ABNT NBR ISO/IEC 2!!2 Prticas para um SGSI: O;Deti3os de contro'e e contro'es
!# INTRO7)EFO ,# OB2ETI0O 2# TER(OS E 7E%INIEGES A# ESTR)T)RA 7A NOR(A +# ANH6ISE/A0A6IAEFO E TRATA(ENTO 7E RISCOS @# "O6ITICA 7E SEG)RANEA 7A IN%OR(AEFO B# ORGANIJAN7O A SEG)RANEA 7A IN%OR(AEFO # GESTFO 7E ATI0OS K# SEG)RANEA E( REC)RSOS L)(ANOS ># SEG)RANEA %ISICA E 7O A(BIENTE ,!# GERENCIA(ENTO 7AS O"ERAEGES E CO()NICAEGES ,,# CONTRO6E 7E ACESSOS ,2# AM)ISIEFO4 7ESEN0O60I(ENTO E (AN)TENEFO 7E SISTE(AS ,A# GESTFO 7E INCI7ENTES 7E SEG)RANEA 7A IN%OR(AEFO ,+# GESTFO 7A CONTIN)I7A7E 7O NEGNCIO ,@# CON%OR(I7A7E 27002 - Estrutura
0 Introduo 1 A informao O um ati3o =ue4 como =ua'=uer outro ati3o im/ortante4 O essencia' /ara os negcios de uma organiCao e conse=Pentemente necessita ser ade=uadamente /rotegida# 1 A informao /ode ser im/ressa ou escrita em /a/e'4 armaCenada e'etronicamente4 transmitida /e'o correio ou /or meios e'etrQnicos4 a/resentada em fi'mes ou fa'ada em con3ersas# 1 Segurana da informao O a /roteo da informao de 3?rios ti/os de ameaas /ara garantir a continuidade do negcio4 minimiCar o risco ao negcio4 ma8imiCar o retorno so;re os in3estimentos e as o/ortunidades de negcio#
1 A segurana da informao O o;tida a /artir da im/'ementao de um conDunto de contro'es ade=uados4 inc'uindo /o'Rticas4 /rocessos4 /rocedimentos4 estruturas organiCacionais e funSes de soft:are e $ard:are# 1 Estes contro'es /recisam ser EIO(A((# 1 %ontes de re=uisitos de SI5 T An?'ise/A3a'iao de Riscos. T 6egis'ao e normas 3igentes. T "rincR/ios e o;Deti3os de negcio# 0 Introduo
0 Introduo 1 Os re=uisitos de segurana da informao so identificados /or meio de uma an?'ise/a3a'iao sistem?tica dos riscos de segurana da informao# 1 Os gastos com os contro'es /recisam ser ;a'anceados de acordo com os danos causados aos negcios gerados /e'as /otenciais fa'$as na segurana da informao# 1 Con3Om =ue a an?'ise/a3a'iao de riscos seDa re/etida /eriodicamente /ara contem/'ar =uais=uer mudanas =ue /ossam inf'uenciar os resu'tados desta an?'ise/a3a'iao#
Se!eo de contro!es: 1 Os contro'es /odem ser se'ecionados a /artir desta Norma ou de um outro conDunto de contro'es ou no3os contro'es /odem ser desen3o'3idos /ara atender Us necessidades es/ecRficas4 conforme a/ro/riado. 1 A se'eo de contro'es de segurana da informao de/ende das decisSes da organiCao4 ;aseadas nos critOrios /ara aceitao de risco4 nas o/Ses /ara tratamento do risco e no enfo=ue gera' da gesto de risco a/'icado U organiCao. 1 Con3Om serem o;ser3ados re=uisitos de conformidade# 0 Introduo
0 Introduo Ponto de partida para a SI: Os contro'es considerados essenciais /ara uma organiCao4 so; o /onto de 3ista 'ega'4 inc'uem4 de/endendo da 'egis'ao a/'ic?3e'5 a- /roteo de dados e /ri3acidade de informaSes /essoais. ;- /roteo de registros organiCacionais. c- direitos de /ro/riedade inte'ectua'# Os contro'es considerados /r?ticas /ara a SI inc'uem5 a- documento da /o'Rtica de segurana da informao. ;- atri;uio de res/onsa;i'idades /ara a SI. c- conscientiCao4 educao e treinamento em SI.
0 Introduo d- /rocessamento correto nas a/'icaSes. e- gesto de 3u'nera;i'idades tOcnicas. f- gesto da continuidade do negcio. g- gesto de incidentes de SI e me'$orias# 1 Esses contro'es se a/'icam /ara a maioria das organiCaSes e na maioria dos am;ientes# 1 A/esar deste ser um /onto de /artida4 O recomend?3e' a se'eo de contro'es com ;ase na an?'ise/a3a'iao de riscos#
"atores cr#ticos de sucesso: a- /o'Rtica de segurana da informao4 o;Deti3os e ati3idades4 =ue ref'itam os o;Deti3os do negcio. ;- uma a;ordagem e uma estrutura /ara a im/'ementao4 manuteno4 monitoramento e me'$oria da segurana da informao =ue seDa consistente com a cu'tura organiCaciona'. c- com/rometimento e a/oio 3isR3e' dos nR3eis gerenciais. d- um ;om entendimento dos re=uisitos de segurana da informao4 da an?'ise/a3a'iao de riscos e da gesto de risco. 0 Introduo
0 Introduo e- di3u'gao eficiente da segurana da informao /ara todos os gerentes4 funcion?rios e outras /artes en3o'3idas /ara se a'canar a conscientiCao. f- distri;uio de diretriCes e normas so;re a /o'Rtica de segurana da informao /ara todos os gerentes4 funcion?rios e outras /artes en3o'3idas. g- /ro3iso de recursos financeiros /ara as ati3idades da gesto de segurana da informao.
