Escolar Documentos
Profissional Documentos
Cultura Documentos
1SO/IEC 27002
Primeira edi��o 31.08.2005
V�lida a partir de 30.09.2005
Tecnologia da informa��o -T�cnicas de seguran�a-C�digo de pr�tica para a gest�o da
seguran�a da informa��o
lnformation technology -Security technical -Code of pratice for information
security management
Palavras-chave: Tecnologia da informa��o. Seguran�a.
Descriptors: lnformation technology. Security.
ICS 35.040
ISBN 978-85-07-00648-0
ASSOCIA��O
N�mero de refer�ncia
BRASILEIRA DE NORMAS ABNT NBR ISO/IEC 17799:2005
T�CNICAS
120 p�ginas �ABNTa2005
�ABNT2005 Todos os direitos reservados. A menos que especificado de outro modo,
nenhuma parte desta publica��o pode ser reproduzida ou por qualquer meio,
eletr�nico ou mec�nico, incluindo fotoc�pia e microfilme, sem permiss�o por escrito
pela ABNT.
Sede daABNT Av.Treze de Maio, 13 -andar
28� 20031-901 -Rio de Janeiro -RJ Tel.: + 55 21 3974-2300 Fax:+ 55 21 2220-1762
abnt@abnt.org.br www.abnt.org.br
Impresso no Brasil
Sum�rio P�gina
Pref�cio
Nacional ..........................................................................
............................................................................ vii
O
lntrodu��o ........................................................................
............................................................................... x
0.1 O que � seguran�a da
informa��o? .......................................................................
...................................... x
0.2 Por que a seguran�a da informa��o �
necess�ria? .......................................................................
............ x
0.3 Como estabelecer requisitos de seguran�a da
informa��o .................................................................... xi
0.4 Analisando/avaliando os riscos de seguran�a da
informa��o ................................................................ xi
0.5 Sele��o de
controles .........................................................................
........................................................... xi
0.6 Ponto de partida para a seguran�a da
informa��o ........................................................................
.......... xii
0.7 Fatores cr�ticos de
sucesso ...........................................................................
............................................ xii
0.8 Desenvolvendo suas pr�prias
diretrizes ........................................................................
......................... xiii
1
Objetivo ..........................................................................
................................................................................ 1
2 Termos e
defini��es ........................................................................
.............................................................. 1
3 Estrutura desta
Norma .............................................................................
..................................................... 4
3.1
Se��es ............................................................................
................................................................................ 4
3.2 Principais categorias de seguran�a da
informa��o ........................................................................
.......... 4
4 An�lise/avalia��o e tratamento de
riscos ............................................................................
....................... 6
4.1 Analisando/avaliando os riscos de seguran�a da
informa��o ................................................................. 6
4.2 Tratando os riscos de seguran�a da
informa��o ........................................................................
.............. 6
5 Pol�tica de seguran�a da
informa��o ........................................................................
.................................. 8
5.1 Pol�tica de seguran�a da
informa��o ........................................................................
.................................. 8
5.1.1 Documento da pol�tica de seguran�a da
informa��o ........................................................................
........ 8
5.1.2 An�lise cr�tica da pol�tica de seguran�a da
informa��o ........................................................................
... 9
6 Organizando a seguran�a da
informa��o ........................................................................
......................... 10
6.1 Organiza��o
interna ...........................................................................
......................................................... 1 O
6.1.1 Comprometimento da dire��o com a seguran�a da
informa��o ........................................................... 1 O
6.1.2 Coordena��o da seguran�a da
informa��o ........................................................................
...................... 11
6.1.3 Atribui��o de responsabilidades para a seguran�a da
informa��o ...................................................... 11
6.1.4 Processo de autoriza��o para os recursos de processamento da
informa��o ................................... 12
6.1.5 Acordos de
confidencialidade .................................................................
.................................................. 12
6.1.6 Contato com
autoridades .......................................................................
.................................................... 13
6.1. 7 Contato com grupos
especiais .........................................................................
......................................... 14
6.1.8 An�lise cr�tica independente de seguran�a da
informa��o .................................................................... 14
6.2 Partes
externas ..........................................................................
.................................................................. 15
6.2.1 Identifica��o dos riscos relacionados com partes
externas .................................................................. 15
6.2.2 Identificando a seguran�a da informa��o, quando tratando com os
clientes ...................................... 17
6.2.3 Identificando seguran�a da informa��o nos acordos com
terceiros .................................................... 18
7 Gest�o de
ativos ............................................................................
.............................................................. 21
7 .1 Responsabilidade pelos
ativos ............................................................................
...................................... 21
7.1.1 Invent�rio dos
ativos ............................................................................
....................................................... 21
7 .1.2 Propriet�rio dos
ativos ............................................................................
.................................................... 22
7 .1.3 Uso aceit�vel dos
ativos ............................................................................
................................................. 22
7.2 Classifica��o da
informa��o ........................................................................
.............................................. 23
7 .2.1 Recomenda��es para
classifica��o .....................................................................
..................................... 23
7.2.2 R�tulos e tratamento da
informa��o ........................................................................
................................. 24
8 Seguran�a em recursos
humanos ...........................................................................
.................................. 25
8.1 Antes da
contrata��o .......................................................................
........................................................... 25
8.1.1 Pap�is e
responsabilidades .................................................................
...................................................... 25
8.1.2
Sele��o ...........................................................................
.............................................................................. 26
8.1.3 Termos e condi��es de
contrata��o .......................................................................
.................................. 26
8.2 Durante a
contrata��o .......................................................................
.......................................................... 28
8.2.1 Responsabilidades da
dire��o ...........................................................................
........................................ 28
8.2.2 Conscientiza��o, educa��o e treinamento em seguran�a da
informa��o ............................................ 28
8.2.3 Processo
disciplinar .......................................................................
............................................................. 29
8.3 Encerramento ou mudan�a da
contrata��o .......................................................................
....................... 29
8.3.1 Encerramento de
atividades ........................................................................
...............................................
8.3.2 Devolu��o de
ativos ............................................................................
........................................................ 30
8.3.3 Retirada de direitos de
acesso ............................................................................
....................................... 30
9 Seguran�a f�sica e do
ambiente ..........................................................................
....................................... 32
9.1 �reas
seguras ...........................................................................
................................................................... 32
9.1.1 Per�metro de seguran�a
f�sica ............................................................................
....................................... 32
9.1.2 Controles de entrada
f�sica ............................................................................
............................................ 33
9.1.3 Seguran�a em escrit�rios, salas e
instala��es .......................................................................
................. 33
9.1.4 Prote��o contra amea�as externas e do meio
ambiente ........................................................................
34
9.1.5 Trabalhando em �reas
seguras ...........................................................................
....................................... 34
9.1.6 Acesso do p�blico, �reas de entrega e de
carregamento ......................................................................
.
9.2 Seguran�a de
equipamentos ......................................................................
................................................ 35
9.2.1 Instala��o e prote��o do
equipamento .......................................................................
.............................. 35
9.2.2
Utilidades ........................................................................
.............................................................................. 36
9.2.3 Seguran�a do
cabeamento ........................................................................
................................................. 37
9.2.4 Manuten��o dos
equipamentos ......................................................................
........................................... 38
9.2.5 Seguran�a de equipamentos fora das depend�ncias da
organiza��o .................................................. 38
9.2.6 Reutiliza��o e aliena��o segura de
equipamentos ......................................................................
............ 39
9.2.7 Remo��o de
propriedade .......................................................................
..................................................... 39
10 Gerenciamento das opera��es e
comunica��es ......................................................................
...............
10.1 Procedimentos e responsabilidades
operacionais ......................................................................
............ 40
10.1.1 Documenta��o dos procedimentos de
opera��o ..........................................................................
.......... 40
10.1.2 Gest�o de
mudan�as ..........................................................................
......................................................... 41
10.1.3 Segrega��o de
fun��es ...........................................................................
................................................... 41
10.1.4 Separa��o dos recursos de desenvolvimento, teste e de
produ��o ..................................................... 42
10.2 Gerenciamento de servi�os
terceirizados .....................................................................
........................... 42
10.2.1 Entrega de
servi�os ..........................................................................
........................................................... 43
10.2.2 Monitoramento e an�lise cr�tica de servi�os
terceirizados .....................................................................
43
10.2.3 Gerenciamento de mudan�as para servi�os
terceirizados .....................................................................
44
10.3 Planejamento e aceita��o dos
sistemas ..........................................................................
......................... 44
10.3.1 Gest�o de
capacidade ........................................................................
.........................................................
10.3.2 Aceita��o de
sistemas ..........................................................................
...................................................... 45
10.4 Prote��o contra c�digos maliciosos e c�digos
m�veis ......................................................................... 46
10.10
Monitoramento .....................................................................
........................................................................
10.10.1 Registros de
auditoria .........................................................................
........................................................ 61
10.10.2 Monitoramento do uso do
sistema ...........................................................................
................................. 61
10.10.3 Prote��o das informa��es dos registros
(log) .............................................................................
............ 63
10.10.4 Registros (/og) de administrador e
operador ..........................................................................
................. 63
10.10.5 Registros (/og) de
falhas ............................................................................
................................................. 64
10.10.6 Sincroniza��o dos
rel�gios ..........................................................................
.............................................. 64
11 11.1 11.1.1 11.2 11.2.1 11.2.2 11.2.3 11.2.4 11.3 11.3.1 11.3.2 11.3.3 11.4
11.4.1 11.4.2 11.4.3 11.4.4 11.4.5 11.4.6 11.4.7 11.5 11.5.1 11.5.2 11.5.3 11.5.4
11.5.5 11.5.6 11.6 11.6.1 11.6.2 11.7 11.7.1 11.7.2
12 12.1 12.1.1 12.2 12.2.1 12.2.2 12.2.3 12.2.4 12.3 12.3.1 12.3.2 12.4 12.4.1
12.4.2 12.4.3 12.5 12.5.1 12.5.2 12.5.3
Controle de
acessos ...........................................................................
......................................................... Requisitos de neg�cio
para controle de
acesso ............................................................................
.......... Pol�tica de controle de
acesso ............................................................................
....................................... 65 Gerenciamento de acesso do
usu�rio ...........................................................................
............................ 66 Registro de
usu�rio ...........................................................................
.......................................................... 66 Gerenciamento de
privil�gios .......................................................................
............................................. 67 Gerenciamento de senha do
usu�rio ...........................................................................
............................. 68 An�lise cr�tica dos direitos de acesso de
usu�rio ...........................................................................
........ 68 Responsabilidades dos
usu�rios ..........................................................................
.................................... 69 Uso de
senhas ............................................................................
................................................................. 69 Equipamento de
usu�rio sem
monitora��o .......................................................................
....................... Pol�tica de mesa limpa e tela
limpa .............................................................................
.............................. Controle de acesso �
rede ..............................................................................
............................................ 71 Pol�tica de uso dos servi�os de
rede ..............................................................................
.......................... 71 Autentica��o para conex�o externa do
usu�rio ...........................................................................
........... 72 Identifica��o de equipamento em
redes .............................................................................
...................... 73 Prote��o de portas de configura��o e diagn�stico
remotos .................................................................. 73
Segrega��o de
redes .............................................................................
...................................................... 73 Controle de conex�o de
rede ..............................................................................
....................................... 7 4 Controle de roteamento de
redes .............................................................................
................................. Controle de acesso ao sistema
operacional .......................................................................
..................... Procedimentos seguros de entrada no sistema (/og-
on) ........................................................................ 75
Identifica��o e autentica��o de
usu�rio ...........................................................................
........................ 77 Sistema de gerenciamento de
senha .............................................................................
........................... 77 Uso de utilit�rios de
sistema ...........................................................................
........................................... 78 Limite de tempo de
sess�o ............................................................................
............................................. 79 Limita��o de hor�rio de
conex�o ...........................................................................
................................... 79 Controle de acesso � aplica��o e �
informa��o ........................................................................
.............. Restri��o de acesso �
informa��o ........................................................................
.................................... Isolamento de sistemas
sens�veis .........................................................................
.................................... 80 Computa��o m�vel e trabalho
remoto ............................................................................
.......................... 81 Computa��o e comunica��o
m�vel .............................................................................
............................. 81 Trabalho
remoto ............................................................................
.............................................................. 82
12.5.4 Vazamento de
informa��es .......................................................................
................................................. 95
12.5.5 Desenvolvimento terceirizado de
software ..........................................................................
..................... 96
12.6 Gest�o de vulnerabilidades
t�cnicas ..........................................................................
.............................. 96
12.6.1 Controle de vulnerabilidades
t�cnicas ..........................................................................
............................ 96
13 Gest�o de incidentes de seguran�a da
informa��o ........................................................................
........ 98
13.1 Notifica��o de fragilidades e eventos de seguran�a da
informa��o ..................................................... 98
13.1.1 Notifica��o de eventos de seguran�a da
informa��o ........................................................................
..... 98
13.1.2 Notificando fragilidades de seguran�a da
informa��o ........................................................................
.... 99
13.2 Gest�o de incidentes de seguran�a da informa��o e
melhorias ......................................................... 100
13.2.1 Responsabilidades e
procedimentos .....................................................................
................................. 100
13.2.2 Aprendendo com os incidentes de seguran�a da
informa��o ............................................................. 101
13.2.3 Coleta de
evid�ncias ........................................................................
......................................................... 102
14 Gest�o da continuidade do
neg�cio ...........................................................................
............................. 103
14.1 Aspectos da gest�o da continuidade do neg�cio, relativos � seguran�a da
informa��o ................. 103
14.1.1 Incluindo seguran�a da informa��o no processo de gest�o da continuidade de
neg�cio ............... 103
14.1.2 Continuidade de neg�cios e an�lise/avalia��o de
riscos ..................................................................... 104
14.1.3 Desenvolvimento e implementa��o de planos de continuidade relativos �
seguran�a da
informa��o ........................................................................
...................................................................................
.......... 104
14.1.4 Estrutura do plano de continuidade do
neg�cio ...........................................................................
......... 105
14.1.5 Testes, manuten��o e reavalia��o dos planos de continuidade do
neg�cio ..................................... 106
15
Conformidade ......................................................................
...................................................................... 108
15.1 Conformidade com requisitos
legais ............................................................................
.......................... 108
15.1.1 Identifica��o da legisla��o
aplic�vel .........................................................................
.............................. 108
15.1.2 Direitos de propriedade
intelectual .......................................................................
.................................. 108
15.1.3 Prote��o de registros
organizacionais ...................................................................
................................ 109
15.1.4 Prote��o de dados e privacidade de informa��es
pessoais ................................................................ 11 O
15.1.5 Preven��o de mau uso de recursos de processamento da
informa��o ............................................. 111
15.1.6 Regulamenta��o de controles de
criptografia ......................................................................
................. 111
15.2 Conformidade com normas e pol�ticas de seguran�a da informa��o e conformidade
t�cnica ........ 112
15.2.1 Conformidade com as pol�ticas e normas de seguran�a da
informa��o ............................................ 112
15.2.2 Verifica��o da conformidade
t�cnica ...........................................................................
........................... 113
15.3 Considera��es quanto � auditoria de sistemas de
informa��o ........................................................... 113
15.3.1 Controles de auditoria de sistemas de
informa��o ........................................................................
....... 113
15.3.2 Prote��o de ferramentas de auditoria de sistemas de
informa��o ..................................................... 114
�ndice ............................................................................
...................................................................................
......... 116
2.
Uma outra fonte � a legisla��o vigente, os estatutos, a regulamenta��o e as
cl�usulas contratuais que a organiza��o, seus parceiros comerciais, contratados e
provedores de servi�o t�m que atender, al�m do seu ambiente sociocultural.
3.
A terceira fonte � um conjunto particular de princ�pios, objetivos e os requisitos
do neg�cio para o processamento da informa��o que uma organiza��o tem que
desenvolver para apoiar suas opera��es.
b)
prote��o de registros organizacionais (ver 15.1.3);
b)
atribui��o de responsabilidades para a seguran�a da informa��o (ver 6.1.3);
c)
conscientiza��o, educa��o e treinamento em seguran�a da informa��o (ver 8.2.2);
d)
processamento correto nas aplica��es (ver 12.2);
e)
gest�o de vulnerabilidades t�cnicas (ver 12.6);
f)
gest�o da continuidade do neg�cio (ver se��o 14);
g)
gest�o de incidentes de seguran�a da informa��o e melhorias (ver 13.2).
b)
uma abordagem e uma estrutura para a implementa��o, manuten��o, monitoramento e
melhoria da seguran�a da informa��o que seja consistente
com a cultura organizacional;
c)
comprometimento e apoio vis�vel de todos os n�veis gerenciais;
g)
provis�o de recursos financeiros para as atividades da gest�o de seguran�a da
informa��o;
h)
provis�o de conscientiza��o, treinamento e educa��o adequados;
i)
estabelecimento de um eficiente processo de gest�o de incidentes de seguran�a da
informa��o;
j)
implementa��o de um sistema de medi��o 1, que seja usado para avaliar o desempenho
da gest�o da seguran�a da informa��o e obten��o de sugest�es para a melhoria.
2 Termos e defini��es
Para os efeitos desta Norma, aplicam-se os seguintes termos e defini��es.
2.1 ativo
qualquer coisa que tenha valor para a organiza��o [1S0/IEC 13a3a35-1 :2004a]
2.2 controle
forma de gerenciar o risco, incluindo pol�ticas, procedimentos, diretrizes,
pr�ticas ou estruturas organizacionais, que podem ser de natureza administrativa,
t�cnica, de gest�o ou legal
NOTA Controle � tamb�m usado como um sin�mino para prote��o ou contramedida.
2.3 diretriz
descri��o que orienta o que deve ser feito e como, para se alcan�arem os objetivos
estabelecidos nas pol�ticas [1S0/IEC 13a3a35-1 :2004]
2.8 pol�tica
inten��es e diretrizes globais formalmente expressas pela dire��o
2.9 risco
combina��o da probabilidade de um evento e de suas conseq��ncias [ABNT ISO/IEC Guia
73a:2005]
2.16 amea�a
causa potencial de um incidente indesejado, que pode resultar em dano para um
sistema ou organiza��o [ISO/IEC 13a3a35-1 :2004a]
2.17 vulnerabildade
fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais
amea�as
i) j)
Aquisi��o, Desenvolvimento e Manuten��o de Sistemas de Informa��o (6); Gest�o de
Incidentes de Seguran�a da Informa��o (2);
Gest�o da Continuidade do Neg�cio (1);
k) Conformidade (3).
