Escolar Documentos
Profissional Documentos
Cultura Documentos
APRESENTAO
1) Este Projeto de Reviso foi elaborado pela Comisso de Estudo de Tcnicas de
Segurana (CE-21:027.00) do Comit Brasileiro de Computadores e Processamento de
Dados (ABNT/CB-21), nas reunies de:
02.07.2013
28.08.2013
Representante
CQSI
ARIOSTO FARIAS JR
SERASA EXPERIAN
NILTON MOREIRA
TV GLOBO
VINCIUS BRASILEIRO
BATORI
CEMIG
CORREIOS
Otvio Quadros
DGITRO
Andreia S. G. da Silva
IPEA-SEG
IPEA-SEG
Vera P. Harger
MICROSOFT
Fernando Gebara
PROXIS
Olympio Neto
NO TEM VALOR NORMATIVO
ABNT/
PROJETO
RIOSOFT
RSA
Anchises de Paula
SABESP
Claudio Barbosa
SABESP
Marcelo Rezende
SEC4YOU
Luciano M. Kadoya
TIVIT
INDIVIDUAL
Lilian Pricola
2/2
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
Prefcio Nacional
A Associao Brasileira de Normas Tcnicas (ABNT) o Foro Nacional de Normalizao. As Normas
Brasileiras, cujo contedo de responsabilidade dos Comits Brasileiros (ABNT/CB), dos Organismos
de Normalizao Setorial (ABNT/ONS) e das Comisses de Estudo Especiais (ABNT/CEE), so
elaboradas por Comisses de Estudo (CE), formadas por representantes dos setores envolvidos, delas
fazendo parte: produtores, consumidores e neutros (universidades, laboratrios e outros).
Os documentos Tcnicos ABNT so elaborados conforme as regras da Diretiva ABNT, Parte 2.
O Escopo desta Norma Brasileira em ingls o seguinte:
Scope
This Standard specifies the requirements for establishing, implementing, maintaining and continually
improving an information security management system within the context of the organization. This
Standard also includes requirements for the assessment and treatment of information security risks
tailored to the needs of the organization. The requirements set out in this Standard are generic and are
intended to be applicable to all organizations, regardless of type, size or nature. Excluding any of the
requirements specified in Clauses 4 to 10 is not acceptable when an organization claims conformity to
this Standard.
1/32
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
0. Introduo
0.1 Geral
Esta Norma foi preparada para prover requisitos para estabelecer, implementar, manter e melhorar
continuamente um Sistema de Gesto de Segurana da Informao (SGSI). A adoo de um SGSI
uma deciso estratgica para uma organizao. A especificao e a implementao do SGSI de uma
organizao so influenciadas pelas suas necessidades e objetivos, requisitos de segurana, processos
organizacionais, funcionrios, tamanho e estrutura da organizao. So esperados que todos estes
fatores de influncia mudem ao longo do tempo.
O sistema de gesto da segurana da informao preserva a confidencialidade, integridade e
disonibilidade da informao por meio da aplicao de um processo de gesto de riscos e fornece
confiana para as partes interessadas de que os riscos so adequadamente gerenciados.
importante que um sistema de gesto da segurana da informao seja parte e esteja integrado com
os processos da organizao e com a estrutura de administrao global e que a segurana da
informao seja considerada no projeto dos processos, sistemas de informao e controles. esperado
que a implementao de um sistema de gesto de segurana da informao seja planejado de acordo
com as necessidades da organizao.
Esta Norma pode ser usada por partes internas e externas para avaliar a capacidade da organizao
em atender os seus prprios requisitos de segurana da informao.
A ordem pela qual os requisitos so apresentados nesta Norma no reflete sua importancia ou implica
na ordem pela qual eles devem ser implementados. Os itens listados so numerados apenas para fins
de referncia.
A ISO IEC 27000 descreve a viso geral e o vocabulrio do sistema de gesto da segurana da
informao e referencia as normas da famila do sistema de gesto da segurana da informao
(incluindo a ISO/IEC 27003, ISO/IEC 27004 e ISO/IEC 27005 ), com termos e definies relacionados.
2/32
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
1 Escopo
Esta Norma especifica os requisitos para estabelecer, implementar, manter e melhorar continuamente
um sistema de gesto da segurana da informao dentro do contexto da organizao. Esta Norma
tambm inclui requisitos para a avaliao e tratamento de riscos de segurana da informao voltados
para as necessidades da organizao. Os requisitos definidos nesta Norma so genricos e so
pretendidos para serem aplicveis a todas as organizaes independentemente do tipo, tamanho ou
natureza. A excluso de quaisquer dos requisitos especificados nas sees 4 a 10 no aceitvel
quando a organizao busca a conformidade com esta Norma.
