Você está na página 1de 11

Provläsningsexemplar / Preview

PADRÃO ISO / IEC


INTERNACIONAL 27032

Primeira edição
2012-07-15

A tecnologia da informação - Técnicas de


segurança - Diretrizes para a cibersegurança

Technologies de l'information - Técnicas de sécurité - directrices Lignes pour la


cybersécurité

número de referência ISO /


IEC 27032: 2012 (E)

© ISO / IEC 2012


Provläsningsexemplar / Preview

ISO / IEC 27032: 2012 (E)

COPYRIGHT documento protegido

© ISO / IEC 2012


Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicação pode ser reproduzida ou utilizada em qualquer forma ou por qualquer meio,
electrónicos ou mecânicos, incluindo fotocópia e microfilme, sem autorização por escrito pela ISO no endereço abaixo ou corpo membro da ISO no país de o solicitante.

escritório de direitos autorais ISO

Caixa postal 56 • CH-1211 Geneva 20, Tel. + 41


22 749 01 11 Fax + 41 22 749 09 47 E-mail
copyright@iso.org Web www.iso.org Publicado na
Suíça

ii © ISO / IEC 2012 - Todos os direitos reservados


Provläsningsexemplar / Preview

ISO / IEC 27032: 2012 (E)

Conteúdo Página

Prefácio .................................................. .................................................. .................................................. ....................... v Introdução ................................................

.................................................. .................................................. ................. vi 1

Escopo .................................................. .................................................. .................................................. ................ 1 2

aplicabilidade .................................................. .................................................. .................................................. .... 1


2.1 Público .................................................. .................................................. .................................................. .......... 1
2.2 limitações .................................................. .................................................. .................................................. ....... 1 3

referências normativas .................................................. .................................................. ..................................... 2 4

Termos e definições .................................................. .................................................. ..................................... 2 5

termos abreviados .................................................. .................................................. ........................................... 8 6

visão global .................................................. .................................................. .................................................. .......... 9


6.1 Introdução .................................................. .................................................. .................................................. ..... 9
6.2 A natureza do Ciberespaço .................................................. .................................................. .................... 10
6,3 A natureza de Segurança Cibernética .................................................. .................................................. ....................... 10
6,4 modelo geral .................................................. .................................................. ................................................ 11
6,5 Aproximação .................................................. .................................................. .................................................. ....... 13 7

Partes interessadas no Ciberespaço .................................................. .................................................. ............... 14


7.1 visão global .................................................. .................................................. .................................................. ........ 14
7,2 Os consumidores .................................................. .................................................. .................................................. .... 14
7.3 provedores .................................................. .................................................. .................................................. ....... 14 8

Ativos no ciberespaço .................................................. .................................................. ........................... 15


8.1 visão global .................................................. .................................................. .................................................. ........ 15
8.2 Pertences pessoais .................................................. .................................................. ............................................. 15
8,3 ativos organizacionais .................................................. .................................................. ................................... 15 9

Ameaças contra a segurança do ciberespaço .................................................. ..................................... 16


9.1 ameaças .................................................. .................................................. .................................................. ........... 16
9.2 agentes de ameaça .................................................. .................................................. .................................................. 17
9,3 vulnerabilidades .................................................. .................................................. ................................................. 17
9.4 mecanismos de ataque .................................................. .................................................. ...................................... 18 10

Papéis das partes interessadas em Segurança Cibernética .................................................. .................................................. .. 20


10.1 Visão geral .................................................. .................................................. .................................................. ........ 20
10.2 Funções dos consumidores .................................................. .................................................. ...................................... 20
10.3 Funções de provedores .................................................. .................................................. ......................................... 21 11

Orientações para as partes interessadas .................................................. .................................................. ....................... 22


11.1 Visão geral .................................................. .................................................. .................................................. ........ 22
Avaliação 11,2 Risco e tratamento .................................................. .................................................. ................ 22
11.3 Diretrizes para consumidores .................................................. .................................................. ........................... 23
11.4 Diretrizes para organizações e prestadores de serviços .................................................. ............................. 25 12

controles de segurança cibernética .................................................. .................................................. ................................ 28


12.1 Visão geral .................................................. .................................................. .................................................. ........ 28
12.2 controles de nível de aplicação .................................................. .................................................. ........................... 28
proteção 12,3 Servidor .................................................. .................................................. ........................................... 29
12,4 controlos de utilizador final .................................................. .................................................. .......................................... 29
12.5 Controles contra ataques de engenharia social .................................................. ........................................... 30
12,6 Cybersecurity prontidão .................................................. .................................................. ............................. 33
12,7 Outros controles .................................................. .................................................. ................................................ 33 13

