimente, outras, propriedades, tals como autenticidade, responsabllidade, nao repidio e conflabllidade, podem também estar envolvidas GABNT 2005 - Todos 08 dlitvtes reservados 1ABNT NBR ISO/IEC 17799:2005 26 evento de seguranga da informagao ocorréncia identificada de um sistema, servigo ou rede, que indica uma possivel violagao da politica de seguranga da informagao ou falha de controles, ou uma situagao previamente desconhecida, que possa ser relevante para a seguranga da informagao [ISO/IEC TR 18044:2004] 27 idente de seguranga da informacao um incidente de seguranga da informagéio 6 indicado por um simples ou por uma série de eventos de seguranga da informagao indesejados ou inesperados, que tenham uma grande probabilidade de compromoter as operagées do negécio e ameagar a seguranca da informacao [ISO/IEC TR 18044:2004) 28 politica Intengées e diretrizes globais formalmente expressas pela diregaio 2.9 risco combinagao da probabilidade de um evento @ de suas conseaiiéncias. IABNT ISO/IEC Guia 73:2005] 2.10 anilise de riscos uso sistematico de informages para identificar fontes e estimar 0 risco [ABNT ISO/IEC Guia 73:2005] 211 anilise/avaliagao de riscos. processo completo de andlise e avaliago de riscos [ABNT ISO/IEC Guia 73:2005} 242 avaliagao de riscos Proceso de comparar o risco estimado com critérios de risco pré-definidos para determinar a importancia do IABNT ISO/IEC Guia 73:2005] 2.13 gestdo de riscos atividades coordenadas para direcionar e controlar uma organizagao no que se refere a riscos NOTA Agestio de riscos geralmente inclul a andlise/avaliagao de riscas, o tratamento de riscos, a aceitagao de riscos 2 a comunicagao de riscos. [ABNT ISO/IEC Guia 73:2005] 2.14 tratamento do risco processo de selego e implementagdo de medidas para modificar um risco [ABNT ISO/IEC Guia 73:2005] 245 terceira parte pessoa ou organismo reconhecido como independente das partes envolvidas, no que se refere a um dado assunto [ABNT ISO/IEC Guia 2:1998] 2 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 2.16 ameaga causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organizagao [ISONEC 13335-1:2004] 247 vulnerabildade fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameagas GABNT 2005 - Todos 08 dlitvtes reservados 3ABNT NBR ISO/IEC 17799:2005 3 Estrutura desta Norma Esta Norma contém 11 seg6es de controles de seguranga da informaco, que juntas totalizam 39 categorias rincipais de seguranga e uma segao introdutéria que aborda a analise/avaliagao e o tratamento de riscos. 3.1 Segdes Cada segdo contém um niimero de categorias principais de seguranga da informagao. As 11 segdes {acompanhadas com o respectivo nlimero de calegorias) sao: a) Politica de Seguranga da Informagao (1); b) Organizando a Seguranga da Informagao (2); ©) Gestao de Ativos (2); 4) Seguranga em Recursos Humanos (3); @) Seguranga Fisica ¢ do Ambiente (2); 1) Gestdo das Operagées e Comunicagses (10); 9) Controle de Acesso (7); hh) Aquisigao, Desenvolvimento e Manutengao do Sistemas de Informagao (6); 1) Gestao de Incidentes de Seguranca da Informacao (2); }) Gestéo da Continuidade do Negécio (1) k) Conformidade (3). Nota: A ordem das segdes nesta Norma néo significa 0 seu grau de jmporténcia. Dependendo das circunsténcias, {odas as se¢oes podem ser importantes. Portanto, convém que cada organizagao que ullize esta Norma identifque quais ‘do 0s itens aplicaveis, quao importantes eles sao 6 a sua aplicagao para os processos especificas do negécio. Todas as alineas nesta Norma também ndo esto ordenadas por prioridade, a menos que explicitado. 3.2. Principais categorias de seguranga da informagao Cada categoria principal de seguranga da informagao contém: a) um objetivo de controle que define o que deve ser alcangado; e b)_um ou mals controles que podem ser aplicados para se alcangar 0 objetivo do controle. As descrigées dos controles esto estruturadas da seguinte forma Controle Define qual o controle especifico para atender ao objetivo do controle. Diretrizes para a implementago Contém informagées mals detalhadas para apolar a implementag&o do controle e atender ao objetivo de controle. Aigumas destas diretrizes podem nao ser adequadas em todos os casos e assim outras formas de implementagao do controle podem ser mais apropriadas. 4 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 Informagses adicionais Contém informagGes adicionais que podem ser consideradas, como, por exemplo, consideracées legais ¢ referéncias a outras normas. GABNT 2005 - Todos 08 dlitvtes reservados 5ABNT NBR ISO/IEC 17799:2005 4 Anilise/avaliagao e tratamento de riscos 4.1. Analisando/avaliando os riscos de seguranga da informacao Convém que as analises/avaliagdes de riscos identifiquem, quantifiquem e priorizem os riscos com base em critérios para aceitagao dos riscos e dos objetivos relevantes para a organizagéo. Convém que os resultados orientem e determinem as agdes de gestdo apropriadas e as prioridades para o gerenciamento dos riscos de seguranga da informagdo, e para a implementacdo dos controles selecionados, de maneira a proteger contra estes riscos. O processo de avaliar os riscos e selecionar os controles pode precisar ser realizado varias vezes, de forma a cobrir diferentes partes da organizagao ou de sistemas de informagao especificos. Convém que a andlise/avaliagao de riscos inclua um enfoque sistematico de estimar a magnitude do risco {anélise de riscos) e o processo de comparar os riscos estimados contra os critérios de risco para determinar a significancia do risco (avaliacao do risco). Convém que as analises/avaliagées de riscos também sejam realizadas periodicamente, para contemplar as mudangas nos requisitos de seguranca da informagao e na situaco de risco, ou seja, nos ativos, ameacas, vulnerabilidades, impactos, avaliagao do risco e quando uma mudanga significativa ocorrer. Essas analises/ avaliagées de riscos devem ser realizadas de forma metédica, capaz de gerar resultados comparaveis reproduzivels. Convém que a anélise/avaliagao de riscos de seguranga da informagao tenha um escopo claramente definido para ser eficaz e inclua os relacionamentos com as andlises/avaliagées de riscos em outras areas, se necessatio. © escopo de uma analise/avaliagao de riscos pode tanto ser em toda a organizacao, partes da organizacao, ‘em um sistema de informacao especifico, em componentes de um sistema especifico ou em servigos onde isto seja pralicdvel, realistico e util. Exemplos de metodolagias de anélise/avaliagao de riscos s4o disculidas no ISO/IEC TR 13335-3 (Guidelines for the management of IT security: Techniques for the management of IT Security). 4.2 Tratando os riscos de seguranga da informagao Convém que, antes de considerar 0 tratamento de um risco, a organizagao defina os critétios para determinar se os riscos podem ser ou nao aceitos. Riscos podem ser aceitos se, por exemplo, for avaliado que o risco baixo ou que 0 custo do tratamento ndo 6 economicamente vidvel para a organizagao. Convém que tais decisées sejam registradas, Para cada um dos risoos identificados, seguindo a andlise/avaliagao de riscos, uma decisao sobre o tratamento do risco precisa ser tomada. Possiveis opGdes para o tratamento do risco, incluem: a) aplicar controles apropriados para reduzir os riscos; b) conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente a politica da organizagao e aos criterios para a aceltag&o de risco; ©) evitar riscos, nao permitindo agdes que poderiam causar a ocorréncia de riscos; )_transferir os riscos associados para outras partes, por exemplo, seguradoras ou fomecedores. 6 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 Convém que, para aqueles riscos onde a decisdo de tratamento do risco seja a de aplicar os controles apropriados, esses controles sejam selecionados e implementados para atender aos requisitos identificados pela andlise/avaliag4o de riscos. Convém que os controles assegurem que os riscos sejam reduzidos a um nivel aceitavel, levando-se em conta’ a) 05 requisitos e restrigdes de legislagbes @ regulamentagdes nacionais e internacionais; b)_ 08 objetivos organizacionais; ©) 08 requisites e restrigées operacionais; d) custo de implementagdo @ a operagdo em relagao aos riscos que esto sendo reduzidos e que permanecem proporcionais as restrigdes e requisites da organizagao; ©) a necessidade de balancear 0 investimento na implementagao © operagao de controles contra a probabilidade de danos que resultem em falhas de seguranga da informacao. Os controles podem ser selecionades desta Norma ou de outros conjuntos de controles, ou novos controles podem ser considerados para atender as necessidades especificas da organizagao, € importante reconhecer que alguns controles podem nao ser aplicdvels a todos os sistemas de Informagao ou ambientes, e podem nao ser praticéveis para todas as organizagdes. Como um exemplo, 10.1.3 descreve como as responsablidades podem ser segregadas para evitar fraudes e erros. Pode nao ser possivel para pequenas organizagdes Segregar todas as responsabilidades e, portanto, outras formas de alender o mesmo objetivo de controle podem ser necessarias, Em um outro exemplo, 10,10 descreve como o uso do sistema pode ser monitorado e as evidéncias coletadas. Os controles descritos, como, por exemplo, eventos de ‘logging’, podem conflitar com a legislagao aplicdvel,tais como a protegdo & privacidade dos clientes ou a exercida nos locals de trabalho. Convém que os controles de seguranga da Informaco sejam considerados na especificagao dos requisites & nos estagios iniciais dos projetos e sistemas. Caso isso nao seja realizado, pode acarretar custos adicionais & solugdes menos efetivas, ou mesmo, no pior caso, incapacidade de se alcancar a seguranga necessaria Convém que seja lembrado que nenhum conjunto de controles pode conseguir a seguranga completa, @ que uma ago gerencial adicional deve ser implementada para monitorar, avaliar e melhorar a eficiéncia e eficdcia dos controles de seguranca da informacao, para apoiar as metas da organizacao. GABNT 2005 - Todos 08 dlitvtes reservados 7ABNT NBR ISO/IEC 17799:2005 5 Politica de seguranga da informagao 5.1. Politica de seguranga da informagao ‘Objetivo: Prover uma orientagdo e apoio da diregao para a seguranga da informagao de acordo com os requisitos do negécio © com as leis @ regulamentagées pertinentes. Convém que a direcdo estabeleca uma clara orientagao da politica, alinhada com os objetivos do negécio @ demonstre apoio e comprometimento com a seguranga da informagao por meio da publicaczio e manulengao de uma politica de seguranga da informagao para toda a organizagao. 5.1.1 Documento da politica de seguranga da informagao Contrale Convém que um documento da politica de seguranga da informagao seja aprovado pela diregao, publicado comunicade para todos os funcionarios e partes externas relevantes. Diretrizes para implementagao, Convém que 0 documento da politica de seguranga da informagao declare o comprometimento da direcdo ¢ estabelega 0 enfoque da organizagdo para gerenciar a seguranga da informagao. Convém que o documento da politica contenha declaragées relativas a: a) uma definigéo de seguranca da informaco, suas metas globais, escopo e importancia da seguranca da informagao como um mecanismo que habilita o compartilnamento da informagao (ver introdugao); b) uma declaragao do comprometimento da diregao, apoiando as metas e principios da seguranga da informaco, alinhada com os objetivos e estratégias do negécio; ) uma estrutura para estabelecer os objetivos de controle € os controles, incluindo a estrutura de analise/avaliago e gerenciamento de risco; d) breve explanagao das politicas, principios, normas e requisitos de conformidade de seguranga da informagéo especificos para a organizacao, incluindo: 1) conformidade com a legislagao e com requisitos regulamentares ¢ contratuais; 2) requisitos de conscientizacdo, treinamento e educagéo em seguranca da informagao; 3) gestdo da continuidade do negécio; 4) conseqiiéncias das violagées na politica de seguranga da informagao; e) definigao das responsabilidades gerais e especificas na gestéo da seguranga da informagao, incluindo 0 registro dos incidentes de seguranga da informagao; 1) referéncias & documentagaio que possam apoiar a politica, por exemplo, politicas ¢ procedimentos de seguranga mais detalhados de sistemas de informagdo especificos ou regras de seguranga que os usuarios devem seguir Convém que esta politica de seguranga da informago seja comunicada através de toda a organizacio para os usudrios de forma que seja relevante, acessivel e compreensivel para o leitor em foco. Informacdes adicionais A politica de seguranga da informagao pode ser uma parte de um documento da politica geral. Se a politica de seguranga da informagdo for distribuida fora da organizagdo, convém que sejam tomados cuidados para ndo revelar informagdes sensiveis. InformagGes adicionais podem ser encontradas na ISO/IEC 13335-1:2004. 8 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 5.1.2 Anélise critica da politica de seguranga da Informagao Controle Convém que a politica de seguranga da informacao seja analisada criticamente a intervalos planejados ou quando mudangas significativas ocorrerem, para assegurar a sua continua perlinéncia, adequagao e eficacia, Diretrizes para implementacao Convém que a politica de seguranca da informagao tenha um gestor que tenha responsabilidade de gestao aprovada para desenvolvimento, andlise critica e avaliago da politica de seguranga da informagao. Convém que a andlise critica inclua a avaliagao de oportunidades para melhoria da politica de seguranga da informagdo da organizagao e tenha um enfoque para gerenciar a seguranca da informagéio em resposta as mudangas ao ambiente organizacional, &s circunstancias do negécio, as condigbes legals, ou ao ambiente técnico, Convém que a anélise critica da politica de seguranga da informago leve em consideragao os resultados da andlise critica pela direcdo. Convém que sejam definidos procedimentos para andlise critica pela direcdo, incluindo uma programagao ou um periodo para a analise critica. Convém que as entradas para a analise critica pela diregao incluam informag6es sobre: a) _realimentagao das partes interessadas; b) resultados de andlises criticas independentes (ver 6.1.8); ©) situagao de ages preventivas e corretivas (ver 6.1.8 © 15.2.1); d) resultados de andlises criticas anteriores feitas pela diregao; ) desempenho do processo e conformidade com a politica de seguranga da informagao; f)mudangas que possam afetar o enfoque da organizacao para gerenciar a seguranca da informagao, incluindo mudangas no ambiente organizacional, nas circunstancias do negécio, na disponibilidade dos recursos, nas questées contratuais, regulamentares e de aspectos legais ou no ambiente técnico; 9) tendéncias relacionadas com as ameagas e vulnerabilidades; h)_relato sobre incidentes de seguranga da informago (ver 13.1); i) recomendagées fornecidas por autoridades relevantes (ver 6.1.6). Convém que as saidas da anélise critica pela diregao incluam quaisquer decises e ag6es relacionadas a: a) _methoria do enfoque da organizagao para gerenciar a seguranga da informagao e seus processos; b)_methoria dos controles e dos objetivos de controles; ©) methoria na alocagao de recursos e/ou de responsabilidades. Convém que um registro da andlise critica pela diregao soja mantido. Convém que a aprovagao pela dirego da politica de seguranga da informagao revisada seja obtida. GABNT 2005 - Todos 08 dlitvtes reservados 9ABNT NBR ISO/IEC 17799:2005 6 Organizando a seguranga da informagao 6.1 Organizagao interna ‘Objetivo: Gerenciar a seguranga da informagao dentro da organizago. Convém que uma estrutura de gerenciamento seja estabelecida para iniciar e controlar a implementacao da sseguranca da informacao dentro da organizacao. Convém que a direc&o aprove a politica de seguranca da informagdo, atribua as fungSes da seguranca, coordene ¢ analise criticamente a implementago da seguranga da informagao por toda a organizacdo. Se necessario, convém que uma consultoria especializada em seguranga da informagdo seja estabelecida disponibilizada dentro da organizagao. Convém que contatos com especialistas ou grupos de seguranga da informagao externos, incluindo autoridades relevantes, sejam feitos para se manter atualizado com as tendéncias de mercado, monitorar normas e métodos de avaliagdo, além de fornecer apoio adequado, quando estiver tratando de incidentes de seguranga da informacao, Convém que um enfoque multigisciplinar na seguranga da Informagao seja incentivado, 6.1.1 Comprometimento da diregdo com a seguranga da informagao Controle Convém que a direco apéie alivamente a seguranca da informagao dentro da organizacdo, por meio de um claro direcionamento, demonstrando 0 seu comprometimento, definindo atribuigées de forma explicita reconhecendo as responsabilidades pela seguranga da informagao, Diretrizes para implementacao Convém que a diregao: a) assegure que as metas de seguranga da informagao esto identificadas, atendem aos requisites da organizagao e estdo integradas nos processos relevantes; b) formule, analise crticamente e aprove a politica de seguranga da informagéo; ©) analise crticamente a eficécia da implementagSo da politica de seguranga da informagio; 4) forneca um claro direcionamento e apoio para as iniciativas de seguranga da informagao; €) fomeca os recursos necessétios para a seguranga da informacao; 4) aprove as atribuigées de tarefas e responsabilidades especificas para a seguranca da informagao por toda a organizaca 9) inicie planos e programas para manter a conscientizagao da seguranga da informago; hh) assegure que a implementagao dos controles de seguranca da informacao tem uma coordenagao e permeia a organizagao (ver 6.1.2). Convém que a diregao identifique as necessidades para a consultoria de um especialista interno ou externo em seguranga da informagao, analise criticamente e coordene os resultados desta consultoria por toda a organizagao. Dependendo do tamanho da organizagao, tals responsabilidades podem ser conduzidas por um forum de gestao exclusive ou por um férum de gestéo existente, a exemplo do conselho de diretores, 10 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 Informacses adicionais Outras informagdes podem ser obtidas na ISO/IEC 13335-1:2004. 6.1.2 Coordenagao da seguranca da informagao Controle Convém que as atividades de seguranga da informagao sejam coordenadas por representantes de diferentes partes da organizacao, com fungées e papéis relevantes, Diretrizes para implementacdo Convém que a coordenagao da seguranga da informagao envolva a cooperagao e colaboragao de gerentes, usuarios, administradores, desenvolvedores, auditores, pessoal de seguranga e especialistas com habilidades has Areas de seguro, questées legais, recursos humanos, Tl e gestdo de riscos. Convém que esta atividade: a) garanta que as atividades de seguranga da informagao sao executadas em conformidade com a politica de seguranga da informacao; b)_ identifique como conduzir as ndo-conformidades; ©) aprove as metodologias e processos para a seguranga da informago, tals como anélise/avaliagdo de Tiscos e classificagaio da informagao; d)_identifique as ameagas significativas e a exposigao di da informago as ameagas; informagao e dos recursos de processamento e) avalie a adequago @ coordene a implementagdo de controles de seguranga da informagai f) promova, de forma eficaz, a educagéo, o treinamento e a conscientizagdo pela seguranga da informagao por toda a organizagac 9) _avalio as informagdes recebidas do monitoramento o da analise critica dos incidentes de seguranca da informagio, e recomende ages apropriadas como resposta para os incidentes de seguranga da informagao identificados. Se a organizagao nao usa representantes das diferentes areas, por exemplo, porque tal grupo nao é apropriado para o tamanho da organizagéo, convém que as agées descritas acima sejam conduzidas por um organismo de gest4o adequade ou por um gestor individual 6.1.3. Atribuigao de responsabilidades para a seguranga da informagao Controle Convém que todas as responsabilidades pela seguranga da informago, estejam claramente definidas. Diretrizes para implementacdo Convém que a atribuigo das responsabilidades pela seguranca da informacao soja feita em conformidade com a politica de seguranca da informagao (ver seco 5). Convém que as responsabllidades pela protecao de cada alivo e pelo cumprimento de processos de seguranga da informagao especificos sejam claramente dofinidas. Convém que esta responsabllidade seja complementada, onde for necessario, com orientagées mais, detalhadas para locais especificos e recursos de processamento de informacées. Convém que sejam claramente definidas as responsabilidades em cada local para a protegao dos ativos e para realizar processos de seguranca da informagio especificos, como, por exemplo, o plano de continuidade de negécios. Pessoas com responsabilidades definidas pela seguranga da informagéo podem delegar as tarefas de seguranga da informag4o para outros usuarios. Todavia eles continuam responsaveis e convém que verifiquem se as tarefas delegadas estao sendo executadas corretamente. GABNT 2005 - Todos 08 dlitvtes reservados 1ABNT NBR ISO/IEC 17799:2005 Convém que as Areas pelas quais as pessoas sejam responsaveis, estejam claramente definidas; em Particular convém que os seguintes itens sejam cumpridos: a) os ativos e os processos de seguranca da informagao associados com cada sistema sejam identificados e claramente definidos; b) gestor responsavel por cada ativo ou processo de seguranga da informagao tenha atribuigoes definidas 0 os detalhes dessa responsabilidade sejam documentados (ver 7.1.2); €) oS niveis de autorizacao sejam claramente definides e documentades. Informagbes adicionais Em muitas organizagoes um gestor de seguranga da informagao pode ser indicado para assumir a responsabilidade global pelo desenvolvimento ¢ implementagao da seguranca da informagao e para apoiar a identificagao de controles. Entretanto, a responsabilidade pela obtengo dos recursos e implementagao dos controles permanece sempre com os gestores. Uma pratica comum é indicar um responsavel por cada ativo, tornando-o assim responsavel por sua protego no dia a dia. 6.1.4 Processo de autorizagao para os recursos de processamento da informacao Controle Convém que seja definido e implementado um processo de gestdo de autorizagao para novos recursos de processamento da informagao. Diretrizes para implementacao ‘Convém que as seguintes diretrizes sejam consideradas no processo de autorizagao: a) 0s novos recursos tenham a autorizacdo adequada por parte da administracdo de usuarios, autorizando seus propésitos e uso. Convém que a autorizagéo também seja obtida junto ao gestor responsavel pela manutencao do sistema de seguranca da informagao, para garantir que todas as pollticas e requisites de seguranca relevantes sejam atendidos; b) hardware e o software sejam verificados para garantir que so compativeis com outros componentes do sistema, onde necessarios; ©) uso de recursos de processamento de informagao, pessoais ou privados, como, por exemplo, note books, computadores pessoais ou dispositives do tipo palm top, para processamento das informagdes do negécio, possa introduzir novas vulnerabilidades, e convém que controles necessarios sejam identificados ¢ implementados. 