2 Referncias normativas
O documento relacionado a seguir indispensvel aplicao deste documento. Para referncias
datadas, aplicam-se somente as edies citadas. Para referncias no datadas, aplicam-se as edies
mais recentes do referido documento (incluindo emendas).
ISO/IEC 27000, Information technology -- Security techniques -- Information security management
systems -- Overview and vocabulary
3 Termos e definies
Para os efeitos deste documento, aplicam-se os termos e definies apresentados na ISO/IEC 27000
4 Contexto da organizao
4.1 Entendendo a organizao e seu contexto
A organizao deve determinar as questes internas e externas que so relevantes para o seu
propsito e que afetam sua capacidade para alcanar os resultados pretendidos do seu sistema de
gesto da segurana da informao.
NOTA
A determinao destas questes refere-se ao estabelecimento do contexto interno e externo da
organizao apresentado no item 5.3 da ABNT NBR ISO 31000 Gesto de riscos Princpios e diretrizes.
3/32
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
5 Liderana
5.1 5.1 Liderana e comprometimento
A Alta Direo deve demostrar sua liderana e comprometimento em relao ao sistema de gesto da
segurana da informao pelos seguintes meios:
a) assegurando que a poltica de segurana da informao e os objetivos de segurana da informaao
esto estabelecidos e so compatveis com a direo estratgica da organizao;
b) garantindo a integrao dos requisitos do sistema de gesto da segurana da informao dentro
dos processos da organizao;
c) assegurando que os recursos necessrios para o sistema de gesto da segurana da informao
estejam disponveis;
d) comunicando a importncia de uma gesto eficaz da segurana da informao e da conformidade
com os requisitos do sistema de gesto da segurana da informao;
e) assegurando que o sistema de gesto da segurana da informao alcana seus resultados
pretendidos;
f)
orientando e apoiando pessoas que contribuam para eficcia do sistema de gesto da segurana
da informao;
5.2 Poltica
A Alta Direo deve estabelecer uma politca de segurana da informao que:
a) seja apropriada ao propsito da organizao;
b) inclua os objetivos de segurana da informao (ver 6.2) ou fornea a estrutura para estabelecer os
objetivos de segurana da informao;
NO TEM VALOR NORMATIVO
4/32
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
6 Planejamento
6.1 Aes para contemplar riscos e oportunidades
6.1.1 Geral
Quando do planejamento do sistema de gesto da segurana da informao, a organizao deve
considerar as questes referenciadas em 4.1 e os requisitos descritos em 4.2, e determinar os riscos e
oportunidades que precisam ser consideradas para:
a) assegurar que o sistema de gesto da segurana da informao pode alcanar seus resultados
pretendidos;
b) prevenir ou reduzir os efeitos indesejados; e
c) alcanar a melhoria contnua.
A organizao deve planejar:
a) as aes para considerar estes riscos e oportunidades; e
b) como:
NO TEM VALOR NORMATIVO
5/32
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
1)
2)
integrar e implementar estas aes dentro dos processos do seu sistema de gesto da
segurana da informao; e
avaliar a eficcia destas aes.
2)
2)
2)
3)
5)
6/32
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
NOTA: As organizaes podem projetar os controles,conforme requerido, ou identific-los de qualquer outra fonte.
c) comparar os controles determinados em 6.1.3 b) acima com aqueles do Anexo A a e verificar que
nenhum controle necessrio tenha sido omitido;
NOTA 1 O Anexo A contm uma lista detalhada dos controles e dos objetivos de controle. Os usurios desta
Norma so instrudos a utilizar o Anexo A para garantir que nenhum controle necessrio foi omitido;
NOTA 2 Os objetivos de controle esto implicitamente includos nos controles escolhidos. Os objetivos de
controle e os controles listados no Anexo A no so exaustivos e controles e objetivos de controles adicionais
podem ser necessrios;
obter a aprovao dos responsveis pelos riscos do plano de tratamento dos riscos de segurana
da informao, e a aceitao dos riscos residuais de segurana da informao;
A organizao deve manter a informao documentada relativa ao processo de tratamento dos riscos
de segurana da informao;
NOTA
O processo de tratamento e a avaliao dos riscos de segurana da informao desta norma est
alinhada com os princpios e diretrizes gerais definidas na ABNT NBR ISO 31000 Gesto de riscos Princpios e
diretrizes.
7/32
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
7 Apoio
7.1 Recursos
A organizao deve determinar e prover recursos necessrios para o estabelecimento, implementao,
manuteno e melhoria contnua do sistema de gesto da segurana da informao.
7.2 Competncia
A organizao deve:
a) determinar a competncia necessria das pessoas que realizam trabalho sob o seu controle e que
afeta o desempenho da segurana da informao;
b) assegurar que essas pessoas so competentes com base na educao, treinamento ou
experincia apropriados;
c) onde aplicado, tomar aes para adquirir a competncia necessria e avaliar a eficcia das aes
tomadas; e
d) reter informao documentada apropriada como evidncia da competncia.
