Resumo da 27002 Parte 1

Publicado em agosto 14, 2011

Viso Geral
A Norma NBR ISO/IEC 27002 faz parte de uma famlia de normas de Segurana da Informao, que adota um esquema de numerao usando a srie de nmeros 27000 em sequncia. Essa famlia inclui normas sobre: Requisitos de SGSI; Gesto de riscos; Mtricas e medidas; Diretrizes para implementao. Foi originada da NBR ISO/IEC 17799:2005 sem modificao do contedo. um cdigo de boas prticas para a segurana da informao. NO uma norma voltada para fins de certificao, tem uma aplicao mais restrita do que a 27001:2006. So considerados controles adequados para atender aos requisitos identificados por meio de uma anlise/avaliao dos riscos: Polticas; Processos; Procedimentos; Estruturas organizacionais; Funo de software e hardware. A 27002 organizada da seguinte forma: Objetivo do controle O que deve ser alcanado; Controle O que implementado para atender o objetivo do controle; Diretrizes Apresenta informaes mais detalhadas para apoiar a implementao do controle; Informaes adicionais So informaes que podem ser consideradas na implementao do controle (aspectos legais e referncias a outras normas).

Sees da 27002
0. Introduo 1. Objetivo 2. Termos e definies 3. Estrutura desta norma 4. Anlise/avaliao e tratamento de riscos 5. Poltica de segurana 6. Organizando a segurana da informao 7. Gesto de ativos 8. Segurana em recursos humanos 9. Segurana Fsica e do Ambiente 10. Gerenciamento de operaes e comunicaes 11. Controle de acesso 12. Aquisio, desenvolvimento e manuteno de sistemas da informao 13. Gesto de incidentes de segurana da informao 14. Gesto de continuidade dos negcios 15. Conformidade

0. Introduo

Segurana da informao a proteo da informao de vrios tipos de ameaas para garantir: Continuidade do negcio; Minimizar o risco ao negcio; Maximizar o ROI e oportunidades de negcio.

A segurana da informao obtida pela implementao de controles, que devem ser EIOMAMM (Estabelecidos, Implementados e Operados, Monitorados e Analisados criticamente, Mantidos e Melhorados). Isto deve ser feito em conjunto com outros processos de gesto do negcio. essencial o estabelecimento de requisitos de segurana da informao. As fontes de requisitos so: Anlise/avaliao de riscos; Legislao vigente, estatutos, regulamentao, clusulas contratuais; Conjunto de princpios, objetivos e requisitos de negcio. Aps a identificao dos requisitos de segurana da informao e dos riscos e decises para o seu tratamento tiverem sido tomadas, deve-se selecionar e implementar os controles apropriados para assegurar que os riscos sejam reduzidos a um nvel aceitvel. A seleo de controles de segurana da informao depende das decises da organizao, baseadas nos seus critrios para aceitao de risco, nas opes para tratamento do risco e no enfoque geral da gesto de risco aplicado organizao. Os controles selecionados devem estar de acordo com todas as legislaes e regulamentaes nacionais e internacionais, relevantes.

Controles essenciais

Os controles considerados essenciais para uma organizao, sob o ponto de vista legal, incluem, dependendo da legislao aplicvel: Proteo de dados e privacidade de informaes pessoais (15.1.4); Proteo de registros organizacionais (15.1.3); Direitos de propriedade intelectual (15.1.2). Nota: todos esses controles fazem parte da seo 15 (conformidade) e do objetivo de controle (categoria) 15.1 (Conformidade com requisitos legais).

Os controles considerados prticas para a segurana da informao

Documento da poltica de segurana da informao (5.1.1); Atribuio de responsabilidades para a segurana da informao (6.1.3); Conscientizao, educao e treinamento em segurana da informao (8.2.2); Processamento correto nas aplicaes (12.2); Gesto de vulnerabilidades tcnicas (12.6); Gesto da continuidade do negcio (14); Gesto de incidentes de segurana da informao e melhorias (13.2).

Fatores geralmente crticos para o sucesso

Poltica de segurana da informao, objetivos e atividades, que reflitam os objetivos do negcio; Uma abordagem e uma estrutura para a implementao, manuteno, monitoramento e melhoria da segurana da informao que seja consistente com a cultura organizacional; Comprometimento e apoio visvel de todos os nveis gerenciais; Um bom entendimento dos requisitos de segurana da informao, da anlise/avaliao de riscos e da gesto de risco; Divulgao eficiente da segurana da informao para todos os gerentes, funcionrios e outras partes envolvidas para se alcanar a conscientizao; Distribuio de diretrizes e normas sobre a poltica de segurana da informao para todos os gerentes, funcionrios e outras partes envolvidas; Proviso de recursos financeiros para as atividades da gesto de segurana da informao; Proviso de conscientizao, treinamento e educao adequados; Estabelecimento de um eficiente processo de gesto de incidentes de segurana da informao; Implementao de um sistema de medio, que seja usado para avaliar o desempenho da gesto da segurana da informao e obteno de sugestes.

1. Objetivo
A 27002 estabelece as diretrizes e os princpios gerais para iniciar, implementar, manter e melhorar a gesto de segurana da informao em uma organizao. Esta Norma pode servir como um guia prtico para desenvolver os procedimentos de segurana da informao da organizao e as eficientes prticas de gesto da segurana, e para ajudar a criar confiana nas atividades interorganizacionais.

