Abnt NBR Iso 27002

NORMA ABNT NBR BRASILEIRA
1SO/IEC 27002
Primeira edi��o 31.08.2005
V�lida a partir de 30.09.2005
Tecnologia da informa��o -T�cnicas de seguran�a-C�digo de pr�tica para a gest�o da
seguran�a da informa��o
lnformation technology -Security technical -Code of pratice for information
security management
Palavras-chave: Tecnologia da informa��o. Seguran�a.
Descriptors: lnformation technology. Security.
ICS 35.040
ISBN 978-85-07-00648-0
N�mero de refer�ncia ABNT NBR ISO/IEC 27002:2005 120 p�ginas

�ABNT2005 Todos os direitos reservados. A menos que especificado de outro modo,
nenhuma parte desta publica��o pode ser reproduzida ou por qualquer meio,
eletr�nico ou mec�nico, incluindo fotoc�pia e microfilme, sem permiss�o por escrito
pela ABNT.
Sede daABNT Av.Treze de Maio, 13 -andar
28� 20031-901 -Rio de Janeiro -RJ Tel.: + 55 21 3974-2300 Fax:+ 55 21 2220-1762
abnt@abnt.org.br www.abnt.org.br
Impresso no Brasil
�ABNT 2005-Todos os direitos reservados
Pref�cio Nacional
A Associa��o Brasileira de Normas T�cnicas (ABNT) � o Foro Nacional de
Normaliza��o. As Normas Brasileiras, cujo conte�do � de responsabilidade dos
Comit�s Brasileiros (ABNT/CB), dos Organismos de Normaliza��o Setorial (ABNT/ONS) e
das Comiss�es de Estudo Especiais Tempor�rias (ABNT/CEET), s�o elaboradas por
Comiss�es de Estudo (CE), formadas por representantes dos setores envolvidos, delas
fazendo parte: produtores, consumidores e neutros (universidades, laborat�rios e
outros).
Os Documentos T�cnicos ABNT s�o elaborados conforme as regras da Diretivas ABNT,
Parte 2.
A Associa��o Brasileira de Normas T�cnicas (ABNT) chama aten��o para a
possibilidade de que alguns dos elementos deste documento podem ser objeto de
direito de patente. A ABNT n�o deve ser considerada respons�vel pela identifica��o
de quaisquer direitos de patentes.
A ABNT NBR ISO/IEC 27002 foi elaborada no Comit� Brasileiro de Computadores e
Processamento de Dados (ABNT/CB-21 ), pela Comiss�o de Estudo de Seguran�a F�sica
em Instala��es de Inform�tica (CE-21 :027.00).
Esta Norma � uma ado��o id�ntica, em conte�do t�cnico, estrutura e reda��o, � ISO
27002:2005, que foi elaborada pelo Comit� T�cnico lnformation techno/ogy {ISO/IEC
JTC 1 ), Subcomit� SC 27, Security techniques, conforme ISO/IEC Guide 21-1 :2005.
Esta primeira edi��o da ABNT NBR ISO/IEC 27002 compreende a ABNT NBR ISO/IEC
17799:2005 (Vers�o Corrigida de 02.07.2007) e a Errata 2 de 10.09.2007. Seu
conte�do t�cnico � id�ntico ao da ABNT NBR ISO/IEC 17799:2005 (Vers�o Corrigida de
02.07.2007). A Errata 2:2007 altera o n�mero de refer�ncia da norma de 17799 para
27002. A ABNT NBR ISO/IEC 17799:2005 e a Errata 2:2007 ser�o provisoriamente
mantidas at� a publica��o da segunda edi��o da ABNT NBR ISO/IEC 27002.
ASSOCIA��O NORMA BRASILEIRA ABNT NBR I5O/IEC 17799:2005

BRASILEIRA
ERRATA2
DE NORMAS
. T�CNICAS Publicada em 10.09.2007
Tecnologia da informa��o -T�cnicas de seguran�a �C�digo de pr�tica para a gest�o da

ERRATA2
Esta Errata 2 da ABNT NBR ISO/IEC 17799:2005, elaborada pela Comiss�o de Estudo de
Seguran�a F�sica em Instala��es de Inform�tica (CE-21 :027.00), tem por objetivo
adotar o Technical Corrigendum 1 da ISO/IEC 17799:2005.
Em todo o documento:
Substituir "17799" por "27002".
ICS 35.040 Ref.: ABNT NBR I5O/IEC 17799:2005/Err.2:2007
� ABNT 2007 -Todos os direitos reservados
NORMA ABNT NBR BRASILEIRA IS0/IEC

17799
Segunda edi��o 31.08.2005
V�lida a partir de 30.09.2005
Vers�o corrigida 02.07.2007
Tecnologia da informa��o-T�cnicas de seguran�a-C�digo de pr�tica para a gest�o da

lnformation technology -Security technical -Code of pratice for information
security management
Palavras-chave: Tecnologia da informa��o. Seguran�a.
Descriptors: lnformation technology. Security.
ICS 35.040
ISBN 978-85-07-00519-3
ASSOCIA��O
N�mero de refer�ncia
BRASILEIRA DE NORMAS ABNT NBR ISO/IEC 17799:2005
T�CNICAS
120 p�ginas �ABNTa2005
�ABNT2005 Todos os direitos reservados. A menos que especificado de outro modo,
nenhuma parte desta publica��o pode ser reproduzida ou por qualquer meio,
eletr�nico ou mec�nico, incluindo fotoc�pia e microfilme, sem permiss�o por escrito
pela ABNT.
Sede daABNT Av.Treze de Maio, 13 -andar
28� 20031-901 -Rio de Janeiro -RJ Tel.: + 55 21 3974-2300 Fax:+ 55 21 2220-1762
abnt@abnt.org.br www.abnt.org.br
Impresso no Brasil
Sum�rio P�gina
Pref�cio
Nacional ..........................................................................
............................................................................ vii
O
lntrodu��o ........................................................................
............................................................................... x
0.1 O que � seguran�a da
informa��o? .......................................................................
...................................... x
0.2 Por que a seguran�a da informa��o �
necess�ria? .......................................................................
............ x
0.3 Como estabelecer requisitos de seguran�a da
informa��o .................................................................... xi
0.4 Analisando/avaliando os riscos de seguran�a da
informa��o ................................................................ xi
0.5 Sele��o de
controles .........................................................................
........................................................... xi
0.6 Ponto de partida para a seguran�a da
informa��o ........................................................................
.......... xii
0.7 Fatores cr�ticos de
sucesso ...........................................................................
............................................ xii
0.8 Desenvolvendo suas pr�prias
diretrizes ........................................................................
......................... xiii
1
Objetivo ..........................................................................
................................................................................ 1
2 Termos e
defini��es ........................................................................
.............................................................. 1
3 Estrutura desta
Norma .............................................................................
..................................................... 4
3.1
Se��es ............................................................................
................................................................................ 4
3.2 Principais categorias de seguran�a da
informa��o ........................................................................
.......... 4
4 An�lise/avalia��o e tratamento de
riscos ............................................................................
....................... 6
4.1 Analisando/avaliando os riscos de seguran�a da
informa��o ................................................................. 6
4.2 Tratando os riscos de seguran�a da
informa��o ........................................................................
.............. 6
5 Pol�tica de seguran�a da
informa��o ........................................................................
.................................. 8
5.1 Pol�tica de seguran�a da
informa��o ........................................................................
.................................. 8
5.1.1 Documento da pol�tica de seguran�a da
informa��o ........................................................................
........ 8
5.1.2 An�lise cr�tica da pol�tica de seguran�a da
informa��o ........................................................................
... 9
6 Organizando a seguran�a da
informa��o ........................................................................
......................... 10
6.1 Organiza��o
interna ...........................................................................
......................................................... 1 O
6.1.1 Comprometimento da dire��o com a seguran�a da
informa��o ........................................................... 1 O
6.1.2 Coordena��o da seguran�a da
informa��o ........................................................................
...................... 11
6.1.3 Atribui��o de responsabilidades para a seguran�a da
informa��o ...................................................... 11
6.1.4 Processo de autoriza��o para os recursos de processamento da
informa��o ................................... 12
6.1.5 Acordos de
confidencialidade .................................................................
.................................................. 12
6.1.6 Contato com
autoridades .......................................................................
.................................................... 13
6.1. 7 Contato com grupos
especiais .........................................................................
......................................... 14
6.1.8 An�lise cr�tica independente de seguran�a da
informa��o .................................................................... 14
6.2 Partes
externas ..........................................................................
.................................................................. 15
6.2.1 Identifica��o dos riscos relacionados com partes
externas .................................................................. 15
6.2.2 Identificando a seguran�a da informa��o, quando tratando com os
clientes ...................................... 17
6.2.3 Identificando seguran�a da informa��o nos acordos com
terceiros .................................................... 18
7 Gest�o de
ativos ............................................................................
.............................................................. 21
7 .1 Responsabilidade pelos
ativos ............................................................................
...................................... 21
7.1.1 Invent�rio dos
ativos ............................................................................
....................................................... 21
7 .1.2 Propriet�rio dos
ativos ............................................................................
.................................................... 22
7 .1.3 Uso aceit�vel dos
ativos ............................................................................
................................................. 22
7.2 Classifica��o da
informa��o ........................................................................
.............................................. 23
7 .2.1 Recomenda��es para
classifica��o .....................................................................
..................................... 23
7.2.2 R�tulos e tratamento da
informa��o ........................................................................
................................. 24
8 Seguran�a em recursos
humanos ...........................................................................
.................................. 25
8.1 Antes da
contrata��o .......................................................................
........................................................... 25
8.1.1 Pap�is e
responsabilidades .................................................................
...................................................... 25
8.1.2
Sele��o ...........................................................................
.............................................................................. 26
8.1.3 Termos e condi��es de
contrata��o .......................................................................
.................................. 26
8.2 Durante a
contrata��o .......................................................................
.......................................................... 28
8.2.1 Responsabilidades da
dire��o ...........................................................................
........................................ 28
8.2.2 Conscientiza��o, educa��o e treinamento em seguran�a da
informa��o ............................................ 28
8.2.3 Processo
disciplinar .......................................................................
............................................................. 29
8.3 Encerramento ou mudan�a da
contrata��o .......................................................................
....................... 29
8.3.1 Encerramento de
atividades ........................................................................
...............................................
8.3.2 Devolu��o de
ativos ............................................................................
........................................................ 30
8.3.3 Retirada de direitos de
acesso ............................................................................
....................................... 30
9 Seguran�a f�sica e do
ambiente ..........................................................................
....................................... 32
9.1 �reas
seguras ...........................................................................
................................................................... 32
9.1.1 Per�metro de seguran�a
f�sica ............................................................................
....................................... 32
9.1.2 Controles de entrada
f�sica ............................................................................
............................................ 33
9.1.3 Seguran�a em escrit�rios, salas e
instala��es .......................................................................
................. 33
9.1.4 Prote��o contra amea�as externas e do meio
ambiente ........................................................................
34
9.1.5 Trabalhando em �reas
seguras ...........................................................................
....................................... 34
9.1.6 Acesso do p�blico, �reas de entrega e de
carregamento ......................................................................
.
9.2 Seguran�a de
equipamentos ......................................................................
................................................ 35
9.2.1 Instala��o e prote��o do
equipamento .......................................................................
.............................. 35
9.2.2
Utilidades ........................................................................
.............................................................................. 36
9.2.3 Seguran�a do
cabeamento ........................................................................
................................................. 37
9.2.4 Manuten��o dos
equipamentos ......................................................................
........................................... 38
9.2.5 Seguran�a de equipamentos fora das depend�ncias da
organiza��o .................................................. 38
9.2.6 Reutiliza��o e aliena��o segura de
equipamentos ......................................................................
............ 39
9.2.7 Remo��o de
propriedade .......................................................................
..................................................... 39
10 Gerenciamento das opera��es e
comunica��es ......................................................................
...............
10.1 Procedimentos e responsabilidades
operacionais ......................................................................
............ 40
10.1.1 Documenta��o dos procedimentos de
opera��o ..........................................................................
.......... 40
10.1.2 Gest�o de
mudan�as ..........................................................................
......................................................... 41
10.1.3 Segrega��o de
fun��es ...........................................................................
................................................... 41
10.1.4 Separa��o dos recursos de desenvolvimento, teste e de
produ��o ..................................................... 42
10.2 Gerenciamento de servi�os
terceirizados .....................................................................
........................... 42
10.2.1 Entrega de
servi�os ..........................................................................
........................................................... 43
10.2.2 Monitoramento e an�lise cr�tica de servi�os
terceirizados .....................................................................
43
10.2.3 Gerenciamento de mudan�as para servi�os
terceirizados .....................................................................
44
10.3 Planejamento e aceita��o dos
sistemas ..........................................................................
......................... 44
10.3.1 Gest�o de
capacidade ........................................................................
.........................................................
10.3.2 Aceita��o de
sistemas ..........................................................................
...................................................... 45
10.4 Prote��o contra c�digos maliciosos e c�digos
m�veis ......................................................................... 46
10.4.1 Controles contra c�digos

maliciosos ........................................................................
............................... 46
10.4.2 Controles contra c�digos
m�veis ............................................................................
.................................. 47
10.5 C�pias de
seguran�a .........................................................................
.......................................................... 48
10.5.1 C�pias de seguran�a das
informa��es .......................................................................
.............................. 48
10.6 Gerenciamento da seguran�a em
redes .............................................................................
...................... 49
10.6.1 Controles de
redes .............................................................................
......................................................... 49
10.6.2 Seguran�a dos servi�os de
rede ..............................................................................
.................................
10.7 Manuseio de
m�dias ............................................................................
......................................................... 50
10.7.1 Gerenciamento de m�dias
remov�veis ........................................................................
............................... 50
10.7.2 Descarte de
m�dias ............................................................................
.......................................................... 51
10.7.3 Procedimentos para tratamento de
informa��o ........................................................................
............... 52
10.7.4 Seguran�a da documenta��o dos
sistemas ..........................................................................
................... 52
10.8 Troca de
informa��es .......................................................................
.......................................................... 53
10.8.1 Pol�ticas e procedimentos para troca de
informa��es .......................................................................
..... 53
10.8.2 Acordos para a troca de
informa��es .......................................................................
................................
10.8.3 M�dias em
tr�nsito ..........................................................................
............................................................. 56
10.8.4 Mensagens
eletr�nicas .......................................................................
........................................................ 56
10.8.5 Sistemas de informa��es do
neg�cio ...........................................................................
............................ 57
10.9 Servi�os de com�rcio
eletr�nico ........................................................................
....................................... 58
10.9.1 Com�rcio
eletr�nico ........................................................................
............................................................ 58
10.9.2 Transa��es on-
line ..............................................................................
........................................................ 59
10.9.3 Informa��es publicamente

dispon�veis .......................................................................
.............................
iv �ABNT 2005 -Todos os direitos reservados
10.10
Monitoramento .....................................................................
........................................................................
10.10.1 Registros de
auditoria .........................................................................
........................................................ 61
10.10.2 Monitoramento do uso do
sistema ...........................................................................
................................. 61
10.10.3 Prote��o das informa��es dos registros
(log) .............................................................................
............ 63
10.10.4 Registros (/og) de administrador e
operador ..........................................................................
................. 63
10.10.5 Registros (/og) de
falhas ............................................................................
................................................. 64
10.10.6 Sincroniza��o dos
rel�gios ..........................................................................
.............................................. 64
11 11.1 11.1.1 11.2 11.2.1 11.2.2 11.2.3 11.2.4 11.3 11.3.1 11.3.2 11.3.3 11.4
11.4.1 11.4.2 11.4.3 11.4.4 11.4.5 11.4.6 11.4.7 11.5 11.5.1 11.5.2 11.5.3 11.5.4
11.5.5 11.5.6 11.6 11.6.1 11.6.2 11.7 11.7.1 11.7.2
12 12.1 12.1.1 12.2 12.2.1 12.2.2 12.2.3 12.2.4 12.3 12.3.1 12.3.2 12.4 12.4.1
12.4.2 12.4.3 12.5 12.5.1 12.5.2 12.5.3
Controle de
acessos ...........................................................................
......................................................... Requisitos de neg�cio
para controle de
acesso ............................................................................
.......... Pol�tica de controle de
acesso ............................................................................
....................................... 65 Gerenciamento de acesso do
usu�rio ...........................................................................
............................ 66 Registro de
usu�rio ...........................................................................
.......................................................... 66 Gerenciamento de
privil�gios .......................................................................
............................................. 67 Gerenciamento de senha do
usu�rio ...........................................................................
............................. 68 An�lise cr�tica dos direitos de acesso de
usu�rio ...........................................................................
........ 68 Responsabilidades dos
usu�rios ..........................................................................
.................................... 69 Uso de
senhas ............................................................................
................................................................. 69 Equipamento de
usu�rio sem
monitora��o .......................................................................
....................... Pol�tica de mesa limpa e tela
limpa .............................................................................
.............................. Controle de acesso �
rede ..............................................................................
............................................ 71 Pol�tica de uso dos servi�os de
rede ..............................................................................
.......................... 71 Autentica��o para conex�o externa do
usu�rio ...........................................................................
........... 72 Identifica��o de equipamento em
redes .............................................................................
...................... 73 Prote��o de portas de configura��o e diagn�stico
remotos .................................................................. 73
Segrega��o de
redes .............................................................................
...................................................... 73 Controle de conex�o de
rede ..............................................................................
....................................... 7 4 Controle de roteamento de
redes .............................................................................
................................. Controle de acesso ao sistema
operacional .......................................................................
..................... Procedimentos seguros de entrada no sistema (/og-
on) ........................................................................ 75
Identifica��o e autentica��o de
usu�rio ...........................................................................
........................ 77 Sistema de gerenciamento de
senha .............................................................................
........................... 77 Uso de utilit�rios de
sistema ...........................................................................
........................................... 78 Limite de tempo de
sess�o ............................................................................
............................................. 79 Limita��o de hor�rio de
conex�o ...........................................................................
................................... 79 Controle de acesso � aplica��o e �
informa��o ........................................................................
.............. Restri��o de acesso �
informa��o ........................................................................
.................................... Isolamento de sistemas
sens�veis .........................................................................
.................................... 80 Computa��o m�vel e trabalho
remoto ............................................................................
.......................... 81 Computa��o e comunica��o
m�vel .............................................................................
............................. 81 Trabalho
remoto ............................................................................
.............................................................. 82
Aquisi��o, desenvolvimento e manuten��o de sistemas de

informa��o ............................................. 84 Requisitos de seguran�a
de sistemas de
informa��o ........................................................................
..... 84 An�lise e especifica��o dos requisitos de
seguran�a .........................................................................
... 84 Processamento correto nas
aplica��es ........................................................................
............................ Valida��o dos dados de
entrada ...........................................................................
..................................... Controle do processamento
interno ...........................................................................
............................... 86 Integridade de
mensagens .........................................................................
................................................ 87 Valida��o de dados de
sa�da .............................................................................
......................................... 87 Controles
criptogr�ficos ....................................................................
......................................................... 87 Pol�tica para o uso de
controles
criptogr�ficos ....................................................................
................... 88 Gerenciamento de
chaves ............................................................................
.............................................. 89 Seguran�a dos arquivos do sistema
...................................................................................
...................... Controle de software
operacional .......................................................................
....................................... Prote��o dos dados para teste de
sistema ...........................................................................
.................... 92 Controle de acesso ao c�digo-fonte de
programa ..........................................................................
........ 92 Seguran�a em processos de desenvolvimento e de
suporte ................................................................. 93
Procedimentos para controle de
mudan�as ..........................................................................
................... 93 An�lise cr�tica t�cnica das aplica��es ap�s mudan�as no
sistema operacional ................................ 94 Restri��es sobre mudan�as
em pacotes de
software ..........................................................................
...
12.5.4 Vazamento de
informa��es .......................................................................
................................................. 95
12.5.5 Desenvolvimento terceirizado de
software ..........................................................................
..................... 96
12.6 Gest�o de vulnerabilidades
t�cnicas ..........................................................................
.............................. 96
12.6.1 Controle de vulnerabilidades
t�cnicas ..........................................................................
............................ 96
13 Gest�o de incidentes de seguran�a da
informa��o ........................................................................
........ 98
13.1 Notifica��o de fragilidades e eventos de seguran�a da
informa��o ..................................................... 98
13.1.1 Notifica��o de eventos de seguran�a da
informa��o ........................................................................
..... 98
13.1.2 Notificando fragilidades de seguran�a da
informa��o ........................................................................
.... 99
13.2 Gest�o de incidentes de seguran�a da informa��o e
melhorias ......................................................... 100
13.2.1 Responsabilidades e
procedimentos .....................................................................
................................. 100
13.2.2 Aprendendo com os incidentes de seguran�a da
informa��o ............................................................. 101
13.2.3 Coleta de
evid�ncias ........................................................................
......................................................... 102
14 Gest�o da continuidade do
neg�cio ...........................................................................
............................. 103
14.1 Aspectos da gest�o da continuidade do neg�cio, relativos � seguran�a da
informa��o ................. 103
14.1.1 Incluindo seguran�a da informa��o no processo de gest�o da continuidade de
neg�cio ............... 103
14.1.2 Continuidade de neg�cios e an�lise/avalia��o de
riscos ..................................................................... 104
14.1.3 Desenvolvimento e implementa��o de planos de continuidade relativos �
seguran�a da
informa��o ........................................................................
...................................................................................
.......... 104
14.1.4 Estrutura do plano de continuidade do
neg�cio ...........................................................................
......... 105
14.1.5 Testes, manuten��o e reavalia��o dos planos de continuidade do
neg�cio ..................................... 106
15
Conformidade ......................................................................
...................................................................... 108
15.1 Conformidade com requisitos
legais ............................................................................
.......................... 108
15.1.1 Identifica��o da legisla��o
aplic�vel .........................................................................
.............................. 108
15.1.2 Direitos de propriedade
intelectual .......................................................................
.................................. 108
15.1.3 Prote��o de registros
organizacionais ...................................................................
................................ 109
15.1.4 Prote��o de dados e privacidade de informa��es
pessoais ................................................................ 11 O
15.1.5 Preven��o de mau uso de recursos de processamento da
informa��o ............................................. 111
15.1.6 Regulamenta��o de controles de
criptografia ......................................................................
................. 111
15.2 Conformidade com normas e pol�ticas de seguran�a da informa��o e conformidade
t�cnica ........ 112
15.2.1 Conformidade com as pol�ticas e normas de seguran�a da
informa��o ............................................ 112
15.2.2 Verifica��o da conformidade
t�cnica ...........................................................................
........................... 113
15.3 Considera��es quanto � auditoria de sistemas de
informa��o ........................................................... 113
15.3.1 Controles de auditoria de sistemas de
informa��o ........................................................................
....... 113
15.3.2 Prote��o de ferramentas de auditoria de sistemas de
informa��o ..................................................... 114
�ndice ............................................................................
...................................................................................
......... 116
ABNT NBR 1S0/IEC 17799:2005

Pref�cio Nacional
A Associa��o Brasileira de Normas T�cnicas (ABNT) � o F�rum Nacional de
Normaliza��o. As Normas Brasileiras, cujo conte�do � de responsabilidade dos
Comit�s Brasileiros (ABNT/CB), dos Organismos de Normaliza��o Setorial (ABNT/ONS) e
das Comiss�es de Estudo Especiais Tempor�rias (ABNT/CEET), s�o elaboradas por
Comiss�es de Estudo (CE), formadas por representantes dos setores envolvidos, delas
fazendo parte: produtores, consumidores e neutros (universidades, laborat�rios e
outros).
A ABNT NBR ISO/IEC 17799 foi elaborada no Comit� Brasileiro de Computadores e
Processamento de Dados (ABNT/CB-21 ), pela Comiss�o de Estudo de Seguran�a F�sica
em Instala��es de Inform�tica (CE-21 :204.01 ). O Projeto circulou em Consulta
Nacional conforme Edital ne� 03, de 31.03.2005, com o n�mero de Projeto NBR ISO/IEC
17799.
Esta Norma � equivalente � ISO/IEC 17799:2005.
Uma fam�lia de normas de sistema de gest�o de seguran�a da informa��o (SGSI) est�
sendo desenvolvida no ISO/IEC JTC 1/SC 27. A fam�lia inclui normas sobre requisitos
de sistema de gest�o da seguran�a da informa��o, gest�o de riscos, m�tricas e
medidas, e diretrizes para implementa��o. Esta fam�lia adotar� um esquema de
numera��o usando a s�rie de n�meros 27000 em seq��ncia.
A partir de 2007, a nova edi��o da ISO/IEC 17799 ser� incorporada ao novo esquema
de numera��o como ISO/IEC 27002.
Os termos relacionados a seguir, com a respectiva descri��o, foram mantidos na
l�ngua inglesa, por n�o possu�rem tradu��o equivalente para a l�ngua portuguesa:
Back-up -c�pias de seguran�a de arquivos.
BBS (Bulletin Board System) -sistema no qual um computador pode se comunicar com
outros computadores por meio de linha telef�nica, como na Internet.
Buffer overflowloverrun -transbordamento de dados. Situa��o que ocorre quando dados
em demasia s�o aceitos na entrada de uma aplica��o ou durante o processamento
interno do sistema, ultrapassando a sua capacidade de armazenamento.
Cal/ back -retorno de chamada.
Cal/ center-central de atendimento.
Cal/ forwarding -encaminhamento de chamada.
Covert channel -canal de comunica��es que permite o fluxo de informa��es de uma
maneira que viole a pol�tica de seguran�a do sistema.
Denia/ of service (nega��o do servi�o) -impedimento do acesso autorizado aos
recursos ou retardamento de opera��es cr�ticas por um certo per�odo de tempo.
Dia/ up -servi�o por meio do qual um computador pode usar a linha telef�nica para
iniciar e efetuar uma comunica��o com outro computador.
Displaya-dispositivo de apresenta��o de dados.
Downloada-descarregamento, transfer�ncia
de arquivos entre computadores por meio de uma rede.
E-business -modalidade eletr�nica de realiza��o de transa��es de neg�cios.
�ABNT 2005 -Todos os direitos reservados
EDIa-Eletronic Data lnterchangea-interc�mbio eletr�nico de dados.
E-government -modalidade eletr�nica de realiza��o de transa��es de neg�cios e
presta��o de servi�os por entidades governamentais. Firewa/1a-sistema ou combina��o
de sistemas que protege a fronteira entre duas ou mais redes. Flash Disks
-dispositivos de armazenamento de dados que utiliza circuitos integrados de mem�ria
n�o vol�til. Gatewaya-equipamento que funciona como ponto de conex�o entre duas
redes. Hacker-pessoa que tenta acessar sistemas sem autoriza��o, usando t�cnicas
pr�prias ou n�o, no intuito de ter
acesso a determinado ambiente para proveito pr�prio ou de terceiros. Dependendo dos
objetivos da a��o, podem ser chamados de Cracker, Lammer ou BlackHat. Hash
-representa��o matem�tica �nica de um conjunto de dados (resumo de mensagem). Help
desk -fonte de suporte t�cnico aos usu�rios. ISP -provedores de servi�os de
Internet.
Log-On -processo de identifica��o e autentica��o de um usu�rio para permitir o seu
acesso a um sistema. Logging -registro do hist�rico de atividades realizadas ou de
eventos ocorridos em um determinado sistema ou processo.
Middleware -personaliza��o de software; software de sistema que foi personalizado
por um vendedor para um
usu�rio particular. Need to know -conceito que define que uma s� pessoa precisa
acessar os sistemas necess�rios para realizar a sua atividade.
Network worms (vermes de rede)a-c�digo malicioso autopropag�vel que pode ser
distribu�do automaticamente de um computador para outro por meio de conex�es de
rede local ou pela Internet. Um worm pode realizar a��es perigosas, como consumir
banda de rede e recursos locais.
Patch -corre��o tempor�ria efetuada em um programa; pequena corre��o executada pelo

usu�rio no software,com as instru��es do fabricante do software. PDA -assistente
digital pessoal. PIN (Personal ldentification Number)a-n�mero de identifica��o
pessoal. Pragram-to-pragram contrais -controles entre programas. Root -usu�rio
administrador com privil�gios irrestritos no sistema. Run-to-run contrais
-controles entre execu��es. Scanners -perif�rico de digitaliza��o de imagens e
documentos. Snapshot -retrato do estado de um sistema em um est�gio espec�fico.
Sniffera-um software ou dispositivo especializado que captura pacotes na rede.
Timestamp (carimbo de tempo)a-registro temporal de um evento.