NOTA
Aes apropriadas podem incluir, por exemplo: fornecimento de treinamento para os facilitadores, os
funcionrios atuais, ou pessoas competentes, prprias ou contratadas.
7.3 Conscientizao
Pessoas que realizam trabalho sob o controle da organizao devem estar cientes da:
a) poltica de segurana da informao;
b) suas contribuies para a eficcia do sistema de gesto da segurana da informao, incluindo os
benefcios da melhoria do desempenho da segurana da informao; e
c) implicaes da no conformidade com os requisitos do sistema de gesto da segurana da
informao.
7.4 Comunicao
A organizao deve determinar as comunicaes internas e externas relevantes para o sistema de
gesto da segurana da informao incluindo:
a) o que comunicar;
8/32
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
b) quando comunicar;
c) quem comunicar;
d) quem ser comunicado; e
e) o processo pelo qual a comunicao ser realizada.
9/32
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
8 Operao
8.1 Planejamento operacional e controle
A organizao deve planejar, implementar e controlar os processos necessrios para atender os
requisitos de segurana da informao, e para implementar as aes determinadas em 6.1. A
organizao deve tambm implementar planos para alcanar os objetivos de segurana da informao
determinados em 6.2.
A organizao deve manter a informao documentada na abrangncia necessria para gerar confiana
de que os processoas esto sendo realizados conforme planejado.
A organizao deve controlar as mudanas planejadas e analisar criticamente as consequncias de
mudanas no previstas, tomando aes para mitigar quaisquer efeitos adversos, conforme
necessrio.
A organizao deve assegurar que os processos terceirizados esto determinados e so controlados.
10/32
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
9 Avaliao do desempenho
9.1 Monitoramento, medio, anlise e avaliao
A organizao deve avaliar o desempenho da segurana da informao e a eficcia do sistema de
gesto da segurana da informao.
A organizao deve determinar:
a) o que precisa ser monitorado e medido, incluindo controles e processos de segurana da
informao;
b) os mtodos para monitoramento, medio, anlise e avaliao, conforme aplicvel, para assegurar
resultados vlidos;
NOTA
Os mtodos selecionados devem produzir resultados comparveis e reproduzveis para serem vlidos.
A organizao deve reter informao documentada apropriada como evidncia do monitoramento e dos
resultados da medio.
2)
11/32
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
2)
3)
resultados de auditorias; e
4)
Os resultados da anlise crtica pela Direo devem incluir decises relativas a oportunidades para
melhoria contnua e quaisquer necessidades para mudanas do sistema de gesto da segurana da
informao.
A organizao deve reter informao documentada como evidncia dos resultados das anlises crticas
pela direo.
10 Melhoria
10.1 No conformidade e ao corretiva
Quando uma no conformidade ocorre, a organizao deve:
a) reagir no conformidade, e conforme apropriado:
1)
12/32
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
2)
b) avaliar a necessidade de aes para eliminar as causas de no conformidade, para evitar sua
repetio ou ocorrncia, por um dos seguintes meios:
1)
2)
3)
13/32
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
Anexo A
(normativo)
Referncia aos controles e objetivos de controles
Controle
Um conjunto de polticas de segurana da
informao deve ser definido, aprovado pela
direo, publicado e comunicado para os
funcionrios e partes externas relevantes.
A.5.1.2
Anlise
crtica
das
polticas para segurana
da informao
Controle
As polticas de segurana da informao devem
ser analisadas criticamente a intervalos
planejados ou quando mudanas significativas
ocorrerem, para assegurar a sua contnua
pertinncia, adequao e eficcia.
Responsabilidades
e
papis pela segurana da
informao
Controle
Todas as responsabilidades pela segurana da
informao devem ser definidas e atribudas.
A.6.1.2
Segregao de funes
Controle
Funes
conflitantes
e
reas
de
responsabilidade devem ser segregadas para
reduzir as oportunidades de modificao no
autorizada ou no intencional, ou uso indevido
dos ativos da organizao.
14/32
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
com
Controle
Contatos
apropriados
com
relevantes devem ser mantidos.
autoridades
A.6.1.4
Contato
especiais
grupos
Controle
Contatos apropriados com grupos especiais,
associaes profissionais ou outros fruns
especializados em segurana da informao
devem ser mantidos.
A.6.1.5
Segurana da informao
no
gerenciamento
de
projetos
Controle
Segurana da informao deve ser considerada
no
gerenciamento
de
projetos,
independentemente do tipo do projeto.
Controle
Uma poltica e medidas que apoiam a
segurana da informao devem ser adotadas
para gerenciar os riscos decorrentes do uso de
dispositivos mveis.