Quadro de partilha de informação e de coordenação .................................................. ............................ 33


13.1 Geral .................................................. .................................................. .................................................. ........... 33
13.2 Políticas .................................................. .................................................. .................................................. ........... 34
13.3 Métodos e processos .................................................. .................................................. .............................. 35

© ISO / IEC 2012 - Todos os direitos reservados iii


Provläsningsexemplar / Preview

ISO / IEC 27032: 2012 (E)

13.4 As pessoas e organizações .................................................. .................................................. ........................... 36


13,5 Técnico .................................................. .................................................. .................................................. ........ 37
13,6 Diretrizes para implementação .................................................. .................................................. ............................ 38 Anexo A ( informativo) Cybersecurity

prontidão .................................................. .................................................. ... 40 Anexo B ( informativo) Recursos adicionais ..................................................

.................................................. ......... 44 Anexo C ( informativo) Exemplos de documentos relacionados ..................................................

....................................... 47 Bibliografia .................................................. .................................................. .................................................. ............... 50

iv © ISO / IEC 2012 - Todos os direitos reservados


Provläsningsexemplar / Preview

ISO / IEC 27032: 2012 (E)

Prefácio

ISO (International Organization for Standardization) e IEC (International Electrotechnical Commission) formam o sistema especializado para
padronização mundial. Os organismos nacionais que são membros da ISO ou IEC participam no desenvolvimento de Normas Internacionais
através de comitês técnicos estabelecidos pela respectiva organização para lidar com campos específicos de atividade técnica. ISO e IEC
comissões técnicas colaborar em domínios de interesse mútuo. Outras organizações internacionais, governamentais e não-governamentais,
em ligação com ISO e IEC, também participam no trabalho. No campo da tecnologia da informação, ISO e IEC estabeleceram um comitê
técnico conjunto, ISO / IEC JTC 1.

Normas Internacionais são elaborados de acordo com as regras dadas no IEC directivas ISO /, Parte 2. A principal tarefa da comissão técnica

conjunta é preparar Normas Internacionais. Projectos de normas internacionais adotadas pelo comitê técnico conjunto são distribuídos aos

organismos nacionais para votação. A publicação como Norma Internacional requer aprovação de pelo menos 75% dos organismos nacionais

com direito a voto. Chama-se atenção para a possibilidade de que alguns dos elementos deste documento podem ser objecto de direitos de

patente. ISO e IEC não deve ser responsabilizada por identificação de quaisquer direitos de patentes. ISO / IEC 27032 foi preparado pelo Comité

Técnico Conjunto ISO / IEC JTC 1, Tecnologia da informação,

Subcomité SC 27, técnicas de segurança de TI.

© ISO / IEC 2012 - Todos os direitos reservados v


Provläsningsexemplar / Preview

ISO / IEC 27032: 2012 (E)

Introdução

O ciberespaço é um ambiente complexo resultante da interação de pessoas, software e serviços na Internet, suportada por tecnologia em todo o mundo distribuídos informações físicas

e comunicação (TIC) dispositivos e redes conectadas. No entanto, existem problemas de segurança que não são cobertos pela corrente de segurança da informação, segurança de

Internet, segurança de rede e segurança das TIC melhores práticas como existem lacunas entre esses domínios, bem como a falta de comunicação entre as organizações e provedores

no ciberespaço. Isso ocorre porque os dispositivos e redes conectadas que têm apoiado o ciberespaço tem vários proprietários, cada um com seu próprio negócio, operacional e

preocupações regulatórias. O foco diferente colocado por cada organização e provedor no ciberespaço em domínios de segurança relevantes, onde pouca ou nenhuma entrada é

retirado de outra organização ou provedor resultou em um estado fragmentado da segurança para o ciberespaço. Como tal, a primeira área de foco desta Norma é o de segurança

endereço Cyberspace ou questões de segurança cibernética que se concentram em colmatar as lacunas entre os diferentes domínios de segurança no ciberespaço. Em particular esta

Norma fornece orientação técnica para abordar os riscos de Segurança Cibernética comuns, incluindo: a primeira área de foco desta Norma é o de segurança endereço Cyberspace ou

questões de segurança cibernética que se concentram em colmatar as lacunas entre os diferentes domínios de segurança no ciberespaço. Em particular esta Norma fornece orientação

técnica para abordar os riscos de Segurança Cibernética comuns, incluindo: a primeira área de foco desta Norma é o de segurança endereço Cyberspace ou questões de segurança

cibernética que se concentram em colmatar as lacunas entre os diferentes domínios de segurança no ciberespaço. Em particular esta Norma fornece orientação técnica para abordar os

riscos de Segurança Cibernética comuns, incluindo:

- ataques de engenharia social;

- hacker;

- a proliferação de software malicioso ( “malware”);

- spyware; e

- outros softwares potencialmente indesejados.