2. Termos e Definies

Ativo Qualquer coisa que tenha valor para a organizao. Risco Combinao da probabilidade de um evento e de suas consequncias. Anlise de Riscos Uso sistemtico de informaes para identificar fontes e estimar o risco. Avaliao de Riscos Processo de comparar o risco estimado com critrios de risco prdefinidos para determinar a importncia do risco. Gesto de Riscos Atividades coordenadas para direcionar e controlar uma organizao no que se refere a riscos. A gesto de riscos geralmente inclui a anlise/avaliao de riscos, o tratamento de riscos, a aceitao de riscos e a comunicao de riscos. Tratamento do Risco Processo de seleo e implementao de medidas para modificar um risco. Ameaa Causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organizao. Vulnerabilidade Fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaas. Evento de segurana da informao Ocorrncia identificada de um sistema, servio ou rede, que indica uma possvel violao da poltica de segurana da informao ou falha de controles, ou uma situao previamente desconhecida, que possa ser relevante para a segurana da informao. Incidente de segurana da informao Um incidente de segurana da informao indicado por um simples ou por uma srie de eventos de segurana da informao indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operaes do negcio e ameaar a segurana da informao. Poltica Intenes e diretrizes globais formalmente expressas pela direo.

3. Estrutura desta norma

A norma contm 11 sees de controles de segurana, totalizando 39 categorias (objetivos de controle) principais de segurana e uma seo introdutria que aborda a anlise/avaliao e o tratamento de riscos. Ao todo, tem 133 controles de segurana. A ordem das sees no segue um grau de importncia, ficando a cargo de cada organizao identificar as sees aplicveis e a relevncia de cada uma.

Resumo da 27002 Parte 2

Publicado em agosto 16, 2011

4. Anlise/Avaliao de Riscos e Tratamento de Riscos

Este o primeiro passo que deve ser dado por uma organizao antes de poder selecionar controles. Essa seo recomenda que: A anlise/avaliao de riscos inclua um enfoque sistemtico de estimar a magnitude do risco (anlise de riscos) e o processo de comparar os riscos estimados contra os critrios de risco para determinar a significncia do risco (avaliao do risco); A anlise/avaliao de riscos deve ser peridica para contemplar as mudanas nos requisitos de segurana da informao e na situao de risco; A anlise/avaliao de riscos deve ter um escopo claramente definido. Antes de considerar o tratamento de um risco, a organizao deve definir os critrios para avaliar se os riscos podem ser ou no aceitos. Para cada um dos riscos identificados com base na anlise/avaliao de riscos, uma deciso sobre o tratamento do risco precisa ser tomada. So opes para o tratamento:

Aplicar controles apropriados para reduzir os riscos; Conhecer e objetivamente aceitar os riscos; Evitar riscos, no permitindo aes que poderiam causar a ocorrncia de riscos; Transferir os riscos associados para outras partes, por ex, seguradoras ou fornecedores.

5. Poltica de Segurana da Informao

Possui 1 categoria e 2 controles

5.1. Poltica de segurana da informao

Prov uma orientao e apoio da direo para a segurana da informao de acordo com os requisitos do negcio e com as leis e regulamentaes relevantes. A PSI deve estar alinhada com os objetivos do negcio e demonstrar apoio e comprometimento com a segurana da informao. 5.1.1 Documento da PSI A PSI aprovada pela direo, publicada e comunicada para todos os funcionrios e partes externas relevantes. A PSI analisada criticamente a intervalos planejados ou quando mudanas significativas ocorrerem

5.1.2 Anlise crtica da PSI

O documento da poltica deve conter, dentre outras coisas: Uma definio de segurana da informao, suas metas globais, escopo e importncia da segurana da informao; Uma declarao do comprometimento da direo; Uma estrutura para estabelecer os objetivos de controle e os controles, incluindo a estrutura de anlise/avaliao e gerenciamento de risco; Definio das responsabilidades gerais e especficas na gesto da segurana da informao. A poltica de segurana da informao deve declarar o comprometimento da direo e estabelecer o enfoque da organizao para gerenciar a segurana da informao. Deve conter: a) Uma definio de segurana da informao, suas metas globais, escopo e importncia; b) Uma declarao do comprometimento da direo, apoiando as metas e princpios da segurana da informao, alinhada com os objetivos e estratgias do negcio; c) Uma estrutura para estabelecer os objetivos de controle e os controles e a anlise/avaliao e gerenciamento de risco; d) Uma breve explanao das polticas, princpios, normas e requisitos de conformidade de segurana da informao especficos para a organizao, incluindo: 1) Conformidade com a legislao e com requisitos regulamentares e contratuais; 2) Requisitos de conscientizao, treinamento e educao em segurana da informao; 3) Gesto da continuidade do negcio; 4) Conseqncias das violaes na poltica de segurana da informao; e) Definio das responsabilidades gerais e especficas na gesto da segurana da informao, incluindo o registro dos incidentes de segurana da informao; f) Referncias documentao que possam apoiar a poltica. A PSI deve ser comunicada a todos (inclusive fora da organizao) de forma que seja relevante, acessvel e compreensvel para o leitor em foco. A PSI pode ser uma parte de um documento da poltica geral. A PSI deve ter um gestor. A anlise crtica inclui a avaliao de oportunidades para melhoria e deve ter procedimentos definidos. Suas entradas so: a) Realimentao das partes interessadas; b) Resultados de anlises crticas independentes (6.1.8); c) Situao de aes preventivas e corretivas (6.1.8 e 15.2.1); d) Resultados de anlises crticas anteriores feitas pela direo; e) Desempenho do processo e conformidade com a poltica de segurana da informao; f) Mudanas relevantes que possam afetar o enfoque da PSI (ambiente organizacional, circunstncias do negcio, disponibilidade dos recursos, questes contratuais,etc.) g) Tendncias relacionadas com as ameaas e vulnerabilidades; h) Relato sobre incidentes de segurana da informao (13.1); i) Recomendaes fornecidas por autoridades relevantes (6.1.6).

A anlise crtica pela direo deve incluir: a) Melhoria do enfoque da organizao para gerenciar a segurana da informao e seus processos; b) Melhoria dos controles e dos objetivos de controles; c) Melhoria na alocao de recursos e/ou de responsabilidades. A PSI revisada deve ser aprovada pela direo. Um registro da anlise crtica deve ser mantido pela direo.