6.1.5 Acordos de confidencialidade Controle Convém que os requisitos para confidencialidade ou acordos de nao divulgagao que reflitam as necessidades da organizagao para a protecao da informagao sejam identificados e analisados criticamente, de forma regular. Diretrizes para implementa Convém que os acordos de confidencialidade e de nao divulgagao considerem os requisitos para proteger as formagées confidenciais, usando termos que s4o obrigados do ponto de vista legal. Para identificar os requisitos para os acordos de confidencialidade ou de nao divulgacao, convém que sejam considerados os seguintes elementos: a) uma defini¢ao da informagao a ser protegida (por exemplo, informagao confidencial); 12 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 b) tempo de duragao esperado de um acordo, incluindo situagdes onde a confidencialidade tenha que ser mantida indefinidamente; ©) agées requeridas quando um acordo esta encerrado; d) responsabilidades @ acées dos signatarios para evitar a divulgagdo no autorizada da informagao (como 0 conceito “need fo know’); ©) proprietario da informacao, segredos comerciais e de propriedade intelectual, e como isto se relaciona com a protegao da informagao confidencial;, 1) uso permitido da informagao confidencial e os direitos do signatario para usar a informagéo; 9) direito de auditar e monitorar as atividades que envolvem as informagdes confidenciais; h) processo para notificagdo © relato de divulgagéo néo autorizada ou violagéo das informagées confidenciais; i) termos para a informagao ser retornada ou destruida quando do término do acordo; & |) ages esperadas a serem tomadas no caso de uma violagtio deste acordo, Com base nos requisitos de seguranga da informacdo da organizacéo, outros elementos podem ser necessarios em um acordo de confidencialidade ou de ndo divulgacao. Convém que os acordos de confidencialidade e de néo divulgagao estejam em conformidade com todas as leis, @ regulamentagées aplicaveis na jurisdicao para a qual eles se aplicam (ver 15.1.1) Convém que os requisitos para os acordos de confidencialidade e de ndo divulgacao sejam analisados criticamente de forma periédica e quando mudangas ocorrerem que influenciem estes requisitos. Informagdes adicionais ‘Acordos de confidencialidade ¢ de nao divulgagao protegem as informagGes da organizagao e informam aos signatérios das suas responsabilidades, para proteger, usar e divulgar a informagdo de maneira responsavel ¢ autorizada. Pode haver a necessidade de uma organizacao usar diferentes formas de acordos de confidencialidade ou de nao divulgagao, em diferentes circunstancias. 6.1.6 Contato com autoridades Controle Convém que contatos apropriados com autoridades pertinentes sejam mantidos. Diretrizes para implementacéo Convém que as organizagdes tenham procedimentos em funcionamento que especifiquem quando e por quais, autoridades (por exemplo, obrigagdes legais, corpo de bombeiros, autoridades fiscalizadoras) devem ser contatadas e como os incidentes de seguranca da informago identificados devem ser nolificados em tempo habil, no caso de suspeita de que a lei foi violada. Organizacdes que estejam sob ataque da internet podem precisar do apoio de partes externas & organizagao (por exemplo, um provedor de servico da internet ou um operador de telecomunicag6es), para tomar agées, contra a origem do ataque. GABNT 2005 - Todos 08 dlitvtes reservados 13ABNT NBR ISO/IEC 17799:2005 Informagdes adicionais ‘A manutengo de tais contatos pode ser um requisito para apoiar a gestdo de incidentes de seguranga da informagdo (ver 13.2) ou da continuidade dos negécios e do processo de planejamento da contingéncia (ver s0¢80 14). Contatos com organismos reguladores sao também iteis para antecipar e preparar para as mudangas fuluras na lei ou nos regulamentos, os quais tm que ser sequidos pela organizagao. Contalos com outras autoridades incluem utllidades, servigos de emergéncia, satide e seguranca, por exemplo corpo de bombeiros (em conjunto com a continuidade do negécio), provedores de telecomunicagao (em conjunto com as rotas de linha e disponibilidade), fornecedor de Agua (em conjunto com as instalagdes de refrigeragdo para 08 equipamentos). 6.1.7 Contato com grupos especiai: Controle Convém que sejam mantidos contatos apropriados com grupos de interesses especiais ou outros foruns ‘especializados de seguranga da informagao e associacbes profissionais. Diretrizes para implementacao Convém que associaco a grupos de interesses especiais ou féruns seja considerada como forma de: a) ampliar 0 conhecimento sobre as melhores praticas e manter-se atualizado com as informagées relevantes sobre seguranga da informagao; b) _assegurar que o entendimento do ambiente de seguranga da informagao esta atual e completo; ) receber previamente adverténcias de alertas, aconselhamentos e correcées relatives a ataques e vulnerabilidades; d) conseguir acesso a consultoria especializada em seguranga da informago; ) compartilhar e trocar informag6es sobre novas tecnologias, produtos, ameacas ou vulnerabilidades; f) prover relacionamentos adequados quando tratar com incidentes de seguranga da informagao (ver 13.2.1), Informacbes adicionais Acordos de compartihamento de informages podem ser estabelecidos para melhorar a cooperagao @ coordenagao de assuntos de seguranga da informagao. Convém que lais acordos identifiquem requisitos para a protecdo de informagées sensivels. 6.1.8 Analise critica independente de seguranga da informacao Controle Convém que o enfoque da organizacao para gerenciar a seguranca da informagao e a sua implementacdo {por exemplo, controles, objetivo dos controles, politicas, processos e procedimentos para a seguranca da formago) seja analisado criticamente, de forma independente, a intervalos planejados, ou quando ocorrerem mudangas significativas relativas a implementago da seguranga da informaso, Diretrizes para implementacao Convém que a andlise critica independente seja iniciada pela diregdo. Tal andlise critica independente € necesséria para assegurar a continua perlinéncia, adequacao e eficacia do enfoque da organizaco para gerenciar a seguranga da informacao. Convém que a andlise critica inclua a avaliagao de oportunidades para a melhoria e a necessidade de mudangas para o enfoque da seguranga da informagao, incluindo a politica e os objetivos de controle. 14 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 Convém que a analise critica seja executada por pessoas independentes da area avaliada, como, por exemplo, uma fungao de auditoria interna, um gerente independente ou uma organizagao de terceira parte especializada em tals andlises criticas. Convém que as pessoas que realizem estas analises criticas possuam habilidade e experiéncia apropriadas. Convém que 0s resultados da analise critica independente sejam registrados ¢ relatados para a diregao que iniciou a analise critica. Estes registros devem ser mantidos. Se a andlise critica independente identificar que 0 enfoque da organizagao e a implementagdo para gerenciar a seguranga da informacao sao inadequados ou nao-conformes com as orientagdes estabelecidas para seguranga da informacdo, no documento da politica de seguranca da informagéo (ver 5.1.1), convém que @ diregdo considere a tomada de ages corretivas. Informacées adicionais Convém que as areas onde os gerentes regularmente fazem a andlise critica (ver 15.2.1) possam também ser analisadas criticamente de forma independente. Técnicas para a andlise critica podem incluir entrevistas com a geréncia, verificagao de registros ou analise critica dos documentos da politica de seguranga da informacao. A-ABNT NBR ISO 19011:2002, Diretrizes para auditoria de sistemas de gestdo da qualidade e/ou do meio ambiente, pode também fornecer orientagdes para se realizar a andlise critica independente, inciuindo 0 estabelecimento @ a implementagao de um programa de andlise critica. A subsegdo 15.3 especifica os controles relevantes para a andlise critica independente de sistemas de informagées operacionais ¢ 0 uso de ferramentas de auditoria de sistemas. 6.2 Partes externas Objetivo: Manter a seguranga dos recursos de processamento da informacao e da informagao da organizacao, que séo acessados, processados, comunicados ou gerenciados por partes externas. Convém que a seguranca dos recursos de processamento da informagao e da informagao da organizagao ndo seja reduzida pela introdugdo de produtos ou servicos oriundos de partes externas. Gonvém que qualquer acesso aos recursos de processamento da informagdo da organizagao e ao processamento e comunicagao da informagao por partes externas seja controlado, Convém que seja feita uma anélise/avaliagdo dos riscos envolvidos para determinar as possiveis implicagSes na seguranga e 05 controles necessarios, onde existir uma necessidade de negocio para trabalhar com partes externas, que possa requerer acesso aos recursos de processamento da informagdo e a informacao da organizacao, ou na obtengo fomecimento de um produto e servigo de uma parte externa ou para ela. | Convem que 08 controles sejam acordados e definidos por meio de um acordo com a parte externa, 6.2.1 Identificagao dos riscos relacionados com partes externas Controle Convém que os riscos para os recursos de processamento da informagao @ da informagao da organizagao criundos de processos do negécio que envolva as partes externas sejam identificados e controles apropriados implementados antes de se conceder 0 acesso. Diretrizes para implementacao Convém que uma anélise/avaliagao de riscos (ver sogao 4) soja feita para identificar quaisquer requisitos de controles especificos, onde existir uma necessidade que permita o acesso de uma parte externa aos recursos de processamento da informagao ou a informagao de uma organizagao. Convém que a identificagao de riscos, relativos ao acesso da parte externa leve em consideragao os seguintes aspectos: a) 0S recursos de processamento da informagdo que uma parte externa esteja autorizada a acessar; GABNT 2005 - Todos 08 dlitvtes reservados 15ABNT NBR ISO/IEC 17799:2005 ) tipo de acesso que a parte externa tera aos recursos de processamento da informagao e a informagao, ‘como, por exemplo: 1) acesso fisico ao escritério, sala dos computadores, arquivos de papél 2) acesso légico ao banco de dados da organizacao e aos sistemas de informacées; 3) rede de conexao entre a organizagao e a rede da parte extema, como, por exemplo, conexao Permanente, acesso remoto; 4) 80 0 acesso vai ser dentro ou fora da organizagao; ©) valor e a sensibilidade da informagao envolvida, e a sua criticidade para as operagdes do negécio; d) os controles necessérios para proteger a informagto que nao deva ser acessada pelas partes externas; e) as pessoas das partes externas envoividas no manuseio das informagdes da organizagao; f)_ como a organizagao ou 0 pessoal autorizado a ter acesso pode ser identificado, como a autorizagao 6 verificada e com qual frequéncia isto precisa ser reconfirmado; g) as diferentes formas e controles empregados pela parte externa quando estiver armazenando, processando, comunicando, compartithando e repassando informagées; h) impacto do acesso nao estar disponivel para a parte externa, quando requerido, e a entrada ou 0 recebimento incorreto ou por engano da informagao; i) praticas e procedimentos para tratar com incidentes de seguranca da informagao e danos potencial 05 termos e condig6es para que a parte externa continue acessando, no caso que ocorra um incidente de seguranga da informagao; i) que os requisitos legais © regulamentares e outras obrigagées contraluais relevantes para a parle externa sejam levados em consideragao; k)_como os interesses de quaisquer uma das partes interessadas podem ser afetados pelos acordos. Convém que 0 acesso as informagdes da organizagao pelas partes externas nao seja fornecido até que os coniroles apropriados tenham sido implementados ¢, onde for vidvel, um contralo tenha sido assinado definindo os termos condigées para a conexao ou 0 acesso e os preparativos para o trabalho. Convém que, de uma forma geral, todos os requisitos de seguranga da informagao resultantes do trabalho com partes externas ou contoles internos estejam refletidos por um acordo com a parte externa (ver 6.2.2 e 6.2.3). Convém que seja assegurado que a parte externa esta consciente de suas obrigagées, e acelta as responsabilidades e obrigagdes envolvendo 0 acesso, processamento, comunicagaio ou o gerenciamento dos recursos do processamento da informagao e da informagao da organizacao. Informacées adicionais AA informagao pode ser colocada em risco por partes externas com uma gesiao inadequada da seguranga da informagao. Convém que os controles sejam identificados e aplicados para administrar o acesso da parte externa aos recursos de processamento da informag&o. Por exemplo, se existir uma necessidade especial ara a confidencialidade da informagao, acordos de nao divulgagao devem ser usados. As organizagées podem estar sujeitas a riscos associados com processos interorganizacionais, gerenciamento: © comunicagao, se um alto grau de terceirizagso for realizado, ou onde existirem varias partes externas envolvidas. 16 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 Os controles de 6.2.2 e 6.2.3 cobrem diferentes situagSes para as partes extemas, incluindo, por exemplo: a) _provedores de servigo, tais como ISP, provedores de rede, servigos de telefonia e servigos de apoio e manutencao; b) terceirizagto de operagées e recursos, como, por exemplo, sistemas de TI, servicos de coleta de dadios, operagao de central de atendimento (call center) ©) clientes; d) operagbes efou recursos de terceirizagao, como, por exemplo, sistemas de TI, servigos de coleta de dados, operagao de call center, e) consultores em negacios e em gestdo, e auditores; f) desenvolvedores e fomecedores, como, por exemplo, de produtos de software e sistemas de TI; 9) pessoal de limpeza, servicos de bufés © outros servigas de apoio terceirizados; h)_ pessoal temporério, estagiério e outras contratagées de curta duragao. Tais acordos podem ajudar a reduzir o risco associado com as partes externas. 6.2.2 Identificando a seguranga da informagdo, quando tratando com os clientes Controle Convém que todos os requisites de seguranga da informagao identificados sejam considerados antes de conceder aos clientes 0 acesso aos ativos ou &s informagées da organizagao, Diretrizes para implementacdo Convém que os seguintes termos sejam considerados para contemplar a seguranga da informagao antes de conceder aos clientes o acesso a quaisquer ativos da organizagao (dependendo do tipo e extensao do acesso concedido, nem todos os itens sao aplicaveis): a) protege dos ativos, incluindo: 1) procedimentos para proteger os ativos da organizacao, incluindo informagao e software, @ a gestao de vulnerabilidades conhecidas; 2) procedimentos para determinar se ocorreu qualquer comprometimento de ativos, por exemplo, perda ou modificagao de dados,” 3) integridade; 4) restrig6es em relagao a cépias e divulgagao de informagoes; b)_ descrigéo do produto ou servigo a ser fomecido; ©) as diferentes raz6es, requisitos e beneficios para 0 acesso do cliente; d)_politicas de controle de acesso, cobrindo: 1) métodos de acesso permitide e o controle @ uso de identificadores tnicos, tais como identificador de usuario e senhas de acesso; 2) um processo de autorizagao para acesso dos usuarios e privilégios; GABNT 2005 - Todos 08 dlitvtes reservados 7ABNT NBR ISO/IEC 17799:2005 3) uma declaragao de que todo 0 acesso que ndo seja explicitamente autorizado & proibido; 4) um proceso para revogar os direitos de acesso ou interromper a conexao entre sistemas; e) procedimentos para relato, notificagao e investigagao de informagdes imprecisas (por exemplo, sobre pessoal), incidentes de seguranga da informacdo e Violagao da seguranca da informag&o; 1) descrigéo de cada servigo que deve estar disponivel; @) 08 niveis de servigos acordados ¢ os niveis de servigos inaceltavels; hy) direito de monitorar e revogar qualquer atividade relacionada com os ativos da organizagao; i) as respectivas responsabilidades legais da organizagao e dos clientes; ji) responsabilidades com relagao a aspecios legais e como ¢ assegurado que os requisitos legais so atendidos, por exemplo, leis de protecdio de dados, especialmente levando-se em consideracéo os diferentes sistemas legais nacionais se 0 acordo envolver a cooperagao com clientes em outros paises (ver 15.1); k) direitos de propriedade intelectual e direitos autorais (ver 15.1.2) e protege de qualquer trabalho colaborativo (ver 6.1.5). Informagbes adicionais s requisitos de seguranga da informagao relacionados com 0 acesso dos clientes aos ativos da organizacao podem variar consideravelmente, dependendo dos recursos de processamento da informagéo e das informagées que estéo sendo acessadas. Estes requisitos de seguranga da informagao podem ser contemplados, usando-se os acordos com o cliente, os quals contém todos os riscos identificados @ os requisitos de seguranga da informagao (ver 6.2.1). ‘Acordos com partes externas podem também envolver outras partes. Convém que os acordos que concedam © acesso a partes externas incluam permissao para designacao de outras partes elegiveis @ condi seus acessos ¢ envolvimento, 6.2.3 Identificando seguranca da informacao nos acordos com terceiros Controle Convém que os acordos com terceiros envolvendo 0 acesso, processamento, comunicagao ou gerenciamento dos recursos de processamento da informagao ou da informacao da organizagao, ou o acréscimo de produtos ‘ou servigos aos recursos de processamento da informagao cubram todos os requisitos de seguranga da informagao relevantes Diretrizes para implementacao Convém que 0 acordo assegure que nao existe mal-entendido entre a organizagao e 0 terceiro. Convém que as organizagées considerem a possibilidade de indenizagdo do terceiro, Convém que os seguintes termos sejam considerados para incluso no acordo, com o objetivo de atender aos requisitos de seguranga da informagao identificados (ver 6.2.1) a) politica de seguranca da informacao; b) controles para assegurar a protegao do ativo, incluindo: 1) procedimentos para proteger os alivos da organizacdo, incluindo informagao, software e hardware; 2) quaisquer mecanismos e controles para a protec fisica requerida; 18 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 3) controles para assegurar protegao contra software malicioso (ver 10.4.1); 4) procedimentos para determinar se ocorreu qualquer comprometimento de ativos, por exemplo, perda ou modificacao de dados, software e hardware; 5) controles para assegurar o retorno ou a destruigao da informago e dos ativos no final do contrato, ‘ou em um dado momento definido no acordo. 