Escolar Documentos
Profissional Documentos
Cultura Documentos
Vlida a partir de
30.09.2005
ICS 35.040
Nmero de referncia
ABNT NBR ISO/IEC 17799:2005
120 pginas
ABNT 2005
Cpia no autorizada
ABNT 2005
Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicao pode ser reproduzida
ou por qualquer meio, eletrnico ou mecnico, incluindo fotocpia e microfilme, sem permisso por escrito pela ABNT.
Sede da ABNT
Av.Treze de Maio, 13 - 28 andar
20031-901 - Rio de Janeiro - RJ
Tel.: + 55 21 3974-2300
Fax: + 55 21 2220-1762
abnt@abnt.org.br
www.abnt.org.br
Impresso no Brasil
Sumrio Pgina
Prefcio Nacional......................................................................................................................................................vii
0 Introduo......................................................................................................................................................ix
0.1 O que segurana da informao?............................................................................................................ix
0.2 Por que a segurana da informao necessria?..................................................................................ix
0.3 Como estabelecer requisitos de segurana da informao .....................................................................x
0.4 Analisando/avaliando os riscos de segurana da informao.................................................................x
0.5 Seleo de controles.....................................................................................................................................x
0.6 Ponto de partida para a segurana da informao...................................................................................xi
0.7 Fatores crticos de sucesso ........................................................................................................................xi
0.8 Desenvolvendo suas prprias diretrizes ..................................................................................................xii
1 Objetivo ..........................................................................................................................................................1
2 Termos e definies ......................................................................................................................................1
3 Estrutura desta Norma ..................................................................................................................................4
3.1 Sees ............................................................................................................................................................4
3.2 Principais categorias de segurana da informao ..................................................................................4
4 Anlise/avaliao e tratamento de riscos ...................................................................................................6
4.1 Analisando/avaliando os riscos de segurana da informao.................................................................6
4.2 Tratando os riscos de segurana da informao ......................................................................................6
5 Poltica de segurana da informao ..........................................................................................................8
5.1 Poltica de segurana da informao ..........................................................................................................8
5.1.1 Documento da poltica de segurana da informao ................................................................................8
5.1.2 Anlise crtica da poltica de segurana da informao ...........................................................................9
6 Organizando a segurana da informao .................................................................................................10
6.1 Infra-estrutura da segurana da informao ............................................................................................10
6.1.1 Comprometimento da direo com a segurana da informao ...........................................................10
6.1.2 Coordenao da segurana da informao..............................................................................................11
6.1.3 Atribuio de responsabilidades para a segurana da informao ......................................................11
6.1.4 Processo de autorizao para os recursos de processamento da informao ...................................12
6.1.5 Acordos de confidencialidade ...................................................................................................................12
6.1.6 Contato com autoridades ...........................................................................................................................13
6.1.7 Contato com grupos especiais ..................................................................................................................14
6.1.8 Anlise crtica independente de segurana da informao....................................................................14
6.2 Partes externas ............................................................................................................................................15
6.2.1 Identificao dos riscos relacionados com partes externas ..................................................................15
6.2.2 Identificando a segurana da informao, quando tratando com os clientes......................................17
6.2.3 Identificando segurana da informao nos acordos com terceiros ....................................................18
7 Gesto de ativos ..........................................................................................................................................21
7.1 Responsabilidade pelos ativos ..................................................................................................................21
7.1.1 Inventrio dos ativos...................................................................................................................................21
7.1.2 Proprietrio dos ativos................................................................................................................................22
7.1.3 Uso aceitvel dos ativos .............................................................................................................................22
7.2 Classificao da informao ......................................................................................................................23
7.2.1 Recomendaes para classificao ..........................................................................................................23
7.2.2 Rtulos e tratamento da informao .........................................................................................................24
8 Segurana em recursos humanos.............................................................................................................25
8.1 Antes da contratao ..................................................................................................................................25
8.1.1 Papis e responsabilidades .......................................................................................................................25
8.1.2 Seleo .........................................................................................................................................................26
8.1.3 Termos e condies de contratao .........................................................................................................26
10.10 Monitoramento.............................................................................................................................................60
10.10.1 Registros de auditoria.................................................................................................................................61
10.10.2 Monitoramento do uso do sistema ............................................................................................................61
10.10.3 Proteo das informaes dos registros (log).........................................................................................63
10.10.4 Registros (log) de administrador e operador ...........................................................................................63
10.10.5 Registros (log) de falhas.............................................................................................................................64
10.10.6 Sincronizao dos relgios ........................................................................................................................64
11 Controle de acessos....................................................................................................................................65
11.1 Requisitos de negcio para controle de acesso......................................................................................65
11.1.1 Poltica de controle de acesso ...................................................................................................................65
11.2 Gerenciamento de acesso do usurio.......................................................................................................66
11.2.1 Registro de usurio .....................................................................................................................................66
11.2.2 Gerenciamento de privilgios ....................................................................................................................67
11.2.3 Gerenciamento de senha do usurio ........................................................................................................68
11.2.4 Anlise crtica dos direitos de acesso de usurio ...................................................................................68
11.3 Responsabilidades dos usurios ..............................................................................................................69
11.3.1 Uso de senhas .............................................................................................................................................69
11.3.2 Equipamento de usurio sem monitorao..............................................................................................70
11.3.3 Poltica de mesa limpa e tela limpa ...........................................................................................................70
11.4 Controle de acesso rede ..........................................................................................................................71
11.4.1 Poltica de uso dos servios de rede ........................................................................................................71
11.4.2 Autenticao para conexo externa do usurio ......................................................................................72
11.4.3 Identificao de equipamento em redes ...................................................................................................73
11.4.4 Proteo e configurao de portas de diagnstico remotas..................................................................73
11.4.5 Segregao de redes...................................................................................................................................73
11.4.6 Controle de conexo de rede .....................................................................................................................74
11.4.7 Controle de roteamento de redes ..............................................................................................................75
11.5 Controle de acesso ao sistema operacional ............................................................................................75
11.5.1 Procedimentos seguros de entrada no sistema (log-on) ........................................................................75
11.5.2 Identificao e autenticao de usurio ...................................................................................................77
11.5.3 Sistema de gerenciamento de senha ........................................................................................................77
11.5.4 Uso de utilitrios de sistema......................................................................................................................78
11.5.5 Desconexo de terminal por inatividade...................................................................................................79
11.5.6 Limitao de horrio de conexo ..............................................................................................................79
11.6 Controle de acesso aplicao e informao ......................................................................................80
11.6.1 Restrio de acesso informao ............................................................................................................80
11.6.2 Isolamento de sistemas sensveis.............................................................................................................80
11.7 Computao mvel e trabalho remoto ......................................................................................................81
11.7.1 Computao e comunicao mvel ..........................................................................................................81
11.7.2 Trabalho remoto ..........................................................................................................................................82
12 Aquisio, desenvolvimento e manuteno de sistemas de informao .............................................84
12.1 Requisitos de segurana de sistemas de informao.............................................................................84
12.1.1 Anlise e especificao dos requisitos de segurana ............................................................................84
12.2 Processamento correto nas aplicaes....................................................................................................85
12.2.1 Validao dos dados de entrada................................................................................................................85
12.2.2 Controle do processamento interno..........................................................................................................86
12.2.3 Integridade de mensagens .........................................................................................................................87
12.2.4 Validao de dados de sada......................................................................................................................87
12.3 Controles criptogrficos .............................................................................................................................87
12.3.1 Poltica para o uso de controles criptogrficos .......................................................................................88
12.3.2 Gerenciamento de chaves ..........................................................................................................................89
12.4 Segurana dos arquivos do sistema .........................................................................................................90
12.4.1 Controle de software operacional..............................................................................................................90
12.4.2 Proteo dos dados para teste de sistema...............................................................................................92
12.4.3 Controle de acesso ao cdigo-fonte de programa ..................................................................................92
12.5 Segurana em processos de desenvolvimento e de suporte.................................................................93
12.5.1 Procedimentos para controle de mudanas.............................................................................................93
12.5.2 Anlise crtica tcnica das aplicaes aps mudanas no sistema operacional ................................94
12.5.3 Restries sobre mudanas em pacotes de software.............................................................................95
Prefcio Nacional
A ABNT NBR ISO/IEC 17799 foi elaborada no Comit Brasileiro de Computadores e Processamento de Dados
(ABNT/CB-21), pela Comisso de Estudo de Segurana Fsica em Instalaes de Informtica (CE-21:204.01).
O Projeto circulou em Consulta Nacional conforme Edital n 03, de 31.03.2005, com o nmero de
Projeto NBR ISO/IEC 17799.
Uma famlia de normas de sistema de gesto de segurana da informao (SGSI) est sendo desenvolvida no
ISO/IEC JTC 1/SC 27. A famlia inclui normas sobre requisitos de sistema de gesto da segurana da informao,
gesto de riscos, mtricas e medidas, e diretrizes para implementao. Esta famlia adotar um esquema de
numerao usando a srie de nmeros 27000 em seqncia.
A partir de 2007, a nova edio da ISO/IEC 17799 ser incorporada ao novo esquema de numerao como
ISO/IEC 27002.
Os termos relacionados a seguir, com a respectiva descrio, foram mantidos na lngua inglesa, por no
possurem traduo equivalente para a lngua portuguesa:
BBS (Bulletin Board System) - sistema no qual o computador pode se comunicar com outros computadores
atravs de linha telefnica, como na Internet.
Covert channel - canal de comunicaes que permite que dois processos cooperativos transfiram a informao de
uma maneira que viole a poltica de segurana do sistema.
Denial of service (negao do servio) - impedimento do acesso autorizado aos recursos ou retardamento de
operaes crticas por um certo perodo de tempo.
Dial up - servio por meio do qual o terminal de computador pode usar o telefone para iniciar e efetuar uma
comunicao com outro computador.
Firewall - sistema ou combinao de sistemas que protege a fronteira entre duas ou mais redes.
Gateway - mquina que funciona como ponto de conexo entre duas redes.
Hackers - pessoa que tenta acessar sistemas sem autorizao, usando tcnicas prprias ou no, no intuito de ter
acesso a determinado ambiente para proveito prprio ou de terceiros. Dependendo dos objetivos da ao, podem
ser chamados de Cracker, Lammer ou BlackHat.
Logging - processo de estocagem de informaes sobre eventos que ocorreram num firewall ou numa rede.
Middlewae - personalizao de software; software de sistema que foi personalizado por um vendedor para um
usurio particular.
Need to know - conceito que define que uma pessoa s precisa acessar os sistemas necessrios para realizar a
sua atividade.
Patches - correo temporria efetuada em um programa; pequena correo executada pelo usurio no software,
com as instrues do fabricante do software.
Em 6.1.3, Diretrizes para implementao, primeiro pargrafo, a ISO/IEC 17799:2005 faz uma referncia
equivocada seo 4. Esse equvoco foi corrigido nesta ABNT NBR ISO/IEC 17799 e a notificao deste foi feita
ao ISO/IEC JTC 1 para correo da norma original.
Esta segunda edio cancela e substitui a edio anterior (ABNT NBR ISO/IEC 17799:2001), a qual foi
tecnicamente revisada.
0 Introduo
A informao pode existir em diversas formas. Ela pode ser impressa ou escrita em papel, armazenada
eletronicamente, transmitida pelo correio ou por meios eletrnicos, apresentada em filmes ou falada em
conversas. Seja qual for a forma apresentada ou o meio atravs do qual a informao compartilhada ou
armazenada, recomendado que ela seja sempre protegida adequadamente.
Segurana da informao a proteo da informao de vrios tipos de ameaas para garantir a continuidade
do negcio, minimizar o risco ao negcio, maximizar o retorno sobre os investimentos e as oportunidades de
negcio.
A segurana da informao importante para os negcios, tanto do setor pblico como do setor privado, e para
proteger as infra-estruturas crticas. Em ambos os setores, a funo da segurana da informao viabilizar os
negcios como o governo eletrnico (e-gov) ou o comrcio eletrnico (e-business), e evitar ou reduzir os riscos
relevantes. A interconexo de redes pblicas e privadas e o compartilhamento de recursos de informao
aumentam a dificuldade de se controlar o acesso. A tendncia da computao distribuda reduz a eficcia da
implementao de um controle de acesso centralizado.
Muitos sistemas de informao no foram projetados para serem seguros. A segurana da informao que pode
ser alcanada por meios tcnicos limitada e deve ser apoiada por uma gesto e por procedimentos
apropriados. A identificao de controles a serem implantados requer um planejamento cuidadoso e uma
ateno aos detalhes. A gesto da segurana da informao requer pelo menos a participao de todos os
funcionrios da organizao. Pode ser que seja necessria tambm a participao de acionistas, fornecedores,
terceiras partes, clientes ou outras partes externas. Uma consultoria externa especializada pode ser tambm
necessria.
1. Uma fonte obtida a partir da anlise/avaliao de riscos para a organizao, levando-se em conta
os objetivos e as estratgias globais de negcio da organizao. Por meio da anlise/avaliao de
riscos, so identificadas as ameaas aos ativos e as vulnerabilidades destes, e realizada uma
estimativa da probabilidade de ocorrncia das ameaas e do impacto potencial ao negcio.
Convm que a anlise/avaliao de riscos seja repetida periodicamente para contemplar quaisquer mudanas
que possam influenciar os resultados desta anlise/avaliao.
Informaes adicionais sobre a anlise/avaliao de riscos de segurana da informao podem ser encontradas
em 4.1 Analisando/avaliando os riscos de segurana da informao.
Alguns dos controles nesta Norma podem ser considerados como princpios bsicos para a gesto da
segurana da informao e podem ser aplicados na maioria das organizaes. Estes controles so explicados
em mais detalhes no item Ponto de partida para a segurana da informao.
Informaes adicionais sobre seleo de controles e outras opes para tratamento de risco podem ser
encontradas em 4.2 Tratamento dos riscos de segurana da informao.
Os controles considerados essenciais para uma organizao, sob o ponto de vista legal, incluem, dependendo
da legislao aplicvel:
Esses controles se aplicam para a maioria das organizaes e na maioria dos ambientes.
Convm observar que, embora todos os controles nesta Norma sejam importantes e devam ser considerados, a
relevncia de qualquer controle deve ser determinada segundo os riscos especficos a que uma organizao
est exposta. Por isto, embora o enfoque acima seja considerado um bom ponto de partida, ele no substitui a
seleo de controles, baseado na anlise/avaliao de riscos.
e) divulgao eficiente da segurana da informao para todos os gerentes, funcionrios e outras partes
envolvidas para se alcanar a conscientizao;
f) distribuio de diretrizes e normas sobre a poltica de segurana da informao para todos os gerentes,
funcionrios e outras partes envolvidas;
j) implementao de um sistema de medio1, que seja usado para avaliar o desempenho da gesto da
segurana da informao e obteno de sugestes para a melhoria.
1 Deve-se observar que as medies de segurana da informao esto fora do escopo desta Norma.
1 Objetivo
Esta Norma estabelece diretrizes e princpios gerais para iniciar, implementar, manter e melhorar a gesto de
segurana da informao em uma organizao. Os objetivos definidos nesta Norma provem diretrizes gerais
sobre as metas geralmente aceitas para a gesto da segurana da informao.
Os objetivos de controle e os controles desta Norma tm como finalidade ser implementados para atender aos
requisitos identificados por meio da anlise/avaliao de riscos. Esta Norma pode servir como um guia prtico
para desenvolver os procedimentos de segurana da informao da organizao e as eficientes prticas de
gesto da segurana, e para ajudar a criar confiana nas atividades interorganizacionais.
2 Termos e definies
Para os efeitos desta Norma, aplicam-se os seguintes termos e definies.
2.1
ativo
qualquer coisa que tenha valor para a organizao
[ISO/IEC 13335-1:2004]
2.2
controle
forma de gerenciar o risco, incluindo polticas, procedimentos, diretrizes, prticas ou estruturas organizacionais,
que podem ser de natureza administrativa, tcnica, de gesto ou legal
NOTA Controle tambm usado como um sinmino para proteo ou contramedida.
2.3
diretriz
descrio que orienta o que deve ser feito e como, para se alcanarem os objetivos estabelecidos nas polticas
[ISO/IEC 13335-1:2004]
2.4
recursos de processamento da informao
qualquer sistema de processamento da informao, servio ou infra-estrutura, ou as instalaes fsicas que os
abriguem
2.5
segurana da informao
preservao da confidencialidade, da integridade e da disponibilidade da informao; adicionalmente, outras
propriedades, tais como autenticidade, responsabilidade, no repdio e confiabilidade, podem tambm estar
envolvidas
2.6
evento de segurana da informao
ocorrncia identificada de um sistema, servio ou rede, que indica uma possvel violao da poltica de
segurana da informao ou falha de controles, ou uma situao previamente desconhecida, que possa ser
relevante para a segurana da informao
[ISO/IEC TR 18044:2004]
2.7
incidente de segurana da informao
um incidente de segurana da informao indicado por um simples ou por uma srie de eventos de
segurana da informao indesejados ou inesperados, que tenham uma grande probabilidade de comprometer
as operaes do negcio e ameaar a segurana da informao
[ISO/IEC TR 18044:2004]
2.8
poltica
intenes e diretrizes globais formalmente expressas pela direo
2.9 risco
combinao da probabilidade de um evento e de suas conseqncias
[ABNT ISO/IEC Guia 73:2005]
2.10
anlise de riscos
uso sistemtico de informaes para identificar fontes e estimar o risco
[ABNT ISO/IEC Guia 73:2005]
2.11
anlise/avaliao de riscos
processo completo de anlise e avaliao de riscos
[ABNT ISO/IEC Guia 73:2005]
2.12
avaliao de riscos
processo de comparar o risco estimado com critrios de risco pr-definidos para determinar a importncia do
risco
[ABNT ISO/IEC Guia 73:2005]
2.13
gesto de riscos
atividades coordenadas para direcionar e controlar uma organizao no que se refere a riscos
NOTA A gesto de riscos geralmente inclui a anlise/avaliao de riscos, o tratamento de riscos, a aceitao de riscos
e a comunicao de riscos.
[ABNT ISO/IEC Guia 73:2005]
2.14
tratamento do risco
processo de seleo e implementao de medidas para modificar um risco
[ABNT ISO/IEC Guia 73:2005]
2.15
terceira parte
pessoa ou organismo reconhecido como independente das partes envolvidas, no que se refere a um dado
assunto
[ABNT ISO/IEC Guia 2:1998]
2.16
ameaa
causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organizao
[ISO/IEC 13335-1:2004]
2.17
vulnerabildade
fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaas
3.1 Sees
k) Conformidade (3).
Nota: A ordem das sees nesta Norma no significa o seu grau de importncia. Dependendo das circunstncias,
todas as sees podem ser importantes. Entretanto, cada organizao que utilize esta Norma deve identificar quais as
sees aplicveis, quo importante elas so e a sua aplicao para os processos especficos do negcio. Todas as alneas
nesta Norma tambm no esto ordenadas por prioridade, a menos que explicitado.
b) um ou mais controles que podem ser aplicados para se alcanar o objetivo do controle.
Controle
Define qual o controle especfico para atender ao objetivo do controle.
Informaes adicionais
Contm informaes adicionais que podem ser consideradas, como, por exemplo, consideraes legais e
referncias a outras normas.
Convm que as anlises/avaliaes de riscos identifiquem, quantifiquem e priorizem os riscos com base em
critrios para aceitao dos riscos e dos objetivos relevantes para a organizao. Convm que os resultados
orientem e determinem as aes de gesto apropriadas e as prioridades para o gerenciamento dos riscos de
segurana da informao, e para a implementao dos controles selecionados, de maneira a proteger contra
estes riscos. O processo de avaliar os riscos e selecionar os controles pode precisar ser realizado vrias vezes,
de forma a cobrir diferentes partes da organizao ou de sistemas de informao especficos.
Convm que a anlise/avaliao de riscos inclua um enfoque sistemtico de estimar a magnitude do risco
(anlise de riscos) e o processo de comparar os riscos estimados contra os critrios de risco para determinar a
significncia do risco (avaliao do risco).
Convm que as anlises/avaliaes de riscos tambm sejam realizadas periodicamente, para contemplar as
mudanas nos requisitos de segurana da informao e na situao de risco, ou seja, nos ativos, ameaas,
vulnerabilidades, impactos, avaliao do risco e quando uma mudana significativa ocorrer. Essas anlises/
avaliaes de riscos devem ser realizadas de forma metdica, capaz de gerar resultados comparveis e
reproduzveis.
Convm que a anlise/avaliao de riscos de segurana da informao tenha um escopo claramente definido
para ser eficaz e inclua os relacionamentos com as anlises/avaliaes de riscos em outras reas, se
necessrio.
O escopo de uma anlise/avaliao de riscos pode tanto ser em toda a organizao, partes da organizao,
em um sistema de informao especfico, em componentes de um sistema especfico ou em servios onde isto
seja praticvel, realstico e til. Exemplos de metodologias de anlise/avaliao de riscos so discutidas no
ISO/IEC TR 13335-3 (Guidelines for the management of IT security: Techniques for the management of IT
Security).
Convm que, antes de considerar o tratamento de um risco, a organizao defina os critrios para determinar
se os riscos podem ser ou no aceitos. Riscos podem ser aceitos se, por exemplo, for avaliado que o risco
baixo ou que o custo do tratamento no economicamente vivel para a organizao. Convm que tais
decises sejam registradas.
Para cada um dos riscos identificados, seguindo a anlise/avaliao de riscos, uma deciso sobre o tratamento
do risco precisa ser tomada. Possveis opes para o tratamento do risco, incluem:
b) conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente poltica da
organizao e aos critrios para a aceitao de risco;
d) transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores.
Convm que, para aqueles riscos onde a deciso de tratamento do risco seja a de aplicar os controles
apropriados, esses controles sejam selecionados e implementados para atender aos requisitos identificados
pela anlise/avaliao de riscos. Convm que os controles assegurem que os riscos sejam reduzidos a um
nvel aceitvel, levando-se em conta:
b) os objetivos organizacionais;
d) custo de implementao e a operao em relao aos riscos que esto sendo reduzidos e que
permanecem proporcionais s restries e requisitos da organizao;
Os controles podem ser selecionados desta Norma ou de outros conjuntos de controles, ou novos controles
podem ser considerados para atender s necessidades especficas da organizao. importante reconhecer
que alguns controles podem no ser aplicveis a todos os sistemas de informao ou ambientes, e podem no
ser praticveis para todas as organizaes. Como um exemplo, 10.1.3 descreve como as responsabilidades
podem ser segregadas para evitar fraudes e erros. Pode no ser possvel para pequenas organizaes
segregar todas as responsabilidades e, portanto, outras formas de atender o mesmo objetivo de controle
podem ser necessrias. Em um outro exemplo, 10.10 descreve como o uso do sistema pode ser monitorado e
as evidncias coletadas. Os controles descritos, como, por exemplo, eventos de logging, podem conflitar com
a legislao aplicvel, tais como a proteo privacidade dos clientes ou a exercida nos locais de trabalho.
Convm que os controles de segurana da informao sejam considerados na especificao dos requisitos e
nos estgios iniciais dos projetos e sistemas. Caso isso no seja realizado, pode acarretar custos adicionais e
solues menos efetivas, ou mesmo, no pior caso, incapacidade de se alcanar a segurana necessria.
Convm que seja lembrado que nenhum conjunto de controles pode conseguir a segurana completa, e que
uma ao gerencial adicional deve ser implementada para monitorar, avaliar e melhorar a eficincia e eficcia
dos controles de segurana da informao, para apoiar as metas da organizao.
Objetivo: Prover uma orientao e apoio da direo para a segurana da informao de acordo com os
requisitos do negcio e com as leis e regulamentaes relevantes.
Convm que a direo estabelea uma poltica clara, alinhada com os objetivos do negcio e demonstre apoio
e comprometimento com a segurana da informao por meio da publicao e manuteno de uma poltica de
segurana da informao para toda a organizao.
Controle
Convm que um documento da poltica de segurana da informao seja aprovado pela direo, publicado e
comunicado para todos os funcionrios e partes externas relevantes.
a) uma definio de segurana da informao, suas metas globais, escopo e importncia da segurana
da informao como um mecanismo que habilita o compartilhamento da informao (ver introduo);
f) referncias documentao que possam apoiar a poltica, por exemplo, polticas e procedimentos de
segurana mais detalhados de sistemas de informao especficos ou regras de segurana que os
usurios devem seguir.