Tokens -Dispositivo f�sico para autentica��o. Exemplos: token criptogr�fico, token
de senha din�mica, token de mem�ria, entre outros.
UTCa-Coordinated Universal Timea-Tempo Universal Coordenado.
Wireless -sistema de comunica��o que n�o requer fios para transportar sinais.
Em 6.1.3, Diretrizes para implementa��o, primeiro par�grafo, a 1S0/IEC 17799:2005
faz uma refer�ncia equivocada � se��o 4. Esse equ�voco foi corrigido nesta ABNT NBR
1S0/IEC 17799 e a notifica��o deste foi feita ao 1S0/IEC JTC 1 para corre��o da
norma original.
Esta segunda edi��o cancela e substitui a edi��o anterior (ABNT NBR 1S0/IEC
17799:2001 ), a qual foi tecnicamente revisada.
Esta vers�o corrigida da ABNT NBR 1S0/IEC 17799:2005 incorpora a Errata 1 de
28.08.2006 e Errata 1 de 02.07.2207.

O Introdu��o
0.1 O que � seguran�a da informa��o?
A informa��o � um ativo que, como qualquer outro ativo importante, � essencial para
os neg�cios de uma organiza��o e conseq�entemente necessita ser adequadamente
protegida. Isto � especialmente importante no ambiente dos neg�cios, cada vez mais
interconectado. Como um resultado deste incr�vel aumento da interconectvidade, a
informa��o est� agora exposta a um crescente n�mero e a uma grande variedade de
amea�as e vulnerabilidades (ver OECD Diretrizes para a Seguran�a de Sistemas de
Informa��es e Redes).
A informa��o pode existir em diversas formas. Ela pode ser impressa ou escrita em
papel, armazenada eletronicamente, transmitida pelo correio ou por meios
eletr�nicos, apresentada em filmes ou falada em conversas. Seja qual for a forma
apresentada ou o meio atrav�s do qual a informa��o � compartilhada ou armazenada, �
recomendado que ela seja sempre protegida adequadamente.
Seguran�a da informa��o � a prote��o da informa��o de v�rios tipos de amea�as para
garantir a continuidade do neg�cio, minimizar o risco ao neg�cio, maximizar o
retorno sobre os investimentos e as oportunidades de neg�cio.
A seguran�a da informa��o � obtida a partir da implementa��o de um conjunto de
controles adequados, incluindo pol�ticas, processos, procedimentos, estruturas
organizacionais e fun��es de software e hardware. Estes controles precisam ser
estabelecidos, implementados, monitorados, analisados criticamente e melhorados,
onde necess�rio, para garantir que os objetivos do neg�cio e de seguran�a da
organiza��o sejam atendidos. Conv�m que isto seja feito em conjunto com outros
processos de gest�o do neg�cio.
0.2 Por que a seguran�a da informa��o � necess�ria?

A informa��o e os processos de apoio, sistemas e redes s�o importantes ativos para
os neg�cios. Definir, alcan�ar, manter e melhorar a seguran�a da informa��o podem
ser atividades essenciais para assegurar a competitividade, o fluxo de caixa, a
lucratividade, o atendimento aos requisitos legais e a imagem da organiza��o junto
ao mercado.
As organiza��es, seus sistemas de informa��o e redes de computadores s�o expostos a
diversos tipos de amea�as � seguran�a da informa��o, incluindo fraudes eletr�nicas,
espionagem, sabotagem, vandalismo, inc�ndio e inunda��o. Danos causados por c�digo
malicioso, hackers e ataques de denial of seNice est�o se tornando cada vez mais
comuns, mais ambiciosos e incrivelmente mais sofisticados.
A seguran�a da informa��o � importante para os neg�cios, tanto do setor p�blico
como do setor privado, e para proteger as infra-estruturas cr�ticas.
Em ambos os setores, a fun��o da seguran�a da informa��o
� viabilizar os neg�cios como o governo eletr�nico (e-gov) ou o com�rcio eletr�nico
(e-business), e evitar ou reduzir os riscos relevantes. A interconex�o de redes
p�blicas e privadas e o compartilhamento de recursos de informa��o aumentam a
dificuldade de se controlar o acesso. A tend�ncia da computa��o distribu�da reduz a
efic�cia da implementa��o de um controle de acesso centralizado.
Muitos sistemas de informa��o n�o foram projetados
para serem seguros. A seguran�a da informa��o que pode ser alcan�ada por meios
t�cnicos � limitada e deve ser apoiada por uma gest�o e por procedimentos
apropriados. A identifica��o de controles a serem implantados requer um
planejamento
cuidadoso e uma aten��o aos detalhes. A gest�o da seguran�a da informa��o requer
pelo menos a participa��o de todos os funcion�rios da organiza��o. Pode ser que
seja
necess�ria tamb�m a participa��o de acionistas, fornecedores, terceiras partes,
clientes ou outras partes externas. Uma consultoria externa especializada pode ser
tamb�m necess�ria.
0.3 Como estabelecer requisitos de seguran�a da informa��o

� essencial que uma organiza��o identifique os seus requisitos de seguran�a da
informa��o. Existem tr�s fontes principais de requisitos de seguran�a da
informa��o.
1.
Uma fonte � obtida a partir da an�lise/avalia��o de riscos para a organiza��o,
levando-se em conta os objetivos e as estrat�gias globais de neg�cio da
organiza��o. Por meio da an�lise/avalia��o de riscos, s�o identificadas as amea�as
aos ativos e as vulnerabilidades destes, e realizada uma estimativa da
probabilidade de ocorr�ncia das amea�as e do impacto potencial ao neg�cio.
2.
Uma outra fonte � a legisla��o vigente, os estatutos, a regulamenta��o e as
cl�usulas contratuais que a organiza��o, seus parceiros comerciais, contratados e
provedores de servi�o t�m que atender, al�m do seu ambiente sociocultural.
3.
A terceira fonte � um conjunto particular de princ�pios, objetivos e os requisitos
do neg�cio para o processamento da informa��o que uma organiza��o tem que
desenvolver para apoiar suas opera��es.
0.4 Analisando/avaliando os riscos de seguran�a da informa��o

Os requisitos de seguran�a da informa��o s�o identificados por meio de uma
an�lise/avalia��o sistem�tica dos riscos de seguran�a da informa��o. Os gastos com
os controles precisam ser balanceados de acordo com os danos causados aos neg�cios
gerados pelas potenciais falhas na seguran�a da informa��o.
Os resultados da an�lise/avalia��o de riscos ajudar�o a direcionar e a determinar
as a��es gerenc1a1s apropriadas e as prioridades para o gerenciamento dos riscos da
seguran�a da informa��o, e para a implementa��o dos controles selecionados para a
prote��o contra estes riscos.
Conv�m que a an�lise/avalia��o de riscos seja repetida periodicamente para
contemplar quaisquer mudan�as que possam influenciar os resultados desta
an�lise/avalia��o.
Informa��es adicionais sobre a an�lise/avalia��o de riscos de seguran�a da
informa��o podem ser encontradas em 4.1 "Analisando/avaliando os riscos de
seguran�a da informa��o".
0.5 Sele��o de controles

Uma vez que os requisitos de seguran�a da informa��o e os riscos tenham sido
identificados e as decis�es para o tratamento dos riscos tenham sido tomadas,
conv�m que controles apropriados sejam selecionados e implementados para assegurar
que os riscos sejam reduzidos a um n�vel aceit�vel. Os controles podem ser
selecionados a partir desta Norma ou de um outro conjunto de controles ou novos
controles podem ser desenvolvidos para atender �s necessidades espec�ficas,
conforme apropriado. A sele��o de controles de seguran�a da informa��o depende das
decis�es da organiza��o, baseadas nos crit�rios para aceita��o de risco, nas op��es
para tratamento do risco e no enfoque geral da gest�o de risco aplicado �
organiza��o, e conv�m que tamb�m esteja sujeito a todas as legisla��es e
regulamenta��es nacionais e internacionais, relevantes. Alguns dos controles nesta
Norma podem ser considerados como pnnc1p1os b�sicos para a gest�o da seguran�a da
informa��o e podem ser aplicados na maioria das organiza��es. Estes controles s�o
explicados em mais detalhes no item "Ponto de partida para a seguran�a da
informa��o".
Informa��es adicionais sobre sele��o de controles e outras op��es para tratamento

de risco podem ser encontradas em 4.2 "Tratamento dos riscos de seguran�a da
informa��o".
�ABNT 2005 -Todos os direitos reservados xi
0.6 Ponto de partida para a seguran�a da informa��o

Um certo n�mero de controles pode ser considerado um bom ponto de partida para a
implementa��o da seguran�a da informa��o. Estes controles s�o baseados tanto em
requisitos legais como nas melhores pr�ticas de seguran�a da informa��o normalmente
usadas.
Os controles considerados essenciais para uma organiza��o, sob o ponto de vista
legal, incluem, dependendo da legisla��o aplic�vel:
a)
prote��o de dados e privacidade de informa��es pessoais (ver 15.1.4 );
b)
prote��o de registros organizacionais (ver 15.1.3);
c) direitos de propriedade intelectual (ver 15.1.2). Os controles considerados

pr�ticas para a seguran�a da informa��o incluem:
a)
documento da pol�tica de seguran�a da informa��o (ver 5.1.1 );
b)
atribui��o de responsabilidades para a seguran�a da informa��o (ver 6.1.3);
c)
conscientiza��o, educa��o e treinamento em seguran�a da informa��o (ver 8.2.2);
d)
processamento correto nas aplica��es (ver 12.2);
e)
gest�o de vulnerabilidades t�cnicas (ver 12.6);
f)
gest�o da continuidade do neg�cio (ver se��o 14);
g)
gest�o de incidentes de seguran�a da informa��o e melhorias (ver 13.2).
Esses controles se aplicam para a maioria das organiza��es e na maioria dos

ambientes.
Conv�m observar que, embora todos os controles nesta Norma sejam importantes e
devam ser considerados, a relev�ncia de qualquer controle deve ser determinada
segundo os riscos espec�ficos a que uma organiza��o est� exposta. Por isto, embora
o enfoque acima seja considerado um bom ponto de partida, ele n�o substitui a
sele��o de controles, baseado na an�lise/avalia��o de riscos.
O.7 Fatores cr�ticos de sucesso

A experi�ncia tem mostrado que os seguintes fatores s�o geralmente cr�ticos para o
sucesso da implementa��o da seguran�a da informa��o dentro de uma organiza��o:
a)
pol�tica de seguran�a da informa��o, objetivos e atividades, que reflitam os
objetivos do neg�cio;
b)
uma abordagem e uma estrutura para a implementa��o, manuten��o, monitoramento e
melhoria da seguran�a da informa��o que seja consistente
com a cultura organizacional;
c)
comprometimento e apoio vis�vel de todos os n�veis gerenciais;
um bom entendimento dos requisitos de seguran�a da informa��o, da an�lise/avalia��o

de riscos e da gest�o de risco;
e) divulga��o eficiente da seguran�a da informa��o para todos os gerentes,
funcion�rios e outras partes envolvidas para se alcan�ar a conscientiza��o;

f)
distribui��o de diretrizes e normas sobre a pol�tica de seguran�a da informa��o
para todos os gerentes, funcion�rios e outras partes envolvidas;
g)
provis�o de recursos financeiros para as atividades da gest�o de seguran�a da
informa��o;
h)
provis�o de conscientiza��o, treinamento e educa��o adequados;
i)
estabelecimento de um eficiente processo de gest�o de incidentes de seguran�a da
informa��o;
j)
implementa��o de um sistema de medi��o 1, que seja usado para avaliar o desempenho
da gest�o da seguran�a da informa��o e obten��o de sugest�es para a melhoria.
0.8 Desenvolvendo suas pr�prias diretrizes

Esta Norma pode ser considerada como um ponto de partida para o desenvolvimento de
diretrizes espec�ficas para a organiza��o. Nem todos os controles e diretrizes
contidos nesta Norma podem ser aplicados. Al�m disto, controles adicionais e
recomenda��es n�o inclu�dos nesta Norma podem ser necess�rios. Quando os documentos
s�o desenvolvidos contendo controles ou recomenda��es adicionais, pode ser �til
realizar uma refer�ncia cruzada para as se��es desta Norma, onde aplic�vel, para
facilitar a verifica��o da conformidade por auditores e parceiros do neg�cio.
1 Deve-se observar que as medi��es de seguran�a da informa��o est�o fora do escopo
desta Norma.
NORMA BRASILEIRA ABNT NBR 1S0/IEC 17799:2005
Tecnologia da informa��o -T�cnicas de seguran�a -C�digo de pr�tica para a gest�o da

1 Objetivo
Esta Norma estabelece diretrizes e princ�pios gerais para iniciar, implementar,
manter e melhorar a gest�o de seguran�a da informa��o em uma organiza��o. Os
objetivos definidos nesta Norma prov�em diretrizes gerais sobre as metas geralmente
aceitas para a gest�o da seguran�a da informa��o.
Os objetivos de controle e os controles desta Norma t�m como finalidade ser
implementados para atender aos requisitos identificados por meio da
an�lise/avalia��o de riscos. Esta Norma pode servir como um guia pr�tico para
desenvolver os procedimentos de seguran�a da informa��o da organiza��o e as
eficientes pr�ticas de gest�o da seguran�a, e para ajudar a criar confian�a nas
atividades interorganizacionais.
2 Termos e defini��es
Para os efeitos desta Norma, aplicam-se os seguintes termos e defini��es.
2.1 ativo
qualquer coisa que tenha valor para a organiza��o [1S0/IEC 13a3a35-1 :2004a]
2.2 controle
forma de gerenciar o risco, incluindo pol�ticas, procedimentos, diretrizes,
pr�ticas ou estruturas organizacionais, que podem ser de natureza administrativa,
t�cnica, de gest�o ou legal
NOTA Controle � tamb�m usado como um sin�mino para prote��o ou contramedida.
2.3 diretriz
descri��o que orienta o que deve ser feito e como, para se alcan�arem os objetivos
estabelecidos nas pol�ticas [1S0/IEC 13a3a35-1 :2004]
2.4 recursos de processamento da informa��o
qualquer sistema de processamento da informa��o, servi�o ou infra-estrutura, ou as

instala��es f�sicas que os abriguem
2.5
preserva��o da confidencialidade, da integridade e da disponibilidade da
informa��o; adicionalmente, outras propriedades, tais como autenticidade,
responsabilidade, n�o rep�dio e confiabilidade, podem tamb�m estar envolvidas
�ABNT 2005 -Todos os direitos reservados 1
2.6 evento de seguran�a da informa��o

ocorr�ncia identificada de um sistema, servi�o ou rede, que indica uma poss�vel
viola��o da pol�tica de seguran�a da informa��o ou falha de controles, ou uma
situa��o previamente desconhecida, que possa ser relevante para a seguran�a da
informa��o [ISO/IEC TR 18044:2004]
2.7
incidente de seguran�a da informa��o
um incidente de seguran�a da informa��o � indicado por um simples ou por uma s�rie
de eventos de seguran�a da informa��o indesejados ou inesperados, que tenham uma
grande probabilidade de comprometer as opera��es do neg�cio e amea�ar a seguran�a
da informa��o [ISO/IEC TR 18044:2004]
2.8 pol�tica
inten��es e diretrizes globais formalmente expressas pela dire��o
2.9 risco
combina��o da probabilidade de um evento e de suas conseq��ncias [ABNT ISO/IEC Guia
73a:2005]
2.10 an�lise de riscos

uso sistem�tico de informa��es para identificar fontes e estimar o risco [ABNT
ISO/IEC Guia 73a:2005]
2.11 an�lise/avalia��o de riscos

processo completo de an�lise e avalia��o de riscos [ABNT ISO/IEC Guia 73a:2005]
2.12 avalia��o de riscos

processo de comparar o risco estimado com crit�rios de risco pr�-definidos para
determinar a import�ncia do risco [ABNT ISO/IEC Guia 73a:2005]
2.13 gest�o de riscos

atividades coordenadas para direcionar e controlar uma organiza��o no que se refere
a riscos
NOTA A gest�o de riscos geralmente inclui a an�lise/avalia��o de riscos, o
tratamento de riscos, a aceita��o de riscos e a comunica��o de riscos.
[ABNT ISO/IEC Guia 73a:2005]
2.14 tratamento do risco

processo de sele��o e implementa��o de medidas para modificar um risco [ABNT
ISO/IEC Guia 73a:2005]
2.15 terceira parte
pessoa ou organismo reconhecido como independente das partes envolvidas, no que se

refere a um dado assunto [ABNT ISO/IEC Guia 2:1998]
2 �ABNT 2005 -Todos os direitos reservados
2.16 amea�a
causa potencial de um incidente indesejado, que pode resultar em dano para um
sistema ou organiza��o [ISO/IEC 13a3a35-1 :2004a]
2.17 vulnerabildade
fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais
amea�as
3 Estrutura desta Norma

Esta Norma cont�m 11 se��es de controles de seguran�a da informa��o, que juntas
totalizam 39 categorias principais de seguran�a e uma se��o introdut�ria que aborda
a an�lise/avalia��o e o tratamento de riscos.
3.1 Se��es
Cada se��o cont�m um n�mero de categorias principais de seguran�a da informa��o. As

11 se��es (acompanhadas com o respectivo n�mero de categorias) s�o:
a) Pol�tica de Seguran�a da Informa��o (1);
Organizando a Seguran�a da Informa��o (2);
c) Gest�o de Ativos (2);
d) Seguran�a em Recursos Humanos (3);
e) Seguran�a F�sica e do Ambiente (2);
f) Gest�o das Opera��es e Comunica��es (10);
g) Controle de Acesso (7);
i) j)
Aquisi��o, Desenvolvimento e Manuten��o de Sistemas de Informa��o (6); Gest�o de
Incidentes de Seguran�a da Informa��o (2);
Gest�o da Continuidade do Neg�cio (1);
k) Conformidade (3).
Nota: A ordem das se��es nesta Norma n�o significa o seu grau de import�ncia.
Dependendo das circunst�ncias, todas as se��es podem ser importantes. Portanto,
conv�m que cada organiza��o que utilize esta Norma identifique quais s�o os itens
aplic�veis, qu�o importantes eles s�o e a sua aplica��o para os processos
espec�ficos do neg�cio. Todas as al�neas nesta Norma tamb�m n�o est�o ordenadas por
prioridade, a menos que explicitado.
3.2 Principais categorias de seguran�a da informa��o

Cada categoria principal de seguran�a da informa��o cont�m:
a) um objetivo de controle que define o que deve ser alcan�ado; e
b) um ou mais controles que podem ser aplicados para se alcan�ar o objetivo do
controle. As descri��es dos controles est�o estruturadas da seguinte forma:
Controle
Define qual o controle espec�fico para atender ao objetivo do controle. Diretrizes
para a implementa��o
Cont�m informa��es mais detalhadas para apoiar a implementa��o do controle e

atender ao objetivo de controle. Algumas destas diretrizes podem n�o ser adequadas
em todos os casos e assim outras formas de implementa��o do controle podem ser mais
apropriadas.
Informa��es adicionais Cont�m informa��es adicionais que podem ser consideradas,

como, por exemplo, considera��es legais e refer�ncias a outras normas.
4 An�lise/avalia��o e tratamento de riscos

4.1 Analisando/avaliando os riscos de seguran�a da informa��o
Conv�m que as an�lises/avalia��es de riscos identifiquem, quantifiquem e priorizem
os riscos com base em crit�rios para aceita��o dos riscos e dos objetivos
relevantes para a organiza��o. Conv�m que os resultados orientem e determinem as
a��es de gest�o apropriadas e as prioridades para o gerenciamento dos riscos de
seguran�a da informa��o, e para a implementa��o dos controles selecionados, de
maneira a proteger contra estes riscos. O processo de avaliar os riscos e
selecionar os controles pode precisar ser realizado v�rias vezes, de forma a cobrir
diferentes partes da organiza��o ou de sistemas de informa��o espec�ficos.
Conv�m que a an�lise/avalia��o de riscos inclua um enfoque sistem�tico de estimar a
magnitude do risco (an�lise de riscos) e o processo de comparar os riscos estimados
contra os crit�rios de risco para determinar a signific�ncia do risco (avalia��o do
risco).
Conv�m que as an�lises/avalia��es de riscos tamb�m sejam realizadas periodicamente,
para contemplar as mudan�as nos requisitos de seguran�a da informa��o e na situa��o
de risco, ou seja, nos ativos, amea�as, vulnerabilidades, impactos, avalia��o do
risco e quando uma mudan�a significativa ocorrer. Essas an�lises/ avalia��es de
riscos devem ser realizadas de forma met�dica, capaz de gerar resultados
compar�veis e reproduz�veis.
Conv�m que a an�lise/avalia��o de riscos de seguran�a da informa��o tenha um escopo
claramente definido para ser eficaz e inclua os relacionamentos com as
an�lises/avalia��es de riscos em outras �reas, se necess�rio.
O escopo de uma an�lise/avalia��o de riscos pode tanto ser em toda a organiza��o,
partes da organiza��o, em um sistema de informa��o espec�fico, em componentes de um
sistema espec�fico ou em servi�os onde isto seja pratic�vel, real�stico e �til.
Exemplos de metodologias de an�lise/avalia��o de riscos s�o discutidas no 1S0/IEC
TR 13335-3 (Guidelines for the management of IT security: Techniques for the
management of IT Security).
4.2 Tratando os riscos de seguran�a da informa��o

Conv�m que, antes de considerar o tratamento de um risco, a organiza��o defina os
crit�rios para determinar se os riscos podem ser ou n�o aceitos. Riscos podem ser
aceitos se, por exemplo, for avaliado que o risco � baixo ou que o custo do
tratamento n�o � economicamente vi�vel para a organiza��o. Conv�m que tais decis�es
sejam registradas.
Para cada um dos riscos identificados, seguindo a an�lise/avalia��o de riscos, uma
decis�o sobre o tratamento do risco precisa ser tomada. Poss�veis op��es para o
tratamento do risco, incluem:
a)
aplicar controles apropriados para reduzir os riscos;
b)
conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente �
pol�tica da organiza��o e aos crit�rios para a aceita��o de risco;
c)
evitar riscos, n�o permitindo a��es que poderiam causar a ocorr�ncia de riscos;
d) transferir os riscos associados para outras partes, por exemplo, seguradoras ou

fornecedores.