A orientação técnica fornece controles para enfrentar esses riscos, incluindo controles para:

- preparando para ataques de, por exemplo, malware, canalhas individuais ou organizações criminosas na Internet;

- detecção e monitorização de ataques; e

- responder aos ataques.

A segunda área de foco desta Norma é a colaboração, já que há uma necessidade de eficiente e eficaz partilha de informação, coordenação e
tratamento de incidentes entre as partes interessadas no ciberespaço. Esta colaboração deve ser de forma segura e confiável que também
protege a privacidade dos indivíduos em causa. Muitas dessas partes interessadas podem residir em diferentes localizações geográficas e fusos
horários, e são susceptíveis de ser governado por diferentes requisitos regulamentares. As partes interessadas incluem:

- os consumidores, que podem ser de vários tipos de organizações ou indivíduos; e

- prestadores de serviços, que incluem prestadores de serviços.

Assim, esta Norma também fornece uma estrutura para

- compartilhamento de informações,

- coordenação e

- tratamento de

incidentes. O quadro inclui

- elementos-chave de considerações para estabelecer a confiança,

- processos necessários para a colaboração e troca de informações e partilha, bem como

- requisitos técnicos para integração de sistemas e interoperabilidade entre diferentes partes interessadas. Dado o escopo desta
Norma, os controlos previstos são necessariamente a um nível elevado. padrões de especificação técnica detalhada e diretrizes aplicáveis
​a cada área são referenciados nesta Norma para obter mais orientações.

vi © ISO / IEC 2012 - Todos os direitos reservados


Provläsningsexemplar / Preview

PADRÃO INTERNACIONAL ISO / IEC 27032: 2012 (E)

A tecnologia da informação - Técnicas de segurança - Diretrizes para a cibersegurança

1 Âmbito

Esta Norma Internacional fornece orientação para melhorar o estado de segurança cibernética, extraindo os aspectos únicos de que a atividade e suas
dependências em outros domínios de segurança, em particular:

- segurança da informação,

- segurança de rede,

- a segurança da Internet, e

- proteção infraestruturas críticas da informação (PICI).

Abrange as práticas de segurança da linha de base para as partes interessadas no ciberespaço. Esta Norma Internacional fornece:

- uma visão geral de Segurança Cibernética,

- uma explicação da relação entre a Cibersegurança e outros tipos de segurança,

- uma definição das partes interessadas e uma descrição de seus papéis em Segurança Cibernética,

- orientação para tratar de questões comuns de Segurança Cibernética, e

- um quadro que permita intervenientes para colaborar na resolução de questões de segurança cibernética.

2 Aplicabilidade

2.1 Audiência

Esta Norma é aplicável aos prestadores de serviços no Ciberespaço. O público, no entanto, inclui os consumidores que usam esses serviços. Onde
as organizações prestação de serviços em Cyberspace para as pessoas para uso em casa ou outras organizações, eles podem precisar para
preparar orientação com base nesta norma internacional que contém explicações ou exemplos suficientes para permitir que o leitor a compreender e
agir sobre ela adicionais.

2.2 Limitações

Esta Norma não trata:

- cibersegurança,

- cibercrime,

- PICI,

- segurança na Internet, e

- crime conexo Internet.

Reconhece-se que existem relações entre os domínios mencionados e Segurança Cibernética. É, no entanto, além do escopo desta
Norma para abordar estas relações, ea partilha de controles entre estes domínios.

É importante notar que o conceito de Cibercrime, embora mencionado, não é abordada. Esta Norma não fornecer orientações sobre aspectos
relacionados com o Direito do Ciberespaço, ou no regulamento de segurança cibernética.

© ISO / IEC 2012 - Todos os direitos reservados 1


Provläsningsexemplar / Preview

ISO / IEC 27032: 2012 (E)

A orientação desta Norma é limitado à realização do Ciberespaço na Internet, incluindo os pontos finais. No entanto, a extensão do
ciberespaço para outras representações espaciais através de meios de comunicação e plataformas não são abordados, nem os aspectos
deles de segurança física. EXEMPLO 1 A protecção dos elementos de infra-estrutura, tais como portadores de comunicações, que
presidem à ciberespaço não são abordados.

EXEMPLO 2 A segurança física de telefones móveis que se conectam ao ciberespaço para download de conteúdo e / ou manipulação não é abordada.