Nota: A ordem das se��es nesta Norma n�o significa o seu grau de import�ncia.
Dependendo das circunst�ncias, todas as se��es podem ser importantes. Portanto,
conv�m que cada organiza��o que utilize esta Norma identifique quais s�o os itens
aplic�veis, qu�o importantes eles s�o e a sua aplica��o para os processos
espec�ficos do neg�cio. Todas as al�neas nesta Norma tamb�m n�o est�o ordenadas por
prioridade, a menos que explicitado.
b)
conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente �
pol�tica da organiza��o e aos crit�rios para a aceita��o de risco;
c)
evitar riscos, n�o permitindo a��es que poderiam causar a ocorr�ncia de riscos;
Conv�m que, para aqueles riscos onde a decis�o de tratamento do risco seja a de
aplicar os controles apropriados, esses controles sejam selecionados e
implementados para atender aos requisitos identificados pela an�lise/avalia��o de
riscos. Conv�m que os controles assegurem que os riscos sejam reduzidos a um n�vel
aceit�vel, levando-se em conta:
Os controles podem ser selecionados desta Norma ou de outros conjuntos de
controles, ou novos controles podem ser considerados para atender �s necessidades
espec�ficas da organiza��o. � importante reconhecer que alguns controles podem n�o
ser aplic�veis a todos os sistemas de informa��o ou ambientes, e podem n�o ser
pratic�veis para todas as organiza��es. Como um exemplo, 10.1.3 descreve como as
responsabilidades podem ser segregadas para evitar fraudes e erros. Pode n�o ser
poss�vel para pequenas organiza��es segregar todas as responsabilidades e,
portanto, outras formas de atender o mesmo objetivo de controle podem ser
necess�rias. Em um outro exemplo, 10.10 descreve como o uso do sistema pode ser
monitorado e as evid�ncias coletadas. Os controles descritos, como, por exemplo,
eventos de "logging': podem conflitar com a legisla��o aplic�vel, tais como a
prote��o � privacidade dos clientes ou a exercida nos locais de trabalho.
Conv�m que os controles de seguran�a da informa��o sejam considerados na
especifica��o dos requisitos e nos est�gios iniciais dos projetos e sistemas. Caso
isso n�o seja realizado, pode acarretar custos adicionais e solu��es menos
efetivas, ou mesmo, no pior caso, incapacidade de se alcan�ar a seguran�a
necess�ria.
Conv�m que seja lembrado que nenhum conjunto de controles pode conseguir a
seguran�a completa, e que uma a��o gerencial adicional deve ser implementada para
monitorar, avaliar e melhorar a efici�ncia e efic�cia dos controles de seguran�a da
informa��o, para apoiar as metas da organiza��o.
Conv�m que a dire��o estabele�a uma clara orienta��o da pol�tica, alinhada com os
objetivos do neg�cio e demonstre apoio e comprometimento com a seguran�a da
informa��o por meio da publica��o e manuten��o de uma pol�tica de seguran�a da
informa��o para toda a organiza��o.
5.1.1 Documento da pol�tica de seguran�a da informa��o
Controle Conv�mque um documento da pol�tica de seguran�a da informa��o seja
aprovado pela dire��o, publicado e comunicado para todos os funcion�rios e partes
externas relevantes.
Diretrizes para implementa��o Conv�m que o documento da pol�tica de seguran�a da
informa��o declare o comprometimento da dire��o e estabele�a o enfoque da
organiza��o para gerenciar a seguran�a da informa��o. Conv�m que o documento da
pol�tica contenha declara��es relativas a:
a)
uma defini��o de seguran�a da informa��o, suas metas globais, escopo e import�ncia
da seguran�a da informa��o como um mecanismo que habilita o compartilhamento da
informa��o (ver introdu��o);
b)
uma declara��o do comprometimento da dire��o, apoiando as metas e princ�pios da
seguran�a da informa��o, alinhada com os objetivos e estrat�gias do neg�cio;
c)
uma estrutura para estabelecer os objetivos de controle e os controles, incluindo a
estrutura de an�lise/avalia��o e gerenciamento de risco;
d)
breve explana��o das pol�ticas, princ�pios, normas e requisitos de conformidade de
seguran�a da informa��o espec�ficos para a organiza��o, incluindo:
e)
defini��o das responsabilidades gerais e espec�ficas na gest�o da seguran�a da
informa��o, incluindo
f)
refer�ncias � documenta��o que possam apoiar a pol�tica, por exemplo, pol�ticas e
procedimentos de seguran�a mais detalhados de sistemas de informa��o espec�ficos ou
regras de seguran�a que os usu�rios devem seguir.
Conv�m que esta pol�tica de seguran�a da informa��o seja comunicada atrav�s de toda
a organiza��o para os
usu�rios de forma que seja relevante, acess�vel e compreens�vel para o leitor em
foco. Informa��es adicionais A pol�tica de seguran�a da informa��o pode ser uma
parte de um documento da pol�tica geral. Se a pol�tica de seguran�a da informa��o
for distribu�da forada organiza��o, conv�m que sejam tomados cuidados para n�o
revelar informa��es sens�veis. Informa��es adicionais podem ser encontradas na
1S0/IEC 13335-1 :2004a.
8 �ABNT 2005 -Todos os direitos reservados
b)
resultados de an�lises cr�ticas independentes (ver 6.1.8);
c)
situa��o de a��es preventivas e corretivas (ver 6.1.8 e 15.2.1 );
d)
resultados de an�lises cr�ticas anteriores feitas pela dire��o;
e)
desempenho do processo e conformidade com a pol�tica de seguran�a da informa��o;
f)
mudan�as que possam afetar o enfoque da organiza��o para gerenciar a seguran�a da
informa��o, incluindo mudan�as no ambiente organizacional, nas circunst�ncias do
neg�cio, na disponibilidade dos recursos, nas quest�es contratuais, regulamentares
e de aspectos legais ou no ambiente t�cnico;
g)
tend�ncias relacionadas com as amea�as e vulnerabilidades;
h)
relato sobre incidentes de seguran�a da informa��o (ver 13.1);
i)
recomenda��es fornecidas por autoridades relevantes (ver 6.1.6). Conv�m que as
sa�das da an�lise cr�tica pela dire��o incluam quaisquer decis�es e a��es
relacionadas a:
a)
melhoria do enfoque da organiza��o para gerenciar a seguran�a da informa��o e seus
processos;
b)
melhoria dos controles e dos objetivos de controles;
c)
melhoria na aloca��o de recursos e/ou de responsabilidades. Conv�m que um registro
da an�lise cr�tica pela dire��o seja mantido.
b)
formule, analise criticamente e aprove a pol�tica de seguran�a da informa��o;
c)
analise criticamente a efic�cia da implementa��o da pol�tica de seguran�a da
informa��o;
d)
forne�a um claro direcionamento e apoio para as iniciativas de seguran�a da
informa��o;
e)
forne�a os recursos necess�rios para a seguran�a da informa��o;
f)
aprove as atribui��es de tarefas e responsabilidades espec�ficas para a seguran�a
da informa��o por toda a organiza��o;
g)
inicie planos e programas para manter a conscientiza��o da seguran�a da informa��o;
h)
assegure que a implementa��o dos controles de seguran�a da informa��o tem uma
coordena��o e permeia a organiza��o (ver 6.1.2).
b)
identifique como conduzir as n�o-conformidades;
c)
aprove as metodologias e processos para a seguran�a da informa��o, tais como
an�lise/avalia��o de riscos e classifica��o da informa��o;
d)
identifique as amea�as significativas e a exposi��o da informa��o e dos recursos de
processamento da informa��o �s amea�as;
g)
avalie as informa��es recebidas do monitoramento e da an�lise cr�tica dos
incidentes de seguran�a da informa��o, e recomende a��es apropriadas como resposta
para os incidentes de seguran�a da informa��o identificados.
Se a organiza��o n�o usa representantes das diferentes �reas, por exemplo, porque
tal grupo n�o � apropriado para o tamanho da organiza��o, conv�m que as a��es
descritas acima sejam conduzidas por um organismo de gest�o adequado ou por um
gestor individual.
Conv�m que as �reas pelas quais as pessoas sejam respons�veis, estejam claramente
definidas; em particular conv�m que os seguintes itens sejam cumpridos:
a)
os ativos e os processos de seguran�a da informa��o associados com cada sistema
sejam identificados e claramente definidos;
b)
gestor respons�vel por cada ativo ou processo de seguran�a da informa��o tenha
atribui��es definidas e os detalhes dessa responsabilidade sejam documentados (ver
7.1 .2);
c)
os n�veis de autoriza��o sejam claramente definidos e documentados.
Informa��es adicionais Em muitas organiza��es um gestor de seguran�a da informa��o
pode ser indicado para assumir a responsabilidade global pelo desenvolvimento e
implementa��o da seguran�a da informa��o e para apoiar a identifica��o de
controles.
Entretanto, a responsabilidade pela obten��o dos recursos e implementa��o dos
controles permanece sempre com os gestores. Uma pr�tica comum � indicar um
respons�vel por cada ativo, tornando-o assim respons�vel por sua prote��o no dia a
dia.
b)
hardware e o software sejam verificados para garantir que s�o compat�veis com
outros componentes do sistema, onde necess�rios;
c)
uso de recursos de processamento de informa��o, pessoais ou privados, como, por
exemplo, note books, computadores pessoais ou dispositivos do tipo palm top, para
processamento das informa��es do neg�cio, possa introduzir novas vulnerabilidades,
e conv�m que controles necess�rios sejam identificados e implementados.
e)
propriet�rio da informa��o, segredos comerciais e de propriedade intelectual, e
como isto se relaciona com a prote��o da informa��o confidencial;
f)
uso permitido da informa��o confidencial e os direitos do signat�rio para usar a
informa��o;
g)
direito de auditar e monitorar as atividades que envolvem as informa��es
confidenciais;
h)
processo para notifica��o e relato de divulga��o n�o autorizada ou viola��o das
informa��esconfidenciais;
i)
termos para a informa��o ser retomada ou destru�da quando do t�rmino do acordo; e
j)
a��es esperadas a serem tomadas no caso de uma viola��o deste acordo.
Organiza��es que estejam sob ataque da internet podem precisar do apoio de partes
externas � organiza��o (por exemplo, um provedor de servi�o da internet ou um
operador de telecomunica��es), para tomar a��es contra a origem do ataque.
�ABNT 2005 -Todos os direitos reservados 13
Informa��es adicionais A manuten��o de tais contatos pode ser um requisito para
apoiar a gest�o de incidentes de seguran�a da informa��o (ver 13a.2) ou da
continuidade dos neg�cios e do processo de planejamento da conting�ncia (ver se��o
14a). Contatos com organismos reguladores s�o tamb�m �teis para antecipar e
preparar para as mudan�as futuras na lei ou nos regulamentos, os quais t�m que ser
seguidos pela organiza��o. Contatos com outras autoridades incluem utilidades,
servi�os de emerg�ncia, sa�de e seguran�a, por exemplo corpo de bombeiros (em
conjunto com a continuidade do neg�cio), provedores de telecomunica��o (em conjunto
com as rotas de linha e disponibilidade), fornecedor de �gua (em conjunto com as
instala��es de refrigera��o para os equipamentos).
6.1a.7 Contato com grupos especiais
Controle Conv�mque sejam mantidos contatos apropriados com grupos de interesses
especiais ou outros f�runs especializados de seguran�a da informa��o e associa��es
profissionais.
Diretrizes para implementa��o Conv�m que associa��o a grupos de interesses
especiais ou f�runs seja considerada como forma de:
a)
ampliar o conhecimento sobre as melhores pr�ticas e manter-se atualizado com as
informa��es relevantes sobre seguran�a da informa��o;
b)
assegurar que o entendimento do ambiente de seguran�a da informa��o est� atual e
completo;
c)
receber previamente advert�ncias de alertas, aconselhamentos e corre��es relativos
a ataques e vulnerabilidades;
d)
conseguir acesso � consultoria especializada em seguran�a da informa��o;
e)
compartilhar e trocar informa��es sobre novas tecnologias, produtos, amea�as ou
vulnerabilidades;
f)
prover relacionamentos adequados quando tratar com incidentes de seguran�a da
informa��o(ver 13a.2.1 ).
Conv�m que a an�lise cr�tica seja executada por pessoas independentes da �rea
avaliada, como, por exemplo, uma fun��o de auditoria interna, um gerente
independente ou uma organiza��o de terceira parte especializada em tais an�lises
cr�ticas. Conv�m que as pessoas que realizem estas an�lises cr�ticas possuam
habilidade e experi�ncia apropriadas.
Conv�m que os resultados da an�lise cr�tica independente sejam registrados e
relatados para a dire��o que iniciou a an�lise cr�tica. Estes registros devem ser
mantidos.
Se a an�lise cr�tica independente identificar que o enfoque da organiza��o e a
implementa��o para gerenciar a seguran�a da informa��o s�o inadequados ou n�o-
conformes com as orienta��es estabelecidas para seguran�a da informa��o, no
documento da pol�tica de seguran�a da informa��o (ver 5.1.1 ), conv�m que a dire��o
considere a tomada de a��es corretivas.
Informa��es adicionais Conv�m que as �reas onde os gerentes regularmente fazem a
an�lise cr�tica (ver 15.2.1) possam tamb�m ser analisadas criticamente de forma
independente. T�cnicas para a an�lise cr�tica podem incluir entrevistas com a
ger�ncia, verifica��o de registros ou an�lise cr�tica dos documentos da pol�tica de
seguran�a da informa��o. A ABNT NBR ISO 19011 :2002, Diretrizes para auditoria de
sistemas de gest�o da qualidade e/ou do meio ambiente, pode tamb�m fornecer
orienta��es para se realizar a an�lise cr�tica independente, incluindo o
estabelecimento e a implementa��o de um programa de an�lise cr�tica. A subse��o
15.3 especifica os controles relevantes para a an�lise cr�tica independente de
sistemas de informa��es operacionais e o uso de ferramentas de auditoria de
sistemas.
b)
tipo de acesso que a parte externa ter� aos recursos de processamento da informa��o
e � informa��o, como, por exemplo:
c)
valor e a sensibilidade da informa��o envolvida, e a sua criticidade para as
opera��es do neg�cio;
d} os controles necess�rios para proteger a informa��o que n�o deva ser acessada
pelas partes externas;
e)
as pessoas das partes externas envolvidas no manuseio das informa��es da
organiza��o;
f)
como a organiza��o ou o pessoal autorizado a ter acesso pode ser identificado, como
a autoriza��o � verificada e com qual freq��ncia isto precisa ser reconfirmado;
g)
as diferentes formas e controles empregados pela parte externa quando estiver
armazenando, processando, comunicando, compartilhando e repassando informa��es;
h)
impacto do acesso n�o estar dispon�vel para a parte externa, quando requerido, e a
entrada ou o recebimento incorreto ou por engano da informa��o;
i)
pr�ticas e procedimentos para tratar com incidentes de seguran�a da informa��o e
danos potenciais, e os termos e condi��es para que a parte externa continue
acessando, no caso que ocorra um incidente de seguran�a da informa��o;
j)
que os requisitos legais e regulamentares e outras obriga��es contratuais
relevantes para a parte externa sejam levados em considera��o;
k)
como os interesses de quaisquer uma das partes interessadas podem ser afetados
pelos acordos.
Conv�m que o acesso �s informa��es da organiza��o pelas partes externas n�o seja
fornecido at� que os controles apropriados tenham sido implementados e, onde for
vi�vel, um contrato tenha sido assinado definindo os termos e condi��es para a
conex�o ou o acesso e os preparativos para o trabalho. Conv�m que, de uma forma
geral, todos os requisitos de seguran�a da informa��o resultantes do trabalho com
partes externas ou controles internos estejam refletidos por um acordo com a parte
externa (ver 6.2.2 e 6.2.3).
Conv�m que seja assegurado que a parte externa est� consciente de suas obriga��es,
e aceita as responsabilidades e obriga��es envolvendo o acesso, processamento,
comunica��o ou o gerenciamento dos recursos do processamento da informa��o e da
informa��o da organiza��o.