a) os requisitos e restri��es de legisla��es e regulamenta��es nacionais e
internacionais;
b) os objetivos organizacionais;
c) os requisitos e restri��es operacionais;
d) custo de implementa��o e a opera��o em rela��o aos riscos que est�o sendo
reduzidos e que permanecem proporcionais �s restri��es e requisitos da organiza��o;
e) a necessidade de balancear o investimento na implementa��o e opera��o de

controles contra a probabilidade de danos que resultem em falhas de seguran�a da
informa��o.
Conv�m que, para aqueles riscos onde a decis�o de tratamento do risco seja a de
aplicar os controles apropriados, esses controles sejam selecionados e
implementados para atender aos requisitos identificados pela an�lise/avalia��o de
riscos. Conv�m que os controles assegurem que os riscos sejam reduzidos a um n�vel
aceit�vel, levando-se em conta:
Os controles podem ser selecionados desta Norma ou de outros conjuntos de
controles, ou novos controles podem ser considerados para atender �s necessidades
espec�ficas da organiza��o. � importante reconhecer que alguns controles podem n�o
ser aplic�veis a todos os sistemas de informa��o ou ambientes, e podem n�o ser
pratic�veis para todas as organiza��es. Como um exemplo, 10.1.3 descreve como as
responsabilidades podem ser segregadas para evitar fraudes e erros. Pode n�o ser
poss�vel para pequenas organiza��es segregar todas as responsabilidades e,
portanto, outras formas de atender o mesmo objetivo de controle podem ser
necess�rias. Em um outro exemplo, 10.10 descreve como o uso do sistema pode ser
monitorado e as evid�ncias coletadas. Os controles descritos, como, por exemplo,
eventos de "logging': podem conflitar com a legisla��o aplic�vel, tais como a
prote��o � privacidade dos clientes ou a exercida nos locais de trabalho.
Conv�m que os controles de seguran�a da informa��o sejam considerados na
especifica��o dos requisitos e nos est�gios iniciais dos projetos e sistemas. Caso
isso n�o seja realizado, pode acarretar custos adicionais e solu��es menos
efetivas, ou mesmo, no pior caso, incapacidade de se alcan�ar a seguran�a
necess�ria.
Conv�m que seja lembrado que nenhum conjunto de controles pode conseguir a
seguran�a completa, e que uma a��o gerencial adicional deve ser implementada para
monitorar, avaliar e melhorar a efici�ncia e efic�cia dos controles de seguran�a da
informa��o, para apoiar as metas da organiza��o.
5 Pol�tica de seguran�a da informa��o

5.1 Pol�tica de seguran�a da informa��o
Objetivo: Prover uma orienta��o e apoio da dire��o para a seguran�a da informa��o
de acordo com os requisitos do neg�cio e com as leis e regulamenta��es pertinentes.
Conv�m que a dire��o estabele�a uma clara orienta��o da pol�tica, alinhada com os
objetivos do neg�cio e demonstre apoio e comprometimento com a seguran�a da
informa��o por meio da publica��o e manuten��o de uma pol�tica de seguran�a da
informa��o para toda a organiza��o.
5.1.1 Documento da pol�tica de seguran�a da informa��o
Controle Conv�mque um documento da pol�tica de seguran�a da informa��o seja
aprovado pela dire��o, publicado e comunicado para todos os funcion�rios e partes
externas relevantes.
Diretrizes para implementa��o Conv�m que o documento da pol�tica de seguran�a da
informa��o declare o comprometimento da dire��o e estabele�a o enfoque da
organiza��o para gerenciar a seguran�a da informa��o. Conv�m que o documento da
pol�tica contenha declara��es relativas a:
a)
uma defini��o de seguran�a da informa��o, suas metas globais, escopo e import�ncia
da seguran�a da informa��o como um mecanismo que habilita o compartilhamento da
informa��o (ver introdu��o);
b)
uma declara��o do comprometimento da dire��o, apoiando as metas e princ�pios da
seguran�a da informa��o, alinhada com os objetivos e estrat�gias do neg�cio;
c)
uma estrutura para estabelecer os objetivos de controle e os controles, incluindo a
estrutura de an�lise/avalia��o e gerenciamento de risco;
d)
breve explana��o das pol�ticas, princ�pios, normas e requisitos de conformidade de
seguran�a da informa��o espec�ficos para a organiza��o, incluindo:
1) conformidade com a legisla��o e com requisitos regulamentares e contratuais;

2) requisitos de conscientiza��o, treinamento e educa��o em seguran�a da
informa��o;
3) gest�o da continuidade do neg�cio;
4) conseq��ncias das viola��es na pol�tica de seguran�a da informa��o;
e)
defini��o das responsabilidades gerais e espec�ficas na gest�o da seguran�a da
informa��o, incluindo
o registro dos incidentes de seguran�a da informa��o;
f)
refer�ncias � documenta��o que possam apoiar a pol�tica, por exemplo, pol�ticas e
procedimentos de seguran�a mais detalhados de sistemas de informa��o espec�ficos ou
regras de seguran�a que os usu�rios devem seguir.
Conv�m que esta pol�tica de seguran�a da informa��o seja comunicada atrav�s de toda
a organiza��o para os
usu�rios de forma que seja relevante, acess�vel e compreens�vel para o leitor em
foco. Informa��es adicionais A pol�tica de seguran�a da informa��o pode ser uma
parte de um documento da pol�tica geral. Se a pol�tica de seguran�a da informa��o
for distribu�da forada organiza��o, conv�m que sejam tomados cuidados para n�o
revelar informa��es sens�veis. Informa��es adicionais podem ser encontradas na
1S0/IEC 13335-1 :2004a.
5.1.2 An�lise cr�tica da pol�tica de seguran�a da informa��o

Controle Conv�mque a pol�tica de seguran�a da informa��o seja analisada
criticamente a intervalos planejados ou quando mudan�as significativas ocorrerem,
para assegurar a sua cont�nua pertin�ncia, adequa��o e efic�cia.
Diretrizes para implementa��o Conv�m que a pol�tica de seguran�a da informa��o
tenha um gestor que tenha responsabilidade de gest�o aprovada para desenvolvimento,
an�lise cr�tica e avalia��o da pol�tica de seguran�a da informa��o.Conv�m que a
an�lise cr�tica inclua a avalia��o de oportunidades para melhoria da pol�tica de
seguran�a da informa��o da organiza��o e tenha um enfoque para gerenciar a
seguran�a da informa��o em resposta �s mudan�as ao ambiente organizacional, �s
circunst�ncias do neg�cio, �s condi��es legais, ou ao ambiente t�cnico.
Conv�m que a an�lise cr�tica da pol�tica de seguran�a da informa��o leve em
considera��o os resultados da an�lise cr�tica pela dire��o. Conv�m que sejam
definidos procedimentos para an�lise cr�tica pela dire��o, incluindo uma
programa��o ou um per�odo para a an�lise cr�tica.
Conv�m que as entradas para a an�lise cr�tica pela dire��o incluam informa��es
sobre:
a)
realimenta��o das partes interessadas;
b)
resultados de an�lises cr�ticas independentes (ver 6.1.8);
c)
situa��o de a��es preventivas e corretivas (ver 6.1.8 e 15.2.1 );
d)
resultados de an�lises cr�ticas anteriores feitas pela dire��o;
e)
desempenho do processo e conformidade com a pol�tica de seguran�a da informa��o;
f)
mudan�as que possam afetar o enfoque da organiza��o para gerenciar a seguran�a da
informa��o, incluindo mudan�as no ambiente organizacional, nas circunst�ncias do
neg�cio, na disponibilidade dos recursos, nas quest�es contratuais, regulamentares
e de aspectos legais ou no ambiente t�cnico;
g)
tend�ncias relacionadas com as amea�as e vulnerabilidades;
h)
relato sobre incidentes de seguran�a da informa��o (ver 13.1);
i)
recomenda��es fornecidas por autoridades relevantes (ver 6.1.6). Conv�m que as
sa�das da an�lise cr�tica pela dire��o incluam quaisquer decis�es e a��es
relacionadas a:
a)
melhoria do enfoque da organiza��o para gerenciar a seguran�a da informa��o e seus
processos;
b)
melhoria dos controles e dos objetivos de controles;
c)
melhoria na aloca��o de recursos e/ou de responsabilidades. Conv�m que um registro
da an�lise cr�tica pela dire��o seja mantido.
6 Organizando a seguran�a da informa��o

6.1 Organiza��o interna
Objetivo: Gerenciar a seguran�a da informa��o dentro da organiza��o.
Conv�m que uma estrutura de gerenciamento seja estabelecida para iniciar e
controlar a implementa��o da seguran�a da informa��o dentro da organiza��o.
Conv�m que a dire��o aprove a pol�tica de seguran�a da informa��o, atribua as
fun��es da seguran�a, coordene e analise criticamente a implementa��o da seguran�a
da informa��o por toda a organiza��o.
Se necess�rio, conv�m que uma consultoria especializada em seguran�a da informa��o
seja estabelecida e disponibilizada dentro da organiza��o. Conv�m que contatos com
especialistas ou grupos de seguran�a da informa��o externos, incluindo autoridades
relevantes, sejam feitos para se manter atualizado com as tend�ncias de mercado,
monitorar normas e m�todos de avalia��o, al�m de fornecer apoio adequado, quando
estiver tratando de incidentes de seguran�a da informa��o. Conv�m que um enfoque
multidisciplinar na seguran�a da informa��o seja incentivado.
6.1.1 Comprometimento da dire��o com a seguran�a da informa��o
Controle Conv�mque a dire��o ap�ie ativamente a seguran�a da informa��o dentro da
organiza��o, por meio de um claro direcionamento, demonstrando o seu
comprometimento, definindo atribui��es de forma expl�cita e reconhecendo as
responsabilidades pela seguran�a da informa��o.
Diretrizes para implementa��o Conv�m que a dire��o:
a)
assegure que as metas de seguran�a da informa��o est�o identificadas, atendem aos
requisitos da organiza��o e est�o integradas nos processos relevantes;
b)
formule, analise criticamente e aprove a pol�tica de seguran�a da informa��o;
c)
analise criticamente a efic�cia da implementa��o da pol�tica de seguran�a da
informa��o;
d)
forne�a um claro direcionamento e apoio para as iniciativas de seguran�a da
informa��o;
e)
forne�a os recursos necess�rios para a seguran�a da informa��o;
f)
aprove as atribui��es de tarefas e responsabilidades espec�ficas para a seguran�a
da informa��o por toda a organiza��o;
g)
inicie planos e programas para manter a conscientiza��o da seguran�a da informa��o;
h)
assegure que a implementa��o dos controles de seguran�a da informa��o tem uma
coordena��o e permeia a organiza��o (ver 6.1.2).
Conv�m que a dire��o identifique as necessidades para a consultoria de um

especialista interno ou externo em seguran�a da informa��o, analise criticamente e
coordene os resultados desta consultoria por toda a organiza��o.
Dependendo do tamanho da organiza��o, tais responsabilidades podem ser conduzidas
por um f�rum de gest�o exclusivo ou por um f�rum de gest�o existente, a exemplo do
conselho de diretores.
Informa��es adicionais Outras informa��es podem ser obtidas na 1S0/IEC 1 3335-1 :

2004.
6.1.2 Coordena��o da seguran�a da informa��o

Controle Conv�m que as atividades de seguran�a da informa��o sejam coordenadas por
representantes de diferentes partes da organiza��o, com fun��es e pap�is
relevantes.
Diretrizes para implementa��o Conv�m que a coordena��o da seguran�a da informa��o
envolva a coopera��o e colabora��o de gerentes, usu�rios, administradores,
desenvolvedores, auditores, pessoal de seguran�a e especialistas com habilidades
nas �reas de seguro, quest�es legais, recursos humanos, TI e gest�o de riscos.
Conv�m que esta atividade:
a)
garanta que as atividades de seguran�a da informa��o s�o executadas em conformidade
com a pol�tica de seguran�a da informa��o;
b)
identifique como conduzir as n�o-conformidades;
c)
aprove as metodologias e processos para a seguran�a da informa��o, tais como
an�lise/avalia��o de riscos e classifica��o da informa��o;
d)
identifique as amea�as significativas e a exposi��o da informa��o e dos recursos de
processamento da informa��o �s amea�as;
avalie a adequa��o e coordene a implementa��o de controles de seguran�a da

informa��o;
f)
promova, de forma eficaz, a educa��o, o treinamento e a conscientiza��o pela
seguran�a da informa��o por toda a organiza��o;
g)
avalie as informa��es recebidas do monitoramento e da an�lise cr�tica dos
incidentes de seguran�a da informa��o, e recomende a��es apropriadas como resposta
para os incidentes de seguran�a da informa��o identificados.
Se a organiza��o n�o usa representantes das diferentes �reas, por exemplo, porque
tal grupo n�o � apropriado para o tamanho da organiza��o, conv�m que as a��es
descritas acima sejam conduzidas por um organismo de gest�o adequado ou por um
gestor individual.
6.1.3 Atribui��o de responsabilidades para a seguran�a da informa��o

Controle Conv�m que todas as responsabilidades pela seguran�a da informa��o,
estejam claramente definidas.
Diretrizes para implementa��oConv�m que a atribui��o das responsabilidades pela

seguran�a da informa��o seja feita em conformidade com a pol�tica de seguran�a da
informa��o (ver se��o 5). Conv�m que as responsabilidades pela prote��o de cada
ativo e pelo cumprimento de processos
de seguran�a da informa��o espec�ficos sejam claramente definidas. Conv�m que esta
responsabilidade seja complementada, onde for necess�rio, com orienta��es mais
detalhadas para locais espec�ficos e recursos de processamento de informa��es.
Conv�m que sejam claramente definidas as responsabilidades em cada local para a
prote��o dos ativos e para realizar processos de seguran�a da informa��o
espec�ficos, como, por exemplo, o plano de continuidade de neg�cios.
Pessoas com responsabilidades definidas pela seguran�a da informa��o podem delegar
as tarefas
de seguran�a da informa��o para outros usu�rios. Todavia eles continuam
respons�veis e conv�m que verifiquem se as tarefas delegadas est�o sendo executadas
corretamente.
Conv�m que as �reas pelas quais as pessoas sejam respons�veis, estejam claramente
definidas; em particular conv�m que os seguintes itens sejam cumpridos:
a)
os ativos e os processos de seguran�a da informa��o associados com cada sistema
sejam identificados e claramente definidos;
b)
gestor respons�vel por cada ativo ou processo de seguran�a da informa��o tenha
atribui��es definidas e os detalhes dessa responsabilidade sejam documentados (ver
7.1 .2);
c)
os n�veis de autoriza��o sejam claramente definidos e documentados.
Informa��es adicionais Em muitas organiza��es um gestor de seguran�a da informa��o
pode ser indicado para assumir a responsabilidade global pelo desenvolvimento e
implementa��o da seguran�a da informa��o e para apoiar a identifica��o de
controles.
Entretanto, a responsabilidade pela obten��o dos recursos e implementa��o dos
controles permanece sempre com os gestores. Uma pr�tica comum � indicar um
respons�vel por cada ativo, tornando-o assim respons�vel por sua prote��o no dia a
dia.
6.1.4 Processo de autoriza��o para os recursos de processamento da informa��o

Controle Conv�m que seja definido e implementado um processo de gest�o de
autoriza��o para novos recursos de processamento da informa��o.
Diretrizes para implementa��o Conv�m que as seguintes diretrizes sejam consideradas
no processo de autoriza��o:
a)
os novos recursos tenham a autoriza��o adequada por parte da administra��o de
usu�rios, autorizando seus prop�sitos e uso. Conv�m que a autoriza��o tamb�m seja
obtida junto ao gestor respons�vel pela manuten��o do sistema de seguran�a da
informa��o, para garantir que todas as pol�ticas e requisitos de seguran�a
relevantes sejam atendidos;
b)
hardware e o software sejam verificados para garantir que s�o compat�veis com
outros componentes do sistema, onde necess�rios;
c)
uso de recursos de processamento de informa��o, pessoais ou privados, como, por
exemplo, note books, computadores pessoais ou dispositivos do tipo palm top, para
processamento das informa��es do neg�cio, possa introduzir novas vulnerabilidades,
e conv�m que controles necess�rios sejam identificados e implementados.
6.1.5 Acordos de confidencialidade

Controle Conv�m que os requisitos para confidencialidade ou acordos de n�o
divulga��o que reflitam as necessidades da organiza��o para a prote��o da
informa��o sejam identificados e analisados criticamente, de forma regular.
Diretrizes paraimplementa��oConv�m que os acordos de confidencialidade e de n�o
divulga��o considerem os requisitos para proteger as informa��es confidenciais,
usando termos que s�o obrigados do ponto de vista legal. Para identificar os
requisitos para os acordos de confidencialidade ou de n�o divulga��o, conv�m que
sejam
considerados os seguintes elementos:
a) uma defini��o da informa��o a ser protegida (por exemplo, informa��o
confidencial);

b} tempo de dura��o esperado de um acordo, incluindo situa��es onde a
confidencialidade tenha que ser mantida indefinidamente;
a��es requeridas quando um acordo est� encerrado;
d)
responsabilidades e a��es dos signat�rios para evitar a divulga��o n�o autorizada
da informa��o (como o conceito "need to know'');
e)
propriet�rio da informa��o, segredos comerciais e de propriedade intelectual, e
como isto se relaciona com a prote��o da informa��o confidencial;
f)
uso permitido da informa��o confidencial e os direitos do signat�rio para usar a
informa��o;
g)
direito de auditar e monitorar as atividades que envolvem as informa��es
confidenciais;
h)
processo para notifica��o e relato de divulga��o n�o autorizada ou viola��o das
informa��esconfidenciais;
i)
termos para a informa��o ser retomada ou destru�da quando do t�rmino do acordo; e
j)
a��es esperadas a serem tomadas no caso de uma viola��o deste acordo.
Com base nos requisitos de seguran�a da informa��o da organiza��o, outros elementos

podem ser necess�rios em um acordo de confidencialidade ou de n�o divulga��o.
Conv�m que os acordos de confidencialidade e de n�o divulga��o estejam em
conformidade com todas as leis e regulamenta��es aplic�veis na jurisdi��o para a
qual eles se aplicam (ver 15.1.1)
Conv�m que os requisitos para os acordos de confidencialidade e de n�o divulga��o
sejam analisados criticamente de forma peri�dica e quando mudan�as ocorrerem que
influenciem estes requisitos.
Informa��es adicionais Acordos de confidencialidade e de n�o divulga��o protegem as

informa��es da organiza��o e informam aos signat�rios das suas responsabilidades,
para proteger, usar e divulgar a informa��o de maneira respons�vel e autorizada.
Pode haver a necessidade de uma organiza��o usar diferentes formas de acordos de
confidencialidade ou de n�o divulga��o, em diferentes circunst�ncias.
6.1.6 Contato com autoridades

Controle Conv�mque contatos apropriados com autoridades pertinentes sejam mantidos.
Diretrizes para implementa��o Conv�m que as organiza��es tenham procedimentos em

funcionamento que especifiquem quando e por quais autoridades (por exemplo,
obriga��es legais, corpo de bombeiros, autoridades fiscalizadoras) devem ser
contatadas e como os incidentes de seguran�a da informa��o identificados devem ser
notificados em tempo h�bil, no caso de suspeita de que a lei foi violada.
Organiza��es que estejam sob ataque da internet podem precisar do apoio de partes
externas � organiza��o (por exemplo, um provedor de servi�o da internet ou um
operador de telecomunica��es), para tomar a��es contra a origem do ataque.
Informa��es adicionais A manuten��o de tais contatos pode ser um requisito para
apoiar a gest�o de incidentes de seguran�a da informa��o (ver 13a.2) ou da
continuidade dos neg�cios e do processo de planejamento da conting�ncia (ver se��o
14a). Contatos com organismos reguladores s�o tamb�m �teis para antecipar e
preparar para as mudan�as futuras na lei ou nos regulamentos, os quais t�m que ser
seguidos pela organiza��o. Contatos com outras autoridades incluem utilidades,
servi�os de emerg�ncia, sa�de e seguran�a, por exemplo corpo de bombeiros (em
conjunto com a continuidade do neg�cio), provedores de telecomunica��o (em conjunto
com as rotas de linha e disponibilidade), fornecedor de �gua (em conjunto com as
instala��es de refrigera��o para os equipamentos).
6.1a.7 Contato com grupos especiais
Controle Conv�mque sejam mantidos contatos apropriados com grupos de interesses
especiais ou outros f�runs especializados de seguran�a da informa��o e associa��es
profissionais.
Diretrizes para implementa��o Conv�m que associa��o a grupos de interesses
especiais ou f�runs seja considerada como forma de:
a)
ampliar o conhecimento sobre as melhores pr�ticas e manter-se atualizado com as
informa��es relevantes sobre seguran�a da informa��o;
b)
assegurar que o entendimento do ambiente de seguran�a da informa��o est� atual e
completo;
c)
receber previamente advert�ncias de alertas, aconselhamentos e corre��es relativos
a ataques e vulnerabilidades;
d)
conseguir acesso � consultoria especializada em seguran�a da informa��o;
e)
compartilhar e trocar informa��es sobre novas tecnologias, produtos, amea�as ou
vulnerabilidades;
f)
prover relacionamentos adequados quando tratar com incidentes de seguran�a da
informa��o(ver 13a.2.1 ).
Informa��es adicionais Acordos de compartilhamento de informa��es podem ser

estabelecidos para melhorar a coopera��o e coordena��o de assuntos de seguran�a da
informa��o. Conv�m que tais acordos identifiquem requisitos para a prote��o de
informa��es sens�veis.
6.1a.8 An�lise cr�tica independente de seguran�a da informa��o

Controle Conv�mque o enfoque da organiza��o para gerenciar a seguran�a da
informa��o e a sua implementa��o(por exemplo, controles, objetivo dos controles,
pol�ticas, processos e procedimentos para a seguran�a da informa��o) seja analisado
criticamente, de forma independente, a intervalos planejados, ou quando ocorrerem
mudan�as significativas relativas � implementa��o da seguran�a da informa��o.
Diretrizes paraimplementa��o Conv�m que a
Tal an�lise cr�tica independente � necess�ria para assegurar a cont�nua

pertin�ncia, adequa��o e efic�cia do enfoque da organiza��o para gerenciar a
seguran�a da informa��o. Conv�m que a an�lise cr�tica inclua a avalia��o de
oportunidades para a melhoria e a necessidade de mudan�as para o enfoque da
seguran�a da informa��o, incluindo a pol�tica e os objetivos de controle.
Conv�m que a an�lise cr�tica seja executada por pessoas independentes da �rea
avaliada, como, por exemplo, uma fun��o de auditoria interna, um gerente
independente ou uma organiza��o de terceira parte especializada em tais an�lises
cr�ticas. Conv�m que as pessoas que realizem estas an�lises cr�ticas possuam
habilidade e experi�ncia apropriadas.
Conv�m que os resultados da an�lise cr�tica independente sejam registrados e
relatados para a dire��o que iniciou a an�lise cr�tica. Estes registros devem ser
mantidos.
Se a an�lise cr�tica independente identificar que o enfoque da organiza��o e a
implementa��o para gerenciar a seguran�a da informa��o s�o inadequados ou n�o-
conformes com as orienta��es estabelecidas para seguran�a da informa��o, no
documento da pol�tica de seguran�a da informa��o (ver 5.1.1 ), conv�m que a dire��o
considere a tomada de a��es corretivas.
Informa��es adicionais Conv�m que as �reas onde os gerentes regularmente fazem a
an�lise cr�tica (ver 15.2.1) possam tamb�m ser analisadas criticamente de forma
independente. T�cnicas para a an�lise cr�tica podem incluir entrevistas com a
ger�ncia, verifica��o de registros ou an�lise cr�tica dos documentos da pol�tica de
seguran�a da informa��o. A ABNT NBR ISO 19011 :2002, Diretrizes para auditoria de
sistemas de gest�o da qualidade e/ou do meio ambiente, pode tamb�m fornecer
orienta��es para se realizar a an�lise cr�tica independente, incluindo o
estabelecimento e a implementa��o de um programa de an�lise cr�tica. A subse��o
15.3 especifica os controles relevantes para a an�lise cr�tica independente de
sistemas de informa��es operacionais e o uso de ferramentas de auditoria de
sistemas.
6.2 Partes externas
Objetivo: Manter a seguran�a dos recursos de processamento da informa��o e da

informa��o da organiza��o, que s�o acessados, processados, comunicados ou
gerenciados por partes externas.
Conv�m que a seguran�a dos recursos de processamento da informa��o e da informa��o
da organiza��o n�o seja reduzida pela introdu��o de produtos ou servi�os oriundos
de partes externas.
Conv�m que qualquer acesso aos recursos de processamento da informa��o da
organiza��o e ao processamento e comunica��o da informa��o por partes externas seja
controlado.
Conv�m que seja feita uma an�lise/avalia��o dos riscos envolvidos para determinar
as poss�veis implica��es na seguran�a e os controles necess�rios, onde existir uma
necessidade de neg�cio para trabalhar com partes externas, que possa requerer
acesso aos recursos de processamento da informa��o e � informa��o da organiza��o,
ou na obten��o e fornecimento de um produto e servi�o de uma parte externa ou para
ela. Conv�m que os controles sejam acordados e definidos por meio de um acordo com
a parte externa.
6.2.1 Identifica��o dos riscos relacionados com partes externas
Controle Conv�m que os riscos para os recursos de processamento da informa��o e da
informa��o da organiza��o oriundos de processos do neg�cio que envolva as partes
externas sejam identificados e controles apropriados implementados antes de se
conceder o acesso.
Diretrizes para implementa��o