6) confidencialidade, dos ativos; itegridade, disponibiidade e qualquer outra propriedade relevante (ver 2.1.5) 7) restrigdes em relagéo a cépias e divulgagéo de informagées, e uso dos acordos de confidencialidade (ver 6.1.5). ©) treinamento dos usuarios e administradores nos métodos, procedimentos © seguranga da informagao; d) assegurar a conscientizagao dos usuarios nas questées e responsabilidades pela seguranga da informacéo; ) proviso para a transferéncia de pessoal, onde necessério; f)responsabilidades com relagao 4 manutengdo e instalagdo de software e hardware; 4g) uma estrutura clara de notificagao e formatos de relatérios acordados; fh) _um proceso claro e definido de gestéo de mudangas; ') politica de controle de acesso, cobrindo: 1) as diferentes razdes, requisitos © beneficios que justificam a necessidade do acesso pelo terceiro; 2) métodos de acesso permitido e 0 controle e uso de identificadores tnicos, tais como identificadores de usuarios @ senhas de acesso, 3) um processo de autorizagao de acesso e privilégios para os usudrios; 4) um requisito para manter uma lista de pessoas autorizadas a usar os servigos que esto sendo disponibilizados, e quais os seus direitos e privilégios com relagdo a tal uso; 5) uma declaragao de que todo 0 acesso que nao seja explicitamente autorizado & proibido; 6) um proceso para revogar os direitos de acesso ou interromper a conexao entre sistemas; i) dispositivos para relato, notificagao e investigagéo de incidentes de seguranga da informagao e violagéo da seguranca, bem como as violagbes dos requisitos definidos no acorda; k) uma descrigfo do produto ou servigo que est sendo forecido e uma descrig&o da informagao que deve estar disponivel, juntamente com a sua classificacao de seguranga (ver 7.2.1); 1) niveis de servigos acordados ¢ 0s niveis de servigos inaceitaveis; m) definigao de critérios de desempenho verificaveis, seu monitoramento ¢ relato; 1h) direito de monitorar e revogar qualquer atividade relacionada com os ativos da organizacao; GABNT 2005 - Todos 08 dlitvtes reservados 19ABNT NBR ISO/IEC 17799:2005 ©) direito de auditar as responsabilidades definidas do acordo, para ter essas auditorias realizadas por terceira parte para enumerar os direitos regulamentares dos auditores; p) _estabelecimento de um processo escalonado para resolugao de problemas; q) requisites para a continuidade dos servigos, incluindo medigées para disponibilidade e conflabllidade, de acordo com as prioridades do negécio da organizagao; 1) _respectivas obrigagdes das partes com 0 acordo; 5) responsabilidades com relagao a aspectos legais @ como 6 assegurado que os requisites legais sao atendidos, por exemplo, leis de protectio de dados, levando-se em considerag4o especialmente os diferentes sistemas legais nacionais, s¢ o acordo envolver a cooperagao com organizagdes em outros paises (ver 15.1); 1) direitos de propriedade intelectual e direitos autorais (ver 15.1.2) e protec&io de qualquer trabalho colaborativo (ver 6.1.5) u)_envolvimento do terceiro com subfomecedores e os controles de seguranga da informagao que esses subfornecedores precisam implementar; vv) condigdes de renegociago ou encerramento de acordos: 1) um plano de contingéncia deve ser elaborado no caso de uma das partes desejar encerrar a relagao antes do final do acordo; 2) renegociagao dos acordos se os requisitos de seguranga da organizagao mudarem; 3) _listas atualizadas da documentacao dos ativos, licengas, acordos ou direitos relacionados aos ativos Informagées adicionais Os acordos podem variar consideravelmente para diferentes organizagées @ entre os diferentes tipos de terceiros. Portanto, convém que sejam tomados cuidados para incluir nos acordos todos os riscos identificados @ 08 requisites de seguranga da informacao (ver 6.2.1). Onde necessério, os procedimentos e controles requeridos podem ser incluidos em um plano de gestao de seguranca da informagao. Se a gestdo da seguranga da informagdo for terceirizada, convém que os acordos definam como os terceiros 10 garantir que a seguranga da informagao, conforme definida na analise/avaliagao de riscos, ser mantida @ como a seguranga da informagao ser adaptada para identificar e tratar com as mudangas aos riscos. Algumas das diferencas entre as tercelrizagdes © as outras formas de proviso de servigos de terceiros incluem a questo das obrigagdes legais, 0 planejamento do periodo de transigao © de descontinuidade da coperacdo durante este periodo, planejamento de contingéncias e andlise critica de investigaces, e coleta gestao de incidentes de seguranga da informagao. Portanto, & importante que a organizagao planeje e gerencie a transigdo para um terceirizado @ tenha processos adequados implantados para gerenciar as ‘mudangas e renegociar ou encerrar os acordos. Os procedimentos para continuar processando no caso em que o terceiro se torne incapaz de prestar o servico precisam ser considerados no acordo para evitar qualquer atraso nos servigos de substituigdo, Acordos com terceiros podem também envolver outras partes. Convém que os acordos que concedam o acesso a lerceiros incluam permissao para designacao de outras partes elegiveis e condigSes para os seus acessos e envolvimento. De um modo geral os acordos sao geralmente elaborados pela organizagao. Podem existir situagdes onde, em algumas circunsténcias, um acordo possa ser elaborado e imposto a organizagao pelo terceiro. A organizacao precisa assegurar que a sua propria seguranca da informagao nao é afetada desnecessariamente pelos Fequisitos do terceiro, estipulados no acordo imposto. 20 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 7 Gestao de ativos 7.1 Responsabilidade pelos ativos Objetiva: Alcangar e manter a protegao adequada dos ativos da organizagao Convém que todos os ativos sejam inventariados e tenham um proprietario responsavel. Convém que os proprietarios dos alivos sejam identificados ¢ a eles seja atribuida a responsabilidade pela manutencéio apropriada dos controles. A implementag&o de controles especificos pode ser delegada pelo proprietario, conforme apropriado, porém o proprietério permanece responsavel pela proteco adequada dos ativos. 7.1.4 Inventario dos Controle Convém que todos os ativos sejam claramente identificados e um inventario de todos os ativos importantes seja estruturado mantido. Diretrizes para implementacdo Convém que a organizago identifique todos os ativos ¢ documente a importancia destes ativos. Convém que © inventario do ativo inclua todas as informagées necessarias que permitam recuperar de um desastre, incluindo © tipo do ativo, formato, localizacao, informacées sobre cépias de seguranca, informacées sobre licengas e a importancia ‘do ativo para o negécio. Convém que o inventario nao duplique outros inventarios desnecessariamente, porém ele deve assegurar que 0 seu contetido esté coerente. Adicionalmente, convém que o proprietério (ver 7.1.2) @ a classificagdo da informacdo (ver 7.2) sejam acordados e documentados para cada um dos ativos. Convém que, com base na importancia do ativo, seu valor para o negécio e a sua classificagao de seguranga, niveis de protegao proporcionais a importancia dos ativos sejam identificados (mais informacées sobre como valorar os alives para indicar a sua importancia podem ser encontradas na ISO IEC TR 13335-3). Informacses adicionais Existem varios tipas de ativos, incluindo: a) ativos de informagao: base de dados © arquivos, contratos e acordos, documentaco de sistema, informagdes sobre pesquisa, manuals de usuario, material de treinamento, procedimentos de suporte ‘u operacao, planos de continuidade do negécio, procedimentos de recuperagao, trihas de auditoria © informagées armazenadas; b)_ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento ¢ utiltarios; ©) atives fisicos: equipamentos computacionais, equipamentos de comunicagao, midias removiveis ‘outros equipamentos; d) servigos: servigas de computagdo e comunicagées, utilidades gerais, por exemplo aquecimento, iluminagao, eletricidade e refrigeracao; e) pessoas e suas qualificagées, habilidades e experiéncias: )_intangiveis, tais como a reputagao @ a imagem da organizacao. Os inventarios de ativos ajudam a assegurar que a protegao efetiva do ativo pode ser feita 6 também pode ser requerido para outras finalidades do negécio, como satide e seguranca, seguro ou financeira (gestao de ativos). © processo de compilagao de um inventario de ativos é um pré-requisilo importante no gerenciamento de riscos (ver segdo 4). GABNT 2005 - Todos 08 dlitvtes reservados 24ABNT NBR ISO/IEC 17799:2005 7.1.2. Proprietario dos ativos Controle Convém que todas as informagées e ativos assaciados com os recursos de processamento da informacao tenham um proprietario? designado por uma parte definida da organizago, Diretrizes para implementagao ‘Convém que o proprietario do ativo seja responsavel por: a) assegurar que as informagdes @ os ativos associados com os recursos de processamento da informagao estejam adequadamente clasificados; b) definir © periodicamente analisar criticamente as classificagées e restrigbes ao acesso, levando em conta as politicas de controle de acesso, aplicaveis, proprietario pode ser designado para: a)_um processo do negécio; b) um conjunto de atividades definidas; ©) uma aplicagio; ou 4) um conjunto de dades definido Informagées adicionais ‘As tarefas de rotina podem ser delegadas, por exemplo, para um custodiante que cuida do ativo no dia- porém a responsabilidade permanece com o proprietario. ia, Em sistemas de informagao complexes pode ser itl definir grupos de atives que atuem juntos para fomecer uma fungo particular, como servigos. Neste caso, 0 proprietario do servigo o responsavel pela entrega do servigo, incluindo o funcionamento dos ativos, que prové os servigos, 7.1.3 Uso aceltével dos ativos Controle Convém que sejam identificadas, documentadas e implementadas regras para que sejam permitidos 0 uso de informagées e de ativos associados aos recursos de processamento da informagéo, Diretrizes para implementagao Convém que todos os funciondrios, fornecedores ¢ terceiros sigam as regras para o uso permitido de formagées @ de ativos associados aos recursos de processamento da informacao, incluindo: a) regras para o uso da internet e do correio eletrénico (ver 10.8); b) diretrizes para o uso de dispositivas méveis, especialmente para o uso fora das instalagées da organizagao (ver 11.7.1). 2.0 termo ‘proprietario” identifica uma pessoa ou organismo que tenha uma responsablidade autorizada para controlar a produgao, o desenvolvimento, a manutengao, 0 uso e a seguranga dos ativos. O termo "proprietario™ nao significa que a pessoa realmente tanha qualquer direito de propridade ao ativo. 22 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 Convém que regras especificas ou diretrizes sejam fomecidas pelo gestor relevante. Convém que funcionérios, fornecedores e terceiros que usem ou tenham acesso aos ativos da organizacao estejam conscientes dos limites que existem para os usos das informagées e ativos associados da organizacdo aos recursos de processamenio da informagao. Convém que eles sejam responsaveis pelo uso de quaisquer recursos de processamento da informagao e de quaisquer outros usos conduzidos sob a suas responsabilidades. 7.2 Classificagao da informagao (Objetivo: Assegurar que a informagao receba um nivel adequado de protegao. Convém que a informagdo seja classificada para indicar a necessidade, prioridades e o nivel esperado de protegao quando do tratamento da informagao. A informagao possui varios niveis de sensibilidade e criticidade. Alguns itens podem necessitar um nivel adicional de protegdo ou tratamento especial. Convém que um sistema de classificagao da informagao seja usado para definir um conjunto apropriado de niveis de protegao e determinar a necessidade de medidas especiais de tratamento, 7.2.4 Recomendagées para classificagao Controle Convém que a informagao seja classificada em termos do seu valor, requisites legais, sensibilidade & criticidade para a organizacao. Diretrizes para implementacao Convém que a classificagao da informagao seus respectivos controles de protegao levem em consideracao as necessidades de compartilhamento ou restrig&o de informages e os respectivos impactos nos negécios, associados com tais necessidades. Convém que as diretrizes para classificagao incluam convengdes para classificagao inicial e reclassificagao a0, longo do tempo, de acorde com algumas politicas de controle de acesso predeterminadas (ver 11.1.1) Convém que seja de responsabilidade do proprietario do ativo (ver 7.1.2) definir a classificagao de um ativo, analisando-o criticamente a intervalos regulares, e assegurar que ele esta atvalizado e no nivel apropriado. Convém que a classificacao leve em consideragdo a agregacao do efeito mencionado em 10.7.2. Convém que cuidados sejam tomados com a quantidade de categorias de classificagéo e com os beneficios obtides pelo seu uso. Esquemas excessivamente complexos podem tomar o uso incémodo e ser inviaveis, economicamente ou impraticaveis. Convém que atengao especial seja dada na interpretagao dos rétulos de classificagaio sobre documentos de outras organizagbes, que podem ter definigées diferentes para rétulos iguais ou semethantes aos usados. Informacdes adicionais © nivel de protegao pode ser avaliado analisando a confidencialidade, a integridade @ a disponibilidade da informagao, bem como quaisquer outros requisitos que sejam considerados. A informagao frequentemente deixa de ser sensivel ou critica apés um certo periodo de tempo, por exemplo quando a informagao se tora publica. Convém que estes aspectos sejam levados em considerac&o, pols uma classificacao superestimada pode levar 4 implementagdo de custos desnecessérios, resultando em despesas adicionais. Considerar, conjuntamente, documentos com requisites de seguranga similares, quando da atribuigao dos niveis de classificago, pode ajudar a simplificar a tarefa de classificagdo. Em geral, a classificagao dada a informagéo 6 uma maneira de determinar como esta informagao vai ser tratada e protegida, GABNT 2005 - Todos 08 dlitvtes reservados 23ABNT NBR ISO/IEC 17799:2005 7.2.2 Rétulos e tratamento da informacao Controle Convém que um conjunto apropriado de procedimentos para rotulagao e tratamento da informagao seja definido e implementado de acordo com 0 esquema de classificagao adotado pela organizacéo. Diretrizes para implementacao s procedimentos para rotulagdo da informacao precisam abranger tanto os ativos de informagao no formato fisico quanto no eletrénico. Convém que as saidas de sistemas que contém informagoes classificadas como sensiveis ou criticas tenham © rétulo apropriado da classificagao da informagao (na saida). Convém que 0 rétulo reflita a classificaao de acordo com as regras estabelecidas em 7.2.1. Itens que devem ser considerados incluem relatérios impressos, telas, midias magnéticas (fitas, discos, CD), mensagens eletronicas e transferéncias de arquivos. Convém que sejam definidos, para cada nivel de classificagdo, procedimentos para o tratamento da informagéo que contemplem o processamento seguro, a armazenagem, a transmissao, a reclassificagao @ a destruigao. Convém que isto também inclua os procedimentos para a cadeia de custodia e registros de qualquer evento de seguranca relevante. Convém que acordos com outras organizagées, que incluam o compartithamento de informagées, considerem procedimentos para identificar a classificacao daquela informagao e para interpretar os rétulos de classificacdo de outras organizacées. Informagdes adicionais A rotulacdo e o tratamento seguro da classificagao da informacao @ um requisito-chave para os procedimentos de compartilhamento da informagao. Os rétulos fisicos sao uma forma usual de rotulagao. Entretanto, alguns ativos de informagao, como documentos em forma eletrénica, n4o podem ser fisicamente rotulados, sendo necessario usar um rétulo eletrénico. Por exemplo, a notificago do rétulo pode aparecer na tela ou no display. ‘Onde a aplicagaio do rétulo nao for possivel, outras formas de definir a classificagao da informagao podem ser usadas, por exemplo, por meio de procedimentos ou metadados. 24 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 8 Seguranga em recursos humanos 8.1 Antes da contratagao? Objetivo: Assegurar que os funcionarios, fornecedores e terceiros entendam suas responsabilidades @ estejam de acordo com 0s seus papéis, e reduzir o risco de furto ou roubo, fraude ou mau uso de recursos, Convém que as responsabilidades pela seguranga da informacao sejam atribuidas antes da contratacao, de forma adequada, nas descrig6es de cargos e nos lermos e condigées de contratagéo. Convém que todos os candidates ao emprego, fornecedores e terceiros sejam adequadamente analisados, especialmente em cargos com acesso a informagoes sensiveis. Convém que todos os funcionarios, fomecedores e terceiros, usuarios dos recursos de processamento da informagao, assinem acordos sobre Seus papéls e responsabilidades pela seguranca da informacao. 8.1.1. Papéis e responsabilidades Controle Convém que papéis @ responsabilidades pela seguranga da informagao de funciondrios, fornecedores © terceiros sejam definidos e documentados de acordo com a politica de seguranga da informacdo da organizagao. Diretrizes para implementacao Convém que 0s papéis e responsabilidades pela seguranga da informagdo incluam requisilos para’ a) _implementar e agir de acordo com as politicas de seguranca da informacao da organizagao (ver 5.1); b)__proteger at'vos contra acesso ndo autorizado, divulgacao, modificagao, destruigao ou interferéncia; ©) executar processos ou atividades particulares de seguranca da informacao; d) assegurar que a responsabilidade & atribuida a pessoa para tomada de agdes; 2) relatar eventos potenciais ou reais de seguranga da informacao ou outros riscos de seguranga para a organizago. Convém que papéis e responsabilidades de seguranga da informagao sejam definidos @ claramente comunicados aos candidatos a cargos, durante © processo de pré-contratapao. Informagses adicionais Descrigdes de cargos podem ser usadas para documentar responsabilidades e papéis pela seguranga da informagao. Convém que papéis responsabilidades pela seguranga da informagao para pessoas que nao estéo engajadas por meio do processo de contratacao da organizacao, como, por exemplo, através de uma organizagao tercelrizada, sejam claramente definidos e comunicados. Explicagio: A palavra ‘contratagao", neste contexto, visa cobrir todas as seguintes diferentes situagbes: contratag8o de pessoas (temporarias ou por longa durapao), nomeacao de fungoes, mudanca de fungGes, atribuigGes de contratos & encerramento de quaisquer destas situacdes. GABNT 2005 - Todos 08 dlitvtes reservados 25ABNT NBR ISO/IEC 17799:2005 81.2 Selegao Controle Convém que verificagées do histérico de todos os candidatos a emprego, fornecedores e terceiros sejam realizadas de acordo com a ética, as leis @ as regulamentagdes pertinentes, e proporcionais aos requisitos do negécio, a classificagao das informagées a serem acessadas ¢ aos riscos percebidos. Dirotrizes para implementagao Convém que as verificagdes levem em consideragéo toda a legislagéo pertinente relativa a privacidade, protegao de dados pessoais e/ou emprego, e onde permitido, incluam os seguintes itens: a) disponibilidade de referéncias de cardter satistatérias, por exemplo uma profissional e uma pessoal; »)_ uma verificago (da exatidéo e inteireza) das informagSes do curriculum vitae do candidato; ©) confirmagio das qualificagdes académicas e profissionais, 4) verificagao independente da identidade (passaporte ou documento similar); €) verificagées mais detalhadas, tals como verificagées financeiras (de crédito) ou verificagées de registros criminais. Convém que a organizagao também faga verificagdes mais detalhadas, onde um trabalho envolver pessoas, tanto por contratacao como por promocao, que tenham acesso aos recursos de processamento da informacao, em particular aquelas que tratam de informagdes sensiveis, tais como informagées financeiras ou informagoes altamente confidenciais. Convém que os procedimentos definam critérios ¢ limitages para as verificagbes de controle, por exemplo, quem esta qualificado para selecionar as pessoas, e como, quando e por que as verificagées de controle sao realizadas, Convém que um processo de selegao também seja feito para fornecedores e terceiros. Quando essas pessoas vem por meio de uma agéncia, convém que 0 contrato especifique claramente as responsabilidades da agéncia pela selegao © os procedimentos de notifcagdo que devem ser seguidos se a selegao nao for devidamente concluida ou quando os resultados obtidos forem motives de dividas ou preocupagées Do mesmo modo, convém que acordos com terceiros (ver 6.2.3) especifiquem claramente todas as responsabilidades e procedimentos de notificagao para a selegao. Convém que informagées sobre todos os candidatos que esto sendo considerados para certas posigies dentro da organizagao sejam levantadas e tratadas de acordo com qualquer legislacéio apropriada existente na jurisdigao periinente. Dependendo da legisiagao aplicavel, convém que os candidatos sejam previamente formados sobre as atividades de selegéo. 8.1.3 Termos e condigées de contratagao Controle ‘Como parte das suas obrigagées contratuais, convém que os funcionarios, fornecedores e terceiros concordem @ assinem os termos e condigées de sua contratago para o trabalho, os quais devem declarar as suas responsabilidades e a da organizagao para a seguranga da informagao, 26 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 Diretrizes para implementaco Convém que 08 termos e condigdes de trabalho reflitam a politica de seguranga da organizagao, esclarecendo e declarando: a) que todos os funcionarios, fornecedores ¢ terceiros que tenham acesso a informagées sensiveis assinem um termo de confidencialidade ou de nao divulgagao antes de hes ser dado 0 acesso aos recursos de processamento da informacao; b) as responsabilidades legals ¢ direitos dos funcionérios, fornecedores ¢ quaisquer outros usuarios, por exemplo, com relagao as leis de direitos autorais ou a legislagao de protegao de dados (ver 15.1.1 € 15.1.2); ©) a8 responsabllidades pela classificagdo da informagso e pelo gerenciamento dos ativos da ‘organizagdo associados com os sistemas de informagao e com os servigos conduzides pelos funcionérios, fornecedores ou terceiros (ver 7.2.1 ¢ 10.7.3); d) as responsabilidades dos funciondrios, fornecedores © terceiros pelo tratamento da informagao recebida de outras companhias ou de partes externas; e) responsabilidades da organizagao pelo tratamento das informagées pessoais, incluindo informagées pessoais criadas como resultado de, ou em decoréncia da, contratagdo com a organizacao (ver 15.1.4); f)responsabilidades que se estendem para fora das dependéncias da organizagao e fora dos horarios normais de trabalho, como, por exemplo, nos casos de execucao de trabalhos em casa (ver 9.2.5 € W741, 9g) agdes a serem tomadas no caso de o funcionario, fornecedor ou terceiro desrespeitar os requisitos de seguranga da informagao da organizagao (ver 8.2.3). Convém que a organizagao assegure que os funcionérios, fomecedores e terceiros concordam com os termos e condigées relativas @ seguranga da informagdo adequados & natureza e extensdo do acesso que eles terdo aos ativos da organizagao associados com os sistemas e servicos de informagao. Convém que as responsabilidades contidas nos termos condigdes de contratagao continuem por um periodo de tempo definido, apés o término da contratagao (ver 8.3), onde apropriado. Informagbes adicionais Um eédigo de conduta pode ser usado para contemplar as responsabilidades dos funcionarios, fornecedores ou terceiros, em relacao a confidencialidade, protegao de dados, éticas, uso apropriado dos recursos © dos equipamentos da organizagao, bem como praticas de boa conduta esperada pela organizagao. O fornecedor ou 0 terceiro pode estar associado com uma organizagao extema que possa, por sua vez, ser soliitada a Participar de acordos contratuais, em nome do contratado GABNT 2005 - Todos 08 dlitvtes reservados 27ABNT NBR ISO/IEC 17799:2005 8.2 Durante a contratacao ‘Gbjelvo: Assequrar que os Tunciondros, Tomecedores e Tercalos eclfo conscienles das ameapas ©] ProocupapSes relavas & seguranga da infomagdo, sue reaponsablidades « obrigagdes, « esto proparados para apoir a poltia de seguranga da informagao da organizacdo durante os seus tebalhos normals, © para reduzito isco de ero humana ‘Convém que as responsabilidades pela diregao sejam definidas para garantir que a seguranga da informagao ¢ aplicada em todo trabalho individual dentro da organizacdo. Convém que um nivel adequado de conscientizago, educago e treinamento nos procedimentos de ‘seguranga da informagao e no uso correto dos recursos de processamento da informagao seja fornecido para todos 08 funcionérios, fomecedores e lerceiros, para minimizar possiveis riscos de seguranga da informagao Convém que um processo discipinar formal para tratar das violagSes de seguranga da informagao seja estabelecido | 8.2.1 Responsat Controle Convém que a diregao solicite aos funcionarios, fomecedores ¢ terceiros que pratiquem a seguranga da informagao de acordo com o estabelecido nas politicas e procedimentos da organizagao. Diretrizes para implementa Convém que as responsabilidades da direcao assegurem que os funcionérios, fomecedores e terceiros: a) est&o adequadamente instruidos sobre as suas responsabilidades e papéis pela seguranga da informago antes de obter acesso as informagées sensiveis ou aos sistemas de informac&o; b) recebam diretrizes que definam quals as expectativas sobre @ seguranca da informagao de suas atividades dentro da organizago; ©) esto motivados para cumprir com as politicas de seguranga da informagao da organizagao; 4) _atinjam um nivel de conscientizagao sobre seguranga da informacao que seja relevante para os seus papéis e responsabilidades dentro da organizacao (ver 8.2.2); ) atendam aos termos e condigées de contratago, que incluam a politica de seguranga da informacao da organizagao @ métodos apropriados de trabalho; f)tenham as habilidades e qualificagdes apropriadas, Informagdes adicionais Se os funcionarios, fornecedores ¢ terceiros nao forem conscientizados das suas responsabilidades, eles podem causar consideraveis danos para a organizagao. Pessoas motivadas tém uma maior probabilidade de ‘serem mais confiaveis © de causar menos incidentes de seguranga da informagao. Uma ma gestao pode causar as pessoas o senlimento de sub-valorizacao, resultando em um impacto de seguranga da informacao negativo para a organizagao. Por exemplo, uma ma gestéo pode levar a seguranca da informiacao a ser negligenciada ou a um potencial mau uso dos ativos da organizagao. 