Escolar Documentos
Profissional Documentos
Cultura Documentos
Viso Geral
A Norma NBR ISO/IEC 27002 faz parte de uma famlia de normas de Segurana da Informao, que adota um esquema de numerao usando a srie de nmeros 27000 em sequncia. Essa famlia inclui normas sobre: Requisitos de SGSI; Gesto de riscos; Mtricas e medidas; Diretrizes para implementao. Foi originada da NBR ISO/IEC 17799:2005 sem modificao do contedo. um cdigo de boas prticas para a segurana da informao. NO uma norma voltada para fins de certificao, tem uma aplicao mais restrita do que a 27001:2006. So considerados controles adequados para atender aos requisitos identificados por meio de uma anlise/avaliao dos riscos: Polticas; Processos; Procedimentos; Estruturas organizacionais; Funo de software e hardware. A 27002 organizada da seguinte forma: Objetivo do controle O que deve ser alcanado; Controle O que implementado para atender o objetivo do controle; Diretrizes Apresenta informaes mais detalhadas para apoiar a implementao do controle; Informaes adicionais So informaes que podem ser consideradas na implementao do controle (aspectos legais e referncias a outras normas).
Sees da 27002
0. Introduo 1. Objetivo 2. Termos e definies 3. Estrutura desta norma 4. Anlise/avaliao e tratamento de riscos 5. Poltica de segurana 6. Organizando a segurana da informao 7. Gesto de ativos 8. Segurana em recursos humanos 9. Segurana Fsica e do Ambiente 10. Gerenciamento de operaes e comunicaes 11. Controle de acesso 12. Aquisio, desenvolvimento e manuteno de sistemas da informao 13. Gesto de incidentes de segurana da informao 14. Gesto de continuidade dos negcios 15. Conformidade
0. Introduo
Segurana da informao a proteo da informao de vrios tipos de ameaas para garantir: Continuidade do negcio; Minimizar o risco ao negcio; Maximizar o ROI e oportunidades de negcio.
A segurana da informao obtida pela implementao de controles, que devem ser EIOMAMM (Estabelecidos, Implementados e Operados, Monitorados e Analisados criticamente, Mantidos e Melhorados). Isto deve ser feito em conjunto com outros processos de gesto do negcio. essencial o estabelecimento de requisitos de segurana da informao. As fontes de requisitos so: Anlise/avaliao de riscos; Legislao vigente, estatutos, regulamentao, clusulas contratuais; Conjunto de princpios, objetivos e requisitos de negcio. Aps a identificao dos requisitos de segurana da informao e dos riscos e decises para o seu tratamento tiverem sido tomadas, deve-se selecionar e implementar os controles apropriados para assegurar que os riscos sejam reduzidos a um nvel aceitvel. A seleo de controles de segurana da informao depende das decises da organizao, baseadas nos seus critrios para aceitao de risco, nas opes para tratamento do risco e no enfoque geral da gesto de risco aplicado organizao. Os controles selecionados devem estar de acordo com todas as legislaes e regulamentaes nacionais e internacionais, relevantes.
Controles essenciais
Os controles considerados essenciais para uma organizao, sob o ponto de vista legal, incluem, dependendo da legislao aplicvel: Proteo de dados e privacidade de informaes pessoais (15.1.4); Proteo de registros organizacionais (15.1.3); Direitos de propriedade intelectual (15.1.2). Nota: todos esses controles fazem parte da seo 15 (conformidade) e do objetivo de controle (categoria) 15.1 (Conformidade com requisitos legais).
1. Objetivo
A 27002 estabelece as diretrizes e os princpios gerais para iniciar, implementar, manter e melhorar a gesto de segurana da informao em uma organizao. Esta Norma pode servir como um guia prtico para desenvolver os procedimentos de segurana da informao da organizao e as eficientes prticas de gesto da segurana, e para ajudar a criar confiana nas atividades interorganizacionais.