Conv�m que uma an�lise/avalia��o de riscos (ver se��o 4) seja feita para
identificar quaisquer requisitos de controles espec�ficos, onde existir uma
necessidade que permita o acesso de uma parte externa aos recursos de processamento
da informa��o ou � informa��o de uma organiza��o. Conv�m que a identifica��o de
riscos relativos ao acesso da parte externa leve em considera��o os seguintes
aspectos:
a) os recursos de processamento da informa��o que uma parte externa esteja
autorizada a acessar;
b)
tipo de acesso que a parte externa ter� aos recursos de processamento da informa��o
e � informa��o, como, por exemplo:
1) acesso f�sico ao escrit�rio, sala dos computadores, arquivos de pap�is;

2) acesso l�gico ao banco de dados da organiza��o e aos sistemas de informa��es;
3) rede de conex�o entre a organiza��o e a rede da parte externa, como, por
exemplo, conex�o permanente, acesso remoto;
4) se o acesso vai ser dentro ou fora da organiza��o;
c)
valor e a sensibilidade da informa��o envolvida, e a sua criticidade para as
opera��es do neg�cio;
d} os controles necess�rios para proteger a informa��o que n�o deva ser acessada
pelas partes externas;
e)
as pessoas das partes externas envolvidas no manuseio das informa��es da
organiza��o;
f)
como a organiza��o ou o pessoal autorizado a ter acesso pode ser identificado, como
a autoriza��o � verificada e com qual freq��ncia isto precisa ser reconfirmado;
g)
as diferentes formas e controles empregados pela parte externa quando estiver
armazenando, processando, comunicando, compartilhando e repassando informa��es;
h)
impacto do acesso n�o estar dispon�vel para a parte externa, quando requerido, e a
entrada ou o recebimento incorreto ou por engano da informa��o;
i)
pr�ticas e procedimentos para tratar com incidentes de seguran�a da informa��o e
danos potenciais, e os termos e condi��es para que a parte externa continue
acessando, no caso que ocorra um incidente de seguran�a da informa��o;
j)
que os requisitos legais e regulamentares e outras obriga��es contratuais
relevantes para a parte externa sejam levados em considera��o;
k)
como os interesses de quaisquer uma das partes interessadas podem ser afetados
pelos acordos.
Conv�m que o acesso �s informa��es da organiza��o pelas partes externas n�o seja
fornecido at� que os controles apropriados tenham sido implementados e, onde for
vi�vel, um contrato tenha sido assinado definindo os termos e condi��es para a
conex�o ou o acesso e os preparativos para o trabalho. Conv�m que, de uma forma
geral, todos os requisitos de seguran�a da informa��o resultantes do trabalho com
partes externas ou controles internos estejam refletidos por um acordo com a parte
externa (ver 6.2.2 e 6.2.3).
Conv�m que seja assegurado que a parte externa est� consciente de suas obriga��es,
e aceita as responsabilidades e obriga��es envolvendo o acesso, processamento,
comunica��o ou o gerenciamento dos recursos do processamento da informa��o e da
informa��o da organiza��o.
Informa��es adicionais A informa��o pode ser colocada em risco por partes externas
com uma gest�o inadequada da seguran�a da informa��o. Conv�m que os controles sejam
identificados e aplicados para administrar o acesso da parte externa aos recursos
de processamento da informa��o. Por exemplo, se existir uma necessidade especial
para a confidencialidade da informa��o, acordos de n�o divulga��o devem ser usados.
As organiza��es podem estar sujeitas a riscos associados com processos

interorganizacionais, gerenciamento e comunica��o, se um alto grau de terceiriza��o
for realizado, ou onde existirem v�rias partes externas envolvidas.
Os controles de 6.2.2 e 6.2.3 cobrem diferentes situa��es para as partes externas,

incluindo, por exemplo:
a)
provedores de servi�o, tais como /SP, provedores de rede, servi�os de telefonia e
servi�os de apoio e manuten��o;
b)
terceiriza��o de opera��es e recursos, como, por exemplo, sistemas de TI, servi�os
de coleta de dados, opera��o de central de atendimento (cal/ center);
c)
clientes;
d)
opera��es e/ou recursos de terceiriza��o, como, por exemplo, sistemas de TI,
servi�os de coleta de dados, opera��o de cal/ center,
e)
consultores em neg�cios e em gest�o, e auditores;
f)
desenvolvedores e fornecedores, como, por exemplo, de produtos de so'ftware e
sistemas de TI;
g)
pessoal de limpeza, servi�os de buf�s e outros servi�os de apoio terceirizados;
pessoal tempor�rio, estagi�rio e outras contrata��es de curta dura��o. Tais acordos

podem ajudar a reduzir o risco associado com as partes externas.
6.2.2 Identificando a seguran�a da informa��o, quando tratando com os clientes

Controle Conv�m que todos os requisitos de seguran�a da informa��o identificados
sejam considerados antes de conceder aos clientes o acesso aos ativos ou �s
informa��es da organiza��o.
Diretrizes para implementa��o Conv�m que os seguintes termos sejam considerados
para contemplar a seguran�a da informa��o antes de conceder aos clientes o acesso a
quaisquer ativos da organiza��o (dependendo do tipo e extens�o do acesso concedido,
nem todos os itens s�o aplic�veis):
a)
prote��o dos ativos, incluindo:
1)
procedimentos para proteger os ativos da organiza��o, incluindo informa��o e
so'ftware, e a gest�o de vulnerabilidades conhecidas;
2)
procedimentos para determinar se ocorreu qualquer comprometimento de ativos, por
exemplo, perda ou modifica��o de dados;"
3)
integridade;
4)
restri��es em rela��o a c�pias e divulga��o de informa��es;
b)
descri��o do produto ou servi�o a ser fornecido;
c) as diferentes raz�es, requisitos e benef�cios para o acesso do cliente;

d)
pol�ticas de controle de acesso, cobrindo:
1)
m�todos de acesso permitido e o controle e uso de identificadores �nicos, tais como
identificador de usu�rio e senhas de acesso;
2)
um processo de autoriza��o para acesso dos usu�rios e privil�gios;
3) uma declara��o de que todo o acesso que n�o seja explicitamente autorizado �
proibido;
4) um processo para revogar os direitos de acesso ou interromper a conex�o entre
sistemas;
e)
procedimentos para relato, notifica��o e investiga��o de informa��es imprecisas
(por exemplo, sobre pessoal), incidentes de seguran�a da informa��o e viola��o da
seguran�a da informa��o;
descri��o de cada servi�o que deve estar dispon�vel;
g)
os n�veis de servi�os acordados e os n�veis de servi�os inaceit�veis;
h)
direito de monitorar e revogar qualquer atividade relacionada com os ativos da
organiza��o;
i)
as respectivas responsabilidades legais da organiza��o e dos clientes;
j)
responsabilidades com rela��o a aspectos legais e como � assegurado que os
requisitos legais s�o atendidos, por exemplo, leis de prote��o de dados,
especialmente levando-se em considera��o os diferentes sistemas legais nacionais se
o acordo envolver a coopera��o com clientes em outros pa�ses (ver 15.1);
k)
direitos de propriedade intelectual e direitos autorais (ver 1 5.1 .2) e prote��o
de qualquer trabalho colaborativo (ver 6.1 .5).
Informa��es adicionais Os requisitos de seguran�a da informa��o relacionados com o

acesso dos clientes aos ativos da organiza��o podem variar consideravelmente,
dependendo dos recursos de processamento da informa��o e das informa��es que est�o
sendo acessadas. Estes requisitos de seguran�a da informa��o podem ser
contemplados, usando-se os acordos com o cliente, os quais cont�m todos os riscos
identificados e os requisitos de seguran�a da informa��o (ver 6.2.1 ).
Acordos com partes externas podem tamb�m envolver outras partes. Conv�m que os
acordos que concedam
o acesso a partes externas incluam permiss�o para designa��o de outras partes
eleg�veis e condi��es para os seus acessos e envolvimento.
6.2.3 Identificando seguran�a da informa��o nos acordos com terceiros

Controle Conv�m que os acordos com terceiros envolvendo o acesso, processamento,
comunica��o ou gerenciamento dos recursos de processamento da informa��o ou da
informa��o da organiza��o, ou o acr�scimo de produtos ou servi�os aos recursos de
processamento da informa��o cubram todos os requisitos de seguran�a da informa��o
relevantes.
Diretrizes para implementa��o Conv�m que o acordo assegure que n�o existe mal-
entendido entre a organiza��o e o terceiro. Conv�m que as organiza��es considerem a
possibilidade de indeniza��o do terceiro.
Conv�m que os seguintes termos
sejam considerados para inclus�o no acordo, com o objetivo de atender aos
requisitos de seguran�a da informa��o identificados (ver 6.2.1 ):
a) pol�tica de seguran�a da informa��o;
controles para assegurar a prote��o do ativo, incluindo:

1) procedimentos para proteger os ativos da organiza��o, incluindo informa��o,
software e hardware;
2) quaisquer mecanismos e controles para a prote��o f�sica requerida;
3) controles para assegurar prote��o contra software malicioso (ver 10.4.1 );

4) procedimentos para determinar se ocorreu qualquer comprometimento de ativos, por
exemplo, perda ou modifica��o de dados, software e hardware;
5) controles para assegurar o retorno ou a destrui��o da informa��o e dos ativos no
final do contrato, ou em um dado momento definido no acordo.
6) confidencialidade, integridade, disponibilidade e qualquer outra propriedade
relevante (ver 2.1.5) dos ativos;
7) restri��es em rela��o a e divulga��o de informa��es, e uso dos acordos de
confidencialidade (ver 6.1.5).
c)
treinamento dos usu�rios e administradores nos m�todos, procedimentos e seguran�a
da informa��o;
d)
assegurar a conscientiza��o dos usu�rios nas quest�es e responsabilidades pela
seguran�a da informa��o;
f)
provis�o para a transfer�ncia de pessoal, onde necess�rio;
f)
responsabilidades com rela��o � manuten��o e instala��o de software e hardware;
g)
uma estrutura clara de notifica��o e formatos de relat�rios acordados;
h)
um processo claro e definido de gest�o de mudan�as;
i)
pol�tica de controle de acesso, cobrindo:
1)
as diferentes raz�es, requisitos e benef�cios que justificam a necessidade do
acesso pelo terceiro;
2)
m�todos de acesso permitido e o controle e uso de identificadores �nicos, tais como
identificadores de usu�rios e senhas de acesso;
um processo de autoriza��o de acesso e privil�gios para os usu�rios;
4)
um requisito para manter uma lista de pessoas autorizadas a usar os servi�os que
est�o sendo disponibilizados, e quais os seus direitos e privil�gios com rela��o a
tal uso;
5)
uma declara��o de que todo o acesso que n�o seja explicitamente autorizado �
proibido;
6)
um processo para revogar os direitos de acesso ou interromper a conex�o entre
sistemas;
j) dispositivos para relato, notifica��o e investiga��o de incidentes de seguran�a

da informa��o e viola��o da seguran�a, bem como as viola��es dos requisitos
definidos no acordo;
k)
uma descri��o do produto ou servi�o que est� sendo fornecido e uma descri��o da
informa��o que deve estar dispon�vel, juntamente com a sua classifica��o de
seguran�a (ver 7.2.1 );
1)
n�veis de servi�os acordados e os n�veis de servi�os inaceit�veis;
m)
defini��o de crit�rios de desempenho verific�veis, seu monitoramento e relato;
n)
direito de monitorar e revogar qualquer atividade relacionada com os ativos da
organiza��o;
o)
direito de auditar as responsabilidades definidas do acordo, para ter essas
auditorias realizadas por terceira parte para enumerar os direitos regulamentares
dos auditores;
estabelecimento de um processo escalonado para resolu��o de problemas;
q)
requisitos para a continuidade dos servi�os, incluindo medi��es para
disponibilidade e confiabilidade, de acordo com as prioridades do neg�cio da
organiza��o;
r)
respectivas obriga��es das partes com o acordo;
s)
responsabilidades com rela��o a aspectos legais e como � assegurado que os
requisitos legais s�o atendidos, por exemplo, leis de prote��o de dados, levando-se
em considera��o especialmente os diferentes sistemas legais nacionais, se o acordo
envolver a coopera��o com organiza��es em outros pa�ses (ver 15.1 );
t)
direitos de propriedade intelectual e direitos autorais (ver 15.1.2) e prote��o de
qualquer trabalho colaborativo (ver 6.1e.5);
u)
envolvimento do terceiro com subfornecedores e os controles de seguran�a da
informa��o que esses subfornecedores precisam implementar;
v)
condi��es de renegocia��o ou encerramento de acordos:
1) um plano de conting�ncia deve ser elaborado no caso de uma das partes desejar
encerrar a rela��o antes do final do acordo;
2) renegocia��o dos acordos se os requisitos de seguran�a da organiza��o mudarem;
3) listas atualizadas da documenta��o dos ativos, licen�as, acordos ou direitos
relacionados aos ativos.
Informa��es adicionais Os acordos podem variar consideravelmente para diferentes
organiza��es e entre os diferentes tipos de terceiros. Portanto, conv�m que sejam
tomados cuidados para incluir nos acordos todos os riscos identificados e os
requisitos de seguran�a da informa��o (ver 6.2.1 ). Onde necess�rio, os
procedimentos e controles requeridos podem ser inclu�dos em um plano de gest�o de
seguran�a da informa��o.
Se a gest�o da seguran�a da informa��o for terceirizada, conv�m que os acordos
definam como os terceiros ir�o garantir que a seguran�a da informa��o, conforme
definida na an�lise/avalia��o de riscos, ser� mantida e como a seguran�a da
informa��o ser� adaptada para identificar e tratar com as mudan�as aos riscos.
Algumas das diferen�as entre as terceiriza��es e as outras formas de provis�o de
servi�os de terceiros incluem a quest�o das obriga��es legais, o planejamento do
per�odo de transi��o e de descontinuidade da opera��o durante este per�odo,
planejamento de conting�ncias e an�lise cr�tica de investiga��es, e coleta e gest�o
de incidentes de seguran�a da informa��o. Portanto, � importante que a organiza��o
planeje e gerencie a transi��o para um terceirizado e tenha processos adequados
implantados para gerenciar as mudan�as e renegociar ou encerrar os acordos.
Os procedimentos para continuar processando no caso em que o terceiro se torne
incapaz de prestar o servi�o precisam ser considerados no acordo para evitar
qualquer atraso nos servi�os de substitui��o.
Acordos com terceiros podem tamb�m envolver outras partes. Conv�m que os acordos
que concedam o acesso a terceiros incluam permiss�o para designa��o de outras
partes eleg�veis e condi��es para os seus acessos e envolvimento.
De um modo geral os acordos s�o geralmente elaborados pela organiza��o. Podem
existir situa��es onde, em algumas circunst�ncias, um acordo possa ser elaborado e
imposto � organiza��o pelo terceiro. A organiza��o precisa assegurar que a sua
pr�pria seguran�a da informa��o n�o � afetada desnecessariamente pelos requisitos
do terceiro, estipulados no acordo imposto.
Gest�o de ativos
7.1 Responsabilidade pelos ativos
Objetivo: Alcan�ar e manter a prote��o adequada dos ativos da organiza��o.
Conv�m que todos os ativos sejam inventariados e tenham um propriet�rio
respons�vel.
Conv�m que os propriet�rios dos ativos sejam identificados e a eles seja atribu�da
a responsabilidade pela manuten��o apropriada dos controles. A implementa��o de
controles espec�ficos pode ser delegada pelo propriet�rio, conforme apropriado,
por�m o propriet�rio permanece respons�vel pela prote��o adequada dos ativos.
7.1.1 Invent�rio dos ativos
Controle Conv�m que todos os ativos sejam claramente identificados e um invent�rio
de todos os ativos importantes seja estruturado e mantido.
Diretrizes para implementa��o Conv�m que a organiza��o identifique todos os ativos
e documente a import�ncia destes ativos. Conv�m que
o invent�rio do ativo inclua todas as informa��es necess�rias que permitam
recuperar de um desastre, incluindo o tipo do ativo, formato, localiza��o,
informa��es sobre c�pias de seguran�a, informa��es sobre licen�as e a import�ncia
do ativo para o neg�cio. Conv�m que o invent�rio n�o duplique outros invent�rios
desnecessariamente, por�m ele deve assegurar que o seu conte�do est� coerente.
Adicionalmente, conv�m que o propriet�rio (ver 7.1 .2) e a classifica��o da
informa��o (ver 7.2) sejam acordados e documentados para cada um dos ativos. Conv�m
que, com base na import�ncia do ativo, seu valor para o neg�cio e a sua
classifica��o de seguran�a, n�veis de prote��o proporcionais � import�ncia dos
ativos sejam identificados (mais informa��es sobre como valorar os ativos para
indicar a sua import�ncia podem ser encontradas na ISO IEC TR 1 3335-3).
Informa��es adicionais
Existem v�rios tipos de ativos, incluindo:
a)
ativos de informa��o: base de dados e arquivos, contratos e acordos, documenta��o
de sistema, informa��es sobre pesquisa, manuais de usu�rio, material de
treinamento, procedimentos de suporte ou opera��o, planos de continuidade do
neg�cio, procedimentos de recupera��o, trilhas de auditoria e informa��es
armazenadas;
b)
ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e
utilit�rios;
c)
ativos f�sicos: equipamentos computacionais, equipamentos de comunica��o, m�dias
remov�veis e outros equipamentos;
d)
servi�os: servi�os de computa��o e comunica��es, utilidades gerais, por exemplo
aquecimento, ilumina��o, eletricidade e refrigera��o;
e)
pessoas e suas qualifica��es, habilidades e experi�ncias;
f)
intang�veis, tais como a reputa��o e a imagem da organiza��o.
Os invent�rios de ativos ajudam a assegurar que a prote��o efetiva do ativo pode

ser feita e tamb�m pode ser requerido para outras finalidades do neg�cio, como
sa�de e seguran�a, seguro ou financeira (gest�o de ativos). O processo de
compila��o de um invent�rio de ativos � um pr�-requisito importante no
gerenciamento de riscos (ver se��o 4 ).
7.1.2 Propriet�rio dos ativos

Controle Conv�mque todas as informa��es e ativos associados com os recursos de
processamento da informa��o tenham um propriet�rio2 designado por uma parte
definida da organiza��o.
Diretrizes para implementa��o Conv�m que o propriet�rio do ativo seja respons�vel
por:
a)
assegurar que as informa��es e os ativos associados com os recursos de
processamento da informa��o estejam adequadamente classificados;
b)
definir e periodicamente analisar criticamente as classifica��es e restri��es ao
acesso, levando em conta as pol�ticas de controle de acesso, aplic�veis.
O propriet�rio pode ser designado para:

a)
um processo do neg�cio;
b)
um conjunto de atividades definidas;
c)
uma aplica��o; ou
d)
um conjunto de dados definido.
Informa��es adicionais As tarefas de rotina podem ser delegadas, por exemplo, para
um custodiante que cuida do ativo no dia-a-dia, por�m a responsabilidade permanece
com o propriet�rio.
Em sistemas de informa��o complexos pode ser �til definir grupos de ativos que
atuem juntos para fornecer uma fun��o particular, como servi�os. Neste caso, o
propriet�rio do servi�o � o respons�vel pela entrega do servi�o, incluindo o
funcionamento dos ativos, que prov� os servi�os.
7.1.3 Uso aceit�vel dos ativos

Controle Conv�mque sejam identificadas, documentadas e implementadas regras para
que sejam permitidos o uso de informa��es e de ativos associados aos recursos de
processamento da informa��o.
Diretrizes para implementa��o Conv�m que todos os funcion�rios, fornecedores e
terceiros sigam as regras para o uso permitido de informa��es e de ativos
associados aos recursos de processamento da informa��o, incluindo:
a)
regras para o uso da internet e do correio eletr�nico (ver 10.8);
b)
diretrizes para o uso de dispositivos m�veis, especialmente para o uso fora das
instala��es da organiza��o (ver 11. 7 .1 ).
2 O termo "propriet�rio" identifica uma pessoa ou organismo que tenha uma

responsabilidade autorizada para controlar a produ��o, o desenvolvimento, a
manuten��o, o uso e a seguran�a dos ativos. O termo "propriet�rio" n�o significa
que a pessoa realmente tenha qualquer direito de propriedade ao ativo.
Conv�m que regras espec�ficas ou diretrizes sejam fornecidas pelo gestor relevante.
Conv�m que funcion�rios, fornecedores e terceiros que usem ou tenham acesso aos
ativos da organiza��o estejam conscientes dos limites que existem para os usos das
informa��es e ativos associados da organiza��o aos recursos de processamento da
informa��o. Conv�m que eles sejam respons�veis pelo uso de quaisquer recursos de
processamento da informa��o e de quaisquer outros usos conduzidos sob a suas
responsabilidades.
7.2 Classifica��o da informa��o

Objetivo: Assegurar que a informa��o receba um n�vel adequado de prote��o.
Conv�m que a informa��o seja classificada para indicar a necessidade, prioridades e
o n�vel esperado de prote��o quando do tratamento da informa��o.
A informa��o possui v�rios n�veis de sensibilidade e criticidade. Alguns itens
podem necessitar um n�vel adicional de prote��o ou tratamento especial. Conv�m que
um sistema de classifica��o da informa��o seja usado para definir um conjunto
apropriado de n�veis de prote��o e determinar a necessidade de medidas especiais de
tratamento.
7.2.1 Recomenda��es para classifica��o
Controle Conv�m que a informa��o seja classificada em termos do seu valor,
requisitos legais, sensibilidade e criticidade para a organiza��o.
Diretrizes para implementa��o Conv�m que a classifica��o da informa��o e seus
respectivos controles de prote��o levem em considera��o as necessidades de
compartilhamento ou restri��o de informa��es e os respectivos impactos nos
neg�cios, associados com tais necessidades.
Conv�m que as diretrizes para classifica��o incluam conven��es para classifica��o
inicial e reclassifica��o ao longo do tempo, de acordo com algumas pol�ticas de
controle de acesso predeterminadas (ver 11.1.1)
Conv�m que seja de responsabilidade do propriet�rio do ativo (ver 7.1.2) definir a
classifica��o de um ativo, analisando-o criticamente a intervalos regulares, e
assegurar que ele est� atualizado e no n�vel apropriado. Conv�m que a classifica��o
leve em considera��o a agrega��o do efeito mencionado em 10.7.2.
Conv�m que cuidados sejam tomados com a quantidade de categorias de classifica��o e
com os benef�cios obtidos pelo seu uso. Esquemas excessivamente complexos podem
tornar o uso inc�modo e ser invi�veis economicamente ou impratic�veis. Conv�m que
aten��o especial seja dada na interpreta��o dos r�tulos de classifica��o sobre
documentos de outras organiza��es, que podem ter defini��es diferentes para r�tulos
iguais ou semelhantes aos usados.
Informa��es adicionais O n�vel de prote��o pode ser avaliado analisando a
confidencialidade, a integridade e a disponibilidade da informa��o, bem como
quaisquer outros requisitos que sejam considerados.
A informa��o freq�entemente deixa de ser sens�vel ou cr�tica ap�s um certo per�odo

de tempo, por exemplo quando a informa��o se torna p�blica. Conv�m que estes
aspectos sejam levados em considera��o, pois uma classifica��o superestimada pode
levar � implementa��o de custos desnecess�rios, resultando em despesas adicionais.
Considerar, conjuntamente, documentos com requisitos de seguran�a similares, quando
da atribui��o dos n�veis de classifica��o, pode ajudar a simplificar a tarefa de
classifica��o.
Em geral, a classifica��o dada � informa��o � uma maneira de determinar como esta

informa��o vai ser tratada e protegida.
7.2.2 R�tulos e tratamento da informa��o

Controle Conv�m que um conjunto apropriado de procedimentos para rotula��o e
tratamento da informa��o seja definido e implementado de acordo com o esquema de
classifica��o adotado pela organiza��o.
Diretrizes para implementa��o Os procedimentos para rotula��o da informa��o
precisam abranger tanto os ativos de informa��o no formato f�sico quanto no
eletr�nico.
Conv�m que as sa�das de sistemas que cont�m informa��es classificadas como
sens�veis ou cr�ticas tenham
o r�tulo apropriado da classifica��o da informa��o (na sa�da). Conv�m que o r�tulo
reflita a classifica��o de acordo com as regras estabelecidas em 7.2.1. Itens que
devem ser considerados incluem relat�rios impressos, telas, m�dias magn�ticas
(fitas, discos, CD), mensagens eletr�nicas e transfer�ncias de arquivos.
Conv�m que sejam definidos, para cada n�vel de classifica��o, procedimentos para o
tratamento da informa��o que contemplem o processamento seguro, a armazenagem, a
transmiss�o, a reclassifica��o e a destrui��o. Conv�m que isto tamb�m inclua os
procedimentos para a cadeia de cust�dia e registros de qualquer evento de seguran�a
relevante.
Conv�m que acordos com outras organiza��es, que incluam o compartilhamento de
informa��es, considerem procedimentos para identificar a classifica��o daquela
informa��o e para interpretar os r�tulos de classifica��o de outras organizac�es.
Informa��es adicionais A rotula��o e o tratamento seguro da classifica��o da

informa��o � um requisito-chave para os procedimentos de compartilhamento da
informa��o. Os r�tulos f�sicos s�o uma forma usual de rotula��o. Entretanto, alguns
ativos de informa��o, como documentos em forma eletr�nica, n�o podem ser
fisicamente rotulados, sendo necess�rio usar um r�tulo eletr�nico. Por exemplo, a
notifica��o do r�tulo pode aparecer na tela ou no disp/ay.Onde a aplica��o do
r�tulo n�o for poss�vel, outras formas de definir a classifica��o da informa��o
podem ser usadas, por exemplo, por meio de procedimentos ou metadados.
8 Seguran�a em recursos humanos