Resumo da 27002 Parte 3

Publicado em agosto 26, 2011

6. Organizando a segurana da informao

Esta seo possui 2 categorias e 11 controles

6.1 Infraestrutura da Segurana da Informao

Objetivo gerenciar a segurana da informao dentro da organizao por meio de uma estrutura de gerenciamento. A PSI deve atribuir as funes da segurana, coordenar e analisar criticamente a implementao da segurana da informao por toda a organizao. Pode se usar uma consultoria especializada em segurana da informao. Um enfoque multidisciplinar na segurana da informao deve ser incentivado. 6.1.1 Comprometimento da direo com a segurana da informao 6.1.2 Coordenao da segurana da informao 6.1.3 Atribuies de responsabilidades para a segurana da informao 6.1.4 Processo de autorizao para os recursos de processamento da informao 6.1.5 Acordos de confidencialidade 6.1.6 Contato com as autoridades 6.1.7 Contato com grupos especiais O apio da direo feito por meio de um claro direcionamento, demonstrando o comprometimento, definindo explicitamente atribuies e conhecendo as responsabilidades pela segurana da informao. Representantes de diferentes partes da organizao, com funes e papis relevantes coordenam as atividades de segurana da informao.

Definir as responsabilidades pela segurana da informao.

Um processo de gesto de autorizao para novos recursos de processamento da informao deve ser definido e implementado.

Identificar e analisar criticamente os requisitos para confidencialidade ou acordos de no divulgao. Manter contatos apropriados com autoridades relevantes.

Manter contatos apropriados com grupos de interesses especiais ou fruns especializados de segurana da informao e associaes profissionais. Analisar criticamente, de forma independente, a intervalos planejados, ou quando ocorrerem mudanas significativas relativas implementao da segurana da informao,o enfoque da organizao

6.1.8 Anlise crtica independente de segurana da

informao

para gerenciar a segurana da informao.

6.2 Partes Externas

Manter a segurana dos recursos de processamento da informao e da informao da organizao, que so acessados, processados, comunicados ou gerenciados por partes externas. 6.2.1 Identificao dos riscos relacionados com partes externas 6.2.2 Identificando a segurana da informao, quando tratando com os clientes 6.2.3 Identificando a segurana da informao nos acordos com terceiros Identificar os riscos relativos informao e aos recursos de processamento que envolvam partes externas e estabelecer controles apropriados. Identificar os requisitos de segurana da informao antes de conceder acesso a ativos ou informaes aos clientes.

Cobrir com requisitos de segurana da informao relevantes, os acordos com terceiros que envolvam acesso, processamento, comunicao ou gerenciamento dos recursos de processamento.

Em empresas pequenas, a coordenao pode ser conduzida por um frum de gesto adequado ou por um gestor individual. Um acordo de confidencialidade ou de no divulgao deve considerar (entre outros): a) Definio da informao a ser protegida (por ex, informao confidencial); b) Tempo de durao esperado de um acordo (pode ser por tempo indefinido); c) Aes requeridas quando um acordo est encerrado; d) Responsabilidades e aes dos signatrios para evitar a divulgao no autorizada da informao (como o conceito need to know); e) Direito de auditar e monitorar as atividades que envolvem as informaes confidenciais; f) Processo para notificao e relato de divulgao no autorizada ou violao das informaes confidenciais; g) Termos para a informao ser retornada ou destruda quando da suspenso do acordo; e h) Aes esperadas a serem tomadas no caso de uma violao deste acordo. Uma organizao pode usar diferentes formas de acordos de confidencialidade. Acordos de compartilhamento de informaes podem ser estabelecidos para melhorar a cooperao e coordenao de assuntos de segurana da informao. A anlise crtica deve ser executada por pessoas independentes da rea avaliada, como auditoria interna, um gerente independente ou uma organizao de terceira parte especializada em tais anlises crticas.

7. Gesto de Ativos

Modificada aps reviso em 2005, inclui novos tipos de ativos: Pessoas e suas qualificaes, habilidades e experincias; Intangveis, tais como a reputao e a imagem da organizao. Esta seo possui 2 categorias e 5 controles

7.1. Responsabilidade pelos ativos

Alcanar e manter a proteo adequada dos ativos da organizao. 7.1.1 Inventrio dos ativos 7.1.2 Proprietrio dos ativos 7.1.3 Uso aceitvel dos ativos Identificar todos os ativos e manter um inventrio de todos os ativos importantes. Designar um proprietrio para todas as informaes e ativos associados com os recursos de processamento. Identificar, documentar e implementar regras para permitir o uso de informaes e de ativos associados aos recursos de processamento da informao.

7.2.Classificao da informao
Assegurar que a informao receba um nvel adequado de proteo. 7.2.1 Recomendaes para classificao Classificar a informao em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organizao.

7.2.2 Rtulos e tratamento da informao

Definir e implementar um conjunto apropriado de procedimentos para rotulao e tratamento da informao.>

Um ativo classificado e reclassificado ao longo do tempo. A responsabilidade pela classificao do proprietrio do ativo, assim como a anlise crtica regular. Tipos de ativos: a) Ativos de informao: base de dados e arquivos, contratos e acordos, documentao de sistema, informaes sobre pesquisa, manuais de usurio, material de treinamento, procedimentos de suporte ou operao, planos de continuidade do negcio, procedimentos de recuperao, trilhas de auditoria e informaes armazenadas; b) Ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitrios; c) Ativos fsicos: equipamentos computacionais, equipamentos de comunicao, mdias removveis e outros equipamentos; d) Servios: servios de computao e comunicaes, utilidades gerais, por exemplo aquecimento, iluminao, eletricidade e refrigerao; e) Pessoas e suas qualificaes, habilidades e experincias; f) Intangveis, tais como a reputao e a imagem da organizao. O proprietrio do ativo responsvel por: a) Assegurar que as informaes e os ativos associados com os recursos de processamento da informao estejam adequadamente classificados; b) Definir e periodicamente analisar criticamente as classificaes e restries ao acesso. O proprietrio pode ser designado para: a) Um processo do negcio; b) Um conjunto de atividades definidas; c) Uma aplicao; ou d) Um conjunto de dados definido. O rtulo atende tanto ativos fsicos como lgicos.