A.6.2.2
Trabalho remoto
Controle
Uma poltica e medidas que apoiam a
segurana
da
informao
devem
ser
implementadas para proteger as informaes
acessadas, processadas ou armazenadas em
locais de trabalho remoto.
Seleo
Controle
Verificaes do histrico devem ser realizadas
para todos os candidatos a emprego, de acordo
com a tica, regulamentaes e leis relevantes,
e deve ser proporcional aos requisitos do
negcio, aos riscos percebidos e classificao
das informaes a serem acessadas.
A.7.1.2
Termos e condies de
contratao
Controle
As obrigaes contratuais com funcionrios e
partes externas devem declarar as suas
responsabilidade e a da organizao para a
segurana da informao
15/32
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
Responsabilidades
direo
da
Controle
A Direo deve requerer aos funcionrios e
partes externas que pratiquem a segurana da
informao de acordo com o estabelecido nas
polticas e procedimentos da organizao.
A.7.2.2
Conscientizao,
educao e treinamento
em
segurana
da
informao
Controle
Todos os funcionrios da organizao e, onde
pertinente, partes externas devem receber
treinamento, educao e
conscientizao
apropriados, e as atualizaes regulares das
polticas e procedimentos organizacionais
relevantes para as suas funes.
A.7.2.3
Processo disciplinar
Controle
Deve existir um processo disciplinar formal,
implantado e comunicado, para tomar aes
contra funcionrios que tenham cometido uma
violao de segurana da informao.
Responsabilidades
pelo
encerramento ou mudana
da contratao
Controle
As responsabilidades e obrigaes pela
segurana da informao que permaneam
vlidas aps um encerramento ou mudana da
contratao devem ser definidas, comunicadas
aos funcionrios ou partes externas e
cumpridas.
Controle
Os ativos associados com informao e com os
recursos e processamento da informao
devem ser identificados e um inventrio destes
ativos deve ser estruturado e mantido.
A.8.1.2
Controle
Os ativos mantidos no inventrio devem ter um
proprietrio.
16/32
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
Controle
Regras para o uso aceitvel das informaes,
dos ativos associados com informao e os
recursos de processamento da informao,
devem ser identificados, documentados e
implementados.
A.8.1.4
Devoluo de ativos
Controle
Todos os funcionrios e partes externas devem
devolver todos os ativos da organizao que
estejam em sua posse aps o encerramento de
suas atividades, do contrato ou acordo.
Classificao
informao
da
Controle
A informao deve ser classificada em termos
do seu valor, requisitos legais, sensibilidade e
criticidade para evitar modificao ou
divulgao no autorizada.
A.8.2.2
Rtulos e tratamento da
informao
Controle
Um conjunto apropriado de procedimentos para
rotulare tratar a informao deve ser
desenvolvido e implementado de acordo com o
esquema de classificao da informao
adotado pela organizao.
A.8.2.3
Controle
Procedimentos para o tratamento dos ativos
devem ser desenvolvidos e implementados de
acordo com o esquema de classificao da
informao adotada pela organizao.
Gerenciamento de mdias
removveis
Controle
Procedimentos devem ser implementados para
o gerenciamento de mdias removveis, de
acordo com o esquema de classificao
adotado pela organizao.
A.8.3.2
Descarte de mdias
Controle
As mdias devem ser descartadas de forma
segura e protegida quando no forem mais
necessrias, por meio de prodecimentos
formais.
17/32
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
Transferncia
mdias
fsica
de
Controle
Mdias contendo informaes devem ser
protegidas contra acesso no autorizado, uso
imprprio ou corrompida, durante o transporte.
Poltica de controle de
acesso
Controle
Uma poltica de controle de acesso deve ser
estabelecida,
documentada
e
analisada
criticamente, baseado nos requisitos de
segurana da informao e dos negcios.
A.9.1.2
Controle
Os usurios devem somente receber acesso s
redes e aos servios de rede que tenham sido
especificamente autorizados a usar.
Registro e cancelamento
de usurio
Controle
Um processo formal de registro e cancelamento
de usurio deve ser implementado para permitir
atribuio de direitos de acesso.
A.9.2.2
Provisionamento
acesso de usurio
para
Controle
Um processo formal de provisionamento de
acesso do usurio deve ser implementado para
conceder ou revogar os direitos de acesso do
usurio para todos os tipos de usurios em
todos os tipos de sistemas e servios.
A.9.2.3
Gerenciamento de direitos
de acesso privilgiados
Controle
A concesso e uso de direitos e acesso
privilgiado devem ser restritos e controlados.
A.9.2.4
Gerenciamento
da
informao
de
autenticao secreta de
usurios
Controle
A concesso de informao de autenticao
secreta deve ser controlada por meio de um
processo de gerenciamento formal.
A.9.2.5
Controle
Os proprietrios de ativos devem analisar
criticamente os direitos de acesso dos usurios,
a intervalos regulares.