Convm que esta poltica de segurana da informao seja comunicada atravs de toda a organizao para os
usurios de forma que seja relevante, acessvel e compreensvel para o leitor em foco.
Informaes adicionais
A poltica de segurana da informao pode ser uma parte de um documento da poltica geral. Se a poltica de
segurana da informao for distribuda fora da organizao, convm que sejam tomados cuidados para no
revelar informaes sensveis. Informaes adicionais podem ser encontradas na ISO/IEC 13335-1:2004.
Controle
Convm que a poltica de segurana da informao seja analisada criticamente a intervalos planejados ou
quando mudanas significativas ocorrerem, para assegurar a sua contnua pertinncia, adequao e eficcia.
Convm que a anlise crtica da poltica de segurana da informao leve em considerao os resultados da
anlise crtica pela direo. Convm que sejam definidos procedimentos para anlise crtica pela direo,
incluindo uma programao ou um perodo para a anlise crtica.
Convm que as entradas para a anlise crtica pela direo incluam informaes sobre:
f) mudanas que possam afetar o enfoque da organizao para gerenciar a segurana da informao,
incluindo mudanas no ambiente organizacional, nas circunstncias do negcio, na disponibilidade dos
recursos, nas questes contratuais, regulamentares e de aspectos legais ou no ambiente tcnico;
Convm que as sadas da anlise crtica pela direo incluam quaisquer decises e aes relacionadas a:
Convm que a aprovao pela direo da poltica de segurana da informao revisada seja obtida.
Convm que uma estrutura de gerenciamento seja estabelecida para iniciar e controlar a implementao da
segurana da informao dentro da organizao.
Convm que a direo aprove a poltica de segurana da informao, atribua as funes da segurana,
coordene e analise criticamente a implementao da segurana da informao por toda a organizao.
Se necessrio, convm que uma consultoria especializada em segurana da informao seja estabelecida e
disponibilizada dentro da organizao. Convm que contatos com especialistas ou grupos de segurana da
informao externos, incluindo autoridades relevantes, sejam feitos para se manter atualizado com as
tendncias do mercado, normas de monitorao e mtodos de avaliao, alm de fornecer apoio adequado,
quando estiver tratando de incidentes de segurana da informao. Convm que um enfoque multidisciplinar
na segurana da informao seja incentivado.
Controle
Convm que a direo apie ativamente a segurana da informao dentro da organizao, por meio de um
claro direcionamento, demonstrando o seu comprometimento, definindo atribuies de forma explcita e
conhecendo as responsabilidades pela segurana da informao.
a) assegure que as metas de segurana da informao esto identificadas, atendem aos requisitos da
organizao e esto integradas nos processos relevantes;
h) assegure que a implementao dos controles de segurana da informao tem uma coordenao e
permeia a organizao (ver 6.1.2).
Convm que a direo identifique as necessidades para a consultoria de um especialista interno ou externo em
segurana da informao, analise criticamente e coordene os resultados desta consultoria por toda a
organizao.
Dependendo do tamanho da organizao, tais responsabilidades podem ser conduzidas por um frum de
gesto exclusivo ou por um frum de gesto existente, a exemplo do conselho de diretores.
Informaes adicionais
Outras informaes podem ser obtidas na ISO/IEC 13335-1:2004.
Controle
Convm que as atividades de segurana da informao sejam coordenadas por representantes de diferentes
partes da organizao, com funes e papis relevantes.
Se a organizao no usa representantes das diferentes reas, por exemplo, porque tal grupo no
apropriado para o tamanho da organizao, as aes descritas acima devem ser conduzidas por um frum de
gesto adequado ou por um gestor individual.
Controle
Convm que todas as responsabilidades pela segurana da informao, estejam claramente definidas.
Pessoas com responsabilidades definidas pela segurana da informao podem delegar as tarefas de
segurana da informao para outros usurios. Todavia eles continuam responsveis e convm que verifiquem
se as tarefas delegadas esto sendo executadas corretamente.
Convm que as reas pelas quais as pessoas sejam responsveis, estejam claramente definidas; em
particular convm que os seguintes itens sejam cumpridos:
b) gestor responsvel por cada ativo ou processo de segurana da informao tenha atribuies
definidas e os detalhes dessa responsabilidade sejam documentados (ver 7.1.2);
Informaes adicionais
Em muitas organizaes um gestor de segurana da informao pode ser indicado para assumir a
responsabilidade global pelo desenvolvimento e implementao da segurana da informao e para apoiar a
identificao de controles.
Entretanto, a responsabilidade pela obteno dos recursos e implementao dos controles permanece sempre
com os gestores. Uma prtica comum indicar um responsvel por cada ativo, tornando-o assim responsvel
por sua proteo no dia a dia.
Controle
Convm que seja definido e implementado um processo de gesto de autorizao para novos recursos de
processamento da informao.
b) hardware e o software sejam verificados para garantir que so compatveis com outros componentes
do sistema, onde necessrios;
c) uso de recursos de processamento de informao, pessoais ou privados, como, por exemplo, note
books, computadores pessoais ou dispositivos do tipo palm top, para processamento das informaes
do negcio, possa introduzir novas vulnerabilidades, e convm que controles necessrios sejam
identificados e implementados.
Controle
Convm que os requisitos para confidencialidade ou acordos de no divulgao que reflitam as necessidades
da organizao para a proteo da informao sejam identificados e analisados criticamente, de forma regular.
b) tempo de durao esperado de um acordo, incluindo situaes onde a confidencialidade tenha que ser
mantida indefinidamente;
Com base nos requisitos de segurana da informao da organizao, outros elementos podem ser
necessrios em um acordo de confidencialidade ou de no divulgao.
Convm que os acordos de confidencialidade e de no divulgao estejam em conformidade com todas as leis
e regulamentaes aplicveis na jurisdio para a qual eles se aplicam (ver 15.1.1)
Informaes adicionais
Acordos de confidencialidade e de no divulgao protegem as informaes da organizao e informam aos
signatrios das suas responsabilidades, para proteger, usar e divulgar a informao de maneira responsvel e
autorizada.
Pode haver a necessidade de uma organizao usar diferentes formas de acordos de confidencialidade ou de
no divulgao, em diferentes circunstncias.
Controle
Convm que contatos apropriados com autoridades relevantes sejam mantidos.
Organizaes que estejam sob ataque da internet podem precisar do apoio de partes externas organizao
(por exemplo, um provedor de servio da internet ou um operador de telecomunicaes), para tomar aes
contra a origem do ataque.
Informaes adicionais
A manuteno de tais contatos pode ser um requisito para apoiar a gesto de incidentes de segurana da
informao (ver 13.2) ou da continuidade dos negcios e do processo de planejamento da contingncia
(ver seo 14). Contatos com organismos reguladores so tambm teis para antecipar e preparar para as
mudanas futuras na lei ou nos regulamentos, os quais tm que ser seguidos pela organizao. Contatos com
outras autoridades incluem utilidades, servios de emergncia, sade e segurana, por exemplo corpo de
bombeiros (em conjunto com a continuidade do negcio), provedores de telecomunicao (em conjunto com
as rotas de linha e disponibilidade), fornecedor de gua (em conjunto com as instalaes de refrigerao para
os equipamentos).
Controle
Convm que sejam mantidos contatos apropriados com grupos de interesses especiais ou outros fruns
especializados de segurana da informao e associaes profissionais.
f) prover relacionamentos adequados quando tratar com incidentes de segurana da informao (ver
13.2.1).
Informaes adicionais
Acordos de compartilhamento de informaes podem ser estabelecidos para melhorar a cooperao e
coordenao de assuntos de segurana da informao. Convm que tais acordos identifiquem requisitos para
a proteo de informaes sensveis.
Controle
Convm que o enfoque da organizao para gerenciar a segurana da informao e a sua implementao (por
exemplo, controles, objetivo dos controles, polticas, processos e procedimentos para a segurana da
informao) seja analisado criticamente, de forma independente, a intervalos planejados, ou quando ocorrerem
mudanas significativas relativas implementao da segurana da informao.
Convm que a anlise crtica seja executada por pessoas independentes da rea avaliada, como, por exemplo,
uma funo de auditoria interna, um gerente independente ou uma organizao de terceira parte especializada
em tais anlises crticas. Convm que as pessoas que realizem estas anlises crticas possuam habilidade e
experincia apropriadas.
Convm que os resultados da anlise crtica independente sejam registrados e relatados para a direo que
iniciou a anlise crtica. Estes registros devem ser mantidos.
Se a anlise crtica independente identificar que o enfoque da organizao e a implementao para gerenciar a
segurana da informao so inadequados ou no-conformes com as orientaes estabelecidas pela
segurana da informao, no documento da poltica de segurana da informao (ver 5.1.1), convm que a
direo considere a tomada de aes corretivas.
Informaes adicionais
Convm que as reas onde os gerentes regularmente fazem a anlise crtica (ver 15.2.1) possam tambm ser
analisadas criticamente de forma independente. Tcnicas para a anlise crtica podem incluir entrevistas com a
gerncia, verificao de registros ou anlise crtica dos documentos da poltica de segurana da informao.
A ABNT NBR ISO 19011:2002, Diretrizes para auditoria de sistemas de gesto da qualidade e/ou do meio
ambiente, pode tambm fornecer orientaes para se realizar a anlise crtica independente, incluindo o
estabelecimento e a implementao de um programa de anlise crtica. A subseo 15.3 especifica os
controles relevantes para a anlise crtica independente de sistemas de informaes operacionais e o uso de
ferramentas de auditoria de sistemas.
Convm que seja feita uma anlise/avaliao dos riscos envolvidos para determinar as possveis implicaes
na segurana e os controles necessrios, onde existir uma necessidade de negcio para trabalhar com partes
externas, que possa requerer acesso aos recursos de processamento da informao e informao da
organizao, ou na obteno e fornecimento de um produto e servio de uma parte externa ou para ela.
Convm que os controles sejam acordados e definidos por meio de um acordo com a parte externa.
Controle
Convm que os riscos para os recursos de processamento da informao e da informao da organizao
oriundos de processos do negcio que envolva as partes externas sejam identificados e controles apropriados
implementados antes de se conceder o acesso.
a) os recursos de processamento da informao que uma parte externa esteja autorizada a acessar;
b) tipo de acesso que a parte externa ter aos recursos de processamento da informao e informao,
como, por exemplo:
3) rede de conexo entre a organizao e a rede da parte externa, como, por exemplo, conexo
permanente, acesso remoto;
d) os controles necessrios para proteger a informao que no deva ser acessada pelas partes
externas;
f) como a organizao ou o pessoal autorizado a ter acesso pode ser identificado, como a autorizao
verificada e com qual freqncia isto precisa ser reconfirmado;
g) as diferentes formas e controles empregados pela parte externa quando estiver armazenando,
processando, comunicando, compartilhando e repassando informaes;
h) impacto do acesso no estar disponvel para a parte externa, quando requerido, e a entrada ou o
recebimento incorreto ou por engano da informao;
i) prticas e procedimentos para tratar com incidentes de segurana da informao e danos potenciais, e
os termos e condies para que a parte externa continue acessando, no caso que ocorra um incidente
de segurana da informao;
j) que os requisitos legais e regulamentares e outras obrigaes contratuais relevantes para a parte
externa sejam levados em considerao;
k) como os interesses de quaisquer uma das partes interessadas podem ser afetados pelos acordos.
Convm que o acesso s informaes da organizao pelas partes externas no seja fornecido at que os
controles apropriados tenham sido implementados e, onde for vivel, um contrato tenha sido assinado
definindo os termos e condies para a conexo ou o acesso e os preparativos para o trabalho. Convm que,
de uma forma geral, todos os requisitos de segurana da informao resultantes do trabalho com partes
externas ou controles internos estejam refletidos por um acordo com a parte externa (ver 6.2.2 e 6.2.3).
Convm que seja assegurado que a parte externa est consciente de suas obrigaes, e aceita as
responsabilidades e obrigaes envolvendo o acesso, processamento, comunicao ou o gerenciamento dos
recursos do processamento da informao e da informao da organizao.
Informaes adicionais
A informao pode ser colocada em risco por partes externas com uma gesto inadequada da segurana da
informao. Convm que os controles sejam identificados e aplicados para administrar o acesso da parte
externa aos recursos de processamento da informao. Por exemplo, se existir uma necessidade especial
para a confidencialidade da informao, acordos de no divulgao devem ser usados.
As organizaes podem estar sujeitas a riscos associados com processos interorganizacionais, gerenciamento
e comunicao, se um alto grau de terceirizao for realizado, ou onde existirem vrias partes externas
envolvidas.
Os controles de 6.2.2 e 6.2.3 cobrem diferentes situaes para as partes externas, incluindo, por exemplo:
a) provedores de servio, tais como ISP, provedores de rede, servios de telefonia e servios de apoio e
manuteno;
c) clientes;
d) operaes e/ou recursos de terceirizao, como, por exemplo, sistemas de TI, servios de coleta de
dados, operao de call center;
Tais acordos podem ajudar a reduzir o risco associado com as partes externas.
Controle
Convm que todos os requisitos de segurana da informao identificados sejam considerados antes de
conceder aos clientes o acesso aos ativos ou s informaes da organizao.
2) procedimentos para definir aes quando ocorrer o comprometimento de quaisquer dos ativos, por
exemplo, perda ou modificao de dados;
3) integridade;
1) mtodos de acesso permitido e o controle e uso de identificadores nicos, tais como identificador
de usurio e senhas de acesso;
3) uma declarao de que todo o acesso que no seja explicitamente autorizado proibido;
e) procedimentos para relato, notificao e investigao de informaes imprecisas (por exemplo, sobre
pessoal), incidentes de segurana da informao e violao da segurana da informao;
j) responsabilidades com relao a aspectos legais e como assegurado que os requisitos legais so
atendidos, por exemplo, leis de proteo de dados, especialmente levando-se em considerao os
diferentes sistemas legais nacionais se o acordo envolver a cooperao com clientes em outros pases
(ver 15.1);
k) direitos de propriedade intelectual e direitos autorais (ver 15.1.2) e proteo de qualquer trabalho
colaborativo (ver 6.1.5).
Informaes adicionais
Os requisitos de segurana da informao relacionados com o acesso dos clientes aos ativos da organizao
podem variar consideravelmente, dependendo dos recursos de processamento da informao e das
informaes que esto sendo acessadas. Estes requisitos de segurana da informao podem ser
contemplados, usando-se os acordos com o cliente, os quais contm todos os riscos identificados e os
requisitos de segurana da informao (ver 6.2.1).
Acordos com partes externas podem tambm envolver outras partes. Convm que os acordos que concedam
o acesso a partes externas incluam permisso para designao de outras partes autorizadas e condies para
os seus acessos e envolvimento.
Controle
Convm que os acordos com terceiros envolvendo o acesso, processamento, comunicao ou gerenciamento
dos recursos de processamento da informao ou da informao da organizao, ou o acrscimo de produtos
ou servios aos recursos de processamento da informao cubram todos os requisitos de segurana da
informao relevantes.
Convm que os seguintes termos sejam considerados para incluso no acordo, com o objetivo de atender aos
requisitos de segurana da informao identificados (ver 6.2.1):
4) procedimentos para definir aes quando ocorrer o comprometimento de quaisquer dos ativos, por
exemplo, perda ou modificao de informaes, software e hardware;
5) controles para assegurar o retorno ou a destruio da informao e dos ativos no final do contrato,
ou em um dado momento definido no acordo.
4) um requisito para manter uma lista de pessoas autorizadas a usar os servios que esto sendo
disponibilizados, e quais os seus direitos e privilgios com relao a tal uso;
5) uma declarao de que todo o acesso que no seja explicitamente autorizado proibido;
k) uma descrio do produto ou servio que est sendo fornecido e uma descrio da informao que
deve estar disponvel, juntamente com a sua classificao de segurana (ver 7.2.1);
o) direito de auditar as responsabilidades definidas do acordo, para ter essas auditorias realizadas por
terceira parte para enumerar os direitos regulamentares dos auditores;
q) requisitos para a continuidade dos servios, incluindo medies para disponibilidade e confiabilidade,
de acordo com as prioridades do negcio da organizao;
s) responsabilidades com relao a aspectos legais e como assegurado que os requisitos legais so
atendidos, por exemplo, leis de proteo de dados, levando-se em considerao especialmente os
diferentes sistemas legais nacionais, se o acordo envolver a cooperao com organizaes em outros
pases (ver 15.1);
t) direitos de propriedade intelectual e direitos autorais (ver 15.1.2) e proteo de qualquer trabalho
colaborativo (ver 6.1.5);
1) um plano de contingncia deve ser elaborado no caso de uma das partes desejar encerrar a
relao antes do final do acordo;
3) listas atualizadas da documentao dos ativos, licenas, acordos ou direitos relacionados aos
ativos.
Informaes adicionais
Os acordos podem variar consideravelmente para diferentes organizaes e entre os diferentes tipos de
terceiros. Convm, entretanto, que sejam tomados cuidados para incluir nos acordos todos os riscos
identificados e os requisitos de segurana da informao (ver 6.2.1). Onde necessrio, os procedimentos e
controles requeridos podem ser includos em um plano de gesto de segurana da informao.
Se a gesto da segurana da informao for terceirizada, convm que os acordos definam como os terceiros
iro garantir que a segurana da informao, conforme definida na anlise/avaliao de riscos, ser mantida e
como a segurana da informao ser adaptada para identificar e tratar com as mudanas aos riscos.
Algumas das diferenas entre as terceirizaes e as outras formas de proviso de servios de terceiros
incluem a questo das obrigaes legais, o planejamento do perodo de transio e de descontinuidade da
operao durante este perodo, planejamento de contingncias e anlise crtica de investigaes, e coleta e
gesto de incidentes de segurana da informao. Entretanto, importante que a organizao planeje e
gerencie a transio para um terceirizado e tenha processos adequados implantados para gerenciar as
mudanas e renegociar ou encerrar os acordos.
Os procedimentos para continuar processando no caso em que o terceiro se torne incapaz de prestar o servio
precisam ser considerados no acordo para evitar qualquer atraso nos servios de substituio.
Acordos com terceiros podem tambm envolver outras partes. Convm que os acordos que concedam o
acesso a terceiros incluam permisso para designao de outras partes autorizadas e condies para os seus
acessos e envolvimento.
De um modo geral os acordos so geralmente elaborados pela organizao. Podem existir situaes onde, em
algumas circunstncias, um acordo possa ser elaborado e imposto pela organizao para o terceiro.
A organizao precisa assegurar que a sua prpria segurana da informao no afetada
desnecessariamente pelos requisitos do terceiro, estipulados no acordo imposto.
7 Gesto de ativos
Convm que os proprietrios dos ativos sejam identificados e a eles seja atribuda a responsabilidade pela
manuteno apropriada dos controles. A implementao de controles especficos pode ser delegada pelo
proprietrio, conforme apropriado, porm o proprietrio permanece responsvel pela proteo adequada dos
ativos.
Controle
Convm que todos os ativos sejam claramente identificados e um inventrio de todos os ativos importantes
seja estruturado e mantido.
Adicionalmente, convm que o proprietrio (ver 7.1.2) e a classificao da informao (ver 7.2) sejam
acordados e documentados para cada um dos ativos. Convm que, com base na importncia do ativo, seu
valor para o negcio e a sua classificao de segurana, nveis de proteo proporcionais importncia dos
ativos sejam identificados (mais informaes sobre como valorar os ativos para indicar a sua importncia
podem ser encontradas na ISO IEC TR 13335-3).
Informaes adicionais
Existem vrios tipos de ativos, incluindo:
Os inventrios de ativos ajudam a assegurar que a proteo efetiva do ativo pode ser feita e tambm pode ser
requerido para outras finalidades do negcio, como sade e segurana, seguro ou financeira (gesto de ativos).
O processo de compilao de um inventrio de ativos um pr-requisito importante no gerenciamento de
riscos (ver seo 4).
Controle
Convm que todas as informaes e ativos associados com os recursos de processamento da informao
tenham um proprietrio2 designado por uma parte definida da organizao.
a) um processo do negcio;
c) uma aplicao; ou
Informaes adicionais
As tarefas de rotina podem ser delegadas, por exemplo, para um custodiante que cuida do ativo no dia-a-dia,
porm a responsabilidade permanece com o proprietrio.
Em sistemas de informao complexos pode ser til definir grupos de ativos que atuem juntos para fornecer
uma funo particular, como servios. Neste caso, o proprietrio do servio o responsvel pela entrega do
servio, incluindo o funcionamento dos ativos, que prov os servios.
Controle
Convm que sejam identificadas, documentadas e implementadas regras para que sejam permitidos o uso de
informaes e de ativos associados aos recursos de processamento da informao.
b) diretrizes para o uso de dispositivos mveis, especialmente para o uso fora das instalaes da
organizao (ver 11.7.1).
2 O termo proprietrio identifica uma pessoa ou organismo que tenha uma responsabilidade autorizada para controlar a
produo, o desenvolvimento, a manuteno, o uso e a segurana dos ativos. O termo "proprietrio" no significa que a
pessoa realmente tenha qualquer direito de propriedade ao ativo.
Convm que regras especficas ou diretrizes sejam fornecidas pelo gestor relevante. Convm que funcionrios,
fornecedores e terceiros que usem ou tenham acesso aos ativos da organizao estejam conscientes dos
limites que existem para os usos das informaes e ativos associados da organizao aos recursos de
processamento da informao. Convm que eles sejam responsveis pelo uso de quaisquer recursos de
processamento da informao e de quaisquer outros usos conduzidos sob a suas responsabilidades.
Convm que a informao seja classificada para indicar a necessidade, prioridades e o nvel esperado de
proteo quando do tratamento da informao.
A informao possui vrios nveis de sensibilidade e criticidade. Alguns itens podem necessitar um nvel
adicional de proteo ou tratamento especial. Convm que um sistema de classificao da informao seja
usado para definir um conjunto apropriado de nveis de proteo e determinar a necessidade de medidas
especiais de tratamento.
Controle
Convm que a informao seja classificada em termos do seu valor, requisitos legais, sensibilidade e
criticidade para a organizao.
Convm que as diretrizes para classificao incluam convenes para classificao inicial e reclassificao ao
longo do tempo, de acordo com algumas polticas de controle de acesso predeterminadas (ver 11.1.1)
Convm que seja de responsabilidade do proprietrio do ativo (ver 7.1.2) definir a classificao de um ativo,
analisando-o criticamente a intervalos regulares, e assegurar que ele est atualizado e no nvel apropriado.
Convm que a classificao leve em considerao a agregao do efeito mencionado em 10.7.2.
Convm que cuidados sejam tomados com a quantidade de categorias de classificao e com os benefcios
obtidos pelo seu uso. Esquemas excessivamente complexos podem tornar o uso incmodo e ser inviveis
economicamente ou impraticveis. Convm que ateno especial seja dada na interpretao dos rtulos de
classificao sobre documentos de outras organizaes, que podem ter definies diferentes para rtulos
iguais ou semelhantes aos usados.
Informaes adicionais
O nvel de proteo pode ser avaliado analisando a confidencialidade, a integridade e a disponibilidade da
informao, bem como quaisquer outros requisitos que sejam considerados.
A informao freqentemente deixa de ser sensvel ou crtica aps um certo perodo de tempo, por exemplo
quando a informao se torna pblica. Convm que estes aspectos sejam levados em considerao, pois uma
classificao superestimada pode levar implementao de custos desnecessrios, resultando em despesas
adicionais.
Considerar, conjuntamente, documentos com requisitos de segurana similares, quando da atribuio dos
nveis de classificao, pode ajudar a simplificar a tarefa de classificao.
Em geral, a classificao dada informao uma maneira de determinar como esta informao vai ser
tratada e protegida.
Controle
Convm que um conjunto apropriado de procedimentos para rotulao e tratamento da informao seja
definido e implementado de acordo com o esquema de classificao adotado pela organizao.
Convm que as sadas de sistemas que contm informaes classificadas como sensveis ou crticas tenham
o rtulo apropriado da classificao da informao (na sada). Convm que o rtulo reflita a classificao de
acordo com as regras estabelecidas em 7.2.1. Itens que devem ser considerados incluem relatrios impressos,
telas, mdias magnticas (fitas, discos, CD), mensagens eletrnicas e transferncias de arquivos.
Convm que sejam definidos, para cada nvel de classificao, procedimentos para o tratamento da
informao que contemplem o processamento seguro, a armazenagem, a transmisso, a reclassificao e a
destruio. Convm que isto tambm inclua os procedimentos para a cadeia de custdia e registros de
qualquer evento de segurana relevante.