8.1 Antes da contrata��o3
Objetivo: Assegurar que os funcion�rios, fornecedores e terceiros entendam suas
responsabilidades e estejam de acordo com os seus pap�is, e reduzir o risco de
furto ou roubo, fraude ou mau uso de recursos.
Conv�m que as responsabilidades pela seguran�a da informa��o sejam atribu�das antes
da contrata��o, de forma adequada, nas descri��es de cargos e nos termos e
condi��es de contrata��o.
Conv�m que todos os candidatos ao emprego, fornecedores e terceiros sejam
adequadamente analisados, especialmente em cargos com acesso a informa��es
sens�veis.
Conv�m que todos os funcion�rios, fornecedores e terceiros, usu�rios dos recursos
de processamento da informa��o, assinem acordos sobre seus pap�is e
responsabilidades pela seguran�a da informa��o.
8.1.1 Pap�is e responsabilidades
Controle Conv�m que pap�is e responsabilidades pela seguran�a da informa��o de
funcion�rios, fornecedores e terceiros sejam definidos e documentados de acordo com
a pol�tica de seguran�a da informa��o da organiza��o.
Diretrizes para implementa��o Conv�m que os pap�is e responsabilidades pela
seguran�a da informa��o incluam requisitos para:
a)
implementar e agir de acordo com as pol�ticas de seguran�a da informa��o da
organiza��o (ver 5.1 );
proteger ativos contra acesso n�o autorizado, divulga��o, modifica��o, destrui��o

ou interfer�ncia;
c)
executar processos ou atividades particulares de seguran�a da informa��o;
d)
assegurar que a responsabilidade � atribu�da � pessoa para tomada de a��es;
e)
relatar eventos potenciais ou reais de seguran�a da informa��o ou outros riscos de
seguran�a para a organiza��o.
Conv�m que pap�is e responsabilidades de seguran�a da informa��o sejam definidos e

claramente comunicados aos candidatos a cargos, durante o processo de pr�-
contrata��o.
Informa��es adicionais Descri��es de cargos podem ser usadas para documentar
responsabilidades e pap�is pela seguran�a da informa��o. Conv�m que pap�is e
responsabilidades pela seguran�a da informa��o para pessoas que n�o est�o engajadas
por meio do processo de contrata��o da organiza��o, como, por exemplo, atrav�s de
uma organiza��o terceirizada, sejam claramente definidos e comunicados.
Explica��o: A palavra "contrata��o", neste contexto, visa cobrir todas as seguintes

diferentes
situa��es: contrata��o de pessoas (tempor�rias ou por longa dura��o), nomea��o de
fun��es, mudan�a de fun��es, atribui��es de contratos e encerramento de quaisquer
destas situa��es.
8.1.2 Sele��o
Controle Conv�mque verifica��es do hist�rico de todos os candidatos a emprego,
fornecedores e terceiros sejam realizadas de acordo com a �tica, as leis e as
regulamenta��es pertinentes, e proporcionais aos requisitos do neg�cio, �
classifica��o das informa��es a serem acessadas e aos riscos percebidos.
Diretrizes para implementa��o Conv�m que as verifica��es levem em considera��o toda
a legisla��o pertinente relativa � privacidade,prote��o de dados pessoais e/ou
emprego, e onde permitido, incluam os seguintes itens:
a)
disponibilidade de refer�ncias de car�ter satisfat�rias, por exemplo uma
profissional e uma pessoal;
b)
uma verifica��o (da exatid�o e inteireza) das informa��es do curriculum vitae do
candidato;
c)
confirma��o das qualifica��es acad�micas e profissionais;
d)
verifica��o independente da identidade (passaporte ou documento similar);
e)
verifica��es mais detalhadas, tais como verifica��es financeiras (de cr�dito) ou
verifica��es de registros criminais.
Conv�m que a organiza��o tamb�m fa�a verifica��es mais detalhadas, onde um trabalho
envolver pessoas, tanto por contrata��o como por promo��o, que tenham acesso aos
recursos de processamento da informa��o, em particular aquelas que tratam de
informa��es sens�veis, tais como informa��es financeiras ou informa��es altamente
confidenciais.
Conv�m que os procedimentos definam crit�rios e limita��es para as verifica��es de
controle, por exemplo, quem est� qualificado para selecionar as pessoas, e como,
quando e por que as verifica��es de controle s�o realizadas.
Conv�m que um processo de sele��o tamb�m seja feito para fornecedores e terceiros.
Quando essas pessoas v�m por meio de uma ag�ncia, conv�m que o contrato especifique
claramente as responsabilidades da ag�ncia pela sele��o e os procedimentos de
notifica��o que devem ser seguidos se a sele��o n�o for devidamente conclu�da ou
quando os resultados obtidos forem motivos de d�vidas ou preocupa��es.Do mesmo
modo, conv�m que acordos com terceiros (ver 6.2.3a) especifiquem claramente todas
as responsabilidades e procedimentos de notifica��o para a sele��o.
Conv�m que informa��es sobre todos os candidatos que est�o sendo considerados para
certas posi��esdentro da organiza��o sejam levantadas e tratadas de acordo com
qualquer legisla��o apropriada existente na jurisdi��o pertinente. Dependendo da
legisla��o aplic�vel, conv�m que os candidatos sejam previamente informados sobre
as atividades de sele��o.
8.1.3 Termos e condi��es de contrata��o
Controle Como parte das suas obriga��es contratuais, conv�m que os funcion�rios,
fornecedores e terceiros concordem e assinem os termos e condi��es de sua
contrata��o para o trabalho, os quais devem declarar as suas responsabilidades e a
da organiza��o para a seguran�a da informa��o.
Diretrizes para implementa��o Conv�m que os termos e condi��es de trabalho reflitam

a pol�tica de seguran�a da organiza��o, esclarecendo e declarando:
a)
que todos os funcion�rios, fornecedores e terceiros que tenham acesso a informa��es
sens�veis assinem um termo de confidencialidade ou de n�o divulga��o antes de lhes
ser dado o acesso aos recursos de processamento da informa��o;
b)
as responsabilidades legais e direitos dos funcion�rios, fornecedores e quaisquer
outros usu�rios, por exemplo, com rela��o �s leis de direitos autorais ou �
legisla��o de prote��o de dados (ver 15.1.1 e 15.1e.2);
c)
as responsabilidades pela classifica��o da informa��o e pelo gerenciamento dos
ativos da organiza��o associados com os sistemas de informa��o e com os servi�os
conduzidos pelos funcion�rios, fornecedores ou terceiros (ver 7.2.1 e 10.7.3);
d} as responsabilidades dos funcion�rios, fornecedores e terceiros pelo tratamento

da informa��o recebida de outras companhias ou de partes externas;
e)
responsabilidades da organiza��o pelo tratamento das informa��es pessoais,
incluindo informa��es pessoais criadas como resultado de, ou em decorr�ncia da,
contrata��o com a organiza��o (ver 15.1e.4);
f)
responsabilidades que se estendem para fora das depend�ncias da organiza��o e fora
dos hor�rios normais de trabalho, como, por exemplo, nos casos de execu��o de
trabalhos em casa (ver 9.2.5 e 11.7.1);
g)
a��es a serem tomadas no caso de o funcion�rio, fornecedor ou terceiro desrespeitar
os requisitos de seguran�a da informa��o da organiza��o (ver 8.2.3).
Conv�m que a organiza��o assegure que os funcion�rios, fornecedores e terceiros

concordam com os termos e condi��es relativas � seguran�a da informa��o adequados �
natureza e extens�o do acesso que eles ter�o aos ativos da organiza��o associados
com os sistemas e servi�os de informa��o.
Conv�m que as responsabilidades contidas nos termos e condi��es de contrata��o
continuem por um per�odo de tempo definido, ap�s o t�rmino da contrata��o (ver
8.3), onde apropriado.
Um c�digo de conduta pode ser usado para contemplar as responsabilidades dos
funcion�rios, fornecedores ou terceiros, em rela��o � confidencialidade, prote��o
de dados, �ticas, uso apropriado dos recursos e dos equipamentos da organiza��o,
bem como pr�ticas de boa conduta esperada pela organiza��o. O fornecedor ou o
terceiro pode estar associado com uma organiza��o externa que possa, por sua vez,
ser solicitada a participar de acordos contratuais, em nome do contratado.
8.2 Durante a contrata��o

Objetivo: Assegurar que os funcion�rios, fornecedores e terceiros est�o conscientes
das amea�as e preocupa��es relativas � seguran�a da informa��o, suas
responsabilidades e obriga��es, e est�o preparados para apoiar a pol�tica de
seguran�a da informa��o da organiza��o durante os seus trabalhos normais, e para
reduzir o risco de erro humano.
Conv�m que as responsabilidades pela dire��o sejam definidas para garantir que a
seguran�a da informa��o � aplicada em todo trabalho individual dentro da
organiza��o.
Conv�m que um n�vel adequado de conscientiza��o, educa��o e treinamento nos
procedimentos de seguran�a da informa��o e no uso correto dos recursos de
processamento da informa��o seja fornecido para todos os funcion�rios, fornecedores
e terceiros, para minimizar poss�veis riscos de seguran�a da informa��o. Conv�m que
um processo disciplinar formal para tratar das viola��es de seguran�a da informa��o
seja estabelecido.
8.2.1 Responsabilidades da dire��o
Controle Conv�m que a dire��o solicite aos funcion�rios, fornecedores e terceiros
que pratiquem a seguran�a da informa��o de acordo com o estabelecido nas pol�ticas
e procedimentos da organiza��o.
Diretrizes para implementa��o Conv�m que as responsabilidades da dire��o assegurem
que os funcion�rios, fornecedores e terceiros:
a)
est�o adequadamente instru�dos sobre as suas responsabilidades e pap�is pela
seguran�a da informa��o antes de obter acesso �s informa��es sens�veis ou aos
sistemas de informa��o;
b)
recebam diretrizes que definam quais as expectativas sobre a seguran�a da
informa��o de suas atividades dentro da organiza��o;
est�o motivados para cumprir com as pol�ticas de seguran�a da informa��o da

organiza��o;
d)
atinjam um n�vel de conscientiza��o sobre seguran�a da informa��o que seja
relevante para os seus pap�is e responsabilidades dentro da organiza��o (ver
8.2.2);
atendam aos termos e condi��es de contrata��o, que incluam a pol�tica de seguran�a

da informa��o da organiza��o e m�todos apropriados de trabalho;
tenham as habilidades e qualifica��es apropriadas.
Informa��es adicionais Se os funcion�rios, fornecedores e terceiros n�o forem
conscientizados das suas responsabilidades, eles podem causar consider�veis danos
para a organiza��o. Pessoas motivadas t�m uma maior probabilidade de serem mais
confi�veis e de causar menos incidentes de seguran�a da informa��o.
Uma m� gest�o pode causar �s pessoas o sentimento de sub-valoriza��o, resultando em
um impacto de seguran�a da informa��o negativo para a organiza��o. Por exemplo, uma
m� gest�o pode levar a seguran�a da informa��o a ser negligenciada ou a um
potencial mau uso dos ativos da organiza��o.
8.2.2 Conscientiza��o, educa��o e treinamento em seguran�a da informa��o

Controle Conv�m que todos os funcion�rios da organiza��o e, onde pertinente,
fornecedores e terceiros recebam Diretrizes para implementa��o Conv�m que o
treinamento em conscientiza��o comece com um processo formal de indu��o concebido
para introduzir as pol�ticas e expectativas de seguran�a da informa��o da
organiza��o, antes que seja dado o acesso �s informa��es ou servi�os.
treinamento apropriados em conscientiza��o, e atualiza��es regulares nas
pol�ticas e procedimentos
organizacionais, relevante s par a as suas fun��es.
Conv�m que os treinamentos em curso incluam requisitos de seguran�a da informa��o,

responsabilidades legais e controles do neg�cio, bem como o treinamento do uso
correto dos recursos de processamento da informa��o, como, por exemplo,
procedimentos de log-on, o uso de pacotes de software e informa��es sobre o
processo disciplinar (ver 8.2.3).
Informa��es adicionais Conv�m que a conscientiza��o, educa��o e treinamento nas
atividades de seguran�a da informa��o sejam adequados e relevantes para os pap�is,
responsabilidades e habilidades da pessoa, e que incluam informa��es sobre
conhecimento de amea�as, quem deve ser contatado para orienta��es sobre seguran�a
da informa��o e os canais adequados para relatar os incidentes de seguran�a da
informa��o (ver 13.1 ).
O treinamento para aumentar a conscientiza��o visa permitir que as pessoas
reconhe�am os problemas e incidentes de seguran�a da informa��o, e respondam de
acordo com as necessidades do seu trabalho.
8.2.3 Processo disciplinar

Controle Conv�m que exista um processo disciplinar formal para os funcion�rios que
tenham cometido uma viola��o da seguran�a da informa��o.
Diretrizes para implementa��o Conv�m que o processo disciplinar n�o inicie sem uma
verifica��o pr�via de que a viola��o da seguran�a da informa��o realmente ocorreu
(ver 13.2.3 em coleta de evid�ncias).
Conv�m que o processo disciplinar formal assegure um tratamento justo e correto aos
funcion�rios que s�o suspeitos de cometer viola��es de seguran�a da informa��o. O
processo disciplinar formal deve dar uma resposta de forma gradual, que leve em
considera��o fatores como a natureza e a gravidade da viola��o e o seu impacto no
neg�cio, se este � ou n�o o primeiro delito, se o infrator foi ou n�o adequadamente
treinado, as legisla��es relevantes, os contratos do neg�cio e outros fatores
conforme requerido. Em casos s�rios de m� conduta, conv�m que o processo permita a
imediata remo��o das atribui��es, direitos de acesso e privil�gios e, dependendo da
situa��o, solicitar � pessoa, a sa�da imediata das depend�ncias da organiza��o,
escoltando-a.
Informa��es adicionais Conv�m que o processo disciplinar tamb�m seja usado como uma
forma de dissuas�o, para evitar que os funcion�rios, fornecedores e terceiros
violem os procedimentos e as pol�ticas de seguran�a da informa��o da organiza��o, e
quaisquer outras viola��es na seguran�a.
8.3 Encerramento ou mudan�a da contrata��o
: Assegurar que funcion�rios, fornecedores e terceiros deixem a organiza��o ou

mudem de trabalho de forma
ordenada.
Conv�m que responsabilidades sejam definidas para assegurar que a sa�da de

funcion�rios, fornecedores e terceiros da organiza��o seja feita de modo controlado
e que a devolu��o de todos os equipamentos e a retirada de todos os direitos de
acesso est�o conclu�das.
8.3.1 Encerramento de atividades

Controle
Conv�mque responsabilidades para realizar o encerramento ou a mudan�a de um

trabalho sejam claramente definidas e atribu�das.
Diretrizes
para implementa��o
Conv�m
que a comunica��o de encerramento de atividades inclua requisitos de seguran�a e
responsabilidades legais existentes e, onde apropriado, responsabilidades contidas
em quaisquer acordos de confidencialidade (ver 6.1.5) e os termos e condi��es de
trabalho (ver 8.1.3a) que continuem por um per�ododefinido ap�s o fim do trabalho
do funcion�rio, do fornecedor ou do terceiro.
Conv�m que as responsabilidades e obriga��es contidas nos contratos dos

funcion�rios, fornecedores ou terceiros permane�am v�lidas ap�s o encerramento das
atividades.
Conv�m que as mudan�as de responsabilidades ou do trabalho sejam gerenciadas quando
do encerramento da respectiva responsabilidade ou do trabalho, e que novas
responsabilidades ou trabalho sejam controladas conforme descrito em 8.1.
Informa��es
adicionais
A
fun��o de Recursos Humanos � geralmente respons�vel pelo processo global de
encerramento e trabalha em conjunto com o gestor respons�vel pela pessoa que est�
saindo, para gerenciar os aspectos de seguran�a da informa��o dos procedimentos
pertinentes. No caso de um fornecedor, o processo de encerramento de atividades
pode ser realizado por uma ag�ncia respons�vel pelo fornecedor e, no caso de um
outro usu�rio, isto pode ser tratado pela sua organiza��o.
Pode ser necess�rio informar aos funcion�rios, clientes, fornecedores ou terceiros

sobre as mudan�as de pessoal e procedimentos operacionais.
8.3.2 Devolu��o de ativos

Controle
Conv�mque todos os funcion�rios, fornecedores e terceiros devolvam todos os ativos

da organiza��o que estejam em sua posse, ap�s o encerramento de suas atividades, do
contrato ou acordo.
Diretrizes
Conv�m
que o processo de encerramento de atividades seja formalizado para contemplar a
devolu��o de todos os equipamentos, documentos corporativos e software entregues �
pessoa. Outros ativos da organiza��o, tais como dispositivos de computa��o m�vel,
cart�es de cr�ditos, cart�es de acesso, software, manuais e informa��es armazenadas
em m�dia eletr�nica, tamb�m precisam ser devolvidos.
No caso em que um funcion�rio, fornecedor ou terceiro compre o equipamento da

organiza��o ou use o seu pr�prio equipamento pessoal, conv�m que procedimentos
sejam adotados para assegurar que toda a informa��o relevante seja transferida para
a organiza��o e que seja apagada de forma segura do equipamento (ver 10.7.1).
para as atividades que s�o executadas, conv�m que este conhecimento seja
documentado e transferido para a organiza��o.
8.3.3 Retirada de direitos de acesso
Controle
Conv�mque os direitos de acesso de todos os funcion�rios, fornecedores e terceiros
�s informa��es e aos recursos de processamento da informa��o sejam retirados ap�s o
encerramento de suas atividades, contratos
Diretrizes para implementa��o Conv�m que os direitos de acesso da pessoa aos ativos
associados com os sistemas de informa��o e servi�os sejam reconsiderados, ap�s o
encerramento das atividades. Isto ir� determinar se � necess�rio retirar os
direitos de acesso. Conv�m que mudan�as de uma atividade sejam refletidas na
retirada de todos os direitos de acesso que n�o foram aprovados para o novo
trabalho. Conv�m que os direitos de acesso que sejam retirados ou adaptados incluam
o acesso l�gico e f�sico, chaves, cart�es de identifica��o, recursos de
processamento da informa��o (ver 11.2.4), subscri��es e retirada de qualquer
documenta��o que os identifiquem como um membro atual da organiza��o. Caso o
funcion�rio, fornecedor ou terceiro que esteja saindo tenha conhecimento de senhas
de contas que permanecem ativas, conv�m que estas sejam alteradas ap�s um
encerramento das atividades, mudan�a do trabalho, contrato ou acordo.
Conv�m que os direitos de acesso aos ativos de informa��o e aos recursos de
processamento da informa��o sejam reduzidos ou retirados antes que a atividade se
encerre ou altere, dependendo da avalia��o de fatores de risco, tais como:
a)
se o encerramento da atividade ou a mudan�a � iniciada pelo funcion�rio, fornecedor
ou terceiro, ou pelo gestor e a raz�o do encerramento da atividade;
b)
as responsabilidades atuais do funcion�rio, fornecedor ou qualquer outro usu�rio;
valor dos ativos atualmente acess�veis.

Informa��es adicionais Em certas circunst�ncias os direitos de acesso podem ser
alocados com base no que est� sendo disponibilizado para mais pessoas do que as que
est�o saindo (funcion�rio, fornecedor ou terceiro), como, por exemplo, grupos de
1D. Conv�m que, em tais casos, as pessoas que est�o saindo da organiza��o sejam
retiradas de quaisquer listas de grupos de acesso e que sejam tomadas provid�ncias
para avisar aos outros funcion�rios, fornecedores e terceiros envolvidos para n�o
mais compartilhar estas informa��es com a pessoa que est� saindo.
Nos casos em que o encerramento da atividade seja da iniciativa do gestor, os
funcion�rios, fornecedores ou terceiros descontentes podem deliberadamente
corromper a informa��o ou sabotar os recursos de processamento da informa��o. No
caso de pessoas demitidas ou exoneradas, elas podem ser tentadas a coletar
informa��es para uso futuro.
9 Seguran�a f�sica e do ambiente

9.1 �reas seguras
Objetivo: Prevenir o acesso f�sico n�o autorizado, danos e interfer�ncias com as
instala��es e informa��es da organiza��o.
Conv�m que as instala��es de processamento da informa��o cr�ticas ou sens�veis
sejam mantidas em �reas seguras, protegidas por per�metros de seguran�a definidos,
com barreiras de seguran�a e controles de acesso
apropriados. Conv�m que sejam fisicamente protegidas contra o acesso n�o
autorizado, danos e
interfer�ncias.
Conv�m que a prote��o oferecida seja compat�vel com os riscos identificados.
9.1.1 Per�metro de seguran�a f�sica

Controle Conv�m que sejam utilizados per�metros de seguran�a (barreiras tais como
paredes, port�es de entrada controlados por cart�o ou balc�es de recep��o com
recepcionistas) para proteger as �reas que contenham informa��es e instala��es de
Diretrizes para a implementa��o Conv�m que sejam levadas em considera��o e
implementadas as seguintes diretrizes para per�metros de seguran�a f�sica, quando
apropriado:
a)
os per�metros de seguran�a sejam claramente definidos e que a localiza��o e a
capacidade de resist�ncia de cada per�metro dependam dos requisitos de seguran�a
dos ativos existentes no interior do per�metro, e dos resultados da
an�lise/avalia��o de riscos;
b)
os per�metros de um edif�cio ou de um local que contenha instala��es de
processamento da informa��o sejam fisicamente s�lidos (ou seja, o per�metro n�o
deve ter brechas nem pontos onde poderia ocorrer facilmente uma invas�o); conv�m
que as paredes externas do local sejam de constru��o robusta e todas as portas
externas sejam adequadamente protegidas contra acesso n�o autorizado por meio de
mecanismos de controle, por exemplo, barras, alarmes, fechaduras etc.; conv�m que
as portas e janelas sejam trancadas quando estiverem sem monitora��o, e que uma
prote��o externa para as janelas seja considerada, principalmente para as que
estiverem situadas no andar t�rreo;
c)
seja implantada uma �rea de recep��o, ou um outro meio para controlar o acesso
f�sico ao local ou ao edif�cio; o acesso aos locais ou edif�cios deve ficar
restrito somente ao pessoal autorizado;
d)
sejam constru�das barreiras f�sicas, onde aplic�vel, para impedir o acesso f�sico
n�o autorizado e a contamina��o do meio ambiente;
e)
todas as portas corta-fogo do per�metro de seguran�a sejam providas de alarme,
monitoradas e testadas juntamente com as paredes, para estabelecer o n�vel de
resist�ncia exigido, de acordo com normas regionais, nacionais e internacionais
aceit�veis; elas devem funcionar de acordo com os c�digos locais de preven��o de
inc�ndios e preven��o de falhas;
f)
sistemas adequados de detec��o de intrusos, de acordo com normas regionais,
nacionais e internacionais, sejam instalados e testados em intervalos regulares, e
cubram todas as portas externas e janelas acess�veis; as �reas n�o ocupadas devem
ser protegidas por alarmes o tempo todo; tamb�m
deve ser dada prote��o a outras �reas, por exemplo, salas de

computadores ou salas de
comunica��es;
g) as instala��es de processamento da informa��o gerenciadas pela
organiza��o devem ficar
fisicamente separadas daquelas que s�o gerenciadas por terceiros.
Informa��es adicionais Pode-se obter prote��o f�sica criando uma ou mais barreiras
f�sicas ao redor das instala��es e dos recursos de processamento da informa��o da
organiza��o. O uso de barreiras m�ltiplas proporciona uma prote��o adicional, uma
vez que neste caso a falha de uma das barreiras n�o significa que a seguran�a fique
comprometida imediatamente.
Uma �rea segura pode ser um escrit�rio tranc�vel ou um conjunto de salas rodeado
por uma barreira f�sica interna cont�nua de seguran�a. Pode haver necessidade de
barreiras e per�metros adicionais para o controle do acesso f�sico, quando existem
�reas com requisitos de seguran�a diferentes dentro do per�metro de seguran�a.
Conv�m que sejam tomadas precau��es especiais para a seguran�a do acesso f�sico no
caso de edif�cios que alojam diversas organiza��es.
9.1.2 Controles de entrada f�sica

Controle Conv�m que as �reas seguras sejam protegidas por controles apropriados de
entrada para assegurar que somente pessoas autorizadas tenham acesso.
Diretrizes para implementa��o Conv�m que sejam levadas em considera��o as seguintes
diretrizes:
a) a data e hora da entrada e sa�da de visitantes sejam registradas, e todos os
visitantes sejam supervisionados, a n�o ser que o seu acesso tenha sido previamente
aprovado; conv�m que as permiss�es de acesso sejam concedidas somente para
finalidades espec�ficas e autorizadas, e sejam emitidas com instru��es sobre os
requisitos de seguran�a da �rea e os procedimentos de emerg�ncia;
b} acesso �s �reas em que s�o processadas ou armazenadas informa��es sens�veis seja
controlado e restrito �s pessoas autorizadas; conv�m que sejam utilizados controles
de autentica��o, por exemplo, cart�o de controle de acesso mais PIN (personal
identification number), para autorizar e validar todos os acessos; deve ser mantido
de forma segura um registro de todos os acessos para fins de auditoria;
c) seja exigido que todos os funcion�rios, fornecedores e terceiros, e todos os
visitantes, tenham alguma forma vis�vel de identifica��o, e eles devem avisar
imediatamente o pessoal de seguran�a caso encontrem visitantes n�o acompanhados ou
qualquer pessoa que n�o esteja usando uma identifica��o vis�vel;
d} aos terceiros que realizam servi�os de suporte, seja concedido acesso restrito
�s �reas seguras ou �s instala��es de processamento da informa��o sens�vel somente
quando necess�rio; este acesso deve ser autorizado e monitorado;
e) os direitos de acesso a �reas seguras sejam revistos e atualizados em intervalos
regulares, e revogados quando necess�rio (ver 8.3.3).
9.1.3 Seguran�a em escrit�rios, salas e instala��es