Informa��es adicionais A informa��o pode ser colocada em risco por partes externas
com uma gest�o inadequada da seguran�a da informa��o. Conv�m que os controles sejam
identificados e aplicados para administrar o acesso da parte externa aos recursos
de processamento da informa��o. Por exemplo, se existir uma necessidade especial
para a confidencialidade da informa��o, acordos de n�o divulga��o devem ser usados.
b)
terceiriza��o de opera��es e recursos, como, por exemplo, sistemas de TI, servi�os
de coleta de dados, opera��o de central de atendimento (cal/ center);
c)
clientes;
d)
opera��es e/ou recursos de terceiriza��o, como, por exemplo, sistemas de TI,
servi�os de coleta de dados, opera��o de cal/ center,
e)
consultores em neg�cios e em gest�o, e auditores;
f)
desenvolvedores e fornecedores, como, por exemplo, de produtos de so'ftware e
sistemas de TI;
g)
pessoal de limpeza, servi�os de buf�s e outros servi�os de apoio terceirizados;
1)
procedimentos para proteger os ativos da organiza��o, incluindo informa��o e
so'ftware, e a gest�o de vulnerabilidades conhecidas;
2)
procedimentos para determinar se ocorreu qualquer comprometimento de ativos, por
exemplo, perda ou modifica��o de dados;"
3)
integridade;
4)
restri��es em rela��o a c�pias e divulga��o de informa��es;
b)
descri��o do produto ou servi�o a ser fornecido;
1)
m�todos de acesso permitido e o controle e uso de identificadores �nicos, tais como
identificador de usu�rio e senhas de acesso;
2)
um processo de autoriza��o para acesso dos usu�rios e privil�gios;
3) uma declara��o de que todo o acesso que n�o seja explicitamente autorizado �
proibido;
4) um processo para revogar os direitos de acesso ou interromper a conex�o entre
sistemas;
e)
procedimentos para relato, notifica��o e investiga��o de informa��es imprecisas
(por exemplo, sobre pessoal), incidentes de seguran�a da informa��o e viola��o da
seguran�a da informa��o;
g)
os n�veis de servi�os acordados e os n�veis de servi�os inaceit�veis;
h)
direito de monitorar e revogar qualquer atividade relacionada com os ativos da
organiza��o;
i)
as respectivas responsabilidades legais da organiza��o e dos clientes;
j)
responsabilidades com rela��o a aspectos legais e como � assegurado que os
requisitos legais s�o atendidos, por exemplo, leis de prote��o de dados,
especialmente levando-se em considera��o os diferentes sistemas legais nacionais se
o acordo envolver a coopera��o com clientes em outros pa�ses (ver 15.1);
k)
direitos de propriedade intelectual e direitos autorais (ver 1 5.1 .2) e prote��o
de qualquer trabalho colaborativo (ver 6.1 .5).
d)
assegurar a conscientiza��o dos usu�rios nas quest�es e responsabilidades pela
seguran�a da informa��o;
f)
provis�o para a transfer�ncia de pessoal, onde necess�rio;
f)
responsabilidades com rela��o � manuten��o e instala��o de software e hardware;
g)
uma estrutura clara de notifica��o e formatos de relat�rios acordados;
h)
um processo claro e definido de gest�o de mudan�as;
i)
pol�tica de controle de acesso, cobrindo:
1)
as diferentes raz�es, requisitos e benef�cios que justificam a necessidade do
acesso pelo terceiro;
2)
m�todos de acesso permitido e o controle e uso de identificadores �nicos, tais como
identificadores de usu�rios e senhas de acesso;
4)
um requisito para manter uma lista de pessoas autorizadas a usar os servi�os que
est�o sendo disponibilizados, e quais os seus direitos e privil�gios com rela��o a
tal uso;
5)
uma declara��o de que todo o acesso que n�o seja explicitamente autorizado �
proibido;
6)
um processo para revogar os direitos de acesso ou interromper a conex�o entre
sistemas;
m)
defini��o de crit�rios de desempenho verific�veis, seu monitoramento e relato;
n)
direito de monitorar e revogar qualquer atividade relacionada com os ativos da
organiza��o;
o)
direito de auditar as responsabilidades definidas do acordo, para ter essas
auditorias realizadas por terceira parte para enumerar os direitos regulamentares
dos auditores;
q)
requisitos para a continuidade dos servi�os, incluindo medi��es para
disponibilidade e confiabilidade, de acordo com as prioridades do neg�cio da
organiza��o;
r)
respectivas obriga��es das partes com o acordo;
s)
responsabilidades com rela��o a aspectos legais e como � assegurado que os
requisitos legais s�o atendidos, por exemplo, leis de prote��o de dados, levando-se
em considera��o especialmente os diferentes sistemas legais nacionais, se o acordo
envolver a coopera��o com organiza��es em outros pa�ses (ver 15.1 );
t)
direitos de propriedade intelectual e direitos autorais (ver 15.1.2) e prote��o de
qualquer trabalho colaborativo (ver 6.1e.5);
u)
envolvimento do terceiro com subfornecedores e os controles de seguran�a da
informa��o que esses subfornecedores precisam implementar;
v)
condi��es de renegocia��o ou encerramento de acordos:
1) um plano de conting�ncia deve ser elaborado no caso de uma das partes desejar
encerrar a rela��o antes do final do acordo;
2) renegocia��o dos acordos se os requisitos de seguran�a da organiza��o mudarem;
3) listas atualizadas da documenta��o dos ativos, licen�as, acordos ou direitos
relacionados aos ativos.
Informa��es adicionais Os acordos podem variar consideravelmente para diferentes
organiza��es e entre os diferentes tipos de terceiros. Portanto, conv�m que sejam
tomados cuidados para incluir nos acordos todos os riscos identificados e os
requisitos de seguran�a da informa��o (ver 6.2.1 ). Onde necess�rio, os
procedimentos e controles requeridos podem ser inclu�dos em um plano de gest�o de
seguran�a da informa��o.
Se a gest�o da seguran�a da informa��o for terceirizada, conv�m que os acordos
definam como os terceiros ir�o garantir que a seguran�a da informa��o, conforme
definida na an�lise/avalia��o de riscos, ser� mantida e como a seguran�a da
informa��o ser� adaptada para identificar e tratar com as mudan�as aos riscos.
Algumas das diferen�as entre as terceiriza��es e as outras formas de provis�o de
servi�os de terceiros incluem a quest�o das obriga��es legais, o planejamento do
per�odo de transi��o e de descontinuidade da opera��o durante este per�odo,
planejamento de conting�ncias e an�lise cr�tica de investiga��es, e coleta e gest�o
de incidentes de seguran�a da informa��o. Portanto, � importante que a organiza��o
planeje e gerencie a transi��o para um terceirizado e tenha processos adequados
implantados para gerenciar as mudan�as e renegociar ou encerrar os acordos.
Os procedimentos para continuar processando no caso em que o terceiro se torne
incapaz de prestar o servi�o precisam ser considerados no acordo para evitar
qualquer atraso nos servi�os de substitui��o.
Acordos com terceiros podem tamb�m envolver outras partes. Conv�m que os acordos
que concedam o acesso a terceiros incluam permiss�o para designa��o de outras
partes eleg�veis e condi��es para os seus acessos e envolvimento.
De um modo geral os acordos s�o geralmente elaborados pela organiza��o. Podem
existir situa��es onde, em algumas circunst�ncias, um acordo possa ser elaborado e
imposto � organiza��o pelo terceiro. A organiza��o precisa assegurar que a sua
pr�pria seguran�a da informa��o n�o � afetada desnecessariamente pelos requisitos
do terceiro, estipulados no acordo imposto.
20 �ABNT 2005 -Todos os direitos reservados
Gest�o de ativos
7.1 Responsabilidade pelos ativos
Objetivo: Alcan�ar e manter a prote��o adequada dos ativos da organiza��o.
Conv�m que todos os ativos sejam inventariados e tenham um propriet�rio
respons�vel.
Conv�m que os propriet�rios dos ativos sejam identificados e a eles seja atribu�da
a responsabilidade pela manuten��o apropriada dos controles. A implementa��o de
controles espec�ficos pode ser delegada pelo propriet�rio, conforme apropriado,
por�m o propriet�rio permanece respons�vel pela prote��o adequada dos ativos.
7.1.1 Invent�rio dos ativos
Controle Conv�m que todos os ativos sejam claramente identificados e um invent�rio
de todos os ativos importantes seja estruturado e mantido.
Diretrizes para implementa��o Conv�m que a organiza��o identifique todos os ativos
e documente a import�ncia destes ativos. Conv�m que
o invent�rio do ativo inclua todas as informa��es necess�rias que permitam
recuperar de um desastre, incluindo o tipo do ativo, formato, localiza��o,
informa��es sobre c�pias de seguran�a, informa��es sobre licen�as e a import�ncia
do ativo para o neg�cio. Conv�m que o invent�rio n�o duplique outros invent�rios
desnecessariamente, por�m ele deve assegurar que o seu conte�do est� coerente.
Adicionalmente, conv�m que o propriet�rio (ver 7.1 .2) e a classifica��o da
informa��o (ver 7.2) sejam acordados e documentados para cada um dos ativos. Conv�m
que, com base na import�ncia do ativo, seu valor para o neg�cio e a sua
classifica��o de seguran�a, n�veis de prote��o proporcionais � import�ncia dos
ativos sejam identificados (mais informa��es sobre como valorar os ativos para
indicar a sua import�ncia podem ser encontradas na ISO IEC TR 1 3335-3).
Informa��es adicionais
Existem v�rios tipos de ativos, incluindo:
a)
ativos de informa��o: base de dados e arquivos, contratos e acordos, documenta��o
de sistema, informa��es sobre pesquisa, manuais de usu�rio, material de
treinamento, procedimentos de suporte ou opera��o, planos de continuidade do
neg�cio, procedimentos de recupera��o, trilhas de auditoria e informa��es
armazenadas;
b)
ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e
utilit�rios;
c)
ativos f�sicos: equipamentos computacionais, equipamentos de comunica��o, m�dias
remov�veis e outros equipamentos;
d)
servi�os: servi�os de computa��o e comunica��es, utilidades gerais, por exemplo
aquecimento, ilumina��o, eletricidade e refrigera��o;
e)
pessoas e suas qualifica��es, habilidades e experi�ncias;
f)
intang�veis, tais como a reputa��o e a imagem da organiza��o.
b)
definir e periodicamente analisar criticamente as classifica��es e restri��es ao
acesso, levando em conta as pol�ticas de controle de acesso, aplic�veis.
b)
um conjunto de atividades definidas;
c)
uma aplica��o; ou
d)
um conjunto de dados definido.
Informa��es adicionais As tarefas de rotina podem ser delegadas, por exemplo, para
um custodiante que cuida do ativo no dia-a-dia, por�m a responsabilidade permanece
com o propriet�rio.
Em sistemas de informa��o complexos pode ser �til definir grupos de ativos que
atuem juntos para fornecer uma fun��o particular, como servi�os. Neste caso, o
propriet�rio do servi�o � o respons�vel pela entrega do servi�o, incluindo o
funcionamento dos ativos, que prov� os servi�os.
b)
diretrizes para o uso de dispositivos m�veis, especialmente para o uso fora das
instala��es da organiza��o (ver 11. 7 .1 ).
Conv�m que regras espec�ficas ou diretrizes sejam fornecidas pelo gestor relevante.
Conv�m que funcion�rios, fornecedores e terceiros que usem ou tenham acesso aos
ativos da organiza��o estejam conscientes dos limites que existem para os usos das
informa��es e ativos associados da organiza��o aos recursos de processamento da
informa��o. Conv�m que eles sejam respons�veis pelo uso de quaisquer recursos de
processamento da informa��o e de quaisquer outros usos conduzidos sob a suas
responsabilidades.
c)
executar processos ou atividades particulares de seguran�a da informa��o;
d)
assegurar que a responsabilidade � atribu�da � pessoa para tomada de a��es;
e)
relatar eventos potenciais ou reais de seguran�a da informa��o ou outros riscos de
seguran�a para a organiza��o.
8.1.2 Sele��o
Controle Conv�mque verifica��es do hist�rico de todos os candidatos a emprego,
fornecedores e terceiros sejam realizadas de acordo com a �tica, as leis e as
regulamenta��es pertinentes, e proporcionais aos requisitos do neg�cio, �
classifica��o das informa��es a serem acessadas e aos riscos percebidos.
Diretrizes para implementa��o Conv�m que as verifica��es levem em considera��o toda
a legisla��o pertinente relativa � privacidade,prote��o de dados pessoais e/ou
emprego, e onde permitido, incluam os seguintes itens:
a)
disponibilidade de refer�ncias de car�ter satisfat�rias, por exemplo uma
profissional e uma pessoal;
b)
uma verifica��o (da exatid�o e inteireza) das informa��es do curriculum vitae do
candidato;
c)
confirma��o das qualifica��es acad�micas e profissionais;
d)
verifica��o independente da identidade (passaporte ou documento similar);
e)
verifica��es mais detalhadas, tais como verifica��es financeiras (de cr�dito) ou
verifica��es de registros criminais.
Conv�m que a organiza��o tamb�m fa�a verifica��es mais detalhadas, onde um trabalho
envolver pessoas, tanto por contrata��o como por promo��o, que tenham acesso aos
recursos de processamento da informa��o, em particular aquelas que tratam de
informa��es sens�veis, tais como informa��es financeiras ou informa��es altamente
confidenciais.
Conv�m que os procedimentos definam crit�rios e limita��es para as verifica��es de
controle, por exemplo, quem est� qualificado para selecionar as pessoas, e como,
quando e por que as verifica��es de controle s�o realizadas.
Conv�m que um processo de sele��o tamb�m seja feito para fornecedores e terceiros.
Quando essas pessoas v�m por meio de uma ag�ncia, conv�m que o contrato especifique
claramente as responsabilidades da ag�ncia pela sele��o e os procedimentos de
notifica��o que devem ser seguidos se a sele��o n�o for devidamente conclu�da ou
quando os resultados obtidos forem motivos de d�vidas ou preocupa��es.Do mesmo
modo, conv�m que acordos com terceiros (ver 6.2.3a) especifiquem claramente todas
as responsabilidades e procedimentos de notifica��o para a sele��o.
Conv�m que informa��es sobre todos os candidatos que est�o sendo considerados para
certas posi��esdentro da organiza��o sejam levantadas e tratadas de acordo com
qualquer legisla��o apropriada existente na jurisdi��o pertinente. Dependendo da
legisla��o aplic�vel, conv�m que os candidatos sejam previamente informados sobre
as atividades de sele��o.
Controle Como parte das suas obriga��es contratuais, conv�m que os funcion�rios,
fornecedores e terceiros concordem e assinem os termos e condi��es de sua
contrata��o para o trabalho, os quais devem declarar as suas responsabilidades e a
da organiza��o para a seguran�a da informa��o.
b)
as responsabilidades legais e direitos dos funcion�rios, fornecedores e quaisquer
outros usu�rios, por exemplo, com rela��o �s leis de direitos autorais ou �
legisla��o de prote��o de dados (ver 15.1.1 e 15.1e.2);
c)
as responsabilidades pela classifica��o da informa��o e pelo gerenciamento dos
ativos da organiza��o associados com os sistemas de informa��o e com os servi�os
conduzidos pelos funcion�rios, fornecedores ou terceiros (ver 7.2.1 e 10.7.3);
f)
responsabilidades que se estendem para fora das depend�ncias da organiza��o e fora
dos hor�rios normais de trabalho, como, por exemplo, nos casos de execu��o de
trabalhos em casa (ver 9.2.5 e 11.7.1);
g)
a��es a serem tomadas no caso de o funcion�rio, fornecedor ou terceiro desrespeitar
os requisitos de seguran�a da informa��o da organiza��o (ver 8.2.3).
b)
recebam diretrizes que definam quais as expectativas sobre a seguran�a da
informa��o de suas atividades dentro da organiza��o;
d)
atinjam um n�vel de conscientiza��o sobre seguran�a da informa��o que seja
relevante para os seus pap�is e responsabilidades dentro da organiza��o (ver
8.2.2);
Diretrizes
para implementa��o
Conv�m
que a comunica��o de encerramento de atividades inclua requisitos de seguran�a e
responsabilidades legais existentes e, onde apropriado, responsabilidades contidas
em quaisquer acordos de confidencialidade (ver 6.1.5) e os termos e condi��es de
trabalho (ver 8.1.3a) que continuem por um per�ododefinido ap�s o fim do trabalho
do funcion�rio, do fornecedor ou do terceiro.
Informa��es
adicionais
A
fun��o de Recursos Humanos � geralmente respons�vel pelo processo global de
encerramento e trabalha em conjunto com o gestor respons�vel pela pessoa que est�
saindo, para gerenciar os aspectos de seguran�a da informa��o dos procedimentos
pertinentes. No caso de um fornecedor, o processo de encerramento de atividades
pode ser realizado por uma ag�ncia respons�vel pelo fornecedor e, no caso de um
outro usu�rio, isto pode ser tratado pela sua organiza��o.
Diretrizes
para implementa��o
Conv�m
que o processo de encerramento de atividades seja formalizado para contemplar a
devolu��o de todos os equipamentos, documentos corporativos e software entregues �
pessoa. Outros ativos da organiza��o, tais como dispositivos de computa��o m�vel,
cart�es de cr�ditos, cart�es de acesso, software, manuais e informa��es armazenadas
em m�dia eletr�nica, tamb�m precisam ser devolvidos.
para as atividades que s�o executadas, conv�m que este conhecimento seja
documentado e transferido para a organiza��o.
Controle
Conv�mque os direitos de acesso de todos os funcion�rios, fornecedores e terceiros
�s informa��es e aos recursos de processamento da informa��o sejam retirados ap�s o
encerramento de suas atividades, contratos
Diretrizes para implementa��o Conv�m que os direitos de acesso da pessoa aos ativos
associados com os sistemas de informa��o e servi�os sejam reconsiderados, ap�s o
encerramento das atividades. Isto ir� determinar se � necess�rio retirar os
direitos de acesso. Conv�m que mudan�as de uma atividade sejam refletidas na
retirada de todos os direitos de acesso que n�o foram aprovados para o novo
trabalho. Conv�m que os direitos de acesso que sejam retirados ou adaptados incluam
o acesso l�gico e f�sico, chaves, cart�es de identifica��o, recursos de
processamento da informa��o (ver 11.2.4), subscri��es e retirada de qualquer
documenta��o que os identifiquem como um membro atual da organiza��o. Caso o
funcion�rio, fornecedor ou terceiro que esteja saindo tenha conhecimento de senhas
de contas que permanecem ativas, conv�m que estas sejam alteradas ap�s um
encerramento das atividades, mudan�a do trabalho, contrato ou acordo.
Conv�m que os direitos de acesso aos ativos de informa��o e aos recursos de
processamento da informa��o sejam reduzidos ou retirados antes que a atividade se
encerre ou altere, dependendo da avalia��o de fatores de risco, tais como:
a)
se o encerramento da atividade ou a mudan�a � iniciada pelo funcion�rio, fornecedor
ou terceiro, ou pelo gestor e a raz�o do encerramento da atividade;
b)
as responsabilidades atuais do funcion�rio, fornecedor ou qualquer outro usu�rio;
b)
os per�metros de um edif�cio ou de um local que contenha instala��es de
processamento da informa��o sejam fisicamente s�lidos (ou seja, o per�metro n�o
deve ter brechas nem pontos onde poderia ocorrer facilmente uma invas�o); conv�m
que as paredes externas do local sejam de constru��o robusta e todas as portas
externas sejam adequadamente protegidas contra acesso n�o autorizado por meio de
mecanismos de controle, por exemplo, barras, alarmes, fechaduras etc.; conv�m que
as portas e janelas sejam trancadas quando estiverem sem monitora��o, e que uma
prote��o externa para as janelas seja considerada, principalmente para as que
estiverem situadas no andar t�rreo;
c)
seja implantada uma �rea de recep��o, ou um outro meio para controlar o acesso
f�sico ao local ou ao edif�cio; o acesso aos locais ou edif�cios deve ficar
restrito somente ao pessoal autorizado;
d)
sejam constru�das barreiras f�sicas, onde aplic�vel, para impedir o acesso f�sico
n�o autorizado e a contamina��o do meio ambiente;
e)
todas as portas corta-fogo do per�metro de seguran�a sejam providas de alarme,
monitoradas e testadas juntamente com as paredes, para estabelecer o n�vel de
resist�ncia exigido, de acordo com normas regionais, nacionais e internacionais
aceit�veis; elas devem funcionar de acordo com os c�digos locais de preven��o de
inc�ndios e preven��o de falhas;
f)
sistemas adequados de detec��o de intrusos, de acordo com normas regionais,
nacionais e internacionais, sejam instalados e testados em intervalos regulares, e
cubram todas as portas externas e janelas acess�veis; as �reas n�o ocupadas devem
ser protegidas por alarmes o tempo todo; tamb�m
Informa��es adicionais Pode-se obter prote��o f�sica criando uma ou mais barreiras
f�sicas ao redor das instala��es e dos recursos de processamento da informa��o da
organiza��o. O uso de barreiras m�ltiplas proporciona uma prote��o adicional, uma
vez que neste caso a falha de uma das barreiras n�o significa que a seguran�a fique
comprometida imediatamente.