82.2 Conscientizacao, educacao e treinamento em seguranga da informagao Controle Convém que todos os funcionarios da organizagao e, onde pertinente, fornecedores e terceiros recebam treinamento apropriades em conscientizagéo, e alualizagdes regulares nas politicas e procedimentos organizacionais, relevantes para as suas fungGes. 28 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 Diretrizes para implementaco Convém que 0 treinamento em conscientizagdo comece com um proceso formal de indugao concebido para introduzir as pollticas © expectativas de seguranga da informagao da organizagdo, antes que seja dado o acesso as informagoes ou servigos. Conyém que os treinamentos em curso incluam requisites de seguranga da informagao, responsabilidades legais e controles do negécio, bem como o treinamento do uso correto dos recursos de processamento da informagéo, como, por exempio, procedimentos de /og-on, 0 uso de pacotes de software e informagées sobre o processo disciplinar (ver 8.2.3). Informagses adicionais Convém que a conscientizagao, educagao e treinamento nas atividades de seguranga da informagao sejam adequados © relevantes para os papéis, responsabilidades e habilidades da pessoa, e que incluam informag6es sobre conhecimento de ameacas, quem deve ser contatado para orientagées sobre seguranga da informagao e os canais adequados para relatar os incidentes de seguranca da informacao (ver 13.1). © treinamento para aumentar a conscientizagao visa permitir que as pessoas reconhegam os problemas incidentes de seguranga da informagao, e respondam de acordo com as necessidades do seu trabalho. 8.2.3 Proceso disciplinar Controle Convém que exista um proceso disciplinar formal para os funcionérios que tenham cometido uma violagao da seguranga da informagao. Diretrizes para implementaco Convém que 0 proceso disciplinar nao inicie sem uma verificagao prévia de que a violagao da seguranga da informagao realmente ocorreu (ver 13.2.3 em coleta de evidéncias), Convém que 0 processo disciplinar formal assegure um tratamento justo e correlo aos funcionarios que so suspeitos de cometer violagées de seguranga da informagao. O proceso disciplinar formal deve dar uma resposta de forma gradual, que leve em consideragao fatores como a natureza e a gravidade da violagao eo seu impacto no negocio, se este ¢ ou néo o primeiro delito, se o infrator foi ou nao adequadamente treinado, as legislagées relevantes, os contratos do negécio e outros fatores conforme requerido. Em casos sérios de ma conduta, convém que o processo permita a imediata remogao das atribuigdes, direitos de acesso e privilégios e, dependendo da situagao, solicitar pessoa, a saida imediata das dependéncias da organizagao, escoltando-a Informacses adicionais Convém que 0 processo disciplinar também seja usado como uma forma de dissuasdo, para evitar que os funcionérios, fomecedores e terceiros viclem os procedimentos e as pollticas de seguranga da informagao da organizagao, e quaisquer outras violagdes na seguranga. 8.3. Encerramento ou mudanga da contratagao Objetivo: Assegurar que funcionarios, fornecedores @ terceiros deixem a organizacao ou mudem de trabalho de forma ordenada, Convém que responsabilidades sejam definidas para assegurar que a saida de funcionarios, fornecedores & terceiros da organizagao seja feita de modo controlado e que a devolugao de todos os equipamentos ea retirada de todos os direitos de acesso esto concluldas. Convém que as mudangas de responsabilidades de trabalhos dentro de uma organizagao sejam gerenciadas quando do encerramento da respectiva responsabilidade ou trabalho de acordo com esta segao, e quaisquer novos trabalhos sejam gerenciados conforme descrito em 8,1 GABNT 2005 - Todos 08 dlitvtes reservados 29ABNT NBR ISO/IEC 17799:2005 8.3.1. Encerramento de atividades Controle Convém que responsabilidades para realizar o encerramento ou a mudanga de um trabalho sejam claramente definidas e atribuidas. Diretrizes para implementacao Convém que a comunicagdo de encerramento de atividades inclua requisitos de seguranca © responsabllidades legais existentes e, onde apropriado, responsabilidades contidas em quaisquer acordos de confidencialidade (ver 6.1.5) e os termos e condigdes de trabalho (ver 8.1.3) que continuem por um periodo definido apés o fim do trabalho do funcionario, do fornecedor ou do terceiro. Convém que as responsabilidades e obrigagées contidas nos contratos dos funciondrios, fornecedores ou terceiros permanegam validas apés o encerramento das atividades, Convém que as mudangas de responsabilidades ou do trabalho sejam gerenciadas quando do encerramento da respectiva responsabilidade ou do trabalho, e que novas responsabilidades ou trabalho sejam controladas conforme descrito em 8.1 Informagdes adicionais ‘A fungao de Recursos Humanos é geralmente responsavel pelo processo global de encerramento e trabalha em conjunto com o geslor responsavel pela pessoa que esié saindo, para gerenciar os aspeclos de seguranca da informagao dos procedimentos pertinentes. No caso de um fornecedor, 0 processo de encerramento de atividades pode ser realizado por uma agéncia responsavel pelo fornecedor e, no caso de um outro usuario, isto pode ser tratado pela sua organizagao, Pode ser necessério informar aos funcionéirios, clientes, fomecedores ou terceiros sobre as mudangas de pessoal e procedimentos operacionais. 8.3.2 Devolugao de ativos Controle Convém que todos os funcionérios, fomecedores ¢ terceiros devolvam todos os alivos da organizago que estejam em sua posse, apés o enceframento de suas atividades, do contrato ou acordo. Diretrizes para implementacso Convém que 0 processo de encerramento de atividades seja formalizado para contemplar a devolugao de todos os equipamentos, documentos corporativos e software entregues @ pessoa, Outros ativos da organizagao, tais como disposttives de computagéo mavel, cartdes de créditos, cartes de acesso, software, manuais e informagdes armazenadas em micia eletrénica, também precisam ser devolvidos. No caso em que um funcionério, fornecedor ou terceiro compre 0 equipamento da organizagao ou use o seu proprio equipamento pessoal, convém que procedimentos sejam adotados para assegurar que toda a informagao relevante seja transterida para a organizagao e que seja apagada de forma segura do equipamento (ver 10.7.1) Nos casos em que o funcionario, fornecedor ou terceiro tenha conhecimento de que seu trabalho & importante para as atividades que so executadas, convém que este conhecimento seja documentado e transferido para a organizacao. 8.3.3 Retirada de direitos de acesso Controle Convem que os direitos de acesso de todos os funcionarios, fomecedores e terceiros as informacdes @ aos recursos de processamento da informagao sejam retirados apés 0 encerramento de suas atividades, contratos ou acordos, ou ajustado apés a mudanga desias atividades. 30 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 Diretrizes para implementaco Convém que 0s direitos de acesso da pessoa aos ativos associados com os sistemas de informagao e servigos sejam reconsiderados, apés o encerramento das atividades. Isto ira determinar se 6 necessério retirar os direitos de acesso. Convém que mudangas de uma atividade sejam refletidas na retirada de todos os direitos de acesso que nao foram aprovados para o novo trabalho. Convém que os direitos de acesso que sejam retirados ou adaptados incluam 0 acesso légico e fisico, chaves, cartées de identificagao, recursos de processamento da informacao (ver 11.2.4), subscrigdes @ retirada de qualquer documentagao que os identifiquem como um membro alual da organizagao. Caso o funcionario, fornecedor ou lerceiro que esteja saindo tenha conhecimento de senhas de contas que permanecem ativas, convém que estas sejam alteradas apés um encerramento das atividades, mudanga do trabalho, contrato ou acordo, Convém que os direitos de acesso aos ativos de informacao e aos recursos de processamento da informagao sejam reduzidos ou retirados antes que a atividade se encerre ou altere, dependendo da avaliagdo de fatores de risco, tais como: a) se 0 encerramento da atividade ou a mudanca é iniclada pelo funcionario, fornecedor ou terceiro, ou pelo gestor e a razdo do encerramento da atividade; b) as responsabilidades atuais do funcionério, fomecedor ou qualquer outro usuario; ©) valor dos ativos atualmente acessiveis, Informacses adicionais Em cerlas circunstancias os direitos de acesso podem ser alocados com base no que esta sendo disponibilizado para mais pessoas do que as que estdo saindo (funcionario, fornecedor ou terceiro), como, por exemplo, grupos de ID. Convém que, em tais casos, as pessoas que esto saindo da organizagao sejam retiradas de quaisquer listas de grupos de acesso e que sejam tomadas providéncias para avisar aos outros funcionérios, fomecedores e terceiros envolvides para néo mais compartilhar estas informagdes com a pessoa que esté saindo, Nos casos em que o encerramento da atividade seja da iniciativa do gestor, os funcionarios, fornecedores ou terceiros descontentes podem deliberadamente corromper a informagéo ou sabotar os recursos de processamento da informagao. No caso de pessoas demitidas ou exoneradas, elas podem ser tentadas a coletar informag6es para uso futuro. GABNT 2005 - Todos 08 dlitvtes reservados 34ABNT NBR ISO/IEC 17799:2005 9 Seguranga fisica e do ambiente 9.1 Areas seguras ‘Objetivo: Prevenir o acesso fisico no aulorizado, danos e interferéncias com as instalagdes @ informagbes da organizagao. Convém que as instalades de processamento da informagao criticas ou sensiveis sejam mantidas em areas seguras, protegidas por perimetros de seguranga definidos, com barreiras de seguranca e controles de acesso apropriados. Convém que sejam fisicamente protegidas contra 0 acesso nao autorizado, danos e | interferéncias. | | Convém que a protecao oferecida seja compativel com 0s riscas identificados. | 9.1.1. Perimetro de seguranga fisica Controle Convém que sejam utlizados perimetros de seguranca (barreiras tais como paredes, portdes de entrada controlados por cartéo ou balcdes de recepgdo com recepcionistas) para proteger as areas que contenham informagées ¢ instalagdes de processamento da informagao. Diretrizes para a implementago Convém que sejam levadas em consideragao e implementadas as seguintes diretrizes para perimetros de seguranga fisica, quando apropriado: a) os perimetros de seguranca sejam claramente definidos e que a localizago e a capacidade de resisténcia de cada perimetro dependam dos requisitos de seguranca dos ativos existentes no interior do perimetro, e dos resultados da andlise/avaliagao de riscos; b) os perimetros de um edificio ou de um local que contenha instalagSes de processamento da informagao sejam fisicamente sélidos (ou seja, 0 perimetro nao deve ter brechas nem pontos onde poderia ocorrer facilmente uma invasdo); convém que as paredes externas do local sejam de Construgao robusta e todas as portas externas sejam adequadamente protegidas contra acesso nao autorizado por meio de mecanismos de controle, por exemplo, barras, alarmes, fechaduras etc.; convém que as portas ¢ janelas sejam trancadas quando estiverem sem monitoragao, e que uma protego externa para as janelas seja considerada, principalmente para as que estiverem situadas no andar térreo; ¢)_ Seja implantada uma area de recepeao, ou um outro meio para controlar 0 acesso fisico ao local ou ao edificio; 0 acesso aos locais ou edificios deve ficar restrito somente ao pessoal autorizado; d)_sejam construidas barreiras fisicas, onde aplicavel, para impedir o acesso fisico nao autorizado © a contaminacao do meio ambiente; e) todas as portas corta-fogo do perimetro de seguranga sejam providas de alarme, monitoradas e testadas juntamente com as paredes, para estabelecer o nivel de resisténcia exigido, de acordo com ormas regionais, nacionais e intermacionais aceitaveis; elas devem funcionar de acordo com os cédigos locais de prevengao de incéndios e prevengao de falhas; 1) sistemas adequados de detecgéo de intrusos, de acordo com normas regionais, nacionais e internacionais, sejam instalados @ testados om intervalos regulares, @ cubram todas as portas externas, ¢ janelas acessiveis; as 4reas nao ocupadas devem ser prolegidas por alarmes o tempo todo; também. deve ser dada protecao a outras areas, por exemplo, salas de computadores ou salas de comunicagées; 9) as instalagées de processamento da informagdo gerenciadas pela organizagéo devem ficar fisicamente separadas daquelas que sao gerenciadas por terceiros. 32 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 Informagses adicionais Pode-se obter protecdo fisica criando uma ou mais barreiras fisicas ao redor das instalagdes ¢ dos recursos de processamento da informacdo da organizacdo. O uso de barreiras milliplas proporciona uma protegao adicional, uma vez que neste caso a falha de uma das barreiras nao significa que a seguranga fique comprometida imediatamente. Uma area segura pode ser um escritério trancavel ou um conjunto de salas rodeado por uma barreira fisica interna continua de seguranga. Pode haver necessidade de barreiras e perimetros adicionais para o controle do acesso fisico, quando existem areas com requisitos de seguranca diferentes dentro do perimetro de seguranga. Convém que sejam tomadas precaugdes especiais para a seguranga do acesso fisico no caso de edificios que alojam diversas organizagoes. 9.1.2 Controles de entrada fisica Controle Convém que as reas seguras sejam protegidas por controles apropriados de entrada para assegurar que somente pessoas autorizadas tenham acesso. Diretrizes para implementacdo Convém que sejam levadas em considerago as seguintes diretrizes: a) a data e hora da entrada e saida de visitantes sejam registradas, e todos os visitantes sejam supenisionados, a nao ser que o seu acesso tenha sido previamente aprovado; convém que as permissées de acesso sejam concedidas somente para finalidades especificas e autorizadas, © sejam emitidas com instrugdes sobre os requisitos de seguranga da area e os procedimentos de emergéncia; b) _acesso as dreas em que sao processadas ou armazenadas informagées sensiveis seja controlado restrito as pessoas aulorizadas; convém que sejam ulllizados controles de aulenticagao, por exemplo, cartéo de controle de acesso mais PIN (personal identification number), para autorizar e validar todos ‘98 acessos; deve ser mantido de forma segura um registro de todos os acessos para fins de auditoria; ©) Sela exigido que todos os funcionatios, fornecedores e terceiros, e todos os visitantes, tenham alguma forma visivel de identificagao, e eles devem avisar imediatamente o pessoal de seguranca caso encontrem visitantes nao acompanhados ou qualquer pessoa que nao esteja usando uma identificagao visivel; d) aos terceiros que realizam servigos de suporte, seja concedido acesso restrito as areas seguras ou as instalagdes de processamento da informagao sensivel somente quando necessario; este acesso deve ‘ser autorizado e monitorado; @) 08 direitos de acesso a areas seguras sejam revistos e atualizados em intervalos regulares, revogados quando necessario (ver 8.3.3) 9.1.3 Seguranga em escritérios, salas e instalages Controle Convém que seja projetada e aplicada seguranga fisica para escritérios, salas e instalagées. Diretrizes para implementacao Convém que sejam levadas em consideracao as seguintes diretrizes para proteger escritérios, salas ¢ instalagées: a) _sejam levados em conta os regulamentos e normas de satide e seguranca aplicaveis; b) as instalagdes-chave sejam localizadas de maneira a evitar 0 acesso do puibico; GABNT 2005 - Todos 08 dlitvtes reservados 33ABNT NBR ISO/IEC 17799:2005 ©) 08 edificios sejam discretos e déem a menor indicagéo possivel da sua finalidade, sem letreiros evidentes, fora ou dentro do edificio, que identifiquem a presenca de alividades de processamento de informagées, quando for aplicavel; d) as listas de funcionarios e guias telefénicos intemos que identifiquem a localizagao das instalages que processam informagées sensiveis nao fiquem facilmente acessiveis ao puiblico. 9.1.4 Protacao contra ameacas externas do meio ambiente Controle Convém que sejam projetadas e aplicadas protegao fisica contra incéndios, enchentes, terremotos, explosces, perturbagées da ordem piiblica e outras formas de desastres naturais ou causados pelo homem, Diretrizes para implementa Convém que sejam levadas em consideracao todas as ameagas a seguranca representadas por instalagoes vizinhas, por exemplo, um incéndio em um edificio vizinho, vazamento de agua do telhado ou em pisos do subsolo ou uma exploséo na rua. Convém que sejam levadas em consideragao as seguintes diretrizes para evitar danos causados por incéndios, enchentes, terremotos, explosoes, perturoagdes da ordem publica e outras formas de desastres naturais ou causados pelo homem: a) os materiais perigosos ou combustivels sejam armazenados a uma distancia segura da area de seguranga. Suprimentos em grande volume, como materiais de papelaria, nao devem ser armazenados dentro de uma area segura; b) 0s equipamentos para contingéncia e midia de backup fiquem a uma distancia segura, para que néo sejam danificados por um desastre que afete o local principal; ©) 0s equipamentos apropriados de detecgao e combate a incéndios sejam providenciados e posicionados corretamente, 9.1.5 Trabalhando em areas seguras Controle ‘Convem que seja projetada © aplicada protecao fisica, bem como diretrizes para o trabalho em dreas seguras. Dirotrizes para implementagao ‘Convém que sejam levadas em consideragao as seguintes diretrizes: 1a) pessoal sé tenha conhecimento da existéncia de areas seguras ou das atividades nelas realizadas, apenas se for necessério; b)_seja evitado 0 trabalho nao supervisionado em areas seguras, tanto por motivos de seguranga como para prevenir as atividades mal intencionadas; ©) as reas seguras no ocupadas sejam fisicamente trancadas e periodicamente verificadas; d) no seja permitido o uso de maquinas fotograficas, gravadores de video ou audio ou de outros equipamentos de gravacdo, tals como cameras em dispositives mévels, salvo se for autorizado. ‘As normas para o trabalho em reas seguras incluem 0 controle dos funcionarios, fornecedares e terceiros que trabaiham em tais reas, bem como o controle de outras atividades de terceiros nestas areas. 34 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 9.1.6 Acesso do publico, areas de entrega e de carregamento Controle Convém que os pontos de acesso, tais como areas de entrega e de carregamento e outros pontos em que pessoas nao autorizadas possam entrar nas instalagdes, sejam controlados e, se possivel, isolados das instalagdes de processamento da informagao, para evitar 0 acesso nao autorizado. Diretrizes para implementacao Convém que sejam levadas em consideragdo as seguintes diretrizes: a) acesso a uma area de entrega @ carregamento a partir do exterior do prédio fique restrit identificado e autorizado; a0 pessoal b) as areas de entroga © carregamento sejam projetadas de tal maneira que soja possivel descarregar suprimentos sem que os enlregadores tenham acesso a oulras partes do edificio; ©) as portas externas de uma area de entrega e carregamento sejam protegidas enquanto as portas intemas estiverem abertas; d) os materiais entregues sejam inspecionados para detectar ameacas potenciais (ver 9.2.1d)) antes de ‘serem transportados da area de entrega e carregamento para o local de utllizagAo, e) 0s materials entregues sejam registrados por ocasio de sua entrada no local, usando-se procedimentos de gerenciamento de ativos (ver 7.1.1); ) as remessas entregues sejam segregadas fisicamente das remessas que saem, sempre que possivel 9.2 Seguranga de equipamentos (Objetiva: Impedir perdas, danos, furlo ou roubo, ou compromelimento de ativos e interrupgao das atividades da organizagao. Convém que 0s equipamentos sejam protegidos contra ameagas fisicas e do meio ambiente. ‘A protegao dos equipamentos (incluindo aquoles utlizados fora do local, @ a retirada de ativos) 6 necessaria para reduzir 0 risco de acesso nao autorizado as informagées e para proteger contra perdas ou danos. Convém que também seja levado em consideragao a introdugao de equipamentos no local, bem como sua remogao. Podem ser necessérios controles especiais para a protecao contra ameagas fisicas @ para a protegao de insialagdes de suporte, como a infra-estrutura de suprimento de energia e de cabeamento. 