Convm que acordos com outras organizaes, que incluam o compartilhamento de informaes, considerem
procedimentos para identificar a classificao daquela informao e para interpretar os rtulos de classificao
de outras organizaces.
Informaes adicionais
A rotulao e o tratamento seguro da classificao da informao um requisito-chave para os procedimentos
de compartilhamento da informao. Os rtulos fsicos so uma forma usual de rotulao. Entretanto, alguns
ativos de informao, como documentos em forma eletrnica, no podem ser fisicamente rotulados, sendo
necessrio usar um rtulo eletrnico. Por exemplo, a notificao do rtulo pode aparecer na tela ou no display.
Onde a aplicao do rtulo no for possvel, outras formas de definir a classificao da informao podem ser
usadas, por exemplo, por meio de procedimentos ou metadados.
Objetivo: Assegurar que os funcionrios, fornecedores e terceiros entendam suas responsabilidades e estejam
de acordo com os seus papis, e reduzir o risco de roubo, fraude ou mau uso de recursos.
Convm que as responsabilidades pela segurana da informao sejam atribudas antes da contratao, de
forma adequada, nas descries de cargos e nos termos e condies de contratao.
Convm que todos os candidatos ao emprego, fornecedores e terceiros sejam adequadamente analisados,
especialmente em cargos com acesso a informaes sensveis.
Convm que todos os funcionrios, fornecedores e terceiros, usurios dos recursos de processamento da
informao, assinem acordos sobre seus papis e responsabilidades pela segurana da informao.
Controle
Convm que papis e responsabilidades pela segurana da informao de funcionrios, fornecedores e
terceiros sejam definidos e documentados de acordo com a poltica de segurana da informao da
organizao.
a) implementar e agir de acordo com as polticas de segurana da informao da organizao (ver 5.1);
e) relatar eventos potenciais ou reais de segurana da informao ou outros riscos de segurana para a
organizao.
Informaes adicionais
Descries de cargos podem ser usadas para documentar responsabilidades e papis pela segurana da
informao. Convm que papis e responsabilidades pela segurana da informao para pessoas que no
esto engajadas por meio do processo de contratao da organizao, como, por exemplo, atravs de uma
organizao terceirizada, sejam claramente definidos e comunicados.
3
Explicao: A palavra contratao, neste contexto, visa cobrir todas as seguintes diferentes situaes: contratao de
pessoas (temporrias ou por longa durao), nomeao de funes, mudana de funes, atribuies de contratos e
encerramento de quaisquer destas situaes.
8.1.2 Seleo
Controle
Convm que verificaes de controle de todos os candidatos a emprego, fornecedores e terceiros sejam
realizadas de acordo com as leis relevantes, regulamentaes e ticas, e proporcional aos requisitos do
negcio, classificao das informaes a serem acessadas e aos riscos percebidos.
a) disponibilidade de referncias de carter satisfatrias, por exemplo uma profissional e uma pessoal;
b) uma verificao (da exatido e inteireza) das informaes do curriculum vitae do candidato;
e) verificaes mais detalhadas, tais como verificaes financeiras (de crdito) ou verificaes de
registros criminais.
Convm que a organizao tambm faa verificaes mais detalhadas, onde um trabalho envolver pessoas,
tanto por contratao como por promoo, que tenham acesso aos recursos de processamento da informao,
em particular aquelas que tratam de informaes sensveis, tais como informaes financeiras ou informaes
altamente confidenciais.
Convm que os procedimentos definam critrios e limitaes para as verificaes de controle, por exemplo,
quem est qualificado para selecionar as pessoas, e como, quando e por que as verificaes de controle so
realizadas.
Convm que um processo de seleo tambm seja feito para fornecedores e terceiros. Quando essas pessoas
vm por meio de uma agncia, convm que o contrato especifique claramente as responsabilidades da
agncia pela seleo e os procedimentos de notificao que devem ser seguidos se a seleo no for
devidamente concluda ou quando os resultados obtidos forem motivos de dvidas ou preocupaes. Do
mesmo modo, convm que acordos com terceiros (ver 6.2.3) especifiquem claramente todas as
responsabilidades e procedimentos de notificao para a seleo.
Convm que informaes sobre todos os candidatos que esto sendo considerados para certas posies
dentro da organizao sejam levantadas e tratadas de acordo com qualquer legislao apropriada existente na
jurisdio pertinente. Dependendo da legislao aplicvel, convm que os candidatos sejam previamente
informados sobre as atividades de seleo.
Controle
Como parte das suas obrigaes contratuais, convm que os funcionrios, fornecedores e terceiros concordem
e assinem os termos e condies de sua contratao para o trabalho, os quais devem declarar as suas
responsabilidades e a da organizao para a segurana da informao.
a) que todos os funcionrios, fornecedores e terceiros que tenham acesso a informaes sensveis
assinem um termo de confidencialidade ou de no divulgao antes de lhes ser dado o acesso aos
recursos de processamento da informao;
b) as responsabilidades legais e direitos dos funcionrios, fornecedores e quaisquer outros usurios, por
exemplo, com relao s leis de direitos autorais ou legislao de proteo de dados (ver 15.1.1 e
15.1.2);
f) responsabilidades que se estendem para fora das dependncias da organizao e fora dos horrios
normais de trabalho, como, por exemplo, nos casos de execuo de trabalhos em casa (ver 9.2.5 e
11.7.1);
Convm que a organizao assegure que os funcionrios, fornecedores e terceiros concordam com os termos
e condies relativas segurana da informao adequados natureza e extenso do acesso que eles tero
aos ativos da organizao associados com os sistemas e servios de informao.
Convm que as responsabilidades contidas nos termos e condies de contratao continuem por um perodo
de tempo definido, aps o trmino da contratao (ver 8.3), onde apropriado.
Informaes adicionais
Um cdigo de conduta pode ser usado para contemplar as responsabilidades dos funcionrios, fornecedores
ou terceiros, em relao confidencialidade, proteo de dados, ticas, uso apropriado dos recursos e dos
equipamentos da organizao, bem como prticas de boa conduta esperada pela organizao. O fornecedor
ou o terceiro pode estar associado com uma organizao externa que possa, por sua vez, ser solicitada a
participar de acordos contratuais, em nome do contratado.
Objetivo: Assegurar que os funcionrios, fornecedores e terceiros esto conscientes das ameaas e
preocupaes relativas segurana da informao, suas responsabilidades e obrigaes, e esto preparados
para apoiar a poltica de segurana da informao da organizao durante os seus trabalhos normais, e para
reduzir o risco de erro humano.
Convm que as responsabilidades pela direo sejam definidas para garantir que a segurana da informao
aplicada em todo trabalho individual dentro da organizao.
Controle
Convm que a direo solicite aos funcionrios, fornecedores e terceiros que pratiquem a segurana da
informao de acordo com o estabelecido nas polticas e procedimentos da organizao.
b) recebam diretrizes que definam quais as expectativas sobre a segurana da informao de suas
atividades dentro da organizao;
d) atinjam um nvel de conscientizao sobre segurana da informao que seja relevante para os seus
papis e responsabilidades dentro da organizao (ver 8.2.2);
e) atendam aos termos e condies de contratao, que incluam a poltica de segurana da informao
da organizao e mtodos apropriados de trabalho;
Informaes adicionais
Se os funcionrios, fornecedores e terceiros no forem conscientizados das suas responsabilidades, eles
podem causar considerveis danos para a organizao. Pessoas motivadas tm uma maior probabilidade de
serem mais confiveis e de causar menos incidentes de segurana da informao.
Controle
Convm que todos os funcionrios da organizao e, onde pertinente, fornecedores e terceiros recebam
treinamento apropriados em conscientizao, e atualizaes regulares nas polticas e procedimentos
organizacionais, relevantes para as suas funes.
Informaes adicionais
Convm que a conscientizao, educao e treinamento nas atividades de segurana da informao sejam
adequados e relevantes para os papis, responsabilidades e habilidades da pessoa, e que incluam
informaes sobre conhecimento de ameaas, quem deve ser contatado para orientaes sobre segurana da
informao e os canais adequados para relatar os incidentes de segurana da informao (ver 13.1).
O treinamento para aumentar a conscientizao visa permitir que as pessoas reconheam os problemas e
incidentes de segurana da informao, e respondam de acordo com as necessidades do seu trabalho.
Controle
Convm que exista um processo disciplinar formal para os funcionrios que tenham cometido uma violao da
segurana da informao.
Convm que o processo disciplinar formal assegure um tratamento justo e correto aos funcionrios que so
suspeitos de cometer violaes de segurana da informao. O processo disciplinar formal deve dar uma
resposta de forma gradual, que leve em considerao fatores como a natureza e a gravidade da violao e o
seu impacto no negcio, se este ou no o primeiro delito, se o infrator foi ou no adequadamente treinado, as
legislaes relevantes, os contratos do negcio e outros fatores conforme requerido. Em casos srios de m
conduta, convm que o processo permita, por um certo perodo, a remoo das responsabilidades, dos direitos
de acesso e privilgios e, dependendo da situao, solicitar pessoa, a sada imediata das dependncias da
organizao, escoltando-a.
Informaes adicionais
Convm que o processo disciplinar tambm seja usado como uma forma de dissuaso, para evitar que os
funcionrios, fornecedores e terceiros violem os procedimentos e as polticas de segurana da informao da
organizao, e quaisquer outras violaes na segurana.
Objetivo: Assegurar que funcionrios, fornecedores e terceiros deixem a organizao ou mudem de trabalho
de forma ordenada.
Convm que responsabilidades sejam definidas para assegurar que a sada de funcionrios, fornecedores e
terceiros da organizao seja feita de modo controlado e que a devoluo de todos os equipamentos e a
retirada de todos os direitos de acesso esto concludas.
Convm que as mudanas de responsabilidades e de trabalhos dentro de uma organizao sejam gerenciadas
quando do encerramento da respectiva responsabilidade ou trabalho de acordo com esta seo, e quaisquer
novos trabalhos sejam gerenciados conforme descrito em 8.1.
Controle
Convm que responsabilidades para realizar o encerramento ou a mudana de um trabalho sejam claramente
definidas e atribudas.
Convm que as responsabilidades e obrigaes contidas nos contratos dos funcionrios, fornecedores ou
terceiros permaneam vlidas aps o encerramento das atividades.
Informaes adicionais
A funo de Recursos Humanos geralmente responsvel pelo processo global de encerramento e trabalha
em conjunto com o gestor responsvel pela pessoa que est saindo, para gerenciar os aspectos de segurana
da informao dos procedimentos pertinentes. No caso de um fornecedor, o processo de encerramento de
atividades pode ser realizado por uma agncia responsvel pelo fornecedor e, no caso de um outro usurio,
isto pode ser tratado pela sua organizao.
Pode ser necessrio informar aos funcionrios, clientes, fornecedores ou terceiros sobre as mudanas de
pessoal e procedimentos operacionais.
Controle
Convm que todos os funcionrios, fornecedores e terceiros devolvam todos os ativos da organizao que
estejam em sua posse, aps o encerramento de suas atividades, do contrato ou acordo.
No caso em que um funcionrio, fornecedor ou terceiro compre o equipamento da organizao ou use o seu
prprio equipamento pessoal, convm que procedimentos sejam adotados para assegurar que toda a
informao relevante seja transferida para a organizao e que seja apagada de forma segura do equipamento
(ver 10.7.1).
Nos casos em que o funcionrio, fornecedor ou terceiro tenha conhecimento de que seu trabalho importante
para as atividades que so executadas, convm que este conhecimento seja documentado e transferido para a
organizao.
Controle
Convm que os direitos de acesso de todos os funcionrios, fornecedores e terceiros s informaes e aos
recursos de processamento da informao sejam retirados aps o encerramento de suas atividades, contratos
ou acordos, ou ajustado aps a mudana destas atividades.
Convm que os direitos de acesso aos ativos de informao e aos recursos de processamento da informao
sejam reduzidos ou retirados antes que a atividade se encerre ou altere, dependendo da avaliao de fatores
de risco, tais como:
Informaes adicionais
Em certas circunstncias os direitos de acesso podem ser alocados com base no que est sendo
disponibilizado para mais pessoas do que as que esto saindo (funcionrio, fornecedor ou terceiro), como, por
exemplo, grupos de ID. Convm que, em tais casos, as pessoas que esto saindo da organizao sejam
retiradas de quaisquer listas de grupos de acesso e que sejam tomadas providncias para avisar aos outros
funcionrios, fornecedores e terceiros envolvidos para no mais compartilhar estas informaes com a pessoa
que est saindo.
Nos casos em que o encerramento da atividade seja da iniciativa do gestor, os funcionrios, fornecedores ou
terceiros descontentes podem deliberadamente corromper a informao ou sabotar os recursos de
processamento da informao. No caso de pessoas demitidas ou exoneradas, elas podem ser tentadas a
coletar informaes para uso futuro.
Objetivo: Prevenir o acesso fsico no autorizado, danos e interferncias com as instalaes e informaes da
organizao.
Convm que as instalaes de processamento da informao crticas ou sensveis sejam mantidas em reas
seguras, protegidas por permetros de segurana definidos, com barreiras de segurana e controles de acesso
apropriados. Convm que sejam fisicamente protegidas contra o acesso no autorizado, danos e
interferncias.
Controle
Convm que sejam utilizados permetros de segurana (barreiras tais como paredes, portes de entrada
controlados por carto ou balces de recepo com recepcionistas) para proteger as reas que contenham
informaes e instalaes de processamento da informao.
c) seja implantada uma rea de recepo, ou um outro meio para controlar o acesso fsico ao local ou ao
edifcio; o acesso aos locais ou edifcios deve ficar restrito somente ao pessoal autorizado;
d) sejam construdas barreiras fsicas, onde aplicvel, para impedir o acesso fsico no autorizado e a
contaminao do meio ambiente;
Informaes adicionais
Pode-se obter proteo fsica criando uma ou mais barreiras fsicas ao redor das instalaes e dos recursos de
processamento da informao da organizao. O uso de barreiras mltiplas proporciona uma proteo
adicional, uma vez que neste caso a falha de uma das barreiras no significa que a segurana fique
comprometida imediatamente.
Uma rea segura pode ser um escritrio trancvel ou um conjunto de salas rodeado por uma barreira fsica
interna contnua de segurana. Pode haver necessidade de barreiras e permetros adicionais para o controle
do acesso fsico, quando existem reas com requisitos de segurana diferentes dentro do permetro de
segurana.
Convm que sejam tomadas precaues especiais para a segurana do acesso fsico no caso de edifcios que
alojam diversas organizaes.
Controle
Convm que as reas seguras sejam protegidas por controles apropriados de entrada para assegurar que
somente pessoas autorizadas tenham acesso.
a) a data e hora da entrada e sada de visitantes sejam registradas, e todos os visitantes sejam
supervisionados, a no ser que o seu acesso tenha sido previamente aprovado; convm que as
permisses de acesso sejam concedidas somente para finalidades especficas e autorizadas, e sejam
emitidas com instrues sobre os requisitos de segurana da rea e os procedimentos de emergncia;
c) seja exigido que todos os funcionrios, fornecedores e terceiros, e todos os visitantes, tenham alguma
forma visvel de identificao, e eles devem avisar imediatamente o pessoal de segurana caso
encontrem visitantes no acompanhados ou qualquer pessoa que no esteja usando uma identificao
visvel;
d) aos terceiros que realizam servios de suporte, seja concedido acesso restrito s reas seguras ou s
instalaes de processamento da informao sensvel somente quando necessrio; este acesso deve
ser autorizado e monitorado;
Controle
Convm que seja projetada e aplicada segurana fsica para escritrios, salas e instalaes.
c) os edifcios sejam discretos e dem a menor indicao possvel da sua finalidade, sem letreiros
evidentes, fora ou dentro do edifcio, que identifiquem a presena de atividades de processamento de
informaes, quando for aplicvel;
d) as listas de funcionrios e guias telefnicos internos que identifiquem a localizao das instalaes
que processam informaes sensveis no fiquem facilmente acessveis ao pblico.
Controle
Convm que sejam projetadas e aplicadas proteo fsica contra incndios, enchentes, terremotos, exploses,
perturbaes da ordem pblica e outras formas de desastres naturais ou causados pelo homem.
Convm que sejam levadas em considerao as seguintes diretrizes para evitar danos causados por incndios,
enchentes, terremotos, exploses, perturbaes da ordem pblica e outras formas de desastres naturais ou
causados pelo homem:
b) os equipamentos para contingncia e mdia de backup fiquem a uma distncia segura, para que no
sejam danificados por um desastre que afete o local principal;
Controle
Convm que seja projetada e aplicada proteo fsica, bem como diretrizes para o trabalho em reas seguras.
a) pessoal s tenha conhecimento da existncia de reas seguras ou das atividades nelas realizadas,
apenas se for necessrio;
b) seja evitado o trabalho no supervisionado em reas seguras, tanto por motivos de segurana como
para prevenir as atividades mal intencionadas;
As normas para o trabalho em reas seguras incluem o controle dos funcionrios, fornecedores e terceiros que
trabalham em tais reas, bem como o controle de outras atividades de terceiros nestas reas.
Controle
Convm que os pontos de acesso, tais como reas de entrega e de carregamento e outros pontos em que
pessoas no autorizadas possam entrar nas instalaes, sejam controlados e, se possvel, isolados das
instalaes de processamento da informao, para evitar o acesso no autorizado.
a) acesso a uma rea de entrega e carregamento a partir do exterior do prdio fique restrito ao pessoal
identificado e autorizado;
b) as reas de entrega e carregamento sejam projetadas de tal maneira que seja possvel descarregar
suprimentos sem que os entregadores tenham acesso a outras partes do edifcio;
c) as portas externas de uma rea de entrega e carregamento sejam protegidas enquanto as portas
internas estiverem abertas;
d) os materiais entregues sejam inspecionados para detectar ameaas potenciais (ver 9.2.1d)) antes de
serem transportados da rea de entrega e carregamento para o local de utilizao;
e) os materiais entregues sejam registrados por ocasio de sua entrada no local, usando-se
procedimentos de gerenciamento de ativos (ver 7.1.1);
f) as remessas entregues sejam segregadas fisicamente das remessas que saem, sempre que possvel.
Objetivo: Impedir perdas, danos, furto ou comprometimento de ativos e interrupo das atividades da
organizao.
Convm que os equipamentos sejam protegidos contra ameaas fsicas e do meio ambiente.
A proteo dos equipamentos (incluindo aqueles utilizados fora do local, e a retirada de ativos) necessria
para reduzir o risco de acesso no autorizado s informaes e para proteger contra perdas ou danos.
Convm que tambm seja levado em considerao a introduo de equipamentos no local, bem como sua
remoo. Podem ser necessrios controles especiais para a proteo contra ameaas fsicas e para a
proteo de instalaes de suporte, como a infra-estrutura de suprimento de energia e de cabeamento.
Controle
Convm que os equipamentos sejam colocados no local ou protegidos para reduzir os riscos de ameaas e
perigos do meio ambiente, bem como as oportunidades de acesso no autorizado.
c) os itens que exigem proteo especial devem ser isolados para reduzir o nvel geral de proteo
necessrio;
d) sejam adotados controles para minimizar o risco de ameaas fsicas potenciais, tais como furto,
incndio, explosivos, fumaa, gua (ou falha do suprimento de gua), poeira, vibrao, efeitos
qumicos, interferncia com o suprimento de energia eltrica, interferncia com as comunicaes,
radiao eletromagntica e vandalismo;
e) sejam estabelecidas diretrizes quanto a comer, beber e fumar nas proximidades das instalaes de
processamento da informao;
g) todos os edifcios sejam dotados de proteo contra raios e todas as linhas de entrada de fora e de
comunicaes tenham filtros de proteo contra raios;
h) para equipamentos em ambientes industriais, o uso de mtodos especiais de proteo, tais como
membranas para teclados, deve ser considerado;
i) os equipamentos que processam informaes sensveis sejam protegidos, a fim de minimizar o risco
de vazamento de informaes em decorrncia de emanaes.
9.2.2 Utilidades
Controle
Convm que os equipamentos sejam protegidos contra falta de energia eltrica e outras interrupes causadas
por falhas das utilidades.
Recomenda-se o uso de UPS para suportar as paradas e desligamento dos equipamentos ou para manter o
funcionamento contnuo dos equipamentos que suportam operaes crticas dos negcios. Convm que hajam
planos de contingncia de energia referentes s providncias a serem tomadas em caso de falha do UPS.
Convm que seja considerado um gerador de emergncia caso seja necessrio que o processamento continue
mesmo se houver uma interrupo prolongada do suprimento de energia. Convm que esteja disponvel um
suprimento adequado de combustvel para garantir a operao prolongada do gerador. Convm que os
equipamentos UPS e os geradores sejam verificados em intervalos regulares para assegurar que eles tenham
capacidade adequada, e sejam testados de acordo com as recomendaes do fabricante. Alm disto, deve ser
considerado o uso de mltiplas fontes de energia ou de uma subestao de fora separada, se o local for
grande.
Convm que as chaves de emergncia para o desligamento da energia fiquem localizadas na proximidade das
sadas de emergncia das salas de equipamentos, para facilitar o desligamento rpido da energia em caso de
uma emergncia. Convm que seja providenciada iluminao de emergncia para o caso de queda da fora.
Convm que o suprimento de gua seja estvel e adequado para abastecer os equipamentos de ar-
condicionado e de umidificao, bem como os sistemas de extino de incndios (quando usados). Falhas de
funcionamento do abastecimento de gua podem danificar o sistema ou impedir uma ao eficaz de extino
de incndios. Convm que seja analisada a necessidade de sistemas de alarme para detectar falhas de
funcionamento das utilidades, instalando os alarmes, se necessrio.
Convm que os equipamentos de telecomunicaes sejam conectados rede pblica de energia eltrica
atravs de pelo menos duas linhas separadas, para evitar que a falha de uma das conexes interrompa os
servios de voz. Convm que os servios de voz sejam adequados para atender s exigncias legais locais
relativas a comunicaes de emergncia.
Informaes adicionais
As opes para assegurar a continuidade do suprimento de energia incluem mltiplas linhas de entrada, para
evitar que uma falha em um nico ponto comprometa o suprimento de energia.
Controle
Convm que o cabeamento de energia e de telecomunicaes que transporta dados ou d suporte aos
servios de informaes seja protegido contra interceptao ou danos.
b) cabeamento de redes seja protegido contra interceptao no autorizada ou danos, por exemplo, pelo
uso de condutes ou evitando trajetos que passem por reas pblicas;
c) os cabos de energia sejam segregados dos cabos de comunicaes, para evitar interferncias;
d) nos cabos e nos equipamentos, sejam utilizadas marcaes claramente identificveis, a fim de
minimizar erros de manuseio, como, por exemplo, fazer de forma acidental conexes erradas em
cabos da rede;
e) seja utilizada uma lista de documentao das conexes para reduzir a possibilidade de erros;
f) para sistemas sensveis ou crticos, os seguintes controles adicionais devem ser considerados:
2) uso de rotas alternativas e/ou meios de transmisso alternativos que proporcionem segurana
adequada;
Controle
Convm que os equipamentos tenham uma manuteno correta para assegurar sua disponibilidade e
integridade permanentes.
a) a manuteno dos equipamentos seja realizada nos intervalos recomendados pelo fornecedor, e de
acordo com as suas especificaes;
Controle
Convm que sejam tomadas medidas de segurana para equipamentos que operem fora do local, levando em
conta os diferentes riscos decorrentes do fato de se trabalhar fora das dependncias da organizao.
Convm que sejam levadas em considerao as seguintes diretrizes para a proteo de equipamentos usados
fora das dependncias da organizao:
b) sejam observadas a qualquer tempo as instrues do fabricante para a proteo do equipamento, por
exemplo, proteo contra a exposio a campos eletromagnticos intensos;
c) os controles para o trabalho em casa sejam determinados por uma anlise/avaliao de riscos, sendo
aplicados controles adequados para cada caso, por exemplo, arquivos trancveis, poltica de "mesa
limpa", controles de acesso a computadores, e comunicao segura com o escritrio
(ver ISO/IEC 18028 Network security);
d) haja uma cobertura adequada de seguro para proteger os equipamentos fora das dependncias da
organizao.
Os riscos de segurana, por exemplo, de danos, furto ou espionagem, podem variar consideravelmente de um
local para outro e convm que sejam levados em conta para determinar os controles mais apropriados.