Uma �rea segura pode ser um escrit�rio tranc�vel ou um conjunto de salas rodeado
por uma barreira f�sica interna cont�nua de seguran�a. Pode haver necessidade de
barreiras e per�metros adicionais para o controle do acesso f�sico, quando existem
�reas com requisitos de seguran�a diferentes dentro do per�metro de seguran�a.
Conv�m que sejam tomadas precau��es especiais para a seguran�a do acesso f�sico no
caso de edif�cios que alojam diversas organiza��es.
c)
os edif�cios sejam discretos e d�em a menor indica��o poss�vel da sua finalidade,
sem letreiros evidentes, fora ou dentro do edif�cio, que identifiquem a presen�a de
atividades de processamento de informa��es, quando for aplic�vel;
d)
as listas de funcion�rios e guias telef�nicos internos que identifiquem a
localiza��o das instala��es que processam informa��es sens�veis n�o fiquem
facilmente acess�veis ao p�blico.
b)
os equipamentos para conting�ncia e m�dia de backup fiquem a uma dist�ncia segura,
para que n�o sejam danificados por um desastre que afete o local principal;
c)
os equipamentos apropriados de detec��o e combate a inc�ndios sejam providenciados
e posicionados corretamente.
b)
seja evitado o trabalho n�o supervisionado em �reas seguras, tanto por motivos de
seguran�a como para prevenir as atividades mal intencionadas;
as �reas
seguras n�o ocupadas sejam fisicamente trancadas
e periodicamente verificadas;
d)
n�o seja permitido o uso de m�quinas fotogr�ficas, gravadores de v�deo ou �udio ou
de outros equipamentos de grava��o, tais como c�meras em dispositivos m�veis, salvo
se for autorizado.
d)
os materiais entregues sejam inspecionados para detectar amea�as potenciais (ver
9.2.1d)) antes de serem transportados da �rea de entrega e carregamento para o
local de utiliza��o;
e)
os materiais entregues sejam registrados por ocasi�o de sua entrada no local,
usando-se procedimentos de gerenciamento de ativos (ver 7.1.1 );
f)
as remessas entregues sejam segregadas fisicamente das remessas que saem, sempre
que poss�vel.
c)
os itens que exigem prote��o especial devem ser isolados para reduzir o n�vel geral
de prote��o necess�rio;
d)
sejam adotados controles para minimizar o risco de amea�as f�sicas potenciais, tais
como furto ou roubo, inc�ndio, explosivos, fuma�a, �gua (ou falha do suprimento de
�gua), poeira, vibra��o, efeitos qu�micos, interfer�ncia com o suprimento de
energia el�trica, interfer�ncia com as comunica��es, radia��o eletromagn�tica e
vandalismo;
e)
sejam estabelecidas diretrizes quanto a comer, beber e fumar nas proximidades das
instala��es de processamento da informa��o;
f)
as condi��es ambientais, como temperatura e umidade, sejam monitoradas para a
detec��o de condi��es que possam afetar negativamente os recursos de processamento
da informa��o;
g)
todos os edif�cios sejam dotados de prote��o contra raios e todas as linhas de
entrada de for�a e de comunica��es tenham filtros de prote��o contra raios;
h)
para equipamentos em ambientes industriais, o uso de m�todos especiais de prote��o,
tais como membranas para teclados, deve ser considerado;
i)
os equipamentos que processam informa��es sens�veis sejam protegidos, a fim de
minimizar o risco de vazamento de informa��es em decorr�ncia de emana��es.
9.2.2 Utilidades
Controle Conv�m que os equipamentos sejam protegidos contra falta de energia
el�trica e outras interrup��es causadas por falhas das utilidades.
Diretrizes para implementa��o Conv�m que todas as utilidades, tais como suprimento
de energia el�trica, suprimento de �gua, esgotos, calefa��o/ventila��o e ar-
condicionado sejam adequados para os sistemas que eles suportam. Conv�m que as
utilidades sejam inspecionadas em intervalos regulares e testadas de maneira
apropriada para assegurar seu funcionamento correto e reduzir os riscos de defeitos
ou interrup��es do funcionamento. Conv�m que seja providenciado um suprimento
adequado de energia el�trica, de acordo com as especifica��es do fabricante dos
equipamentos.
d)
nos cabos e nos equipamentos, sejam utilizadas marca��es claramente identific�veis,
a fim de minimizar erros de manuseio, como, por exemplo, fazer de forma acidental
conex�es erradas em cabos da rede;
e)
seja utilizada uma lista de documenta��o das conex�es para reduzir a possibilidade
de erros;
f)
para sistemas sens�veis ou cr�ticos, os seguintes controles adicionais devem ser
considerados:
1)
instala��o de condu�tes blindados e salas ou caixas trancadas em pontos de inspe��o
e pontos terminais;
4)
utiliza��o de blindagem eletromagn�tica para a prote��o dos cabos;
5)
realiza��o de varreduras t�cnicas e inspe��es f�sicas para detectar a presen�a de
dispositivos n�o autorizados conectados aos cabos;
6)
acesso controlado aos pain�is de conex�es e �s salas de cabos.
Conv�m que os equipamentos tenham uma manuten��o correta para assegurar sua
disponibilidade e integridade permanentes.
Diretrizes
para implementa��o
Conv�m
que sejam levadas em considera��o as seguintes diretrizes para a manuten��o dos
equipamentos:
a)
a manuten��o dos equipamentos seja realizada nos intervalos recomendados pelo
fornecedor, e de acordo com as suas especifica��es;
b)
a manuten��o e os consertos dos equipamentos sejam realizados somente por pessoal
de manuten��o autorizado;
c)
sejam mantidos os registros de todas as falhas, suspeitas ou reais, e de todas as
opera��es de manuten��o preventiva e corretiva realizadas;
d)
sejam implementados controles apropriados, na �poca programada para a manuten��o do
equipamento, dependendo de a manuten��o ser realizada pelo pessoal do local ou por
pessoalexterno � organiza��o; onde necess�rio, as informa��es sens�veis sejam
eliminadas do equipamento, ou o pessoal de manuten��o seja de absoluta confian�a;
e)
sejam atendidas todas as exig�ncias estabelecidas nas ap�lices de seguro.
9.2.5 Seguran�a de equipamentos fora das depend�ncias da organiza��o
Controle
Conv�mque sejam tomadas medidas de seguran�a para equipamentos que operem fora do
local, levando em conta os diferentes riscos decorrentes do fato de se trabalhar
fora das depend�ncias da organiza��o.
Diretrizes
para implementa��o
Conv�m
que, independentemente de quem seja o propriet�rio, a utiliza��o de quaisquer
equipamentos de processamento de informa��es fora das depend�ncias da organiza��o
seja autorizada pela ger�ncia.
b)
sejam observadas a qualquer tempo as instru��es do fabricante para a prote��o do
equipamento, por exemplo, prote��o contra a exposi��o a campos eletromagn�ticos
intensos;
c)
sejam estabelecidos limites de tempo para a retirada de equipamentos do local, e a
devolu��o seja controlada;
Informa��es adicionais
Podem ser feitas inspe��es aleat�rias para detectar a retirada n�o autorizada de
bens e a exist�ncia de equipamentos de grava��o n�o autorizados, armas etc., e
impedir sua entrada no local. Conv�m que tais inspe��es aleat�rias
sejam feitas de
acordo com a legisla��o e as normas aplic�veis. Conv�m que as pessoas sejam
avisadas da realiza��o das inspe��es, e elas s� podem ser feitas com a devida
autoriza��o, levando em conta as exig�ncias legais e regulamentares.
e)
dados para contatos de suporte para o caso de eventos operacionais inesperados ou
dificuldades t�cnicas;
f)
instru��es especiais quanto ao manuseio e sa�da de m�dias, tais como o uso de
formul�rios especiais ou o gerenciamento de sa�das confidenciais, incluindo
procedimentos para o descarte seguro de resultados provenientes de rotinas com
falhas (ver 10.7.2 e 10.7.3);
g)
procedimento para o rein�cio e recupera��o em caso de falha do sistema;
h)
gerenciamento de trilhas de auditoria e informa��es de registros (/og) de sistemas
(ver 10.10).
b)
planejamento e testes das mudan�as;
c)
avalia��o de impactos potenciais, incluindo impactos de seguran�a, de tais
mudan�as;
d)
procedimento formal de aprova��o das mudan�as propostas;
e)
comunica��o dos detalhes das mudan�as para todas as pessoas envolvidas;
f)
procedimentos de recupera��o, incluindo procedimentos e responsabilidades pela
interrup��o e recupera��o de mudan�as em caso de insucesso ou na ocorr�ncia de
eventos inesperados.
b)
software em desenvolvimento e o software em produ��o sejam, sempre que poss�vel,
executados em diferentes sistemas ou processadores e em diferentes dom�nios ou
diret�rios;
c)
os compiladores, editores e outras ferramentas de desenvolvimento ou utilit�rios de
sistemas n�o sejam acess�veis a partir de sistemas operacionais, quando n�o for
necess�rio;
d)
os ambientes de testes emulem o ambiente de produ��o o mais pr�ximo poss�vel;
e)
os usu�rios tenham diferentes perfis para sistemas em testes e em produ��o, e que
os menus mostrem mensagens apropriadas de identifica��o para reduzir o risco de
erro;
f)
os dados sens�veis n�o sejam copiados para os ambientes de testes (ver 12.4.2).
b)
analisar criticamente os relat�rios de servi�os produzidos por terceiros e
agendamento de reuni�es de progresso conforme requerido pelos acordos;
c)
fornecer informa��es acerca de incidentes de seguran�a da informa��o e an�lise
cr�tica de tais informa��es tanto pelo terceiro quanto pela organiza��o, como
requerido pelos acordos e porquaisquer procedimentos e diretrizes que os ap�iem;
d)
analisar criticamente as trilhas de auditoria do terceiro e registros de eventos de
seguran�a, problemas operacionais, falhas, investiga��o de falhas e interrup��es
relativas ao servi�o entregue;
e)
resolver e gerenciar quaisquer problemas identificados.
Conv�m que a responsabilidade do gerenciamento de relacionamento com o terceiro
seja atribu�da a um indiv�duo designado
ou equipe de gerenciamento de servi�o. Adicionalmente,
conv�m que a organiza��ogaranta que o terceiro atribua responsabilidades pela
verifica��o de conformidade e refor�o aos requisitos dos acordos. Conv�m que
habilidades t�cnicas suficientes e recursos sejam disponibilizados para monitorar
se os requisitos dos acordos (ver 6.2.3a), em particular os requisitos de seguran�a
da informa��o, est�o sendo atendidos. Conv�m que a��es apropriadas sejam tomadas
quando defici�ncias na entrega dos servi�os forem observadas.
Conv�m que proje��es de requisitos de capacidade futura sejam feitas para reduzir o
risco de sobrecarga dos sistemas.
Conv�m que os requisitos operacionais dos novos sistemas sejam estabelecidos,
documentados e testados antes da sua aceita��o e uso.
c)
prepara��o e teste de procedimentos operacionais de rotina, com base em normas
definidas;
d)
concord�ncia sobre o conjunto de controles de seguran�a utilizados;
e)
procedimentos manuais eficazes;
f)
requisitos de continuidade dos neg�cios (ver 14a.1 );
h)
evid�ncia de que tenha sido considerado o impacto do novo sistema na seguran�a da
organiza��ocomo um todo;
i)
treinamento na opera��o ou uso de novos sistemas;
j)
b)
estabelecer uma pol�tica formal para prote��o contra os riscos associados com a
importa��o de arquivos e softwares, seja de redes externas, ou por qualquer outro
meio, indicando quais medidas preventivas devem ser adotadas;
c)
conduzir an�lises cr�ticas regulares dos softwares e dados dos sistemas que
suportam processos cr�ticos de neg�cio; conv�m que a presen�a de quaisquer arquivos
n�o aprovados ou atualiza��o n�o autorizada seja formalmente investigada;
e)
definir procedimentos de gerenciamento e respectivas responsabilidades para tratar
da prote��o de c�digo malicioso nos sistemas, treinamento nesses procedimentos,
reporte e recupera��o de ataques de c�digos maliciosos (ver 13.1 e 13.2);
f)
preparar planos de continuidade do neg�cio adequados para a recupera��o em caso de
ataques por c�digos maliciosos, incluindo todos os procedimentos necess�rios para a
c�pia e recupera��o dos dados e softwares (ver se��o 14);
g)
implementar procedimentos para regularmente coletar informa��es, tais como,
assinaturas de listas de discuss�o e visitas a sites informativos sobre novos
c�digos maliciosos;
c)
bloquear o recebimento de c�digos m�veis;
d} ativar medidas t�cnicas dispon�veis nos sistemas espec�ficos para garantir que o
c�digo m�vel esteja sendo administrado;
e)
controlar os recursos dispon�veis para acesso ao c�digo m�vel;
f)
estabelecer controles criptogr�ficos de autentica��o exclusiva do c�digo m�vel.
e)
deve ser dado um n�vel apropriado de prote��o f�sica e ambiental das informa��es
das c�pias de seguran�a (ver se��o 9), consistente com as normas aplicadas na
instala��o principal; os controles aplicados �s m�dias na instala��o principal
sejam usados
no local das c�pias de seguran�a;
f)
as m�dias de c�pias de seguran�a sejam testadas regularmente para garantir que elas
s�o suficientemente confi�veis para uso de emerg�ncia, quando necess�rio;
g) os
a garantir que estes s�o efetivos e que podem ser conclu�dos dentro dos prazos
definidos nos procedimentos operacionais de recupera��o;
h)
em situa��es onde a confidencialidade � importante, c�pias de seguran�a sejam
protegidas atrav�s de encripta��o.
b)
as responsabilidades e procedimentos sobre o gerenciamento de equipamentos remotos,
incluindo equipamentos em �reas de usu�rios, sejam estabelecidos;
c)
os controles especiais sejam estabelecidos para prote��o da confidencialidade e
integridade dos dados trafegando sobre redes p�blicas ou sobre as redes sem fio
(wireless) e para proteger os sistemas e aplica��es a elas conectadas (ver 11.4 e
12.3); controles especiais podem tamb�m ser requeridos para manter a
disponibilidade dos servi�os de rede e computadores conectados;
Informa��es adicionais
Informa��es adicionais sobre seguran�a
de redes
podem ser encontradas na ISO/IEC 18028, lnformation technology -Security techniques
-IT network security.
�ABNT 2005 -Todos os direitos reservados
10.6.2 Seguran�a dos servi�os de rede
Controle Conv�mque as caracter�sticas de seguran�a, n�veis de servi�o e requisitos
de gerenciamento dos servi�os de rede sejam identificados e inclu�dos em qualquer
acordo de servi�os de rede, tanto para servi�os de rede providos internamente ou
terceirizados.
Diretrizes para implementa��o Conv�m que a capacidade do provedor dos servi�os de
rede de gerenciar os servi�os acordados de maneira segura seja determinada e
monitorada regularmente, bem como que o direito de audit�-los seja acordado.
Conv�m que as defini��es de seguran�a necess�rias para servi�os espec�ficos, como
caracter�sticas de seguran�a, n�veis de servi�o e requisitos de gerenciamento,
sejam identificadas. Conv�m que a organiza��o assegure que os provedores dos
servi�os de rede implementam estas medidas.
Informa��es adicionais Servi�os de rede incluem o fornecimento de conex�es,
servi�os de rede privados, redes de valor agregado e solu��es de seguran�a de rede
gerenciadas como firewa/1s e sistemas de detec��o de intrusos. Estes servi�os podem
abranger desde o simples fornecimento de banda de rede n�o gerenciada at� complexas
ofertas de solu��es de valor agregado.
Funcionalidades de seguran�a de servi�os de rede podem ser:
a) tecnologias aplicadas para seguran�a de servi�os de redes como autentica��o,
encripta��o e controles de conex�es de rede;
b} par�metro t�cnico requerido para uma conex�o segura com os servi�os de rede de
acordo com a seguran�a e regras de conex�o de redes;
c) procedimentos para o uso de servi�os de rede para restringir o acesso a servi�os
de rede ou aplica��es, onde for necess�rio.