8.2.1 Instalagao e protegio do equipamento Controle Convém que 0s equipamentos sejam colocados no local ou protegidos para reduzir os riscos de ameagas & Perigos do meio ambiente, bem como as oportunidades de acesso nao autorizado, Diretrizes para implementacao Convém que sejam levadas em considerago as seguintes diretrizes para proteger os equipamentos: a) 08 equipamentos sejam colocadas no local, a fim de minimizar 0 acesso desnecessério as areas de trabalho; b) as instalagdes de processamento da informacao que manuseiam dados sensiveis sejam posicionadas de forma que o Angulo de visdo seja restrito, de modo a reduzir 0 r'sco de que as informagdes sejam vistas por pessoal nao autorizado durante a sua utilizagao, e os locais de armazenagem sejam Protegidos, a fim de evitar 0 acesso nao autorizado; GABNT 2005 - Todos 08 dlitvtes reservados 35ABNT NBR ISO/IEC 17799:2005 ©) 08 itens que exigem protegao especial devem ser isolados para reduzir o nivel geral de protegao necessario; 4) sejam adotados controles para minimizar o risco de ameagas fisicas potencials, tais como furto ou roubo, incéndio, explosivos, fumaga, agua (ou falha do suprimento de agua), poeira, vibragao, efeitos quimicos, interferéncia com o suprimento de energia elétrica, interferéncia com as comunicagées, radiaco eletromagnética e vandalismo; €) sejam estabelecidas diretrizes quanto a comer, beber e fumar nas proximidades das instalagdes de processamento da informagao; f) as condigdes ambientais, como temperatura e umidade, sejam monitoradas para a detecgao de condig6es que possam afelar negativamente os recursos de processamento da informacao; 4g) todos os edificios sejam dotados de protecdo contra raios e todas as linhas de entrada de forga e de comunicagdes tenham fitros de protegao contra raios; h) para equipamentos em ambientes industriais, o uso de métodos especiais de protegao, tais como membranas para teclados, deve ser considerado; i) 08 equipamentos que processam informages sensive's sejam protegidos, a fim de minimizar o risco de vazamento de informagdes em decorréncia de emanagées. 9.2.2 Utilidades Controle Convém que os equipamentos sejam protegidos contra falta de energia elétrica e outras interrupgées causadas por falhas das utilidades. Dirotrizes para implementacao Convém que todas as utllidades, tais como suprimento de energia elétrica, suprimento de agua, esgotos, calefacao/ventilacao e ar-condicionado sejam adequados para os sistemas que eles suportam. Convém que as utilidades sejam inspecionadas em intervalos regulares e testadas de maneira apropriada para assegurar seu funcionamento correto e reduzir os riscos de defeitos ou interrupgdes do funcionamento. Convém que seja rovidenciado um suprimento adequado de energia elétrica, de acordo com as especificagées do fabricante dos equipamentos. Recomenda-se 0 uso de UPS para suportar as paradas e desligamento dos equipamentos ou para manter 0 funcionamento continuo dos equipamentos que suportam operagoes criticas dos negécios. Convém que hajam planos de contingéncia de energia referentes &s providéncias a serem tomadas em caso de falha do UPS. Convém que seja considerado um gerador de emergéncia caso seja necessério que 0 processamento continue mesmo se houver uma interrupcao prolongada do suprimento de energia. Convém que esteja disponivel um suprimento adequado de combustivel para garantir a operacdo prolongada do gerador. Convém que os equipamentos UPS e os geradores sejam verificados em intervalos regulares para assegurar que eles tenham capacidade adequada, e sejam testados de acordo com as recomendagées do fabricante. Além disto, deve ser considerado o uso de multiplas fontes de energia ou de uma subestagao de forca separada, se o local for grande. Convém que as chaves de emergéncia para o desligamento da energia fiquem localizadas na proximidade das saidas de emergéncia das salas de equipamentos, para faciitar o desligamento rapido da energia em caso de uma emergéncia. Convém que seja providenciada iluminagao de emergéncia para 0 caso de queda da forga. Convém que o suprimento de agua seja estivel e adequado para abastecer os equipamentos de ar-condicionado & de umidificagao, bem como os sistemas de exlinggo de incéndios (quando usados). Falhas de funcionamento do abastecimento de Agua podem danificar o sistema ou impedir uma ago eficaz de ‘extingao de incéndios. Convém que seja analisada a necessidade de sistemas de alarme para detectar falhas de funcionamento das utilidades, instalando os alarmes, se necessario, 36 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 Convém que os equipamentos de telecomunicagées sejam conectados a rede piblica de energia elétrica através de pelo menos duas linhas separadas, para evitar que a falha de uma das conexdes interrompa os servigos de voz. Convém que os servigos de voz sejam adequados para atender as exigéncias legais locais, relativas a comunicagbes de emergéncia Informagées adicionais ‘As op¢6es para assegurar a continuidade do suprimento de energia incluem miiltiplas linhas de entrada, para evitar que uma falha em um Unico ponto comprometa o suprimento de energia, 9.2.3 Seguranga do cabeamento Controle Convém que 0 cabeamento de energia e de telecomunicagées que transporta dados ou dé suporte aos, servigos de informagées seja protegido contra interceptagao ou danos. Diretrizes para implementacao Convém que sejam levadas em considerago as seguintes diretrizes para a seguranca do cabeamento: a) as linhas de energia e de telecomunicagées que entram nas instalagdes de processamento da informagao sejam subterrdneas (ou fiquem abaixo do piso), sempre que possivel, ou recebam uma proteso allemativa adequada; b) cabeamento de redes seja protegido contra interceplagdo ndo autorizada ou danos, por exemplo, pelo uso de condultes ou evitando trajetos que passem por areas puiblicas; ©) 08 cabos de energia sejam segregados dos cabos de comunicagées, para evitar interferéncias; d) nos cabos e nos equipamentos, sejam utilizadas marcagoes claramente identificaveis, a fim de minimizar erros de manuselo, como, por exemplo, fazer de forma acidental conexées erradas em cabos da rede; e) seja utiizada uma lista de documentagao das conexdes para reduzir a possibilidade de erros; 1) para sistemas sensiveis ou criticos, os seguintes controles adicionais devem ser considerados: 1) instalagao de conduites biindados e salas ou caixas trancadas em pontos de inspegao @ pontos terminai 2) uso de rotas alternativas e/ou meios de transmisséo alternatives que proporcionem seguranga adequada; 3) _utilizagdo de cabeamento de fibras épticas: 4) _utilizagdo de blindagem eletromagnética para a protegdo dos cabos; 5) realizago de varreduras técnicas e inspegées fisicas para detectar a presenca de dispositivos no autorizados conectados aos cabos; 6) acesso controlado aos painéis de conexées e as salas de cabos. GABNT 2005 - Todos 08 dlitvtes reservados 37ABNT NBR ISO/IEC 17799:2005 9.2.4 Manutengao dos equipamentos Controle Convém que os equipamentos tenham uma manutencéo correta para assegurar sua disponibilidade e integridade permanentes. Diretrizes para implementacao ‘Convém que sejam levadas em consideragao as seguintes diretrizes para a manutengao dos equipamentos: a) a manutengao dos equipamentos seja realizada nos intervalos recomendados pelo fornecedor, @ de acordo com as suas especificaces; b) a manutengdo © os consertos dos equipamentos sejam realizados somente por pessoal de manutengao autorizado; )sejam mantidos os registros de todas as falhas, suspeilas ou reais, e de todas as operages de ‘manutengdo preventiva e corretiva realizadas; d) sejam implementados controles apropriados, na época programada para a manutengAo do equipamento, dependendo de a manutengao ser realizada pelo pessoal do local ou por pessoal extemo a organizagao; onde necessério, as informacées sensivels sejam eliminadas do equipamento, (uo pessoal de manutengao seja de absoluta confianga; €) _sejam atendidas todas as exigéncias estabelecidas nas apdlices de seguro. 9.2.5 Seguranga de equipamentos fora das dependéncias da organizagao Controle Convém que sejam tomadas medidas de seguranga para equipamentos que operem fora do local, levando em conta os diferentes riscos decorrentes do fato de se trabalhar fora das dependéncias da organizagao, Diretrizes para implementagéo Convém que, independentemente de quem saja o proprielério, a utilizagao de quaisquer equipamentos de processamento de informag6es fora das dependéncias da organizagao seja autorizada pela geréncia, Convém que sejam levadas om consideracao as seguintes diretrizos para a protecao de equipamentos usados fora das dependéncias da organizagao: a) 08 equipamentos e midias removidos das dependéncias da organizagao nao fiquem sem superviséo fem lugares piblicos; os computadores portateis sejam carregados como bagagem de mao disfargados, sempre que possivel, quando se viaja; b)sejam observadas a qualquer tempo as instrugdes do fabricante para a protegao do equipamento, por exemplo, protegao contra a exposigo a campos eletromagnéticos intensos; ©) 08 controles para 0 trabalho em casa sejam determinados por uma anélise/avaliacao de riscos, sendo aplicados controles adequades para cada caso, por exemplo, arquivos trancaveis, politica de "mesa limpa", controles de acesso a computadores, e comunicagao segura com o escritério (ver ISO/IEC 18028 — Network security), 4) haja uma cobertura adequada de seguro para proteger os equipamentos fora das dependéncias da organizacao. Os riscos de seguranga, por exemplo, de danos, furto ou espionagem, podem variar consideravelmente de um local para outro e convém que sejam levados em conta para determinar os controles mais apropriados. 38 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 Informacses adicionais Os equipamentos de armazenagem e processamento de informagdes incluem todas as formas de computadores pessoais, agendas eletr6nicas, telefones celulares, cartées inteligentes, papéis e outros tipos, utilizados no trabalho em casa, ou que $40 removidos do local normal de trabalho. Mais informagées sobre outros aspectos da protegao de equipamentos méveis podem ser encontradas em 11.7.4 9.2.6 Reuti ‘ago e alienagao segura de equipamentos Controle Convém que todos os equipamentos que contenham midias de armazenamento de dados sejam examinados antes do descarte, para assegurar que todos os dados sensiveis e softwares licenciados tenham sido removidos ou sobregravados com seguranga, Dirotrizes para implementacao Convém que os dispositivos que contenham informagées sensiveis sejam destruidos fisicamente ou as informagées sejam destruidas, apagadas ou sobregravadas por meio de técnicas que tornem as informagdes originals irrecuperaveis, em vez de se usarem as fungdes-padrao de apagar ou formatar. Informagées adicionais No caso de dispositives defeituosos que contenham informages sensivels, pode ser necessaria uma andlise/avaliagao de riscos para determinar se convém destruir fisicamente 0 dispositivo em vez de manda-lo para 0 conserto ou descarté-lo. As informagoes podem ser comprometidas por um descarte felto sem os devidos cuidados ou pela reutlizagao do equipamenio (ver 10.7.2) 9.2.7 Remogaio de propriedade Controle Convém que equipamentos, informagées ou software nao sejam retirados do local sem autorizagao prévia. Diretrizes para implementacao Convém que sejam levadas em consideragao as seguintes diretrizes: a) 0 equipamentos, informagées ou software nao sejam retirados do local sem autorizagao prévia; b) os funcionarios, fomecedores e terceiros que tenham autoridade para permitir a remogao de ativos Para fora do local sejam ciaramente identificados; ©) _sejam estabelecidos limites de tempo para a retirada de equipamentos do local, e a devolugo soja controlada; d) sempre que necessério ou apropriado, seja feito um registro da relirada e da devolugdo de equipamentos, quando do seu retorno. Informagses adicionais Podem ser feilas inspecdes aleatérias para delectar a retirada ndo autorizada de bens e a existéncia de equipamentos de gravacao nao autorizados, armas etc., e impedir sua entrada no local. Convém que tais, inspegdes aleatérias sojam feitas de acordo com a legislacao @ as normas aplicéveis. Convém que as pessoas, sejam avisadas da realizagao das inspeges, e elas s6 podem ser fellas com a devida autorizacdo, levando em conta as exigéncias legais e regulamentares. GABNT 2005 - Todos 08 dlitvtes reservados 39ABNT NBR ISO/IEC 17799:2005 10 Gerenciamento das operagées e comunicagées 10.1 Procedimentos e responsabilidades operacionais, ‘Objetivo: Garantir a operagao segura e correla dos recursos de processamento da informago. Convém que os procedimentos e responsabilidades pela gestéo e operagao de todos os recursos de Processamento das informagdes sejam definidos. Isto abrange o desenvolvimento de procedimentos ‘operacionais apropriados. Convém que seja utlizada a segregacao de fungées quando apropriado, para reduzir risco de mau uso ou uso doloso dos sistemas. 10.1.1 Documentagao dos procedimentos de operacao Controle ‘Convem que os procedimentos de operagao sejam documentados, mantidos atualizados e disponiveis a todos 0s usuarios que deles necessitem. Diretrizes para implementagao Convém que procedimentos documentados sejam preparados para as alividades de sistemas associadas a recursos de processamento © comunicagao de informagdes, tais como procedimentos de inicalizagao ¢ desligamento de computadores, geracdo de cépias de seguranca (backup), manulengéo de equipamentos, tratamento de midias, seguranca e gestao do tratamento das correspondéncias e das salas de computadores. Convém que os procedimentos de operacao especifiquem as instrugSes para a execugao detalhada de cada tarefa, incluindo: a) processamento e tratamento da informagao; b) backup (ver 10.5); ©) requisitos de agendamento, incluindo interdependéncias com outros sistemas, a primeira hora para inicio da tarefa e a ultima hora para o término da tarefa; d)_instruges para tratamento de erros ou outras condigées excepcionais, que possam ocorrer durante a execugao de uma tarefa, incluindo restrig6es de uso dos utiltérios do sistema (ver 11.5.4); ) dados para contatos de suporte para o caso de eventos operacionais inesperados ou dificuldades técnicas; 1) instrugdes especiais quanto ao manuseio e saida de midias, tais como 0 uso de formularios especiais ou © gerenciamento de saldas confidenciais, incluindo procedimentos para o descarte seguro de resultados provenientes de rotinas com falhas (ver 10.7.2 ¢ 10.7.3), 9) procedimento para 0 reinicio @ recuperagao em caso de falha do sistema; hh) gerenciamento de trilhas de auditoria @ informagées de registros (/og) de sistemas (ver 10.70). Convém que procedimentos operacionais © os procedimentos documentados para atividades de sistemas sejam tratados como documentos formais e as mudancas sejam autorizadas pela direcdo. Quando tecnicamente possivel, convém que os sistemas de informagao sejam gerenciados uniformemente, usando os mesmos procedimentos, ferramentas e utlitarios. 40 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 10.1.2 Gestdo de mudancas Controle Convém que modificagées nos recursos de processamento da informagao e sistemas sejam controladas. Diretrizes para implementacso Convém que sistemas operacionais e aplicativos estejam sujeitos a rigido controle de gest de mudangas. Em particular, convém que os seguintes itens sejam considerados: a) identificagdo e registro das mudangas significativas; b) planejamento e testes das mudangas; ©) avaliagdo de impactos potenciais, incluindo impactos de seguranga, de tals mudangas; d) procedimento formal de aprovagdo das mudancas propostas; ) comunicagao dos detalhes das mudangas para todas as pessoas envolvidas; f) procedimentos de recuperagao, incluindo procedimentos e responsabilidades pela interrupgao e Fecuperagdo de mudancas em caso de insucesso ou na ocorréncia de eventos inesperados. Convém que sejam estabelecidos os procedimentos e responsabilidades gerenciais formais para garantir que haja um controle satisfatério de todas as mudangas em equipamentos, software ou procedimentos. Quando mudangas forem realizadas, convém que seja mantido um registro de auditoria contendo todas as informagées relevanles, Informagées adicionais O conirole inadequado de modificagdes nos sistemas ¢ nos recursos de processamento da informagao 6 uma causa comum de falhas de seguranca ou de sistema. Mudancas a ambientes operacionais, especialmente quando da transferéncia de um sistema em desenvolvimento para o estagio operacional, podem trazer impactos & confiabilidade de aplicagdes (ver 12.5.1) Convém que mudangas em sistemas operacionals sejam apenas realizadas quando houver uma razao de negécio valida para tal, como um aumento no risco do sistema. A atualizagao de sistemas as verses mais atuais de sistemas operacionais ou aplicativos nem sempre é do interesse do negocio, pois pode introduzir mais vulnerabllidades e instabilidades ao ambiente do que a verso corrente. Pode haver ainda a necessidade de treinamento adicional, custos de licenciamento, suporte, manutengao e sobrecarga de administragao, bem como a necessidade de novos equipamentos, especialmente durante a fase de migragao. 10.1.3 Segregagao de funcées Controle Convém que fungdes e areas de responsabilidade sejam segregadas para reduzir as oportunidades de modificago ou uso indevido ndo autorizado ou néo intencional dos ativos da organizaco. Diretrizes para implementacdo A segregacao de fungdes 6 um método para redugdo do risco de uso indevido acidental ou deliberado dos sistemas. Convém que sejam tomados certos culdados para Impedir que uma Unica pessoa possa acessar, modificar ou usar alivos sem a devida autorizagao ou detecgéio. Convém que o inicio de um evento seja separado de sua autorizagao. Convém que a possibilidade de existéncia de conluios seja considerada no projeto dos controles. ‘As pequenas organizagées podem considerar a segregagao de fungées dificil de ser implantada, mas convém que 0 seu principio seja aplicado sempre que possivel e praticavel. Onde for dificil a segregagao, convém que outros controles, como a monitoragao das atividades, trilhas de auditoria © © acompanhamento gerencial, sejam considerados. E importante que a auditoria da seguranca permanega como uma atividade independente, GABNT 2005 - Todos 08 dlitvtes reservados aABNT NBR ISO/IEC 17799:2005 10.1.4 Separacdo dos recursos de desenvolvimento, teste e de produgdo Controle Convém que recursos de desenvolvimento, teste e produgéo sejam separados para reduzir o risco de acessos ou modificagdes nao autorizadas aos sistemas operacionais. Diretrizes para implementacao Convém que 0 nivel de separacao dos ambientes de producao, testes ¢ desenvolvimento que 6 necessario para prevenir problemas operacionais seja identificado e os controles apropriados sejam implementados. Convém que os seguintes itens sejam considerados: a) as regras para a transferéncia de software da situagao de desenvolvimento para a de produgao sejam dofinidas ¢ documentadas; b) software em desenvolvimento e o software em produg&o sejam, sempre que possivel, executados em diferentes sistemas ou processadores e em diferentes dominios ou diretérios; ©) 08 compiladores, editores e outras ferramentas de desenvolvimento ou utiltérios de sistemas nao sejam acessiveis a partir de sistemas operacionais, quando nao for necessério; 4) 0s ambientes de testes emulem o ambiente de produgao o mais préximo possivel; €) os usuarios tenham diferentes perfis para sistemas em testes e em produc mostrem mensagens apropriadas de identificagao para reduzir o risco de erro; © que os menus f) 08 dados sensiveis ndo sejam copiados para os ambientes de testes (ver 12.4.2) Informacdes adicionais As alividades de desenvolvimento e teste podem causar sérios problemas, como, por exemplo, modificagées inesperadas em arquivos ou sistemas ou falhas de sistemas. Nesse caso, é necesséria a manutengao de um ambiente conhecido ¢ estavel, no qual possam ser executados testes significativos e que seja capaz de prevenir 0 acesso indevido do pessoal de desenvolvimento, Quando o pessoal de desenvolvimento e teste possul acesso ao ambiente de produgdo e suas informagdes les podem introduzir cédigos ndo testados © nao autorizados, ou mesmo alterar os dados do sistema Em alguns sistemas essa capacidade pode ser mal ullizada para a execugdo de fraudes, ou introducdo de ‘codigos maliciosos ou nao testados, que podem causar sérios problemas operacionais, © pessoal de desenvolvimento e testes também representa uma ameaga a confidencialidade das informacées de producéo. As atividades de desenvolvimento e teste podem causar modificagées nao intencionais no software ¢ informagdes se eles compartilharem o mesmo ambiente computacional. A separacao dos ambientes de desenvolvimento, teste e produgao sao, portanto, desejavel para reduzir 0 risco de modificagdes acidentais ou acessos néo aulorizados aos sistemas operacionais e aos dados do negécio (ver 12.4.2 para a protecio de dados de teste). 10.2 Gerenciamento de servicos terceirizados ‘Objetivo: Implementar e manter o nivel apropriado de seguranga da informagao ¢ de entrega de servigos em consonéncia com acordos de entrega de servicas terceirizados, Convém que a organizagao verifique a implementagao dos acordos, monitore a conformidade com tais acordos gerencie as mudangas para garantir que os servigos entregues atendem a todos os requisites acordados com os terceiros. 42 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 10.2.1 Entrega de servigos Controle Convém que seja garantido que os controles de seguranga, as definicées de servico e os niveis de entrega incluidos no acordo de entrega de servicos terceirizados sejam implementados, executados e mantidos pelo terceiro, Diretrizes para implementacao Convém que a entrega de servigos por um terceiro inclua os arranjos de seguranga acordados, definigées de servigo © aspectos de gerenciamento de servigos. No caso de acordos de terceirizagao, convem que a organizacdo planeje as transicoes necessdrias (de informagao, recursos de processamento de informagées & quaisquer outros que necessitem de movimentagao) e garanta que a seguranga seja mantida durante todo 0 periodo de transigao. Convém que a organizagao garanta que o terceiro mantenha capacidade de servico suficiente, juntamente com planos vidveis projetados para garantir que os niveis de continuidade de servigos acordados sejam mantidos apés falhas de servigos severas ou desastres (ver 14.1). 