Resumo da 27002 Parte 4

Publicado em agosto 27, 2011

8. Segurana em RH
Com a reformulao de 2005, esta seo passou a acompanhar o funcionrio antes, durante e aps a contratao. Esta seo possui 3 categorias e 9 controles

8.1. Antes da Contratao

Assegurar que os funcionrios, fornecedores e terceiros entendam suas responsabilidades, e estejam de acordo com os seus papis, e reduzir o risco de roubo, fraude ou mau uso de recursos. 8.1.1 Papis e responsabilidades 8.1.2 Seleo Definir e documentar os papis e responsabilidades pela segurana da informao de funcionrios, fornecedores e terceiros. Realizar verificaes de controle de todos os candidatos a emprego, fornecedores e terceiros de acordo com as leis, regulamentaes e ticas, e proporcional aos requisitos do negcio, classificao das informaes a serem acessadas e aos riscos percebidos. Assinatura de termos e condies de sua contratao para o trabalho, os quais devem declarar as suas responsabilidades e a da organizao para a segurana da informao pelos funcionrios, fornecedores e terceiros.

8.1.3 Termos e condies de contratao

8.2. Durante a Contratao

Assegurar que os funcionrios, fornecedores e terceiros esto conscientes das ameaas e preocupaes relativas segurana da informao, suas responsabilidades e obrigaes, e esto preparados para apoiar a poltica de segurana da informao da organizao durante os seus trabalhos normais, e para reduzir o risco de erro humano. 8.2.1 Responsabilidades da direo Direo solicita a funcionrios, fornecedores e terceiros que pratiquem a segurana da informao de acordo com o estabelecido nas polticas e procedimentos da organizao. Treinamento apropriado em conscientizao, e atualizaes regulares nas polticas e procedimentos organizacionais, relevantes para as suas funes para todos os funcionrios, e onde pertinente, fornecedores e terceiros. Processo disciplinar formal para os funcionrios que tenham cometido uma violao da segurana da informao.

8.2.2 Conscientizao, educao e treinamento em segurana da informao 8.2.3 Processo disciplinar

8.3. Encerramento ou mudana da contratao

Assegurar que funcionrios, fornecedores e terceiros deixem a organizao ou mudem de trabalho de forma ordenada. 8.3.1 Encerramento de atividades 8.3.2 Devoluo de ativos Definir e atribuir responsabilidades para realizar o encerramento ou a mudana de um trabalho. Aps o encerramento de suas atividades, do contrato ou acordo, funcionrios, fornecedores e terceiros devolvem todos os ativos da organizao que estejam em sua posse Os direitos de acesso de todos os funcionrios, fornecedores e terceiros s informaes e aos recursos de processamento da informao so retirados aps o encerramento de suas atividades, contratos ou acordos, ou ajustado aps a mudana destas atividades.

8.3.3 Retirada de direitos de acesso

Descries de cargos podem ser usadas para documentar responsabilidades e papis pela segurana da informao. As responsabilidades contidas nos termos e condies de contratao continuam por um perodo de tempo definido, aps o trmino da contratao onde apropriado. O processo disciplinar tambm usado como uma forma de dissuaso, para evitar que os funcionrios, fornecedores e terceiros violem os procedimentos e as polticas de segurana da informao da organizao, e quaisquer outras violaes na segurana. No caso em que um funcionrio, fornecedor ou terceiro compre o equipamento da organizao ou use o seu prprio equipamento pessoal, convm que procedimentos sejam adotados para assegurar que toda a informao relevante seja transferida para a organizao e que seja apagada de forma segura do equipamento. Os direitos de acesso aos ativos de informao e aos recursos de processamento da informao so reduzidos ou retirados antes que a atividade se encerre ou altere, dependendo da avaliao de fatores de risco, tais como: a) se o encerramento da atividade ou a mudana iniciada pelo funcionrio, fornecedor ou terceiro, ou pelo gestor e a razo do encerramento da atividade; b) as responsabilidades atuais do funcionrio, fornecedor ou qualquer outro usurio; c) valor dos ativos atualmente acessveis.

9. Segurana Fsica e do Ambiente

Esta seo possui 2 categorias e 13 controles

9.1. reas seguras

9.1.1 Permetro de segurana fsica

Prevenir o acesso fsico no autorizado, danos e interferncias com as instalaes e informaes da organizao. Utilizar permetros de segurana (barreiras tais como paredes, portes de entrada controlados por carto ou balces de recepo com recepcionistas) para proteger as reas que contenham informaes e instalaes de processamento da informao. As reas seguras so protegidas por controles apropriados de entrada para assegurar que somente pessoas autorizadas tenham acesso.

9.1.2 Controles de entrada fsica

9.1.3 Segurana em escritrios, salas e instalaes 9.1.4 Proteo contra ameaa externa e do meio ambiente 9.1.5 Trabalhando em reas seguras 9.1.6 Acesso do pblico, reas de entrega e de carregamento

Projetar e aplicar segurana fsica para escritrios, salas e instalaes.

Projetar e aplicar proteo fsica contra incndios, enchentes, terremotos, exploses, perturbaes da ordem pblica e outras formas de desastres naturais ou causados pelo homem. Projetar e aplicar proteo fsica, bem como diretrizes para o trabalho em reas seguras. Os pontos de acesso (reas de entrega e de carregamento e outros pontos em que pessoas no autorizadas possam entrar nas instalaes) so controlados e, se possvel, isolados das instalaes de processamento da informao, para evitar o acesso no autorizado.