2. Termos e Definies
Ativo Qualquer coisa que tenha valor para a organizao. Risco Combinao da probabilidade de um evento e de suas consequncias. Anlise de Riscos Uso sistemtico de informaes para identificar fontes e estimar o risco. Avaliao de Riscos Processo de comparar o risco estimado com critrios de risco prdefinidos para determinar a importncia do risco. Gesto de Riscos Atividades coordenadas para direcionar e controlar uma organizao no que se refere a riscos. A gesto de riscos geralmente inclui a anlise/avaliao de riscos, o tratamento de riscos, a aceitao de riscos e a comunicao de riscos. Tratamento do Risco Processo de seleo e implementao de medidas para modificar um risco. Ameaa Causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organizao. Vulnerabilidade Fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaas. Evento de segurana da informao Ocorrncia identificada de um sistema, servio ou rede, que indica uma possvel violao da poltica de segurana da informao ou falha de controles, ou uma situao previamente desconhecida, que possa ser relevante para a segurana da informao. Incidente de segurana da informao Um incidente de segurana da informao indicado por um simples ou por uma srie de eventos de segurana da informao indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operaes do negcio e ameaar a segurana da informao. Poltica Intenes e diretrizes globais formalmente expressas pela direo.
A norma contm 11 sees de controles de segurana, totalizando 39 categorias (objetivos de controle) principais de segurana e uma seo introdutria que aborda a anlise/avaliao e o tratamento de riscos. Ao todo, tem 133 controles de segurana. A ordem das sees no segue um grau de importncia, ficando a cargo de cada organizao identificar as sees aplicveis e a relevncia de cada uma.
Aplicar controles apropriados para reduzir os riscos; Conhecer e objetivamente aceitar os riscos; Evitar riscos, no permitindo aes que poderiam causar a ocorrncia de riscos; Transferir os riscos associados para outras partes, por ex, seguradoras ou fornecedores.
O documento da poltica deve conter, dentre outras coisas: Uma definio de segurana da informao, suas metas globais, escopo e importncia da segurana da informao; Uma declarao do comprometimento da direo; Uma estrutura para estabelecer os objetivos de controle e os controles, incluindo a estrutura de anlise/avaliao e gerenciamento de risco; Definio das responsabilidades gerais e especficas na gesto da segurana da informao. A poltica de segurana da informao deve declarar o comprometimento da direo e estabelecer o enfoque da organizao para gerenciar a segurana da informao. Deve conter: a) Uma definio de segurana da informao, suas metas globais, escopo e importncia; b) Uma declarao do comprometimento da direo, apoiando as metas e princpios da segurana da informao, alinhada com os objetivos e estratgias do negcio; c) Uma estrutura para estabelecer os objetivos de controle e os controles e a anlise/avaliao e gerenciamento de risco; d) Uma breve explanao das polticas, princpios, normas e requisitos de conformidade de segurana da informao especficos para a organizao, incluindo: 1) Conformidade com a legislao e com requisitos regulamentares e contratuais; 2) Requisitos de conscientizao, treinamento e educao em segurana da informao; 3) Gesto da continuidade do negcio; 4) Conseqncias das violaes na poltica de segurana da informao; e) Definio das responsabilidades gerais e especficas na gesto da segurana da informao, incluindo o registro dos incidentes de segurana da informao; f) Referncias documentao que possam apoiar a poltica. A PSI deve ser comunicada a todos (inclusive fora da organizao) de forma que seja relevante, acessvel e compreensvel para o leitor em foco. A PSI pode ser uma parte de um documento da poltica geral. A PSI deve ter um gestor. A anlise crtica inclui a avaliao de oportunidades para melhoria e deve ter procedimentos definidos. Suas entradas so: a) Realimentao das partes interessadas; b) Resultados de anlises crticas independentes (6.1.8); c) Situao de aes preventivas e corretivas (6.1.8 e 15.2.1); d) Resultados de anlises crticas anteriores feitas pela direo; e) Desempenho do processo e conformidade com a poltica de segurana da informao; f) Mudanas relevantes que possam afetar o enfoque da PSI (ambiente organizacional, circunstncias do negcio, disponibilidade dos recursos, questes contratuais,etc.) g) Tendncias relacionadas com as ameaas e vulnerabilidades; h) Relato sobre incidentes de segurana da informao (13.1); i) Recomendaes fornecidas por autoridades relevantes (6.1.6).