10.2.2 Monitoramento ¢ anilise critica de servigos terceirizados Controle Convém que os servigos, relatorios e registros fornecidos por terceiro sejam regularmente monitorados & analisados criicamente, e que auditorias sejam executadas regularmente. Diretrizes para implementacdo Convém que a monitoragao e andlise critica dos servigos terceirizados garantam a aderéncia entre os termos de seguranga de informagao e as condigdes dos acordos, e que problemas @ incidentes de seguranca da informagéio sejam gerenciados adequadamente. Convém que isto envolva processos e relagées de gerenciamento de servico entre a organizago e o terceiro para: a)_monitorar niveis de desempenho de servigo para verificar aderéncia aos acordos; b)_analisar criticamente os relatérios de servigos produzidos por terceiros e agendamento de reuniées de progresso conforme requerido pelos acordos; ©) fornecer informacées acerca de incidentes de seguranca da informacéio e andlise critica de tais informagdes tanto pelo terceiro quanto pela organizagao, como requerido pelos acordos e por quaisquer procedimentos e diretrizes que os apdiem; 4d) analisar erticamente as trlhas de auditoria do terceiro e registros de eventos de seguranga, problemas operacionais, falhas, investigagao de falhas e interrupg6es relativas ao servico entregue; e) resolver e gerenciar quaisquer problemas identificados, Convém que a responsabilidade do gerenciamento de relacionamento com o terceiro seja atribulda a um individuo designado ou equipe de gerenciamento de servigo. Adicionalmente, convém que a organizagao garanta que o terceiro atribua responsabilidades pela verificagao de conformidade e reforgo aos requisitos dos acordos. Convém que habilidades técnicas suficientes © recursos sejam disponibilizados para monitorar se os requisitos dos acordos (ver 6.2.3), em particular os requisites de seguranga da informacao, estéo sendo atendidos. Convém que agdes apropriadas sejam tomadas quando deficiéncias na entrega dos servigos forem observadas. Convém que a organizagao mantenha suficiente controle geral e visibiidade em todos os aspectos de seguranga para as informagdes sensiveis ou criticas ou para os recursos de processamento da informagao acessados, processados ou gerenciados por um terceiro. Convém que a organizagao garanta a retengao da visibilidade nas alividades de seguranga como gerenciamento de mudangas, identificacao de vulnerabilidades e relatérioiresposta de incidentes de seguranga da informagao através de um processo de nolificacao, formatagao e estruturacéo claramente definido. GABNT 2005 - Todos 08 dlitvtes reservados 43ABNT NBR ISO/IEC 17799:2005 Informagdes adicionais Em caso de terceirizacao, a organizacao precisa estar ciente de que a responsabilidade final pela informagao processada por um parceiro de terceirizagdo permanece com a organizagao. 10.2.3 Gerenciamento de mudangas para servicos terceirizados Controle Convém que mudangas no provisionamento dos servigos, incluindo manutengdo e melhoria da politica de seguranga da informagao, procedimentos e controles existentes, sejam gerenciadas levando-se em conta a criticidade dos sistemas e processos de negécio envolvidos e a reandlise/reavaliagao de riscos. Diretrizes para implementacao (O processo de gerenciamento de mudangas para servigos terceirizados precisa levar em conta: a) mudangas feitas pela organizacao para a implementagao de: 41) melhorias dos servigos correntemente oferecidos; 2) desenvolvimento de quaisquer novas aplicagdes ou si mas; 3) modificagées ou atualizagées das pollticas e procedimentos da organizac&o; 4) novos controles para resolver os in: seguranga; fontes de seguranga da informaco © para melhorar a b)_mudangas em servigos de terceiros para implementagao de: 1) _ mudangas e melhorias em redes; 2) uso de novas tecnologias; 3) adogo de novos produtos ou novas versées; 4) novas ferramentas e ambientes de desenvolvimento; 5) _ mudangas de localizacao fisica dos recursos de servigos; 6) _ mudangas de fornecedores. 10.3 Planejamento e aceitagao dos sistemas ‘Objetivo: Minimizar o risco de falhas nos sistemas, © planejamento e a preparagdo prévios sdo requeridos para garantir a disponibilidade adequada de capacidade e recursos para entrega do desempenho desejado ao sistema | Convém que projecées de requisites de capacidade futura sejam feitas para reduzir o risco de sobrecarga dos sistemas. Convém que os requisitos operacionais dos novos sistemas sejam estabelecidos, documentados e testados | antes da sua accitagao 0 uso | 44 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 10.3.1 Gestdo de capacidade Controle Convém que a utllizagéio dos recursos seja monitorada e ajustada, e as projecées feitas para necessidades de capacidade futura, para garantir o desempenho requerido do sistema. Diretrizes para implementacao Convém que requisites de capacidade sejam identificados para cada atividade nova ou em andamento. Convém que 0 ajuste © 0 monitoramento dos sistemas sejam aplicados para garantir e, quando necessario, melhorar a disponibilidade e eficiéncia dos sistemas. Convém que controles detectivos sejam impiantados para identificar problemas em tempo habil. Convém que projecées de capacidade futura levem em consideracao os requisitos de novos negécios e sistemas e as tendéncias aluais e projetadas de capacidade de processamento de informagao da organizagao. Atengao particular precisa ser dada a qualquer recurso que possua um ciclo de renovagdo ou custo maior, sendo responsabiidade dos gestores monitorar a utiizagéo dos recursos-chave dos sistemas. Convém que eles identfiquem as tendéncias de uilizacao, partcularmente em relagao as aplicacdes do negécio ou as forramontas de gostao de sistemas do informagao. Convém que os gestores utilizem essas informacées para identificar e evitar os potencials gargalos e a dependéncia em pessoas-chave que possam representar ameagas a seguranga dos sistemas ou aos servigos, @ planejar agao corretiva apropriada, 10.3.2 Aceltagao de sistemas Controle Convém que sejam estabelecidos critérios de aceitagao para novos sistemas, atualizagdes novas versdes, 6 que sejam efeluados testes apropriados do(s) sistema(s) durante seu desenvolvimento e antes da sua aceitagao, Diretrizes para implementacao Convém que os gestores garantam que os requisites e critérios para aceitacdo de novos sistemas estejam claramente definidos, acordados, documentados e testados. Convém que novos sistemas de informacao, atualizagées © novas versées s6 sejam migrados para produgao apés a obtengao de aceitagao formal. Convém que 0s seguintes itens sejam considerados antes que a aceitacao formal seja emitida: a) requisitos de desempenho e de capacidade computacional; b) recuperagao de erros, procedimentos de reinicializagao e planos de contingéncia; ©) _preparagdo e teste de procedimentos operacionais de rotina, com base em normas definidas; 4) concordancia sobre o conjunto de controles de seguranga utilizados; ) procedimentos manuais eficazes; 1) requisitos de continuidade dos negécios (ver 14.1); 9) evidéncia de que a instalacdo do novo sistema nao afetara de forma adversa os sistemas existentes, Particularmente nos periodos de pico de processamento, como, por exemplo, em final de més; hh) evidéncia de que tenha sido considerado o impacto do novo sistema na seguranga da organizagao como um todo; i) treinamento na operagao ou uso de novos sistemas; |) facilidade de uso, uma vez que afeta o desempenho do usuario e evita falhas humanas. GABNT 2005 - Todos 08 dlitvtes reservados 45ABNT NBR ISO/IEC 17799:2005 Para os principais novos desenvolvimentos, convém que os usuarios e as fungdes de operagao sejam consultados em todos os estagios do processo de desenvolvimento, de forma a garantir a eficiéncia operacional do projeto de sistema proposto. Convém que os devidos testes sejam executados para garantir que todos os critérios de aceitagao tenham sido plenamente satisfeitos. Informagées adicionais A aceitacao pode incluir um proceso formal de certificagéio e reconhecimento para garantir que os requisites de seguranga tenham sido devidamente enderegados, 10.4 Protegao contra cédigos maliciosos e cédigos méveis Objetivo: Proteger a integridade do software e da informagao. Precaugées sao requeridas para prevenir e detectar a introdugao de cédigos maliciosos e cédigos méveis nao aulorizados. Os recursos de processamento da informagaio © os softwares so vulnerévels introdugdo de cédigo malicioso, tais como virus de computador, worms de rede, cavalos de Tréia e bombas logicas. Convém que os usudrios estejam conscientes dos perigas do cédigo malicioso. Convém que os gestores, onde apropriado, implantem controles para prevenir, detectar e remover cédigo malicioso e controlar cédigos méveis, 10.4.1 Controles contra cédigos maliciosos Controle Convém que sejam implantados controles de detecyao, prevengdo e recuperagao para proteger contra cédigos maliciosos, assim como procedimentos para a devida conscientizacao dos usuarios. Diretrizes para implementacao Convém que a protecdo contra cédigos maliciosos seja baseada em softwares de deteccdo de cédigos maliciosos e reparo, na conscientizagao da seguranga da informagao, no controle de acesso adequado © nos controles de gerenciamento de mudangas. Convém que as seguintes diretrizes sejam consideradas: a) estabelecer uma politica formal proibindo o uso de softwares néo autorizados (ver 15.1.2); b) estabelecer uma politica formal para protecdo contra os riscos associados com a importagdo de arquivos e softwares, seja de redes externas, ou por qualquer outro meio, indicando quais medidas preventivas devem ser adoladas; ©) conduzir andlises criticas regulares dos softwares e dados dos sistemas que suportam processos criticos de negécio; convém que a presenga de quaisquer arquivos ndo aprovados ou atualizagao ndo autorizada seja formalmente investigada; d)_instalar e atualizar regularmente softwares de detecgao e remogao de cédigos maliciosos para o exame de computadores e midias magnéticas, de forma preventiva ou de forma rotineira; convém que as verificagées realizadas incluam: 1) verificagdo, antes do uso, da existéncia de cédigos maliciosos nos arquivos em midias éticas ou eletrénicas, bem como nos arquivos transmitidos através de redes; 2) verificago, antes do uso, da existéncia de software malicioso em qualquer arquivo recebido através de correio eletrénico ou importado (download). Convém que essa avaliagao soja feita em diversos locais, como, por exemplo, nos servidores de correlo eletrénico, nos computadores pessoas ou quando da sua entrada na rede da organizagao; 3) verificagao da existéncia de cédigos maliciosos em paginas web; 46 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 e) definir procedimentos de gerenciamento e respectivas responsabilidades para tratar da protegao de cédigo malicioso nos sistemas, treinamento nesses procedimentos, reporte e recuperagdo de ataques de cédigos maliciosos (ver 13.1 e 13.2); f) _preparar planos de continuidade do negécio adequados para a recuperagéo em caso de ataques por cédigos malicioses, incluindo todos os procedimentos necessarios para a cépia ¢ recuperagao dos dados e softwares (ver segao 14), 9) implementar procedimentos para regularmente coletar informagées, tais como, assinaturas de listas de discussao e visitas a sites informativos sobre novos cédigos maliciosos; h) implementar procedimentos para a verificagao de informagao relacionada a cédigos maliciosos & garantia de que os boletins com alertas sejam precisos e informativos; convém que os gestores garantam que fontes qualificadas, como, por exemplo, jornais com reputagao idénea, sites confiaveis ou fornecedores de software de protecao contra cédigos maliciosos, sejam utiizadas para diferenciar boatos de noticias reals sobre cédigos maliciosos; convém que todos os usuarios estejam cientes dos problemas decorrentes de boatos e capacitados a lidar com eles. Informagses adicionais A.utlizagdo de dois ou mais tipos de software de controle contra cédigos maliciosos de diferentes fornecedores no ambiente de processamento da informagao pode aumentar a eficdcia na protego contra cédigos maliciosos, Softwares de protegao contra cédigo malicioso podem ser instalados para prover atualizagdes automaticas dos arquivos de definicao © mecanismos de varredura, para garantir que a protecao esteja atualizada. Adicionalmente, estes softwares podem ser instalados em todas as estagdes de trabalho para a realizagao de verificagées automaticas, Convém que seja tomado cuidado quanto a possivel introdugao de cédigos maliciosos durante manutengées & quando esto sendo realizados procedimentos de emergéncia. Tais procedimentos podem ignorar controles normais de protegao contra cédigos maliciosos. 10.4.2 Controles contra cédigos méveis, Controle Onde 0 uso de cédigos méveis ¢ autorizado, convém que a configuragSo garanta que o cédigo mével autorizado opere de acordo com uma politica de seguranga da informacao claramente definida @ cédigos méveis no autorizados tenham sua execugaio impedida. Diretrizes para implementacd Convém que as seguintes agdes sejam consideradas para proteger contra agdes nao autorizadas realizadas por cédigos méveis: a) executar cédigos méveis em ambientes isolados logicamente; )_ bloquear qualquer tipo de uso de cédigo mével ©) bloquear o recebimento de cédigos méveis; 4) ativar medidas técnicas disponiveis nos sistemas especificos para garantir que 0 cédigo movel esteja sendo administrado; €) controlar os recursos disponiveis para acesso ao cédigo mével; f)_estabelecer controles criptograficos de autenticagao exclusiva do cédigo mével GABNT 2005 - Todos 08 dlitvtes reservados 47ABNT NBR ISO/IEC 17799:2005 Informagdes adicionais Cédigo mével & um cédigo transferido de um computador a outro executando automaticamente e realizando funges especificas com pequena ou nenhuma interagdo por parte do usuario. Cédigos méveis so associados a.uma variedade de servigos middleware. Além de garantir que os cédigos méveis néo carreguem cédigos maliciosos, manter 0 controle deles & essencial na prevencdo contra 0 uso nao autorizado ou interrupgao de sistemas, redes ou aplicativos, e na revengao contra violagdes de seguranga da informagao. 10.5 Cépias de seguranca Objetivo: Manter a integridade © disporibiidade da informagdo e dos recursos de processamento de informagao, Convém que procedimentos de rotina sejam eslabelecidos para implementar as polilicas e estralégias definidas para a geragao de cépias de seguranga (ver 14.1) possibilitar a geragao das cépias de seguranca dos dados e sua recuperacdo em um tempo aceitavel 10.5.1 Cépias de seguranga das informagées Controle Convém que as cépias de seguranca das informagées e dos softwares sejam efetuadas e testadas regularmente conforme a politica de geracao de cépias de seguranca definida. Diretrizes para implementagao Convém que recursos adequados para a geracao de cépias de seguranca sejam disponibilizados para garantir que toda informagao e software essenciais possam ser recuperados apés um desastre ou a falha de uma midia, Convém que os seguintes itens para a geragao das cépias de seguranga sejam considerados: a) definigao do nivel necessario das cépias de seguranga das informagées; b) produc&o de registras completos e exatos das céplas de seguranga e documentagao apropriada sobre 08 procedimentos de restauraco da informagao; ©) a.extensdo (por exemplo, completa ou diferencial) e a freqliéncia da geracao das cépias de seguranga reflita os requisitos de negocio da organizagao, além dos requisitos de seguranga da informagao envolvidos e a criticidade da informago para a continuidade da operagao da organizacao; d) as c6pias de seguranga sejam armazenadas em uma localidade remota, a uma distancia suficiente para escapar dos danos de um desastre ocorrido no local principal, ) deve ser dado um nivel apropriado de protegao fisica e ambiental das informacdes das cépias de seguranga (ver segdo 9), consistente com as normas aplicadas na instalagdo principal; os controles aplicados as midias na instalagao principal sejam usados no local das cépias de seguranca;, f) as_midias de cépias de seguranga sejam testadas regularmente para garantir que elas sio suficientemente confiaveis para uso de emergéncia, quando necessario; 9) 08 procedimentos de recuperacdo sejam verificados e testados regularmente, de forma a garantir que estes so efetivos e que podem ser concluldos dentro dos prazos definidos nos procedimentos operacionais de recuperagao; h)_ em situagées onde a confidencialidade é importante, cépias de seguranga sejam protegidas através de encriptagao. 48 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 Convém que as cépias de seguranca de sistemas especificos sejam testadas regularmente para garantir que elas estéo aderentes aos requisitos definidos nos planos de continuidade do negécio (ver seao 14), Para sistemas criticos, convém que os mecanismos de geragdo de cépias de seguranca abranjam todos os sistemas de informagao, aplicagdes @ dados necessarios para a completa recuperagao do sistema em um evento de desastre. Convém que o periodo de retengéo para informagées essenciais ao negécio e também qualquer requisite para que cépias de arquivo sejam permanentemente retidas seja determinado (ver 15.1.3). Informagées adicionais (Os mecanismos de cépias de seguranca podem ser automatizados para facilitar os processos de geragao & recuperagao das oépias de seguranga. Convém que tais solugées automatizadas sejam suficientemente testadas antes da implementagao e verificadas em intervalos regulares. 10.6 Gerenciamento da seguranga em redes, ‘Objetivo: Garantir a protegao das informagoes em redes e a protegao da infra-estrutura de suporte. © gerenciamento seguro de redes, que pode ir além dos limites da organizagao, requer culdadosas consideragdes relacionadas ao fluxo de dados, implicagoes legais, monitoramento e protecao. Controles adicionais podem ser necessarios para proteger informagées sensiveis trafegando sobre redes piblicas 10.6.1 Controles de redes Controle Convém que as redes sejam adequadamente gerenciadas e controladas, de forma a protegé-las contra ameagas e manter a seguranga de sistemas e aplicagdes que utllizam estas redes, incluindo a informagaio em transite Diretrizes para implementacao Convém que gestores de redes implementem controles para garantir a seguranca da informago nestas redes, @ a protegdo dos servicos a elas conectadas, de acesso nao autorizado, Em particular, convém que os seguintes itens sejam considerados: a) a responsabilidade operacional pelas redes seja separada da operagao dos recursos compulacionais onde for apropriado (ver 10.1.3); b) as responsabilidades e procedimentos sobre o gerenciamento de equipamentos remotos, incluindo equipamentos em areas de usuarios, sejam estabelecidos; c) 08 controles especiais sejam estabelecidos para protegéio da confidencialidade e integridade dos dados trafegando sobre redes publicas ou sobre as redes sem fio (wireless) e para proteger os sistemas & aplicagées a elas conectadas (ver 11.4 © 12.3); controles especiais podem também ser requeridos para manter a disponibilidade dos servigos de rede ¢ computadores conectados; 4) 0s mecanismos apropriados de registro e monitoragdo sejam aplicados para habilitar a gravagao das ages relevantes de seguranga; ©) as atividades de gerenciamento sejam coordenadas para otimizar os servigos para a organizago @ assegurar que os controles estejam aplicados de forma consistente sobre toda a infra-estrutura de processamento da informagao. Informagées adicionais Informagoes adicionals sobre seguranga de redes podem ser encontradas na ISO/IEC 18028, Information technology — Security techniques — IT network security. GABNT 2005 - Todos 08 dlitvtes reservados 49ABNT NBR ISO/IEC 17799:2005 10.6.2 Seguranca dos servicos de rede Controle Convém que as caracteristicas de seguranga, niveis de servico e requisitos de gerenciamento dos servigos de rede sejam identificados e incluidos em qualquer acordo de servicos de rede, tanto para servigos de rede providos internamente ou terceirizados. Dirotrizes para implementagao Convém que a capacidade do provedor dos servigos de rede de gerenciar os servigos acordados de maneira segura seja determinada e monitorada regularmente, bem como que 0 direito de audité-los seja acordado. Convém que as definigdes de seguranga necessarias para servigos especificos, como caracteristicas de seguranca, niveis de servigo e requisites de gerenciamento, sejam identificadas. Convém que a organizacdo assegure que os provedores dos servicos de rede implementa estas medidas. Informacdes adicionais Servigas de rede incluem o fornecimento de conexées, servicos de rede privados, redes de valor agregado solugdes de seguranga de rede gerenciadas como firewalls e sistemas de detecgao de intrusos. Estes servigos podem abranger desde o simples fornecimento de banda de rede nao gerenciada até complexas ofertas de solugées de valor agregado, Funcionalidades de seguranga de servigos de rede podem ser: a) tecnologia aplicadas para seguranga de servigos de redes como autenticagao, encriptagao e controles de conexses de rede; b) pardmetro técnico requerido para uma conexdo segura com os servigos de rede de acordo com a seguranga e regras de conexao de redes; ©) procedimentos para o uso de servigos de rede para restringir 0 acesso a servigos de rede ou aplicacoes, onde for necessario. 10.7 Manuseio de midias Objelivo: Prevenir contra divulgagdo ndo aulorizada, modificagdo, remog3o ou desiruigdo aos alivos, e interrupgées das atividades do negécio. ‘Convém que as midias sejam controladas e fisicamente protegidas, ‘Convém que procedimentos operacionais apropriados sejam estabelecidos para proteger documentos, midias | magnéticas de computadores (tas, discos), dados de entrada e saida e documentacdo dos sistemas contra divulgagéo nao autorizada, modilicagao, remogao e desiruigdo. 