Informaes adicionais
Os equipamentos de armazenagem e processamento de informaes incluem todas as formas de
computadores pessoais, agendas eletrnicas, telefones celulares, cartes inteligentes, papis e outros tipos,
utilizados no trabalho em casa, ou que so removidos do local normal de trabalho.
Mais informaes sobre outros aspectos da proteo de equipamentos mveis podem ser encontradas
em 11.7.1.
Controle
Convm que todos os equipamentos que contenham mdias de armazenamento de dados sejam examinados
antes do descarte, para assegurar que todos os dados sensveis e softwares licenciados tenham sido
removidos ou sobregravados com segurana.
Informaes adicionais
No caso de dispositivos defeituosos que contenham informaes sensveis, pode ser necessria uma
anlise/avaliao de riscos para determinar se convm destruir fisicamente o dispositivo em vez de mand-lo
para o conserto ou descart-lo.
As informaes podem ser comprometidas por um descarte feito sem os devidos cuidados ou pela reutilizao
do equipamento (ver 10.7.2).
Controle
Convm que equipamentos, informaes ou software no sejam retirados do local sem autorizao prvia.
b) os funcionrios, fornecedores e terceiros que tenham autoridade para permitir a remoo de ativos
para fora do local sejam claramente identificados;
c) sejam estabelecidos limites de tempo para a retirada de equipamentos do local, e a devoluo seja
controlada;
Informaes adicionais
Podem ser feitas inspees aleatrias para detectar a retirada no autorizada de bens e a existncia de
equipamentos de gravao no autorizados, armas etc., e impedir sua entrada no local. Convm que tais
inspees aleatrias sejam feitas de acordo com a legislao e as normas aplicveis. Convm que as pessoas
sejam avisadas da realizao das inspees, e elas s podem ser feitas com a devida autorizao, levando em
conta as exigncias legais e regulamentares.
Convm que seja utilizada a segregao de funes quando apropriado, para reduzir o risco de mau uso ou
uso doloso dos sistemas.
Controle
Convm que os procedimentos de operao sejam documentados, mantidos atualizados e disponveis a todos
os usurios que deles necessitem.
Convm que os procedimentos de operao especifiquem as instrues para a execuo detalhada de cada
tarefa, incluindo:
c) requisitos de agendamento, incluindo interdependncias com outros sistemas, a primeira hora para
incio da tarefa e a ltima hora para o trmino da tarefa;
d) instrues para tratamento de erros ou outras condies excepcionais, que possam ocorrer durante a
execuo de uma tarefa, incluindo restries de uso dos utilitrios do sistema (ver 11.5.4);
e) dados para contatos de suporte para o caso de eventos operacionais inesperados ou dificuldades
tcnicas;
f) instrues para tratamento de resultados especiais e mdias, tais como o uso de formulrios especiais
ou o gerenciamento de resultados confidenciais, incluindo procedimentos para a alienao segura de
resultados provenientes de rotinas com falhas (ver 10.7.2 e 10.7.3);
Controle
Convm que modificaes nos recursos de processamento da informao e sistemas sejam controladas.
Convm que sejam estabelecidos os procedimentos e responsabilidades gerenciais formais para garantir que
haja um controle satisfatrio de todas as mudanas em equipamentos, software ou procedimentos. Quando
mudanas forem realizadas, convm que seja mantido um registro de auditoria contendo todas as informaes
relevantes.
Informaes adicionais
O controle inadequado de modificaes nos sistemas e nos recursos de processamento da informao uma
causa comum de falhas de segurana ou de sistema. Mudanas a ambientes operacionais, especialmente
quando da transferncia de um sistema em desenvolvimento para o estgio operacional, podem trazer
impactos confiabilidade de aplicaes (ver 12.5.1).
Convm que mudanas em sistemas operacionais sejam apenas realizadas quando houver uma razo de
negcio vlida para tal, como um aumento no risco do sistema. A atualizao de sistemas s verses mais
atuais de sistemas operacionais ou aplicativos nem sempre do interesse do negcio, pois pode introduzir
mais vulnerabilidades e instabilidades ao ambiente do que a verso corrente. Pode haver ainda a necessidade
de treinamento adicional, custos de licenciamento, suporte, manuteno e sobrecarga de administrao, bem
como a necessidade de novos equipamentos, especialmente durante a fase de migrao.
Controle
Convm que funes e reas de responsabilidade sejam segregadas para reduzir as oportunidades de
modificao ou uso indevido no autorizado ou no intencional dos ativos da organizao.
As pequenas organizaes podem considerar a segregao de funes difcil de ser implantada, mas convm
que o seu princpio seja aplicado sempre que possvel e praticvel. Onde for difcil a segregao, convm que
outros controles, como a monitorao das atividades, trilhas de auditoria e o acompanhamento gerencial,
sejam considerados. importante que a auditoria da segurana permanea como uma atividade independente.
Controle
Convm que recursos de desenvolvimento, teste e produo sejam separados para reduzir o risco de acessos
ou modificaes no autorizadas aos sistemas operacionais.
e) os usurios tenham diferentes perfis para sistemas em testes e em produo, e que os menus
mostrem mensagens apropriadas de identificao para reduzir o risco de erro;
Informaes adicionais
As atividades de desenvolvimento e teste podem causar srios problemas, como, por exemplo, modificaes
inesperadas em arquivos ou sistemas ou falhas de sistemas. Nesse caso, necessria a manuteno de um
ambiente conhecido e estvel, no qual possam ser executados testes significativos e que seja capaz de
prevenir o acesso indevido do pessoal de desenvolvimento.
Quando o pessoal de desenvolvimento e teste possui acesso ao ambiente de produo e suas informaes,
eles podem introduzir cdigos no testados e no autorizados, ou mesmo alterar os dados do sistema. Em
alguns sistemas essa capacidade pode ser mal utilizada para a execuo de fraudes, ou introduo de cdigos
maliciosos ou no testados, que podem causar srios problemas operacionais.
O pessoal de desenvolvimento e testes tambm representa uma ameaa confidencialidade das informaes
de produo. As atividades de desenvolvimento e teste podem causar modificaes no intencionais no
software e informaes se eles compartilharem o mesmo ambiente computacional. A separao dos ambientes
de desenvolvimento, teste e produo so, portanto, desejvel para reduzir o risco de modificaes acidentais
ou acessos no autorizados aos sistemas operacionais e aos dados do negcio (ver 12.4.2 para a proteo de
dados de teste).
Convm que a organizao verifique a implementao dos acordos, monitore a conformidade com tais acordos
e gerencie as mudanas para garantir que os servios entregues atendem a todos os requisitos acordados
com os terceiros.
Controle
Convm que seja garantido que os controles de segurana, as definies de servio e os nveis de entrega
includos no acordo de entrega de servios terceirizados sejam implementados, executados e mantidos pelo
terceiro.
Convm que a organizao garanta que o terceiro mantenha capacidade de servio suficiente, juntamente com
planos viveis projetados para garantir que os nveis de continuidade de servios acordados sejam mantidos
aps falhas de servios severas ou desastres (ver 14.1).
Controle
Convm que os servios, relatrios e registros fornecidos por terceiro sejam regularmente monitorados e
analisados criticamente, e que auditorias sejam executadas regularmente.
Convm que a organizao mantenha suficiente controle geral e visibilidade em todos os aspectos de
segurana para as informaes sensveis ou crticas ou para os recursos de processamento da informao
acessados, processados ou gerenciados por um terceiro. Convm que a organizao garanta a reteno da
visibilidade nas atividades de segurana como gerenciamento de mudanas, identificao de vulnerabilidades
e relatrio/resposta de incidentes de segurana da informao atravs de um processo de notificao,
formatao e estruturao claramente definido.
Informaes adicionais
Em caso de terceirizao, a organizao precisa estar ciente de que a responsabilidade final pela informao
processada por um parceiro de terceirizao permanece com a organizao.
Controle
Convm que mudanas no provisionamento dos servios, incluindo manuteno e melhoria da poltica de
segurana da informao, procedimentos e controles existentes, sejam gerenciadas levando-se em conta a
criticidade dos sistemas e processos de negcio envolvidos e a reanlise/reavaliao de riscos.
6) mudanas de fornecedores.
Convm que projees de requisitos de capacidade futura sejam feitas para reduzir o risco de sobrecarga dos
sistemas.
Convm que os requisitos operacionais dos novos sistemas sejam estabelecidos, documentados e testados
antes da sua aceitao e uso.
Controle
Convm que utilizao dos recursos seja monitorada e sincronizada e as projees feitas para necessidades
de capacidade futura, para garantir o desempenho requerido do sistema.
Ateno particular precisa ser dada a qualquer recurso que possua um ciclo de renovao ou custo maior,
sendo responsabilidade dos gestores monitorar a utilizao dos recursos-chave dos sistemas. Convm que
eles identifiquem as tendncias de utilizao, particularmente em relao s aplicaes do negcio ou
gesto das ferramentas de sistemas de informao.
Convm que os gestores utilizem essas informaes para identificar e evitar os potenciais gargalos e a
dependncia em pessoas-chave que possam representar ameaas segurana dos sistemas ou aos servios,
e planejar ao corretiva apropriada.
Controle
Convm que sejam estabelecidos critrios de aceitao para novos sistemas, atualizaes e novas verses, e
que sejam efetuados testes apropriados do(s) sistema(s) durante seu desenvolvimento e antes da sua
aceitao.
e) manuais eficazes;
g) evidncia de que a instalao do novo sistema no afetar de forma adversa os sistemas existentes,
particularmente nos perodos de pico de processamento, como, por exemplo, em final de ms;
h) evidncia de que tenha sido considerado o impacto do novo sistema na segurana da organizao
como um todo;
j) facilidade de uso, uma vez que afeta o desempenho do usurio e evita falhas humanas.
Para os principais novos desenvolvimentos, convm que os usurios e as funes de operao sejam
consultados em todos os estgios do processo de desenvolvimento, de forma a garantir a eficincia
operacional do projeto de sistema proposto. Convm que os devidos testes sejam executados para garantir
que todos os critrios de aceitao tenham sido plenamente satisfeitos.
Informaes adicionais
A aceitao pode incluir um processo formal de certificao e reconhecimento para garantir que os requisitos
de segurana tenham sido devidamente endereados.
Precaues so requeridas para prevenir e detectar a introduo de cdigos maliciosos e cdigos mveis no
autorizados.
Controle
Convm que sejam implantados controles de deteco, preveno e recuperao para proteger contra cdigos
maliciosos, assim como procedimentos para a devida conscientizao dos usurios.
a) estabelecer uma poltica formal proibindo o uso de softwares no autorizados (ver 15.1.2);
b) estabelecer uma poltica formal para proteo contra os riscos associados com a importao de
arquivos e softwares, seja de redes externas, ou por qualquer outro meio, indicando quais medidas
preventivas devem ser adotadas;
c) conduzir anlises crticas regulares dos softwares e dados dos sistemas que suportam processos
crticos de negcio; convm que a presena de quaisquer arquivos no aprovados ou atualizao no
autorizada seja formalmente investigada;
d) instalar e atualizar regularmente softwares de deteco e remoo de cdigos maliciosos para o exame
de computadores e mdias magnticas, de forma preventiva ou de forma rotineira; convm que as
verificaes realizadas incluam:
1) verificao, antes do uso, da existncia de cdigos maliciosos nos arquivos em mdias ticas ou
eletrnicas, bem como nos arquivos transmitidos atravs de redes;
2) verificao, antes do uso, da existncia de software malicioso em qualquer arquivo recebido atravs
de correio eletrnico ou importado (download). Convm que essa avaliao seja feita em diversos
locais, como, por exemplo, nos servidores de correio eletrnico, nos computadores pessoais ou
quando da sua entrada na rede da organizao;
Informaes adicionais
A utilizao de dois ou mais tipos de software de controle contra cdigos maliciosos de diferentes fornecedores
no ambiente de processamento da informao pode aumentar a eficcia na proteo contra cdigos maliciosos.
Softwares de proteo contra cdigo malicioso podem ser instalados para prover atualizaes automticas dos
arquivos e mecanismos de busca, para garantir que a proteo esteja atualizada. Adicionalmente, estes
softwares podem ser instalados em todas as estaes de trabalho para a realizao de verificaes
automticas.
Convm que seja tomado cuidado quanto a possvel introduo de cdigos maliciosos durante manutenes e
quando esto sendo realizados procedimentos de emergncia. Tais procedimentos podem ignorar controles
normais de proteo contra cdigos maliciosos.
Controle
Onde o uso de cdigos mveis autorizado, convm que a configurao garanta que o cdigo mvel
autorizado opere de acordo com uma poltica de segurana da informao claramente definida e cdigos
mveis no autorizados tenham sua execuo impedida.
d) ativar medidas tcnicas disponveis nos sistemas especficos para garantir que o cdigo mvel esteja
sendo administrado;
Informaes adicionais
Cdigo mvel um cdigo transferido de um computador a outro executando automaticamente e realizando
funes especficas com pequena ou nenhuma interao por parte do usurio. Cdigos mveis so associados
a uma variedade de servios middleware.
Alm de garantir que os cdigos mveis no carreguem cdigos maliciosos, manter o controle deles
essencial na preveno contra o uso no autorizado ou interrupo de sistemas, redes ou aplicativos, e na
preveno contra violaes de segurana da informao.
Convm que procedimentos de rotina sejam estabelecidos para implementar as polticas de estratgias para a
gerao de cpias de segurana (ver 14.1) e possibilitar a gerao das cpias de segurana dos dados e sua
recuperao em um tempo aceitvel.
Controle
Convm que as cpias de segurana das informaes e dos softwares sejam efetuadas e testadas
regularmente conforme a poltica de gerao de cpias de segurana definida.
Convm que os seguintes itens para a gerao das cpias de segurana sejam considerados:
b) produo de registros completos e exatos das cpias de segurana e documentao apropriada sobre
os procedimentos de restaurao da informao;
c) a extenso (por exemplo, completa ou diferencial) e a freqncia da gerao das cpias de segurana
reflita os requisitos de negcio da organizao, alm dos requisitos de segurana da informao
envolvidos e a criticidade da informao para a continuidade da operao da organizao;
d) as cpias de segurana sejam armazenadas em uma localidade remota, a uma distncia suficiente
para escapar dos danos de um desastre ocorrido no local principal;
e) deve ser dado um nvel apropriado de proteo fsica e ambiental das informaes das cpias de
segurana (ver seo 9), consistente com as normas aplicadas na instalao principal; os controles
aplicados s mdias na instalao principal sejam usados no local das cpias de segurana;
f) as mdias de cpias de segurana sejam testadas regularmente para garantir que elas so
suficientemente confiveis para uso de emergncia, quando necessrio;
Convm que as cpias de segurana de sistemas especficos sejam testadas regularmente para garantir que
elas esto aderentes aos requisitos definidos nos planos de continuidade do negcio (ver seo 14).
Para sistemas crticos, convm que os mecanismos de gerao de cpias de segurana abranjam todos os
sistemas de informao, aplicaes e dados necessrios para a completa recuperao do sistema em um
evento de desastre.
Convm que o perodo de reteno para informaes essenciais ao negcio e tambm qualquer requisito para
que cpias de arquivo sejam permanentemente retidas seja determinado (ver 15.1.3).
Informaes adicionais
Os mecanismos de cpias de segurana podem ser automatizados para facilitar os processos de gerao e
recuperao das cpias de segurana. Convm que tais solues automatizadas sejam suficientemente
testadas antes da implementao e verificadas em intervalos regulares.
O gerenciamento seguro de redes, que pode ir alm dos limites da organizao, requer cuidadosas
consideraes relacionadas ao fluxo de dados, implicaes legais, monitoramento e proteo.
Controles adicionais podem ser necessrios para proteger informaes sensveis trafegando sobre redes
pblicas.
Controle
Convm que as redes sejam adequadamente gerenciadas e controladas, de forma a proteg-las contra
ameaas e manter a segurana de sistemas e aplicaes que utilizam estas redes, incluindo a informao em
trnsito.
a) a responsabilidade operacional pelas redes seja separada da operao dos recursos computacionais
onde for apropriado (ver 10.1.3);
c) os controles especiais sejam estabelecidos para proteo da confidencialidade e integridade dos dados
trafegando sobre redes pblicas ou sobre as redes sem fio (wireless) e para proteger os sistemas e
aplicaes a elas conectadas (ver 11.4 e 12.3); controles especiais podem tambm ser requeridos para
manter a disponibilidade dos servios de rede e computadores conectados;
d) os mecanismos apropriados de registro e monitorao sejam aplicados para habilitar a gravao das
aes relevantes de segurana;
Informaes adicionais
Informaes adicionais sobre segurana de redes podem ser encontradas na ISO/IEC 18028, Information
technology Security techniques IT network security.
Controle
Convm que as caractersticas de segurana, nveis de servio e requisitos de gerenciamento dos servios de
rede sejam identificados e includos em qualquer acordo de servios de rede, tanto para servios de rede
providos internamente ou terceirizados.
Convm que as definies de segurana necessrias para servios especficos, como caractersticas de
segurana, nveis de servio e requisitos de gerenciamento, sejam identificadas. Convm que a organizao
assegure que os provedores dos servios de rede implementam estas medidas.
Informaes adicionais
Servios de rede incluem o fornecimento de conexes, servios de rede privados, redes de valor agregado e
solues de segurana de rede gerenciadas como firewalls e sistemas de deteco de intrusos. Estes servios
podem abranger desde o simples fornecimento de banda de rede no gerenciada at complexas ofertas de
solues de valor agregado.
a) tecnologias aplicadas para segurana de servios de redes como autenticao, encriptao e controles
de conexes de rede;
b) parmetro tcnico requerido para uma conexo segura com os servios de rede de acordo com a
segurana e regras de conexo de redes;
c) procedimentos para o uso de servios de rede para restringir o acesso a servios de rede ou aplicaes,
onde for necessrio.
Objetivo: Prevenir contra divulgao no autorizada, modificao, remoo ou destruio aos ativos, e
interrupes das atividades do negcio.
Convm que procedimentos operacionais apropriados sejam estabelecidos para proteger documentos, mdias
magnticas de computadores (fitas, discos), dados de entrada e sada e documentao dos sistemas contra
divulgao no autorizada, modificao, remoo e destruio.
Controle
Convm que existam procedimentos implementados para o gerenciamento de mdias removveis.
a) quando no for mais necessrio, o contedo de qualquer meio magntico reutilizvel seja destrudo,
caso venha a ser retirado da organizao;
b) quando necessrio e prtico, seja requerida a autorizao para remoo de qualquer mdia da
organizao e mantido o registro dessa remoo como trilha de auditoria;
c) toda mdia seja guardada de forma segura em um ambiente protegido, de acordo com as
especificaes do fabricante;
d) informaes armazenadas em mdias que precisam estar disponveis por muito tempo (em
conformidade com as especificaes dos fabricantes) sejam tambm armazenadas em outro local para
evitar perda de informaes devido deteriorao das mdias;
f) as unidades de mdias removveis estejam habilitadas somente se houver uma necessidade do negcio.
Informaes adicionais
Mdia removvel inclui fitas, discos, flash disks, discos removveis, CD, DVD e mdia impressa.
Controle
Convm que as mdias sejam descartadas de forma segura e protegida quando no forem mais necessrias,
por meio de procedimentos formais.
a) mdias contendo informaes sensveis sejam guardadas e destrudas de forma segura e protegida,
como, por exemplo, atravs de incinerao ou triturao, ou da remoo dos dados para uso por uma
outra aplicao dentro da organizao;
b) procedimentos sejam implementados para identificar os itens que requerem descarte seguro;
c) pode ser mais fcil implementar a coleta e descarte seguro de todas as mdias a serem inutilizadas do
que tentar separar apenas aquelas contendo informaes sensveis;
e) descarte de itens sensveis seja registrado em controles sempre que possvel para se manter uma trilha
de auditoria.
Quando da acumulao de mdias para descarte, convm que se leve em considerao o efeito proveniente do
acmulo, o que pode fazer com que uma grande quantidade de informao no sensvel torne-se sensvel.
Informaes adicionais
Informaes sensveis podem ser divulgadas atravs do descarte negligente das mdias (ver 9.2.6 para
informaes de descarte de equipamentos).
Controle
Convm que sejam estabelecidos procedimentos para o tratamento e o armazenamento de informaes, para
proteger tais informaes contra a divulgao no autorizada ou uso indevido.
d) garantia de que a entrada de dados seja completa, de que o processamento esteja devidamente
concludo e de que a validao das sadas seja aplicada;
e) proteo dos dados preparados para expedio ou impresso de forma consistente com a sua
criticidade;
h) identificao eficaz de todas as cpias das mdias, para chamar a ateno dos destinatrios
autorizados;
i) anlise crtica das listas de distribuio e das listas de destinatrios autorizados em intervalos regulares.
Informaes adicionais
Estes procedimentos so aplicados para informaes em documentos, sistemas de computadores, redes de
computadores, computao mvel, comunicao mvel, correio eletrnico, correio de voz, comunicao de voz
em geral, multimdia, servios postais, uso de mquinas de fax e qualquer outro item sensvel, como, por
exemplo, cheques em branco e faturas.
Controle
Convm que a documentao dos sistemas seja protegida contra acessos no autorizados.
b) a relao de pessoas com acesso autorizado documentao de sistemas seja a menor possvel e
autorizada pelo proprietrio do sistema;
c) a documentao de sistema mantida em uma rede pblica, ou fornecida atravs de uma rede pblica,
seja protegida de forma apropriada.
Informaes adicionais
A documentao dos sistemas pode conter uma srie de informaes sensveis, como, por exemplo,
descries de processos da aplicao, procedimentos, estruturas de dados e processos de autorizao.
Convm que as trocas de informaes e softwares entre organizaes estejam baseadas numa poltica formal
especfica, sejam efetuadas a partir de acordos entre as partes e estejam em conformidade com toda a
legislao pertinente (ver seo 15).
Convm que sejam estabelecidos procedimentos e normas para proteger a informao e a mdia fsica que
contm informao em trnsito.
Controle
Convm que polticas, procedimentos e controles sejam estabelecidos e formalizados para proteger a troca de
informaes em todos os tipos de recursos de comunicao.
b) procedimentos para deteco e proteo contra cdigo malicioso que pode ser transmitido atravs do
uso de recursos eletrnicos de comunicao (ver 10.4.1);
c) procedimentos para proteo de informaes eletrnicas sensveis que sejam transmitidas na forma de
anexos;
d) poltica ou diretrizes que especifiquem o uso aceitvel dos recursos eletrnicos de comunicao (ver
7.1.3);
e) procedimentos para o uso de comunicao sem fio (wireless), levando em conta os riscos particulares
envolvidos;
k) lembrar s pessoas que elas devem tomar precaues adequadas como, por exemplo, no revelar
informaes sensveis, para evitar que sejam escutadas ou interceptadas durante uma ligao
telefnica por:
2) grampo telefnico e outras formas de escuta clandestina atravs do acesso fsico ao aparelho
telefnico ou linha, ou, ainda, pelo uso de rastreadores;
l) no deixar mensagens contendo informaes sensveis em secretrias eletrnicas, uma vez que as
mensagens podem ser reproduzidas por pessoas no autorizadas, gravadas em sistemas pblicos ou
gravadas indevidamente por erro de discagem;
3) envio de documentos e mensagens para nmero errado, seja por falha na discagem ou uso de
nmero armazenado errado;
n) lembrar as pessoas para que evitem o armazenamento de dados pessoais, como endereos de
correios eletrnicos ou informaes adicionais particulares, em qualquer software, impedindo que
sejam capturados para uso no autorizado;
Adicionalmente, convm que as pessoas sejam lembradas de que no devem manter conversas confidenciais
em locais pblicos, escritrios abertos ou locais de reunio que no disponham de paredes prova de som.
Convm que os recursos utilizados para a troca de informaes estejam de acordo com os requisitos legais
pertinentes (ver seo 15).
Informaes adicionais
A troca de informaes pode ocorrer atravs do uso de vrios tipos diferentes de recursos de comunicao,
incluindo correios eletrnicos, voz, fax e vdeo.
A troca de softwares pode ocorrer de diferentes formas, incluindo a baixa (download) da internet ou a aquisio
junto a fornecedores que vendem produtos em srie.
Convm que sejam consideradas as possveis implicaes nos negcios, nos aspectos legais e na segurana,
relacionadas com a troca eletrnica de dados, com o comrcio eletrnico, comunicao eletrnica e com os
requisitos para controles.