A anlise crtica pela direo deve incluir: a) Melhoria do enfoque da organizao para gerenciar a segurana da informao e seus processos; b) Melhoria dos controles e dos objetivos de controles; c) Melhoria na alocao de recursos e/ou de responsabilidades. A PSI revisada deve ser aprovada pela direo. Um registro da anlise crtica deve ser mantido pela direo.
Um processo de gesto de autorizao para novos recursos de processamento da informao deve ser definido e implementado.
Identificar e analisar criticamente os requisitos para confidencialidade ou acordos de no divulgao. Manter contatos apropriados com autoridades relevantes.
Manter contatos apropriados com grupos de interesses especiais ou fruns especializados de segurana da informao e associaes profissionais. Analisar criticamente, de forma independente, a intervalos planejados, ou quando ocorrerem mudanas significativas relativas implementao da segurana da informao,o enfoque da organizao
informao
Cobrir com requisitos de segurana da informao relevantes, os acordos com terceiros que envolvam acesso, processamento, comunicao ou gerenciamento dos recursos de processamento.
Em empresas pequenas, a coordenao pode ser conduzida por um frum de gesto adequado ou por um gestor individual. Um acordo de confidencialidade ou de no divulgao deve considerar (entre outros): a) Definio da informao a ser protegida (por ex, informao confidencial); b) Tempo de durao esperado de um acordo (pode ser por tempo indefinido); c) Aes requeridas quando um acordo est encerrado; d) Responsabilidades e aes dos signatrios para evitar a divulgao no autorizada da informao (como o conceito need to know); e) Direito de auditar e monitorar as atividades que envolvem as informaes confidenciais; f) Processo para notificao e relato de divulgao no autorizada ou violao das informaes confidenciais; g) Termos para a informao ser retornada ou destruda quando da suspenso do acordo; e h) Aes esperadas a serem tomadas no caso de uma violao deste acordo. Uma organizao pode usar diferentes formas de acordos de confidencialidade. Acordos de compartilhamento de informaes podem ser estabelecidos para melhorar a cooperao e coordenao de assuntos de segurana da informao. A anlise crtica deve ser executada por pessoas independentes da rea avaliada, como auditoria interna, um gerente independente ou uma organizao de terceira parte especializada em tais anlises crticas.
7. Gesto de Ativos
Modificada aps reviso em 2005, inclui novos tipos de ativos: Pessoas e suas qualificaes, habilidades e experincias; Intangveis, tais como a reputao e a imagem da organizao. Esta seo possui 2 categorias e 5 controles
7.2.Classificao da informao
Assegurar que a informao receba um nvel adequado de proteo. 7.2.1 Recomendaes para classificao Classificar a informao em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organizao.
Um ativo classificado e reclassificado ao longo do tempo. A responsabilidade pela classificao do proprietrio do ativo, assim como a anlise crtica regular. Tipos de ativos: a) Ativos de informao: base de dados e arquivos, contratos e acordos, documentao de sistema, informaes sobre pesquisa, manuais de usurio, material de treinamento, procedimentos de suporte ou operao, planos de continuidade do negcio, procedimentos de recuperao, trilhas de auditoria e informaes armazenadas; b) Ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitrios; c) Ativos fsicos: equipamentos computacionais, equipamentos de comunicao, mdias removveis e outros equipamentos; d) Servios: servios de computao e comunicaes, utilidades gerais, por exemplo aquecimento, iluminao, eletricidade e refrigerao; e) Pessoas e suas qualificaes, habilidades e experincias; f) Intangveis, tais como a reputao e a imagem da organizao. O proprietrio do ativo responsvel por: a) Assegurar que as informaes e os ativos associados com os recursos de processamento da informao estejam adequadamente classificados; b) Definir e periodicamente analisar criticamente as classificaes e restries ao acesso. O proprietrio pode ser designado para: a) Um processo do negcio; b) Um conjunto de atividades definidas; c) Uma aplicao; ou d) Um conjunto de dados definido. O rtulo atende tanto ativos fsicos como lgicos.