10.7.1 Gerenciamento de midias removivei Controle Convém que existam procedimentos implementados para o gerenciamento de midias removivels. Diretrizes para implementacao Convém que as seguintes diretrizes para o gerenciamento de midias removiveis sejam consideradas: a) quando nao for mais necessario, 0 contetido de qualquer meio magnético reutilizdvel seja destruido, caso venha a ser retirado da organizagao; b) quando necessério pratico, seja requerida a autorizagéo para remogdo de qualquer midia da organizagao e mantido 0 registro dessa remogao como trilha de auditoria; 50 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 ©) toda midia seja guardada de forma segura em um ambiente protegido, de acordo com as especificagées do fabricante; d) informagées armazenadas em midias que precisam estar disponivels por muito tempo (em conformidade com as especificagées dos fabricantes) sejam também armazenadas em outro local para evitar perda de informagoes devido a deterioragao das midias; ©) as midias removiveis sejam registradas para limitar a oportunidade de perda de dados; f) a unidades de midias removiveis estejam habilitadas somente se houver uma necessidade do negécio, Convém que todos os procedimentos € os niveis de autorizagao sejam explicitamente documentados. Informagdes adicionais Midia removivel inclui fitas, discos, flash disks, discos removiveis, CD, DVD e 10.7.2 Descarte de mi Controle Convém que as midias sejam descartadas de forma segura e protegida quando nao forem mais necessérias, or melo de procedimentos formais. Diretrizes para implementacao Convém que procedimentos formais para o descarte seguro das midias sejam definidos para minimizar o risco de vazamento de informages sensiveis para pessoas nao autorizadas. Convém que os procedimentos para o descarte seguro das midias, contendo informacées sensiveis, sejam relativos a sensibilidade das informagées. Convém que 0s seguintes itens sejam considerados 2) midias contend informagdes sensiveis sejam guardadas e destruidas de forma segura ¢ protegida, como, por exemplo, através de incineragao ou trituragao, ou da remogao dos dados para uso por uma outa aplicagdo dentro da organizacao; b)_procedimentos sejam implementados para identificar os itens que requerem descarte seguro; ©) pode ser mais facil implementar a coleta e descarte seguro de todas as midias a serem inutiizadas do que tentar separar apenas aquelas contendo informacées sensiveis; d) muitas organizagées oferecem servicos de coleta e descarte de papel, de equipamentos e de midias magnéticas; convém que se tenha o cuidado na seleg4o de um fornecedor com experiéncia e controles adequados; e) descarte de itens sensiveis seja registrado em controles sempre que possivel para se manter uma trlha de auditoria Quando da acumulagao de midias para descarte, convém que se leve em considerago o efeito proveniente do actimulo, © que pode fazer com que uma grande quantidade de informagao nao sensivel torne-se sensivel. Informagses adicionais Informagoes sensiveis podem ser divulgadas através do descarte negligente das midias (ver 9.2.6 para informagoes de descarte de equipamentos), GABNT 2005 - Todos 08 dlitvtes reservados 51ABNT NBR ISO/IEC 17799:2005 10.7.3 Procedimentos para tratamento de informagao Controle Convém que sejam estabelecidos procedimentos para o tratamento e o armazenamento de informagées, para proteger tais informagées contra a divulgagao nao autorizada ou uso indevido. Diretrizes para implementacao Convém que procedimentos sojam estabelecidos para o tratamento, processamento, armazenamento @ transmissdo da informagdo, de acordo com a sua classificagdo (ver 7.2). Convém que os seguintes itens sejam considerados: a) tratamento e identificagao de todos os meios magnéticos indicando o nivel de classificacao; b)_restrigoes de acesso para prevenir 0 acesso de pessoas ndo autorizadas; ) manutengéio de um registro formal dos destinatarios de dados autorizados; ¢) garantia de que a entrada de dados seja completa, de que o processamento asteja devidamente concluido e de que a validagao das saidas seja aplicada; ) protegao dos dados preparados para expedicao ou impressao de forma consistente com a sua criticidade; 1) armazenamento das midias em conformidade com as especificagées dos fabricantes; 9) manutengo da distribuigdo de dados no menor nivel possivel; hh) identificagao eficaz de todas as cépias das midias, para chamar a atengdo dos destinatarios autorizados; i) andlise critica das listas de distrbuigao ¢ das istas de destinatarios autorizados em intervalos regulares. Informagées adicional Estes procedimentos sao aplicados para informagdes em documentos, sistemas de computadores, redes de computadores, computagaio mével, comunicacao mével, correio eletronico, correio de voz, comunicagao de voz em geral, multimidia, servigos postais, uso de maquinas de fax e qualquer outro item sensivel, como, por ‘exemplo, cheques em branco e faturas. 10.7.4 Seguranga da documentagao dos sistemas Controle Convém que a documentaco dos sistemas seja protegida contra acessos nao autorizados. Diretrizes para implementagao Para proteger a documentagao dos sistemas, convém que os seguintes itens sejam considerados: a) a documentagao dos sistemas seja guardada de forma segura; b) a relago de pessoas com acesso autorizado a documentagao de sistemas seja a menor possivel & autorizada pelo proprietario do sistema; ¢) a documentagao de sistema mantida em uma rede publica, ou fomecida através de uma rede publica, soja protegida de forma apropriada, Informagées adicionais ‘A documentagao dos sistemas pode conter uma série de informacdes sensiveis, como, por exemplo, descrigoes de processos da aplicagao, procedimentos, estruturas de dados e processos de autorizacao. 52 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 10.8 Troca de informagées Objetivo: Manter a seguranga na troca de informagées e softwares intemamente a organizagao e com quaisquer entidades externas. Convém que as trocas de informagées e softwares entre organizagées estejam baseadas numa politica formal especifica, sejam efetuadas a partir de acordos entre as partes e estejam em conformidade com toda a legislagao pertinente (ver seco 15). Convém que sejam estabelecidos procedimentos normas para proteger a informagao e a midia fisica que contém informagao em transite 10.8.1 Politicas e procedimentos para troca de informagées Controle Convém que politicas, procedimentos e controles sejam estabelecidos ¢ formalizados para proteger a troca de informagdes em todos os tipos de recursos de comunicacao. Diretrizes para implementacdo Convém que os procedimentos e controles estabelecidos para a troca de informagBes em recursos eletrénicos de comunicagao considerem os tépicos a seguir: a) b) °) 3) e) 9) ) procedimentos formulados para proteger a informagao em transito contra interceptagao, cépia, Modificagao, desvio e destruigao; procedimentos para deteccdo e protege contra cédigo malicioso que pode ser transmitide através do Uso de recursos eletrénicos de comunicago (ver 10.4.1); procedimentos para pr 1980 de informagGes eletronicas sensiveis que sejam transmitidas na forma de politica ou diretrizes que especifiquem o uso aceitével dos recursos eletrénicos de comunicagao (ver 7.1.3); procedimentos para 0 uso de comunicagao sem fio (wireless), levando em conta os riscos particulares envolvidos; as responsabilidades de funcionérios, fornecedores e quaisquer outros usuarios nao devem comprometer a organizagéo através de, por exemplo, difamagéo, assédio, falsa identidade, retransmissao de "correntes", compras nao autorizadas etc.; uso de técnicas de criptografia para, por exemplo, proteger a confidencialidade, a integridade © a autenticidade das informagGes (ver 12.3); diretrizes de retengao e descarte para toda a correspondéncia de negécios, incluindo mensagens, de acordo com regulamentagdes e legislagao locais e nacionais relevantes; nao deixar informagées criticas ou sensiveis em equipamentos de impressdo, tais como copiadoras, impressoras e aparelhos de fax, de tal forma que pessoas nao autorizadas tenham acesso a elas; controles e restrigSes associados a retransmissdo em recursos de comunicagao como, por exemplo, a retransmissao automdtica de correios oletronicos para endoregos externos; GABNT 2005 - Todos 08 dlitvtes reservados 53ABNT NBR ISO/IEC 17799:2005 k) lembrar as pessoas que elas devem tomar precaugdes adequadas como, por exemplo, nao revelar informagdes sensiveis, para evitar que sejam escutadas ou interceptadas durante uma ligacao telefénica por: 1) pessoas em sua vizinhanga, especialmente quando estiver usando telefone celular; 2) grampo telefonico e outras formas de escuta clandestina através do acesso fisico ao aparelho telefénico ou a linha, ou, ainda, pelo uso de rastreadores; 3) pessoas ao lado do interlocutor; I) nao deixar mensagens contendo informagdes sensiveis em secretérias eletrOnicas, uma vez que as mensagens podem ser reproduzidas por pessoas nao autorizadas, gravadas em sistemas puiblicos ou gravadas indovidamente por orro de discagem; m) lembrar as pessoas sobre os problemas do uso de aparelhos de fax, tais como: 1) acesso no autorizado a dispositivos para recuperagto de mensagens; 2) programacao de aparelhos, deliberada ou acidental, para enviar mensagens para niimeros especificos determinados; 3) envio de documentos e mensagens para numero errado, seja por falha na discagem ou uso de numero armazenado errado; fn) lembrar as pessoas para que evitem 0 armazenamento de dados pessoais, como enderegos de correios eletrénicos ou informagées adicionais particulares, em qualquer software, impedindo que sejam capturados para uso nao autorzado; ©) lembrar as pessoas sobre a existéncia de aparelhos de fax e copiadoras que tém dispositives de armazenamento temporario de paginas para o caso de falha no papel ou na transmissao, as quais serao impressas apés a corregao da falha Adicionalmente, convém que as pessoas sejam lembradas de que no devem manter conversas confidenciais em locais publicos, escritérios abertos ou locais de reuniao que nao disponham de paredes & prova de som. Convém que os recursos utiizados para a troca de informagdes estejam de acordo com os requisites legais pertinentes (ver segao 15). Informacies adicionais A troca de informac6es pode ocorrer através do uso de varios tipos diferentes de recursos de comunicagao, incluindo correios olotrénicos, voz, fax @ video. A troca de softwares pode ocorrer de diferentes formas, incluindo a baixa (download) da intemet ou a aquisi¢ao junto a fornecedores que vendem produtos em série. Convém que sejam consideradas as possiveis implicagSes nos negécios, nos aspectos legais e na seguranga, relacionadas com a troca eletrénica de dados, com o comércio eletrénico, comunicagao eletrénica ¢ com os requisitos para controles. As informagées podem ser comprometidas devido 4 falta de conscientizag&o, de politicas ou de procedimentos no uso de recursos de troca de informagdes, como, por exemplo, a escuta de conversas ao telefone celular em locais piblicos, erro de enderecamento de mensagens de correio eletrénico, escuta nao autorizada de mensagens gravadas em secretarias eletronicas, acesso ndo autorizado a sistemas de correio de voz ou 0 envio acidental de faxes para aparelhos errados. 54 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 ‘As operagdes do negécio podem ser prejudicadas e as informagbes podem ser comprometidas se os recursos de comunicagao falharem, forem sobrecarregados ou interrompidos (ver 10.3 e segao 14). As informagoes podem ser comprometidas se acessadas por usuarios ndo autorizados (ver seco 11). 10.8.2 Acordos para a troca de informacées Controle Convém que sejam estabelecides acordos para a troca de informagées e softwares entre a organizacao e entidades externas, Diretrizes para implementacao Convém que os acordos de troca de informagées considerem as seguintes condigées de seguranga da informagao: a) responsabilidades do gestor pelo controle e notificagdo de transmissdes, expedigdes ¢ recepcdes; b) procedimentos para notificar o emissor da transmissao, expedigao e recepcao; ¢)_procedimentos para assegurar a rastreabilidade dos eventos e 0 nao-repiidio; d)__padrées técnicos minimos para embalagem e transmissao; ©) acordos para procedimentos de custédia; f)normas para identificagéo de portadores; 9) responsabilidades e obrigagSes na ocorréncia de incidenles de seguranga da informagéo, como perda de dados; h) utilizagao de um sistema acordado de identificagao para informagées criticas e sensiveis, garantindo que 0 significado dos rétulos seja imediatamente entendido e que a informagao esteja devidamente protegida; i) propriedade e responsabilidades sobre a protegao dos dados, direitos de propriedade, conformidade com as licencas dos softwares e consideragées afins (ver 15.1.2 e 15.1.4); |) normas técnicas para a gravacdo e leltura de informacées e softwares: k) quaisquer controles especials que possam ser necessarios para protegao de itens sensivels, tals como chaves criptograficas (ver 12.3). Convém que politicas, procedimentos © normas para proteger as informagdes © as midias em trénsito (Ver também 10.8.3) sejam estabelecidos © mantides, além de serem referenciados nos mencionados acordos para a troca de informagoes. Convém que 0s aspectos de seguranga contidos nos acordos refitam a sensibiidade das informagoes envolvidas no negécio. Informagées adicionais Os acordos podem ser eletrénicos ou manuais, e podem estar no formato de contratos formais ou condigdes, de contratagao. Para informagdes sensiveis, convém que os mecanismos especificos usados para a troca de tais informages sejam consistentes com todas as organizacées e tipos de acordos. GABNT 2005 - Todos 08 dlitvtes reservados 55ABNT NBR ISO/IEC 17799:2005 10.8.3 Midias em transito Controle Convém que midias contendo informacées sejam protegidas contra acesso nao autorizado, uso impréprio ou alteragao indevida durante o transporte extemo aos limites fisicos da organizacao. Diretrizes para implementacao Convém que as seguintes recomendagdes sejam consideradas, para proteger as midias que sao transportadas entre localdades: a) meio de transporte ou o servigo de mensageiros sejam confiaveis; b)_seja definida uma relagao de portadores autorizados em concordancia com o gestor; ©) sejam estabelecidos procedimentos para a verificagao da identificagao dos transportadores; 4) a embalagem seja suficiente para proteger 0 contetdo contra qualquer dano fisico, como os que podem ocorrer durante o transporte, ¢ que seja feita de acordo com as especificagées dos fabricantes (como no caso de softwares), por exemplo, protegendo contra fatores ambientais que possam reduzir a possibilidade de restauragao dos dados como a exposicéo ao calor, umidade ou campos eletromagnéticos; )_sejam adotados controles, onde necessario, para proteger informagées sensivels contra divulgagao nao autorizada ou modificagao; como exemplo, pode-se incluir 0 seguinte: 1) utilizagao de recipientes lacrados; 2) entrega em mos; 3) lacre explicito de pacotes (que revele qualquer tentativa de acesso); 4) em casos excepcionais, diviséo do contetido em mais de uma remessa e expedic&o por rotas distintas, Informacdes adicionais As informagSes podem estar vulnerdvels a acesso no autorizado, uso impréprio ou alterac&o indevida durante © transporte fisico, por exemplo quando a midia 6 enviada por via postal ou sistema de mensageiros. 10.8.4 Mensagens eletrénicas Controle Convém que as informacées que trafegam em mensagens eletrénicas sejam adequadamente protegidas. Diretrizes para implementagé Convém que as consideragdes de seguranga da informagao sobre as mensagens eletronicas inciuam o seguinte a) protegao das mensagens contra acesso nao autorizado, modificago ou negagao de servico; b) assegurar que 0 enderegamento ¢ o transporte da mensagem estejam corretos; ©) confiabilidade e disponibilidade geral do servigo; 4d) aspectos legais, como, por exemplo, requisites de assinaturas eletrénicas; ) aprovagao prévia para o uso de servicos piiblicos extemos, tais como sistemas de mensagens instanténeas e compartlhamento de arquivos; 56 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 )_niveis mais altos de autenticagao para controlar o acesso a partir de redes publicas. Informagées adicionais Mensagens eletranicas como correlo eletrénico, Eletronic Data Interchange (EDI) e sistemas de mensagens instantaneas cumprem um papel cada vez mais importante nas comunicagées do negocio. A mensagem eletrénica tem riscos diferentes, se comparada com a comunicagao em documentos impressos. 10.8.5 Sistemas de informacées do negécio Controle Convém que politicas e procedimentos sejam desenvolvidos e implementados para proteger as informagses associadas com a interconexao de sistemas de informagées do negécio. Diretrizes para implementacdo Convém que as consideracées sobre seguranga da informagao e implicagdes no negécio das interconexdes de sistemas incluam 0 seguint: a) vulnerabilidades conhecidas nos sistemas administrativos © contébeis onde as informagées so compartilhadas com diferentes areas da organizacao; b) vulnerabilidades da informagao nos sistemas de comunicagéo do negécio, como, por exemplo, gravagéo de chamadas telefonicas ou teleconferéncias, confidencialidade das chamadas, armazenamento de faxes, abertura de correio e distribuigéo de correspondéncia; ©) politica e controles apropriados para gerenciar 0 compartilhamento de informagées; d) exclusdo de categorias de informagdes sensiveis e documentos confidenciais, caso o sistema nao fornega o nivel de protegao apropriado (ver 7.2); ©) restrigdo do acesso a informagGes de trabalho relacionado com individuos especificos, como, por exemplo, um grupo que trabalha com projetos sensiveis; f) categorias de pessoas, fomecedores ou parceiros nos negécios autorizados a usar o sistema e as localidades a partir das quais pode-se obter acesso ao sistema (ver 6.2 ¢ 6.3); 9) restrigao aos recursos selecionados para categorias especificas de usuarios; h)_identificagéio da condi¢ao do usuario, como, por exemplo,funciondrios da organizag&o ou fornecedores na lista de catalogo de usuarios em beneficio de outros usuarios; i) retengao e cépias de seguranga das informagdes mantidas no sistema (ver 10.5.1); 1) requisitos e procedimentos para recuperagao e contingéncia (ver segao 14). Informagées adicionais Os sistemas de informacdo de escritério representam uma oportunidade de rapida disseminagéo compartilhamento de informagdes do negécio através do uso de uma combinagao de: documentos, computadores, dispositivos méveis, comunicagao sem fio, correio, correio de voz, comunicagao de voz em geral, multimidia, servicos postais e aparelhos de fax. GABNT 2005 - Todos 08 dlitvtes reservados 87ABNT NBR ISO/IEC 17799:2005 10.9 Servicos de comércio eletrénico ‘Objetivo: Garantir a seguranga de servigos de comércio eletrOnico e sua utlizagaio segura, Convém que as implicagdes de seguranga da informacao associadas com 0 uso de servigos de comércio életrénico, incluindo transacées on-line e os requisites de controle, sejam consideradas. Convém que a fegridade e a disponibilidade da informagéo publicada eletronicamente por sistemas publicamente poniveis sejam também consideradas. 10.9.1 Comércio eletrénico Controle Convém que as informag6es envolvidas em comércio eletrénico transitando sobre redes publicas sejam protegidas de atividades fraudulentas, disputas contratuais e divulgagao e modificagdes nao autorizadas. Diretrizes para implementa Convém que as consideragdes de seguranca da informagao para comércio eletrénico incluam os seguintes itens: a) nivel de confianga que cada parte requer na suposta identidade de outros, como, por exemplo, por meio de mecanismos de autenticagao; b) processos de autorizagao com quem pode determinar pregos, emitir ou assinar documentos-chave de egociagao; ©) garantia de que parceiros comerciais esto completamente informados de suas autorizagées; 4) determinar e atender requisitos de confidencialidade, integridade, evidéncias de emissto e recebimento de documentos-chave, e a ndo-repudiagado de contratos, como, por exemplo, os associados aos processos de licitagdes e contratacées; ) nivel de confianga requerido na integridade das listas de pregos anunciadas; f) a confidencialidade de quaisquer dados ou informacées sensiveis; 9) @ confidencialidade e inlegridade de quaisquer transag6es de pedidos, informagSes de pagamento, detalhes de enderego de entrega e confirmagdes de recebimentos; h)_grau de investigagao apropriado para a verificagao de informacées de pagamento fornecidas por um cliente; ’)_selegdo das formas mais apropriadas de pagamento para protegao contra fraudes: j) nivel de protegao requerida para manter a confidencialidade e integridade das informagdes de pedidos; k)__prevengao contra perda ou duplicagao de informagao de transagao; 1) responsabilidades associados com quaisquer transagées fraudulentas; m) requisitos de seguro. Muitas das consideracdes acima podem ser enderecadas pela aplicagao de controles criptogréficos (ver 12.3), levando-se em conla a conformidade com os requisitos legais (ver 15.1, especialmente 15.1.6 para legislagao sobre criptogratia). 58 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 Convém que os procedimentos para comércio eletronico entre parceiros comerciais sejam apoiados por um acordo formal que comprometa ambas as partes aos termos da transagao, incluindo detalhes de autorizagao (ver b) acima). Outros acordos com fornecedores de servicas de informagao e redes de valor agregado podem ser necessarios, Convém que sistemas comerciais puiblicos divulguem seus termos comerciais a seus clientes. Convém que sejam consideradas a capacidade de resiliéncia dos servidores utilzados para comércio eletrénico contra ataques e as implicagSes de seguranga de qualquer interconexéo que seja necesséria na rede de telecomunicagées para a sua implementagao (ver 17.4.6). Informagses adicionais Comercio eletranico & vulneravel a intmeras ameacas de rede que podem resultar em atividades fraudulentas, disputas contratuais, e divulgagdo ou modificagao de informagao. Comércio eletrénico pode utilizar métodos seguros de autenticagao, como, por exemplo, criptografia de chave Plblica e assinaturas digitais (ver 12,3) para reduzir os riscos. Ainda, terceiros confiaveis podem ser utilizados onde tals servigos forem necessérios. 