As operaes do negcio podem ser prejudicadas e as informaes podem ser comprometidas se os recursos
de comunicao falharem, forem sobrecarregados ou interrompidos (ver 10.3 e seo 14). As informaes
podem ser comprometidas se acessadas por usurios no autorizados (ver seo 11).
Controle
Convm que sejam estabelecidos acordos para a troca de informaes e softwares entre a organizao e
entidades externas.
k) quaisquer controles especiais que possam ser necessrios para proteo de itens sensveis, tais como
chaves criptogrficas (ver 12.3).
Convm que polticas, procedimentos e normas para proteger as informaes e as mdias em trnsito
(ver tambm 10.8.3) sejam estabelecidos e mantidos, alm de serem referenciados nos mencionados acordos
para a troca de informaes.
Convm que os aspectos de segurana contidos nos acordos reflitam a sensibilidade das informaes
envolvidas no negcio.
Informaes adicionais
Os acordos podem ser eletrnicos ou manuais, e podem estar no formato de contratos formais ou condies
de contratao. Para informaes sensveis, convm que os mecanismos especficos usados para a troca de
tais informaes sejam consistentes com todas as organizaes e tipos de acordos.
Controle
Convm que mdias contendo informaes sejam protegidas contra acesso no autorizado, uso imprprio ou
alterao indevida durante o transporte externo aos limites fsicos da organizao.
d) a embalagem seja suficiente para proteger o contedo contra qualquer dano fsico, como os que podem
ocorrer durante o transporte, e que seja feita de acordo com as especificaes dos fabricantes (como
no caso de softwares), por exemplo, protegendo contra fatores ambientais que possam reduzir a
possibilidade de restaurao dos dados como a exposio ao calor, umidade ou campos
eletromagnticos;
e) sejam adotados controles, onde necessrio, para proteger informaes sensveis contra divulgao no
autorizada ou modificao; como exemplo, pode-se incluir o seguinte:
2) entrega em mos;
4) em casos excepcionais, diviso do contedo em mais de uma remessa e expedio por rotas
distintas.
Informaes adicionais
As informaes podem estar vulnerveis a acesso no autorizado, uso imprprio ou alterao indevida durante
o transporte fsico, por exemplo quando a mdia enviada por via postal ou sistema de mensageiros.
Controle
Convm que as informaes que trafegam em mensagens eletrnicas sejam adequadamente protegidas.
e) aprovao prvia para o uso de servios pblicos externos, tais como sistemas de mensagens
instantneas e compartilhamento de arquivos;
f) nveis mais altos de autenticao para controlar o acesso a partir de redes pblicas.
Informaes adicionais
Mensagens eletrnicas como correio eletrnico, Eletronic Data Interchange (EDI) e sistemas de mensagens
instantneas cumprem um papel cada vez mais importante nas comunicaes do negcio. A mensagem
eletrnica tem riscos diferentes, se comparada com a comunicao em documentos impressos.
Controle
Convm que polticas e procedimentos sejam desenvolvidos e implementados para proteger as informaes
associadas com a interconexo de sistemas de informaes do negcio.
e) restrio do acesso a informaes de trabalho relacionado com indivduos especficos, como, por
exemplo, um grupo que trabalha com projetos sensveis;
Informaes adicionais
Os sistemas de informao de escritrio representam uma oportunidade de rpida disseminao e
compartilhamento de informaes do negcio atravs do uso de uma combinao de: documentos,
computadores, dispositivos mveis, comunicao sem fio, correio, correio de voz, comunicao de voz em
geral, multimdia, servios postais e aparelhos de fax.
Convm que as implicaes de segurana da informao associadas com o uso de servios de comrcio
eletrnico, incluindo transaes on-line e os requisitos de controle, sejam consideradas. Convm que a
integridade e a disponibilidade da informao publicada eletronicamente por sistemas publicamente
disponveis sejam tambm consideradas.
Controle
Convm que as informaes envolvidas em comrcio eletrnico transitando sobre redes pblicas sejam
protegidas de atividades fraudulentas, disputas contratuais e divulgao e modificaes no autorizadas.
a) nvel de confiana que cada parte requer na suposta identidade de outros, como, por exemplo, por
meio de mecanismos de autenticao;
b) processos de autorizao com quem pode determinar preos, emitir ou assinar documentos-chave de
negociao;
i) seleo das formas mais apropriadas de pagamento para proteo contra fraudes;
j) nvel de proteo requerida para manter a confidencialidade e integridade das informaes de pedidos;
m) requisitos de seguro.
Muitas das consideraes acima podem ser endereadas pela aplicao de controles criptogrficos (ver 12.3),
levando-se em conta a conformidade com os requisitos legais (ver 15.1, especialmente 15.1.6 para legislao
sobre criptografia).
Convm que os procedimentos para comrcio eletrnico entre parceiros comerciais sejam apoiados por um
acordo formal que comprometa ambas as partes aos termos da transao, incluindo detalhes de autorizao
(ver b) acima). Outros acordos com fornecedores de servios de informao e redes de valor agregado podem
ser necessrios.
Convm que sistemas comerciais pblicos divulguem seus termos comerciais a seus clientes.
Convm que sejam consideradas a capacidade de resilincia dos servidores utilizados para comrcio
eletrnico contra ataques e as implicaes de segurana de qualquer interconexo que seja necessria na
rede de telecomunicaes para a sua implementao (ver 11.4.6).
Informaes adicionais
Comrcio eletrnico vulnervel a inmeras ameaas de rede que podem resultar em atividades fraudulentas,
disputas contratuais, e divulgao ou modificao de informao.
Comrcio eletrnico pode utilizar mtodos seguros de autenticao, como, por exemplo, criptografia de chave
pblica e assinaturas digitais (ver 12.3) para reduzir os riscos. Ainda, terceiros confiveis podem ser utilizados
onde tais servios forem necessrios.
Controle
Convm que informaes envolvidas em transaes on-line sejam protegidas para prevenir transmisses
incompletas, erros de roteamento, alteraes no autorizadas de mensagens, divulgao no autorizada,
duplicao ou reapresentao de mensagem no autorizada.
a) uso de assinaturas eletrnicas para cada uma das partes envolvidas na transao;
e) garantir que o armazenamento dos detalhes da transao est localizado fora de qualquer ambiente
publicamente acessvel, como por exemplo, numa plataforma de armazenamento na intranet da
organizao, e no retida e exposta em um dispositivo de armazenamento diretamente acessvel pela
internet;
f) onde uma autoridade confivel utilizada (como, por exemplo, para propsitos de emisso e
manuteno de assinaturas e/ou certificados digitais), segurana integrada a todo o processo de
gerenciamento de certificados/assinaturas.
Informaes adicionais
A extenso dos controles adotados precisar ser proporcional ao nvel de risco associado a cada forma de
transao on-line.
Transaes podem precisar estar de acordo com leis, regras e regulamentaes na jurisdio em que a
transao gerada, processada, completa ou armazenada.
Existem muitas formas de transaes que podem ser executadas de forma on-line, como, por exemplo,
contratuais, financeiras etc.
Controle
Convm que a integridade das informaes disponibilizadas em sistemas publicamente acessveis seja
protegida para prevenir modificaes no autorizadas.
Convm que haja um processo formal de aprovao antes que uma informao seja publicada. Adicionalmente,
convm que todo dado de entrada fornecido por fontes externas ao sistema seja verificado e aprovado.
Convm que sistemas de publicao eletrnica, especialmente os que permitem realimentao e entrada
direta de informao, sejam cuidadosamente controlados, de forma que:
a) informaes sejam obtidas em conformidade com qualquer legislao de proteo de dados (ver
15.1.4);
b) informaes que sejam entradas e processadas por um sistema de publicao sejam processadas
completa e corretamente em um tempo adequado;
d) acesso a sistemas de publicao no permita acesso no intencional a redes s quais tal sistema est
conectado.
Informaes adicionais
Informaes em sistemas publicamente disponveis, como, por exemplo, informaes em servidores web
acessveis por meio da internet, podem necessitar estar de acordo com leis, regras e regulamentaes na
jurisdio em que o sistema est localizado, onde a transao est ocorrendo ou onde o proprietrio reside.
Modificaes no autorizadas de informaes publicadas podem trazer prejuzos reputao da organizao
que a publica.
10.10 Monitoramento
Convm que os sistemas sejam monitorados e eventos de segurana da informao sejam registrados.
Convm que registros (log) de operador e registros (log) de falhas sejam utilizados para assegurar que os
problemas de sistemas de informao so identificados.
Convm que as organizaes estejam de acordo com todos os requisitos legais relevantes aplicveis para
suas atividades de registro e monitoramento.
Convm que o monitoramento do sistema seja utilizado para checar a eficcia dos controles adotados e para
verificar a conformidade com o modelo de poltica de acesso.
Controle
Convm que registros (log) de auditoria contendo atividades dos usurios, excees e outros eventos de
segurana da informao sejam produzidos e mantidos por um perodo de tempo acordado para auxiliar em
futuras investigaes e monitoramento de controle de acesso.
b) datas, horrios e detalhes de eventos-chave, como, por exemplo, horrio de entrada (log-on) e sada
(log-off) no sistema;
g) uso de privilgios;
l) ativao e desativao dos sistemas de proteo, tais como sistemas de antivrus e sistemas de
deteco de intrusos.
Informaes adicionais
Os registros (log) de auditoria podem conter dados pessoais confidenciais e de intrusos. Convm que medidas
apropriadas de proteo de privacidade sejam tomadas (ver 15.1.4). Quando possvel, convm que
administradores de sistemas no tenham permisso de excluso ou desativao dos registros (log) de suas
prprias atividades (ver 10.1.3).
Controle
Convm que sejam estabelecidos procedimentos para o monitoramento do uso dos recursos de
processamento da informao e os resultados das atividades de monitoramento sejam analisados criticamente,
de forma regular.
3) tipo do evento;
4) os arquivos acessados;
Convm que a freqncia da anlise crtica dos resultados das atividades de monitaramento dependa dos
riscos envolvidos. Convm que os seguintes fatores de risco sejam considerados:
c) experincia anterior com infiltraes e uso imprprio do sistema e da freqncia das vulnerabilidades
sendo exploradas;
Informaes adicionais
O uso de procedimentos de monitoramento necessrio para assegurar que os usurios esto executando
somente as atividades que foram explicitamente autorizadas.
A anlise crtica dos registros (log) envolve a compreenso das ameaas encontradas no sistema e a maneira
pela qual isto pode acontecer. Exemplos de eventos que podem requerer uma maior investigao em casos de
incidentes de segurana da informao so comentados em 13.1.1.
Controle
Convm que os recursos e informaes de registros (log) sejam protegidos contra falsificao e acesso no
autorizado.
Alguns registros (log) de auditoria podem ser guardados como parte da poltica de reteno de registros ou
devido aos requisitos para a coleta e reteno de evidncia (ver 13.2.3).
Informaes adicionais
Registros (log) de sistema normalmente contm um grande volume de informaes e muitos dos quais no
dizem respeito ao monitoramento da segurana. Para ajudar a identificar eventos significativos para propsito
de monitoramento de segurana, convm que a cpia automtica dos tipos de mensagens para a execuo de
consulta seja considerada e/ou o uso de sistemas utilitrios adequados ou ferramentas de auditoria para
realizar a racionalizao e investigao do arquivo seja considerado.
Registros (log) de sistema precisam ser protegidos, pois os dados podem ser modificados e excludos e suas
ocorrncias podem causar falsa impresso de segurana.
Controle
Convm que as atividades dos administradores e operadores do sistema sejam registradas.
b) informaes sobre o evento (exemplo: arquivos manuseados) ou falha (exemplo: erros ocorridos e
aes corretivas adotadas);
Convm que os registros (log) de atividades dos operadores e administradores dos sistemas sejam analisados
criticamente em intervalos regulares.
Informaes adicionais
Um sistema de deteco de intrusos gerenciado fora do controle dos administradores de rede e de sistemas
pode ser utilizado para monitorar a conformidade das atividades dos administradores do sistema e da rede.
Controle
Convm que as falhas ocorridas sejam registradas e analisadas, e que sejam adotadas aes apropriadas.
a) anlise crtica dos registros (log) de falha para assegurar que as falhas foram satisfatoriamente
resolvidas;
b) anlise crtica das medidas corretivas para assegurar que os controles no foram comprometidos e
que a ao tomada completamente autorizada.
Convm que seja assegurada que a coleta dos registros de erros permitida, caso essa funo do sistema
esteja disponvel.
Informaes adicionais
Registros de falhas e erros podem impactar o desempenho do sistema. Convm que cada tipo de registro a
ser coletado seja permitido por pessoas competentes e que o nvel de registro requerido para cada sistema
individual seja determinado por uma anlise/avaliao de riscos, levando em considerao a degradao do
desempenho do sistema.
Controle
Convm que os relgios de todos os sistemas de processamento da informao relevantes, dentro da
organizao ou do domnio de segurana, sejam sincronizados de acordo com uma hora oficial.
A interpretao correta do formato data/hora importante para assegurar que o timestamp reflete a data/hora
real. Convm que se levem em conta especificaes locais (por exemplo, horrio de vero).
Informaes adicionais
O estabelecimento correto dos relgios dos computadores importante para assegurar a exatido dos
registros (log) de auditoria, que podem ser requeridos por investigaes ou como evidncias em casos legais
ou disciplinares. Registros (log) de auditoria incorretos podem impedir tais investigaes e causar danos
credibilidade das evidncias. Um relgio interno ligado ao relgio atmico nacional via transmisso de rdio
pode ser utilizado como relgio principal para os sistemas de registros (logging). O protocolo de hora da rede
pode ser utilizado para sincronizar todos os relgios dos servidores com o relgio principal.
11 Controle de acessos
Convm que o acesso informao, recursos de processamento das informaes e processos de negcios
sejam controlados com base nos requisitos de negcio e segurana da informao.
Convm que as regras de controle de acesso levem em considerao as polticas para autorizao e
disseminao da informao.
Controle
Convm que a poltica de controle de acesso seja estabelecida documentada e analisada criticamente,
tomando-se como base os requisitos de acesso dos negcios e segurana da informao.
e) legislao pertinente e qualquer obrigao contratual relativa proteo de acesso para dados ou
servios (ver 15.1);
h) segregao de regras de controle de acesso, por exemplo, pedido de acesso, autorizao de acesso,
administrao de acesso;
Informaes adicionais
Convm que sejam tomados cuidados na especificao de regras de controle de acesso quando se considerar
o seguinte:
a) diferenciar entre regras que devem ser obrigatrias e foradas, e diretrizes que so opcionais ou
condicionais;
b) estabelecer regra baseada na premissa Tudo proibido, a menos que expressamente permitido" em
lugar da regra mais fraca "Tudo permitido, a menos que expressamente proibido";
c) mudanas em rtulos de informao (ver 7.2) que so iniciadas automaticamente atravs de recursos
de processamento da informao e os que iniciaram pela ponderao de um usurio;
e) regras que requerem aprovao especfica antes de um decreto ou lei e as que no necessitam.
Convm que as regras para controle de acesso sejam apoiadas por procedimentos formais e
responsabilidades claramente definidas (ver 6.1.3, 11.3, 10.4.1 e 11.6).
Objetivo: Assegurar acesso de usurio autorizado e prevenir acesso no autorizado a sistemas de informao.
Convm que procedimentos formais sejam implementados para controlar a distribuio de direitos de acesso a
sistemas de informao e servios.
Convm que os procedimentos cubram todas as fases do ciclo de vida de acesso do usurio, da inscrio
inicial como novos usurios at o cancelamento final do registro de usurios que j no requerem acesso a
sistemas de informao e servios. Convm que ateno especial seja dada, onde apropriado, para a
necessidade de controlar a distribuio de direitos de acesso privilegiado que permitem os usurios mudar
controles de sistemas.
Controle
Convm que exista um procedimento formal de registro e cancelamento de usurio para garantir e revogar
acessos em todos os sistemas de informao e servios.
a) utilizar identificador de usurio (ID de usurio) nico para assegurar a responsabilidade de cada
usurio por suas aes; convm que o uso de grupos de ID somente seja permitido onde existe a
necessidade para o negcio ou por razes operacionais, e isso seja aprovado e documentado;
b) verificar se o usurio tem autorizao do proprietrio do sistema para o uso do sistema de informao
ou servio; aprovao separada para direitos de acesso do gestor tambm pode ser apropriada;
d) dar para os usurios uma declarao por escrito dos seus direitos de acesso;
e) requerer aos usurios a assinatura de uma declarao indicando que eles entendem as condies de
acesso;
f) assegurar aos provedores de servios que no sero dados acessos at que os procedimentos de
autorizao tenham sido concludos;
j) assegurar que identificadores de usurio (ID de usurio) redundantes no sejam atribudos para outros
usurios.
Informaes adicionais
Convm que seja considerado estabelecer perfis de acesso do usurio baseados nos requisitos dos negcios
que resumam um nmero de direitos de acessos dentro de um perfil de acesso tpico de usurio. Solicitaes
de acessos e anlises crticas (ver 11.2.4) so mais fceis de gerenciar ao nvel de tais perfis do que ao nvel
de direitos particulares.
Convm que seja considerada a incluso de clusulas nos contratos de usurios e de servios que
especifiquem as sanes em caso de tentativa de acesso no autorizado pelos usurios ou por terceiros
(ver 6.1.5, 8.1.3 e 8.2.3).
Controle
Convm que a concesso e o uso de privilgios sejam restritos e controlados.
a) privilgio de acesso de cada produto de sistema, por exemplo, sistema operacional, sistemas de
gerenciamento de banco de dados e cada aplicao, e de categorias de usurios para os quais estes
necessitam ser concedido, seja identificado;
b) os privilgios sejam concedidos a usurios conforme a necessidade de uso e com base em eventos
alinhados com a poltica de controle de acesso (ver 11.1.1), por exemplo, requisitos mnimos para sua
funo somente quando necessrio;
f) os privilgios sejam atribudos para um identificador de usurio (ID de usurio) diferente daqueles
usados normalmente para os negcios.
Informaes adicionais
O uso inapropriado de privilgios de administrador de sistemas (qualquer caracterstica ou recursos de
sistemas de informao que habilitam usurios a exceder o controle de sistemas ou aplicaes) pode ser um
grande fator de contribuio para falhas ou violaes de sistemas.
Controle
Convm que a concesso de senhas seja controlada atravs de um processo de gerenciamento formal.
a) solicitar aos usurios a assinatura de uma declarao, para manter a confidencialidade de sua senha
pessoal e das senhas de grupos de trabalho, exclusivamente com os membros do grupo; esta
declarao assinada pode ser includa nos termos e condies da contratao (ver 8.1.3);
b) garantir, onde os usurios necessitam manter suas prprias senhas, que sejam fornecidas inicialmente
senhas seguras e temporrias (ver 11.3.1), o que obriga o usurio a alter-la imediatamente;
c) estabelecer procedimentos para verificar a identidade de um usurio antes de fornecer uma senha
temporria, de substituio ou nova;
d) fornecer senhas temporrias aos usurios de maneira segura; convm que o uso de mensagens de
correio eletrnico de terceiros ou desprotegido (texto claro) seja evitado;
e) senhas temporrias sejam nicas para uma pessoa e no sejam de fcil memorizao;
Informaes adicionais
Senhas so um meio comum de verificar a identidade de um usurio antes que acessos sejam concedidos a
um sistema de informao ou servio de acordo com a autorizao do usurio. Outras tecnologias para
identificao de usurio e autenticao, como biomtrica, por exemplo, verificao de digitais, verificao de
assinatura, e uso de tokens, por exemplo, e cartes inteligentes, esto disponveis, e convm que sejam
consideradas, se apropriado.
Controle
Convm que o gestor conduza a intervalos regulares a anlise crtica dos direitos de acesso dos usurios, por
meio de um processo formal.
a) os direitos de acesso de usurios sejam revisados em intervalos regulares, por exemplo, um perodo
de seis meses e depois de qualquer mudana, como promoo, rebaixamento ou encerramento do
contrato (ver 11.2.1);
c) autorizaes para direitos de acesso privilegiado especial (ver 11.2.2) sejam analisadas criticamente
em intervalos mais freqentes, por exemplo, em um perodo de trs meses;
d) as alocaes de privilgios sejam verificadas em intervalo de tempo regular para garantir que
privilgios no autorizados no foram obtidos;
e) as modificaes para contas de privilgios sejam registradas para anlise crtica peridica.
Informaes adicionais
necessrio analisar criticamente, a intervalos regulares, os direitos de acesso de usurios para manter o
controle efetivo sobre os acessos de dados e servios de informao.
Objetivo: Prevenir o acesso no autorizado dos usurios e evitar o comprometimento ou roubo da informao e
dos recursos de processamento da informao.
Convm que os usurios estejam conscientes de suas responsabilidades para manter efetivo controle de
acesso, particularmente em relao ao uso de senhas e de segurana dos equipamentos de usurios.
Convm que uma poltica de mesa e tela limpa seja implementada para reduzir o risco de acessos no
autorizados ou danos a documentos/papis, mdias e recursos de processamento da informao.
Controle
Convm que os usurios sejam solicitados a seguir as boas prticas de segurana da informao na seleo e
uso de senhas.
b) evitar manter anotadas senhas (por exemplo, papel, arquivos ou dispositivos mveis), a menos que
elas possam ser armazenadas de forma segura e o mtodo de armazenamento esteja aprovado;
c) alterar senha sempre que existir qualquer indicao de possvel comprometimento do sistema ou da
prpria senha;
1) fceis de lembrar;
2) no baseadas em nada que algum facilmente possa adivinhar ou obter usando informaes
relativas pessoa, por exemplo, nomes, nmeros de telefone e datas de aniversrio;
e) modificar senhas regularmente ou com base no nmero de acessos (convm que senhas de acesso a
contas privilegiadas sejam modificadas mais freqentemente que senhas normais) e evitar a
reutilizao ou reutilizao do ciclo de senhas antigas;
g) no incluir senhas em nenhum processo automtico de acesso ao sistema, por exemplo, armazenadas
em um macro ou funes-chave;
Se os usurios necessitam acessar mltiplos servios, sistemas ou plataformas, e forem requeridos para
manter separadamente mltiplas senhas, convm que eles sejam alertados para usar uma nica senha de
qualidade (ver d) acima) para todos os servios, j que o usurio estar assegurado de que um razovel nvel
de proteo foi estabelecido para o armazenamento da senha em cada servio, sistema ou plataforma.
Informaes adicionais
A gesto do sistema de help desk que trata de senhas perdidas ou esquecidas necessita de cuidado especial,
pois este caminho pode ser tambm um dos meios de ataque ao sistema de senha.
Controle
Convm que os usurios assegurem que os equipamentos no monitorados tenham proteo adequada.
a) encerrar as sesses ativas,a menos que elas possam ser protegidas por meio de um mecanismo de
bloqueio, por exemplo tela de proteo com senha;
Informaes adicionais
Equipamentos instalados em reas de usurios, por exemplo, estaes de trabalho ou servidores de arquivos,
podem requerer proteo especial contra acesso no autorizado, quando deixados sem monitorao por um
perodo extenso.
Controle
Convm que seja adotada uma poltica de mesa limpa de papis e mdias de armazenamento removvel e
poltica de tela limpa para os recursos de processamento da informao.
d) sejam evitados o uso no autorizado de fotocopiadoras e outra tecnologia de reproduo (por exemplo,
scanners, mquinas fotogrficas digitais);
Informaes adicionais
Uma poltica de mesa limpa e tela limpa reduz o risco de acesso no autorizado, perda e dano da informao
durante e fora do horrio normal de trabalho. Cofres e outras formas de instalaes de armazenamento seguro
tambm podem proteger informaes armazenadas contra desastres como incndio, terremotos, enchentes ou
exploso.
Considerar o uso de impressoras com funo de cdigo PIN, permitindo desta forma que os requerentes sejam
os nicos que possam pegar suas impresses, e apenas quando estiverem prximos s impressoras.
Convm que o acesso aos servios de rede internos e externos seja controlado.
Convm que os usurios com acesso s redes e aos servios de rede no comprometam a segurana desses
servios, assegurando:
a) uso de interfaces apropriadas entre a rede da organizao e as redes de outras organizaes e redes
pblicas;
Controle
Convm que usurios somente recebam acesso para os servios que tenham sido especificamente
autorizados a usar.
b) procedimentos de autorizao para determinar quem tem permisso para acessar em quais redes e
servios de redes;
c) gerenciamento dos controles e procedimentos para proteger acesso a conexes e servios de redes;
d) os meios usados para acessar redes e servios de rede (por exemplo, as condies por permitir
acesso discado para acessar o provedor de servio internet ou sistema remoto).