18/32
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
Retirada ou ajuste
direitos de acesso
de
Controle
Os direitos de acesso de todos os funcionrios
e partes externas s informaes e aos
recursos de processamento da informao
devem ser retirados aps o encerramento de
suas atividades, contratos ou acordos, ou
ajustado aps a mudana destas atividades.
Uso da informao
autenticao secreta
de
Controle
Os usurios devem ser orientados a seguir as
prticas da organizao quanto ao uso da
informao de autenticao secreta.
Restrio de acesso
informao
Controle
O acesso informao e as funes dos
sistemas de aplicaes devem ser restrito de
acordo com a poltica de controle de acesso.
A.9.4.2
Procedimentos seguros de
entrada no sistema (logon)
Controle
Onde aplicavl pela poltica de controle de
acesso, o acesso aos sistemas e aplicaes
devem ser controlados por um procedimento
seguro de entrada no sistema (log-on).
A.9.4.3
Sistema de gerenciamento
de senha
Controle
Sistemas para gerenciamento de senhas
devem ser interativos e devem assegurar
senhas de qualidade.
A.9.4.4
Uso
de
programas
utilitrios privilegiados
Controle
O uso de programas utilitrios que podem ser
capazes de sobrepor os controles dos sistemas
e aplicaes deve ser restrito e estritamente
controlado.
A.9.4.5
Controle de acesso ao
cdigo-fonte de programas
Controle
O acesso ao cdigo-fonte de programa deve
ser restrito.
A.10 Criptografia
A.10.1 Controles criptogrficos
Objetivo: Assegurar o uso efetivo e adequado da criptografia para proteger a
confidencialidade, autenticidade e/ou a integridade da informao.
19/32
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
Controle
Deve ser desenvolvida e implementada uma
poltica para o uso de controles criptogrficos
para a proteo da informao.
A.10.1.2
Gerenciamento de chaves
Controle
Uma poltica sobre o uso, proteo e ciclo de
vida das chaves criptogrficas, deve ser
desenvolvida e implementada ao longo de todo
o seu ciclo de vida.
Permetro de segurana
fsica
Controle
Permetros de segurana devem ser definidos e
usados para proteger tanto as reas que
contenham as instalaes de processamento
da informao como as informaes critcas ou
sensveis.
A.11.1.2
Controle
As reas seguras devem ser protegidas por
controles apropriados de entrada para
assegurar que somente pessoas autorizadas
tenham acesso permitido.
A.11.1.3
Segurana em escritrios,
salas e instalaes
Controle
Deve ser projetada e aplicada segurana fsica
para escritrios, salas e instalaes.
A.11.1.4
Controle
Devem ser projetadas e aplicadas proteo
fsica contra desastres naturais, ataques
maliciosos ou acidentes.
A.11.1.5
Trabalhando
seguras
reas
Controle
Deve ser projetada e aplicada procedimentos
para o trabalho em reas seguras.
A.11.1.6
reas de entrega e de
carregamento
Controle
Pontos de acesso, tais como reas de entrega
e de carregamento e outros pontos em que
pessoas no autorizadas possam entrar nas
instalaes, devem ser controlados e, se
possvel,
isolados
das
instalaes de
processamento da informao, para evitar o
acesso no autorizado.
em
20/32
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
Escolha
de
local
e
proteo do equipamento
Controle
Os equipamentos devem ser colocados no local
ou protegidos para reduzir os riscos de
ameaas e perigos do meio-ambiente, bem
como as oportunidades de acesso no
autorizado.
A.11.2.2
Utilidades
Controle
Os equipamentos devem ser protegidos contra
falta de energia eltrica e outras interrupes
causadas por falhas das utilidades.
A.11.2.3
Segurana
cabeamento
A.11.2.4
Manuteno
equipamentos
A.11.2.5
Remoo de ativos
Controle
Equipamentos, informaes ou software no
devem ser retirados do local sem autorizao
prvia.
A.11.2.6
Segurana
de
equipamentos e ativos
fora das dependncias da
organizao
Controle
Devem ser tomadas medidas de segurana
para ativos que operem fora do local, levando
em conta os diferentes riscos decorrentes do
fato de se trabalhar fora das dependncias da
organizao.
A.11.2.7
Reutilizao e alienao
seguras de equipamentos
Controle
Todos os equipamentos que contenham mdias
de armazenamento de dados devem ser
examinados antes do descarte, para assegurar
que todos os dados sensveis e softwares
licenciados tenham sido removidos ou sobregravados com segurana.
do
Controle
O
cabeamento
de
energia
e
de
telecomunicaes que transporta dados ou d
suporte aos servios de informaes deve ser
protegido contra interceptao, interferncia ou
danos.
dos
Controle
Os equipamentos devem ter uma manuteno
correta para assegurar sua disponibilidade e
integridade permanente.