9.2. Seguranas de equipamentos

Impedir perdas, danos, furto ou comprometimento de ativos e interrupo das atividades da organizao. 9.2.1 Instalaes e proteo do equipamento 9.2.2 Utilidades Os equipamentos so colocados em local ou protegidos para reduzir os riscos de ameaas e perigos do meio ambiente, bem como as oportunidades de acesso no autorizado. Os equipamentos so protegidos contra falta de energia eltrica e outras interrupes causadas por falhas das utilidades. O cabeamento de energia e de telecomunicaes so protegidos contra interceptao ou danos. Manuteno correta para os equipamentos para assegurar sua disponibilidade e integridade permanentes. Tomar medidas de segurana para equipamentos que operem fora do local, levando em conta os diferentes riscos decorrentes do fato de se trabalhar fora das dependncias da organizao.

9.2.3 Segurana do cabeamento 9.2.4 Manuteno dos equipamentos 9.2.5 Reutilizao de equipamentos fora das dependncias da organizao 9.2.6 Reutilizao e alienao segura de equipamentos

Todos os equipamentos que contenham mdias de armazenamento de dados so examinados antes do descarte, para assegurar que todos os dados sensveis e softwares licenciados tenham sido removidos ou sobregravados com segurana. Equipamentos, informaes ou software no so retirados do local sem autorizao prvia.

9.2.7 Remoo de propriedade

So levadas em considerao todas as ameaas segurana representadas por instalaes vizinhas, por exemplo, um incndio em um edifcio vizinho, vazamento de gua do telhado ou em pisos do subsolo ou uma exploso na rua. Os controles para o trabalho em casa so determinados por uma anlise/avaliao de riscos, sendo aplicados controles adequados para cada caso, por exemplo, arquivos trancveis, poltica de mesa limpa, controles de acesso a computadores, e comunicao segura com o escritrio.

Resumo da 27002 Parte 5

Publicado em agosto 28, 2011

10. Gerenciamento das Operaes e Comunicaes

Esta seo possui 10 categorias e 32 controles

10.1. Procedimento e responsabilidades operacionais

Garantir a operao segura e correta dos recursos de processamento da informao. 10.1.1 Documentao dos procedimentos de operao 10.1.2 Gesto de mudanas 10.1.3 Segregao de funo Os procedimentos de operao so documentados, mantidos atualizados e disponveis a todos os usurios que deles necessitem.

Modificaes nos recursos de processamento da informao e sistemas so controladas. Funes e reas de responsabilidade so segregadas para reduzir as oportunidades de modificao ou uso indevido no autorizado ou no intencional dos ativos da organizao. Recursos de desenvolvimento, teste e produo so separados para reduzir o risco de acessos ou modificaes no autorizadas aos sistemas operacionais.

10.1.4 Separao dos recursos de desenvolvimento, teste e de produo

10.2. Gerenciamento de servios terceirizados

Implementar e manter o nvel apropriado de segurana da informao e de entrega de servios em consonncia com acordos de entrega de servios terceirizados. 10.2.1 Entrega de servios Garantir que os controles de segurana, as definies de servio e os nveis de entrega includos no acordo de entrega de servios terceirizados so implementados, executados e mantidos pelo terceiro. Os servios, relatrios e registros fornecidos por terceiro so regularmente monitorados e analisados criticamente, e auditorias so executadas regularmente. Mudanas no aprovisionamento dos servios, incluindo manuteno e melhoria da poltica de segurana da informao, procedimentos e controles existentes, so gerenciadas levando-se em conta a criticidade dos sistemas e processos de negcio envolvidos e a reanlise/reavaliao de riscos.

10.2.2 Monitoramento e anlise crtica de servios terceirizados 10.2.3 Gerenciamento de mudanas para servios terceirizados

10.3. Planejamento e aceitao dos sistemas

Minimizar o risco de falhas nos sistemas. 10.3.1 Gesto de capacidade A utilizao dos recursos monitorada e sincronizada e projees so feitas para necessidades de capacidade futura, para garantir o desempenho requerido do sistema. Critrios de aceitao para novos sistemas, atualizaes e novas verses so estabelecidos e so efetuados testes apropriados do(s) sistema(s) durante seu desenvolvimento e antes da sua aceitao.

10.3.2 Aceitao de sistemas

10.4. Proteo contra cdigos maliciosos e cdigos mveis

Proteger a integridade do software e da informao. 10.4.1 Controles contra cdigos maliciosos So implantados controles de deteco, preveno e recuperao para proteger contra cdigos maliciosos, e procedimentos para a devida conscientizao dos usurios. Onde o uso de cdigos mveis autorizado, a configurao garante que o cdigo mvel autorizado opere de acordo com uma poltica de segurana da informao claramente definida e cdigos mveis no autorizados tm sua execuo impedida.

10.4.2 Controles contra cdigos mveis

10.5. Cpias de segurana

Manter a integridade e disponibilidade da informao e dos recursos de processamento de informao. 10.5.1 Cpias de segurana das informaes Cpias de segurana das informaes e dos softwares so efetuadas e testadas regularmente conforme a poltica de gerao de cpias de segurana definida.

10.6. Gerenciamento de segurana em redes

Garantir a proteo das informaes em redes e a proteo da infra-estrutura de suporte. 10.6.1 Controles de redes As redes so adequadamente gerenciadas e controladas, de forma a proteg-las contra ameaas e manter a segurana de sistemas e aplicaes que utilizam estas redes, incluindo a informao em trnsito. As caractersticas de segurana, nveis de servio e requisitos de gerenciamento dos servios de rede so identificados e includos em qualquer acordo de servios de rede, tanto para servios de rede providos internamente ou terceirizados.

10.6.2 Segurana dos servios de rede

10.7. Manuseios de mdias

Prevenir contra divulgao no autorizada, modificao, remoo ou destruio aos ativos e interrupes das atividades do negcio. 10.7.1 Gerenciamento de mdias removveis 10.7.2 Descarte de mdias 10.7.3 Procedimento para tratamento de informao 10.7.4 Segurana da documentao dos sistemas Existem procedimentos implementados para o gerenciamento de mdias removveis. As mdias so descartadas de forma segura e protegida quando no forem mais necessrias, por meio de procedimentos formais. So estabelecidos procedimentos para o tratamento e o armazenamento de informaes, para proteger tais informaes contra a divulgao no autorizada ou uso indevido. A documentao dos sistemas protegida contra acessos no autorizados.