EXEMPLO funções de mensagens e chat de voz 3 texto fornecida para telefones móveis não são abordadas.

3 Referências normativas

Os seguintes referenciados documentos são indispensáveis ​para a aplicação deste documento. Para referências datadas, somente a edição
citada se aplica. Para referências não datadas, a última edição do documento referenciado (incluindo quaisquer alterações). ISO / IEC 27000, A
tecnologia da informação - Técnicas de segurança - Sistemas de gestão de segurança da informação - Descrições e vocabulário

4 Termos e definições

Para efeitos do presente documento, os termos e definições dados na ISO / IEC 27000 e as seguintes se aplicam.

4.1
adware
aplicação que empurra publicidade para usuários e / ou coleta de usuário comportamento on-line NOTA

A aplicação pode ou não pode ser instalado com o conhecimento ou consentimento do usuário ou forçados para o usuário via
termos de licenciamento para o outro software.

4,2
aplicação
solução de TI, incluindo software de aplicação, dados de aplicativos e procedimentos, projetado para ajudar os usuários de uma organização executar determinadas tarefas ou lidar

com determinados tipos de problemas de TI através da automatização de um processo de negócio ou função [ISO / IEC 27034-1: 2011]

4.3
Aplicação do provedor de serviço
operador que fornece uma solução de software hospedado que fornece serviços de aplicativos que inclui web baseado ou cliente-servidor modelos de

entrega EXEMPLO

operadores de jogo online, provedores de aplicativos de escritório e prestadores de armazenamento online.

4,4
serviços de aplicativos
software com funcionalidade entregues sob demanda para os assinantes através de um modelo on-line que inclui aplicações web baseado ou
cliente-servidor

4,5
software de aplicação
software projetado para ajudar os usuários a realizar tarefas específicas ou manusear determinados tipos de problemas, como distinto do software que controla

o próprio [ISO / IEC 18019] computador

2 © ISO / IEC 2012 - Todos os direitos reservados


Provläsningsexemplar / Preview

ISO / IEC 27032: 2012 (E)

4.6 de

ativos

tudo o que tem valor para um indivíduo, uma organização ou uma nota do governo

Adaptado da ISO / IEC 27000 para, disposições sobre os indivíduos ea separação entre os governos de
organizações (4,37).

4.7
avatar
representação de uma pessoa que participa no Ciberespaço NOTA 1 Um avatar pode

também ser referido como o alter ego da pessoa.

NOTA 2 Um avatar também pode ser visto como um “objecto” que representa a forma de realização do utilizador.

4,8
ataque
tentar destruir, expor, alterar, inutilizar, roubar ou ganhar acesso não autorizado ou fazer uso não autorizado de um ativo [ISO / IEC 27000: 2009]

4,9
potencial de ataque
potencial percebido para o sucesso de um ataque, deve ser lançado um ataque, expressa em termos de conhecimentos, recursos de um atacante e

motivação [ISO / IEC 15408-1: 2005]

4.10
vector de ataque
caminho ou meio pelo qual um atacante pode obter acesso a um computador ou servidor de rede, a fim de entregar um resultado malicioso

4,11
ataque misturado
atacar que procura maximizar a gravidade dos danos e a velocidade de contágio através da combinação de vários métodos de ataque

robot
4,12 bot

programa de software automatizado usado para realizar tarefas específicas

NOTA 1: A palavra é muitas vezes usado para descrever programas, geralmente executados em um servidor, que as tarefas Automatize como encaminhamento ou triagem e-mail.

NOTA 2 Um bot também é descrito como um programa que funciona como um agente para um utilizador ou um outro programa ou simula uma actividade humana. Na
Internet, a maioria dos bots ubíquos são os programas, também chamados de spiders ou crawlers, que acessar sites e recolher o seu conteúdo para os índices do Search
Engine.

4,13
botnet
software de controle remoto, especificamente uma coleção de bots maliciosos, que são executados de forma autônoma ou automaticamente em computadores comprometidos

4,14
bolinho
<Controle de acesso> capacidade ou bilhete em um sistema de controle de acesso

4.15
bolinho
<IPSec> dados trocados por ISAKMP para evitar certos ataques de negação de serviço durante o estabelecimento de uma associação de segurança

© ISO / IEC 2012 - Todos os direitos reservados 3


Provläsningsexemplar / Preview

ISO / IEC 27032: 2012 (E)

4.16
bolinho
<HTTP> dados trocados entre um servidor HTTP e um navegador para armazenar informações de estado no lado do cliente e recuperá-lo mais tarde para uso do

servidor NOTA

Um navegador web pode ser um cliente ou um servidor.