21/32
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
Equipamento de usurio
sem monitorao
Controle
Os usurios devem assegurar que os
equipamentos
no
monitorados
tenham
proteo adequada.
A.11.2.9
Controle
Deve ser adotada uma poltica de mesa limpa
de papis e mdias de armazenamento
removveis e uma poltica de tela limpa para os
recursos de processamento da informao.
Documentao
procedimentos
operao
dos
de
Controle
Os procedimentos de operao devem ser
documentados e disponibilizados para todos os
usurios que necessitam deles.
A.12.1.2
Gesto de mudanas
Controle
Mudanas na organizao, nos processos do
negcio, nos recursos de processamento da
informao e nos sistemas que afetam a
segurana da informao, devem ser
controladas.
A.12.1.3
Gesto de capacidade
Controle
A utilizao dos recursos deve ser monitorada,
ajustada e as projees devem ser feitas para
necessidades de capacidade futura para
garantir o desempenho requerido do sistema.
A.12.1.4
Controle
Ambientes de desenvolvimento, teste e
produo devem ser separados para reduzir os
riscos de acessos ou modificaes no
autorizadas no ambiente de produo.
Controle
Devem ser implementados controles de
deteco, preveno e recuperao para
proteger contra malware, combinado com um
adequado programa de conscientizao do
usurio.
22/32
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
Controle
Cpias de segurana das informaes,
softwares e das imagens do sistema, devem
ser efetuadas e testadas regularmente
conforme a poltica de gerao de cpias de
segurana definida.
Registros de eventos
Controle
Registros de eventos (log) de eventos das
atividades do usurio, excees, falhas e
eventos de segurana da informao devem
ser produzidos, mantidos e analisados
criticamente, a intervalos regulares
A.12.4.2
Controle
As informaes dos registros de eventos (log) e
seus recursos devem ser protegidas contra
acesso no autorizado e adulterao.
A.12.4.3
Controle
As
atividades
dos
administradores
e
operadores do sistema devem ser registradas e
os registros (logs) devem serprotegidos e
analisados criticamente, a intervalos regulares.
A.12.4.4
Controle
Os relgios de todos os sistemas de
processamento de informaes relevantes,
dentro da organizao ou do domnio de
segurana, devem ser sincronizados com uma
fonte de tempo precisa.
Controle
Procedimentos para controlar a instalao de
software em sistemas operacionais devem ser
implementados.
23/32
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
Gesto
de
vulnerabilidades tcnicas
Controle
Informaes sobre vulnerabilidades tcnicas
dos sistemas de informao em uso, devem ser
obtidas em tempo hbil, com a exposio da
organizao a estas vulnerabilidades avaliadas
e tomadas as medidas apropriadas para lidar
com os riscos associados.
A.12.6.2
Restries
quanto
instalao de software
Controle
Regras definindo critrios para a instalao de
software
pelos
usurios
devem
ser
estabelecidas e implementadas.
Controles de auditoria de
sistemas de informao
Controle
As atividades e requisitos de auditoria
envolvendo a verificao nos sistemas
operacionais devem ser cuidadosamente
planejados e acordados para minimizar
interrupo nos processos do negcio.
Controles de redes
Controle
As redes devem ser gerenciadas e controladas
para proteger as informaes nos sistemas e
aplicaes.
A.13.1.2
Controle
Mecanismos de segurana, nveis de servio e
requisitos de gerenciamento de todos os
servios de rede, devem ser identificados e
includos em qualquer acordo de servios de
rede, tanto para servios de rede providos
internamente como para terceirizados.
A.13.1.3
Segregao de redes
Controle
Grupos de servios de informao, usurios e
sistemas de informao devem ser segregados
em redes.
24/32
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
Polticas e procedimentos
para
transferncia
de
informaes
Controle
Polticas, procedimentos e controles de
transferncias
formais,
devem
ser
estabelecidos para proteger a transferncia de
informaes por meio do uso de todos os tipos
de recursos de comunicao.
A.13.2.2
Acordos
transferncia
informaes
Controle
Devem ser estabelecidos acordos para
transferncia segura de informaes do
negcio entre a organizao e partes externas.
A.13.2.3
Mensagens eletrnicas
A.13.2.4
Acordos
confidencialidade
divulgao
para
de
Controle
As informaes que trafegam em mensagens
eletrnicas
devem
ser
adequadamente
protegidas.
de
no
Controle
Os requisitos para confidencialidade ou acordos
de no divulgao que reflitam as necessidades
da organizao para a proteo da informao
devem
ser
identificados,
analisados
criticamente e documentados.
Anlise e especificao
dos
requisitos
de
segurana da informao
Controle
Os requisitos relacionados com segurana da
informao devem ser includos nos requisitos
para novos sistemas de informao ou
melhorias dos sistemas de informao
existentes.