10.8. Troca de informaes

Manter a segurana na troca de informaes e softwares internamente organizao e com quaisquer entidades externas. 10.8.1 Polticas e procedimentos para troca de informaes 10.8.2 Acordos para troca de informaes 10.8.3 Mdias em trnsito Polticas, procedimentos e controles so estabelecidos e formalizados para proteger a troca de informaes em todos os tipos de recursos de comunicao. So estabelecidos acordos para a troca de informaes e softwares entre a organizao e entidades externas. Mdias contendo informaes so protegidas contra acesso no autorizado, uso imprprio ou alterao indevida durante o transporte externo aos limites fsicos da organizao. As informaes que trafegam em mensagens eletrnicas so protegidas.

10.8.4 Mensagens eletrnicas 10.8.5 Sistemas de informaes do negcio

Polticas e procedimentos so desenvolvidos e implementados para proteger as informaes associadas com a interconexo de sistemas de informaes do negcio.

10.9. Servios de comrcio eletrnico

Garantir a segurana de servios de comrcio eletrnico e sua utilizao segura. 10.9.1 Comrcio eletrnico Informaes envolvidas em comrcio eletrnico transitando sobre redes pblicas so protegidas de atividades fraudulentas, disputas contratuais

e divulgao e modificaes no autorizadas. 10.9.2 Transaes online Informaes envolvidas em transaes on-line so protegidas para prevenir transmisses incompletas, erros de roteamento, alteraes no autorizadas de mensagens, divulgao no autorizada, duplicao ou reapresentao de mensagem no autorizada. A integridade das informaes disponibilizadas em sistemas publicamente acessveis protegida para prevenir modificaes no autorizadas.

10.9.3 Informaes publicamente disponveis

10.10. Monitoramento
Detectar atividades no autorizadas de processamento da informao. 10.10.1 Registros de auditoria Registros (log) de auditoria contendo atividades dos usurios, excees e outros eventos de segurana da informao so produzidos e mantidos por um perodo de tempo acordado para auxiliar em futuras investigaes e monitoramento de controle de acesso. Estabelecer procedimentos para o monitoramento do uso dos recursos de processamento da informao e os resultados das atividades de monitoramento que so analisados criticamente, de forma regular. Recursos e informaes de registros (log) so protegidos contra falsificao e acesso no autorizado.

10.10.2 Monitoramento do uso do sistema

10.10.3 Proteo das informaes dos registros (log) 10.10.4 Registros (log) de administrador e operador 10.10.5 Registro (log) de falhas 10.10.6 Sincronizao dos relgios

As atividades dos administradores e operadores do sistema so registradas.

As falhas ocorridas so registradas e analisadas, e que so adotadas aes apropriadas. Os relgios de todos os sistemas de processamento da informao relevantes, dentro da organizao ou do domnio de segurana, so sincronizados de acordo com uma hora oficial.

Resumo da 27002 Parte 6

Publicado em agosto 29, 2011

0
11.1. Requisitos de negcio para controle de acesso
Controlar o acesso informao. 11.1.1 Poltica de controle de acesso A poltica de controle de acesso estabelecida, documentada e analisada criticamente, tomando-se a base dos requisitos de acesso dos negcios e segurana da informao.

11.2. Gerenciamento de acesso do usurio

Assegurar acesso de usurio autorizado e prevenir acesso no autorizado a sistemas de informao. 11.2.1 Registro de usurio Existe um procedimento formal de registro e cancelamento de usurio para garantir e revogar acessos em todos os sistemas de informao e

servios. 11.2.2 Gerenciamento de privilgios 11.2.3 Gerenciamento de senha do usurio 11.2.4 Anlise crtica dos direitos de acesso de usurio A concesso e o uso de privilgios so restritos e controlados.

A concesso de senhas controlada atravs de um processo de gerenciamento formal. O gestor conduz a intervalos regulares a anlise crtica dos direitos de acesso dos usurios, por meio de um processo formal.

11.3. Responsabilidades dos usurios

Prevenir o acesso no autorizado dos usurios e evitar o comprometimento ou roubo da informao e dos recursos de processamento da informao. 11.3.1 Uso de senhas Os usurios so solicitados a seguir as boas prticas de segurana da informao na seleo e uso de senhas. Os usurios asseguram que os equipamentos no monitorados tm proteo adequada.

11.3.2 Equipamentos de usurio sem monitorao 11.3.3 Poltica de mesa limpa e tela limpa

adotada uma poltica de mesa limpa de papis e mdias de armazenamento removvel e poltica de tela limpa para os recursos de processamento da informao.

11.4. Controle de acesso rede

Prevenir acesso no autorizado aos servios de rede. 11.4.1 Poltica de uso dos servios de rede 11.4.2 Autenticao para conexo do usurio 11.4.3 Identificao de equipamentos em redes Usurios somente recebem acesso para os servios que tenham sido especificamente autorizados a usar. Mtodos apropriados de autenticaes so usados para controlar acesso de usurios remotos. So consideradas as identificaes automticas de equipamentos como um meio de autenticar conexes vindas de localizaes e equipamentos especficos. controlado o acesso fsico e lgico das portas de diagnstico e configurao.

11.4.4 Proteo e configurao de portas de diagnsticos remotas 11.4.5 Segregao de redes 11.4.6 Controle de conexes de rede

Grupos de servios de informao, usurios e sistemas de informao so segredados em redes. Para redes compartilhadas, especialmente essas que se estendem pelos limites da organizao, a capacidade dos usurios para conectar-se rede restrita, alinhada com a poltica de controle de acesso e os requisitos das aplicaes do negcio (ver 11.1). implementado controle de roteamento na rede, para assegurar que as conexes de computador e fluxos de informao no violem a poltica de controle de acesso das aplicaes do negcio.