1 O. 7 Manuseio de m�dias
Diretrizes paraimplementa��o
Conv�m que as seguintes diretrizes para o gerenciamento de m�dias remov�veis sejam
consideradas:
a) quando n�o for mais necess�rio, o conte�do de qualquer meio magn�tico
reutiliz�vel seja destru�do, caso venha a ser retirado da organiza��o;
b) quando necess�rio e pr�tico, seja requerida a autoriza��o para remo��o de
qualquer m�dia da organiza��o e mantido o registro dessa remo��o como trilha de
auditoria;
c) toda m�dia seja guardada de forma segura em um ambiente protegido, de acordo com
as especifica��es do fabricante;
d} informa��es armazenadas em m�dias que precisam estar dispon�veis por muito tempo
(em conformidade com as especifica��es dos fabricantes) sejam tamb�m armazenadas em
outro local para evitar perda de informa��es devido � deteriora��o das m�dias;
e)
as m�dias remov�veis sejam registradas para limitar a oportunidade de perda de
dados;
f)
as unidades de m�dias remov�veis estejam habilitadas somente se houver uma
necessidade do neg�cio.
b)
procedimentos sejam implementados para identificar os itens que requerem descarte
seguro;
pode ser mais f�cil implementar a coleta e descarte seguro de todas as m�dias a
serem inutilizadas do que tentar separar apenas aquelas contendo informa��es
sens�veis;
d)
muitas organiza��es oferecem servi�os de coleta e descarte de papel, de
equipamentos e de m�dias magn�ticas; conv�m que se tenha o cuidado na sele��o de um
fornecedor com experi�ncia e controles adequados;
e)
descarte de itens sens�veis seja registrado em controles sempre que poss�vel para
se manter uma trilha de auditoria.
b)
restri��es de acesso para prevenir o acesso de pessoas n�o autorizadas;
c)
manuten��o de um registro formal dos destinat�rios de dados autorizados;
d)
garantia de que a entrada de dados seja completa, de que o processamento esteja
devidamente conclu�do e de que a valida��o das sa�das seja aplicada;
e)
prote��o dos dados preparados para expedi��o ou impress�o de forma consistente com
a sua criticidade;
g)
manuten��o da distribui��o de dados no menor n�vel poss�vel;
h)
identifica��o eficaz de todas as c�pias das m�dias, para chamar a aten��o dos
destinat�rios autorizados;
i)
an�lise cr�tica das listas de distribui��o e das listas de destinat�rios
autorizados em intervalos regulares.
b)
procedimentos para detec��o e prote��o contra c�digo malicioso que pode ser
transmitido atrav�s do uso de recursos eletr�nicos de comunica��o (ver 10.4.1 );
c)
procedimentos para prote��o de informa��es eletr�nicas sens�veis que sejam
transmitidas na forma de anexos;
d)
pol�tica ou diretrizes que especifiquem o uso aceit�vel dos recursos eletr�nicos de
comunica��o (ver 7.1e.3);
e)
procedimentos para o uso de comunica��o sem fio (wireless), levando em conta os
riscos particulares envolvidos;
h)
diretrizes de reten��o e descarte para toda a correspond�ncia de neg�cios,
incluindo mensagens, de acordo com regulamenta��es e legisla��o locais e nacionais
relevantes;
i)
n�o deixar informa��es cr�ticas ou sens�veis em equipamentos de impress�o, tais
como copiadoras, impressoras e aparelhos de fax, de tal forma que pessoas n�o
autorizadas tenham acesso a elas;
j) controles e restri��es associados � retransmiss�o
em recursos de comunica��o como, por exemplo, a retransmiss�o autom�tica de
correios eletr�nicos para endere�os externos;
k)
lembrar �s pessoas que elas devem tomar precau��es adequadas como, por exemplo, n�o
revelar informa��es sens�veis, para evitar que sejam escutadas ou interceptadas
durante uma liga��o telef�nica por:
1)
n�o deixar mensagens contendo informa��es sens�veis em secret�rias eletr�nicas, uma
vez que as mensagens podem ser reproduzidas por pessoas n�o autorizadas, gravadas
em sistemas p�blicos ou gravadas indevidamente por erro de discagem;
m)
lembrar as pessoas sobre os problemas do uso de aparelhos de fax, tais como:
n)
lembrar as pessoas para que evitem o armazenamento de dados pessoais, como
endere�os de correios eletr�nicos ou informa��es adicionais particulares, em
qualquer software, impedindo que sejam capturados para uso n�o autorizado;
o)
lembrar as pessoas sobre a exist�ncia de aparelhos de fax e copiadoras que t�m
dispositivos de armazenamento tempor�rio de p�ginas para o caso de falha no papel
ou na transmiss�o, as quais ser�o impressas ap�s a corre��o da falha.
Adicionalmente, conv�m que as pessoas sejam lembradas de que n�o devem manter
conversas confidenciais em locais p�blicos, escrit�rios abertos ou locais de
reuni�o que n�o disponham de paredes � prova de som.
Conv�m que os recursos utilizados para a troca de informa��es estejam de acordo com
os requisitos legais pertinentes (ver se��o 15).
Informa��es adicionais A troca de informa��es pode ocorrer atrav�s do uso de v�rios
tipos diferentes de recursos de comunica��o, incluindo correios eletr�nicos, voz,
fax e v�deo.
A troca de softwares pode ocorrer de diferentes formas, incluindo a baixa
(download) da internet ou a aquisi��o junto a fornecedores que vendem produtos em
s�rie.
Conv�m que sejam consideradas
as poss�veis implica��es nos neg�cios, nos aspectos legais e na seguran�a,
relacionadas com a troca eletr�nica de dados, com o com�rcio eletr�nico,
comunica��o eletr�nica e com os requisitos para controles.
As informa��es podem ser comprometidas devido � falta de conscientiza��o, de
pol�ticas ou de procedimentos no uso de recursos de troca de informa��es, como, por
exemplo, a escuta de conversas ao telefone celular em locais p�blicos, erro de
endere�amento de mensagens de correio eletr�nico, escuta n�o autorizada de
mensagens gravadas em secret�rias eletr�nicas, acesso n�o autorizado a sistemas de
correio de voz ou o envio acidental de faxes para aparelhos errados.
b)
procedimentos para notificar o emissor da transmiss�o, expedi��o e recep��o;
c)
procedimentos para assegurar a rastreabilidade dos eventos e o n�o-rep�dio;
d)
padr�es t�cnicos m�nimos para embalagem e transmiss�o;
e)
acordos para procedimentos de cust�dia;
f)
normas para identifica��o de portadores;
g)
responsabilidades e obriga��es na ocorr�ncia de incidentes de seguran�a da
informa��o, como perda de dados;
h)
utiliza��o de um sistema acordado de identifica��o para informa��es cr�ticas e
sens�veis, garantindo que o significado dos r�tulos seja imediatamente entendido e
que a informa��o esteja devidamente protegida;
i)
propriedade e responsabilidades sobre a prote��o dos dados, direitos de
propriedade, conformidade com as licen�as dos softwares e considera��es afins (ver
15.1.2 e 15.1 .4 );
j)
normas t�cnicas para a grava��o e leitura de informa��es e softwares;
k)
quaisquer controles especiais que possam ser necess�rios para prote��o de itens
sens�veis, tais como chaves criptogr�ficas (ver 12.3).
Diretrizes
para implementa��o
Conv�m
que as seguintes recomenda��es sejam consideradas, para proteger as m�dias que s�o
transportadas entre localidades:
a)
meio de transporte ou o servi�o de mensageiros sejam confi�veis;
b)
seja definida uma rela��o de portadores autorizados em concord�ncia com o gestor;
c)
sejam estabelecidos procedimentos para a verifica��o da identifica��o dos
transportadores;
d)
a embalagem seja suficiente para proteger o conte�do contra qualquer dano f�sico,
como os que podem ocorrer durante o transporte, e que seja feita de acordo com as
especifica��es dos fabricantes (como no caso de softwares), por exemplo, protegendo
contra fatores ambientais que possam reduzir a possibilidade de restaura��o dos
dados como a exposi��o ao calor, umidade ou camposeletromagn�ticos;
e)
sejam adotados controles, onde necess�rio, para proteger informa��es sens�veis
contra divulga��o n�o autorizada ou modifica��o; como exemplo, pode-se incluir o
seguinte:
1) utiliza��o de recipientes lacrados;
2) entrega em m�os;
3) lacre expl�cito de pacotes (que revele qualquer tentativa de acesso);
4) em casos excepcionais, divis�o do conte�do em mais de uma remessa e expedi��o
por rotas distintas.
Informa��es
adicionais
As
informa��es podem estar vulner�veis a acesso n�o autorizado, uso impr�prio ou
altera��o indevida durante
o transporte f�sico, por exemplo quando a m�dia � enviada por via postal ou sistema
de mensageiros.
Diretrizes
para implementa��o
Conv�m
que as considera��es de seguran�a da informa��o sobre as mensagens eletr�nicas
incluam o seguinte:
a)
prote��o das mensagens contra acesso n�o autorizado, modifica��o ou nega��o de
servi�o;
d)
exclus�o de categorias de informa��es sens�veis e documentos confidenciais, caso o
sistema n�o forne�a o n�vel de prote��o apropriado (ver 7.2);
e)
restri��o do acesso a informa��es de trabalho relacionado com indiv�duos
espec�ficos, como, por exemplo, um grupo que trabalha com projetos sens�veis;
f)
categorias de pessoas, fornecedores ou parceiros nos neg�cios autorizados a usar o
sistema e as localidades a partir das quais pode-se obter acesso ao sistema (ver
6.2 e 6.3);
g)
restri��o aos recursos selecionados para categorias espec�ficas de usu�rios;
h)
identifica��o da condi��o do usu�rio, como, por exemplo,funcion�rios da organiza��o
ou fornecedores na lista de cat�logo de usu�rios em benef�cio de outros usu�rios;
i)
reten��o e c�pias de seguran�a das informa��es mantidas no sistema (ver 10.5.1 );
j)
requisitos e procedimentos para recupera��o e conting�ncia (ver se��o 14).
g)
a confidencialidade e integridade de quaisquer transa��es de pedidos, informa��es
de pagamento, detalhes de endere�o de entrega e confirma��es de recebimentos;
h)
grau de investiga��o apropriado para a verifica��o de informa��es de pagamento
fornecidas por um cliente;
j)
sele��o das formas mais apropriadas de pagamento para prote��o contra fraudes;
n�vel de prote��o requerida para manter a confidencialidade e integridade das
informa��es de pedidos;
k)
preven��o contra perda ou duplica��o de informa��o de transa��o;
1)
responsabilidades associados com quaisquer transa��es fraudulentas;
m)
requisitos de seguro.
Muitas das considera��es acima podem ser endere�adas pela aplica��o de controles
criptogr�ficos (ver 12.3), levando-se em conta a conformidade com os requisitos
legais (ver 15.1, especialmente 15.1.6 para legisla��o sobre criptografia).
b)
todos os aspectos da transa��o, ou seja, garantindo que:
1
) credenciais de usu�rio para todas as partes s�o v�lidas e verificadas;
2)
a transa��o permane�a confidencial; e
3)
a privacidade de todas as partes envolvidas seja mantida;
c)
caminho de comunica��o entre todas as partes envolvidas � criptografado;
d)
protocolos usados para comunica��es entre todas as partes envolvidas � seguro;
e)
garantir que o armazenamento dos detalhes da transa��o est� localizado fora de
qualquer ambiente publicamente acess�vel, como por exemplo, numa plataforma de
armazenamento na intranet da organiza��o, e n�o retida e exposta em um dispositivo
de armazenamento diretamente acess�vel pela internet;
f) onde uma autoridade confi�vel � utilizada (como, por exemplo, para prop�sitos de
emIssao e manuten��o de assinaturas e/ou certificados digitais), seguran�a �
integrada a todo o processo de gerenciamento de certificados/assinaturas.
b)
informa��es que sejam entradas e processadas por um sistema de publica��o sejam
processadas completa e corretamente em um tempo adequado;
d)
acesso a sistemas de publica��o n�o permita acesso n�o intencional a redes �s quais
tal sistema est� conectado.
Informa��es adicionais
Informa��es em sistemas publicamente dispon�veis, como, por exemplo, informa��es em
servidores web acess�veis por meio da internet, podem necessitar estar de acordo
com leis, regras e regulamenta��es na jurisdi��o em que o sistema est� localizado,
onde a transa��o est� ocorrendo ou onde o propriet�rio reside. Modifica��es n�o
autorizadas de informa��es publicadas podem trazer preju�zos � reputa��o da
organiza��o
que a publica.
10.1 O Monitoramento
Objetivo: Detectar atividades n�o autorizadas de processamento da informa��o.
Conv�m que os sistemas sejam monitorados e
eventos de seguran�a
b)
datas, hor�rios e detalhes de eventos-chave, como, por exemplo, hor�rio de entrada
(/og-on) e sa�da (/og-off) no sistema;
c)
identidade do terminal ou, quando poss�vel, a sua localiza��o;
f)
altera��es na configura��o do sistema;
g)
uso de privil�gios;
h)
uso de aplica��es e utilit�rios do sistema;
i)
arquivos acessados e tipo de acesso;
j)
endere�os e protocolos de rede;
k)
alarmes provocados pelo sistema de controle de acesso;
1)
ativa��o e desativa��o dos sistemas de prote��o, tais como sistemas de antiv�rus e
sistemas de detec��o de intrusos.
Informa��es adicionais Os registros (/og) de auditoria podem conter dados pessoais
confidenciais e de intrusos. Conv�m que medidas apropriadas de prote��o de
privacidade sejam tomadas (ver 15.1.4 ). Quando poss�vel, conv�m que
administradores de sistemas n�o tenham permiss�o de exclus�o ou desativa��o dos
registros (/og) de suas pr�prias atividades (ver 10.e1.3).
e)
altera��es ou tentativas de altera��es nos controles e par�metros dos sistemas de
seguran�a.
Conv�m que a freq��ncia da an�lise cr�tica dos resultados das atividades de
monitaramento dependa dos riscos envolvidos. Conv�m que os seguintes fatores de
risco sejam
considerados:
a)
criticidade dos processos de aplica��o;
b)
valor, sensibilidade e criticidade da informa��o envolvida;
d)
extens�o da interconex�o dos sistemas (particularmente com redes p�blicas);
e)
desativa��o da grava��o dos registros (/ogs).
c)
capacidade de armazenamento da m�dia magn�tica do arquivo de registros (/og)
excedida, resultando em falhas no registro de eventos ou sobreposi��o do registro
de evento anterior.
Alguns registros (/og) de auditoria podem ser guardados como parte da pol�tica de
reten��o de registros ou devido aos requisitos para a coleta e reten��o de
evid�ncia (ver 13.2.3).
Informa��es adicionais Registros (/og) de sistema normalmente cont�m um grande
volume de informa��es e muitos dos quais n�o dizem respeito ao monitoramento da
seguran�a. Para ajudar a identificar eventos significativos para prop�sito de
monitoramento de seguran�a, conv�m que a c�pia autom�tica dos tipos de mensagens
para a execu��o de consulta seja considerada e/ou o uso de sistemas utilit�rios
adequados ou ferramentas de auditoria para realizar a racionaliza��o e investiga��o
do arquivo seja considerado.
Registros (/og) de sistema precisam ser protegidos, pois os dados podem ser
modificados e exclu�dos e suas ocorr�ncias podem causar falsa impress�o de
seguran�a.
b)
an�lise cr�tica das medidas corretivas para assegurar que os controles n�o foram
comprometidos e que a a��o tomada � completamente autorizada.
Conv�m que seja assegurado que o registro de erros esteja habilitado, caso essa
fun��o do sistema esteja dispon�vel.
Informa��es adicionais Registros de falhas e erros podem impactar o desempenho do
sistema. Conv�m que cada tipo de registro a ser coletado seja habilitado por
pessoas competentes e que o n�vel de registro requerido para cada sistema
individual seja determinado por uma an�lise/avalia��o de riscos, levando em
considera��o a degrada��o do desempenho do sistema.
11 Controle de acessos
11.1 Requisitos de neg�cio para controle de acesso
Objetivo: Controlar acesso � informa��o.
Conv�m que o acesso � informa��o, recursos de processamento das informa��es e
processos de neg�cios sejam controlados com base nos requisitos de neg�cio e
seguran�a da informa��o.
Conv�m que as regras de controle de acesso levem em considera��o as pol�ticas para
autoriza��o e dissemina��o da informa��o.
11.1.1 Pol�tica de controle de acesso
Controle Conv�m que a pol�tica de controle de acesso seja estabelecida documentada
e analisada criticamente, tomando-se como base os requisitos de acesso dos neg�cios
e seguran�a da informa��o.
Diretrizes para implementa��o Conv�m que as regras de controle de acesso e direitos
para cada usu�rio ou grupos de usu�rios sejam expressas claramente na pol�tica de
controle de acesso. Conv�m considerar os controles de acesso l�gico e f�sico (ver
se��o 9) de forma conjunta. Conv�m fornecer aos usu�rios e provedores de servi�os
uma declara��o n�tida dos requisitos do neg�cio a serem atendidos pelos controles
de acessos.
Conv�m que a pol�tica leve em considera��o os seguintes itens:
a)
requisitos de seguran�a de aplica��es de neg�cios individuais;
b)
identifica��o de todas as informa��es relacionadas �s aplica��es de neg�cios e os
riscos a que as informa��es est�o expostas;
c)
pol�tica para dissemina��o e autoriza��o da informa��o, por exemplo, o princ�pio
need to know e n�veis de seguran�a e a classifica��o das informa��es (ver 7.2);
d)
consist�ncia entre controle de acesso e pol�ticas de classifica��o da informa��o em
diferentes sistemas e redes;
e)
legisla��o pertinente e qualquer obriga��o contratual relativa � prote��o de acesso
para dados ou servi�os (ver 15.1 );
f)
perfis de acesso de usu�rio-padr�o para trabalhos comuns na organiza��o;
g)
administra��o de direitos de acesso em um ambiente distribu�do e conectado � rede
que reconhece todos os tipos de conex�es dispon�veis;
h)
segrega��o de fun��es para controle de acesso, por exemplo, pedido de acesso,
autoriza��o de acesso, administra��o de acesso;
i)
requisitos para autoriza��o formal de pedidos de acesso (ver 11.2.1 );
j)
requisitos para an�lise cr�tica peri�dica de controles de acesso (ver 11.2.4);
k)
remo��o de direitos de acesso (ver 8.3.3).
b)
estabelecer regra baseada na premissa "Tudo � proibido, a menos que expressamente
permitido" em lugar da regra mais fraca "Tudo � permitido, a menos que
expressamente proibido";
c)
mudan�as em r�tulos de informa��o (ver 7.2) que s�o iniciadas automaticamente
atrav�s de recursos de processamento da informa��o e os que iniciaram pela
pondera��o de um usu�rio;
e)
requerer aos usu�rios a assinatura de uma declara��o indicando que eles entendem as
condi��es de acesso;
f)
assegurar aos provedores de servi�os que n�o ser�o dados acessos at� que os
procedimentos de autoriza��o tenham sido conclu�dos;
g)
manter um registro formal de todas as pessoas registradas para usar o servi�o;
h)
remover imediatamente ou bloquear direitos de acesso de usu�rios que mudaram de
cargos ou fun��es, ou deixaram a organiza��o;
i)
verificar periodicamente e remover ou bloquear identificadores (1D) e contas de
usu�rio redundantes (ver 11.2.4 );
j)
assegurar que identificadores de usu�rio (1D de usu�rio) redundantes n�o sejam
atribu�dos para outros usu�rios.
b)
os privil�gios sejam concedidos a usu�rios conforme a necessidade de uso e com base
em eventos alinhados com a pol�tica de controle de acesso (ver 11.1.1 ), por
exemplo, requisitos m�nimos para sua fun��o somente quando necess�rio;
c) um processo de autoriza��o e
um registro de todos os
privil�gios concedidos sejam mantidos. Conv�m que os privil�gios n�o sejam
fornecidos at� que todo o processo de autoriza��o esteja finalizado;
O
uso inapropriado de privil�gios de administrador de sistemas (qualquer
caracter�stica ou recursos de sistemas de informa��o que habilitam usu�rios a
exceder o controle de sistemas ou aplica��es) pode ser um grande fator de
contribui��o para falhas ou viola��es de sistemas.