0 Introduo $- /ro3iso de conscientiCao4 treinamento e educao ade=uados. i- esta;e'ecimento de um eficiente /rocesso de gesto de incidentes de segurana da informao. D- im/'ementao de um sistema de medio4 =ue seDa usado /ara a3a'iar o desem/en$o da gesto da segurana da informao e o;teno de sugestSes /ara a me'$oria#
$ O%&eti'o Esta Norma esta;e'ece diretriCes e /rincR/ios gerais /ara II(an(e a gesto de segurana da informao em uma organiCao# Os o;Deti3os definidos nesta Norma /ro3Vem diretriCes gerais so;re as metas gera'mente aceitas /ara a gesto da segurana da informao# II(an(e5 iniciar4 im/'ementar4 manter e me'$orar
2 (ermos e defini)es 2*$ ati'o =ua'=uer coisa =ue ten$a 3a'or /ara a organiCao 2*2 contro!e forma de gerenciar o risco4 inc'uindo /o'Rticas4 /rocedimentos4 diretriCes4 /r?ticas ou estruturas organiCacionais4 =ue /odem ser de natureCa administrati3a4 tOcnica4 de gesto ou 'ega' NOTA5 Contro'e O tam;Om usado como um sinQmino /ara /roteo ou contramedida# 2*+ diretri, descrio =ue orienta o =ue de3e ser feito e como4 /ara se a'canarem os o;Deti3os esta;e'ecidos nas /o'Rticas
2 (ermos e defini)es 2*- recursos de processamento da informao =ua'=uer sistema de /rocessamento da informao4 ser3io ou infra1estrutura4 ou as insta'aSes fRsicas =ue os a;riguem 2*. segurana da informao /reser3ao da confidencia'idade4 da integridade e da dis/oni;i'idade da informao. adiciona'mente4 outras /ro/riedades4 tais como autenticidade4 res/onsa;i'idade4 no re/Wdio e confia;i'idade4 /odem tam;Om estar en3o'3idas
2 (ermos e defini)es 2*/ e'ento de segurana da informao ocorrVncia identificada de um sistema4 ser3io ou rede4 =ue indica uma /ossR3e' 3io'ao da /o'Rtica de segurana da informao ou fa'$a de contro'es4 ou uma situao /re3iamente descon$ecida4 =ue /ossa ser re'e3ante /ara a segurana da informao 2*7 incidente de segurana da informao um incidente de segurana da informao O indicado /or um sim/'es ou /or uma sOrie de e3entos de segurana da informao indeseDados ou ines/erados4 =ue ten$am uma grande /ro;a;i'idade de com/rometer as o/eraSes do negcio e ameaar a segurana da informao 2*0 po!#tica intenSes e diretriCes g'o;ais forma'mente e8/ressas /e'a direo
2 (ermos e defini)es 2*1 risco com;inao da /ro;a;i'idade de um e3ento e de suas conse=PVncias 2*$0 an!ise de riscos uso sistem?tico de informaSes /ara identificar fontes e estimar o risco 2*$$ an!ise2a'a!iao de riscos /rocesso com/'eto de an?'ise e a3a'iao de riscos 2*$2 a'a!iao de riscos /rocesso de com/arar o risco estimado com critOrios de risco /rO1definidos /ara determinar a im/ortXncia do risco
2 (ermos e defini)es 2*$+ gesto de riscos ati3idades coordenadas /ara direcionar e contro'ar uma organiCao no =ue se refere a riscos NOTA5 A gesto de riscos gera'mente inc'ui a an?'ise/a3a'iao de riscos4 o tratamento de riscos4 a aceitao de riscos e a comunicao de riscos# 2*$- tratamento do risco /rocesso de se'eo e im/'ementao de medidas /ara modificar um risco 2*$. terceira parte /essoa ou organismo recon$ecido como inde/endente das /artes en3o'3idas4 no =ue se refere a um dado assunto
2*$/ ameaa causa /otencia' de um incidente indeseDado4 =ue /ode resu'tar em dano /ara um sistema ou organiCao 2*$7 'u!nera%i!dade fragi'idade de um ati3o ou gru/o de ati3os =ue /ode ser e8/'orada /or uma ou mais ameaas 2 (ermos e defini)es
+ Estrutura 1 ,, seSes de contro'es de segurana 4 tota'iCando A> categorias /rinci/ais de segurana e seo /re'iminar =ue trata a an?'ise/a3a'iao e o tratamento de riscos# 1 A norma a/resenta A> o;Deti3os de contro'e *categorias- e ,AA contro'es de segurana# 1 A ordem das seSes no segue grau de im/ortXncia 4 ficando a cargo de cada organiCao identificar as seSes a/'ic?3eis e a re'e3Xncia de cada uma# 1 Cada categoria /rinci/a' de segurana da informao contOm um o;Deti3o de contro'e =ue define o =ue de3e ser a'canado. e um ou mais contro'es =ue /odem ser a/'icados /ara se a'canar o o;Deti3o do contro'e#
Estrutura das Se)es 1 O;Deti3o do contro'e5 o =ue de3e ser a'canado. 1 Contro'e5 contro'e a ser im/'ementado /ara atender o o;Deti3o do contro'e. 1 7iretriCes5 informaSes mais deta'$adas /ara a/oiar a im/'ementao do contro'e. 1 InformaSes adicionais5 informaSes =ue /odem ser consideradas na im/'ementao do contro'e4 tais como as/ectos 'egais e referVncias a outras normas# + Estrutura
- An!*2A'a!* E (ratamento de 3iscos 1 Con3Om =ue as an?'ises/a3a'iaSes de riscos identifi=uem4 =uantifi=uem e /rioriCem os riscos com ;ase em critOrios /ara aceitao dos riscos e dos o;Deti3os re'e3antes /ara a organiCao# 1 Con3Om =ue a an?'ise/a3a'iao de riscos inc'ua um enfo=ue sistem?tico de estimar a magnitude do risco *an?'ise de riscos- e o /rocesso de com/arar os riscos estimados contra os critOrios de risco /ara determinar a significXncia do risco *a3a'iao do risco-# 1 Con3Om =ue as an?'ises/a3a'iaSes de riscos tam;Om seDam rea'iCadas /eriodicamente4 /ara contem/'ar as mudanas nos re=uisitos de segurana da informao e na situao de risco4 ou seDa4 nos ati3os4 ameaas4 3u'nera;i'idades4 im/actos4 a3a'iao do risco e =uando uma mudana significati3a ocorrer#
- An!*2A'a!* E (ratamento de 3iscos 1 Antes de considerar o tratamento de um risco4 a organiCao de3e definir os critOrios /ara a3a'iar se os riscos /odem ser ou no aceitos. 1 "ara cada risco identificado4 uma deciso de tratamento de3e ser tomada. 1 O/Ses de tratamento5 TA/'icar contro'es /ara a reduo do risco. TCon$ecer o;Deti3amente e aceitar o risco. TE3itar os riscos4 /roi;indo aSes =ue /ossam causar o risco. TTransferir /ara outras /artes *E85 Seguradoras-#
. Po!#tica de Segurana da Informao .*$ Po!#tica de segurana da informao O%&eti'o5 "ro3er uma orientao e a/oio da direo /ara a segurana da informao de acordo com os re=uisitos do negcio e com as 'eis e regu'amentaSes re'e3antes# @#,#, 7ocumento da /o'Rtica de segurana da informao 4ontro!e: Con3Om =ue um documento da /o'Rtica de segurana da informao seDa a/ro3ado /e'a direo4 /u;'icado e comunicado /ara todos os funcion?rios e /artes e8ternas re'e3antes# @#,#2 An?'ise crRtica da /o'Rtica de segurana da informao 4ontro!e: Con3Om =ue a /o'Rtica de segurana da informao seDa ana'isada criticamente a inter3a'os /'aneDados ou =uando mudanas significati3as ocorrerem4 /ara assegurar a sua contRnua /ertinVncia4 ade=uao e efic?cia#