Convm que a poltica no uso de servios de rede seja consistente com a poltica de controle de acesso do
negcio (ver 11.1).
Informaes adicionais
Conexes sem autorizao e inseguras nos servios de rede podem afetar toda organizao. Este controle
particularmente importante para conexes de redes sensveis ou aplicaes de negcios crticos ou para
usurios em locais de alto risco, por exemplo, reas pblicas ou externas que esto fora da administrao e
controle da segurana da organizao.
Controle
Convm que mtodos apropriados de autenticaes sejam usados para controlar acesso de usurios remotos.
Os procedimentos e controles de discagem reversa (dial-back), por exemplo, usando modens com discagem
reversa, podem prover proteo contra conexes no autorizadas e no desejadas nos recursos de
processamento da informao de uma organizao. Este tipo de controle autentica usurios que tentam
estabelecer conexes com a rede de uma organizaes de localidades remotas. Ao usar este controle,
convm que uma organizao no use servios de rede que incluem transferncia de chamadas (forward) ou,
se eles fizerem, convm que seja desabilitado o uso de tais facilidades para evitar exposio a fragilidades
associadas ao call forward. Convm que o processo de discagem reversa assegure que uma desconexo atual
no lado da organizao acontea. Caso contrrio, o usurio remoto poderia reter aberta a linha simulando que
a verificao do retorno da chamada (call back) ocorreu. Convm que os procedimentos e controles da
discagem reversa sejam testados completamente para esta possibilidade.
Autenticao de um n pode servir como meio alternativo de autenticar grupos de usurios remotos onde eles
so conectados a recursos de computador seguros e compartilhados. Tcnicas criptogrficas, por exemplo,
com base em certificados de mquina, podem ser usadas para autenticao de n. Isto parte de vrias
solues baseado em VPN.
Convm que seja implementado controle de autenticao adicional para controlar acesso a redes sem fios.
Em particular, cuidado especial necessrio na seleo de controles para redes sem fios devido s
numerosas oportunidades de no deteco de interceptao e insero de trfico de rede.
Informaes adicionais
As conexes externas proporcionam um potencial de acessos no autorizados para as informaes de negcio,
por exemplo, acesso por mtodos discados (dial-up). Existem diferentes tipos de mtodos de autenticao,
alguns deles proporcionam um maior nvel de proteo que outros, por exemplo, mtodos baseados em
tcnicas de criptografia que podem proporcionar autenticao forte. importante determinar o nvel de
proteo requerido a partir de uma anlise/avaliao de riscos. Isto necessrio para selecionar
apropriadamente um mtodo de autenticao.
Os recursos de conexo automtica para computadores remotos podem prover um caminho para ganhar
acesso no autorizado nas aplicaes de negcio. Isto particularmente importante se a conexo usar uma
rede que est fora do controle do gerenciamento de segurana da informao da organizao.
Controle
Convm que sejam consideradas as identificaes automticas de equipamentos como um meio de autenticar
conexes vindas de localizaes e equipamentos especficos.
Informaes adicionais
Este controle pode ser complementado com outras tcnicas para autenticar o usurio do equipamento
(ver 11.4.2). Pode ser aplicada identificao de equipamento adicionalmente autenticao de usurio.
Controle
Convm que seja controlado o acesso fsico e lgico das portas de diagnstico e configurao.
Convm que portas, servios e recursos similares instalados em um computador ou recurso de rede que no
so especificamente requeridos para a funcionalidade do negcio sejam desabilitados ou removidos.
Informaes adicionais
Muitos sistemas de computadores, sistemas de rede e sistemas de comunicao so instalados com os
recursos de diagnstico ou configurao remota para uso pelos engenheiros de manuteno.
Se desprotegidas, estas portas de diagnstico proporcionam meios de acesso no autorizado.
Controle
Convm que grupos de servios de informao, usurios e sistemas de informao sejam segredados em
redes.
Tal permetro de rede pode ser implementado instalando um gateway seguro entre as duas redes a serem
interconectadas para controlar o acesso e o fluxo de informao entre os dois domnios. Convm que este
gateway seja configurado para filtrar trfico entre estes domnios (ver 11.4.6 e 11.4.7) e bloquear acesso no
autorizado conforme a poltica de controle de acesso da organizao (ver 11.1). Um exemplo deste tipo de
gateway o que geralmente chamado de firewall. Outro mtodo de segregar domnios lgicos restringir
acesso de rede usando redes privadas virtuais para grupos de usurio dentro da organizao.
Podem tambm ser segregadas redes usando a funcionalidade de dispositivo de rede, por exemplo,
IP switching. Os domnios separados podem ser implementados controlando os fluxos de dados de rede,
usando as capacidades de routing/switching, do mesmo modo que listas de controle de acesso.
Convm que critrios para segregao de redes em domnios estejam baseados na poltica de controle de
acesso e requisitos de acesso (ver 10.1), e tambm levem em conta os custos relativos e impactos de
desempenho em incorporar roteamento adequado rede ou tecnologia de gateway (ver 11.4.6 e 11.4.7).
Alm disso, convm que segregao de redes esteja baseada no valor e classificao de informaes
armazenadas ou processadas na rede, nveis de confiana ou linhas de negcio para reduzir o impacto total de
uma interrupo de servio.
Convm considerar segregao de redes sem fios de redes internas e privadas. Como os permetros de
redes sem fios no so bem definidos, convm que uma anlise/avaliao de riscos seja realizada em tais
casos para identificar os controles (por exemplo, autenticao forte, mtodos criptogrficos e seleo de
freqncia) para manter segregao de rede.
Informaes adicionais
As redes esto sendo progressivamente estendidas alm dos limites organizacionais tradicionais, tendo em
vista as parcerias de negcio que so formadas e que podem requerer a interconexo ou compartilhamento de
processamento de informao e recursos de rede. Tais extenses podem aumentar o risco de acesso no
autorizado a sistemas de informao existentes que usam a rede e alguns dos quais podem requerer proteo
de outros usurios de rede devido a sensibilidade ou criticidade.
Controle
Para redes compartilhadas, especialmente essas que se estendem pelos limites da organizao, convm que
a capacidade dos usurios para conectar-se rede seja restrita, alinhada com a poltica de controle de acesso
e os requisitos das aplicaes do negcio (ver 11.1).
A capacidade de conexo de usurios pode ser restrita atravs dos gateways que filtram trfico por meio de
tabelas ou regras predefinidas. Convm que sejam aplicadas restries nos seguintes exemplos de aplicaes:
b) transferncia de arquivo;
c) acesso interativo;
d) acesso aplicao.
Convm que sejam considerados direitos de acesso entre redes para certo perodo do dia ou datas.
Informaes adicionais
A incorporao de controles para restringir a capacidade de conexo dos usurios pode ser requerida pela
poltica de controle de acesso para redes compartilhadas, especialmente aquelas que estendam os limites
organizacionais.
Controle
Convm que seja implementado controle de roteamento na rede, para assegurar que as conexes de
computador e fluxos de informao no violem a poltica de controle de acesso das aplicaes do negcio.
Os gateways de segurana podem ser usados para validar endereos de origem e destino nos pontos de
controle de rede interna ou externa se o proxy e/ou a tecnologia de traduo de endereo forem empregados.
Convm que os implementadores estejam conscientes da fora e deficincias de qualquer mecanismo
implementado. Convm que os requisitos de controles de roteamento das redes sejam baseados na poltica de
controle de acesso (ver 11.1).
Informaes adicionais
As redes compartilhadas, especialmente as que estendem os limites organizacionais, podem requerer
controles adicionais de roteamento. Isto se aplica particularmente onde so compartilhadas redes com
terceiros (usurios que no pertencem a organizao).
Convm que recursos de segurana da informao sejam usados para restringir o acesso aos sistemas
operacionais para usurios autorizados. Convm que estes recursos permitam:
Controle
Convm que o acesso aos sistemas operacionais seja controlado por um procedimento seguro de entrada no
sistema (log-on).
a) no mostre identificadores de sistema ou de aplicao at que o processo tenha sido concludo com
sucesso;
b) mostre um aviso geral informando que o computador seja acessado somente por usurios autorizados;
c) no fornea mensagens de ajuda durante o procedimento de entrada (log-on) que poderiam auxiliar
um usurio no autorizado;
d) valide informaes de entrada no sistema somente quando todos os dados de entrada estiverem
completos. Caso ocorra uma condio de erro, convm que o sistema no indique qual parte do dado
de entrada est correta ou incorreta;
e) limite o nmero permitido de tentativas de entradas no sistema (log-on) sem sucesso, por exemplo,
trs tentativas, e considere:
2) imposio do tempo de espera antes de permitir novas tentativas de entrada no sistema (log-on)
ou rejeio de qualquer tentativa posterior de acesso sem autorizao especfica;
4) envio de uma mensagem de alerta para o console do sistema, se o nmero mximo de tentativas
de entrada no sistema (log-on) for alcanado;
f) limite o tempo mximo e mnimo permitido para o procedimento de entrada no sistema (log-on).
Se excedido, convm que o sistema encerre o procedimento;
g) mostre as seguintes informaes, quando o procedimento de entrada no sistema (log-on) finalizar com
sucesso:
2) detalhes de qualquer tentativa sem sucesso de entrada no sistema (log-on) desde o ltimo
acesso com sucesso;
h) no mostre a senha que est sendo informada ou considere ocultar os caracteres da senha por
smbolos;
Informaes adicionais
Se as senhas forem transmitidas em texto claro durante o procedimento de entrada no sistema (log-on) pela
rede, elas podem ser capturadas por um programa de sniffer de rede, instalado nela.
Controle
Convm que todos os usurios tenham um identificador nico (ID de usurio) para uso pessoal e exclusivo, e
convm que uma tcnica adequada de autenticao seja escolhida para validar a identidade alegada por um
usurio.
Convm que os identificadores de usurios (ID de usurios) possam ser utilizados para rastrear atividades ao
indivduo responsvel. Convm que atividades regulares de usurios no sejam executadas atravs de contas
privilegiadas.
Em circunstncias excepcionais, onde exista um claro benefcio ao negcio, pode ocorrer a utilizao de um
identificador de usurio (ID de usurio) compartilhado por um grupo de usurios ou para um trabalho
especfico. Convm que a aprovao pelo gestor esteja documentada nestes casos. Controles adicionais
podem ser necessrios para manter as responsabilidades.
Convm que identificadores de usurios (ID de usurios) genricos para uso de um indivduo somente sejam
permitidos onde as funes acessveis ou as aes executadas pelo usurio no precisam ser rastreadas
(por exemplo, acesso somente leitura), ou quando existem outros controles implementados (por exemplo,
senha para identificador de usurio genrico somente fornecida para um indivduo por vez e registrada).
Convm que onde autenticao forte e verificao de identidade requerida, mtodos alternativos de
autenticao de senhas, como meios criptogrficos, cartes inteligentes (smart card), tokens e meios
biomtricos sejam utilizados.
Informaes adicionais
As senhas (ver 11.3.1 e 11.5.3) so uma maneira muito comum de se prover identificao e autenticao com
base em um segredo que apenas o usurio conhece. O mesmo pode ser obtido com meios criptogrficos e
protocolos de autenticao. Convm que a fora da identificao e autenticao de usurio seja adequada
com a sensibilidade da informao a ser acessada.
Objetos como tokens de memria ou cartes inteligentes (smart card) que os usurios possuem tambm
podem ser usados para identificao e autenticao. As tecnologias de autenticao biomtrica que usam
caractersticas ou atributos nicos de um indivduo tambm podem ser usadas para autenticar a identidade de
uma pessoa. Uma combinao de tecnologias e mecanismos seguramente relacionados resultar em uma
autenticao forte.
Controle
Convm que sistemas para gerenciamento de senhas sejam interativos e assegurem senhas de qualidade.
a) obrigue o uso de identificador de usurio (ID de usurio) e senha individual para manter
responsabilidades;
b) permita que os usurios selecionem e modifiquem suas prprias senhas, incluindo um procedimento
de confirmao para evitar erros;
Informaes adicionais
A senha um dos principais meios de validar a autoridade de um usurio para acessar um servio de
computador.
Algumas aplicaes requerem que senhas de usurio sejam atribudas por uma autoridade independente.
Em alguns casos, as alneas b), d) e e) das diretrizes acima no se aplicam. Na maioria dos casos, as senhas
so selecionadas e mantidas pelos usurios. Ver 11.3.1 para diretrizes do uso de senhas.
Controle
Convm que o uso de programas utilitrios que podem ser capazes de sobrepor os controles dos sistemas e
aplicaes seja restrito e estritamente controlado.
c) limitao do uso dos utilitrios de sistema a um nmero mnimo de usurios confiveis e autorizados
(ver 11.2.2);
e) limitao da disponibilidade dos utilitrios de sistema, por exemplo para a durao de uma modificao
autorizada;
i) no deixar utilitrios de sistema disponveis para usurios que tm acesso s aplicaes nos sistemas
onde segregao de funes requerida.
Informaes adicionais
A maioria das instalaes de computadores tem um ou mais programas utilitrios de sistema que podem ser
capazes de sobrepor os controles dos sistemas e aplicaes.
Controle
Convm que terminais inativos sejam desconectados aps um perodo definido de inatividade.
Uma forma limitada para o recurso de desconexo de terminal pode ser provida por alguns sistemas, os quais
limpam a tela e previnem acesso no autorizado, mas no fecham as sees das aplicaes ou da rede.
Informaes adicionais
Este controle particularmente importante em locais de alto risco, os quais incluem reas pblicas ou externas
fora dos limites do gerenciamento de segurana da organizao. Convm que estas sees sejam desligadas
para prevenir o acesso por pessoas no autorizadas e ataques de negao de servio.
Controle
Convm que restries nos horrios de conexo sejam utilizadas para proporcionar segurana adicional para
aplicaes de alto risco.
a) utilizao de blocos de horrios predeterminados, por exemplo para lotes de transmisso de arquivos
ou sees regulares interativas de curta durao;
b) restrio dos horrios de conexo s horas normais de expediente se no houver necessidades para
horas extras ou trabalhos fora do horrio normal;
Informaes adicionais
Limitar o perodo durante o qual as conexes de terminal para os servios computadorizados so permitidas
reduz a janela de oportunidade para acessos no autorizados. Limitar a durao de sees ativas inibe os
usurios a manter sees abertas, para evitar reautenticao.
Convm que os recursos de segurana da informao sejam utilizados para restringir o acesso aos sistemas
de aplicao.
Convm que o acesso lgico aplicao e informao seja restrito a usurios autorizados. Convm que os
sistemas de aplicao:
a) controlem o acesso dos usurios informao e s funes dos sistemas de aplicao, de acordo
com uma poltica de controle de acesso definida;
b) proporcionem proteo contra acesso no autorizado para qualquer software utilitrio, sistema
operacional e software malicioso que seja capaz de sobrepor ou contornar os controles da aplicao
ou do sistema;
Controle
Convm que o acesso informao e s funes dos sistemas de aplicaes por usurios e pessoal de
suporte seja restrito de acordo com o definido na poltica de controle de acesso.
Convm que a aplicao dos seguintes controles seja considerada de forma a suportar os requisitos de
restrio de acesso:
b) controlar os direitos de acesso dos usurios, por exemplo, ler, escrever, excluir e executar;
d) assegurar que as sadas dos sistemas de aplicao que tratam informaes sensveis contenham
apenas a informao relevante ao uso de tais sadas e so enviadas apenas para os terminais e locais
autorizados; convm incluir uma anlise crtica peridica de tais sadas, para assegurar que
informao desnecessria removida.
Controle
Convm que sistemas sensveis tenham um ambiente computacional dedicado (isolado).
Informaes adicionais
Alguns sistemas de aplicao so suficientemente sensveis a perdas potenciais, requerendo tratamento
especial. A sensibilidade pode indicar que o sistema de aplicao:
O isolamento pode ser obtido utilizando-se mtodos fsicos ou lgicos (ver 11.4.5).
Objetivo: Garantir a segurana da informao quando se utilizam a computao mvel e recursos de trabalho
remoto.
Convm que a proteo requerida seja proporcional com o risco desta forma especfica de trabalho. Quando
se utiliza a computao mvel, convm que os riscos de trabalhar em um ambiente desprotegido sejam
considerados e a proteo adequada seja aplicada. No caso de trabalho remoto, convm que a organizao
aplique proteo ao local do trabalho remoto e assegure que as providncias adequadas esto implementadas
para este tipo de trabalho.
Controle
Convm que uma poltica formal seja estabelecida e que medidas de segurana apropriadas sejam adotadas
para a proteo contra os riscos do uso de recursos de computao e comunicao mveis.
Convm que a poltica de computao mvel inclua os requisitos de proteo fsica, controles de acesso,
tcnicas criptogrficas, cpias de segurana e proteo contra vrus. Convm que esta poltica inclua tambm
regras e recomendaes sobre a conexo de recursos mveis rede e diretrizes sobre o uso destes recursos
em locais pblicos.
Convm que sejam tomadas certas precaues ao se utilizarem os recursos de computao mvel em locais
pblicos, salas de reunies e outras reas desprotegidas fora dos limites da organizao. Convm que sejam
estabelecidas protees para evitar o acesso no autorizado ou a divulgao de informaes armazenadas e
processadas nestes recursos, por exemplo atravs da utilizao de tcnicas de criptografia (ver 12.3).
Convm que usurios de recursos de computao mvel em locais pblicos tomem cuidado para evitar o risco
de captao por pessoas no autorizadas. Convm que procedimentos contra softwares maliciosos sejam
estabelecidos e mantidos sempre atualizados (ver 10.4).
Convm que cpias de segurana das informaes crticas de negcio sejam feitas regularmente. Convm que
equipamentos estejam disponveis para possibilitar a realizao de cpias de segurana das informaes de
forma rpida e fcil. Para essas cpias de segurana, convm que sejam adotadas protees adequadas
contra, por exemplo, roubo ou perda de informao.
Convm que proteo adequada seja dada para o uso dos recursos de computao mvel conectados em
rede. Convm que o acesso remoto s informaes do negcio atravs de redes pblicas, usando os recursos
de computao mvel, ocorra apenas aps o sucesso da identificao e da autenticao, e com os
apropriados mecanismos de controle de acesso implantados (ver 11.4).
Convm que os recursos de computao mvel tambm estejam protegidos fisicamente contra roubo,
especialmente quando deixados, por exemplo, em carros ou em outros meios de transporte, quartos de hotis,
centros de conferncia e locais de reunio. Convm que esteja estabelecido um procedimento especfico que
leve em considerao requisitos legais, securitrios e outros requisitos de segurana da organizao para
casos de roubo ou perda de recursos de computao mvel. Convm que os equipamentos que contm
informaes importantes, sensveis e/ou crticas para o negcio no sejam deixados sem observao e,
quando possvel, estejam fisicamente trancados, ou convm que travas especiais sejam utilizadas para
proteger o equipamento. (ver 9.2.5).
Convm que seja providenciado treinamento para os usurios de computao mvel, para aumentar o nvel de
conscientizao a respeito dos riscos adicionais resultantes desta forma de trabalho e dos controles que
devem ser implementados.
Informaes adicionais
As redes de conexo sem fio so similares a outros tipos de redes, mas possuem diferenas importantes que
convm que sejam consideradas quando da identificao de contoles. As diferenas tpicas so:
a) alguns protocolos de segurana de redes sem fio so imaturos e possuem fragilidades conhecidas;
b) pode no ser possvel efetuar cpias de segurana das informaes armazenadas em computadores
mveis devido largura de banda limitada e/ou devido ao equipamento mvel no estar conectado no
momento em que as cpias de segurana esto programadas.
Controle
Convm que uma poltica, planos operacionais e procedimentos sejam desenvolvidos e implementados para
atividades de trabalho remoto.
Convm que a proteo apropriada ao local do trabalho remoto seja implantada para evitar, por exemplo, o
roubo do equipamento e de informaes, a divulgao no autorizada de informao, o acesso remoto no
autorizado aos sistemas internos da organizao ou mau uso de recursos. Convm que o trabalho remoto seja
autorizado e controlado pelo gestor e convm que sejam asseguradas as providncias adequadas a esta
forma de trabalho.
d) a ameaa de acesso no autorizado informao ou aos recursos por outras pessoas que utilizam o
local, por exemplo familiares e amigos;
e) o uso de redes domsticas e requisitos ou restries na configurao de servios de rede sem fio;
b) uma definio do trabalho permitido, o perodo de trabalho, a classificao da informao que pode ser
tratada e os sistemas internos e servios que o usurio do trabalho remoto est autorizado a acessar;
d) segurana fsica;
g) a proviso de seguro;
Informaes adicionais
As atividades de trabalho remoto utilizam tecnologias de comunicao que permitem que as pessoas
trabalhem remotamente de uma localidade fixa externa sua organizao.
Convm que todos os requisitos de segurana sejam identificados na fase de definio de requisitos de um
projeto e justificados, acordados e documentados como parte do caso geral de negcios para um sistema de
informaes.
Controle
Convm que sejam especificados os requisitos para controles de segurana nas especificaes de requisitos
de negcios, para novos sistemas de informao ou melhorias em sistemas existentes.
Convm que requisitos de segurana e controles reflitam o valor para o negcio dos ativos de informao
envolvidos (ver 7.2), e os danos potenciais ao negcio que poderiam resultar de uma falha ou ausncia de
segurana.
Convm que os requisitos de sistemas para a segurana da informao, bem como os processos para
implement-la sejam integrados aos estgios iniciais dos projetos dos sistemas de informao. Controles
introduzidos no estgio de projeto so significativamente mais baratos para implementar e manter do que
aqueles includos durante ou aps a implementao.
Convm que, no caso de produtos comprados, um processo formal de aquisio e testes seja seguido.
Convm que contratos com fornecedores levem em considerao os requisitos de segurana identificados.
Nas situaes em que funcionalidades de segurana de um produto proposto no satisfaam requisitos
especificados, convm que o risco introduzido, assim como os controles associados, sejam reconsiderados
antes da compra do produto. Nas situaes em que as funcionalidades adicionais incorporadas acarretem
riscos segurana, convm que estas sejam desativadas ou a estrutura de controles proposta seja analisada
criticamente para determinar se h vantagem na utilizao das funcionalidades em questo.
Informaes adicionais
Se considerado apropriado, por exemplo, por razes de custos, o gestor pode considerar o uso de produtos
avaliados e certificados por entidade independente. Informao adicional sobre critrios de avaliao de
produtos pode ser encontrada na ISO/IEC 15408 ou em outras normas de avaliao ou certificao
apropriadas.
A ISO/IEC 13335-3 possui orientao sobre o uso de processos de gerenciamento de riscos para a
identificao de requisitos de controles de segurana.
Objetivo: Prevenir a ocorrncia de erros, perdas, modificao no autorizada ou mau uso de informaes em
aplicaes.
Convm que controles apropriados sejam incorporados no projeto das aplicaes, inclusive aquelas
desenvolvidas pelos usurios, para assegurar o processamento correto. Convm que esses controles incluam
a validao dos dados de entrada, do processamento interno e dos dados de sada.
Controles adicionais podem ser necessrios para sistemas que processem informaes sensveis, valiosas ou
crticas, ou que nestas exeram algum impacto. Convm que tais controles sejam determinados com base em
requisitos de segurana e a anlise/avaliao de riscos.
Controle
Convm que os dados de entrada de aplicaes sejam validados para garantir que so corretos e apropriados.
a) entrada duplicada ou outros tipos de verificao, tais como checagem de limites ou campos limitando
as faixas especficas de dados de entrada, para detectar os seguintes erros:
Informaes adicionais
A verificao e validao automtica de dados de entrada podem ser consideradas, onde aplicveis, para
reduzir o risco de erros e prevenir ataques conhecidos como buffer overflow e injeo de cdigo.