Diretrizes
para implementa��o
Conv�m
que o processo considere os seguintes requisitos:
a)
solicitar aos usu�rios a assinatura de uma declara��o, para manter a
confidencialidade de sua senha pessoal e das senhas de grupos de trabalho,
exclusivamente com os membros do grupo; esta declara��o assinada pode ser inclu�da
nos termos e condi��es da contrata��o (ver 8.1.3a);
b)
garantir, onde os usu�rios necessitam manter suas pr�prias senhas, que sejam
fornecidas inicialmente senhas seguras e tempor�rias (ver 11.3.1 ), o que obriga o
usu�rio a alter�-la imediatamente;
c)
estabelecer procedimentos para verificar a identidade de um usu�rio antes de
fornecer uma senha tempor�ria, de substitui��o ou nova;
d)
fornecer senhas tempor�rias aos usu�rios de maneira segura; conv�m que o uso de
mensagens de correio eletr�nico de terceiros ou desprotegido (texto claro) seja
evitado;
e)
senhas tempor�rias sejam �nicas para uma pessoa e n�o sejam f�ceis de serem
adivinhadas;
f)
usu�rios acusem o recebimento de senhas;
g)
as senhas nunca sejam armazenadas nos sistemas de um computador de forma
desprotegida;
h)
as senhas padr�o sejam alteradas logo ap�s a instala��o de sistemas ou so'ftware.
Informa��es
adicionais
Senhas
s�o um meio comum de verificar a identidade de um usu�rio antes que acessos sejam
concedidos a um sistema de informa��o ou servi�o de acordo com a autoriza��o do
usu�rio. Outras tecnologias para identifica��o de usu�rio e autentica��o, como
biom�trica, por exemplo, verifica��o de digitais, verifica��o de assinatura, e uso
de tokens, por exemplo, e cart�es inteligentes, est�o dispon�veis, e conv�m que
sejam consideradas, se apropriado.
Diretrizes
paraimplementa��o
Conv�m
que a an�lise cr�tica dos direitos de acesso considere as seguintes orienta��es:
b)
evitar manter anotadas senhas (por exemplo, papel, arquivos ou dispositivos
m�veis), a menos que elas possam ser armazenadas de forma segura e o m�todo de
armazenamento esteja aprovado;
c)
alterar senha sempre que existir qualquer indica��o de poss�vel comprometimento do
sistema ou da pr�pria senha;
d)
selecionar senhas de qualidade com um tamanho m�nimo que sejam:
1
) f�ceis de lembrar;
f)
modificar senhas tempor�rias no primeiro acesso ao sistema;
g)
n�o incluir senhas em nenhum processo autom�tico de acesso ao sistema, por exemplo,
armazenadas em um macro ou fun��es-chave;
h)
n�o compartilhar senhas de usu�rios individuais;
i)
n�o utilizar a mesma senha para uso com finalidades profissionais e pessoais.
b)
efetuar a desconex�o com o computador de grande porte, servidores e computadores
pessoais do escrit�rio, quando a sess�o for finalizada (por exemplo: n�o apenas
desligar a tela do computador ou o terminal);
c)
proteger os microcomputadores ou terminais contra uso n�o autorizado atrav�s de
tecla de bloqueio ou outro controle equivalente, por exemplo, senha de acesso,
quando n�o estiver em uso (ver 11e.3.3).
Diretrizes paraimplementa��oConv�m que uma pol�tica de mesa limpa e tela limpa leve
em considera��o a classifica��o da informa��o (ver 7 .2), requisitos contratuais e
legais (ver 15.1 ), e o risco correspondente e aspectos culturais da organiza��o.
Conv�m que as seguintes diretrizes sejam consideradas:
a) informa��es do neg�cio sens�veis ou cr�ticas, por exemplo, em papel ou em m�dia
de armazenamento eletr�nicas, sejam guardadas em lugar seguro (idealmente em um
cofre, arm�rio ou outras formas de mob�lia de seguran�a) quando n�o em uso,
especialmente quando o escrit�rio est� desocupado;
�ABNT 2005 -Todos os direitos reservados
c)
controle de acesso compuls�rio de usu�rios aos servi�os de informa��o.
b)
procedimentos de autoriza��o para determinar quem tem permiss�o para acessar em
quais redes e servi�os de redes;
c)
procedimentos e controles de gerenciamento para proteger acesso a conex�es e
servi�os de redes;
d) os meios usados para acessar redes e servi�os de rede (por exemplo, as condi��es
por permitir acesso discado para acessar o provedor de servi�o internet ou sistema
remoto).
Conv�m que a pol�tica no uso de servi�os de rede seja consistente com a pol�tica de
controle de acesso do neg�cio (ver 11.1 ).
Tal per�metro de rede pode ser implementado instalando um gateway seguro entre as
duas redes a serem interconectadas para controlar o acesso e o fluxo de informa��o
entre os dois dom�nios. Conv�m que este gateway seja configurado para filtrar
tr�fico entre estes dom�nios (ver 11.4.6 e 11 .4.7) e bloquear acesso n�o
autorizado conforme a pol�tica de controle de acesso da organiza��o (ver 11.1 ). Um
exemplo deste tipo de gateway � o que geralmente � chamado de firewa/1. Outro
m�todo de segregar dom�nios l�gicos � restringir acesso de rede usando redes
privadas virtuais para grupos de usu�rio dentro da organiza��o.
Podem tamb�m ser segregadas redes usando a funcionalidade de dispositivo de rede,
por exemplo, IP switching. Os dom�nios separados podem ser implementados
controlando os fluxos de dados de rede, usando as capacidades de
roteamento/chaveamento (routinglswitching), do mesmo modo que listas de controle de
acesso.
Conv�m que crit�rios para segrega��o de redes em dom�nios estejam baseados na
pol�tica de controle de acesso e requisitos de acesso (ver 10.1 ), e tamb�m levem
em conta os custos relativos e impactos de desempenho em incorporar roteamento
adequado � rede ou tecnologia de gateway (ver 11.4.6 e 11.4. 7).
Al�m disso, conv�m que segrega��o de redes esteja baseada no valor e classifica��o
de informa��es armazenadas ou processadas na rede, n�veis de confian�a ou linhas de
neg�cio para reduzir o impacto total de
uma interrup��o de servi�o.
Conv�m considerar � segrega��o de redes sem fios de redes internas e privadas. Como
os per�metros de redes sem fios n�o s�o bem definidos, conv�m que uma
an�lise/avalia��o de riscos seja realizada em tais casos para identificar os
controles (por exemplo, autentica��o forte, m�todos criptogr�ficos e sele��o de
freq��ncia) para manter segrega��o de rede.
Informa��es adicionais As redes est�o sendo progressivamente estendidas al�m dos
limites organizacionais tradicionais, tendo em vista as parcerias de neg�cio que
s�o formadas e que podem requerer a interconex�o ou compartilhamento de
processamento de informa��o e recursos de rede. Tais extens�es podem aumentar o
risco de acesso n�o autorizado a sistemas de informa��o existentes que usam a rede
e alguns dos quais podem requerer prote��o de outros usu�rios de rede devido a
sensibilidade ou criticidade.
Conv�m que sejam considerados direitos de acesso entre redes para certo per�odo do
dia ou datas.
d)
disparo de alarmes quando as pol�ticas de seguran�a do sistema s�o violadas;
e)
fornecer meios apropriados de autentica��o;
f)
restri��o do tempo de conex�o dos usu�rios, quando apropriado.
11.5.1 Procedimentos seguros de entrada no sistema (/og-on)
b)
mostre um aviso geral informando que o computador seja acessado somente por
usu�rios autorizados;
c)
n�o forne�a mensagens de ajuda durante o procedimento de entrada (log-on) que
poderiam auxiliar um usu�rio n�o autorizado;
d)
valide informa��es de entrada no sistema somente quando todos os dados de entrada
estiverem completos. Caso ocorra uma condi��o de erro, conv�m que o sistema n�o
indique qual parte do dado de entrada est� correta ou incorreta;
e)
limite o n�mero permitido de tentativas de entradas no sistema (log-on) sem
sucesso, por exemplo, tr�s tentativas, e considere:
f)
limite o tempo m�ximo e m�nimo permitido para o procedimento de entrada no sistema
(/og-on). Se excedido, conv�m que o sistema encerre o procedimento;
g)
mostre as seguintes informa��es, quando o procedimento de entrada no sistema (/og-
on) finalizar com sucesso:
i)
n�o transmita senhas em texto claro pela rede.
Informa��es adicionais As senhas (ver 11.3.1 e 11.5.3) s�o uma maneira muito comum
de se prover identifica��o e autentica��o com base em um segredo que apenas o
usu�rio conhece. O mesmo pode ser obtido com meios criptogr�ficos e protocolos de
autentica��o. Conv�m que a for�a da identifica��o e autentica��o de usu�rio seja
adequada com a sensibilidade da informa��o a ser acessada.
Objetos como tokens de mem�ria ou cart�es inteligentes (smart carc/) que os
usu�rios possuem tamb�m podem ser usados para identifica��o e autentica��o. As
tecnologias de autentica��o biom�trica que usam caracter�sticas ou atributos �nicos
de um indiv�duo tamb�m podem ser usadas para autenticar a identidade de uma pessoa.
Uma combina��o de tecnologias e mecanismos seguramente relacionados resultar� em
uma autentica��o forte.
b)
permita que os usu�rios selecionem e modifiquem suas pr�prias senhas, incluindo um
procedimentode confirma��o para evitar erros;
c)
obrigue a escolha de senhas de qualidade (ver 11.3.1 );
d)
obrigue a troca de senhas (ver 11.3.1 );
e)
obrigue os usu�rios a trocar a senha tempor�ria no primeiro acesso (ver 11.2.3);
f)
mantenha um registro das senhas anteriores utilizadas e bloqueie a reutiliza��o;
g)
n�o mostre as senhas na tela quando forem digitadas;
h)
armazene os arquivos de senha separadamente dos dados do sistema da aplica��o;
b)
segrega��o dos utilit�rios de sistema dos so'ftwares de aplica��o;
c)
limita��o do uso dos utilit�rios de sistema a um n�mero m�nimo de usu�rios
confi�veis e autorizados (ver 11.2.2);
d)
autoriza��o para uso de utilit�rios de sistema n�o previstos;
e)
limita��o da disponibilidade dos utilit�rios de sistema, por exemplo para a dura��o
de uma modifica��o autorizada;
f)
registro de todo o uso de utilit�rios de sistemas;
g)
defini��o e documenta��o dos n�veis de autoriza��o para os utilit�rios de sistema;
h)
remo��o ou desabilita��o de todos os softwares utilit�rios e de sistema
desnecess�rios;
i)
n�o deixar utilit�rios de sistema dispon�veis para usu�rios que t�m acesso �s
aplica��es nos sistemas onde segrega��o de fun��es � requerida.
b)
proporcionem prote��o contra acesso n�o autorizado para qualquer software
utilit�rio, sistema operacional e software malicioso que seja capaz de sobrepor ou
contornar os controles da aplica��o ou do sistema;
c)
n�o comprometam outros sistemas com os quais os recursos de informa��o s�o
compartilhados.
b)
controlar os direitos de acesso dos usu�rios, por exemplo, ler, escrever, excluir e
executar;
c)
controlar os direitos de acesso de outras aplica��es;
d)
assegurar que as sa�das dos sistemas de aplica��o que tratam informa��es sens�veis
contenham apenas a informa��o relevante ao uso de tais sa�das e s�o enviadas apenas
para os terminais e locais autorizados; conv�m incluir uma an�lise cr�tica
peri�dica de tais sa�das, para assegurar que informa��o redundante seja removida.
Conv�m que prote��o adequada seja dada para o uso dos recursos de computa��o m�vel
conectados em rede. Conv�m que o acesso remoto �s informa��es do neg�cio atrav�s de
redes p�blicas, usando os recursos de computa��o m�vel, ocorra apenas ap�s o
sucesso da identifica��o e da autentica��o, e com os apropriados mecanismos de
controle de acesso implantados (ver 11.4).
Conv�m que os recursos de computa��o m�vel tamb�m estejam protegidos fisicamente
contra furto ou roubo, especialmente quando deixados, por exemplo, em carros ou em
outros meios de transporte, quartos de hot�is, centros de confer�ncia e locais de
reuni�o. Conv�m que esteja estabelecido um procedimento espec�fico que leve em
considera��o requisitos legais, securit�rios e outros requisitos de seguran�a da
organiza��o para casos de roubo ou perda de recursos de computa��o m�vel. Conv�m
que os equipamentos que cont�m informa��es importantes, sens�veis e/ou cr�ticas
para o neg�cio n�o sejam deixados sem observa��o e, quando poss�vel, estejam
fisicamente trancados, ou conv�m que travas especiais sejam utilizadas para
proteger o equipamento. (ver 9.2.5).
Conv�m que seja providenciado treinamento para os usu�rios de computa��o m�vel,
para aumentar o n�vel de conscientiza��o a respeito dos riscos adicionais
resultantes desta forma de trabalho e dos controles que devem ser implementados.
Informa��es adicionais As redes de conex�o sem fio s�o similares a outros tipos de
redes, mas possuem diferen�as importantes que conv�m que sejam consideradas quando
da identifica��o de controles. As diferen�as t�picas s�o:
a)
alguns protocolos de seguran�a de redes sem fio s�o imaturos e possuem fragilidades
conhecidas;
b)
pode n�o ser poss�vel efetuar c�pias de seguran�a das informa��es armazenadas em
computadores m�veis devido � largura de banda limitada e/ou devido ao equipamento
m�vel n�o estar conectado no momento em que as c�pias de seguran�a est�o
programadas.
11.7.2 Trabalho remoto
Controle Conv�m que uma pol�tica, planos operacionais e procedimentos sejam
desenvolvidos e implementados para atividades de trabalho remoto.
Diretrizes para implementa��o Conv�m que as organiza��es somente autorizem
atividades de trabalho remotas apenas se elas estiverem certas de que as
provid�ncias apropriadas e controles de seguran�a est�o implementados e que estes
est�o de acordo com a pol�tica de seguran�a da organiza��o.
Conv�m que a prote��o apropriada ao local do trabalho remoto seja implantada para
evitar, por exemplo, o furto ou roubo do equipamento e de informa��es, a divulga��o
n�o autorizada de informa��o, o acesso remoto n�o autorizado aos sistemas internos
da organiza��o ou mau uso de recursos. Conv�m que o trabalho remoto seja autorizado
e controlado pelo gestor e conv�m que sejam asseguradas as provid�ncias adequadas a
esta forma de trabalho.
Conv�m que os seguintes pontos sejam
considerados:
a) a seguran�a f�sica existente no local do trabalho remoto, levando-se em
considera��o a seguran�a f�sica do pr�dio e o ambiente local;
o ambiente f�sico proposto para o trabalho remoto;
os requisitos de seguran�a nas comunica��es, levando em considera��o a necessidade
do acesso remoto aos sistemas internos da organiza��o, a sensibilidade da
informa��o que ser� acessada e
lizam o
82 �ABNT 2005 -Todos os direitos reservados
e)
o uso de redes dom�sticas e requisitos ou restri��es na configura��o de servi�os de
rede sem fio;
f)
pol�ticas e procedimentos para evitar disputas relativas a direitos de propriedade
intelectual desenvolvidas em equipamentos de propriedade particular;
b)
uma defini��o do trabalho permitido, o per�odo de trabalho, a classifica��o da
informa��o que pode ser tratada e os sistemas internos e servi�os que o usu�rio do
trabalho remoto est� autorizado a acessar;
c)
a provis�o de equipamento de comunica��o apropriado, incluindo m�todos para acesso
remoto seguro;
d)
seguran�a f�sica;
e)
regras e diretrizes sobre o acesso de familiares e visitantes ao equipamento e �
informa��o;
f)
a provis�o de suporte e manuten��o de hardware e software;
g)
a provis�o de seguro;
h)
os procedimentos para c�pias de seguran�a e continuidade do neg�cio;
i)
auditoria e monitoramento da seguran�a;
j)
revoga��o de autoridade e direitos de acesso, e devolu��o do equipamento quando as
atividades de trabalho remoto cessarem.
Conv�m que requisitos de seguran�a e controles reflitam o valor para o neg�cio dos
ativos de informa��o envolvidos (ver 7.2), e os danos potenciais ao neg�cio que
poderiam resultar de uma falha ou aus�ncia de seguran�a.
Conv�m que os requisitos de sistemas para a seguran�a da informa��o, bem como os
processos para implement�-la sejam integrados aos est�gios iniciais dos projetos
dos sistemas de informa��o. Controles introduzidos no est�gio de projeto s�o
significativamente mais baratos para implementar e manter do que aqueles inclu�dos
durante ou ap�s a implementa��o.
Conv�m que, no caso de produtos comprados, um processo formal de aquisi��o e testes
seja seguido. Conv�m que contratos com fornecedores levem em considera��o os
requisitos de seguran�a identificados. Nas situa��es em que funcionalidades de
seguran�a de um produto proposto n�o satisfa�am requisitos especificados, conv�m
que o risco introduzido, assim como os controles associados, sejam reconsiderados
antes da compra do produto. Nas situa��es em que as funcionalidades adicionais
incorporadas acarretem riscos � seguran�a, conv�m que estas sejam desativadas ou a
estrutura de controles proposta seja analisada criticamente para determinar se h�
vantagem na utiliza��o das funcionalidades em quest�o.