A.14.1.2
Servios
seguros
pblicas
Controle
As informaes envolvidas nos servios de
aplicao que transitam sobre redes pblicas
devem
ser
protegidas
de
atividades
fraudulentas, disputas contratuais e divulgao
e modificaes no autorizadas.
de aplicao
sobre
redes
25/32
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
Protegendo as transaes
nos aplicativos de servios
Controle
Informaes envolvidas em transaes nos
aplicativos de servios devem ser protegidas
para prevenir transmisses incompletas, erros
de roteamento, alteraes no autorizadas de
mensagens,
divulgao
no
autorizada,
duplicao ou reapresentao de mensagem
no autorizada.
Poltica
de
desenvolvimento seguro
Controle
Regras para o desenvolvimento de sistemas e
software devem ser estabelecidas e aplicadas
aos desenvolvimentos realizados dentro da
organizao.
A.14.2.2
Procedimentos
para
controle de mudanas de
sistemas
Controle
Mudanas em sistemas dentro do ciclo de vida
de desenvolvimento devem ser controladas
utilizando procedimentos formais de controle de
mudanas.
A.14.2.3
Controle
Aplicaes crticas de negcios devem ser
analisadas criticamente e testadas quando
plataformas operacionais so mudadas, para
garantir que no haver nenhum impacto
adverso na operao da organizao ou na
segurana.
A.14.2.4
Restries
sobre
mudanas em pacotes de
Software
Controle
Modificaes em pacotes de software devem
ser desencorajadas e devem estar limitadas s
mudanas necessrias, e todas as mudanas
devem ser estritamente controladas.
A.14.2.5
Controle
Princpios para projetar sistemas seguros
devem ser estabelecidos, documentados,
mantidos
e
aplicados
para
qualquer
implementao de sistemas de informao.
26/32
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
Ambiente seguro
desenvolvimento
para
Controle
As organizaes devem estabelecer e proteger
adequadamente os ambientes seguros de
desenvolvimento, para os esforos de
integrao e desenvolvimento de sistemas, que
cubram todo o ciclo de vida de desenvolvimento
de
sistema
A.14.2.7
Desenvolvimento
terceirizado
Controle
A organizao deve supervisionar e monitorar
as atividades de desenvolvimento de sistemas
terceirizado.
A.14.2.8
Teste de segurana do
sistema
Controle
Testes de funcionalidade de segurana devem
ser realizados durante o desenvolvimento de
sistemas.
A.14.2.9
Teste de aceitao de
sistemas
Controle
Programas de testes de aceitao e critrios
relacionados devem ser estabelecidos para
novos sistemas de informao, atualizaes e
novas verses.
Controle
Os dados de teste devem ser selecionados com
cuidado, protegidos e controlados.
Poltica de segurana da
informao
no
relacionamento com os
fornecedores
Controle
Requisitos de segurana da informao para
mitigar os riscos associados com o acesso dos
fornecedores aos ativos da organizao devem
ser
acordados com o fornecedor
e
documentados.
A.15.1.2
Identificando
segurana
da
informao
nos
acordos com fornecedores
Controle
Todos os requisitos de segurana da
informao relevantes devem ser estabelecidos
e acordados com cada fornecedor que possa
acessar, processar, armazenar, comunicar, ou
prover componentes de infraestrutura de TI
para as informaes da organizao.
27/32
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
Cadeia de suprimento na
tecnologia
da
comunicao e informao
Controle
Acordos com fornecedores devem incluir
requisitos para comtemplar os riscos de
segurana da informao associados com a
cadeia de suprimento de produtos e servios de
tecnologia das comunicaes e informao.
A.15.2.2
Monitoramento e anlise
crtica de servios com
fornecedores
Controle
A organizao deve monitorar, analisar
criticamente e auditar a intervalos regulares, a
entrega dos servios executados pelos
fornecedores.
Gerenciamento de mudanas
para
servios
com
fornecedores
Controle
Mudanas no provisionamento dos servios pelos
fornecedores, incluindo manuteno e melhoria das
polticas de segurana da informao, dos
procedimentos e controles existentes, devem ser
gerenciadas, levando-se em conta a criticidade das
informaes do negcio, dos sistemas e processos
envolvidos, e a reavaliao de riscos.
Responsabilidades
procedimentos
Controle
Responsabilidades e procedimentos de gesto
devem ser estabelecidos para assegurar
respostas rpidas, efetivas e ordenadas a
incidentes de segurana da informao.
A.16.1.2
Notificao de eventos de
segurana da informao
Controle
Os eventos de segurana da informao devem
ser relatados atravs dos canais apropriados da
direo, o mais rapidamente possvel.