11.4.7 Controle de roteamento de redes

11.5. Controle de acesso ao sistema operacional

Prevenir acesso no autorizado aos sistemas operacionais. 11.5.1 Procedimento seguros de entrada no sistema (log-on) O acesso aos sistemas operacionais controlado por um procedimento seguro de entrada no sistema (log-on).

11.5.2 Identificao e autenticao de usurio

Todos os usurios tm um identificador nico (ID de usurio) para uso pessoal e exclusivo, e convm que uma tcnica adequada de autenticao seja escolhida para validar a identidade alegada por um usurio. Sistemas para gerenciamento de senhas so interativos e asseguram senhas de qualidade. O uso de programas utilitrios, que podem ser capazes de sobrepor os controles dos sistemas e aplicaes, restritos e estritamente controlado. Terminais inativos so desconectados aps um perodo definido de inatividade. Restries nos horrios de conexo so utilizadas para proporcionar segurana adicional para aplicaes de alto risco.

11.5.3 Sistema de gerenciamento de senha 11.5.4 Uso de utilitrios de sistema

11.5.5 Desconexo de terminal por inatividade 11.5.6 Limitao de horrio para conexo

11.6. Controle de acesso a aplicaes e a informao

Prevenir acesso no autorizado informao contida nos sistemas de aplicao. 11.6.1 Restrio de acesso informao O acesso informao e s funes dos sistemas de aplicaes por usurios e pessoal de suporte restrito de acordo com o definido na poltica de controle de acesso. Sistemas sensveis tm um ambiente computacional dedicado (isolado).

11.6.2 Isolamento de sistemas sensveis

11.7. Computao mvel e trabalho remoto

Garantir a segurana da informao quando se utilizam a computao mvel e recursos de trabalho remoto. 11.7.1 Computao e comunicao mvel Uma poltica formal estabelecida e medidas de segurana apropriadas so adotadas para a proteo contra os riscos do uso de recursos de computao e comunicao mveis. Uma poltica, planos operacionais e procedimentos so desenvolvidos e implementados para atividades de trabalho remoto.

11.7.2 Trabalho remoto

Resumo da 27002 Parte 7 (ltima)

Publicado em agosto 29, 2011

12. Aquisio, Desenvolvimento e Manuteno de SI

Esta seo possui 6 categorias e 16 controles

12.1.Requisio de segurana de sistemas de informao

Garantir que segurana parte integrante de sistemas de informao. 12.1.1Anlise e especificao dos requisitos de segurana So especificados os requisitos para controles de segurana nas especificaes de requisitos de negcios, para novos sistemas de informao ou melhorias em sistemas existentes.

12.2. Processamento correto nas aplicaes

Prevenir a ocorrncia de erros, perdas, modificao no autorizada ou mau uso de informaes em aplicaes.

12.2.1 Validao dos dados de entrada 12.2.2 Controle do processamento interno

Os dados de entrada de aplicaes so validados para garantir que so corretos e apropriados. So incorporadas, nas aplicaes, checagens de validao com o objetivo de detectar qualquer corrupo de informaes, por erros ou por aes deliberadas. Requisitos para garantir a autenticidade e proteger a integridade das mensagens em aplicaes so identificados e os controles apropriados so identificados e implementados. Os dados de sada das aplicaes so validados para assegurar que o processamento das informaes armazenadas est correto e apropriado s circunstncias.

12.2.3 Integridade de mensagens

12.2.4 Validao de dados de sada

12.3. Controles criptogrficos

Proteger a confidencialidade, a autenticidade ou a integridade das informaes por meios criptogrficos. 12.3.1 Poltica para uso de controles criptogrficos 12.3.2 Gerenciamento de chaves desenvolvida e implementada uma poltica para o uso de controles criptogrficos para a proteo da informao.

Um processo de gerenciamento de chaves implantado para apoiar o uso de tcnicas criptogrficas pela organizao.

12.4. Segurana dos arquivos do sistema

Garantir a segurana de arquivos de sistema. 12.4.1 Controle de software operacional 12.4.2 Proteo dos dados para teste de sistema 12.4.3 Controle de acesso ao cdigo-fonte de programa Procedimentos para controlar a instalao de software em sistemas operacionais so implementados. Os dados de teste so selecionados com cuidado, protegidos e controlados.

O acesso ao cdigo-fonte de programa restrito.

12.5. Segurana em processos de desenvolvimento e de suporte

Manter a segurana de sistemas aplicativos e da informao. 12.5.1 Procedimentos para controle de mudanas 12.5.2 Anlise crtica tcnica das aplicaes aps mudanas no sistema operacional 12.5.3 Restries sobre mudanas em pacotes de software 12.5.4 Vazamento de informaes 12.5.5 Desenvolvimento terceirizado de software A implementao de mudanas controlada utilizando procedimentos formais de controle de mudanas.

Aplicaes crticas de negcios so analisadas criticamente e testadas quando sistemas operacionais so mudados, para garantir que no haver nenhum impacto adverso na operao da organizao ou na segurana. Modificaes em pacotes de software no so incentivadas e limitadas s mudanas necessrias e todas as mudanas so estritamente controladas. Oportunidades para vazamento de informaes so prevenidas.

A organizao supervisiona e monitora o desenvolvimento terceirizado de software.

12.6. Gesto de vulnerabilidade tcnicas

Reduzir riscos resultantes da explorao de vulnerabilidades tcnicas conhecidas.

12.6.1 Controle de vulnerabilidade tcnicas

obtida informao em tempo hbil sobre vulnerabilidades tcnicas dos sistemas de informao em uso, avaliada a exposio da organizao a estas vulnerabilidades e tomadas as medidas apropriadas para lidar com os riscos associados.