4.17
ao controle

contramedida
meios de gestão do risco, incluindo as políticas, procedimentos, diretrizes, práticas ou estruturas organizacionais, que podem ser administrativo,

técnico, gerenciamento ou legal na natureza [ISO / IEC 27000: 2009] NOTA

Guia ISO 73: 2009 define controlar simplesmente como uma medida que se altera o risco.

4,18
cibercrime
criminoso atividade onde os serviços ou aplicações no ciberespaço são utilizados para ou são alvo de um crime, ou onde o Ciberespaço é a
fonte, ferramenta, alvo, ou local de um crime

4,19
cibersegurança
condição de ser protegido contra a física, social, espiritual, financeiro, político, emocional, ocupacional, psicológico, educacional ou outros
tipos ou consequências do fracasso, danos, erros, acidentes, danos ou qualquer outro evento no ciberespaço que poderiam ser
considerados não desejável

NOTA 1 Isto pode assumir a forma de ser protegido do evento ou da exposição a algo que causa prejuízos de saúde e econômicos. Ele pode incluir a
proteção de pessoas ou de bens.

NOTA 2 Segurança em geral também é definida como o estado de ser determinado que os efeitos adversos não irá ser causada por algum agente sob condições
definidas.

4.20
Cíber segurança
segurança do ciberespaço
preservação da confidencialidade, integridade e disponibilidade da informação no ciberespaço NOTA 1

Além disso, outras propriedades, tais como a autenticidade, a responsabilização, não-rejeição, e a fiabilidade pode também ser envolvido.

NOTA 2 Adaptado a partir da definição de segurança da informação na ISO / IEC 27000: 2009.

4,21
o Ciberespaço
ambiente complexo resultante da interação de pessoas, software e serviços na Internet por meio de dispositivos de tecnologia e redes
conectadas a ele, que não existe em qualquer forma física

4,22
serviços de aplicação ciberespaço
serviços de aplicação (4,4) fornecidos ao longo do ciberespaço

4,23
Cyber-invasor
indivíduos ou organizações que se inscreverem e segurá-URLs que se assemelham referências ou nomes de outras organizações no
mundo real ou no ciberespaço

4,24
software fraudulento
software que atividades executa no computador de um usuário sem primeiro notificar o usuário como para exatamente o que o software vai fazer no computador, ou

pedindo ao usuário para o consentimento para essas ações EXEMPLO 1 Um programa que configurações de seqüestros usuário.

4 © ISO / IEC 2012 - Todos os direitos reservados


Provläsningsexemplar / Preview

ISO / IEC 27032: 2012 (E)

programa Exemplo 2: A que faz com que anúncios pop-up intermináveis ​que não pode ser facilmente interrompido pelo usuário. EXEMPLO 3 Adware e

spyware.

4.25
pirataria
acessando intencionalmente um sistema de computador, sem a autorização do usuário ou o proprietário

4,26
hacktivismo
Hacker para um propósito politicamente ou socialmente motivados

4,27
ativo de informação
conhecimento ou dados que tem valor para o NOTA indivíduo ou organização

Adaptado da ISO / IEC 27000: 2009.

internetwork
4,28 internet

coleção de redes interconectadas NOTA 1 Adaptado da ISO /

IEC 27033-1: 2009 NOTA 2

Neste contexto, seria feita referência a “uma internet”. Há uma diferença entre a definição de “um
internet”e‘Internet’.

4,29
a Internet
sistema global de redes interligadas no domínio público [ISO / IEC 27033-1:

2009] NOTA

Há uma diferença entre a definição de uma “internet” e “Internet”.

4,30
crime na Internet
criminoso atividade onde os serviços ou aplicações na Internet são usados ​para ou são alvo de um crime, ou onde a Internet é a fonte,
ferramenta, alvo, ou local de um crime

4,31
segurança na Internet

condição de ser protegido contra a física, social, espiritual, financeiro, político, emocional, ocupacional, psicológico, educacional ou outros
tipos ou consequências do fracasso, danos, erros, acidentes, danos ou qualquer outro evento na Internet que poderiam ser considerados
não desejável

4,32
Segurança da Internet
preservação da confidencialidade, integridade e disponibilidade da informação na Internet

4.33
serviços da Internet
serviços prestados a um usuário para permitir o acesso à Internet através de um endereço IP atribuído, que normalmente incluem serviços de nome de
autenticação, autorização e de domínio

4,34
provedor de internet
organização que fornece serviços de Internet para um usuário e permite o seu acesso clientes à Internet NOTA

Também por vezes referido como um provedor de acesso à Internet.

© ISO / IEC 2012 - Todos os direitos reservados 5