/ - Organi,ando a segurana da informao /*$ Infra-estrutura da segurana da informao O%&eti'o5 Gerenciar a segurana da informao dentro da organiCao# B#,#, Com/rometimento da direo com a segurana da informao 4ontro!e: Con3Om =ue a direo a/ie ati3amente a segurana da informao dentro da organiCao4 /or meio de um c'aro direcionamento4 demonstrando o seu com/rometimento4 definindo atri;uiSes de forma e8/'Rcita e con$ecendo as res/onsa;i'idades /e'a segurana da informao#
/ - Organi,ando a segurana da informao
B#,#2 Coordenao da segurana da informao 4ontro!e5 Con3Om =ue as ati3idades de segurana da informao seDam coordenadas /or re/resentantes de diferentes /artes da organiCao4 com funSes e /a/Ois re'e3antes# B#,#A Atri;uio de res/onsa;i'idades /ara a segurana da informao 4ontro!e5 Con3Om =ue todas as res/onsa;i'idades /e'a segurana da informao esteDam c'aramente definidas# B#,#+ "rocesso de autoriCao /ara os recursos de /rocessamento da informao 4ontro!e: Con3Om =ue seDa definido e im/'ementado um /rocesso de gesto de autoriCao /ara no3os recursos de /rocessamento da informao#
/ - Organi,ando a segurana da informao
B#,#@ Acordos de confidencia'idade 4ontro!e: 4on'5m 6ue os re6uisitos para confidencia!idade ou acordos de no di'u!gao 6ue ref!itam as necessidades da organi,ao para a proteo da informao se&am identificados e ana!isados criticamente7 de forma regu!ar* B#,#B Contato com autoridades 4ontro!e5 Con3Om =ue contatos a/ro/riados com autoridades re'e3antes seDam mantidos# B#,# Contato com gru/os es/eciais 4ontro!e5 Con3Om =ue seDam mantidos contatos a/ro/riados com gru/os de interesses es/eciais ou outros fruns es/ecia'iCados de segurana da informao e associaSes /rofissionais#
/ - Organi,ando a segurana da informao /*2 Partes e8ternas O%&eti'o5 (anter a segurana dos recursos de /rocessamento da informao e da informao da organiCao4 =ue so acessados4 /rocessados4 comunicados ou gerenciados /or /artes e8ternas#
B#2#, Identificao dos riscos re'acionados com /artes e8ternas 4ontro!e: Con3Om =ue os riscos /ara os recursos de /rocessamento da informao e da informao da organiCao oriundos de /rocessos do negcio =ue en3o'3a as /artes e8ternas seDam identificados e contro'es a/ro/riados im/'ementados antes de se conceder o acesso#
/ - Organi,ando a segurana da informao
B#2#2 Identificando a segurana da informao4 =uando tratando com os c'ientes 4ontro!e: Con3Om =ue todos os re=uisitos de segurana da informao identificados seDam considerados antes de conceder aos c'ientes o acesso aos ati3os ou Us informaSes da organiCao# B#2#A Identificando segurana da informao nos acordos com terceiros 4ontro!e: Con3Om =ue os acordos com terceiros en3o'3endo o acesso4 /rocessamento4 comunicao ou gerenciamento dos recursos de /rocessamento da informao ou da informao da organiCao4 ou o acrOscimo de /rodutos ou ser3ios aos recursos de /rocessamento da informao cu;ram todos os re=uisitos de segurana da informao re'e3antes#
7 Gesto de ati'os 7*$ 3esponsa%i!idade pe!os ati'os
O%&eti'o5 A'canar e manter a /roteo ade=uada dos ati3os da organiCao# #,#, In3ent?rio dos ati3os 4ontro!e: Con3Om =ue todos os ati3os seDam c'aramente identificados e um in3ent?rio de todos os ati3os im/ortantes seDa estruturado e mantido# #,#2 "ro/riet?rio dos ati3os 4ontro!e5 Con3Om =ue todas as informaSes e ati3os associados com os recursos de /rocessamento da informao ten$am um /ro/riet?rio
designado /or uma /arte definida da organiCao# #,#A )so aceit?3e' dos ati3os 4ontro!e5 Con3Om =ue seDam identificadas4 documentadas e im/'ementadas regras /ara =ue seDam /ermitidos o uso de informaSes e de ati3os associados aos recursos de /rocessamento da informao#
7 Gesto de ati'os 7*2 4!assificao da informao O%&eti'o5 Assegurar =ue a informao rece;a um nR3e' ade=uado de /roteo# #2#, RecomendaSes /ara c'assificao 4ontro!e: Con3Om =ue a informao seDa c'assificada em termos do seu 3a'or4 re=uisitos 'egais4 sensi;i'idade e criticidade /ara a organiCao# #2#2 Rtu'os e tratamento da informao 4ontro!e: Con3Om =ue um conDunto a/ro/riado de /rocedimentos /ara rotu'ao e tratamento da informao seDa definido e im/'ementado de acordo com o es=uema de c'assificao adotado /e'a organiCao#
InformaSes adicionais5 E8istem 3?rios ti/os de ati3os4 inc'uindo5 a- ati'os de informao5 ;ase de dados e ar=ui3os4 contratos e acordos4 documentao de sistema4 informaSes so;re /es=uisa4 manuais de usu?rio4 dados armaCenados4 /'anos e /rocedimentos4 etc. ;- ati'os de soft9are5 a/'icati3os4 sistemas4 ferramentas de desen3o'3imento e uti'it?rios. c- ati'os f#sicos5 e=ui/amentos com/utacionais4 e=ui/amentos de comunicao4 mRdias remo3R3eis e outros e=ui/amentos. d- ser'ios5 ser3ios de com/utao e comunicaSes4 uti'idades gerais4 /or e8em/'o a=uecimento4 i'uminao4 e'etricidade e refrigerao. e- pessoas e suas 6ua!ifica)es4 $a;i'idades e e8/eriVncias. f- intang#'eis4 tais como a re/utao e a imagem da organiCao 7 Gesto de ati'os
0 - Segurana em recursos :umanos 0*$ Antes da contratao O%&eti'o5 Assegurar =ue os funcion?rios4 fornecedores e terceiros entendam suas res/onsa;i'idades e esteDam de acordo com os seus /a/Ois4 e reduCir o risco de rou;o4 fraude ou mau uso de recursos# K#,#, "a/Ois e res/onsa;i'idades 4ontro!e5 Con3Om =ue /a/Ois e res/onsa;i'idades /e'a segurana da informao de funcion?rios4 fornecedores e terceiros seDam definidos e documentados de acordo com a /o'Rtica de segurana da informao da organiCao#
0 - Segurana em recursos :umanos K#,#2 Se'eo 4ontro!e: Con3Om =ue 3erificaSes de contro'e de todos os candidatos a em/rego4 fornecedores e terceiros seDam rea'iCadas de acordo com as 'eis re'e3antes4 regu'amentaSes e Oticas4 e /ro/orciona' aos re=uisitos do negcio4 U c'assificao das informaSes a serem acessadas e aos riscos /erce;idos# K#,#A Termos e condiSes de contratao 4ontro!e5 Como /arte das suas o;rigaSes contratuais4 con3Om =ue os funcion?rios4 fornecedores e terceiros concordem e assinem os termos e condiSes de sua contratao /ara o tra;a'$o4 os =uais de3em dec'arar as suas res/onsa;i'idades e a da organiCao /ara a segurana da informao