1)
valores fora de faixa;
2)
caracteres inv�lidos em campos de dados;
3)
dados incompletos ou faltantes;
4)
volumes de dados excedendo limites superiores ou inferiores;
5)
dados de controle inconsistentes ou n�o autorizados;
b)
verifica��o peri�dica do conte�do de campos-chave ou arquivos de dados para
confirmar a sua validade e integridade;
c)
inspe��o de c�pias impressas de documentos de entrada para detectar quaisquer
altera��es n�o autorizadas (conv�m que todas as mudan�as em documentos de entrada
sejam autorizadas);
d)
procedimentos para tratar erros de valida��o;
e)
procedimentos para testar a plausibilidade dos dados de entrada;
f)
defini��o da responsabilidade de todo o pessoal envolvido no processo de entrada de
dados;
g)
cria��o de um registro de atividades envolvendo o processo de entrada de dados (ver
10.10.1).
b)
procedimentos para evitar que programas rodem na ordem errada ou continuem rodando
ap�s uma falha de processamento (ver 10.1.1 );
c)
o uso de programas apropriados para recupera��o de falhas, para assegurar o
processamento correto dos dados;
d)
prote��o contra ataques usando buffer overrun/overflow;
Conv�m que seja preparada uma lista de verifica��o apropriada, as atividades sejam
documentadas e os resultados sejam mantidos em seguran�a. Exemplos de verifica��es
que podem ser incorporadas incluem:
a)
controles de sess�es ou de lotes, para reconciliar saldos de arquivos ap�s as
atualiza��es de transa��es;
b)
controles de saldos, para verifica��o de saldos abertos comparando com saldos
previamenteencerrados o batimento de saldos de abertura contra saldos de
fechamento, utilizando:
1) controles run-to-run;
2) totaliza��es na atualiza��o de arquivos;
3) controles program-to-program;
c)
valida��o de dados de entrada gerados pelo sistema (ver 12.2.1);
d)
verifica��es de integridade, autenticidade ou qualquer outra caracter�stica de
seguran�a, de dados ou softwares transferidos, ou atualizados entre computadores
centrais e remotos;
e)
implementa��o de t�cnicas de consist�ncia (hash) para registros e arquivos;
f)
verifica��es para garantir que os programas sejam rodados no tempo correto;
Informa��es adicionais As t�cnicas criptogr�ficas (ver 12.3) podem ser usadas como
um meio apropriado para a implementa��o da autentica��o de mensagens.
12.2.4 Valida��o de dados de sa�da
Controle Conv�mque os dados de sa�da das aplica��es sejam validados para assegurar
que o processamento das informa��es armazenadas est� correto e � apropriado �s
circunst�ncias.
Diretrizes para implementa��o A valida��o de dados de sa�da pode incluir:
a)
verifica��es de plausibilidade para testar se os dados de sa�da s�o razo�veis;
b)
controles envolvendo contagens de reconcilia��o para garantir o processamento de
todos os dados;
c)
fornecimento de informa��o suficiente para que um leitor ou um sistema de
processamentosubseq�ente possa determinar a exatid�o, completeza, precis�o e
classifica��o das informa��es;
d)
procedimentos para responder aos testes de valida��o dos dados de sa�da;
e)
defini��o das responsabilidades de todo o pessoal envolvido no processo de dados de
sa�da;
f)
cria��o de um registro de atividades do processo de valida��o dos dados de sa�da.
Conv�m que uma pol�tica seja desenvolvida para o uso de controles criptogr�ficos.
Conv�m que o gerenciamento de chaves seja implementado para apoiar o uso de
t�cnicas criptogr�ficas.
c)
o uso de criptografia para a prote��o de informa��es sens�veis transportadas em
celulares e PDA, m�dias remov�veis ou m�veis, dispositivos ou linhas de
comunica��o;
d)
a abordagem do gerenciamento de chaves, incluindo m�todos para lidar com a prote��o
das chaves criptogr�ficas e a recupera��o de informa��es cifradas, no caso de
chaves perdidas, comprometidas ou danificadas;
e)
pap�is e responsabilidades, por exemplo, de quem for respons�vel:
f)
os padr�es a serem adotados para a efetiva implementa��o ao longo de toda a
organiza��o (qual solu��o � usada para quais processos de neg�cios);
g)
o impacto do uso de informa��es cifradas em controles que dependem da inspe��o de
conte�dos (por exemplo, detec��o de v�rus).
b)
integridade/autenticidade: usando assinaturas digitais ou c�digos de autentica��o
de mensagens(MAC) para proteger a autenticidade e integridade de informa��es
sens�veis ou cr�ticas, armazenadas ou transmitidas;
c)
n�o-rep�dio: usando t�cnicas de criptografia para obter prova da ocorr�ncia ou n�o
ocorr�ncia de um evento ou a��o.
Informa��es adicionais
b)
gerar e obter certificados de chaves p�blicas;
c)
distribuir chaves para os usu�rios devidos, incluindo a forma como as chaves devem
ser ativadas,quando recebidas;
f)
lidar com chaves comprometidas;
g)
revogar chaves, incluindo regras de como elas devem ser retiradas ou desativadas,
por exemplo quando chaves tiverem sido comprometidas ou quando um usu�rio deixa a
organiza��o (conv�m que, tamb�m neste caso, que as chaves sejam guardadas);
j)
destruir chaves;
k)
manter registro e auditoria das atividades relacionadas com o gerenciamento de
chaves.
b)
t�cnicas de chaves p�blicas, onde cada usu�rio possui um par de chaves; uma chave
p�blica (que pode ser revelada para qualquer um) e uma chave privada (que deve ser
mantida secreta); t�cnicas de chaves p�blicas podem ser utilizadas para cifrar e
para produzir assinaturas digitais (ver tamb�m 1SO/IEC 9796 e 1SO/IEC 14888).
Existe a amea�a de que seja forjada uma assinatura digital pela substitui��o da
chave p�blica do usu�rio. Este problema � resolvido pelo uso de um certificado de
chave p�blica.
T�cnicas criptogr�ficas podem ser tamb�m utilizadas para proteger chaves
criptogr�ficas. Pode ser necess�rio
o estabelecimento de procedimentos para a manipula��o de solicita��es legais para
acesso a chaves criptogr�ficas, por exemplo, informa��o cifrada pode ser requerida
em sua forma decifrada para uso como evid�ncia em um processo judicial.
f)
um registro de auditoria seja mantido para todas as atualiza��es das bibliotecas
dos programas operacionais;
g)
vers�es anteriores dos softwares aplicativos sejam mantidas como medida de
conting�ncia;
Conv�m que qualquer decis�o de atualiza��o para uma nova vers�o considere os
requisitos do neg�cio para a mudan�a e da seguran�a associada, por exemplo, a
introdu��o de uma nova funcionalidade de seguran�a ou a quantidade e a gravidade
dos problemas de seguran�a associados a esta vers�o. Conv�m que pacotes de
corre��es de software sejam aplicados quando puderem remover ou reduzir as
vulnerabilidades de seguran�a (ver 12.6.1 ).
Conv�m que acessos f�sicos e l�gicos sejam concedidos a fornecedores, quando
necess�rio, para a finalidade de suporte e com aprova��o gerencial. Conv�m que as
atividades do fornecedor sejam monitoradas.
Os softwares para computadores podem depender de outros softwares e m�dulos
fornecidos externamente, os quais conv�m ser monitorados e controlados para evitar
mudan�as n�o autorizadas, que podem introduzir fragilidades na seguran�a.
Informa��es adicionais Conv�m que sistemas operacionais sejam atualizados quando
existir um requisito para tal, por exemplo, se a vers�o atual do sistema
operacional n�o suportar mais os requisitos do neg�cio. Conv�m que as atualiza��es
n�o sejam efetivadas pela mera disponibilidade de uma vers�o nova do sistema
operacional. Novas vers�es de sistemas operacionais podem ser menos seguras, com
menor estabilidade, e ser menos entendidas do que os sistemas atuais.
b)
seja obtida autoriza��o cada vez que for utilizada uma c�pia da informa��o
operacional para uso de um aplicativo em teste;
d)
a c�pia e o uso de informa��o operacional sejam registrados de forma a prover uma
trilha para auditoria.
d)
a atualiza��o das bibliotecas de programa-fonte e itens associados e a entrega de
fontes de recebimento da autoriza��o pertinente;
e)
as listagens dos programas sejam mantidas num ambiente seguro (ver 10.7.4);
f)
g)
a garantia da atualiza��o da documenta��o do sistema ap�s conclus�o de cada mudan�a
e de que a documenta��o antiga seja arquivada ou descartada;
h)
a manuten��o de um controle de vers�o de todas as atualiza��es de softwares;
i)
a manuten��o de uma trilha para auditoria de todas as mudan�as solicitadas;
j)
a garantia de que toda a documenta��o operacional (ver 10.1.1) e procedimentos dos
usu�rios sejam alterados conforme necess�rio e que se mantenham apropriados;
k)
a garantia de que as mudan�as sejam implementadas em hor�rios apropriados, sem a
perturba��o dos processos de neg�cios cab�veis.
12.5.2 An�lise cr�tica t�cnica das aplica��es ap�s mudan�as no sistema operacional
Controle Conv�m que aplica��es cr�ticas de negocios
sejam analisadas criticamente e testadas quando sistemas operacionais s�o mudados,
para garantir que n�o haver� nenhum impacto adverso na opera��o da organiza��o ou
na seguran�a.
Diretrizes para implementa��o
Conv�m que o processo compreenda:
a)
uma an�lise cr�tica dos procedimentos de controle e integridade dos controles para
assegurar que n�o foram comprometidos pelas mudan�as no sistema operacional;
b)
a garantia de que o plano anual de suporte e o or�amento ir�o cobrir as an�lises e
testes do sistema devido �s mudan�as no sistema operacional;
c)
a garantia de que as mudan�as pretendidas sejam comunicadas em tempo h�bil para
permitir os testes e an�lises cr�ticas antes da implementa��o das mudan�as;
d)
a garantia de que as mudan�as necess�rias sejam executadas nos planos de
continuidade de neg�cios (ver se��o 1 4).
d)
o impacto resultante quando a organiza��o passa a ser respons�vel para a manuten��o
futura do software como resultado das mudan�as.
b)
o mascaramento e a modula��o do comportamento dos sistemas e das comunica��es para
reduzir a possibilidade de terceiros deduzirem informa��es a partir do
comportamento dos sistemas;
c)
a utiliza��o de sistemas e software reconhecidos como de alta integridade, por
exemplo utilizando produtos avaliados (ver ISO/IEC 15408);
Os covert channe/s s�o caminhos n�o previstos para conduzir fluxo de informa��es,
mas que no entanto podem existir num sistema ou rede. Por exemplo, a manipula��o de
bits no protocolo de pacotes de comunica��o poderia ser utilizada como um m�todo
oculto de sinaliza��o. Devido � sua natureza, seria dif�cil, se n�o imposs�vel,
precaver-se
contra a exist�ncia de todos os poss�veis covert channe/s. No entanto, a explora��o
destes canais freq�entemente � realizada por c�digo troiano (ver 10.4.1 ). A ado��o
de medidas de prote��o contra c�digo troiano reduz, conseq�entemente, o risco de
explora��o de covert channels.
�ABNT 2005 -Todos os direitos reservados
A precau��o contra acesso n�o autorizado � rede (ver 11.4 ), como tamb�m pol�ticas
e procedimentos para dissuadir o mau uso de servi�os de informa��o pelo pessoal
(ver 15.1.5), pode ajudar a proteger contra covert channe/s.
b)
certifica��o da qualidade e exatid�o do servi�o realizado;
c)
provis�es para cust�dia no caso de falha da terceira parte;
d)
direitos de acesso para auditorias de qualidade e exatid�o do servi�o realizado;
e)
requisitos contratuais para a qualidade e funcionalidade da seguran�a do c�digo;
f)
testes antes da instala��o para detectar a presen�a de c�digo malicioso e troiano.
12.6 Gest�o de vulnerabilidades t�cnicas
e)
dependendo da urg�ncia exigida para tratar uma vulnerabilidade t�cnica, conv�m que
a a��o tomada esteja de acordo com os controles relacionados com a gest�o de
mudan�as (ver 12.5.1) ou que sejam seguidos os procedimentos de resposta a
incidentes de seguran�a da informa��o (ver 13.2);
f)
se um patch for disponibilizado, conv�m que sejam avaliados os riscos associados �
sua instala��o (conv�m que os riscos associados � vulnerabilidade sejam comparados
com os riscos de instala��o do
patch);
g)
patches sejam testados e avaliados antes de serem instaladas para assegurar a
efetividade e que n�o tragam efeitos que n�o possam ser tolerados; quando n�o
existir a disponibilidade de um patch, conv�m considerar o uso de outros controles,
tais como:
1)
a desativa��o de servi�os ou potencialidades relacionadas � vulnerabilidade;
2)
a adapta��o ou agrega��o de controles de acesso, por exemplo firewalls nas
fronteiras da rede (ver 11.4.5);
3)
o aumento do monitoramento para detectar ou prevenir ataques reais;
4)
o aumento da conscientiza��o sobre a vulnerabilidade;
h)
seja mantido um registro de auditoria de todos os procedimentos realizados;
A gest�o de vulnerabilidades t�cnicas pode ser vista como uma subfun��o da gest�o
de mudan�as e, como tal, pode aproveitar os procedimentos e processos da gest�o de
mudan�as (ver 10.1e.2 e 12.5.1 ).
Os fornecedores est�o sempre sob grande press�o para liberar patches t�o logo
quanto poss�vel. Portanto, um patch pode n�o abordar o problema adequadamente e
pode causar efeitos colaterais negativos. Tamb�m, em alguns casos, a desinstala��o
de um patch pode n�o ser facilmente realiz�vel ap�s sua instala��o.
Quando testes adequados de patch n�o forem poss�veis, por exemplo, devido a custos
ou falta de recursos, um atraso no uso do patch pode ser considerado para avaliar
os riscos associados, baseado nas experi�ncias relatadas por outros usu�rios.
13 Gest�o de incidentes de seguran�a da informa��o
13.1 Notifica��o de fragilidades e eventos de seguran�a da informa��o
Objetivo: Assegurar que fragilidades e eventos de seguran�a da informa��o
associados com sistemas de informa��o sejam comunicados, permitindo a tomada de
a��o corretiva em tempo h�bil.
Conv�m que sejam estabelecidos procedimentos formais de registro e escalonamento.
Conv�m que todos os funcion�rios, fornecedores e terceiros estejam conscientes
sobre os procedimentos para notifica��o dos diferentes tipos de eventos e
fragilidades que possam ter impactos na seguran�a dos ativos da organiza��o. Conv�m
que seja requerido que os eventos de seguran�a da informa��o e fragilidades sejam
notificados, t�o logo quanto poss�vel, ao ponto de contato designado.
13.1.1 Notifica��o de eventos de seguran�a da informa��o
Controle Conv�m que os eventos de seguran�a da informa��o sejam relatados atrav�s
dos canais apropriados da dire��o, o mais rapidamente poss�vel.
Diretrizes para Implementa��o Conv�m que um procedimento de notifica��o formal seja
estabelecido para relatar os eventos de seguran�a da informa��o, junto com um
procedimento de resposta a incidente e escalonamento, estabelecendo a a��o a ser
tomada ao se receber a notifica��o de um evento de seguran�a da informa��o. Conv�m
que um ponto de contato seja estabelecido para receber as notifica��es dos eventos
de seguran�a da informa��o. Conv�m que este ponto de contato seja de conhecimento
de toda a organiza��o e esteja sempre dispon�vel e em condi��es de assegurar uma
resposta adequada e oportuna.
Conv�m que todos os funcion�rios, fornecedores e terceiros sejam alertados sobre
sua responsabilidade de notificar qualquer evento de seguran�a da informa��o o mais
rapidamente poss�vel. Conv�m que eles tamb�m estejam cientes do procedimento para
notificar os eventos de seguran�a da informa��o e do ponto de contato designado
para este fim. Conv�m que os procedimentos incluam:
processos adequados de realimenta��o para assegurar que os eventos de seguran�a da
informa��o relatados sejam notificados dos resultados ap�s a quest�o ter sido
conduzida e conclu�da;
b)
formul�rio para apoiar a a��o de notificar um evento de seguran�a da informa��o e
ajudar as pessoas a lembrar as a��es necess�rias para a notifica��o do evento;
c)
o comportamento correto a ser tomado no caso de um evento de seguran�a da
informa��o, como, por exemplo:
Em ambientes de alto risco, podem ser fornecidos alarmes de coa��o4 atrav�s do qual
a pessoa que est� sendo coagida possa sinalizar o que est� ocorrendo. Conv�m que os
procedimentos para responder a alarmes de coa��o reflitam o alto risco que a
situa��o exige.
4 Alarme de coa��o � um m�todo usado para indicar, de forma secreta, que uma a��o
est� acontecendo sob coa��o.
�ABNT 2005-Todos os direitos reservados
Informa��es adicionais Exemplos de eventos e incidentes de seguran�a da informa��o
s�o:
a)
perda de servi�o, equipamento ou recursos;
c)
erros humanos;
d)
n�o-conformidade com pol�ticas ou diretrizes;
e)
viola��es de procedimentos de seguran�a f�sica;
f)
mudan�as descontroladas de sistemas;
g)
mau funcionamento de software ou hardware;
h} viola��o de acesso.
Considerando os cuidados com os aspectos de confidencialidade, os incidentes de
seguran�a da informa��o podem ser utilizados em treinamento de conscientiza��o (ver
8.2.2) como exemplos do que poderia ocorrer, como responder a tais incidentes e
como evit�-los futuramente. Para ser capaz de destinar os eventos e incidentes de
seguran�a da informa��o adequadamente, pode ser necess�rio coletar evid�ncias t�o
logo quanto poss�vel depois da ocorr�ncia (ver 13.2.3).
Um mau funcionamento ou outras anomalias de comportamento de sistemas podem ser um
indicador de um ataque de seguran�a ou viola��o de seguran�a e, portanto, conv�m
que sempre sejam notificados como um evento de seguran�a da informa��o.
Mais informa��es sobre notifica��o de eventos de seguran�a da informa��o e gest�o
de incidentes de seguran�a da informa��o podem ser encontradas na 1S0/IEC TR 18044.
b)
al�m dos planos de conting�ncia (ver 14.1e.3), conv�m que os procedimentos tamb�m
considerem (ver 13.2.2):
1)
apenas funcion�rios explicitamente identificados e autorizados estejam liberados
para acessar sistemas e dados em produ��o (ver 6.2 para acesso externo);
2)
todas as a��es de emerg�ncia sejam documentadas em detalhe;
3)
as a��es de emerg�ncia sejam relatadas para a dire��o e analisadas criticamente de
maneira ordenada;
4)
a integridade dos sistemas do neg�cio e seus controles sejam validados na maior
brevidade.
b)
import�ncia da evid�ncia: qualidade e inteireza da evid�ncia.