13. Gesto de Incidentes de Segurana da Informao

Assegurar que fragilidades e eventos de segurana da informao associados com sistemas de informao sejam comunicados, permitindo a tomada de ao corretiva em tempo hbil. Esta seo possui 2 categorias e 5 controles

13.1. Notificao de fragilidades e eventos de segurana da informao

13.1.1 Notificao de eventos de segurana da informao 13.1.2 Notificao fragilidades de segurana da informao

Assegurar que fragilidades e eventos de segurana da informao associados com sistemas de informao sejam comunicados, permitindo a tomada de ao corretiva em tempo hbil. Os eventos de segurana da informao so relatados atravs dos canais apropriados da direo, o mais rapidamente possvel.

Os funcionrios, fornecedores e terceiros de sistemas e servios de informao so instrudos a registrar e notificar qualquer observao ou suspeita de fragilidade em sistemas ou servios.

13.2. Gesto de incidentes de segurana da informao e melhorias

Assegurar que um enfoque consistente e efetivo seja aplicado gesto de incidentes de segurana da informao. 13.2.1 Responsabilidades e procedimentos 13.2.2 Aprendendo com os incidentes de segurana da informao 13.2.3 Coleta de evidncias Responsabilidades e procedimentos de gesto so estabelecidos para assegurar respostas rpidas, efetivas e ordenadas a incidentes de segurana da informao. So estabelecidos mecanismos para permitir que tipos, quantidades e custos dos incidentes de segurana da informao sejam quantificados e monitorados.

Nos casos em que uma ao de acompanhamento contra uma pessoa ou organizao, aps um incidente de segurana da informao, envolver uma ao legal (civil ou criminal), evidncias so coletadas, armazenadas e apresentadas em conformidade com as normas de armazenamento de evidncias da jurisdio(es) pertinente(s).

14. Gesto da Continuidade do Negcio

Esta seo possui 1 categoria e 5 controles

14.1. Aspectos da gesto da continuidade do negcio, relativos segurana da informao

No permitir a interrupo das atividades do negcio e proteger os processos crticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hbil, se for o caso. 14.1.1 Incluindo segurana da informao no processo de gesto da continuidade de negcio 14.1.2 Continuidade de negcios e anlise/validao dos riscos 14.1.3 Desenvolvimento Um processo de gesto desenvolvido e mantido para assegurar a continuidade do negcio por toda a organizao e que contemple os requisitos de segurana da informao necessrios para a continuidade do negcio da organizao.

Identificar os eventos que podem causar interrupes aos processos de negcio, junto a probabilidade e impacto de tais interrupes e as conseqncias para a segurana de informao.

Os planos so desenvolvidos e implementados para a manuteno ou

e implementao de planos de continuidade relativos segurana da informao 14.1.4 Estrutura do plano de continuidade do negcio

recuperao das operaes e para assegurar a disponibilidade da informao no nvel requerido e na escala de tempo requerida, aps a ocorrncia de interrupes ou falhas dos processos crticos do negcio.

Uma estrutura bsica dos planos de continuidade do negcio mantida para assegurar que todos os planos so consistentes, para contemplar os requisitos de segurana da informao e para identificar prioridades para testes e manuteno. Os planos de continuidade do negcio so testados e atualizados regularmente, de forma a assegurar sua permanente atualizao e efetividade.

14.1.5 Teste, manuteno e reavaliao dos planos de continuidade dos negcios

15. Conformidade
Esta seo possui 3 categorias e 10 controles

15.1. Conformidade com requisitos legais

Evitar violao de qualquer lei criminal ou civil, estatutos, regulamentaes ou obrigaes contratuais e de quaisquer requisitos de segurana da informao. 15.1.1 Identificao da legislao vigente Todos os requisitos estatutrios, regulamentares e contratuais relevantes, e o enfoque da organizao para atender a esses requisitos, so explicitamente definidos, documentados e mantidos atualizados para cada sistema de informao da organizao Procedimentos apropriados so implementados para garantir a conformidade com os requisitos legislativos, regulamentares e contratuais no uso de material, em relao aos quais pode haver direitos de propriedade intelectual e sobre o uso de produtos de software proprietrios. Registros importantes so protegidos contra perda, destruio e falsificao, de acordo com os requisitos regulamentares, estatutrios, contratuais e do negcio. A privacidade e proteo de dados so asseguradas conforme exigido nas legislaes relevantes, regulamentaes e, se aplicvel, nas clusulas contratuais. Os usurios so dissuadidos de usar os recursos de processamento da informao para propsitos no autorizados.

15.1.2 Direito de propriedade intelectual

15.1.3 Proteo de registros organizacionais 15.1.4 Proteo de dados e privacidade de informaes pessoais 15.1.5 Preveno de mau uso de recursos de processamento da informao 15.1.6 Regulamentao de controles de criptografia

Controles de criptografia so usados em conformidade com todas as leis, acordos e regulamentaes relevantes.

15.2. Conformidade com normas e polticas de segurana da informao e conformidade tcnica

Garantir conformidade dos sistemas com as polticas e normas organizacionais de segurana da informao. 15.2.1 Conformidade com polticas e normas de segurana da informao 15.2.2 Verificao da conformidade tcnica Gestores garantem que todos os procedimentos de segurana da informao dentro da sua rea de responsabilidade esto sendo executados corretamente para atender conformidade com as normas e polticas de segurana da informao. Sistemas de informao so periodicamente verificados em sua conformidade com as normas de segurana da informao

implementadas.

15.3 Consideraes quanto auditoria de sistemas de informao

Maximizar a eficcia e minimizar a interferncia no processo de auditoria dos sistemas de informao. 15.3.1 Controles de auditoria de sistemas de informao 15.3.2 Proteo de ferramentas de auditoria de sistemas de informao Requisitos e atividades de auditoria envolvendo verificao nos sistemas operacionais so cuidadosamente planejados e acordados para minimizar os riscos de interrupo dos processos do negcio. O acesso s ferramentas de auditoria de sistema de informao protegido, para prevenir qualquer possibi