0 - Segurana em recursos :umanos 0*2 ;urante a contratao O%&eti'o5 Assegurar =ue os funcion?rios4 fornecedores e terceiros esto conscientes das ameaas e /reocu/aSes re'ati3as U segurana da informao4 suas res/onsa;i'idades e o;rigaSes4 e esto /re/arados /ara a/oiar a /o'Rtica de segurana da informao da organiCao durante os seus tra;a'$os normais4 e /ara reduCir o risco de erro $umano# K#2#, Res/onsa;i'idades da direo 4ontro!e: Con3Om =ue a direo so'icite aos funcion?rios4 fornecedores e terceiros =ue /rati=uem a segurana da informao de acordo com o esta;e'ecido nas /o'Rticas e /rocedimentos da organiCao#
0 - Segurana em recursos :umanos K#2#2 ConscientiCao4 educao e treinamento em segurana da informao 4ontro!e: Con3Om =ue todos os funcion?rios da organiCao e4 onde /ertinente4 fornecedores e terceiros rece;am treinamento a/ro/riados em conscientiCao4 e atua'iCaSes regu'ares nas /o'Rticas e /rocedimentos organiCacionais4 re'e3antes /ara as suas funSes# K#2#A "rocesso disci/'inar 4ontro!e5 Con3Om =ue e8ista um /rocesso disci/'inar forma' /ara os funcion?rios =ue ten$am cometido uma 3io'ao da segurana da informao#
0 - Segurana em recursos :umanos 0*+ Encerramento ou mudana da contratao O%&eti'o5 Assegurar =ue funcion?rios4 fornecedores e terceiros dei8em a organiCao ou mudem de tra;a'$o de forma ordenada# K#A#, Encerramento de ati3idades 4ontro!e: Con3Om =ue res/onsa;i'idades /ara rea'iCar o encerramento ou a mudana de um tra;a'$o seDam c'aramente definidas e atri;uRdas# K#A#2 7e3o'uo de ati3os 4ontro!e5 Con3Om =ue todos os funcion?rios4 fornecedores e terceiros de3o'3am todos os ati3os da organiCao =ue esteDam em sua /osse4 a/s o encerramento de suas ati3idades4 do contrato ou acordo#
0 - Segurana em recursos :umanos 0*+ Encerramento ou mudana da contratao K#A#A Retirada de direitos de acesso 4ontro!e: Con3Om =ue os direitos de acesso de todos os funcion?rios4 fornecedores e terceiros Us informaSes e aos recursos de /rocessamento da informao seDam retirados a/s o encerramento de suas ati3idades4 contratos ou acordos4 ou aDustado a/s a mudana destas ati3idades#
1 - Segurana f#sica e do am%iente 1*$ <reas seguras O%&eti'o5 "re3enir o acesso fRsico no autoriCado4 danos e interferVncias com as insta'aSes e informaSes da organiCao# >#,#, "erRmetro de segurana fRsica 4ontro!e: Con3Om =ue seDam uti'iCados /erRmetros de segurana *;arreiras tais como /aredes4 /ortSes de entrada contro'ados /or carto ou ;a'cSes de rece/o com rece/cionistas- /ara /roteger as ?reas =ue conten$am informaSes e insta'aSes de /rocessamento da informao#
1 - Segurana f#sica e do am%iente >#,#2 Contro'es de entrada fRsica 4ontro!e: Con3Om =ue as ?reas seguras seDam /rotegidas /or contro'es a/ro/riados de entrada /ara assegurar =ue somente /essoas autoriCadas ten$am acesso# >#,#A Segurana em escritrios4 sa'as e insta'aSes 4ontro!e5 Con3Om =ue seDa /roDetada e a/'icada segurana fRsica /ara escritrios4 sa'as e insta'aSes# >#,#+ "roteo contra ameaas e8ternas e do meio am;iente 4ontro!e5 Con3Om =ue seDam /roDetadas e a/'icadas /roteo fRsica contra incVndios4 enc$entes4 terremotos4 e8/'osSes4 /ertur;aSes da ordem /W;'ica e outras formas de desastres naturais ou causados /e'o $omem#
1 - Segurana f#sica e do am%iente >#,#@ Tra;a'$ando em ?reas seguras 4ontro!e5 Con3Om =ue seDa /roDetada e a/'icada /roteo fRsica4 ;em como diretriCes /ara o tra;a'$o em ?reas seguras# >#,#B Acesso do /W;'ico4 ?reas de entrega e de carregamento 4ontro!e: Con3Om =ue os /ontos de acesso4 tais como ?reas de entrega e de carregamento e outros /ontos em =ue /essoas no autoriCadas /ossam entrar nas insta'aSes4 seDam contro'ados e4 se /ossR3e'4 iso'ados das insta'aSes de /rocessamento da informao4 /ara e3itar o acesso no autoriCado#
1 - Segurana f#sica e do am%iente 1*2 Segurana de E6uipamentos O%&eti'o5 Im/edir /erdas4 danos4 furto ou com/rometimento de ati3os e interru/o das ati3idades da organiCao# >#2#, Insta'ao e /roteo do e=ui/amento 4ontro!e5 Con3Om =ue os e=ui/amentos seDam co'ocados no 'oca' ou /rotegidos /ara reduCir os riscos de ameaas e /erigos do meio am;iente4 ;em como as o/ortunidades de acesso no autoriCado# >#2#2 )ti'idades 4ontro!e: Con3Om =ue os e=ui/amentos seDam /rotegidos contra fa'ta de energia e'Otrica e outras interru/Ses causadas /or fa'$as das uti'idades#
1 - Segurana f#sica e do am%iente >#2#A Segurana do ca;eamento 4ontro!e: Con3Om =ue o ca;eamento de energia e de te'ecomunicaSes =ue trans/orta dados ou d? su/orte aos ser3ios de informaSes seDa /rotegido contra interce/tao ou danos# >#2#+ (anuteno dos e=ui/amentos 4ontro!e: Con3Om =ue os e=ui/amentos ten$am uma manuteno correta /ara assegurar sua dis/oni;i'idade e integridade /ermanentes# >#2#@ Segurana de e=ui/amentos fora das de/endVncias da organiCao 4ontro!e: Con3Om =ue seDam tomadas medidas de segurana /ara e=ui/amentos =ue o/erem fora do 'oca'4 'e3ando em conta os diferentes riscos decorrentes do fato de se tra;a'$ar fora das de/endVncias da organiCao#
1 - Segurana f#sica e do am%iente >#2#B Reuti'iCao e a'ienao segura de e=ui/amentos 4ontro!e5 Con3Om =ue todos os e=ui/amentos =ue conten$am mRdias de armaCenamento de dados seDam e8aminados antes do descarte4 /ara assegurar =ue todos os dados sensR3eis e soft:ares 'icenciados ten$am sido remo3idos ou so;regra3ados com segurana >#2# Remoo de /ro/riedade 4ontro!e5 Con3Om =ue e=ui/amentos4 informaSes ou software no seDam retirados do 'oca' sem autoriCao /rO3ia#
$0 Gerenciamento das opera)es e comunica)es $0*$ Procedimentos e responsa%i!idades operacionais O%&eti'o5 Garantir a o/erao segura e correta dos recursos de /rocessamento da informao# ,!#,#, 7ocumentao dos /rocedimentos de o/erao 4ontro!e5 Con3Om =ue os /rocedimentos de o/erao seDam documentados4 mantidos atua'iCados e dis/onR3eis a todos os usu?rios =ue de'es necessitem# ,!#,#2 Gesto de mudanas 4ontro!e5 Con3Om =ue modificaSes nos recursos de /rocessamento da informao e sistemas seDam contro'adas#
$0 Gerenciamento das opera)es e comunica)es ,!#,#A Segregao de funSes 4ontro!e: Con3Om =ue funSes e ?reas de res/onsa;i'idade seDam segregadas /ara reduCir as o/ortunidades de modificao ou uso inde3ido no autoriCado ou no intenciona' dos ati3os da organiCao# ,!#,#+ Se/arao dos recursos de desen3o'3imento4 teste e de /roduo 4ontro!e5 Con3Om =ue recursos de desen3o'3imento4 teste e /roduo seDam se/arados /ara reduCir o risco de acessos ou modificaSes no autoriCadas aos sistemas o/eracionais#