Controle
Convm que sejam incorporadas, nas aplicaes, checagens de validao com o objetivo de detectar qualquer
corrupo de informaes, por erros ou por aes deliberadas.
a) o uso das funes, como incluir, modificar e remover para implementao de alteraes nos dados;
b) procedimentos para evitar que programas rodem na ordem errada ou continuem rodando aps uma
falha de processamento (ver 10.1.1);
c) o uso de programas apropriados para recuperao de falhas, para assegurar o processamento correto
dos dados;
Convm que seja preparada uma lista de verificao apropriada, as atividades sejam documentadas e os
resultados sejam mantidos em segurana. Exemplos de verificaes que podem ser incorporadas incluem:
b) controles de saldos, para verificao de saldos abertos comparando com saldos previamente
encerrados o batimento de saldos de abertura contra saldos de fechamento, utilizando:
1) controles run-to-run;
3) controles program-to-program;
g) verificaes para garantir que os programas sejam rodados na ordem correta e terminem em caso de
falha, e que qualquer processamento adicional seja estancado, at que o problema seja resolvido;
Informaes adicionais
Os dados que tenham sido corretamente alimentados podem ser corrompidos por falhas de hardware, erros de
processamento ou por atos deliberados. As verificaes de validao requeridas dependem da natureza das
aplicaes e do impacto, no negcio, de qualquer corrupo de dados.
Controle
Convm que requisitos para garantir a autenticidade e proteger a integridade das mensagens em aplicaes
sejam identificados e os controles apropriados sejam identificados e implementados.
Informaes adicionais
As tcnicas criptogrficas (ver 12.3) podem ser usadas como um meio apropriado para a implementao da
autenticao de mensagens.
Controle
Convm que os dados de sada das aplicaes sejam validados para assegurar que o processamento das
informaes armazenadas est correto e apropriado s circunstncias.
Informaes adicionais
Tipicamente, sistemas e aplicaes so construdos no pressuposto de que, tendo sido efetuadas as
validaes apropriadas, verificaes e testes, as sadas estaro sempre corretas. Contudo, este pressuposto
nem sempre vlido, isto , sistemas que tenham sido testados podem ainda produzir dados de sada
incorretos sob certas circunstncias.
Convm que uma poltica seja desenvolvida para o uso de controles criptogrficos. Convm que o
gerenciamento de chaves seja implementado para apoiar o uso de tcnicas criptogrficas.
Controle
Convm que seja desenvolvida e implementada uma poltica para o uso de controles criptogrficos para a
proteo da informao.
b) a identificao do nvel requerido de proteo com base em uma anlise/avaliao de riscos, levando
em considerao o tipo, a fora e a qualidade do algoritmo de criptografia requerido;
d) a abordagem do gerenciamento de chaves, incluindo mtodos para lidar com a proteo das chaves
criptogrficas e a recuperao de informaes cifradas, no caso de chaves perdidas, comprometidas
ou danificadas;
f) os padres a serem adotados para a efetiva implementao ao longo de toda a organizao (qual
soluo usada para quais processos de negcios);
g) o impacto do uso de informaes cifradas em controles que dependem da inspeo de contedos (por
exemplo, deteco de vrus).
Controles criptogrficos podem ser usados para alcanar diversos objetivos de segurana, como, por exemplo:
Informaes adicionais
Convm que a tomada de deciso para verificar se uma soluo de criptografia apropriada seja vista como
parte de um processo de anlise/avaliao de riscos e seleo de controles mais amplos. Essa avaliao pode,
ento, ser usada para determinar se um controle criptogrfico apropriado, que tipo de controle seja usado e
para que propsito e processos de negcios.
Uma poltica sobre o uso de controles criptogrficos necessria para maximizar os benefcios e minimizar os
riscos do uso de tcnicas criptogrficas para evitar o uso incorreto ou inapropriado. Quanto ao uso de
assinaturas digitais, convm que seja considerada toda a legislao relevante, em particular aquela que
descreve as condies sob as quais uma assinatura digital legalmente aceita (ver 15.1).
Convm que seja buscada a opinio de um especialista para identificar o nvel apropriado de proteo e definir
as especificaes aplicveis que proporcionaro o nvel requerido de proteo e o apoio implementao de
um sistema seguro de gerenciamento de chaves (ver 12.3.2).
O ISO/IEC JTC1 SC27 desenvolveu diversas normas relacionadas com controles criptogrficos. Informaes
adicionais podem tambm ser encontradas na IEEE P1363 e no OECD Guidelines on Cryptography.
Controle
Convm que um processo de gerenciamento de chaves seja implantado para apoiar o uso de tcnicas
criptogrficas pela organizao.
Convm que um sistema de gerenciamento de chaves seja baseado em um conjunto estabelecido de normas,
procedimentos e mtodos de segurana para:
c) distribuir chaves para os usurios devidos, incluindo a forma como as chaves devem ser ativadas,
quando recebidas;
d) armazenar chaves, incluindo a forma como os usurios autorizados obtm acesso a elas;
e) mudar ou atualizar chaves, incluindo regras relativas a quando as chaves devem ser mudadas e como
isto ser feito;
g) revogar chaves, incluindo regras de como elas devem ser retiradas ou desativadas, por exemplo
quando chaves tiverem sido comprometidas ou quando um usurio deixa a organizao (convm que,
tambm neste caso, que as chaves sejam guardadas);
h) recuperar chaves perdidas ou corrompidas, como parte da gesto da continuidade do negcio, por
exemplo para recuperao de informaes cifradas;
i) guardar chaves, por exemplo para informaes guardadas ou armazenadas em cpias de segurana;
j) destruir chaves;
Convm, para reduzir a possibilidade de comprometimento, que datas de ativao e desativao de chaves
sejam definidas de forma que possam ser utilizadas apenas por um perodo de tempo limitado. Convm que
este perodo de tempo seja dependente das circunstncias sob as quais o controle criptogrfico est sendo
usado, assim como do risco percebido.
Alm do gerenciamento seguro de chaves secretas e privadas, convm que a autenticidade de chaves
pblicas seja tambm considerada. Este processo de autenticao pode ser conduzido utilizando-se
certificados de chaves pblicas que so normalmente emitidos por uma autoridade certificadora, a qual
convm que seja uma organizao reconhecida, com controles adequados e procedimentos implantados com
o objetivo de garantir o requerido nvel de confiana.
Convm que o contedo dos termos dos acordos de nvel de servio ou contratos com fornecedores externos
de servios criptogrficos, por exemplo com uma autoridade certificadora, cubram aspectos como
responsabilidades, confiabilidade dos servios e tempos de resposta para a execuo dos servios
contratados (ver 6.2.3).
Informaes adicionais
O gerenciamento de chaves criptogrficas essencial para o uso efetivo de tcnicas criptogrficas.
A ISO/IEC 11770 fornece informao adicional sobre gerenciamento de chaves. Os dois tipos de tcnicas
criptogrficas so:
a) tcnicas de chaves secretas, onde duas ou mais partes compartilham a mesma chave, a qual
utilizado tanto para cifrar quanto para decifrar a informao; esta chave deve ser mantida secreta, uma
vez que qualquer um que tenha acesso a ela ser capaz de decifrar todas as informaes que tenham
sido cifradas com essa chave ou dela se utilizando para introduzir informao no autorizada;
b) tcnicas de chaves pblicas, onde cada usurio possui um par de chaves; uma chave pblica
(que pode ser revelada para qualquer um) e uma chave privada (que deve ser mantida secreta);
tcnicas de chaves pblicas podem ser utilizadas para cifrar e para produzir assinaturas digitais
(ver tambm ISO/IEC 9796 e ISO/IEC 14888).
Existe a ameaa de que seja forjada uma assinatura digital pela substituio da chave pblica do usurio. Este
problema resolvido pelo uso de um certificado de chave pblica.
Tcnicas criptogrficas podem ser tambm utilizadas para proteger chaves criptogrficas. Pode ser necessrio
o estabelecimento de procedimentos para a manipulao de solicitaes legais para acesso a chaves
criptogrficas, por exemplo, informao cifrada pode ser requerida em sua forma decifrada para uso como
evidncia em um processo judicial.
Convm que o acesso aos arquivos de sistema e aos programas de cdigo fonte seja controlado e que
atividades de projeto de tecnologia da informao e de suporte sejam conduzidas de forma segura.
Convm que cuidados sejam tomados para evitar a exposio de dados sensveis em ambientes de teste.
Controle
Convm que procedimentos para controlar a instalao de software em sistemas operacionais sejam
implementados.
c) sistemas operacionais e aplicativos somente sejam implementados aps testes extensivos e bem-
sucedidos; recomendvel que os testes incluam testes sobre uso, segurana, efeitos sobre outros
sistemas, como tambm sobre uso amigvel, e sejam realizados em sistemas separados (ver 10.1.4);
convm que seja assegurado que todas as bibliotecas de programa-fonte correspondentes tenham
sido atualizadas;
e) uma estratgia de retorno s condies anteriores seja disponibilizada antes que mudanas sejam
implementadas no sistema;
f) um registro de auditoria seja mantido para todas as atualizaes das bibliotecas dos programas
operacionais;
g) verses anteriores dos softwares aplicativos sejam mantidas como medida de contingncia;
h) verses antigas de software sejam arquivadas, junto com todas as informaes e parmetros
requeridos, procedimentos, detalhes de configuraes e software de suporte durante um prazo igual
ao prazo de reteno dos dados.
Convm que software adquirido de fornecedores e utilizado em sistemas operacionais seja mantido num nvel
apoiado pelo fornecedor. Ao transcorrer do tempo, fornecedores de software cessam o apoio s verses
antigas do software. Convm que a organizao considere os riscos associados dependncia de software
sem suporte.
Convm que qualquer deciso de atualizao para uma nova verso considere os requisitos do negcio para a
mudana e da segurana associada, por exemplo, a introduo de uma nova funcionalidade de segurana ou
a quantidade e a gravidade dos problemas de segurana associados a esta verso. Convm que pacotes de
correes de software sejam aplicados quando puderem remover ou reduzir as vulnerabilidades de segurana
(ver 12.6.1).
Convm que acessos fsicos e lgicos sejam concedidos a fornecedores, quando necessrio, para a finalidade
de suporte e com aprovao gerencial. Convm que as atividades do fornecedor sejam monitoradas.
Os softwares para computadores podem depender de outros softwares e mdulos fornecidos externamente, os
quais convm ser monitorados e controlados para evitar mudanas no autorizadas, que podem introduzir
fragilidades na segurana.
Informaes adicionais
Convm que sistemas operacionais sejam atualizados quando existir um requisito para tal, por exemplo, se a
verso atual do sistema operacional no suportar mais os requisitos do negcio. Convm que as atualizaes
no sejam efetivadas pela mera disponibilidade de uma verso nova do sistema operacional. Novas verses
de sistemas operacionais podem ser menos seguras, com menor estabilidade, e ser menos entendidas do que
os sistemas atuais.
Controle
Convm que os dados de teste sejam selecionados com cuidado, protegidos e controlados.
b) seja obtida autorizao cada vez que for utilizada uma cpia da informao operacional para uso de
um aplicativo em teste;
c) a informao operacional seja apagada do aplicativo em teste imediatamente aps completar o teste;
d) a cpia e o uso de informao operacional sejam registrados de forma a prover uma trilha para
auditoria.
Informaes adicionais
Testes de sistema e testes de aceitao requerem normalmente volumes significativos de dados de teste que
sejam o mais prximo possvel aos dados utilizados no ambiente operacional.
Controle
Convm que o acesso ao cdigo-fonte de programa seja restrito.
a) quando possvel, seja evitado manter as bibliotecas de programa-fonte no mesmo ambiente dos
sistemas operacionais;
e) as listagens dos programas sejam mantidas num ambiente seguro (ver 10.7.4);
Informaes adicionais
Os cdigos-fonte de programas so cdigos escritos por programadores, que so compilados (e ligados) para
criar programas executveis. Algumas linguagens de programao no fazem uma distino formal entre
cdigo-fonte e executvel, pois os executveis so criados no momento da sua ativao.
As ABNT NBR ISO 10007 e ABNT NBR ISO/IEC 12207 possuem mais informaes sobre a gesto de
configurao e o processo de ciclo de vida de software.
Convm que os gerentes responsveis pelos sistemas aplicativos sejam tambm responsveis pela segurana
dos ambientes de projeto ou de suporte. Convm que eles assegurem que mudanas propostas sejam
analisadas criticamente para verificar que no comprometam a segurana do sistema ou do ambiente
operacional.
Controle
Convm que a implementao de mudanas seja controlada utilizando procedimentos formais de controle de
mudanas.
Convm que o processo inclua uma anlise/avaliao de riscos, anlise do impacto das mudanas e a
especificao dos controles de segurana requeridos. Convm que o processo garanta que a segurana e os
procedimentos de controle atuais no sejam comprometidos, que os programadores de suporte tenham acesso
somente s partes do sistema necessrias para o cumprimento das tarefas e que sejam obtidas concordncia
e aprovao formal para qualquer mudana obtida.
Convm que, quando praticvel, os procedimentos de controle de mudanas sejam integrados (ver 10.1.2).
Convm que os procedimentos de mudanas incluam:
c) a anlise crtica dos procedimentos de controle e integridade para assegurar que as mudanas no os
comprometam;
d) a identificao de todo software, informao, entidades em bancos de dados e hardware que precisam
de emendas;
j) a garantia de que toda a documentao operacional (ver 10.1.1) e procedimentos dos usurios sejam
alterados conforme necessrio e que se mantenham apropriados;
Informaes adicionais
A mudana de software pode ter impacto no ambiente operacional.
As boas prticas incluem o teste de novos softwares em um ambiente segregado dos ambientes de produo
e de desenvolvimento (ver 10.1.4). Isto fornece um meio de controle sobre o novo software e permite uma
proteo adicional informao operacional que utilizada para propsitos de teste. Aplica-se tambm s
correes, pacotes de servio e outras atualizaes. Convm que atualizaes automticas no sejam
utilizadas em sistemas crticos, pois algumas atualizaes podem causar falhas em aplicaes crticas
(ver 12.6).
12.5.2 Anlise crtica tcnica das aplicaes aps mudanas no sistema operacional
Controle
Convm que aplicaes crticas de negcios sejam analisadas criticamente e testadas quando sistemas
operacionais so mudados, para garantir que no haver nenhum impacto adverso na operao da
organizao ou na segurana.
a) uma anlise crtica dos procedimentos de controle e integridade dos controles para assegurar que no
foram comprometidos pelas mudanas no sistema operacional;
b) a garantia de que o plano anual de suporte e o oramento iro cobrir as anlises e testes do sistema
devido s mudanas no sistema operacional;
c) a garantia de que as mudanas pretendidas sejam comunicadas em tempo hbil para permitir os
testes e anlises crticas antes da implementao das mudanas;
Convm que seja dada responsabilidade a um grupo especfico ou a um indivduo para monitoramento das
vulnerabilidades e divulgao de emendas e correes dos fornecedores de software (ver 12.6).
Controle
Convm que modificaes em pacotes de software no sejam incentivadas e limitadas s mudanas
necessrias e que todas as mudanas sejam estritamente controladas.
c) a possibilidade de obteno junto ao fornecedor das mudanas necessrias como atualizao padro
do programa;
d) o impacto resultante quando a organizao passa a ser responsvel para a manuteno futura do
software como resultado das mudanas.
Se mudanas forem necessrias, convm que o software original seja mantido e as mudanas aplicadas numa
cpia claramente identificada. Convm que um processo de gesto de atualizaes seja implementado para
assegurar a instalao das mais recentes correes e atualizaes para todos os softwares autorizados
(ver 12.6). Convm que todas as mudanas sejam completamente testadas e documentadas para que possam
ser reaplicadas, se necessrio, em atualizaes futuras do software. Se requerido, convm que as
modificaes sejam testadas e validadas por um grupo de avaliao independente.
Controle
Convm que oportunidades para vazamento de informaes sejam prevenidas.
c) a utilizao de sistemas e software reconhecidos como de alta integridade, por exemplo utilizando
produtos avaliados (ver ISO/IEC 15408);
d) o monitoramento regular das atividades do pessoal e do sistema, quando permitido pela legislao ou
regulamentao vigente;
Informaes adicionais
Os covert channels so caminhos no previstos para conduzir fluxo de informaes, mas que no entanto
podem existir num sistema ou rede. Por exemplo, a manipulao de bits no protocolo de pacotes de
comunicao poderia ser utilizada como um mtodo oculto de sinalizao. Devido sua natureza, seria difcil,
se no impossvel, precaver-se contra a existncia de todos os possveis covert channels. No entanto, a
explorao destes canais freqentemente realizada por cdigo troiano (ver 10.4.1). A adoo de medidas de
proteo contra cdigo troiano reduz, conseqentemente, o risco de explorao de covert channels.
A precauo contra acesso no autorizado rede (ver 11.4), como tambm polticas e procedimentos para
dissuadir o mau uso de servios de informao pelo pessoal (ver 15.1.5), pode ajudar a proteger contra covert
channels.
Controle
Convm que a organizao supervisione e monitore o desenvolvimento terceirizado de software.
Convm que a implementao da gesto de vulnerabilidades tcnicas seja implementada de forma efetiva,
sistemtica e de forma repetvel com medies de confirmao da efetividade. Convm que estas
consideraes incluam sistemas operacionais e quaisquer outras aplicaes em uso.
Controle
Convm que seja obtida informao em tempo hbil sobre vulnerabilidades tcnicas dos sistemas de
informao em uso, avaliada a exposio da organizao a estas vulnerabilidades e tomadas as medidas
apropriadas para lidar com os riscos associados.
Convm que a ao apropriada seja tomada, no devido tempo, como resposta s potenciais vulnerabilidades
tcnicas identificadas. Convm que as seguintes diretrizes sejam seguidas para o estabelecimento de um
processo de gesto efetivo de vulnerabilidades tcnicas:
c) seja definido um prazo para a reao a notificaes de potenciais vulnerabilidades tcnicas relevantes;
d) uma vez que uma vulnerabilidade tcnica potencial tenha sido identificada, convm que a organizao
avalie os riscos associados e as aes a serem tomadas; tais aes podem requerer o uso de patches
nos sistemas vulnerveis e/ou a aplicao de outros controles;
e) dependendo da urgncia exigida para tratar uma vulnerabilidade tcnica, convm que a ao tomada
esteja de acordo com os controles relacionados com a gesto de mudanas (ver 12.5.1) ou que sejam
seguidos os procedimentos de resposta a incidentes de segurana da informao (ver 13.2);
f) se um patch for disponibilizado, convm que sejam avaliados os riscos associados sua instalao
(convm que os riscos associados vulnerabilidade sejam comparados com os riscos de instalao do
patch);
g) patches sejam testados e avaliados antes de serem instaladas para assegurar a efetividade e que no
tragam efeitos que no possam ser tolerados; quando no existir a disponibilidade de um patch,
convm considerar o uso de outros controles, tais como:
2) a adaptao ou agregao de controles de acesso, por exemplo firewalls nas fronteiras da rede
(ver 11.4.5);
i) com a finalidade de assegurar a eficcia e a eficincia, convm que seja monitorado e avaliado
regularmente o processo de gesto de vulnerabilidades tcnicas;
Informaes adicionais
O correto funcionamento do processo de gesto de vulnerabilidades tcnicas crtico para muitas
organizaes e, portanto, convm que seja monitorado regularmente. Um inventrio de ativos preciso
essencial para assegurar que vulnerabilidades potenciais relevantes sejam identificadas.
A gesto de vulnerabilidades tcnicas pode ser vista como uma subfuno da gesto de mudanas e, como tal,
pode aproveitar os procedimentos e processos da gesto de mudanas (ver 10.1.2 e 12.5.1).
Os fornecedores esto sempre sob grande presso para liberar patches to logo quanto possvel. Portanto, um
patch pode no abordar o problema adequadamente e pode causar efeitos colaterais negativos. Tambm, em
alguns casos, a desinstalao de um patch pode no ser facilmente realizvel aps sua instalao.
Quando testes adequados de patch no forem possveis, por exemplo, devido a custos ou falta de recursos,
um atraso no uso do patch pode ser considerado para avaliar os riscos associados, baseado nas experincias
relatadas por outros usurios.
Objetivo: Assegurar que fragilidades e eventos de segurana da informao associados com sistemas de
informao sejam comunicados, permitindo a tomada de ao corretiva em tempo hbil.
Convm que sejam estabelecidos procedimentos formais de registro e escalonamento. Convm que todos os
funcionrios, fornecedores e terceiros estejam conscientes sobre os procedimentos para notificao dos
diferentes tipos de eventos e fragilidades que possam ter impactos na segurana dos ativos da organizao.
Convm que seja requerido que os eventos de segurana da informao e fragilidades sejam notificados, to
logo quanto possvel, ao ponto de contato designado.
Controle
Convm que os eventos de segurana da informao sejam relatados atravs dos canais apropriados da
direo, o mais rapidamente possvel.
Convm que todos os funcionrios, fornecedores e terceiros sejam alertados sobre sua responsabilidade de
notificar qualquer evento de segurana da informao o mais rapidamente possvel. Convm que eles tambm
estejam cientes do procedimento para notificar os eventos de segurana da informao e do ponto de contato
designado para este fim. Convm que os procedimentos incluam:
c) o comportamento correto a ser tomado no caso de um evento de segurana da informao, como, por
exemplo:
d) referncia para um processo disciplinar formal estabelecido para lidar com funcionrios, fornecedores
ou terceiros que cometam violaes de segurana da informao.
Em ambientes de alto risco, podem ser fornecidos alarmes de coao4 atravs do qual a pessoa que est
sendo coagida possa sinalizar o que est ocorrendo. Convm que os procedimentos para responder a alarmes
de coao reflitam o alto risco que a situao exige.
4 Alarme de coao um mtodo usado para indicar, de forma secreta, que uma ao est acontecendo sob coao.
Informaes adicionais
Exemplos de eventos e incidentes de segurana da informao so:
c) erros humanos;
h) violao de acesso.
Controle
Convm que os funcionrios, fornecedores e terceiros de sistemas e servios de informao sejam instrudos a
registrar e notificar qualquer observao ou suspeita de fragilidade em sistemas ou servios.
Informaes adicionais
Convm que os funcionrios, fornecedores e terceiros sejam alertados para no tentarem averiguar uma
fragilidade de segurana da informao suspeita. Testar fragilidades pode ser interpretado como um uso
imprprio potencial do sistema e tambm pode causar danos ao sistema ou servio de informao, resultando
em responsabilidade legal ao indivduo que efetuar o teste.
Objetivo: Assegurar que um enfoque consistente e efetivo seja aplicado gesto de incidentes de segurana
da informao.
Convm que responsabilidades e procedimentos estejam definidos para o manuseio efetivo de eventos de
segurana da informao e fragilidades, uma vez que estes tenham sido notificados. Convm que um
processo de melhoria contnua seja aplicado s respostas, monitoramento, avaliao e gesto total de
incidentes de segurana da informao.
Convm que onde evidncias sejam exigidas, estas sejam coletadas para assegurar a conformidade com as
exigncias legais.
Controle
Convm que responsabilidades e procedimentos de gesto sejam estabelecidos para assegurar respostas
rpidas, efetivas e ordenadas a incidentes de segurana da informao.
b) alm dos planos de contingncia (ver 14.1.3), convm que os procedimentos tambm considerem
(ver 13.2.2):
2) reteno;
c) convm que trilhas de auditoria e evidncias similares sejam coletadas (ver 13.2.3) e protegidas, como
apropriado, para:
2) uso como evidncia forense para o caso de uma potencial violao de contrato ou de normas
reguladoras ou em caso de delitos civis ou criminais, por exemplo relacionados ao uso imprprio
de computadores ou legislao de proteo dos dados;
d) convm que as aes para recuperao de violaes de segurana e correo de falhas do sistema
sejam cuidadosa e formalmente controladas; convm que os procedimentos assegurem que:
4) a integridade dos sistemas do negcio e seus controles sejam validados na maior brevidade.
Convm que os objetivos da gesto de incidentes de segurana da informao estejam em concordncia com
a direo e que seja assegurado que os responsveis pela gesto de incidentes de segurana da informao
entendem as prioridades da organizao no manuseio de incidentes de segurana da informao.
Informaes adicionais
Os incidentes de segurana da informao podem transcender fronteiras organizacionais e nacionais.
Para responder a estes incidentes, cada vez mais h a necessidade de resposta coordenada e troca de
informaes sobre eles com organizaes externas, quando apropriado.
Controle
Convm que sejam estabelecidos mecanismos para permitir que tipos, quantidades e custos dos incidentes de
segurana da informao sejam quantificados e monitorados.
Informaes adicionais
A anlise de incidentes de segurana da informao pode indicar a necessidade de melhorias ou controles
adicionais para limitar a freqncia, danos e custos de ocorrncias futuras ou para ser levada em conta
quando for realizado o processo de anlise crtica da poltica de segurana da informao (ver 5.1.2).