Conv�m que qualquer trabalho forense seja somente realizado em copias do material
de evid�ncia. Conv�m que a integridade de todo material de evid�ncia seja
preservada. Conv�m que o processo de c�pia de todo material de evid�ncia seja
supervisionado por pessoas confi�veis e que as informa��es sobre a data,local,
pessoas, ferramentas e programas envolvidos no processo de c�pia sejam registradas.
b)
identifica��o de todos os ativos envolvidos em processos cr�ticos de neg�cio (ver 7
.1 .1 );
c)
entendimento do impacto que incidentes de seguran�a da informa��o provavelmente
ter�o sobre os neg�cios (� importante que as solu��es encontradas possam tratar
tanto os pequenos incidentes, como os mais s�rios, que poderiam colocar em risco a
continuidade da organiza��o) e estabelecimento dos objetivos do neg�cio dos
recursos de processamento da informa��o;
f)
identifica��o de recursos financeiros, organizacionais, t�cnicos e ambientais
suficientes para identificar os requisitos de seguran�a da informa��o;
g)
garantia da seguran�a de pessoal e prote��o de recursos de processamento das
informa��es e bens organizacionais;
h)
detalhamento e documenta��o de planos de continuidade de neg�cio que contemplem os
requisitos de seguran�a da informa��o alinhados com a estrat�gia da continuidade do
neg�cio estabelecida (ver 14.1.3);
i)
testes e atualiza��es regulares dos planos e processos implantados (ver 14.1.5);
j)
garantia de que a gest�o da continuidade do neg�cio esteja incorporada aos
processos e estrutura da organiza��o. Conv�m que a responsabilidade pela
coordena��o do processo de gest�o de continuidade de neg�cios seja atribu�da a um
n�vel adequado dentro da organiza��o (ver 6.1.1 ).
b)
identifica��o da perda aceit�vel de informa��es e servi�os;
c)
implementa��o dos procedimentos que permitam a recupera��o e restaura��o das
opera��es do neg�cio e da disponibilidade da informa��o nos prazos necess�rios;
aten��o especial precisa ser dada � avalia��o de depend�ncias externas ao neg�cio e
de contratos existentes;
f)
educa��o adequada de pessoas nos procedimentos e processos definidos, incluindo o
gerenciamento de crise;
g)
teste e atualiza��o dos planos.
Conv�m que cada plano tenha um gestor espec�fico. Conv�m que procedimentos de
emerg�ncia, de recupera��o, manual de planejamento e planos de reativa��o sejam de
responsabilidade dos gestores dos recursos de neg�cios ou dos processos envolvidos.
Conv�m que procedimentos de recupera��o para servi�os t�cnicos alternativos, como
processamento de informa��o e meios de comunica��o, sejam normalmente de
responsabilidade dos provedores de servi�os.
Conv�m que uma estrutura de planejamento para continuidade de neg�cios contemple os
requisitos de seguran�a da informa��o identificados e considere os seguintes itens:
a)
condi��es para ativa��o dos planos, os quais descrevem os processos a serem
seguidos (como se avaliar a situa��o, quem deve ser acionado etc.) antes de cada
plano ser ativado;
b)
procedimentos de emerg�ncia que descrevam as a��es a serem tomadas ap�s a
ocorr�ncia de um incidente que coloque em risco as opera��es do neg�cio;
e)
procedimentos de recupera��o que descrevam as a��es a serem adotadas quando do
restabelecimento das opera��es;
f)
uma programa��o de manuten��o que especifique quando e como o plano dever� ser
testado e a forma de se proceder � manuten��o deste plano;
g)
atividades de treinamento, conscientiza��o e educa��o com o prop�sito de criar o
entendimento do processo de continuidade de neg�cios e de assegurar que os
processos continuem a ser efetivo;
h)
designa��o das responsabilidades individuais, descrevendo quem � respons�vel pela
execu��o de que item do plano. Conv�m que suplentes sejam definidos quando
necess�rio;
i)
os ativos e recursos cr�ticos precisam estar aptos a desempenhar os procedimentos
de emerg�ncia, recupera��o e reativa��o.
b)
simula��es (particularmente �til para o treinamento do pessoal nas suas atividades
gerenciais ap�s o incidente);
c)
testes de recupera��o t�cnica (garantindo que os sistemas de informa��o possam ser
efetivamente recuperados);
d)
testes de recupera��o em um local alternativo (executando os processos de neg�cios
em paralelo com a recupera��o das opera��es distantes do local principal);
e)
testes dos recursos, servi�os e instala��es de fornecedores (assegurando que os
servi�os e produtos fornecidos por terceiros atendem aos requisitos contratados);
f)
ensaio geral (testando se a organiza��o, o pessoal, os equipamentos, os recursos e
os processos podem enfrentar interrup��es).
Estas t�cnicas podem ser utilizadas por qualquer organiza��o. Conv�m que elas
reflitam a natureza do plano de recupera��o espec�fico. Conv�m que os resultados
dos testes sejam registrados e a��es tomadas para a melhoria dos planos, onde
necess�rio.
Conv�m que a responsabilidade pelas an�lises cr�ticas peri�dicas de cada parte do
plano seja definida e estabelecida. Conv�m que a identifica��o de mudan�as nas
atividades do neg�cio que ainda n�o tenham sido contempladas nos planos de
continuidade de neg�cio seja seguida por uma apropriada atualiza��o do plano.
Conv�m que um controle formal de mudan�as assegure que os planos atualizados s�o
distribu�dos e refor�ados por an�lises cr�ticas peri�dicas do plano como um todo.
Os exemplos de mudan�as onde conv�m que a atualiza��o dos planos de continuidade do
neg�cio seja considerada s�o a aquisi��o de novos equipamentos, atualiza��o de
sistemas e mudan�as de:
a)
pessoal; endere�os ou n�meros telef�nicos;
c)
estrat�gia de neg�cio;
d)
localiza��o, instala��es e recursos;
e)
legisla��o;
f)
prestadores de servi�os, fornecedores e clientes-chave;
g)
processos (inclus�es e exclus�es);
h)
risco (operacional e financeiro).
15 Conformidade
15.1 Conformidade com requisitos legais
Objetivo: Evitar viola��es de quaisquer obriga��es legais, estatut�rias,
regulamentares ou contratuais, e de quaisquer requisitos de seguran�a da
informa��o.
O projeto, a opera��o, o uso e a gest�o de sistemas de informa��o podem estar
sujeitos a requisitos de seguran�a contratuais, regulamentares ou estatut�rios.
Conv�m que consultoria em requisitos legais espec�ficos seja procurada em
organiza��es de consultoria jur�dica ou em profissionais liberais, adequadamente
qualificados nos aspectos legais. Os requisitos legislativos variam de pa�s para
pa�s e tamb�m para a informa��o criada em um pa�s e transmitida para outro (isto �,
fluxo de dados transfronteira).
15.1.1 Identifica��o da legisla��o aplic�vel
Controle Conv�m que todos os requisitos estatut�rios, regulamentares e contratuais
pertinentes, e o enfoque da organiza��o para atender a esses requisitos, sejam
explicitamente definidos, documentados e mantidos atualizados para cada sistema de
informa��o da organiza��o
Diretrizes para implementa��o Conv�m que os controles espec�ficos e as
responsabilidades individuais para atender a estes requisitos sejam definidos e
documentados de forma similar.
b)
adquirir software somente por meio de fontes conhecidas e de reputa��o, para
assegurar que o direito autoral n�o est� sendo violado;
c)
manter conscientiza��o das pol�ticas para proteger os direitos de propriedade
intelectual e notificar a inten��o de tomar a��es disciplinares contra pessoas que
violarem essas pol�ticas;
e)
manter provas e evid�ncias da propriedade de licen�as, discos-mestre, manuais etc.;
f)
implementar controles para assegurar que o n�mero m�ximo de usu�rios permitidos n�o
excede o n�mero de licen�as adquiridas;
j)
utilizar ferramentas de auditoria apropriadas;
k)
cumprir termos e condi��es para software e informa��o obtidos a partir de redes
p�blicas;
1)
n�o duplicar, converter para outro formato ou extrair de registros comerciais
(filme, �udio) outros que n�o os permitidos pela lei de direito autoral;
m)
n�o copiar, no todo ou em partes, livros, artigos, relat�rios ou outros documentos,
al�m daqueles permitidos pela lei de direito autoral.
b)
elaborar uma programa��o para reten��o, identificando os registros essenciais e o
per�odo que cada um deve ser mantido;
c)
manter um invent�rio das fontes de informa��es-chave;
d)
implementar controles apropriados para proteger registros e informa��es contra
perda, destrui��o e falsifica��o.
Informa��es adicionais Alguns registros podem precisar ser retidos de forma segura
para atender a requisitos estatut�rios, contratuais ou regulamentares, assim como
para apoiar as atividades essenciais do neg�cio. Exemplo disso s�o os registros que
podem ser exigidos como evid�ncia de que uma organiza��o opera de acordo com as
regras estatut�rias e regulamentares, para assegurar a defesa adequada contra
potenciais processos civis ou criminais ou confirmar a situa��o financeira de uma
organiza��o perante os acionistas, partes externas e auditores. O per�odo de tempo
e o conte�do da informa��o retida podem estar definidos atrav�s de leis ou
regulamenta��es nacionais.
Outras informa��es sobre como gerenciar os registros organizacionais, podem ser
encontradas na ISO 15489-1 .
c)
restri��es no uso de criptografia;
d)
m�todos mandat�rios ou discricion�rios de acesso pelas autoridades dos pa�ses �
informa��o cifrada por hardware ou software para fornecer confidencialidade ao
conte�do.
Conv�m que assessoria jur�dica seja obtida para garantir a conformidade com as
legisla��es e leis nacionais vigentes. Tamb�m conv�m que seja obtida assessoria
jur�dica antes de se transferirem informa��es cifradas ou controles de criptografia
para outros pa�ses.
b)
avaliem a necessidade de a��es para assegurar que a n�o-conformidade n�o se repita;
c)
determinem e implementem a��o corretiva apropriada;
d)
analisem criticamente a a��o corretiva tomada.
a)
requisitos de auditoria sejam acordados com o n�vel apropriado da administra��o;
c)
a verifica��o esteja limitada ao acesso somente para leitura de software e dados;
d)
outros acessos diferentes de apenas leitura sejam permitidos somente atrav�s de
c�pias isoladas dos arquivos do sistema, e sejam apagados ao final da auditoria, ou
dada prote��o apropriada quando existir uma obriga��o para guardar tais arquivos
como requisitos da documenta��o da auditoria;
e)
recursos para execu��o da verifica��o sejam identificados explicitamente e tornados
dispon�veis;
f)
requisitos para processamento adicional ou especial sejam identificados e
acordados;
g)
todo acesso seja monitorado e registrado de forma a produzir uma trilha de
refer�ncia; conv�m que o uso de trilhas de refer�ncia (time stamped) seja
considerado para os sistemas ou dados cr�ticos;
h)
todos os procedimentos, requisitos e responsabilidades sejam documentados;
i)
as pessoas que executem a auditoria sejam independentes das atividades auditadas.
15.3.2 Prote��o de ferramentas de auditoria de sistemas de informa��o
Controle Conv�m que o acesso �s ferramentas de auditoria de sistema de informa��o
seja protegido, para prevenir qualquer possibilidade de uso impr�prio ou
comprometimento.
Diretrizes para implementa��o Conv�m que acessos �s ferramentas de auditoria de
sistemas de informa��o, por exemplo, software ou arquivos de dados, sejam separados
de sistemas em desenvolvimento e em opera��o e n�o sejam mantidos em fitas de
biblioteca ou �reas de usu�rios, a menos que seja dado um n�vel apropriado de
prote��o adicional.
Informa��es adicionais Quando terceiros est�o envolvidos em uma auditoria, existe
um risco de mau uso de ferramentas de auditoria por esses terceiros e da informa��o
que est� sendo acessada por este terceiro. Controles, tais como em 6.2.1 (para
avaliar os riscos) e 9.1 .2 (para restringir o acesso f�sico), podem ser
considerados para contemplar este risco, e conv�m que quaisquer conseq��ncias, tais
como trocar imediatamente as senhas reveladas para os auditores, sejam tomadas.
Bibliografia
ABNT NBR ISO 10007:2005 -Sistemas de gest�o da qualidade -Diretrizes para a gest�o
de configura��o ABNT NBR ISO 19011 :2002 -Diretrizes para auditorias de sistema de
gest�o da qualidade e/ou ambiental ABNT NBR ISO/IEC 12207:1998a-Tecnologia de
informa��o -Processos de ciclo de vida de software ABNT ISO/IEC Guia 2: 1998
-Normaliza��o e atividades relacionadas -Vocabul�rio geral ABNT ISO/IEC Guia
73a:2005 -Gest�o de riscos -Vocabul�rio -Recomenda��es para uso em normas ISO
15489-1 :2001 -lnformation and documentation -Records management -Part 1: General
ISO/IEC 9796-2:2002 -lnformation technology -Security techniques -Digital signature
schemes giving
message recovery -Part 2: lnteger factorization based mechanisms
ISO/IEC 9796-3a:2000 -lnformation technology -Security techniques -Digital
signature schemes giving message recovery -Part 3: Discrete logarithm based
mechanisms ISO/IEC 11770-1a:1996 -lnformation technology -Security techniques -Key
management -
Part 1: Framework ISO/IEC 13335-1 :2004 -lnformation technology -Security
techniques -Management of information and
communications technology security -Part 1: Concepts and models for information and
communications technology security management ISO/IEC 13888-1: 1997 -lnformation
technologya-Security techniques -Non-repudiation -Part 1: General ISO/IEC
14516:2002 -lnformation technologya-Security techniques -Guidelines for the use and
management
of Trusted Third Party services
ISO/IEC 14888-1:1998 -lnformation technology -Security techniques -Digital
signatures with appendix -Part 1 : General ISO/IEC 15408-1:1999 -lnformation
technology -Security techniques -Evaluation Criteria for IT security -
Part 1: lntroduction and general model
ISO/IEC 18028-4 -lnformation technology -Security techniques -IT Network security
-Part 4: Securing remote access ISO/IEC TR 13a3a35-3a:1998 -lnformation technology
-Guidelines for the Management of IT Security -
�ndice
A
aceita��o de sistemas 10.3a.2
acesso do p�blico, �reas de entrega e de carregamento 9.1.6
acordos de confidencialidade 6.1.5
acordos para a troca de informa��es 10.8.2
amea�a 2.16
an�lise/avalia��o de riscos 2.11, 4.1
an�lise cr�tica da pol�tica de seguran�a da informa��o 5.1.2
an�lise cr�tica das aplica��es ap�s mudan�as no sistema operacional 12.5.2
an�lise cr�tica dos direitos de acesso de usu�rio 11.2.4
an�lise cr�tica independente de seguran�a da informa��o 6.1.8
an�lise de riscos 2.1 O
an�lise e especifica��o dos requisitos de seguran�a 12.1.1
antes da contrata��o 8.1
aprendendo com os incidentes de seguran�a da informa��o 13.2.2
aquisi��o, desenvolvimento e manuten��o de sistemas de informa��o 12
�reas de entrega e de carregamento 9.1.6
�reas seguras 9.1
aspectos da gest�o da continuidade do neg�cio, relativos � seguran�a da informa��o
14.1
ativo 2.1
atribui��o das responsabilidades para a seguran�a da informa��o 6.1.3
autentica��o para conex�o externa do usu�rio 11.4a.2
avalia��o de riscos 2.12
e
classifica��o da informa��o 7 .2
coleta de evid�ncias 13.2.3
com�rcio eletr�nico 10.9.1
comprometimento da dire��o com a seguran�a da informa��o 6.1.1
computa��o e comunica��o m�vel 11. 7 .1
computa��o m�vel e trabalho remoto 11. 7, 11. 7 .2
conformidade 15
conformidade com normas e pol�ticas de seguran�a da informa��o e conformidade
t�cnica 15.2, 15.2.1
conformidade com requisitos legais 15.1
conformidades com as pol�ticas e normas de seguran�a da informa��o 15.2.1
conscientiza��o, educa��o e treinamento em seguran�a da informa��o 8.2.2
considera��es quanto � auditoria de sistemas de informa��o 15.3
contato com autoridades 6.1.6
contato com grupos especiais 6.1. 7
continuidade de neg�cios e an�lise/avalia��o de risco 14.1.2
controle 2.2, 3.2
controles contra c�digos m�veis 10.4a.2
controle de acessos 11
controle de acesso � aplica��o e � informa��o 11.6
controle de acesso � rede 11.4
controle de acesso ao c�digo-fonte de programas 12.4.3
controle de acesso ao sistema operacional 11.5
controles de auditoria de sistemas de informa��o 15.3.1
controle de conex�o de rede 11.4.6
controle de entrada f�sica 9.1.2
controle de processamento interno 12.2.2
controle de roteamento de redes 11 .4a. 7
controle de software operacional 12.4.1 controle de vulnerabilidades t�cnicas
12.6.1 controle do processamento interno 12.2.2 controles contra c�digos maliciosos
10.4.1 controles contra c�digos m�veis 10.4.2 controles criptogr�ficos 12.3
controles de auditoria de sistemas de informa��o 15.3.1 controles de entrada f�sica
9.1.2 controles de redes 10.6.1 coordena��o da seguran�a da informa��o 6.1.2 c�pias
de seguran�a 10.5 c�pias de seguran�a das informa��es 10.5.1
D
descarte de m�dias 10.7.2 desconex�o de terminal por inatividade 11.5.5
desenvolvimento e implementa��o de planos de continuidade relativos � seguran�a da
informa��o 14.1.3 desenvolvimento terceirizado de software 12.5.5 devolu��o de
ativos 8.3.2 direitos de propriedade intelectual 15.1.2 diretriz 2.3 documenta��o
dos procedimentos de opera��o 10.1.1 documento da pol�tica de seguran�a da
informa��o 5.1.1 durante a contrata��o 8.2
E
encerramento de atividades 8.3.1
encerramento ou mudan�a da contrata��o 8.3
entrega de servi�os 10.2.1
equipamento de usu�rio sem monitora��o 11.3.2
estrutura do plano de continuidade do neg�cio 14.e1.4
evento de seguran�a da informa��o 2.6, 13.e1
G
gerenciamento da seguran�a em redes 10.6
gerenciamento das opera��es e comunica��es 1 O
gerenciamento de acesso do usu�rio 11.2
gerenciamento de chaves 12.3.2
gerenciamento de m�dias remov�veis 10.7.1
gerenciamento de mudan�as para servi�os terceirizados 10.2.3
gerenciamento de privil�gios 11.2.2
gerenciamento de senha do usu�rio 11.2.3
gerenciamento de servi�os terceirizados 10.2
gest�o da continuidade do neg�cio 14
gest�o de ativos 7
gest�o de capacidade 10.3.1
gest�o de incidentes de seguran�a da informa��o 13, 13.2
gest�o de mudan�as 1 O. 1.2
gest�o de riscos 2.13
gest�o de vulnerabilidades t�cnicas 12.6
�ABNT 2005 -Todos os direitos reservados 117