$0 Gerenciamento das opera)es e comunica)es $0*2 Gerenciamento de ser'ios terceiri,ados O%&eti'o5 Im/'ementar e manter o nR3e' a/ro/riado de segurana da informao e de entrega de ser3ios em consonXncia com acordos de entrega de ser3ios terceiriCados# ,!#2#, Entrega de ser3ios 4ontro!e5 Con3Om =ue seDa garantido =ue os contro'es de segurana4 as definiSes de ser3io e os nR3eis de entrega inc'uRdos no acordo de entrega de ser3ios terceiriCados seDam im/'ementados4 e8ecutados e mantidos /e'o terceiro# ,!#2#2 (onitoramento e an?'ise crRtica de ser3ios terceiriCados 4ontro!e5 Con3Om =ue os ser3ios4 re'atrios e registros fornecidos /or terceiro seDam regu'armente monitorados e ana'isados criticamente4 e =ue auditorias seDam e8ecutadas regu'armente#
$0 Gerenciamento das opera)es e comunica)es ,!#2#A Gerenciamento de mudanas /ara ser3ios terceiriCados 4ontro!e: Con3Om =ue mudanas no /ro3isionamento dos ser3ios4 inc'uindo manuteno e me'$oria da /o'Rtica de segurana da informao4 /rocedimentos e contro'es e8istentes4 seDam gerenciadas 'e3ando1se em conta a criticidade dos sistemas e /rocessos de negcio en3o'3idos e a rean?'ise/rea3a'iao de riscos#
$0 Gerenciamento das opera)es e comunica)es $0*+ P!ane&amento e aceitao de sistemas O%&eti'o5 (inimiCar o risco de fa'$as nos sistemas# ,!#A#, Gesto de ca/acidade 4ontro!e5 Con3Om =ue uti'iCao dos recursos seDa monitorada e sincroniCada e as /roDeSes feitas /ara necessidades de ca/acidade futura4 /ara garantir o desem/en$o re=uerido do sistema# ,!#A#2 Aceitao de sistemas 4ontro!e5 Con3Om =ue seDam esta;e'ecidos critOrios de aceitao /ara no3os sistemas4 atua'iCaSes e no3as 3ersSes4 e =ue seDam efetuados testes a/ro/riados do*s- sistema*s- durante seu desen3o'3imento e antes da sua aceitao#
$0 Gerenciamento das opera)es e comunica)es $0*- Proteo contra c=digos ma!iciosos e c=digos m='eis O%&eti'o5 "roteger a integridade do soft:are e da informao# ,!#+#, Contro'es contra cdigos ma'iciosos 4ontro!e5 Con3Om =ue seDam im/'antados contro'es de deteco4 /re3eno e recu/erao /ara /roteger contra cdigos ma'iciosos4 assim como /rocedimentos /ara a de3ida conscientiCao dos usu?rios# ,!#+#2 Contro'es contra cdigos m3eis 4ontro!e5 Onde o uso de cdigos m3eis O autoriCado4 con3Om =ue a configurao garanta =ue o cdigo m3e' autoriCado o/ere de acordo com uma /o'Rtica de segurana da informao c'aramente definida e cdigos m3eis no autoriCados ten$am sua e8ecuo im/edida#
$0 Gerenciamento das opera)es e comunica)es $0*. 4=pias de segurana O%&eti'o5 (anter a integridade e dis/oni;i'idade da informao e dos recursos de /rocessamento de informao# ,!#@#, C/ias de segurana das informaSes 4ontro!e5 Con3Om =ue as c/ias de segurana das informaSes e dos softwares seDam efetuadas e testadas regu'armente conforme a /o'Rtica de gerao de c/ias de segurana definida#
$0 Gerenciamento das opera)es e comunica)es $0*/ Gerenciamento da segurana em redes O%&eti'o5 Garantir a /roteo das informaSes em redes e a /roteo da infra1estrutura de su/orte# ,!#B#, Contro'es de redes 4ontro!e5 Con3Om =ue as redes seDam ade=uadamente gerenciadas e contro'adas4 de forma a /rotegV1'as contra ameaas e manter a segurana de sistemas e a/'icaSes =ue uti'iCam estas redes4 inc'uindo a informao em trXnsito# ,!#B#2 Segurana dos ser3ios de rede 4ontro!e5 Con3Om =ue as caracterRsticas de segurana4 nR3eis de ser3io e re=uisitos de gerenciamento dos ser3ios de rede seDam identificados e inc'uRdos em =ua'=uer acordo de ser3ios de rede4 tanto /ara ser3ios de rede /ro3idos internamente ou terceiriCados#
$0 Gerenciamento das opera)es e comunica)es $0*7 >anuseio de m#dias O%&eti'o5 "re3enir contra di3u'gao no autoriCada4 modificao4 remoo ou destruio aos ati3os4 e interru/Ses das ati3idades do negcio# ,!##, Gerenciamento de mRdias remo3R3eis 4ontro!e5 Con3Om =ue e8istam /rocedimentos im/'ementados /ara o gerenciamento de mRdias remo3R3eis# ,!##2 7escarte de mRdias 4ontro!e5 Con3Om =ue as mRdias seDam descartadas de forma segura e /rotegida =uando no forem mais necess?rias4 /or meio de /rocedimentos formais#
$0 Gerenciamento das opera)es e comunica)es ,!##A "rocedimentos /ara tratamento de informao 4ontro!e5 Con3Om =ue seDam esta;e'ecidos /rocedimentos /ara o tratamento e o armaCenamento de informaSes4 /ara /roteger tais informaSes contra a di3u'gao no autoriCada ou uso inde3ido# ,!##+ Segurana da documentao dos sistemas 4ontro!e: Con3Om =ue a documentao dos sistemas seDa /rotegida contra acessos no autoriCados#
$0 Gerenciamento das opera)es e comunica)es $0*0 (roca de Informa)es O%&eti'o5 (anter a segurana na troca de informaSes e soft:ares internamente U organiCao e com =uais=uer entidades e8ternas# ,!#K#, "o'Rticas e /rocedimentos /ara troca de informaSes 4ontro!e5 Con3Om =ue /o'Rticas4 /rocedimentos e contro'es seDam esta;e'ecidos e forma'iCados /ara /roteger a troca de informaSes em todos os ti/os de recursos de comunicao# ,!#K#2 Acordos /ara a troca de informaSes 4ontro!e5 Con3Om =ue seDam esta;e'ecidos acordos /ara a troca de informaSes e softwares entre a organiCao e entidades e8ternas#
$0 Gerenciamento das opera)es e comunica)es ,!#K#A (Rdias em trXnsito 4ontro!e: Con3Om =ue mRdias contendo informaSes seDam /rotegidas contra acesso no autoriCado4 uso im/r/rio ou a'terao inde3ida durante o trans/orte e8terno aos 'imites fRsicos da organiCao# ,!#K#+ (ensagens e'etrQnicas 4ontro!e5 Con3Om =ue as informaSes =ue trafegam em mensagens e'etrQnicas seDam ade=uadamente /rotegidas# ,!#K#@ Sistemas de informaSes do negcio 4ontro!e5 Con3Om =ue /o'Rticas e /rocedimentos seDam desen3o'3idos e im/'ementados /ara /roteger as informaSes associadas com a intercone8o de sistemas de informaSes do negcio#
$0 Gerenciamento das opera)es e comunica)es $0*1 Ser'ios de com5rcio e!etr?nico O%&eti'o5 Garantir a segurana de ser3ios de comOrcio e'etrQnico e sua uti'iCao segura# ,!#>#, ComOrcio e'etrQnico 4ontro!e5 Con3Om =ue as informaSes en3o'3idas em comOrcio e'etrQnico transitando so;re redes /W;'icas seDam /rotegidas de ati3idades fraudu'entas4 dis/utas contratuais e di3u'gao e modificaSes no autoriCadas# ,!#>#2 TransaSes on-line 4ontro!e5 Con3Om =ue informaSes en3o'3idas em transaSes on-line seDam /rotegidas /ara /re3enir transmissSes incom/'etas4 erros de roteamento4 a'teraSes no autoriCadas de mensagens4 di3u'gao no autoriCada4 du/'icao ou rea/resentao de mensagem no autoriCada#