8. Segurana em RH
Com a reformulao de 2005, esta seo passou a acompanhar o funcionrio antes, durante e aps a contratao. Esta seo possui 3 categorias e 9 controles
Assegurar que os funcionrios, fornecedores e terceiros entendam suas responsabilidades, e estejam de acordo com os seus papis, e reduzir o risco de roubo, fraude ou mau uso de recursos. 8.1.1 Papis e responsabilidades 8.1.2 Seleo Definir e documentar os papis e responsabilidades pela segurana da informao de funcionrios, fornecedores e terceiros. Realizar verificaes de controle de todos os candidatos a emprego, fornecedores e terceiros de acordo com as leis, regulamentaes e ticas, e proporcional aos requisitos do negcio, classificao das informaes a serem acessadas e aos riscos percebidos. Assinatura de termos e condies de sua contratao para o trabalho, os quais devem declarar as suas responsabilidades e a da organizao para a segurana da informao pelos funcionrios, fornecedores e terceiros.
Assegurar que os funcionrios, fornecedores e terceiros esto conscientes das ameaas e preocupaes relativas segurana da informao, suas responsabilidades e obrigaes, e esto preparados para apoiar a poltica de segurana da informao da organizao durante os seus trabalhos normais, e para reduzir o risco de erro humano. 8.2.1 Responsabilidades da direo Direo solicita a funcionrios, fornecedores e terceiros que pratiquem a segurana da informao de acordo com o estabelecido nas polticas e procedimentos da organizao. Treinamento apropriado em conscientizao, e atualizaes regulares nas polticas e procedimentos organizacionais, relevantes para as suas funes para todos os funcionrios, e onde pertinente, fornecedores e terceiros. Processo disciplinar formal para os funcionrios que tenham cometido uma violao da segurana da informao.
Descries de cargos podem ser usadas para documentar responsabilidades e papis pela segurana da informao. As responsabilidades contidas nos termos e condies de contratao continuam por um perodo de tempo definido, aps o trmino da contratao onde apropriado. O processo disciplinar tambm usado como uma forma de dissuaso, para evitar que os funcionrios, fornecedores e terceiros violem os procedimentos e as polticas de segurana da informao da organizao, e quaisquer outras violaes na segurana. No caso em que um funcionrio, fornecedor ou terceiro compre o equipamento da organizao ou use o seu prprio equipamento pessoal, convm que procedimentos sejam adotados para assegurar que toda a informao relevante seja transferida para a organizao e que seja apagada de forma segura do equipamento. Os direitos de acesso aos ativos de informao e aos recursos de processamento da informao so reduzidos ou retirados antes que a atividade se encerre ou altere, dependendo da avaliao de fatores de risco, tais como: a) se o encerramento da atividade ou a mudana iniciada pelo funcionrio, fornecedor ou terceiro, ou pelo gestor e a razo do encerramento da atividade; b) as responsabilidades atuais do funcionrio, fornecedor ou qualquer outro usurio; c) valor dos ativos atualmente acessveis.
Prevenir o acesso fsico no autorizado, danos e interferncias com as instalaes e informaes da organizao. Utilizar permetros de segurana (barreiras tais como paredes, portes de entrada controlados por carto ou balces de recepo com recepcionistas) para proteger as reas que contenham informaes e instalaes de processamento da informao. As reas seguras so protegidas por controles apropriados de entrada para assegurar que somente pessoas autorizadas tenham acesso.
9.1.3 Segurana em escritrios, salas e instalaes 9.1.4 Proteo contra ameaa externa e do meio ambiente 9.1.5 Trabalhando em reas seguras 9.1.6 Acesso do pblico, reas de entrega e de carregamento
Projetar e aplicar proteo fsica contra incndios, enchentes, terremotos, exploses, perturbaes da ordem pblica e outras formas de desastres naturais ou causados pelo homem. Projetar e aplicar proteo fsica, bem como diretrizes para o trabalho em reas seguras. Os pontos de acesso (reas de entrega e de carregamento e outros pontos em que pessoas no autorizadas possam entrar nas instalaes) so controlados e, se possvel, isolados das instalaes de processamento da informao, para evitar o acesso no autorizado.