A.16.1.3
Notificando fragilidades de
segurana da informao
Controle
Os funcionrios e partes externas que usam os
sistemas e servios de informao da
organizao, devem ser instrudos a registrar e
notificar quaisquer fragilidades de segurana da
informao, suspeita ou observada,
nos
sistemas ou servios.
28/32
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
Controle
Os eventos de segurana da informao devem
ser avaliados e deve ser decidido se eles so
classificados como incidentes de segurana da
informao.
A.16.1.5
Controle
Incidentes de segurana da informao devem
ser reportados de acordo com procedimentos
documentados.
A.16.1.6
Aprendendo
com
os
incidentes de segurana
da informao
Controle
Os conhecimentos obtidos da anlise e
resoluo dos incidentes de segurana da
informao devem ser usados para reduzir a
probabilidade ou o impacto de incidentes
futuros.
A.16.1.7
Coleta de evidncias
Controle
A organizao deve definir e aplicar
procedimentos para a identificao, coleta,
aquisio e preservao das informaes, as
quais podem servir como evidncias.
Planejando a continuidade
da
segurana
da
informao
Controle
A organizao deve determinar seus requisitos
para a segurana da informao e a
continuidade da gesto da segurana da
informao em situaes adversas, por
exemplo, durante uma crise ou desastre.
A.17.1.2
Implementando
a
continuidade
da
segurana da informao
Controle
A organizao deve estabelecer, documentar,
implementar
e
manter
processos,
procedimentos e controles para assegurar o
nvel requerido de continuidade para a
segurana da informao, durante uma
situao adversa.
A.17.1.3
Controle
A organizao deve verificar os controles de
continuidade da segurana da informao,
estabelecidos e implementados, intervalos
regulares, para garantir que eles so vlidos e
eficazes em situaes adversas.
29/32
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
Disponibilidade
recursos
processamento
informao
dos
de
da
Controle
Os recursos de processamento da informao
devem ser implementados com redundncia
suficiente para atender aos requisitos de
disponibilidade.
A.18 Conformidade
A.18.1 Conformidade com requisitos legais e contratuais
Objetivo:Evitar violao de quaisquer obrigaes legais, estatutrias, regulamentares ou
contratuais relacionadas segurana da informao e de quaisquer requisitos de segurana.
A.18.1.1
Identificao da legislao
aplicvel e de requisitos
contratuais
Controle
Todos os requisitos legislativos estatutrios,
regulamentares e contratuais relevantes, e o
enfoque da organizao para atender a esses
requisitos,
devem
ser
explicitamente
identificados, documentados e mantidos
atualizados para cada sistema de informao
da organizao.
A.18.1.2
Direitos de
intelectual
Controle
Procedimentos
apropriados
devem
ser
implementados para garantir a conformidade
com os requisitos legislativos, regulamentares e
contratuais relacionados com os direitos de
propriedade intelectual, e sobre o uso de
produtos de software proprietrios.
A.18.1.3
Proteo de registros
Controle
Registros devem ser protegidos contra perda,
destruio, falsificao, acesso no autorizado
e liberao no autorizada, de acordo com os
requisitos
regulamentares,
estatutrios,
contratuais e do negcio.
A.18.1.4
Proteo e privacidade de
informaes
de
identificao de pessoal
Controle
A privacidade e proteo das informaes de
identificao pessoal devem ser asseguradas
conforme
requerido
por
legislao
e
regulamentao pertinente, quando aplicvel.
A.18.1.5
Regulamentao
de
controles de criptografia
Controle
Controles de criptografia devem ser usados em
conformidade com todas as leis, acordos,
legislao e regulamentaes pertinentes.
propriedade
30/32
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
Anlise
crtica
independente
da
segurana da informao
Controle
O enfoque da organizao para gerenciar a
segurana
da
informao
e
a
sua
implementao (por exemplo, controles,
objetivo dos controles, polticas, processos e
procedimentos
para
a
segurana
da
informao) deve ser analisado criticamente, de
forma independente, a intervalos planejados, ou
quando ocorrerem mudanas significativas.
A.18.2.2
Conformidade com as
polticas e normas de
segurana da informao
Controle
Os gestores devem analisar criticamente, a
intervalos regulares, a conformidade dos
procedimentos e do processamento da
informao, dentro das suas reas de
responsabilidade, com as normas e polticas de
segurana e quaisquer outros requisitos de
segurana da informao.
A.18.2.3
Anlise
crtica
conformidade tcnica
Controle
Os sistemas de informao devem ser
analisados criticamente, a intervalos regulares,
para verificar a conformidade com as normas e
polticas de segurana da informao da
organizao.
da
31/32
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC FDIS 27001
SET 2013
Bibliografia
[1]
[2]
[3]
[4]
[5]
[6]
ISO IEC Directives, Part 1 Consolidated ISO Supplement Procedures specific to ISO :2012
32/32