,!#>#A InformaSes /u;'icamente dis/onR3eis 4ontro!e: Con3Om =ue a integridade das informaSes dis/oni;i'iCadas em sistemas /u;'icamente acessR3eis seDa /rotegida /ara /re3enir modificaSes no autoriCadas# $0*$0 >onitoramento O%&eti'o5 7etectar ati3idades no autoriCadas de /rocessamento da informao# ,!#,!#, Registros de auditoria 4ontro!e5 Con3Om =ue registros (log) de auditoria contendo ati3idades dos usu?rios4 e8ceSes e outros e3entos de segurana da informao seDam /roduCidos e mantidos /or um /erRodo de tem/o acordado /ara au8i'iar em futuras in3estigaSes e monitoramento de contro'e de acesso# $0 Gerenciamento das opera)es e comunica)es
$0 Gerenciamento das opera)es e comunica)es ,!#,!#2 (onitoramento do uso do sistema 4ontro!e: Con3Om =ue seDam esta;e'ecidos /rocedimentos /ara o monitoramento do uso dos recursos de /rocessamento da informao e os resu'tados das ati3idades de monitoramento seDam ana'isados criticamente4 de forma regu'ar# ,!#,!#A "roteo das informaSes dos registros *log) 4ontro!e: Con3Om =ue os recursos e informaSes de registros *log- seDam /rotegidos contra fa'sificao e acesso no autoriCado#
$0 Gerenciamento das opera)es e comunica)es ,!#,!#+ Registros *'og- de administrador e o/erador 4ontro!e5 Con3Om =ue as ati3idades dos administradores e o/eradores do sistema seDam registradas# ,!#,!#@ Registros *log- de fa'$as 4ontro!e5 Con3Om =ue as fa'$as ocorridas seDam registradas e ana'isadas4 e =ue seDam adotadas aSes a/ro/riadas# ,!#,!#B SincroniCao dos re'gios 4ontro!e5 Con3Om =ue os re'gios de todos os sistemas de /rocessamento da informao re'e3antes4 dentro da organiCao ou do domRnio de segurana4 seDam sincroniCados de acordo com uma $ora oficia'# $$ - 4ontro!e de acessos $$*$ 3e6uisitos de neg=cio para contro!e de acesso O%&eti'o5 Contro'ar acesso U informao# ,,#,#, "o'Rtica de contro'e de acesso 4ontro!e5 Con3Om =ue a /o'Rtica de contro'e de acesso seDa esta;e'ecida documentada e ana'isada criticamente4 tomando1se como ;ase os re=uisitos de acesso dos negcios e segurana da informao# $$ - 4ontro!e de acessos $$*2 Gerenciamento de acesso do usurio O%&eti'o5 Assegurar acesso de usu?rio autoriCado e /re3enir acesso no autoriCado a sistemas de informao# ,,#2#, Registro de usu?rio 4ontro!e5 Con3Om =ue e8ista um /rocedimento forma' de registro e cance'amento de usu?rio /ara garantir e re3ogar acessos em todos os sistemas de informao e ser3ios# ,,#2#2 Gerenciamento de /ri3i'Ogios 4ontro!e5 Con3Om =ue a concesso e o uso de /ri3i'Ogios seDam restritos e contro'ados# $$ - 4ontro!e de acessos ,,#2#A Gerenciamento de sen$a do usu?rio 4ontro!e5 Con3Om =ue a concesso de sen$as seDa contro'ada atra3Os de um /rocesso de gerenciamento forma'# ,,#2#+ An?'ise crRtica dos direitos de acesso de usu?rio 4ontro!e5 Con3Om =ue o gestor conduCa a inter3a'os regu'ares a an?'ise crRtica dos direitos de acesso dos usu?rios4 /or meio de um /rocesso forma'# $$ - 4ontro!e de acessos $$*+ 3esponsa%i!idades dos usurios O%&eti'o5 "re3enir o acesso no autoriCado dos usu?rios e e3itar o com/rometimento ou rou;o da informao e dos recursos de /rocessamento da informao ,,#A#, )so de sen$as 4ontro!e5 Con3Om =ue os usu?rios seDam so'icitados a seguir as ;oas /r?ticas de segurana da informao na se'eo e uso de sen$as# ,,#A#2 E=ui/amento de usu?rio sem monitorao 4ontro!e5 Con3Om =ue os usu?rios assegurem =ue os e=ui/amentos no monitorados ten$am /roteo ade=uada# ,,#A#A "o'Rtica de mesa 'im/a e te'a 'im/a 4ontro!e5 Con3Om =ue seDa adotada uma /o'Rtica de mesa 'im/a de /a/Ois e mRdias de armaCenamento remo3R3e' e /o'Rtica de te'a 'im/a /ara os recursos de /rocessamento da informao# $$*- 4ontro!e de acesso @ rede O%&eti'o5 "re3enir acesso no autoriCado aos ser3ios de rede# ,,#+#, "o'Rtica de uso dos ser3ios de rede 4ontro!e5 Con3Om =ue usu?rios somente rece;am acesso /ara os ser3ios =ue ten$am sido es/ecificamente autoriCados a usar# $$ - 4ontro!e de acessos $$*+ 3esponsa%i!idades dos usurios ,,#+#2 Autenticao /ara cone8o e8terna do usu?rio 4ontro!e: Con3Om =ue mOtodos a/ro/riados de autenticaSes seDam usados /ara contro'ar acesso de usu?rios remotos# ,,#+#A Identificao de e=ui/amento em redes 4ontro!e5 Con3Om =ue seDam consideradas as identificaSes autom?ticas de e=ui/amentos como um meio de autenticar cone8Ses 3indas de 'oca'iCaSes e e=ui/amentos es/ecRficos# ,,#+#+ "roteo e configurao de /ortas de diagnstico remotas 4ontro!e5 Con3Om =ue seDa contro'ado o acesso fRsico e 'gico das /ortas de diagnstico e configurao# $$ - 4ontro!e de acessos $$ - 4ontro!e de acessos ,,#+#@ Segregao de redes 4ontro!e5 Con3Om =ue gru/os de ser3ios de informao4 usu?rios e sistemas de informao seDam segredados em redes# ,,#+#B Contro'e de cone8o de rede 4ontro!e5 "ara redes com/arti'$adas4 es/ecia'mente essas =ue se estendem /e'os 'imites da organiCao4 con3Om =ue a ca/acidade dos usu?rios /ara conectar1 se U rede seDa restrita4 a'in$ada com a /o'Rtica de contro'e de acesso e os re=uisitos das a/'icaSes do negcio *3er ,,#,-# ,,#+# Contro'e de roteamento de redes 4ontro!e5 Con3Om =ue seDa im/'ementado contro'e de roteamento na rede4 /ara assegurar =ue as cone8Ses de com/utador e f'u8os de informao no 3io'em a /o'Rtica de contro'e de acesso das a/'icaSes do negcio# $$*. 4ontro!e de acesso ao sistema operaciona! O%&eti'o5 "re3enir acesso no autoriCado aos sistemas o/eracionais# ,,#@#, "rocedimentos seguros de entrada no sistema *log-on- 4ontro!e5 Con3Om =ue o acesso aos sistemas o/eracionais seDa contro'ado /or um /rocedimento seguro de entrada no sistema *log-on-# $$ - 4ontro!e de acessos $$ - 4ontro!e de acessos ,,#@#2 Identificao e autenticao de usu?rio 4ontro!e5 Con3Om =ue todos os usu?rios ten$am um identificador Wnico *I7 de usu?rio- /ara uso /essoa' e e8c'usi3o4 e con3Om =ue uma tOcnica ade=uada de autenticao seDa esco'$ida /ara 3a'idar a identidade a'egada /or um usu?rio# ,,#@#A Sistema de gerenciamento de sen$a 4ontro!e5 Con3Om =ue sistemas /ara gerenciamento de sen$as seDam interati3os e assegurem sen$as de =ua'idade# ,,#@#+ )so de uti'it?rios de sistema 4ontro!e5 Con3Om =ue o uso de /rogramas uti'it?rios =ue /odem ser ca/aCes de so;re/or os contro'es dos sistemas e a/'icaSes seDa restrito e estritamente contro'ado# ,,#@#@ 7escone8o de termina' /or inati3idade 4ontro!e5 Con3Om =ue terminais inati3os seDam desconectados a/s um /erRodo definido de inati3idade# ,,#@#B 6imitao de $or?rio de