9.2.3 Segurana do cabeamento 9.2.4 Manuteno dos equipamentos 9.2.5 Reutilizao de equipamentos fora das dependncias da organizao 9.2.6 Reutilizao e alienao segura de equipamentos
Todos os equipamentos que contenham mdias de armazenamento de dados so examinados antes do descarte, para assegurar que todos os dados sensveis e softwares licenciados tenham sido removidos ou sobregravados com segurana. Equipamentos, informaes ou software no so retirados do local sem autorizao prvia.
So levadas em considerao todas as ameaas segurana representadas por instalaes vizinhas, por exemplo, um incndio em um edifcio vizinho, vazamento de gua do telhado ou em pisos do subsolo ou uma exploso na rua. Os controles para o trabalho em casa so determinados por uma anlise/avaliao de riscos, sendo aplicados controles adequados para cada caso, por exemplo, arquivos trancveis, poltica de mesa limpa, controles de acesso a computadores, e comunicao segura com o escritrio.
Modificaes nos recursos de processamento da informao e sistemas so controladas. Funes e reas de responsabilidade so segregadas para reduzir as oportunidades de modificao ou uso indevido no autorizado ou no intencional dos ativos da organizao. Recursos de desenvolvimento, teste e produo so separados para reduzir o risco de acessos ou modificaes no autorizadas aos sistemas operacionais.
10.2.2 Monitoramento e anlise crtica de servios terceirizados 10.2.3 Gerenciamento de mudanas para servios terceirizados
Polticas e procedimentos so desenvolvidos e implementados para proteger as informaes associadas com a interconexo de sistemas de informaes do negcio.
e divulgao e modificaes no autorizadas. 10.9.2 Transaes online Informaes envolvidas em transaes on-line so protegidas para prevenir transmisses incompletas, erros de roteamento, alteraes no autorizadas de mensagens, divulgao no autorizada, duplicao ou reapresentao de mensagem no autorizada. A integridade das informaes disponibilizadas em sistemas publicamente acessveis protegida para prevenir modificaes no autorizadas.
10.10. Monitoramento
Detectar atividades no autorizadas de processamento da informao. 10.10.1 Registros de auditoria Registros (log) de auditoria contendo atividades dos usurios, excees e outros eventos de segurana da informao so produzidos e mantidos por um perodo de tempo acordado para auxiliar em futuras investigaes e monitoramento de controle de acesso. Estabelecer procedimentos para o monitoramento do uso dos recursos de processamento da informao e os resultados das atividades de monitoramento que so analisados criticamente, de forma regular. Recursos e informaes de registros (log) so protegidos contra falsificao e acesso no autorizado.
10.10.3 Proteo das informaes dos registros (log) 10.10.4 Registros (log) de administrador e operador 10.10.5 Registro (log) de falhas 10.10.6 Sincronizao dos relgios
As falhas ocorridas so registradas e analisadas, e que so adotadas aes apropriadas. Os relgios de todos os sistemas de processamento da informao relevantes, dentro da organizao ou do domnio de segurana, so sincronizados de acordo com uma hora oficial.
0
11.1. Requisitos de negcio para controle de acesso
Controlar o acesso informao. 11.1.1 Poltica de controle de acesso A poltica de controle de acesso estabelecida, documentada e analisada criticamente, tomando-se a base dos requisitos de acesso dos negcios e segurana da informao.
servios. 11.2.2 Gerenciamento de privilgios 11.2.3 Gerenciamento de senha do usurio 11.2.4 Anlise crtica dos direitos de acesso de usurio A concesso e o uso de privilgios so restritos e controlados.
A concesso de senhas controlada atravs de um processo de gerenciamento formal. O gestor conduz a intervalos regulares a anlise crtica dos direitos de acesso dos usurios, por meio de um processo formal.
11.3.2 Equipamentos de usurio sem monitorao 11.3.3 Poltica de mesa limpa e tela limpa
adotada uma poltica de mesa limpa de papis e mdias de armazenamento removvel e poltica de tela limpa para os recursos de processamento da informao.