Controle Conv�m que seja projetada e aplicada seguran�a f�sica para escrit�rios,
salas e instala��es.
Diretrizes para implementa��oConv�m que sejam

levadas em considera��o as seguintes diretrizes para proteger escrit�rios, salas e
instala��es:
a) sejam levados
em conta os regulamentos e normas de sa�de e seguran�a aplic�veis;
b} as instala��es-chave sejam localizadas de maneira a evitar o acesso do p�blico;
c)
os edif�cios sejam discretos e d�em a menor indica��o poss�vel da sua finalidade,
sem letreiros evidentes, fora ou dentro do edif�cio, que identifiquem a presen�a de
atividades de processamento de informa��es, quando for aplic�vel;
d)
as listas de funcion�rios e guias telef�nicos internos que identifiquem a
localiza��o das instala��es que processam informa��es sens�veis n�o fiquem
facilmente acess�veis ao p�blico.
9.1.4 Prote��o contra amea�as externas e do meio ambiente

Controle Conv�m que sejam projetadas e aplicadas prote��o f�sica contra inc�ndios,
enchentes, terremotos, explos�es, perturba��es da ordem p�blica e outras formas de
desastres naturais ou causados pelo homem.
Diretrizes para implementa��o Conv�m que sejam levadas em considera��o todas as
amea�as � seguran�a representadas por instala��es vizinhas, por exemplo, um
inc�ndio em um edif�cio vizinho, vazamento de �gua do telhado ou em pisos do
subsolo ou uma explos�o na rua.
Conv�m que sejam levadas em considera��o as seguintes diretrizes para evitar danos
causados por inc�ndios, enchentes, terremotos, explos�es, perturba��es da ordem
p�blica e outras formas de desastres naturais ou causados pelo homem:
a)
os materiais perigosos ou combust�veis sejam armazenados a uma dist�ncia segura da
�rea de seguran�a. Suprimentos em grande volume, como materiais de papelaria, n�o
devem ser armazenados dentro de uma �rea segura;
b)
os equipamentos para conting�ncia e m�dia de backup fiquem a uma dist�ncia segura,
para que n�o sejam danificados por um desastre que afete o local principal;
c)
os equipamentos apropriados de detec��o e combate a inc�ndios sejam providenciados
e posicionados corretamente.
9.1.5 Trabalhando em �reas seguras

Controle Conv�m que seja projetada e aplicada prote��o f�sica, bem como diretrizes
para o trabalho em �reas seguras.
diretrizes:
a)
pessoal s� tenha conhecimento da exist�ncia de �reas seguras ou das atividades
nelas realizadas, apenas se for necess�rio;
b)
seja evitado o trabalho n�o supervisionado em �reas seguras, tanto por motivos de
seguran�a como para prevenir as atividades mal intencionadas;
as �reas
seguras n�o ocupadas sejam fisicamente trancadas
e periodicamente verificadas;
d)
n�o seja permitido o uso de m�quinas fotogr�ficas, gravadores de v�deo ou �udio ou
de outros equipamentos de grava��o, tais como c�meras em dispositivos m�veis, salvo
se for autorizado.
As normas para o trabalho em �reas seguras incluem o controle dos funcion�rios,

fornecedores e terceiros que trabalham em tais �reas, bem como o controle de outras
atividades de terceiros nestas �reas.
9.1.6 Acesso do p�blico, �reas de entrega e de carregamento

Controle Conv�mque os pontos de acesso, tais como �reas de entrega e de
carregamento e outros pontos em quepessoas n�o autorizadas possam entrar nas
instala��es, sejam controlados e, se poss�vel, isolados das instala��es de
processamento da informa��o, para evitar o acesso n�o autorizado.
diretrizes:
a) acesso a uma �rea de entrega e carregamento a partir do exterior do pr�dio fique
restrito ao pessoal identificado e autorizado;
b} as �reas de entrega e carregamento sejam projetadas de tal maneira que seja
poss�vel descarregar suprimentos sem que os entregadores tenham acesso a outras
partes do edif�cio;
c)
as portas externas de uma �rea de entrega e carregamento sejam protegidas enquanto
as portasinternas estiverem abertas;
d)
os materiais entregues sejam inspecionados para detectar amea�as potenciais (ver
9.2.1d)) antes de serem transportados da �rea de entrega e carregamento para o
local de utiliza��o;
e)
os materiais entregues sejam registrados por ocasi�o de sua entrada no local,
usando-se procedimentos de gerenciamento de ativos (ver 7.1.1 );
f)
as remessas entregues sejam segregadas fisicamente das remessas que saem, sempre
que poss�vel.
9.2 Seguran�a de equipamentos
Objetivo: Impedir perdas, danos, furto ou roubo, ou comprometimento de ativos e

interrup��o das atividades da organiza��o.
Conv�m que os equipamentos sejam protegidos contra amea�as f�sicas e do meio
ambiente.
A prote��o dos equipamentos (incluindo aqueles utilizados fora do local, e a
retirada de ativos) � necess�ria para reduzir o risco de acesso n�o autorizado �s
informa��es e para proteger contra perdas ou danos. Conv�m que tamb�m seja levado
em considera��o a introdu��o de equipamentos no local, bem como sua remo��o. Podem
ser necess�rios controles especiais para a prote��o contra amea�as f�sicas e para a
prote��o de instala��es de suporte, como a infra-estrutura de suprimento de energia
e de cabeamento.
9.2.1 Instala��o e prote��o do equipamento
Controle Conv�mque os equipamentos sejam colocados no local ou protegidos para
reduzir os riscos de amea�as e perigos do meio ambiente, bem como as oportunidades
de acesso n�o autorizado.
diretrizes para proteger os equipamentos:
a) os equipamentos sejam colocados no local, a fim de minimizar o acesso

desnecess�rio �s �reas de trabalho;
protegidos, a fim de evitar o acesso n�o autorizado;
c)
os itens que exigem prote��o especial devem ser isolados para reduzir o n�vel geral
de prote��o necess�rio;
d)
sejam adotados controles para minimizar o risco de amea�as f�sicas potenciais, tais
como furto ou roubo, inc�ndio, explosivos, fuma�a, �gua (ou falha do suprimento de
�gua), poeira, vibra��o, efeitos qu�micos, interfer�ncia com o suprimento de
energia el�trica, interfer�ncia com as comunica��es, radia��o eletromagn�tica e
vandalismo;
e)
sejam estabelecidas diretrizes quanto a comer, beber e fumar nas proximidades das
instala��es de processamento da informa��o;
f)
as condi��es ambientais, como temperatura e umidade, sejam monitoradas para a
detec��o de condi��es que possam afetar negativamente os recursos de processamento
da informa��o;
g)
todos os edif�cios sejam dotados de prote��o contra raios e todas as linhas de
entrada de for�a e de comunica��es tenham filtros de prote��o contra raios;
h)
para equipamentos em ambientes industriais, o uso de m�todos especiais de prote��o,
tais como membranas para teclados, deve ser considerado;
i)
os equipamentos que processam informa��es sens�veis sejam protegidos, a fim de
minimizar o risco de vazamento de informa��es em decorr�ncia de emana��es.
9.2.2 Utilidades
Controle Conv�m que os equipamentos sejam protegidos contra falta de energia
el�trica e outras interrup��es causadas por falhas das utilidades.
Diretrizes para implementa��o Conv�m que todas as utilidades, tais como suprimento
de energia el�trica, suprimento de �gua, esgotos, calefa��o/ventila��o e ar-
condicionado sejam adequados para os sistemas que eles suportam. Conv�m que as
utilidades sejam inspecionadas em intervalos regulares e testadas de maneira
apropriada para assegurar seu funcionamento correto e reduzir os riscos de defeitos
ou interrup��es do funcionamento. Conv�m que seja providenciado um suprimento
adequado de energia el�trica, de acordo com as especifica��es do fabricante dos
equipamentos.
Recomenda-se o uso de UPS para suportar as paradas e desligamento dos equipamentos

ou para manter o funcionamento cont�nuo dos equipamentos que suportam opera��es
cr�ticas dos neg�cios. Conv�m que hajam planos de conting�ncia de energia
referentes �s provid�ncias a serem tomadas em caso de falha do UPS. Conv�m que seja
considerado um gerador de emerg�ncia caso seja necess�rio que o processamento
continue mesmo se houver uma interrup��o prolongada do suprimento de energia.
Conv�m que esteja dispon�vel um suprimento adequado de combust�vel para garantir a
opera��o prolongada do gerador. Conv�m que os equipamentos UPS e os geradores sejam
verificados em intervalos regulares para assegurar que eles tenham capacidade
adequada, e sejam testados de acordo com as recomenda��es do fabricante. Al�m
disto, deve ser considerado o uso de m�ltiplas fontes de energia ou de uma
subesta��o de for�a separada, se o local for grande.
Conv�m que as chaves de emerg�ncia para o desligamento da energia fiquem

localizadas na proximidade das sa�das de emerg�ncia das salas de equipamentos, para
facilitar o desligamento
r�pido da energia em caso de uma emerg�ncia. Conv�m que seja providenciada
ilumina��o de emerg�ncia para o caso de queda da for�a.
Conv�m que o suprimento de �gua seja
est�vel e adequado
para abastecer os equipamentos de ar-condicionado e de umidifica��o, bem como os
sistemas de extin��o de inc�ndios (quando usados). Falhas de funcionamento do
abastecimento de �gua podem danificar o sistema ou impedir uma a��o eficaz de
extin��o de inc�ndios. Conv�m que seja analisada
a necessidade de sistemas de alarme para detectar falhas
de funcionamento das utilidades, instalando os alarmes, se necess�rio.
Conv�m que os equipamentos de telecomunica��es sejam conectados � rede p�blica de

energia el�trica atrav�s de pelo menos duas linhas separadas, para evitar que a
falha de uma das conex�es interrompa os servi�os de voz. Conv�m que os servi�os de
voz sejam adequados para atender �s exig�ncias legais locais relativas a
comunica��es de emerg�ncia.
Informa��es adicionais As op��es para assegurar a continuidade do suprimento de
energia incluem m�ltiplas linhas de entrada, para evitar que uma falha em um �nico
ponto comprometa o suprimento de energia.
9.2.3 Seguran�a do cabeamento

Controle Conv�m que o cabeamento de energia e de telecomunica��es que transporta
dados ou d� suporte aos servi�os de informa��es seja protegido contra intercepta��o
ou danos.
diretrizes para a seguran�a do cabeamento:
a) as linhas de energia e de telecomunica��es que entram nas instala��es de
processamento da informa��o sejam subterr�neas (ou fiquem abaixo do piso), sempre
que poss�vel, ou recebam uma prote��o alternativa adequada;
b} cabeamento de redes seja protegido contra intercepta��o n�o autorizada ou danos,
por exemplo, pelo uso de condu�tes ou evitando trajetos que passem por �reas
p�blicas;
c)
os cabos de energia sejam segregados dos cabos de comunica��es, para evitar
interfer�ncias;
d)
nos cabos e nos equipamentos, sejam utilizadas marca��es claramente identific�veis,
a fim de minimizar erros de manuseio, como, por exemplo, fazer de forma acidental
conex�es erradas em cabos da rede;
e)
seja utilizada uma lista de documenta��o das conex�es para reduzir a possibilidade
de erros;
f)
para sistemas sens�veis ou cr�ticos, os seguintes controles adicionais devem ser
considerados:
1)
instala��o de condu�tes blindados e salas ou caixas trancadas em pontos de inspe��o
e pontos terminais;
uso de rotas alternativas e/ou meios de transmiss�o alternativos que proporcionem

seguran�a adequada;
3)
utiliza��o de cabeamento de fibras �pticas;
4)
utiliza��o de blindagem eletromagn�tica para a prote��o dos cabos;
5)
realiza��o de varreduras t�cnicas e inspe��es f�sicas para detectar a presen�a de
dispositivos n�o autorizados conectados aos cabos;
6)
acesso controlado aos pain�is de conex�es e �s salas de cabos.
9.2.4 Manuten��o dos equipamentos

Controle
Conv�m que os equipamentos tenham uma manuten��o correta para assegurar sua
disponibilidade e integridade permanentes.
Diretrizes
Conv�m
que sejam levadas em considera��o as seguintes diretrizes para a manuten��o dos
equipamentos:
a)
a manuten��o dos equipamentos seja realizada nos intervalos recomendados pelo
fornecedor, e de acordo com as suas especifica��es;
b)
a manuten��o e os consertos dos equipamentos sejam realizados somente por pessoal
de manuten��o autorizado;
c)
sejam mantidos os registros de todas as falhas, suspeitas ou reais, e de todas as
opera��es de manuten��o preventiva e corretiva realizadas;
d)
sejam implementados controles apropriados, na �poca programada para a manuten��o do
equipamento, dependendo de a manuten��o ser realizada pelo pessoal do local ou por
pessoalexterno � organiza��o; onde necess�rio, as informa��es sens�veis sejam
eliminadas do equipamento, ou o pessoal de manuten��o seja de absoluta confian�a;
e)
sejam atendidas todas as exig�ncias estabelecidas nas ap�lices de seguro.
9.2.5 Seguran�a de equipamentos fora das depend�ncias da organiza��o
Controle
Conv�mque sejam tomadas medidas de seguran�a para equipamentos que operem fora do
local, levando em conta os diferentes riscos decorrentes do fato de se trabalhar
fora das depend�ncias da organiza��o.
Diretrizes
Conv�m
que, independentemente de quem seja o propriet�rio, a utiliza��o de quaisquer
equipamentos de processamento de informa��es fora das depend�ncias da organiza��o
seja autorizada pela ger�ncia.
Conv�m que sejam levadas em considera��o as seguintes diretrizes para a prote��o de

equipamentos usados fora das depend�ncias da organiza��o:
a)
os equipamentos e m�dias removidos das depend�ncias da organiza��o n�o fiquem sem
supervis�o em lugares p�blicos; os computadores port�teis sejam carregados como
bagagem de m�o e disfar�ados, sempre que poss�vel, quando se viaja;
b)
sejam observadas a qualquer tempo as instru��es do fabricante para a prote��o do
equipamento, por exemplo, prote��o contra a exposi��o a campos eletromagn�ticos
intensos;
c) os controles para o trabalho em casa sejam determinados por uma

an�lise/avalia��o de riscos, sendo aplicados controles adequados para cada caso,
por exemplo, arquivos tranc�veis, pol�tica de "mesa limpa", controles de acesso a
computadores, e comunica��o segura com o escrit�rio (ver ISO/IEC 18028 -Network
security);
d) haja uma cobertura adequada de seguro para proteger os equipamentos fora das
depend�ncias da organiza��o.
Os riscos de seguran�a, por exemplo, de danos, furto ou espionagem, podem variar

consideravelmente de um local para outro e conv�m que sejam levados em conta para
determinar os controles mais apropriados.
Informa��es adicionais Os equipamentos de armazenagem e processamento de

informa��es incluem todas as formas de computadores pessoais, agendas eletr�nicas,
telefones celulares, cart�es inteligentes, pap�is e outros tipos, utilizados no
trabalho em casa, ou que s�o removidos do local normal de trabalho.
Mais informa��es sobre outros aspectos da prote��o de equipamentos m�veis podem ser
encontradas em 11.7.1.
9.2.6 Reutiliza��o e aliena��o segura de equipamentos

Controle Conv�m que todos os equipamentos que contenham m�dias de armazenamento de
dados sejam examinados antes do descarte, para assegurar que todos os dados
sens�veis e softwares licenciados tenham sido removidos ou sobregravados com
seguran�a.
Diretrizes para implementa��o Conv�m que os dispositivos que contenham informa��es
sens�veis sejam destru�dos fisicamente ou as informa��es sejam destru�das, apagadas
ou sobregravadas por meio de t�cnicas que tornem as informa��es originais
irrecuper�veis, em vez de se usarem as fun��es-padr�o de apagar ou formatar.
Informa��es adicionais No caso de dispositivos defeituosos que contenham
informa��es sens1ve1s,
pode ser necessana
uma an�lise/avalia��o de riscos para determinar se conv�m destruir fisicamente o
dispositivo em vez de mand�-lo para o conserto ou descart�-lo.
As informa��es podem ser comprometidas por um descarte feito sem os devidos
cuidados ou pela reutiliza��o do equipamento (ver 10.7.2).
9.2.7 Remo��o de propriedade

Controle Conv�m que equipamentos, informa��es ou software n�o sejam retirados do
local sem autoriza��o pr�via.
diretrizes:
a)
os equipamentos, informa��es ou software n�o sejam retirados do local sem
autoriza��o pr�via;
os funcion�rios, fornecedores e terceiros que tenham autoridade para permitir a

remo��o de ativos para fora do local sejam claramente identificados;
c)
sejam estabelecidos limites de tempo para a retirada de equipamentos do local, e a
devolu��o seja controlada;
d) sempre que necessano

ou apropriado, seja feito um registro da retirada e da devolu��o de equipamentos,
quando do seu retorno.
Podem ser feitas inspe��es aleat�rias para detectar a retirada n�o autorizada de
bens e a exist�ncia de equipamentos de grava��o n�o autorizados, armas etc., e
impedir sua entrada no local. Conv�m que tais inspe��es aleat�rias
sejam feitas de
acordo com a legisla��o e as normas aplic�veis. Conv�m que as pessoas sejam
avisadas da realiza��o das inspe��es, e elas s� podem ser feitas com a devida
autoriza��o, levando em conta as exig�ncias legais e regulamentares.
1 O Gerenciamento das opera��es e comunica��es

10.1 Procedimentos e responsabilidades operacionais
Objetivo: Garantir a opera��o segura e correta dos recursos de processamento da
informa��o.
Conv�m que os procedimentos e responsabilidades pela gest�o e opera��o de todos os
recursos de processamento das informa��es sejam definidos. Isto abrange o
desenvolvimento de procedimentos operacionais apropriados.
Conv�m que seja utilizada a segrega��o de fun��es quando apropriado, para reduzir o
risco de mau uso ou uso doloso dos sistemas.
10.1.1 Documenta��o dos procedimentos de opera��o
Controle Conv�m que os procedimentos de opera��o sejam documentados, mantidos
atualizados e dispon�veis a todos os usu�rios que deles necessitem.
Diretrizes para implementa��o Conv�m que procedimentos documentados sejam
preparados para as atividades de sistemas associadas a recursos de processamento e
comunica��o de informa��es, tais como procedimentos de inicializa��o e desligamento
de computadores, gera��o de c�pias de seguran�a (backup), manuten��o de
equipamentos, tratamento de m�dias, seguran�a e gest�o do tratamento das
correspond�ncias e das salas de computadores.
Conv�m que os procedimentos de opera��o especifiquem as instru��es para a execu��o
detalhada de cada tarefa, incluindo:
a) processamento e tratamento da informa��o;
b} backup (ver 10.5);
c) requisitos de agendamento, incluindo interdepend�ncias com outros sistemas, a
primeira hora para
in�cio da tarefa e a �ltima hora para o t�rmino da tarefa;

d)
instru��es para tratamento de erros ou outras condi��es excepcionais, que possam
ocorrer durante a execu��o de uma tarefa, incluindo restri��es de uso dos
utilit�rios do sistema (ver 11 .5.4);
e)
dados para contatos de suporte para o caso de eventos operacionais inesperados ou
dificuldades t�cnicas;
f)
instru��es especiais quanto ao manuseio e sa�da de m�dias, tais como o uso de
formul�rios especiais ou o gerenciamento de sa�das confidenciais, incluindo
procedimentos para o descarte seguro de resultados provenientes de rotinas com
falhas (ver 10.7.2 e 10.7.3);
g)
procedimento para o rein�cio e recupera��o em caso de falha do sistema;
h)
gerenciamento de trilhas de auditoria e informa��es de registros (/og) de sistemas
(ver 10.10).
Conv�m que procedimentos operacionais e os procedimentos documentados para

atividades de sistemas sejam tratados como documentos formais e as mudan�as sejam
autorizadas pela dire��o. Quando tecnicamente poss�vel, conv�m que os sistemas de
informa��o sejam gerenciados uniformemente, usando os mesmos procedimentos,
ferramentas e utilit�rios.

10.1.2 Gest�o de mudan�as
Controle Conv�mque modifica��es nos recursos de processamento da informa��o e
sistemas sejam controladas.
Diretrizes para implementa��o Conv�m que sistemas operacionais e aplicativos
estejam sujeitos a r�gido controle de gest�o de mudan�as. Em particular, conv�m que
os seguintes itens sejam considerados:
a)
identifica��o e registro das mudan�as significativas;
b)
planejamento e testes das mudan�as;
c)
avalia��o de impactos potenciais, incluindo impactos de seguran�a, de tais
mudan�as;
d)
procedimento formal de aprova��o das mudan�as propostas;
e)
comunica��o dos detalhes das mudan�as para todas as pessoas envolvidas;
f)
procedimentos de recupera��o, incluindo procedimentos e responsabilidades pela
interrup��o e recupera��o de mudan�as em caso de insucesso ou na ocorr�ncia de
eventos inesperados.
Conv�m que sejam estabelecidos os procedimentos e responsabilidades gerenciais

formais para garantir que haja um controle satisfat�rio de todas as mudan�as em
equipamentos, software ou procedimentos.Quando mudan�as forem realizadas, conv�m
que seja mantido um registro de auditoria contendo todas as informa��es relevantes.
Informa��es adicionais O controle inadequado de modifica��es nos sistemas e nos

recursos de processamento da informa��o � uma causa comum de falhas de seguran�a ou
de sistema. Mudan�as a ambientes operacionais, especialmente quando da
transfer�ncia de um sistema em desenvolvimento para o est�gio operacional, podem
trazer impactos � confiabilidade de aplica��es (ver 12.5.1 ).
Conv�m que mudan�as em sistemas operacionais sejam apenas realizadas quando houver
uma raz�o de neg�cio v�lida para tal, como um aumento no risco do sistema. A
atualiza��o de sistemas �s vers�es mais atuais de sistemas operacionais ou
aplicativos nem sempre � do interesse do neg�cio, pois pode introduzir mais
vulnerabilidades e instabilidades ao ambiente do que a vers�o corrente. Pode haver
ainda a necessidade de treinamento adicional, custos de licenciamento, suporte,
manuten��o e sobrecarga de administra��o, bem como a necessidade de novos
equipamentos, especialmente durante a fase de migra��o.
10.1.3 Segrega��o de fun��es

Controle Conv�m que fun��es e �reas de responsabilidade sejam segregadas para
reduzir as oportunidades de modifica��o ou uso indevido n�o autorizado ou n�o
intencional dos ativos da organiza��o.
Diretrizes para implementa��o A segrega��o de fun��es � um m�todo para redu��o do
risco de uso indevido acidental ou deliberado dos
As pequenas organiza��es podem considerar a segrega��o de fun��es dif�cil de ser
implantada, mas conv�m que o seu princ�pio seja aplicado sempre que poss�vel e
pratic�vel. Onde for dif�cil a segrega��o, conv�m que outros controles, como a
monitora��o das atividades, trilhas de auditoria e o acompanhamento gerencial,sejam
considerados. � importante que a auditoria da seguran�a permane�a como uma
atividade independente.
10.1.4 Separa��o dos recursos de desenvolvimento, teste e de produ��o

Controle Conv�mque recursos de desenvolvimento, teste e produ��o sejam separados
para reduzir o risco de acessos ou modifica��es n�o autorizadas aos sistemas
operacionais.
Diretrizes para implementa��o Conv�m que o n�vel de separa��o dos ambientes de
produ��o, testes e desenvolvimento que � necess�rio para prevenir problemas
operacionais seja identificado e os controles apropriados sejam implementados.
Conv�m que os seguintes itens sejam considerados:
a)
as regras para a transfer�ncia de software da situa��o de desenvolvimento para a de
produ��o sejam definidas e documentadas;
b)
software em desenvolvimento e o software em produ��o sejam, sempre que poss�vel,
executados em diferentes sistemas ou processadores e em diferentes dom�nios ou
diret�rios;
c)
os compiladores, editores e outras ferramentas de desenvolvimento ou utilit�rios de
sistemas n�o sejam acess�veis a partir de sistemas operacionais, quando n�o for
necess�rio;
d)
os ambientes de testes emulem o ambiente de produ��o o mais pr�ximo poss�vel;
e)
os usu�rios tenham diferentes perfis para sistemas em testes e em produ��o, e que
os menus mostrem mensagens apropriadas de identifica��o para reduzir o risco de
erro;
f)
os dados sens�veis n�o sejam copiados para os ambientes de testes (ver 12.4.2).
Informa��es adicionais As atividades de desenvolvimento e teste podem causar s�rios

problemas, como, por exemplo, modifica��es inesperadas em arquivos ou sistemas ou
falhas de sistemas. Nesse caso, � necess�ria a manuten��o de um ambiente conhecido
e est�vel, no qual possam ser executados testes significativos e que seja capaz de
prevenir o acesso indevido do pessoal de desenvolvimento.
Quando o pessoal de desenvolvimento e teste possui acesso ao ambiente de produ��o e
suas informa��es,eles podem introduzir c�digos n�o testados e n�o autorizados, ou
mesmo alterar os dados do sistema. Em alguns sistemas essa capacidade pode ser mal
utilizada para a execu��o de fraudes, ou introdu��o de c�digos maliciosos ou n�o
testados, que podem causar s�rios problemas operacionais.
O pessoal de desenvolvimento e testes tamb�m representa uma amea�a �
confidencialidade das informa��es de produ��o. As atividades de desenvolvimento e
teste podem causar modifica��es n�o intencionais no software e informa��es se eles
compartilharem o mesmo ambiente computacional. A separa��o dos ambientes de
desenvolvimento, teste e produ��o s�o, portanto, desej�vel para reduzir o risco de
modifica��es acidentais ou acessos n�o autorizados aos sistemas operacionais e aos
dados do neg�cio (ver 12.4.2 para a prote��o de dados de teste).
10.2 Gerenciamento de servi�os terceirizados
Objetivo: Implementar e manter o n�vel apropriado de seguran�a da informa��o e de

entrega de servi�os em
conson�ncia com acordos de entrega de servi�os terceirizados.