10.9.2 Transagées on-line Controle Convém que informagées envolvidas em transag6es on-line sejam protegidas para prevenir transmissées incompletas, eros de roteamento, alteragdes nao autorizadas de mensagens, divulgagao nao autorizada, duplicagao ou reapresentacao de mensagem nao autorizada, Diretrizes para implementacdo Convém que as consideragdes de seguranga para transagées on-line incluam os seguintes itens: a) _uso de assinaturas eletrénicas para cada uma das partes envolvidas na transagao; b)_ todos os aspectos da transacao, ou seja, garantindo que: 1) credenciais de usuario para todas as partes so validas e verificadas; 2) a transacao permanega confidencial; ¢ 3) a privacidade de todas as partes envolvidas seja mantida; ¢) caminho de comunicagao entre todas as partes envolvidas é criptografado; d) protocolos usados para comunicagées entre todas as partes envolvidas é seguro; ) garantir que o armazenamento dos detalhes da transagao esta localizado fora de qualquer ambiente Publicamente acessivel, como por exemplo, numa plataforma de armazenamento na intranet da ‘organizaco, e nao retida e exposta em um dispositive de armazenamento diretamente acessivel pela internet; f) onde uma autoridade confivel utiizada (como, por exemplo, para propésitos de emisséo e manutencéo de assinaturas efou certificados digitais), seguranga é integrada a todo o processo de gerenciamento de certificados/assinaturas, Informacoes adicionais ‘A extenséo dos controles adotados precisaré ser proporcional ao nivel de risco associado a cada forma de transago on-line GABNT 2005 - Todos 08 dlitvtes reservados 59ABNT NBR ISO/IEC 17799:2005 ‘Transagdes podem precisar estar de acordo com leis, regras e regulamentagdes na jurisdigao em que a transago € gerada, processada, completa ou armazenada. Existem muitas formas de transagées que podem ser executadas de forma on-line, como, por exemplo, contratuais, financeiras etc. 10.9.3 Informagées publicamente disponiveis Controle Convém que a integridade das informagées disponibilizadas em sistemas publicamente acessiveis seja protegida para prevenir modificagbes nao autorizadas. Dirotrizes para implementagao Convém que aplicagSes, dados e informagées adicionais que requelram um alto nivel de integridade e que sejam disponibilizados em sistemas publicamente acessiveis sejam protegidos por mecanismos apropriados, como, por exemplo, assinaturas digitais (ver 12.3). Convém que os sistemas acessiveis publicamente sejam testados contra fragllidades e falhas antes da informago estar disponivel. Convém que haja um processo formal de aprovagao antes que uma informagao seja publicada. Adicionalmente, ‘convém que todo dado de entrada fornecido por fontes externas ao sistema seja verificado e aprovado. Convém que sistemas de publicagao eletrénica, especialmente os que permitem realimentagao entrada direta de informaco, sejam cuidadosamente controlados, de forma que: a) informagées sejam obtidas em conformidade com qualquer legislagdo de protegdo de dados (ver 16.1.4); b) informagdes que sejam entradas e processadas por um sistema de publicagao sejam processadas completa e corretamente em um tempo adequado; €)_ informagdes sensivels sejam protegidas durante a coleta, processamento e armazenamento; 4) _acesso a sistemas de publicagao nao permita acesso nao intencional a rades as quais tal sistema esta conectado. Informagées adicionais Informages em sistemas publicamente disponivels, como, por exemplo, informagées em servidores web acessiveis por meio da intemet, podem necessitar estar de acordo com leis, regras e regulamentages na jurisdigao em que o sistema esta localizado, onde a transacdo esté ocorrendo ou onde o proprietario reside. Modificagées nao autorizadas de informagSes publicadas podem trazer prejuizos 4 reputagao da organizagao que a publica. 10.10 Monitoramento ‘Objetivo: Detectar atividades nao aulorizadas de processamento da informagao, Convém que os sistemas sejam monitorados e eventos de seguranga da informagao sejam registrados. Convém que registros (log) de operador e registros (log) de falhas sejam utllizados para assegurar que os problemas de sistemas de informagao sao identificados. Convém que as organizagdes estejam de acordo com todos os requisites legais relevantes aplicaveis para suas atividades de registro e monitoramento, Convém que 0 monitoramento do sistema seja utlizado para checar a eficdcla dos controles adotados e para verificar a conformidade com 0 modelo de politica de acesso. 60 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 10.10.1. Registros de auditoria Controle Convém que registros (log) de auditoria contendo atividades dos usuarios, excegées e outros eventos de seguranga da informagao sejam produzidos e mantidos por um periodo de tempo acordado para auxiliar em futuras investigagdes e monitoramento de controle de acesso. Diretrizes para implementacao Convém que 0s registros (/og) de auditoria incluam, quando relevante: a) identificagao dos usuarios; b) datas, horérios e detalhes de eventos-chave, como, por exemplo, horario de entrada (/og-on) e saida ((og-off) no sistema; ©) identidade do terminal ou, quando possivel, a sua localizagao; d)_registros das tentativas de acesso ao sistema aceltas e rejeitadas; e) registros das tentativas de acesso a outros recursos e dados aceitos e rejeitados; 1) _alteragdes na configuragao do sistema; 9) uso de privilégios: h) uso de aplicagées e utlitérios do sistema; i) arquivos acessados e tipo de acesso; |) enderegos e protocolos de rede; k)_ alarmes provocados pelo sistema de controle de acesso: I) ativagéio e desativagao dos sistemas de protecdo, tais como sistemas de antivirus e sistemas de detecgao de intrusos. Informagses adicionais Os registros (/og) de auditoria podem conter dados pessoais confidencials e de intrusos. Convém que medidas apropriadas de protecdo de privacidade sejam tomadas (ver 15.1.4). Quando possivel, convém que administradores de sistemas nao tenham permissao de exclusdo ou desativagao dos registros (log) de suas préprias atividades (ver 10.1.3), 0.10.2 Monitoramento do uso do sistema Controle Convém que sejam estabelecidos procedimentos para o monitoramento do uso dos recursos de processamento da informagao e os resultados das atividades de monitoramento sejam analisados criticamente, de forma regular. GABNT 2005 - Todos 08 dlitvtes reservados 61ABNT NBR ISO/IEC 17799:2005 Diretrizes para implementagao Convém que 0 nivel de monitoramento requerido para os recursos individuais seja determinado através de uma andlise/avaliagao de riscos. Convém que a organizaco esteja de acordo com todos os requisites legais rolevantes, aplicaveis para suas atividades de monitoramento, Convém que as seguintes reas sojam consideradas: a) acessos autorizados, incluindo detalhes do tipo. 1) oldentificador do usuario (ID de usuario); 2) _adata @ o hordrio dos eventos-chave; 3) tipo do evento; 4) 08 arquivos acessados; 5) _ 08 programas ou utiitérios utiizados; b) todas as operagies privilegiadas, tais como: 1) _ uso de contas privilagiadas, por exemplo: supervisor, root, administrador; 2) Inicializagdo e finalizacdo do sistema; 3) a conexo e a desconexao de dispositivos de entrada e saida; ©) tentativas de acesso nao autor'zadas, tais como: 1) ages de usuarios com falhas ou rejeitados; 2) ages envolvendo dados ou outros recursos com falhas ou rejeitadas; 3) violagao de politicas de acesso e notificagées para gateways de rede ¢ firewalls; 4) _ alertas dos sistemas proprietarios de detecgao de intrusos; d) _alertas e falhas do sistema, tais como: 1) _alertas ou mensagens do console; 2) registro das excegbes do sistema; 3) alarmes do gerenciamento da rede; 4) alarmes disparados pelo sistema de controle de acesso; e) _alteragdes ou tentativas de alteragdes nos controles e parametros dos sistemas de seguranga, Convém que a freqiiéncia da analise critica dos resultados das atividades de monitaramento dependa dos riscos envalvidos. Convém que os seguintes fatores de risco sejam considerados: 62 a) ctlticidade dos processos de aplicagao; b) valor, sensibilidade e criticidade da informagao envolvida; ©) experiéncia anterior com infitragdes uso impréprio do sistema e da freqUéncia das vulnerabilidades sendo exploradas; ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 4) _extensao da interconexao dos sistemas (particularmente com redes publicas); e) desativagao da gravagao dos registros (logs). Informagses adicionais © uso de procedimentos de monitoramento & necessdrio para assegurar que os usuarios esto executando somente as atividades que foram explicitamente autorizadas, A anilise critica dos registros (/og) envolve a compreensdo das ameagas encontradas no sistema e a maneira pela qual isto pode acontecer, Exemplos de eventos que podem requerer uma maior investigagdo em casos de incidentes de seguranca da informagao s4o comentados em 13.1.1 10.10.3 Protegao das informacées dos registros (/og) Controle Convém que os recursos e informagdes de registros (log) sejam protegidos contra falsificacdo e acesso nao autorizado. Diretrizes para implementaco Convém que os controles implementados objetivem a protegdo contra modificagées ndo autorizadas e problemas operacionais com os recursos dos registros (log), tais como: a) alteragées dos tipos de mensagens que s8o gravadas; b)_arquivos de registros (/og) sendo editados ou excluidos; ©) capacidade de armazenamento da midia magnética do arquivo de registros (log) excedida, resultando em falhas no registro de eventos ou sobreposigao do registro de evento anterior. Aiguns registros (log) de auditoria podem ser guardados como parte da politica de retengo de registros ou devido aos requisitos para a coleta e retengao de evidéncia (ver 13.2.3). Informagoes adicionais Registros (log) de sistema normalmente conlém um grande volume de informagdes e muitos dos quais ndo dizem respeito ao monitoramento da seguranga. Para ajudar a identificar eventos significativos para proposito de monitoramento de seguranga, convém que a cépia automatica dos tipos de mensagens para a execucao de consulta seja considerada efou o uso de sistemas utlltérios adequados ou ferramentas de auditoria para realizar a racionalizagao e investigagao do arquivo seja considerado. Registros (log) de sistema precisam ser protegidos, pois os dados podem ser modificados e excluidos e suas ocorréncias podem causar falsa impresséo de seguranga. 10.104 Registros (/og) de administrador e operador Controle Convém que as atividades dos administradores e operadores do sistema sejam registradas. Diretrizes para implementacao Convém que esses registros (log) incluam: a) ahora em que o evento ocorreu (sucesso ou falha); b) informagdes sobre 0 evento (exemplo: arquivos manuseados) ou falha (exemplo: erros ocorridos & ages corretivas adotadas); ©) que conta e que administrador ou operador estava envolvido; GABNT 2005 - Todos 08 dlitvtes reservados 63ABNT NBR ISO/IEC 17799:2005 4d) que processos estavam envolvidos. Convém que os registros (og) de atividades dos operadores e administradores dos sistemas sejam analisados criticamente em intervalos regulares, Informacées adicionais Um sistema de deteccao de intrusos gerenciado fora do controle dos administradores de rede e de sistemas pode ser utiizado para monitorar a conformidade das atividades dos administradores do sistema @ da rede. 10.105 Registros (log) de falhas Controle Convém que as falhas ocorridas sejam registradas e analisadas, ¢ que sejam adotadas agdes apropriadas. Diretrizes para implementacao Convém que falhas informadas pelos usuarios ou pelos programas de sistema relacionado a problemas com rocessamento da informagao ou sistemas de comunicagao sejam registradas. Convém que existam regras claras para o tratamento das falhas informadas, incluindo: a) anélise critica dos registros (log) de falha para assegurar que as falhas foram satisfatoriamente resolvidas; b) anélise critica das medidas corretivas para assegurar que os controles nao foram comprometidos e que a aco tomada é completamente autorizada Convém que seja assegurado que o registro de erros esteja habiltado, caso essa funcéo do sistema esteja disponivel Informacdes adicionais Registros de falhas ¢ erros podem impactar 0 desempenho do sistema. Convém que cada tipo de registro a ser coletado seja habilitado por pessoas competentes e que o nivel de registro requerido para cada sistema individual seja determinado por uma analise/avaliagao de riscos, levando em consideragao a degradacao do desempenho do sistema. 10.106 Sincronizagao dos relégios Controle Convém que os relégios de todos os sistemas de processamento de informacées relevantes, dentro da organizago ou do dominio de seguranga, sejam sincronizados com uma fonte de tempo precisa, acordada, Diretrizes para implementacao ‘Onde um computador ou dispositivo de comunicagao tiver a capacidade para operar um relégio (clock) de tempo real, convém que o relégio seja ajustado conforme o padrao acordado, por exemplo o tempo ‘coordenado universal (Coordinated Universal Time - UTC) ou um padrao de tempo local. Como alguns relégios ‘so conhecidos pela sua variagdo durante o tempo, convém que exista um procedimento que verifique esses tipos de inconsisténcias e corrja qualquer variagAo significativa, A interpretago correta do formato data/hora é importante para assegurar que o timestamp reflete a datahhora real. Convém que se lovem em conta especificagées locais (por exemplo, horario de vera), Informagées adicionais © eslabelecimento correto dos relégios dos computadores & importante para assegurar a exaliddo dos registros (/og) de ausitoria, que podem ser requeridos por investigagdes ou como evidéncias em casos legais ou disciplinares. Registros (/og) de auditoria incorretos podem impedir tais investigacdes e causar danos & credibilidade das evidéncias. Um relégio intemo ligado ao relégio atémico nacional via transmisso de radio pode ser utiizado como relégio principal para os sistemas de registros (logging). O protocolo de hora da rede pode ser utilizado para sincronizar todos os relégios dos servidores com o relégio principal 64 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 11 Controle de acessos 11.1 Requisitos de negécio para controle de acesso ‘Objetiva: Controlar acesso & informagao. Convém que 0 acesso a informagao, recursos de processamento das informagdes e processos de negocios Sejam controtados com base nos requisitos de negécio e seguranga da informagao. Convém que as regras de controle de acesso levem em consideracao as pollticas para autorizagio e disseminagdo da informag&o. 11.1.1 Politica de controle de acesso Controle Convém que a politica de controle de acesso seja estabelecida documentada e analisada criticamente, tomando-se como base os requisitos de acesso dos negécios e seguranga da informagao. Diretrizes para implementacao Convém que as regras de controle de acesso e direitos para cada usuario ou grupos de usuarios sejam expressas claramente na politica de controle de acesso. Convém considerar os controles de acesso légico & fisico (ver segao 9) de forma conjunta. Convém fomecer aos usuarios ¢ provedores de servigos uma declaragao nitida dos requisitos do negécio a serem atendidos pelos controles de acessos. Convém que a politica leve em consideragao os seguintes ilens: a) ») °) a) e) p 9) ) requisites de seguranca de aplicagdes de negécios individuais; identificagao de todas as informagbes relacionadas as aplicagbes de negécios e os riscos a que as informagoes estao exposias; politica para disseminagao e aulorizagao da informagao, por exemplo, o principio need lo know niveis de seguranga e a classificagao das informagGes (ver 7.2); consisténcia entre controle de acesso e politicas de classificagao da informagao em diferentes sistemas e redes; legislagdo pertinente e qualquer obrigagéo contratual relativa & protegdo de acesso para dados ou servigos (ver 15.1); petfis de acesso de usuario-padrao para traballios comuns na organizagao; administracao de direitos de acesso em um ambiente distribuldo e conectado a rede que reconhece todos os tipos de conexées disponivels; segregapdo de fungées para controle de acesso, por exemplo, pedido de acesso, aulorizacao de acesso, administragdo de acesso; requisitos para autorizagao formal de pedidos de acesso (ver 11.2.1); requisitos para analise critica periédica de controles de acesso (ver 11.2.4); remogiio de direitos de acesso (ver 8.3.3). GABNT 2005 - Todos 08 dlitvtes reservados 65ABNT NBR ISO/IEC 17799:2005 Informagdes adicionais Convém que sejam tomados cuidados na especificagao de regras de controle de acesso quando se considerar © seguinte: a) diferenciar entre regras que devem ser obrigatérias e forgadas, e diretrizes que so opcionais ou condicionais; b) estabelecer regra baseada na premissa “Tudo é proibido, a menos que expressamente permitido” em lugar da regra mais fraca "Tudo é permitido, a menos que expressamente proibido"; ¢)_ mudangas em rétulos de informagao (ver 7.2) que so iniciadas automaticamente através de recursos de processamento da informago e os que iniciaram pela ponderacao de um usuario; d)_mudangas em permissées de usuario que so iniciadas automaticamente pelo sistema de informagao © aqueles iniciados por um administrador, ) regras que requerem aprovacao especifica antes de um decreto ou lei e as que nao necessitam. Convém que as regras para controle de acesso sejam apoiadas por procedimentos formais e responsabllidades claramente definidas (ver 6.1.3, 11.3, 10.4.1 e 11.6) 11.2 Gerenciamento de acesso do usuario ‘Objetivo: Assagurar acesso de usuario aulorizado @ prevenir acesso no aulorizado a sistemas de informagao, Convém que procedimentos formals sejam implementados para controlar a distribuigdo de direitos de acesso a sistemas de informagao e servigos. Convém que os procedimentos cubram todas as fases do ciclo de vida de acesso do usuario, da inscri¢ao inicial como novos usuérios até 0 cancelamento final do registro de usuarios que ja ndo requerem acesso a sistemas de informagao e servigos. Convém que atengdo especial seja dada, onde apropriado, para a necessidade de controlar a distribuigéo de direitos de acesso privilegiado que permitem os usudrios mudar controles de sistemas. 11.2.1 Registro de usuario Controle Convém que exista um procedimento formal de registro © cancelamento de usuério para garantir e revogar acessos em todos os sistemas de informagao e servicos. Diretrizes para implementacao Convém que os procedimentos de controle de acesso para registro e cancelamento de usuarios incluam: a) utilizar identificador de usuario (ID de usuario) unico para assegurar a responsabilidade de cada usuario por suas agdes; convém que 0 uso de grupos de ID somente seja permitido onde existe a necessidade para o negécio ou por razées operacionais, e isso seja aprovado e documentado; b)_verificar se o usuario tem autorizagao do proprietario do sistema para o uso do sistema de informagao ou servigo; aprovagao separada para direitos de acesso do gestor também pode ser apropriada, ©) verificar se o nivel de acesso concedido é apropriado ao propésito do negécio (ver 11.1) e é consistente com a politica de seguranga da organizagao, por exemplo, no compromete a segregacaio de fungi (ver 10.1.3); 4d) dar para os usudrios uma declaracao por escrito dos seus direitos de acesso; 66 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 e) requerer aos usuérios a assinatura de uma deciaragao indicando que eles entendem as condigdes de acesso; f) assegurar aos provedores de servigas que nao sero dados acessos até que os procedimentos de autorizagao tenham sido concluidos; 9) manter um registro formal de todas as pessoas registradas para usar 0 servigo; h) remover imediatamente ou bloquear direitos de acesso de usuarios que mudaram de cargos ou fung6es, ou deixaram a organizacao; i) verificar periodicamente e remover ou bloquear identificadores (ID) ¢ contas de usuario redundantes (ver 11.2.4); j) _assegurar que identificadores de usuério (ID de usuario) redundantes nao sejam atribuidos para outros Informagées adicionais Convém que seja considerado estabelecer perfis de acesso do usuario baseados nos requisitos dos negocios que resumam um ndmero de direitos de acessos dentro de um perfil de acesso tipico de usuario. Solicitagdes, de acessos e analises criticas (ver 11.2.4) sao mais faceis de gerenciar ao nivel de tais perfis do que ao nivel de direitos particulares. Convém que seja considerada a inclusao de cléusulas nos contratos de usuarios e de servigos que especifiquem as sangdes em caso de tentativa de acesso no autorizado pelos usuarios ou por terceiros (ver 6.1.5, 8.1.368.23) 11.2.2 Gerenciamento de privilégios Controle Convém que a concessao ¢ o uso de privilégios sejam restritos € controlados. Diretrizes para implementaco Convém que os sistemas de multiusudrios que necessitam de protegao contra acesso nao autorizado tenham a concessao de privilégios controlada por um proceso de autorizac&o formal. Convém que os seguintes Passos sejam considerados: a) privilégio de acesso de cada produto de sistema, por exemplo, sistema operacional, sistemas de gerenciamento de banco de dados e cada aplicacao, e de categorias de usuarios para os quais estes ecessitam ser concedido, seja identificado; b)_ 08 privilégios sejam concedidos a usuarios conforme a necessidade de uso ¢ com base em eventos alinhados com a politica de controle de acesso (ver 11.1.1), por exemplo, requisitos minimos para sua Tungo somente quando necessério; ©) um proceso de autorizagao e um registro de todos os privilégios concedidos sejam mantidos, Convém que os privilégios nao sejam fornecidos até que todo 0 processo de autorizagao esteja finalizado; d) desenvolvimento e uso de rotinas de sistemas sejam incentivados de forma a evitar a necessidade de fornecer privilégios aos usuarios; e) desenvolvimento e uso de programas que nao necessitam funcionar com privilégios sejam estimulados; ) 08 privilégios sejam atribuidos para um identificador de usudrio (ID de usuario) diferente daqueles usados normalmente para os negocios. GABNT 2005 - Todos 08 dlitvtes reservados 67