cone8o 4ontro!e5 Con3Om =ue restriSes nos $or?rios de cone8o seDam uti'iCadas /ara /ro/orcionar segurana adiciona' /ara a/'icaSes de a'to risco# $$*/ 4ontro!e de acesso @ ap!icao e @ informao O%&eti'o5 "re3enir acesso no autoriCado U informao contida nos sistemas de a/'icao# $$ - 4ontro!e de acessos $$ - 4ontro!e de acessos ,,#B#, Restrio de acesso U informao 4ontro!e5 Con3Om =ue o acesso U informao e Us funSes dos sistemas de a/'icaSes /or usu?rios e /essoa' de su/orte seDa restrito de acordo com o definido na /o'Rtica de contro'e de acesso# ,,#B#2 Iso'amento de sistemas sensR3eis 4ontro!e5 Con3Om =ue sistemas sensR3eis ten$am um am;iente com/utaciona' dedicado *iso'ado-# $$*7 4omputao m='e! e tra%a!:o remoto O%&eti'o5 Garantir a segurana da informao =uando se uti'iCam a com/utao m3e' e recursos de tra;a'$o remoto# $$ - 4ontro!e de acessos ,,##, Com/utao e comunicao m3e' 4ontro!e5 Con3Om =ue uma /o'Rtica forma' seDa esta;e'ecida e =ue medidas de segurana a/ro/riadas seDam adotadas /ara a /roteo contra os riscos do uso de recursos de com/utao e comunicao m3eis# ,,##2 Tra;a'$o remoto 4ontro!e5 Con3Om =ue uma /o'Rtica4 /'anos o/eracionais e /rocedimentos seDam desen3o'3idos e im/'ementados /ara ati3idades de tra;a'$o remoto# $2 - A6uisio7 desen'* e manut* de sistemas de informao $2*$ 3e6uisitos de segurana de sistemas de inf* O%&eti'o5 Garantir =ue segurana O /arte integrante de sistemas de informao# ,2#,#, An?'ise e es/ecificao dos re=uisitos de segurana 4ontro!e5 Con3Om =ue seDam es/ecificados os re=uisitos /ara contro'es de segurana nas es/ecificaSes de re=uisitos de negcios4 /ara no3os sistemas de informao ou me'$orias em sistemas e8istentes# $2 - A6uisio7 desen'* e manut* de sistemas de informao $2*2 Processamento correto nas ap!ica)es O%&eti'o5 "re3enir a ocorrVncia de erros4 /erdas4 modificao no autoriCada ou mau uso de informaSes em a/'icaSes# ,2#2#, 0a'idao dos dados de entrada 4ontro!e5 Con3Om =ue os dados de entrada de a/'icaSes seDam 3a'idados /ara garantir =ue so corretos e a/ro/riados# ,2#2#2 Contro'e do /rocessamento interno 4ontro!e5 Con3Om =ue seDam incor/oradas4 nas a/'icaSes4 c$ecagens de 3a'idao com o o;Deti3o de detectar =ua'=uer corru/o de informaSes4 /or erros ou /or aSes de'i;eradas# $2 - A6uisio7 desen'* e manut* de sistemas de informao ,2#2#A Integridade de mensagens 4ontro!e5 Con3Om =ue re=uisitos /ara garantir a autenticidade e /roteger a integridade das mensagens em a/'icaSes seDam identificados e os contro'es a/ro/riados seDam identificados e im/'ementados# ,2#2#+ 0a'idao de dados de saRda 4ontro!e5 Con3Om =ue os dados de saRda das a/'icaSes seDam 3a'idados /ara assegurar =ue o /rocessamento das informaSes armaCenadas est? correto e O a/ro/riado Us circunstXncias# O%&eti'o5 "roteger a confidencia'idade4 a autenticidade ou a integridade das informaSes /or meios cri/togr?ficos# ,2#A#, "o'Rtica /ara o uso de contro'es cri/togr?ficos 4ontro!e: Con3Om =ue seDa desen3o'3ida e im/'ementada uma /o'Rtica /ara o uso de contro'es cri/togr?ficos /ara a /roteo da informao# ,2#A#2 Gerenciamento de c$a3es 4ontro!e5 Con3Om =ue um /rocesso de gerenciamento de c$a3es seDa im/'antado /ara a/oiar o uso de tOcnicas cri/togr?ficas /e'a organiCao# $2 - A6uisio7 desen'* e manut* de sistemas de informao $2*+ 4ontro!es criptogrficos $2 - A6uisio7 desen'* e manut* de sistemas de informao $2*- Segurana dos ar6ui'os de sistema O%&eti'o5 Garantir a segurana de ar=ui3os de sistema# ,2#+#, Contro'e de software o/eraciona' 4ontro!e5 Con3Om =ue /rocedimentos /ara contro'ar a insta'ao de software em sistemas o/eracionais seDam Im/'ementados# ,2#+#2 "roteo dos dados /ara teste de sistema 4ontro!e5 Con3Om =ue os dados de teste seDam se'ecionados com cuidado4 /rotegidos e contro'ados# ,2#+#A Contro'e de acesso ao cdigo1fonte de /rograma 4ontro!e5 Con3Om =ue o acesso ao cdigo1fonte de /rograma seDa restrito# $2 - A6uisio7 desen'* e manut* de sistemas de informao $2*. Segurana nos processos de desen'o!'imento e suporte O%&eti'o5 (anter a segurana de sistemas a/'icati3os e da informao# ,2#@#, "rocedimentos /ara contro'e de mudanas 4ontro!e5 Con3Om =ue a im/'ementao de mudanas seDa contro'ada uti'iCando /rocedimentos formais de contro'e de (udanas# ,2#@#2 An?'ise crRtica tOcnica das a/'icaSes a/s mudanas no sistema o/eraciona' 4ontro!e5 Con3Om =ue a/'icaSes crRticas de negcios seDam ana'isadas criticamente e testadas =uando sistemas o/eracionais so mudados4 /ara garantir =ue no $a3er? nen$um im/acto ad3erso na o/erao da organiCao ou na segurana $2 - A6uisio7 desen'* e manut* de sistemas de informao ,2#@#A RestriSes so;re mudanas em /acotes de software 4ontro!e5 Con3Om =ue modificaSes em /acotes de software no seDam incenti3adas e 'imitadas Us mudanas necess?rias e =ue todas as mudanas seDam estritamente contro'adas# ,2#@#+ 0aCamento de informaSes 4ontro!e5 Con3Om =ue o/ortunidades /ara 3aCamento de informaSes seDam /re3enidas# ,2#@#@ 7esen3o'3imento terceiriCado de software 4ontro!e5 Con3Om =ue a organiCao su/er3isione e monitore o desen3o'3imento terceiriCado de software# $2 - A6uisio7 desen'* e manut* de sistemas de informao $2*/ Gesto de 'u!nera%i!idades t5cnicas O%&eti'o5 ReduCir riscos resu'tantes da e8/'orao de 3u'nera;i'idades tOcnicas con$ecidas# ,2#B#, Contro'e de 3u'nera;i'idades tOcnicas 4ontro!e5 Con3Om =ue seDa o;tida informao em tem/o $?;i' so;re 3u'nera;i'idades tOcnicas dos sistemas de informao em uso4 a3a'iada a e8/osio da organiCao a estas 3u'nera;i'idades e tomadas as medidas a/ro/riadas /ara 'idar com os riscos associados# $+ Gesto de incidentes de segurana da informao $+*$ Aotificao de fragi!idades e e'entos de segurana da informao O%&eti'o5 Assegurar =ue fragi'idades e e3entos de segurana da informao associados com sistemas de informao seDam comunicados4 /ermitindo a tomada de ao correti3a em tem/o $?;i'# ,A#,#, Notificao de e3entos de segurana da informao 4ontro!e5 Con3Om =ue os e3entos de segurana da informao seDam re'atados atra3Os dos canais a/ro/riados da direo4 o mais ra/idamente /ossR3e'# $+ Gesto de incidentes de segurana da informao ,A#,#2 Notificando fragi'idades de segurana da informao 4ontro!e5 Con3Om =ue os funcion?rios4 fornecedores e terceiros de sistemas e ser3ios de informao seDam instruRdos a registrar e notificar =ua'=uer o;ser3ao ou sus/eita de fragi'idade em sistemas ou ser3ios# $+*2 Gesto de incidentes de segurana da informao e me!:orias O%&eti'o5 Assegurar =ue um enfo=ue consistente e efeti3o seDa a/'icado U gesto de incidentes de segurana da informao# $+ Gesto de incidentes de segurana da informao ,A#2#, Res/onsa;i'idades e /rocedimentos 4ontro!e5 Con3Om =ue res/onsa;i'idades e /rocedimentos de gesto seDam esta;e'ecidos /ara assegurar res/ostas r?