Conv�m que a organiza��o verifique a implementa��o dos acordos, monitore a
conformidade com tais acordos e gerencie as mudan�as para garantir que os servi�os
entregues atendem a todos os requisitos acordados com os terceiros.
10.2.1 Entrega de servi�os

Controle Conv�mque seja garantido que os controles de seguran�a, as defini��es de
servi�o e os n�veis de entrega inclu�dos no acordo de entrega de servi�os
terceirizados sejam implementados, executados e mantidos pelo terceiro.
Diretrizes para implementa��o Conv�m que a entrega de servi�os por um terceiro
inclua os arranjos de seguran�a acordados, defini��es de servi�o e aspectos de
gerenciamento de servi�os. No caso de acordos de terceiriza��o, conv�m que a
organiza��o planeje as transi��es necess�rias (de informa��o, recursos de
processamento de informa��es e quaisquer outros que necessitem de movimenta��o) e
garanta que a seguran�a seja mantida durante todo o per�odo de transi��o.
Conv�m que a organiza��o garanta que o terceiro mantenha capacidade de servi�o
suficiente, juntamente com planos vi�veis projetados para garantir que os n�veis de
continuidade de servi�os acordados sejam mantidos ap�s falhas de servi�os severas
ou desastres (ver 14a.1 ).
10.2.2 Monitoramento e an�lise cr�tica de servi�os terceirizados

Controle Conv�m que os servi�os, relat�rios e registros fornecidos por terceiro
sejam regularmente monitorados e analisados criticamente, e que auditorias sejam
executadas regularmente.
Diretrizes para implementa��o Conv�m que a monitora��o e an�lise cr�tica dos
servi�os terceirizados garantam a ader�ncia entre os termos de seguran�a de
informa��o e as condi��es dos acordos, e que problemas e incidentes de seguran�a da
informa��o sejam gerenciados adequadamente. Conv�m que isto envolva processos e
rela��es de gerenciamento de servi�o entre a organiza��o e o terceiro para:
a)
monitorar n�veis de desempenho de servi�o para verificar ader�ncia aos acordos;
b)
analisar criticamente os relat�rios de servi�os produzidos por terceiros e
agendamento de reuni�es de progresso conforme requerido pelos acordos;
c)
fornecer informa��es acerca de incidentes de seguran�a da informa��o e an�lise
cr�tica de tais informa��es tanto pelo terceiro quanto pela organiza��o, como
requerido pelos acordos e porquaisquer procedimentos e diretrizes que os ap�iem;
d)
analisar criticamente as trilhas de auditoria do terceiro e registros de eventos de
seguran�a, problemas operacionais, falhas, investiga��o de falhas e interrup��es
relativas ao servi�o entregue;
e)
resolver e gerenciar quaisquer problemas identificados.
Conv�m que a responsabilidade do gerenciamento de relacionamento com o terceiro
seja atribu�da a um indiv�duo designado
ou equipe de gerenciamento de servi�o. Adicionalmente,
conv�m que a organiza��ogaranta que o terceiro atribua responsabilidades pela
verifica��o de conformidade e refor�o aos requisitos dos acordos. Conv�m que
habilidades t�cnicas suficientes e recursos sejam disponibilizados para monitorar
se os requisitos dos acordos (ver 6.2.3a), em particular os requisitos de seguran�a
da informa��o, est�o sendo atendidos. Conv�m que a��es apropriadas sejam tomadas
quando defici�ncias na entrega dos servi�os forem observadas.
Conv�m que a organiza��o mantenha suficiente controle

geral e visibilidade em todos os aspectos de seguran�a para as informa��es
sens�veis ou cr�ticas ou para os recursos de processamento da informa��o acessados,
processados ou gerenciados por um terceiro. Conv�m que a organiza��o garanta a
reten��o da visibilidade nas atividades de seguran�a como gerenciamento de
mudan�as, identifica��o de vulnerabilidades e relat�rio/resposta de incidentes de
seguran�a da informa��o atrav�s de um processo de notifica��o,formata��o e
estrutura��o claramente definido.
Informa��es adicionais Em caso de terceiriza��o, a organiza��o precisa estar ciente

de que a responsabilidade final pela informa��o processada por um parceiro de
terceiriza��o permanece com a organiza��o.
10.2.3 Gerenciamento de mudan�as para servi�os terceirizados

Controle Conv�m que mudan�as no provisionamento dos servi�os, incluindo manuten��o
e melhoria da pol�tica de seguran�a da informa��o, procedimentos e controles
existentes, sejam gerenciadas levando-se em conta a criticidade dos sistemas e
processos de neg�cio envolvidos e a rean�lise/reavalia��o de riscos.
Diretrizes para implementa��o O processo de gerenciamento de mudan�as para servi�os
terceirizados precisa levar em conta:
mudan�as feitas pela organiza��o para a implementa��o de:
1) melhorias dos servi�os correntemente oferecidos;
2) desenvolvimento de quaisquer novas aplica��es ou sistemas;
3) modifica��es ou atualiza��es das pol�ticas e procedimentos da organiza��o;
4) novos controles para resolver os incidentes de seguran�a da informa��o e para
melhorar a seguran�a;
mudan�as em servi�os de terceiros para implementa��o de:
1) mudan�as e melhorias em redes;
2) uso de novas tecnologias;
3) ado��o de novos produtos ou novas vers�es;
4) novas ferramentas e ambientes de desenvolvimento;
5) mudan�as de localiza��o f�sica dos recursos de servi�os;
6) mudan�as de fornecedores.
10.3 Planejamento e aceita��o dos sistemas
Objetivo: Minimizar o risco de falhas nos sistemas.
O planejamento e a prepara��o pr�vios s�o requeridos para garantir a
disponibilidade adequada de capacidade e recursos para entrega do desempenho
desejado
ao sistema.
Conv�m que proje��es de requisitos de capacidade futura sejam feitas para reduzir o
risco de sobrecarga dos sistemas.
Conv�m que os requisitos operacionais dos novos sistemas sejam estabelecidos,
documentados e testados antes da sua aceita��o e uso.
10.3.1 Gest�o de capacidade

Controle Conv�mque a utiliza��o dos recursos seja monitorada e ajustada, e as
proje��es feitas para necessidades de capacidade futura, para garantir o desempenho
requerido do sistema.
Diretrizes para implementa��o Conv�m que requisitos de capacidade sejam
identificados para cada atividade nova ou em andamento. Conv�m que o ajuste e o
monitoramento dos sistemas sejam aplicados para garantir e, quando necess�rio,
melhorar a disponibilidade e efici�ncia dos sistemas. Conv�m que controles
detectivos sejam implantados para identificar problemas em tempo h�bil. Conv�m que
proje��es de capacidade futura levem em considera��o os requisitos de novos
neg�cios e sistemas e as tend�ncias atuais e projetadas de capacidade de
processamento de informa��o da organiza��o.
Aten��o particular precisa ser dada a qualquer recurso que possua um ciclo de
renova��o ou custo maior, sendo responsabilidade dos gestores monitorar a
utiliza��o dos recursos-chave dos sistemas. Conv�m que eles identifiquem as
tend�ncias de utiliza��o, particularmente em rela��o �s aplica��es do neg�cio ou �s
ferramentas de gest�o de sistemas de informa��o.
Conv�m que os gestores utilizem essas informa��es para identificar e evitar os
potenciais gargalos e a depend�ncia em pessoas-chave que possam representar amea�as
� seguran�a dos sistemas ou aos servi�os, e planejar a��o corretiva apropriada.
10.3.2 Aceita��o de sistemas

Controle Conv�mque sejam estabelecidos crit�rios de aceita��o para novos sistemas,
atualiza��es e novas vers�es, e que sejam efetuados testes apropriados do(s)
sistema(s) durante seu desenvolvimento e antes da sua aceita��o.
Diretrizes para implementa��o Conv�m que os gestores garantam que os requisitos e
crit�rios para aceita��o de novos sistemas estejam claramente definidos, acordados,
documentados e testados. Conv�m que novos sistemas de informa��o, atualiza��es e
novas vers�es s� sejam migrados para produ��o ap�s a obten��o de aceita��o formal.
Conv�m que os seguintes itens sejam considerados antes que a aceita��o formal seja
emitida:
a)
requisitos de desempenho e de capacidade computacional;
recupera��o de erros, procedimentos de reinicializa��o e planos de conting�ncia;
c)
prepara��o e teste de procedimentos operacionais de rotina, com base em normas
definidas;
d)
concord�ncia sobre o conjunto de controles de seguran�a utilizados;
e)
procedimentos manuais eficazes;
f)
requisitos de continuidade dos neg�cios (ver 14a.1 );
evid�ncia de que a instala��o do novo sistema n�o afetar� de forma adversa os

sistemas existentes, particularmente nos per�odos de pico de processamento, como,
por exemplo, em final de m�s;
h)
evid�ncia de que tenha sido considerado o impacto do novo sistema na seguran�a da
organiza��ocomo um todo;
i)
treinamento na opera��o ou uso de novos sistemas;
j)
Para os principais novos desenvolvimentos, conv�m que os usuanos

e as fun��es de opera��o sejam consultados em todos os est�gios do processo de
desenvolvimento, de forma a garantir a efici�ncia operacional do projeto de sistema
proposto. Conv�m que os devidos testes sejam executados para garantir que todos os
crit�rios de aceita��o tenham sido plenamente satisfeitos.
Informa��es adicionais A aceita��o pode incluir um processo formal de certifica��o
e reconhecimento para garantir que os requisitos de seguran�a tenham sido
devidamente endere�ados.
10.4 Prote��o contra c�digos maliciosos e c�digos m�veis
Objetivo: Proteger a integridade do software e da informa��o.

Precau��es s�o requeridas para prevenir e detectar a introdu��o de c�digos
maliciosos e c�digos m�veis n�o autorizados.
Os recursos de processamento da informa��o e os softwares s�o vulner�veis �
introdu��o de c�digo malicioso, tais como v�rus de computador, worms de rede,
cavalos de Tr�ia e bombas l�gicas. Conv�m que os usu�rios estejam conscientes dos
perigos do c�digo malicioso. Conv�m que os gestores, onde apropriado, implantem
controles para prevenir, detectar e remover c�digo malicioso e controlar c�digos
m�veis.
10.4.1 Controles contra c�digos maliciosos
Controle Conv�m que sejam implantados controles de detec��o, preven��o e
recupera��o para proteger contra c�digos maliciosos, assim como procedimentos para
a devida conscientiza��o dos usu�rios.
Diretrizes para implementa��o Conv�m que a prote��o contra c�digos maliciosos seja
baseada em softwares de detec��o de c�digos maliciosos e reparo, na conscientiza��o
da seguran�a da informa��o, no controle de acesso adequado e nos controles de
gerenciamento de mudan�as. Conv�m que as seguintes diretrizes sejam consideradas:
a)
estabelecer uma pol�tica formal proibindo o uso de softwares n�o autorizados (ver
15.1.2);
b)
estabelecer uma pol�tica formal para prote��o contra os riscos associados com a
importa��o de arquivos e softwares, seja de redes externas, ou por qualquer outro
meio, indicando quais medidas preventivas devem ser adotadas;
c)
conduzir an�lises cr�ticas regulares dos softwares e dados dos sistemas que
suportam processos cr�ticos de neg�cio; conv�m que a presen�a de quaisquer arquivos
n�o aprovados ou atualiza��o n�o autorizada seja formalmente investigada;
d} instalar e atualizar regularmente softwares de detec��o e remo��o de c�digos

maliciosos para o exame de computadores e m�dias magn�ticas, de forma preventiva ou
de forma rotineira; conv�m que as verifica��es realizadas incluam:
1) verifica��o, antes do uso, da exist�ncia de c�digos maliciosos nos arquivos em
m�dias �ticas ou eletr�nicas, bem como nos arquivos transmitidos atrav�s de redes;
2) verifica��o, antes
do uso, da exist�ncia de software malicioso em qualquer arquivo recebido atrav�s de
correio eletr�nico ou importado (download). Conv�m que essa avalia��o seja feita em
diversos locais, como, por exemplo, nos servidores de correio eletr�nico, nos
computadores pessoais ou quando da sua entrada na rede da organiza��o;
3) verifica��o da exist�ncia de c�digos maliciosos em p�ginas web;
e)
definir procedimentos de gerenciamento e respectivas responsabilidades para tratar
da prote��o de c�digo malicioso nos sistemas, treinamento nesses procedimentos,
reporte e recupera��o de ataques de c�digos maliciosos (ver 13.1 e 13.2);
f)
preparar planos de continuidade do neg�cio adequados para a recupera��o em caso de
ataques por c�digos maliciosos, incluindo todos os procedimentos necess�rios para a
c�pia e recupera��o dos dados e softwares (ver se��o 14);
g)
implementar procedimentos para regularmente coletar informa��es, tais como,
assinaturas de listas de discuss�o e visitas a sites informativos sobre novos
c�digos maliciosos;
implementar procedimentos para a verifica��o de informa��o relacionada a c�digos

maliciosos e garantia de que os boletins com alertas sejam precisos e informativos;
conv�m que os gestores garantam que fontes qualificadas, como, por exemplo, jornais
com reputa��o id�nea, sites confi�veis ou fornecedores de software de prote��o
contra c�digos maliciosos, sejam utilizadas para diferenciar boatos de not�cias
reais sobre c�digos maliciosos; conv�m que todos os usu�rios estejam cientes dos
problemas decorrentes de boatos e capacitados a lidar com eles.
Informa��es adicionais A utiliza��o de dois ou mais tipos de software de controle
contra c�digos maliciosos de diferentes fornecedores no ambiente de processamento
da informa��o pode aumentar a efic�cia na prote��o contra c�digos maliciosos.
Softwares de prote��o contra c�digo malicioso podem ser instalados para prover
atualiza��es autom�ticas dos arquivos de defini��o e mecanismos de varredura, para
garantir que a prote��o esteja atualizada. Adicionalmente, estes softwares podem
ser instalados em todas as esta��es de trabalho para a realiza��o de verifica��es
autom�ticas.
Conv�m que seja tomado cuidado quanto a poss�vel introdu��o de c�digos maliciosos
durante manuten��es e quando est�o sendo realizados procedimentos de emerg�ncia.
Tais procedimentos podem ignorar controles normais de prote��o contra c�digos
maliciosos.
10.4.2 Controles contra c�digos m�veis

Controle Onde o uso de c�digos m�veis � autorizado, conv�m que a configura��o
garanta que o c�digo m�vel autorizado opere de acordo com uma pol�tica de seguran�a
da informa��o claramente definida e c�digos m�veis n�o autorizados tenham sua
execu��o impedida.
Diretrizes para implementa��o Conv�m que as seguintes a��es sejam consideradas para
proteger contra a��es n�o autorizadas realizadas por c�digos m�veis:
a)
executar c�digos m�veis em ambientes isolados logicamente;
bloquear qualquer tipo de uso de c�digo m�vel;
c)
bloquear o recebimento de c�digos m�veis;
d} ativar medidas t�cnicas dispon�veis nos sistemas espec�ficos para garantir que o
c�digo m�vel esteja sendo administrado;
e)
controlar os recursos dispon�veis para acesso ao c�digo m�vel;
f)
estabelecer controles criptogr�ficos de autentica��o exclusiva do c�digo m�vel.
Informa��es adicionais C�digo m�vel � um c�digo transferido de um computador a

outro executando automaticamente e realizando fun��es espec�ficas com pequena ou
nenhuma intera��o por parte do usu�rio. C�digos m�veis s�o associados a uma
variedade de servi�os middleware.
Al�m de garantir que os c�digos m�veis n�o carreguem c�digos maliciosos, manter o
controle deles � essencial na preven��o contra o uso n�o autorizado ou interrup��o
de sistemas, redes ou aplicativos, e na preven��o contra viola��es de seguran�a da
informa��o.
10.5 C�pias de seguran�a

Objetivo: Manter a integridade e disponibilidade da informa��o e dos recursos de
processamento de informa��o.
Conv�m que procedimentos de rotina sejam estabelecidos para implementar as
pol�ticas e estrat�giasdefinidas para a gera��o de c�pias de seguran�a (ver 14.1) e
possibilitar a gera��o das c�pias de seguran�a dos dados e sua recupera��o em um
tempo aceit�vel.
10.5.1 C�pias de seguran�a das informa��es
Controle Conv�m que as copias de seguran�a das informa��es e dos softwares sejam
efetuadas e testadas regularmente conforme a pol�tica de gera��o de c�pias de
seguran�a definida.
Diretrizes para implementa��o Conv�m que recursos adequados para a gera��o de
c�pias de seguran�a sejam disponibilizados para garantir que toda informa��o e
software essenciais possam ser recuperados ap�s um desastre ou a falha de uma
m�dia.
Conv�m que os seguintes itens para a gera��o das c�pias de seguran�a sejam
considerados:
a) defini��o do n�vel necess�rio das c�pias de seguran�a das informa��es;
produ��o de registros completos e exatos das c�pias de seguran�a e documenta��o
apropriada sobre os procedimentos de restaura��o da informa��o;
a extens�o (por exemplo, completa ou diferencial) e a freq��ncia da gera��o das
c�pias de seguran�a reflita os requisitos de neg�cio da organiza��o, al�m dos
requisitos de seguran�a da informa��o envolvidos e a criticidade da informa��o para
a continuidade da opera��o da organiza��o;
d)
as c�pias de seguran�a sejam armazenadas em uma localidade remota, a uma dist�ncia
suficiente para escapar dos danos de um desastre ocorrido no local principal;
e)
deve ser dado um n�vel apropriado de prote��o f�sica e ambiental das informa��es
das c�pias de seguran�a (ver se��o 9), consistente com as normas aplicadas na
instala��o principal; os controles aplicados �s m�dias na instala��o principal
sejam usados
no local das c�pias de seguran�a;
f)
as m�dias de c�pias de seguran�a sejam testadas regularmente para garantir que elas
s�o suficientemente confi�veis para uso de emerg�ncia, quando necess�rio;
g) os
a garantir que estes s�o efetivos e que podem ser conclu�dos dentro dos prazos
definidos nos procedimentos operacionais de recupera��o;
h)
em situa��es onde a confidencialidade � importante, c�pias de seguran�a sejam
protegidas atrav�s de encripta��o.
Conv�m que as c�pias de seguran�a de sistemas espec�ficos sejam testadas

regularmente para garantir que elas est�o aderentes aos requisitos definidos nos
planos de continuidade do neg�cio (ver se��o 14). Para sistemas cr�ticos, conv�m
que os mecanismos de gera��o de c�pias de seguran�a abranjam todos os sistemas de
informa��o, aplica��es e dados necess�rios para a completa recupera��o do sistema
em um evento de desastre.
Conv�m que o per�odo de reten��o para informa��es essenciais ao neg�cio e tamb�m
qualquer requisito para que c�pias de arquivo sejam permanentemente retidas seja
determinado (ver 15.1.3).
Informa��es adicionais Os mecanismos de c�pias de seguran�a podem ser automatizados
para facilitar os processos de gera��o e recupera��o das c�pias de seguran�a.
Conv�m que tais solu��es automatizadas sejam suficientemente testadas antes da
implementa��o e verificadas em intervalos regulares.
10.6 Gerenciamento da seguran�a em redes
Objetivo: Garantir a prote��o das informa��es em redes e a prote��o da infra-

estrutura de suporte.
O gerenciamento seguro de redes, que pode ir al�m dos limites da organiza��o,
requer cuidadosas considera��es relacionadas ao fluxo de dados, implica��es legais,
monitoramento e prote��o.
Controles adicionais podem ser necess�rios para proteger informa��es sens�veis
trafegando sobre redes p�blicas.
10.6.1 Controles de redes
Controle Conv�m que as redes sejam adequadamente gerenciadas e controladas, de
forma a proteg�-las contra amea�as e manter a seguran�a de sistemas e aplica��es
que utilizam estas redes, incluindo a informa��o em tr�nsito.
Diretrizes para implementa��o Conv�m que gestores de redes implementem controles
para garantir a seguran�a da informa��o nestas redes e a prote��o dos servi�os a
elas conectadas, de acesso n�o autorizado. Em particular, conv�m que os seguintes
itens sejam considerados:
a)
a responsabilidade operacional pelas redes seja separada da opera��o dos recursos
computacionais onde for apropriado (ver 10.1.3);
b)
as responsabilidades e procedimentos sobre o gerenciamento de equipamentos remotos,
incluindo equipamentos em �reas de usu�rios, sejam estabelecidos;
c)
os controles especiais sejam estabelecidos para prote��o da confidencialidade e
integridade dos dados trafegando sobre redes p�blicas ou sobre as redes sem fio
(wireless) e para proteger os sistemas e aplica��es a elas conectadas (ver 11.4 e
12.3); controles especiais podem tamb�m ser requeridos para manter a
disponibilidade dos servi�os de rede e computadores conectados;
d) os mecanismos apropriados de registro

e monitora��o sejam aplicados para habilitar
a grava��o das a��es relevantes de seguran�a;
e)
as atividades de gerenciamento sejam coordenadas para otimizar os servi�os para a
organiza��o e assegurar que os controles estejam aplicados de forma consistente
sobre toda a infra-estrutura de processamento da informa��o.
Informa��es adicionais sobre seguran�a
de redes
podem ser encontradas na ISO/IEC 18028, lnformation technology -Security techniques
-IT network security.
10.6.2 Seguran�a dos servi�os de rede
Controle Conv�mque as caracter�sticas de seguran�a, n�veis de servi�o e requisitos
de gerenciamento dos servi�os de rede sejam identificados e inclu�dos em qualquer
acordo de servi�os de rede, tanto para servi�os de rede providos internamente ou
terceirizados.
Diretrizes para implementa��o Conv�m que a capacidade do provedor dos servi�os de
rede de gerenciar os servi�os acordados de maneira segura seja determinada e
monitorada regularmente, bem como que o direito de audit�-los seja acordado.
Conv�m que as defini��es de seguran�a necess�rias para servi�os espec�ficos, como
caracter�sticas de seguran�a, n�veis de servi�o e requisitos de gerenciamento,
sejam identificadas. Conv�m que a organiza��o assegure que os provedores dos
servi�os de rede implementam estas medidas.
Informa��es adicionais Servi�os de rede incluem o fornecimento de conex�es,
servi�os de rede privados, redes de valor agregado e solu��es de seguran�a de rede
gerenciadas como firewa/1s e sistemas de detec��o de intrusos. Estes servi�os podem
abranger desde o simples fornecimento de banda de rede n�o gerenciada at� complexas
ofertas de solu��es de valor agregado.
Funcionalidades de seguran�a de servi�os de rede podem ser:
a) tecnologias aplicadas para seguran�a de servi�os de redes como autentica��o,
encripta��o e controles de conex�es de rede;
b} par�metro t�cnico requerido para uma conex�o segura com os servi�os de rede de
acordo com a seguran�a e regras de conex�o de redes;
c) procedimentos para o uso de servi�os de rede para restringir o acesso a servi�os
de rede ou aplica��es, onde for necess�rio.
1 O. 7 Manuseio de m�dias
Objetivo: Prevenir contra divulga��o n�o autorizada, modifica��o, remo��o ou

destrui��o aos ativos, e interrup��es das atividades do neg�cio.
Conv�m que as m�dias sejam controladas e fisicamente protegidas.
Conv�m que procedimentos operacionais apropriados sejam estabelecidos para proteger
documentos, m�dias magn�ticas de computadores (fitas, discos), dados de entrada e
sa�da e documenta��o dos sistemas contra divulga��o n�o autorizada, modifica��o,
remo��o e destrui��o.
10.7.1 Gerenciamento de m�dias remov�veis

Controle
Conv�mque existam procedimentos implementados para o gerenciamento de m�dias

remov�veis.
Diretrizes paraimplementa��o
Conv�m que as seguintes diretrizes para o gerenciamento de m�dias remov�veis sejam
consideradas:
a) quando n�o for mais necess�rio, o conte�do de qualquer meio magn�tico
reutiliz�vel seja destru�do, caso venha a ser retirado da organiza��o;
b) quando necess�rio e pr�tico, seja requerida a autoriza��o para remo��o de
qualquer m�dia da organiza��o e mantido o registro dessa remo��o como trilha de
auditoria;
c) toda m�dia seja guardada de forma segura em um ambiente protegido, de acordo com
as especifica��es do fabricante;
d} informa��es armazenadas em m�dias que precisam estar dispon�veis por muito tempo
(em conformidade com as especifica��es dos fabricantes) sejam tamb�m armazenadas em
outro local para evitar perda de informa��es devido � deteriora��o das m�dias;
e)
as m�dias remov�veis sejam registradas para limitar a oportunidade de perda de
dados;
f)
as unidades de m�dias remov�veis estejam habilitadas somente se houver uma
necessidade do neg�cio.
Conv�m que todos os procedimentos e os n�veis de autoriza��o sejam explicitamente

documentados.
Informa��es adicionais M�dia remov�vel inclui fitas, discos, flash disks, discos
remov�veis, CD, DVD e m�dia impressa.
10.7.2 Descarte de m�dias