11.4.4 Proteo e configurao de portas de diagnsticos remotas 11.4.5 Segregao de redes 11.4.6 Controle de conexes de rede
Grupos de servios de informao, usurios e sistemas de informao so segredados em redes. Para redes compartilhadas, especialmente essas que se estendem pelos limites da organizao, a capacidade dos usurios para conectar-se rede restrita, alinhada com a poltica de controle de acesso e os requisitos das aplicaes do negcio (ver 11.1). implementado controle de roteamento na rede, para assegurar que as conexes de computador e fluxos de informao no violem a poltica de controle de acesso das aplicaes do negcio.
Todos os usurios tm um identificador nico (ID de usurio) para uso pessoal e exclusivo, e convm que uma tcnica adequada de autenticao seja escolhida para validar a identidade alegada por um usurio. Sistemas para gerenciamento de senhas so interativos e asseguram senhas de qualidade. O uso de programas utilitrios, que podem ser capazes de sobrepor os controles dos sistemas e aplicaes, restritos e estritamente controlado. Terminais inativos so desconectados aps um perodo definido de inatividade. Restries nos horrios de conexo so utilizadas para proporcionar segurana adicional para aplicaes de alto risco.
11.5.5 Desconexo de terminal por inatividade 11.5.6 Limitao de horrio para conexo
Os dados de entrada de aplicaes so validados para garantir que so corretos e apropriados. So incorporadas, nas aplicaes, checagens de validao com o objetivo de detectar qualquer corrupo de informaes, por erros ou por aes deliberadas. Requisitos para garantir a autenticidade e proteger a integridade das mensagens em aplicaes so identificados e os controles apropriados so identificados e implementados. Os dados de sada das aplicaes so validados para assegurar que o processamento das informaes armazenadas est correto e apropriado s circunstncias.
Um processo de gerenciamento de chaves implantado para apoiar o uso de tcnicas criptogrficas pela organizao.
Aplicaes crticas de negcios so analisadas criticamente e testadas quando sistemas operacionais so mudados, para garantir que no haver nenhum impacto adverso na operao da organizao ou na segurana. Modificaes em pacotes de software no so incentivadas e limitadas s mudanas necessrias e todas as mudanas so estritamente controladas. Oportunidades para vazamento de informaes so prevenidas.
obtida informao em tempo hbil sobre vulnerabilidades tcnicas dos sistemas de informao em uso, avaliada a exposio da organizao a estas vulnerabilidades e tomadas as medidas apropriadas para lidar com os riscos associados.
Assegurar que fragilidades e eventos de segurana da informao associados com sistemas de informao sejam comunicados, permitindo a tomada de ao corretiva em tempo hbil. Os eventos de segurana da informao so relatados atravs dos canais apropriados da direo, o mais rapidamente possvel.
Os funcionrios, fornecedores e terceiros de sistemas e servios de informao so instrudos a registrar e notificar qualquer observao ou suspeita de fragilidade em sistemas ou servios.
Nos casos em que uma ao de acompanhamento contra uma pessoa ou organizao, aps um incidente de segurana da informao, envolver uma ao legal (civil ou criminal), evidncias so coletadas, armazenadas e apresentadas em conformidade com as normas de armazenamento de evidncias da jurisdio(es) pertinente(s).
Identificar os eventos que podem causar interrupes aos processos de negcio, junto a probabilidade e impacto de tais interrupes e as conseqncias para a segurana de informao.
e implementao de planos de continuidade relativos segurana da informao 14.1.4 Estrutura do plano de continuidade do negcio
recuperao das operaes e para assegurar a disponibilidade da informao no nvel requerido e na escala de tempo requerida, aps a ocorrncia de interrupes ou falhas dos processos crticos do negcio.
Uma estrutura bsica dos planos de continuidade do negcio mantida para assegurar que todos os planos so consistentes, para contemplar os requisitos de segurana da informao e para identificar prioridades para testes e manuteno. Os planos de continuidade do negcio so testados e atualizados regularmente, de forma a assegurar sua permanente atualizao e efetividade.
15. Conformidade
Esta seo possui 3 categorias e 10 controles
15.1.3 Proteo de registros organizacionais 15.1.4 Proteo de dados e privacidade de informaes pessoais 15.1.5 Preveno de mau uso de recursos de processamento da informao 15.1.6 Regulamentao de controles de criptografia
Controles de criptografia so usados em conformidade com todas as leis, acordos e regulamentaes relevantes.
implementadas.