/idas4 efeti3as e ordenadas a incidentes de segurana da informao# ,A#2#2 A/rendendo com os incidentes de segurana da informao 4ontro!e5 Con3Om =ue seDam esta;e'ecidos mecanismos /ara /ermitir =ue ti/os4 =uantidades e custos dos incidentes de segurana da informao seDam =uantificados e monitorados# $+ Gesto de incidentes de segurana da informao ,A#2#A Co'eta de e3idVncias 4ontro!e5 Nos casos em =ue uma ao de acom/an$amento contra uma /essoa ou organiCao4 a/s um incidente de segurana da informao4 en3o'3er uma ao 'ega' *ci3i' ou crimina'-4 con3Om =ue e3idVncias seDam co'etadas4 armaCenadas e a/resentadas em conformidade com as normas de armaCenamento de e3idVncias da Durisdio*Ses- /ertinente*s-# $- Gesto da continuidade do neg=cio $-*$ Aspectos da gesto da continuidade do neg=cio7 re!ati'os @ segurana da informao O%&eti'o5 No /ermitir a interru/o das ati3idades do negcio e /roteger os /rocessos crRticos contra efeitos de fa'$as ou desastres significati3os4 e assegurar a sua retomada em tem/o $?;i'4 se for o caso# ,+#,#, Inc'uindo segurana da informao no /rocesso de gesto da continuidade de negcio 4ontro!e5 Con3Om =ue um /rocesso de gesto seDa desen3o'3ido e mantido /ara assegurar a continuidade do negcio /or toda a organiCao e =ue contem/'e os re=uisitos de segurana da informao necess?rios /ara a continuidade do negcio da organiCao# $- Gesto da continuidade do neg=cio ,+#,#2 Continuidade de negcios e an?'ise/a3a'iao de riscos 4ontro!e5 Con3Om identificar os e3entos =ue /odem causar interru/Ses aos /rocessos de negcio4 Dunto a /ro;a;i'idade e im/acto de tais interru/Ses e as conse=PVncias /ara a segurana de informao# ,+#,#A 7esen3o'3imento e im/'ementao de /'anos de continuidade re'ati3os U segurana da informao 4ontro!e: Con3Om =ue os /'anos seDam desen3o'3idos e im/'ementados /ara a manuteno ou recu/erao das o/eraSes e /ara assegurar a dis/oni;i'idade da informao no nR3e' re=uerido e na esca'a de tem/o re=uerida4 a/s a ocorrVncia de interru/Ses ou fa'$as dos /rocessos crRticos do negcio# $- Gesto da continuidade do neg=cio ,+#,#+ Estrutura do /'ano de continuidade do negcio 4ontro!e5 Con3Om =ue uma estrutura ;?sica dos /'anos de continuidade do negcio seDa mantida /ara assegurar =ue todos os /'anos so consistentes4 /ara contem/'ar os re=uisitos de segurana da informao e /ara identificar /rioridades /ara testes e manuteno# ,+#,#@ Testes4 manuteno e rea3a'iao dos /'anos de continuidade do negcio 4ontro!e5 Con3Om =ue os /'anos de continuidade do negcio seDam testados e atua'iCados regu'armente4 de forma a assegurar sua /ermanente atua'iCao e efeti3idade# $. 4onformidade $.*$ 4onformidade com re6uisitos !egais O%&eti'o5 E3itar 3io'ao de =ua'=uer 'ei crimina' ou ci3i'4 estatutos4 regu'amentaSes ou o;rigaSes contratuais e de =uais=uer re=uisitos de segurana da informao# ,@#,#, Identificao da 'egis'ao 3igente 4ontro!e: Con3Om =ue todos os re=uisitos estatut?rios4 regu'amentares e contratuais re'e3antes4 e o enfo=ue da organiCao /ara atender a esses re=uisitos4 seDam e8/'icitamente definidos4 documentados e mantidos atua'iCados /ara cada sistema de informao da organiCao $. 4onformidade $.*$ 4onformidade com re6uisitos !egais ,@#,#2 7ireitos de /ro/riedade inte'ectua' 4ontro!e5 Con3Om =ue /rocedimentos a/ro/riados seDam im/'ementados /ara garantir a conformidade com os re=uisitos 'egis'ati3os4 regu'amentares e contratuais no uso de materia'4 em re'ao aos =uais /ode $a3er direitos de /ro/riedade inte'ectua' e so;re o uso de /rodutos de software /ro/riet?rios# ,@#,#A "roteo de registros organiCacionais 4ontro!e5 Con3Om =ue registros im/ortantes seDam /rotegidos contra /erda4 destruio e fa'sificao4 de acordo com os re=uisitos regu'amentares4 estatut?rios4 contratuais e do negcio# $. 4onformidade ,@#,#+ "roteo de dados e /ri3acidade de informaSes /essoais 4ontro!e5 Con3Om =ue a /ri3acidade e /roteo de dados seDam asseguradas conforme e8igido nas 'egis'aSes re'e3antes4 regu'amentaSes e4 se a/'ic?3e'4 nas c'?usu'as contratuais# ,@#,#@ "re3eno de mau uso de recursos de /rocessamento da informao 4ontro!e5 Con3Om =ue os usu?rios seDam dissuadidos de usar os recursos de /rocessamento da informao /ara /ro/sitos no autoriCados ,@#,#B Regu'amentao de contro'es de cri/tografia 4ontro!e5 Con3Om =ue contro'es de cri/tografia seDam usados em conformidade com todas as 'eis4 acordos e regu'amentaSes re'e3antes# $. 4onformidade $.*2 4onformidade com normas e po!#ticas de segurana da informao e conformidade t5cnica O%&eti'o5 Garantir conformidade dos sistemas com as /o'Rticas e normas organiCacionais de segurana da informao# ,@#2#, Conformidade com as /o'Rticas e normas de segurana da informao 4ontro!e5 Con3Om =ue gestores garantam =ue todos os /rocedimentos de segurana da informao dentro da sua ?rea de res/onsa;i'idade esto sendo e8ecutados corretamente /ara atender U conformidade com as normas e /o'Rticas de segurana da informao# $. 4onformidade ,@#2#2 0erificao da conformidade tOcnica 4ontro!e5 Con3Om =ue sistemas de informao seDam /eriodicamente 3erificados em sua conformidade com as normas de segurana da informao im/'ementadas# $.*+ 4onsidera)es 6uanto @ auditoria de sistemas de informao O%&eti'o5 (a8imiCar a efic?cia e minimiCar a interferVncia no /rocesso de auditoria dos sistemas de informao# ,@#A#, Contro'es de auditoria de sistemas de informao 4ontro!e5 Con3Om =ue re=uisitos e ati3idades de auditoria en3o'3endo 3erificao nos sistemas o/eracionais seDam cuidadosamente /'aneDados e acordados /ara minimiCar os riscos de interru/o dos /rocessos do negcio# ,@#A#2 "roteo de ferramentas de auditoria de sistemas de informao 4ontro!e5 Con3Om =ue o acesso Us ferramentas de auditoria de sistema de informao seDa /rotegido4 /ara /re3enir =ua'=uer /ossi;i'idade de uso im/r/rio ou com/rometimento# $. 4onformidade
"im da 27002B Recomendao5 %aCer todos os e8ercRcios em 'ista referentes U esta norma#