Controle
Nos casos em que uma ao de acompanhamento contra uma pessoa ou organizao, aps um incidente de
segurana da informao, envolver uma ao legal (civil ou criminal), convm que evidncias sejam coletadas,
armazenadas e apresentadas em conformidade com as normas de armazenamento de evidncias da
jurisdio(es) pertinente(s).
Para obter a admissibilidade da evidncia, convm que a organizao assegure que seus sistemas de
informao estejam de acordo com qualquer norma ou cdigo de prtica publicado para produo de evidncia
admissvel.
Convm que o valor da evidncia esteja de acordo com algum requisito aplicvel. Para obter o valor da
evidncia, convm que a qualidade e a inteireza dos controles usados para proteger as evidncias de forma
correta e consistente (ou seja, o processo de controle de evidncias) durante todo o perodo de
armazenamento e processamento da evidncia sejam demonstradas por uma trilha forte de evidncia.
Em geral, essa trilha forte de evidncia pode ser estabelecida sob as seguintes condies:
a) para documentos em papel: o original mantido de forma segura, com um registro da pessoa que o
encontrou, do local e data em que foi encontrado e quem testemunhou a descoberta; convm que
qualquer investigao assegure que os originais no foram adulterados;
b) para informao em mdia eletrnica: convm que imagens espelho ou cpias (dependendo de
requisitos aplicveis) de quaisquer mdias removveis, discos rgidos ou em memrias sejam
providenciadas para assegurar disponibilidade; convm que o registro de todas as aes tomadas
durante o processo de cpia seja guardado e que o processo seja testemunhado; convm que a mdia
original que contm a informao e o registro (ou, caso isso no seja possvel, pelo menos uma imagem
espelho ou cpia) seja mantido de forma segura e intocvel.
Convm que qualquer trabalho forense seja somente realizado em cpias do material de evidncia. Convm
que a integridade de todo material de evidncia seja preservada. Convm que o processo de cpia de todo
material de evidncia seja supervisionado por pessoas confiveis e que as informaes sobre a data, local,
pessoas, ferramentas e programas envolvidos no processo de cpia sejam registradas.
Informaes adicionais
Quando um evento de segurana da informao detectado, pode no ser bvio que ele resultar num
possvel processo jurdico. Entretanto, existe o perigo de que a evidncia seja destruda intencional ou
acidentalmente antes que seja percebida a seriedade do incidente. conveniente envolver um advogado ou a
polcia to logo seja constatada a possibilidade de processo jurdico e obter consultoria sobre as evidncias
necessrias.
As evidncias podem ultrapassar limites organizacionais e/ou de jurisdies. Nesses casos, convm assegurar
que a organizao seja devidamente autorizada para coletar as informaes requeridas como evidncias.
Convm que os requisitos de diferentes jurisdies sejam tambm considerados para maximizar as
possibilidades de admisso da evidncia em todas as jurisdies relevantes.
Objetivo: No permitir a interrupo das atividades do negcio e proteger os processos crticos contra efeitos
de falhas ou desastres significativos, e assegurar a sua retomada em tempo hbil, se for o caso.
Convm que o processo de gesto da continuidade do negcio seja implementado para minimizar um impacto
sobre a organizao e recuperar perdas de ativos da informao (que pode ser resultante de, por exemplo,
desastres naturais, acidentes, falhas de equipamentos e aes intencionais) a um nvel aceitvel atravs da
combinao de aes de preveno e recuperao. Convm que este processo identifique os processos
crticos e integre a gesto da segurana da informao com as exigncias da gesto da continuidade do
negcio com outros requisitos de continuidade relativo a tais aspectos como operaes, funcionrios,
materiais, transporte e instalaes.
Convm que a gesto da continuidade do negcio inclua controles para identificar e reduzir riscos, em
complementao ao processo de anlise/avaliao de riscos global, limite as conseqncias aos danos do
incidente e garanta que as informaes requeridas para os processos do negcio estejam prontamente
disponveis.
Controle
Convm que um processo de gesto seja desenvolvido e mantido para assegurar a continuidade do negcio
por toda a organizao e que contemple os requisitos de segurana da informao necessrios para a
continuidade do negcio da organizao.
a) entendimento dos riscos a que a organizao est exposta, no que diz respeito sua probabilidade e
impacto no tempo, incluindo a identificao e priorizao dos processos crticos do negcio
(ver 14.1.2);
d) considerao de contratao de seguro compatvel que possa ser parte integrante do processo de
continuidade do negcio, bem como a parte de gesto de risco operacional;
j) garantia de que a gesto da continuidade do negcio esteja incorporada aos processos e estrutura da
organizao. Convm que a responsabilidade pela coordenao do processo de gesto de
continuidade de negcios seja atribuda a um nvel adequado dentro da organizao (ver 6.1.1).
Controle
Convm identificar os eventos que podem causar interrupes aos processos de negcio, junto a
probabilidade e impacto de tais interrupes e as conseqncias para a segurana de informao.
Convm que as anlises/avaliaes de riscos da continuidade do negcio sejam realizadas com total
envolvimento dos responsveis pelos processos e recursos do negcio. Convm que a anlise/avaliao
considere todos os processos do negcio e no esteja limitada aos recursos de processamento das
informaes, mas inclua os resultados especficos da segurana da informao. importante a juno de
aspectos de riscos diferentes, para obter um quadro completo dos requisitos de continuidade de negcios da
organizao. Convm que a anlise/avaliao identifique, quantifique e priorize os critrios baseados nos
riscos e os objetivos pertinentes organizao, incluindo recursos crticos, impactos de interrupo,
possibilidade de ausncia de tempo e prioridades de recuperao.
Em funo dos resultados da anlise/avaliao de riscos, convm que um plano estratgico seja desenvolvido
para se determinar a abordagem mais abrangente a ser adotada para a continuidade dos negcios.
Uma vez criada a estratgia, convm que ela seja validada pela direo e que um plano seja elaborado e
validado para implementar tal estratgia.
Controle
Convm que os planos sejam desenvolvidos e implementados para a manuteno ou recuperao das
operaes e para assegurar a disponibilidade da informao no nvel requerido e na escala de tempo
requerida, aps a ocorrncia de interrupes ou falhas dos processos crticos do negcio.
Convm que o processo de planejamento foque os objetivos requeridos do negcio, por exemplo recuperao
de determinados servios especficos para os clientes, em um perodo de tempo aceitvel. Convm identificar
os servios e recursos que facilitam isso, prevendo a contemplao de pessoal e recursos em geral, alm da
tecnologia de informao, assim como o procedimento de recuperao dos recursos de processamento das
informaes. Tais procedimentos de recuperao podem incluir procedimentos com terceiros na forma de um
acordo de reciprocidade, ou um contrato de prestao de servios.
Convm que o plano de continuidade do negcio trate as vulnerabilidades da organizao, que pode conter
informaes sensveis e que necessitem de proteo adequada. Convm que cpias do plano de continuidade
do negcio sejam guardadas em um ambiente remoto, a uma distncia suficiente para escapar de qualquer
dano de um desastre no local principal. Convm que o gestor garanta que as cpias dos planos de
continuidade do negcio estejam atualizadas e protegidas no mesmo nvel de segurana como aplicado no
ambiente principal. Convm que outros materiais necessrios para a execuo do plano de continuidade do
negcio tambm sejam armazenados em local remoto.
Convm que, se os ambientes alternativos temporrios forem usados, o nvel de controles de segurana
implementados nestes locais seja equivalente ao ambiente principal.
Informaes adicionais
Convm que seja destacado que as atividades e os planos de gerenciamento de crise (ver 14.1.3 f)) possam
ser diferentes de gesto de continuidade de negcios, isto , uma crise pode acontecer e ser suprida atravs
dos procedimentos normais de gesto.
Controle
Convm que uma estrutura bsica dos planos de continuidade do negcio seja mantida para assegurar que
todos os planos so consistentes, para contemplar os requisitos de segurana da informao e para identificar
prioridades para testes e manuteno.
Convm que cada plano tenha um gestor especfico. Convm que procedimentos de emergncia, de
recuperao, manual de planejamento e planos de reativao sejam de responsabilidade dos gestores dos
recursos de negcios ou dos processos envolvidos. Convm que procedimentos de recuperao para servios
tcnicos alternativos, como processamento de informao e meios de comunicao, sejam normalmente de
responsabilidade dos provedores de servios.
Convm que uma estrutura de planejamento para continuidade de negcios contemple os requisitos de
segurana da informao identificados e considere os seguintes itens:
a) condies para ativao dos planos, os quais descrevem os processos a serem seguidos (como se
avaliar a situao, quem deve ser acionado etc.) antes de cada plano ser ativado;
f) uma programao de manuteno que especifique quando e como o plano dever ser testado e a
forma de se proceder manuteno deste plano;
Controle
Convm que os planos de continuidade do negcio sejam testados e atualizados regularmente, de forma a
assegurar sua permanente atualizao e efetividade.
Convm que o planejamento e a programao dos testes do(s) plano(s) de continuidade de negcios indiquem
como e quando cada elemento do plano seja testado. Convm que os componentes isolados do(s) plano(s)
sejam freqentemente testados.
Convm que vrias tcnicas sejam utilizadas, de modo a assegurar a confiana de que o(s) plano(s) ir(o)
operar consistentemente em casos reais. Convm que sejam considerados:
b) simulaes (particularmente til para o treinamento do pessoal nas suas atividades gerenciais aps o
incidente);
c) testes de recuperao tcnica (garantindo que os sistemas de informao possam ser efetivamente
recuperados);
e) testes dos recursos, servios e instalaes de fornecedores (assegurando que os servios e produtos
fornecidos por terceiros atendem aos requisitos contratados);
Estas tcnicas podem ser utilizadas por qualquer organizao. Convm que elas reflitam a natureza do plano
de recuperao especfico. Convm que os resultados dos testes sejam registrados e aes tomadas para a
melhoria dos planos, onde necessrio.
Convm que a responsabilidade pelas anlises crticas peridicas de cada parte do plano seja definida e
estabelecida. Convm que a identificao de mudanas nas atividades do negcio que ainda no tenham sido
contempladas nos planos de continuidade de negcio seja seguida por uma apropriada atualizao do plano.
Convm que um controle formal de mudanas assegure que os planos atualizados so distribudos e
reforados por anlises crticas peridicas do plano como um todo.
Os exemplos de mudanas onde convm que a atualizao dos planos de continuidade do negcio seja
considerada so a aquisio de novos equipamentos, atualizao de sistemas e mudanas de:
a) pessoal;
c) estratgia de negcio;
e) legislao;
15 Conformidade
Objetivo: Evitar violao de qualquer lei criminal ou civil, estatutos, regulamentaes ou obrigaes contratuais
e de quaisquer requisitos de segurana da informao.
O projeto, a operao, o uso e a gesto de sistemas de informao podem estar sujeitos a requisitos de
segurana contratuais, regulamentares ou estatutrios.
Convm que consultoria em requisitos legais especficos seja procurada em organizaes de consultoria
jurdica ou em profissionais liberais, adequadamente qualificados nos aspectos legais. Os requisitos
legislativos variam de pas para pas e tambm para a informao criada em um pas e transmitida para outro
(isto , fluxo de dados transfronteira).
Controle
Convm que todos os requisitos estatutrios, regulamentares e contratuais relevantes, e o enfoque da
organizao para atender a esses requisitos, sejam explicitamente definidos, documentados e mantidos
atualizados para cada sistema de informao da organizao
Controle
Convm que procedimentos apropriados sejam implementados para garantir a conformidade com os requisitos
legislativos, regulamentares e contratuais no uso de material, em relao aos quais pode haver direitos de
propriedade intelectual e sobre o uso de produtos de software proprietrios.
a) divulgar uma poltica de conformidade com os direitos de propriedade intelectual que defina o uso legal
de produtos de software e de informao;
b) adquirir software somente por meio de fontes conhecidas e de reputao, para assegurar que o direito
autoral no est sendo violado;
c) manter conscientizao das polticas para proteger os direitos de propriedade intelectual e notificar a
inteno de tomar aes disciplinares contra pessoas que violarem essas polticas;
d) manter de forma adequada os registros de ativos e identificar todos os ativos com requisitos para
proteger os direitos de propriedade intelectual;
f) implementar controles para assegurar que o nmero mximo de usurios permitidos no excede o
nmero de licenas adquiridas;
g) conduzir verificaes para que somente produtos de software autorizados e licenciados sejam
instalados;
k) cumprir termos e condies para software e informao obtidos a partir de redes pblicas;
l) no duplicar, converter para outro formato ou extrair de registros comerciais (filme, udio) outros que
no os permitidos pela lei de direito autoral;
m) no copiar, no todo ou em partes, livros, artigos, relatrios ou outros documentos, alm daqueles
permitidos pela lei de direito autoral.
Informaes adicionais
Direitos de propriedade intelectual incluem direitos de software ou documento, direitos de projeto, marcas,
patentes e licenas de cdigos-fonte.
Legislao, regulamentao e requisitos contratuais podem estabelecer restries para cpia de material que
tenha direitos autorais. Em particular, pode ser requerido que somente material que seja desenvolvido pela
organizao ou que foi licenciado ou fornecido pelos desenvolvedores para a organizao seja utilizado.
Violaes aos direitos de propriedade intelectual podem conduzir a aes legais, que podem envolver
processos criminais.
Controle
Convm que registros importantes sejam protegidos contra perda, destruio e falsificao, de acordo com os
requisitos regulamentares, estatutrios, contratuais e do negcio.
Convm que cuidados sejam tomados a respeito da possibilidade de deteriorao das mdias usadas no
armazenamento dos registros. Convm que os procedimentos de armazenamento e manuseio sejam
implementados de acordo com as recomendaes dos fabricantes. Convm que, para o armazenamento de
longo tempo, o uso de papel e microficha seja considerado.
Onde mdias eletrnicas armazenadas forem escolhidas, convm que sejam includos procedimentos para
assegurar a capacidade de acesso aos dados (leitura tanto na mdia como no formato utilizado) durante o
perodo de reteno, para proteger contra perdas ocasionadas pelas futuras mudanas na tecnologia.
Convm que sistemas de armazenamento de dados sejam escolhidos de modo que o dado solicitado possa
ser recuperado de forma aceitvel, dependendo dos requisitos a serem atendidos.
Convm que o sistema de armazenamento e manuseio assegure a clara identificao dos registros e dos seus
perodos de reteno, conforme definido pela legislao nacional ou regional ou por regulamentaes, se
aplicvel. Convm que seja permitida a destruio apropriada dos registros aps esse perodo, caso no
sejam mais necessrios organizao.
Para atender aos objetivos de proteo dos registros, convm que os seguintes passos sejam tomados dentro
da organizao:
b) elaborar uma programao para reteno, identificando os registros essenciais e o perodo que cada
um deve ser mantido;
d) implementar controles apropriados para proteger registros e informaes contra perda, destruio e
falsificao.
Informaes adicionais
Alguns registros podem precisar ser retidos de forma segura para atender a requisitos estatutrios, contratuais
ou regulamentares, assim como para apoiar as atividades essenciais do negcio. Exemplo disso so os
registros que podem ser exigidos como evidncia de que uma organizao opera de acordo com as regras
estatutrias e regulamentares, para assegurar a defesa adequada contra potenciais processos civis ou
criminais ou confirmar a situao financeira de uma organizao perante os acionistas, partes externas e
auditores. O perodo de tempo e o contedo da informao retida podem estar definidos atravs de leis ou
regulamentaes nacionais.
Outras informaes sobre como gerenciar os registros organizacionais, podem ser encontradas
na ISO 15489-1.
Controle
Convm que a privacidade e proteo de dados sejam asseguradas conforme exigido nas legislaes
relevantes, regulamentaes e, se aplicvel, nas clusulas contratuais.
A conformidade com esta poltica e todas as legislaes e regulamentaes relevantes de proteo de dados
necessita de uma estrutura de gesto e de controles apropriados. Geralmente isto melhor alcanado atravs
de uma pessoa responsvel, como, por exemplo, um gestor de proteo de dados, que deve fornecer
orientaes gerais para gerentes, usurios e provedores de servio sobre as responsabilidades de cada um e
sobre quais procedimentos especficos recomenda-se seguir. Convm que a responsabilidade pelo tratamento
das informaes pessoais e a garantia da conscientizao dos princpios de proteo dos dados sejam
tratadas de acordo com as legislaes e regulamentaes relevantes. Convm que medidas organizacionais e
tcnicas apropriadas para proteger as informaes pessoais sejam implementadas.
Informaes adicionais
Alguns pases tm promulgado leis que estabelecem controles na coleta, no processamento e na transmisso
de dados pessoais (geralmente informao sobre indivduos vivos que podem ser identificados a partir de tais
informaes). Dependendo da respectiva legislao nacional, tais controles podem impor responsabilidades
sobre aqueles que coletam, processam e disseminam informao pessoal, e podem restringir a capacidade de
transferncia desses dados para outros pases.
Controle
Convm que os usurios sejam dissuadidos de usar os recursos de processamento da informao para
propsitos no autorizados.
Convm que se busque uma assessoria legal antes da implementao dos procedimentos de monitorao.
Convm que todos os usurios estejam conscientes do escopo preciso de suas permisses de acesso e da
monitorao realizada para detectar o uso no autorizado. Isto pode ser alcanado pelo registro das
autorizaes dos usurios por escrito, convm que a cpia seja assinada pelo usurio e armazenada de forma
segura pela organizao. Convm que os funcionrios de uma organizao, fornecedores e terceiros sejam
informados de que nenhum acesso permitido com exceo daqueles que foram autorizados.
No momento da conexo inicial, convm que seja apresentada uma mensagem de advertncia para indicar
que o recurso de processamento da informao que est sendo usado de propriedade da organizao e que
no so permitidos acessos no autorizados. O usurio tem que confirmar e reagir adequadamente
mensagem na tela para continuar com o processo de conexo (ver 11.5.1).
Informaes adicionais
Os recursos de processamento da informao de uma organizao so destinados bsica ou exclusivamente
para atender aos propsitos do negcio.
Ferramentas do tipo deteco de intrusos, inspeo de contedo e outras formas de monitorao podem
ajudar a prevenir e detectar o mau uso dos recursos de processamento da informao.
Muitos pases tm legislao para proteger contra o mau uso do computador. Pode ser crime usar um
computador para propsitos no autorizados.
A legalidade do processo de monitorao do uso do computador varia de pas para pas e pode requerer que a
direo avise a todos os usurios dessa monitorao e/ou que concordem formalmente com este processo.
Quando o sistema estiver sendo usado para acesso pblico (por exemplo, um servidor pblico web) e sujeito a
uma monitorao de segurana, convm que uma mensagem seja exibida na tela informando deste processo.
Controle
Convm que controles de criptografia sejam usados em conformidade com todas as leis, acordos e
regulamentaes relevantes.
b) restries importao e/ou exportao de hardware e software de computador que foi projetado para
ter funes criptogrficas embutidas;
d) mtodos mandatrios ou discricionrios de acesso pelas autoridades dos pases informao cifrada
por hardware ou software para fornecer confidencialidade ao contedo.
Convm que assessoria jurdica seja obtida para garantir a conformidade com as legislaes e leis nacionais
vigentes. Tambm convm que seja obtida assessoria jurdica antes de se transferirem informaes cifradas
ou controles de criptografia para outros pases.
Objetivo: Garantir conformidade dos sistemas com as polticas e normas organizacionais de segurana da
informao.
Convm que a segurana dos sistemas de informao seja analisada criticamente a intervalos regulares.
Convm que tais anlises crticas sejam executadas com base nas polticas de segurana da informao
apropriadas e que as plataformas tcnicas e sistemas de informao sejam auditados em conformidade com
as normas de segurana da informao implementadas pertinentes e com os controles de segurana
documentados.
Controle
Convm que gestores garantam que todos os procedimentos de segurana da informao dentro da sua rea
de responsabilidade esto sendo executados corretamente para atender conformidade com as normas e
polticas de segurana da informao.
Se qualquer no-conformidade for encontrada como um resultado da anlise crtica, convm que os gestores:
Convm que os resultados das anlises crticas e das aes corretivas realizadas pelos gestores sejam
registrados e que esses registros sejam mantidos. Convm que os gestores relatem os resultados para as
pessoas que esto realizando a anlise crtica independente (ver 6.1.8), quando a anlise crtica independente
for realizada na rea de sua responsabilidade.
Informaes adicionais
A monitorao operacional de sistemas em uso apresentada em 10.10.
Controle
Convm que sistemas de informao sejam periodicamente verificados em sua conformidade com as normas
de segurana da informao implementadas.
Se o teste de invaso ou avaliaes de vulnerabilidades forem usados, convm que sejam tomadas
precaues, uma vez que tais atividades podem conduzir a um comprometimento da segurana do sistema.
Convm que tais testes sejam planejados, documentados e repetidos.
Convm que qualquer verificao de conformidade tcnica somente seja executada por pessoas autorizadas e
competentes, ou sob a superviso de tais pessoas.
Informaes adicionais
A verificao da conformidade tcnica envolve a anlise dos sistemas operacionais para garantir que controles
de hardware e software foram corretamente implementados. Este tipo de verificao de conformidade requer a
assistncia de tcnicos especializados.
Convm que existam controles para a proteo dos sistemas operacionais e ferramentas de auditoria durante
as auditorias de sistema de informao.
Proteo tambm necessria para proteger a integridade e prevenir o uso indevido das ferramentas de
auditoria.
Controle
Convm que requisitos e atividades de auditoria envolvendo verificao nos sistemas operacionais sejam
cuidadosamente planejados e acordados para minimizar os riscos de interrupo dos processos do negcio.
d) outros acessos diferentes de apenas leitura sejam permitidos somente atravs de cpias isoladas dos
arquivos do sistema, e sejam apagados ao final da auditoria, ou dada proteo apropriada quando
existir uma obrigao para guardar tais arquivos como requisitos da documentao da auditoria;
g) todo acesso seja monitorado e registrado de forma a produzir uma trilha de referncia; convm que o
uso de trilhas de referncia (time stamped) seja considerado para os sistemas ou dados crticos;
Controle
Convm que o acesso s ferramentas de auditoria de sistema de informao seja protegido, para prevenir
qualquer possibilidade de uso imprprio ou comprometimento.
Informaes adicionais
Quando terceiros esto envolvidos em uma auditoria, existe um risco de mau uso de ferramentas de auditoria
por esses terceiros e da informao que est sendo acessada por este terceiro. Controles, tais como em 6.2.1
(para avaliar os riscos) e 9.1.2 (para restringir o acesso fsico), podem ser considerados para contemplar este
risco, e convm que quaisquer conseqncias, tais como trocar imediatamente as senhas reveladas para os
auditores, sejam tomadas.
Bibliografia
ABNT NBR ISO 10007:2005 Sistemas de gesto da qualidade - Diretrizes para a gesto de configurao
ABNT NBR ISO 19011:2002 Diretrizes para auditorias de sistema de gesto da qualidade e/ou ambiental
ABNT NBR ISO/IEC 12207:1998 Tecnologia de informao - Processos de ciclo de vida de software
ABNT ISO/IEC Guia 73:2005 Gesto de riscos Vocabulrio Recomendaes para uso em normas
ISO/IEC 9796-2:2002 Information technology Security techniques Digital signature schemes giving
message recovery Part 2: Integer factorization based mechanisms
ISO/IEC 9796-3:2000 Information technology Security techniques Digital signature schemes giving
message recovery Part 3: Discrete logarithm based mechanisms
ISO/IEC 13888-1: 1997 Information technology Security techniques Non-repudiation Part 1: General
ISO/IEC 14516:2002 Information technology Security techniques Guidelines for the use and management
of Trusted Third Party services
ISO/IEC 14888-1:1998 Information technology Security techniques Digital signatures with appendix
Part 1: General
ISO/IEC 15408-1:1999 Information technology Security techniques Evaluation Criteria for IT security
Part 1: Introduction and general model
ISO/IEC 18028-4 Information technology Security techniques IT Network security Part 4: Securing
remote access
OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security, 2002
ndice
terceiros 2.15
termos e condies de contratao 8.1.3
testes, manuteno e reavaliao dos planos de continuidade do negcio 14.1.5
trabalho em reas seguras 9.1.5
trabalho remoto 11.7.2
transaes on-line 10.9.2
tratamento de risco 2.14, 4.2
troca de informaes 10.8