Controle Conv�m que as m�dias sejam descartadas de forma segura e protegida quando
n�o forem mais necess�rias, por meio de procedimentos formais.
Diretrizes para implementa��o Conv�m que procedimentos formais para o descarte
seguro das m�dias sejam definidos para minimizar o risco de vazamento de
informa��es sens�veis para pessoas n�o autorizadas. Conv�m que os procedimentos
para o descarte seguro das m�dias, contendo informa��es sens�veis, sejam relativos
� sensibilidade das informa��es. Conv�m que os seguintes itens sejam considerados:
a)
m�dias contendo informa��es sens�veis sejam guardadas e destru�das de forma segura
e protegida, como, por exemplo, atrav�s de incinera��o ou tritura��o, ou da remo��o
dos dados para uso por uma outra aplica��o dentro da organiza��o;
b)
procedimentos sejam implementados para identificar os itens que requerem descarte
seguro;
pode ser mais f�cil implementar a coleta e descarte seguro de todas as m�dias a
serem inutilizadas do que tentar separar apenas aquelas contendo informa��es
sens�veis;
d)
muitas organiza��es oferecem servi�os de coleta e descarte de papel, de
equipamentos e de m�dias magn�ticas; conv�m que se tenha o cuidado na sele��o de um
fornecedor com experi�ncia e controles adequados;
e)
descarte de itens sens�veis seja registrado em controles sempre que poss�vel para
se manter uma trilha de auditoria.
Informa��es adicionais Informa��es sens�veis podem ser divulgadas atrav�s do

descarte negligente das m�dias (ver 9.2.6 para informa��es de descarte de
equipamentos).
10.7.3 Procedimentos para tratamento de informa��o

Controle Conv�mque sejam estabelecidos procedimentos para o tratamento e o
armazenamento de informa��es, para proteger tais informa��es contra a divulga��o
n�o autorizada ou uso indevido.
Diretrizes para implementa��o Conv�m que procedimentos sejam estabelecidos para o
tratamento, processamento, armazenamento e transmiss�o da informa��o, de acordo com
a sua classifica��o (ver 7.2). Conv�m que os seguintes itens sejam considerados:
a)
tratamento e identifica��o de todos os meios magn�ticos indicando o n�vel de
classifica��o;
b)
restri��es de acesso para prevenir o acesso de pessoas n�o autorizadas;
c)
manuten��o de um registro formal dos destinat�rios de dados autorizados;
d)
garantia de que a entrada de dados seja completa, de que o processamento esteja
devidamente conclu�do e de que a valida��o das sa�das seja aplicada;
e)
prote��o dos dados preparados para expedi��o ou impress�o de forma consistente com
a sua criticidade;
armazenamento das m�dias em conformidade com as especifica��es dos fabricantes;
g)
manuten��o da distribui��o de dados no menor n�vel poss�vel;
h)
identifica��o eficaz de todas as c�pias das m�dias, para chamar a aten��o dos
destinat�rios autorizados;
i)
an�lise cr�tica das listas de distribui��o e das listas de destinat�rios
autorizados em intervalos regulares.
Informa��es adicionais Estes procedimentos s�o aplicados para informa��es em

documentos, sistemas de computadores, redes de computadores, computa��o m�vel,
comunica��o m�vel, correio eletr�nico, correio de voz, comunica��o de voz em geral,
multim�dia, servi�os postais, uso de m�quinas de fax e qualquer outro item
sens�vel, como, porexemplo, cheques em branco e faturas.
10.7.4 Seguran�a da documenta��o dos sistemas

Controle Conv�mque a documenta��o dos sistemas seja protegida contra acessos n�o
autorizados.
Diretrizes para implementa��o Para proteger a documenta��o dos sistemas, conv�m que
os seguintes itens sejam considerados:
a) a documenta��o dos sistemas seja guardada de forma segura;
a rela��o de pessoas com acesso autorizado � documenta��o de sistemas seja a menor

poss�vel e autorizada pelo propriet�rio do sistema;
Informa��es adicionais A documenta��o dos sistemas pode conter uma serie de
informa��es sens1ve1s, como, por exemplo,descri��es de processos da aplica��o,
procedimentos, estruturas de dados e processos de autoriza��o.
10.8 Troca de informa��es

Objetivo: Manter a seguran�a na troca de informa��es e softwares internamente �
organiza��o e com quaisquer entidades externas.
Conv�m que as trocas de informa��es e softwares entre organiza��es estejam baseadas
numa pol�tica formal espec�fica, sejam efetuadas a partir de acordos entre as
partes e estejam em conformidade com toda a legisla��o pertinente (ver se��o 15).
Conv�m que sejam estabelecidos procedimentos e normas para proteger a informa��o e
a m�dia f�sica que cont�m informa��o em tr�nsito.
10.8.1 Pol�ticas e procedimentos para troca de informa��es
Controle Conv�m que pol�ticas, procedimentos e controles sejam estabelecidos e
formalizados para proteger a troca de informa��es em todos os tipos de recursos de
comunica��o.
Diretrizes para implementa��o Conv�m que os procedimentos e controles estabelecidos
para a troca de informa��es em recursos eletr�nicos de comunica��o considerem os
t�picos a seguir:
a)
procedimentos formulados para proteger a informa��o em tr�nsito contra
intercepta��o, c�pia, modifica��o, desvio e destrui��o;
b)
procedimentos para detec��o e prote��o contra c�digo malicioso que pode ser
transmitido atrav�s do uso de recursos eletr�nicos de comunica��o (ver 10.4.1 );
c)
procedimentos para prote��o de informa��es eletr�nicas sens�veis que sejam
transmitidas na forma de anexos;
d)
pol�tica ou diretrizes que especifiquem o uso aceit�vel dos recursos eletr�nicos de
comunica��o (ver 7.1e.3);
e)
procedimentos para o uso de comunica��o sem fio (wireless), levando em conta os
riscos particulares envolvidos;
f) as responsabilidades de funcion�rios, fornecedores e quaisquer outros usuanos

n�o devem comprometer a organiza��o atrav�s de, por exemplo, difama��o, ass�dio,
falsa identidade, retransmiss�o de "correntes", compras n�o autorizadas etc.;
g)
uso de t�cnicas de criptografia para, por exemplo, proteger a confidencialidade, a
integridade e a autenticidade das informa��es (ver 12.3);
h)
diretrizes de reten��o e descarte para toda a correspond�ncia de neg�cios,
incluindo mensagens, de acordo com regulamenta��es e legisla��o locais e nacionais
relevantes;
i)
n�o deixar informa��es cr�ticas ou sens�veis em equipamentos de impress�o, tais
como copiadoras, impressoras e aparelhos de fax, de tal forma que pessoas n�o
autorizadas tenham acesso a elas;
j) controles e restri��es associados � retransmiss�o
em recursos de comunica��o como, por exemplo, a retransmiss�o autom�tica de
correios eletr�nicos para endere�os externos;
k)
lembrar �s pessoas que elas devem tomar precau��es adequadas como, por exemplo, n�o
revelar informa��es sens�veis, para evitar que sejam escutadas ou interceptadas
durante uma liga��o telef�nica por:
1) pessoas em sua vizinhan�a, especialmente quando estiver usando telefone celular;
2) grampo telef�nico e outras formas de escuta clandestina atrav�s do acesso f�sico

ao aparelho telef�nico ou � linha, ou, ainda, pelo uso de rastreadores;
3) pessoas ao lado do interlocutor;
1)
n�o deixar mensagens contendo informa��es sens�veis em secret�rias eletr�nicas, uma
vez que as mensagens podem ser reproduzidas por pessoas n�o autorizadas, gravadas
em sistemas p�blicos ou gravadas indevidamente por erro de discagem;
m)
lembrar as pessoas sobre os problemas do uso de aparelhos de fax, tais como:
1) acesso n�o autorizado a dispositivos para recupera��o de mensagens;

2) programa��o de aparelhos, deliberada ou acidental, para enviar mensagens para
n�meros espec�ficos determinados;
3) envio de documentos e mensagens para n�mero errado, seja por falha na discagem
ou uso de n�mero armazenado errado;
n)
lembrar as pessoas para que evitem o armazenamento de dados pessoais, como
endere�os de correios eletr�nicos ou informa��es adicionais particulares, em
qualquer software, impedindo que sejam capturados para uso n�o autorizado;
o)
lembrar as pessoas sobre a exist�ncia de aparelhos de fax e copiadoras que t�m
dispositivos de armazenamento tempor�rio de p�ginas para o caso de falha no papel
ou na transmiss�o, as quais ser�o impressas ap�s a corre��o da falha.
Adicionalmente, conv�m que as pessoas sejam lembradas de que n�o devem manter
conversas confidenciais em locais p�blicos, escrit�rios abertos ou locais de
reuni�o que n�o disponham de paredes � prova de som.
Conv�m que os recursos utilizados para a troca de informa��es estejam de acordo com
os requisitos legais pertinentes (ver se��o 15).
Informa��es adicionais A troca de informa��es pode ocorrer atrav�s do uso de v�rios
tipos diferentes de recursos de comunica��o, incluindo correios eletr�nicos, voz,
fax e v�deo.
A troca de softwares pode ocorrer de diferentes formas, incluindo a baixa
(download) da internet ou a aquisi��o junto a fornecedores que vendem produtos em
s�rie.
Conv�m que sejam consideradas
as poss�veis implica��es nos neg�cios, nos aspectos legais e na seguran�a,
relacionadas com a troca eletr�nica de dados, com o com�rcio eletr�nico,
comunica��o eletr�nica e com os requisitos para controles.
As informa��es podem ser comprometidas devido � falta de conscientiza��o, de
pol�ticas ou de procedimentos no uso de recursos de troca de informa��es, como, por
exemplo, a escuta de conversas ao telefone celular em locais p�blicos, erro de
endere�amento de mensagens de correio eletr�nico, escuta n�o autorizada de
mensagens gravadas em secret�rias eletr�nicas, acesso n�o autorizado a sistemas de
correio de voz ou o envio acidental de faxes para aparelhos errados.

As opera��es do neg�cio podem ser prejudicadas e as informa��es podem ser
comprometidas se os recursos de comunica��o falharem, forem sobrecarregados ou
interrompidos (ver 10.3 e se��o 14). As informa��es podem ser comprometidas se
acessadas por usu�rios n�o autorizados (ver se��o 11 ).
10.8.2 Acordos para a troca de informa��es

Controle Conv�m que sejam estabelecidos acordos para a troca de informa��es e
softwares entre a organiza��o e entidades externas.
Diretrizes para implementa��o Conv�m que os acordos de troca de informa��es
considerem as seguintes condi��es de seguran�a da informa��o:
a)
responsabilidades do gestor pelo controle e notifica��o de transmiss�es, expedi��es
e recep��es;
b)
procedimentos para notificar o emissor da transmiss�o, expedi��o e recep��o;
c)
procedimentos para assegurar a rastreabilidade dos eventos e o n�o-rep�dio;
d)
padr�es t�cnicos m�nimos para embalagem e transmiss�o;
e)
acordos para procedimentos de cust�dia;
f)
normas para identifica��o de portadores;
g)
responsabilidades e obriga��es na ocorr�ncia de incidentes de seguran�a da
informa��o, como perda de dados;
h)
utiliza��o de um sistema acordado de identifica��o para informa��es cr�ticas e
sens�veis, garantindo que o significado dos r�tulos seja imediatamente entendido e
que a informa��o esteja devidamente protegida;
i)
propriedade e responsabilidades sobre a prote��o dos dados, direitos de
propriedade, conformidade com as licen�as dos softwares e considera��es afins (ver
15.1.2 e 15.1 .4 );
j)
normas t�cnicas para a grava��o e leitura de informa��es e softwares;
k)
quaisquer controles especiais que possam ser necess�rios para prote��o de itens
sens�veis, tais como chaves criptogr�ficas (ver 12.3).
Conv�m que pol�ticas, procedimentos e normas para proteger as informa��es e as

m�dias em tr�nsito (ver tamb�m 10.8.3) sejam estabelecidos e mantidos, al�m de
serem referenciados nos mencionados acordos para a troca de informa��es.
Conv�m que os aspectos de seguran�a contidos nos acordos reflitam a sensibilidade
das informa��es envolvidas no neg�cio.
Informa��es adicionais Os acordos podem ser eletr�nicos ou manuais, e podem estar
no formato de contratos formais ou condi��es de contrata��o. Para informa��es
sens�veis, conv�m que os mecanismos espec�ficos usados para a troca de tais
informa��es sejam consistentes com todas as organiza��es e tipos de acordos.
10.8.3 M�dias em tr�nsito

Controle
Conv�mque m�dias contendo informa��es sejam protegidas contra acesso n�o

autorizado, uso impr�prio ou altera��o indevida durante o transporte externo aos
limites f�sicos da organiza��o.
Diretrizes
Conv�m
que as seguintes recomenda��es sejam consideradas, para proteger as m�dias que s�o
transportadas entre localidades:
a)
meio de transporte ou o servi�o de mensageiros sejam confi�veis;
b)
seja definida uma rela��o de portadores autorizados em concord�ncia com o gestor;
c)
sejam estabelecidos procedimentos para a verifica��o da identifica��o dos
transportadores;
d)
a embalagem seja suficiente para proteger o conte�do contra qualquer dano f�sico,
como os que podem ocorrer durante o transporte, e que seja feita de acordo com as
especifica��es dos fabricantes (como no caso de softwares), por exemplo, protegendo
contra fatores ambientais que possam reduzir a possibilidade de restaura��o dos
dados como a exposi��o ao calor, umidade ou camposeletromagn�ticos;
e)
sejam adotados controles, onde necess�rio, para proteger informa��es sens�veis
contra divulga��o n�o autorizada ou modifica��o; como exemplo, pode-se incluir o
seguinte:
1) utiliza��o de recipientes lacrados;
2) entrega em m�os;
3) lacre expl�cito de pacotes (que revele qualquer tentativa de acesso);
4) em casos excepcionais, divis�o do conte�do em mais de uma remessa e expedi��o
por rotas distintas.
Informa��es
adicionais
As
informa��es podem estar vulner�veis a acesso n�o autorizado, uso impr�prio ou
altera��o indevida durante
o transporte f�sico, por exemplo quando a m�dia � enviada por via postal ou sistema
de mensageiros.
10.8.4 Mensagens eletr�nicas

Controle
Conv�mque as informa��es que trafegam em mensagens eletr�nicas sejam adequadamente

protegidas.
Diretrizes
Conv�m
que as considera��es de seguran�a da informa��o sobre as mensagens eletr�nicas
incluam o seguinte:
a)
prote��o das mensagens contra acesso n�o autorizado, modifica��o ou nega��o de
servi�o;
b) assegurar que o endere�amento e o transporte da mensagem estejam corretos;

confiabilidade e disponibilidade geral do servi�o;
d) aspectos legais, como, por exemplo, requisitos de assinaturas eletr�nicas;
e)
aprova��o pr�via para o uso de servi�os p�blicos externos, tais como sistemas de
mensagensinstant�neas e compartilhamento de arquivos;
f) n�veis mais altos de autentica��o para controlar o acesso a partir de redes

p�blicas.
Informa��es adicionais Mensagens eletr�nicas como correio eletr�nico, Eletronic
Data lnterchange (EDI) e sistemas de mensagens instant�neas cumprem um papel cada
vez mais importante nas comunica��es do neg�cio. A mensagem eletr�nica tem riscos
diferentes, se comparada com a comunica��o em documentos impressos.
10.8.5 Sistemas de informa��es do neg�cio

Controle Conv�m que pol�ticas e procedimentos sejam desenvolvidos e implementados
para proteger as informa��es associadas com a interconex�o de sistemas de
informa��es do neg�cio.
Diretrizes para implementa��o Conv�m que as considera��es sobre seguran�a da
informa��o e implica��es no neg�cio das interconex�es de sistemas incluam o
seguinte:
a)
vulnerabilidades conhecidas nos sistemas administrativos e cont�beis onde as
informa��es s�o compartilhadas com diferentes �reas da organiza��o;
b) vulnerabilidades da informa��o nos sistemas de comunica��o do negocio,

como, por exemplo, grava��o de chamadas telef�nicas ou teleconfer�ncias,
confidencialidade das chamadas, armazenamento de faxes, abertura de correio e
distribui��o de correspond�ncia;
c)
pol�tica e controles apropriados para gerenciar o compartilhamento de informa��es;
d)
exclus�o de categorias de informa��es sens�veis e documentos confidenciais, caso o
sistema n�o forne�a o n�vel de prote��o apropriado (ver 7.2);
e)
restri��o do acesso a informa��es de trabalho relacionado com indiv�duos
espec�ficos, como, por exemplo, um grupo que trabalha com projetos sens�veis;
f)
categorias de pessoas, fornecedores ou parceiros nos neg�cios autorizados a usar o
sistema e as localidades a partir das quais pode-se obter acesso ao sistema (ver
6.2 e 6.3);
g)
restri��o aos recursos selecionados para categorias espec�ficas de usu�rios;
h)
identifica��o da condi��o do usu�rio, como, por exemplo,funcion�rios da organiza��o
ou fornecedores na lista de cat�logo de usu�rios em benef�cio de outros usu�rios;
i)
reten��o e c�pias de seguran�a das informa��es mantidas no sistema (ver 10.5.1 );
j)
requisitos e procedimentos para recupera��o e conting�ncia (ver se��o 14).
Informa��es adicionais Os sistemas de informa��o de escrit�rio representam uma

oportunidade de r�pida dissemina��o e compartilhamento de informa��es do neg�cio
atrav�s do uso de uma combina��o de: documentos, computadores, dispositivos m�veis,
comunica��o sem fio, correio, correio de voz, comunica��o de voz em geral,
multim�dia, servi�os postais e aparelhos de fax.
10.9 Servi�os de com�rcio eletr�nico

Objetivo: Garantir a seguran�a de servi�os de com�rcio eletr�nico e sua utiliza��o
segura.
Conv�m que as implica��es de seguran�a da informa��o associadas com o uso de
servi�os de com�rcio eletr�nico, incluindo transa��es on-line e os requisitos de
controle, sejam consideradas. Conv�m que a integridade e a disponibilidade da
informa��o publicada eletronicamente por sistemas publicamente dispon�veis sejam
tamb�m consideradas.
10.9.1 Com�rcio eletr�nico

Controle Conv�m que as informa��es envolvidas em com�rcio eletr�nico transitando
sobre redes p�blicas sejam protegidas de atividades fraudulentas, disputas
contratuais e divulga��o e modifica��es n�o autorizadas.
Diretrizes para implementa��o Conv�m que as considera��es de seguran�a da
informa��o para com�rcio eletr�nico incluam os seguintes
itens:
a) n�vel de confian�a que cada parte requer na suposta identidade de outros, como,
por exemplo, por
meio de mecanismos de autentica��o;
b) processos de autoriza��o com quem pode determinar pre�os, emitir ou assinar
documentos-chave de
negocia��o;
garantia de que parceiros comerciais est�o completamente informados de suas

autoriza��es;
d) determinar e atender requisitos de confidencialidade, recebimento de
documentos-chave, e a n�o-repudia��o associados aos processos de licita��es e
contrata��es; integridade, evid�ncias de contratos, como, por exemplo, de
emiss�o e os
e) n�vel de confian�a requerido na integridade das listas de pre�os anunciadas;
f) a confidencialidade de quaisquer dados ou informa��es sens�veis;
g)
a confidencialidade e integridade de quaisquer transa��es de pedidos, informa��es
de pagamento, detalhes de endere�o de entrega e confirma��es de recebimentos;
h)
grau de investiga��o apropriado para a verifica��o de informa��es de pagamento
fornecidas por um cliente;
j)
sele��o das formas mais apropriadas de pagamento para prote��o contra fraudes;
n�vel de prote��o requerida para manter a confidencialidade e integridade das
informa��es de pedidos;
k)
preven��o contra perda ou duplica��o de informa��o de transa��o;
1)
responsabilidades associados com quaisquer transa��es fraudulentas;
m)
requisitos de seguro.
Muitas das considera��es acima podem ser endere�adas pela aplica��o de controles
criptogr�ficos (ver 12.3), levando-se em conta a conformidade com os requisitos
legais (ver 15.1, especialmente 15.1.6 para legisla��o sobre criptografia).
Conv�m que os procedimentos para com�rcio eletr�nico entre parceiros comerciais

sejam apoiados por um acordo formal que comprometa ambas as partes aos termos da
transa��o, incluindo detalhes de autoriza��o (ver b) acima). Outros acordos com
fornecedores de servi�os de informa��o e redes de valor agregado podem ser
necess�rios.
Conv�m que sistemas comerciais p�blicos divulguem seus termos comerciais a seus
clientes.
Conv�m que sejam consideradas a capacidade de resili�ncia dos servidores utilizados
para comercio
eletr�nico contra ataques e as implica��es de seguran�a de qualquer interconex�o
que seja necess�ria na rede de telecomunica��es para a sua implementa��o (ver
11e.4.6).
Informa��es adicionais Com�rcio eletr�nico � vulner�vel a in�meras amea�as de rede
que podem resultar em atividades fraudulentas, disputas contratuais, e divulga��o
ou modifica��o de informa��o.
Com�rcio eletr�nico pode utilizar m�todos seguros de autentica��o, como, por
exemplo, criptografia de chave p�blica e assinaturas digitais (ver 12.3) para
reduzir os riscos. Ainda, terceiros confi�veis podem ser utilizados onde tais
servi�os forem necess�rios.
10.9.2 Transa��es on-line

Controle Conv�m que informa��es envolvidas em transa��es on-line sejam protegidas
para prevenir transmiss�es incompletas, erros de roteamento, altera��es n�o
autorizadas de mensagens, divulga��o n�o autorizada, duplica��o ou reapresenta��o
de mensagem n�o autorizada.
Diretrizes para implementa��o Conv�m que as considera��es de seguran�a para
transa��es on-line incluam os seguintes itens:
a)
uso de assinaturas eletr�nicas para cada uma das partes envolvidas na transa��o;
b)
todos os aspectos da transa��o, ou seja, garantindo que:
1
) credenciais de usu�rio para todas as partes s�o v�lidas e verificadas;
2)
a transa��o permane�a confidencial; e
3)
a privacidade de todas as partes envolvidas seja mantida;
c)
caminho de comunica��o entre todas as partes envolvidas � criptografado;
d)
protocolos usados para comunica��es entre todas as partes envolvidas � seguro;
e)
garantir que o armazenamento dos detalhes da transa��o est� localizado fora de
qualquer ambiente publicamente acess�vel, como por exemplo, numa plataforma de
armazenamento na intranet da organiza��o, e n�o retida e exposta em um dispositivo
de armazenamento diretamente acess�vel pela internet;
f) onde uma autoridade confi�vel � utilizada (como, por exemplo, para prop�sitos de
emIssao e manuten��o de assinaturas e/ou certificados digitais), seguran�a �
integrada a todo o processo de gerenciamento de certificados/assinaturas.
Informa��es adicionais A extens�o dos controles adotados precisar� ser proporcional

ao n�vel de risco associado a cada forma de transa��o on-line.
Transa��es podem precisar estar de acordo com leis, regras e regulamenta��es na
jurisdi��o em que a transa��o � gerada, processada, completa ou armazenada.
Existem muitas formas de transa��es que podem ser executadas de forma on-line,
como, por exemplo, contratuais, financeiras etc.
10.9.3 Informa��es publicamente dispon�veis

Controle Conv�m que a integridade das informa��es disponibilizadas em sistemas
publicamente acess�veis seja
protegida para prevenir modifica��es n�o autorizadas.
Diretrizes para implementa��o Conv�m que aplica��es, dados e informa��es adicionais
que requeiram um alto n�vel de integridade e que sejam disponibilizados em sistemas
publicamente acess�veis sejam protegidos por mecanismos apropriados, como, por
exemplo, assinaturas digitais (ver 12.3). Conv�m que os sistemas acess�veis
publicamente sejam testados contra fragilidades e falhas antes da informa��o estar
dispon�vel.
Conv�m que haja um processo formal de aprova��o antes que uma informa��o seja
publicada. Adicionalmente, conv�m que todo dado de entrada fornecido por fontes
externas ao sistema seja verificado e aprovado.
Conv�m que sistemas de publica��o eletr�nica, especialmente os que permitem
realimenta��o e entrada direta de informa��o, sejam cuidadosamente controlados, de
forma que:
a)
informa��es sejam obtidas em conformidade com qualquer legisla��o de prote��o de
dados (ver 15.1e.4);
b)
informa��es que sejam entradas e processadas por um sistema de publica��o sejam
processadas completa e corretamente em um tempo adequado;
informa��es sens�veis sejam protegidas durante a coleta, processamento e

armazenamento;
d)
acesso a sistemas de publica��o n�o permita acesso n�o intencional a redes �s quais
tal sistema est� conectado.
Informa��es em sistemas publicamente dispon�veis, como, por exemplo, informa��es em
servidores web acess�veis por meio da internet, podem necessitar estar de acordo
com leis, regras e regulamenta��es na jurisdi��o em que o sistema est� localizado,
onde a transa��o est� ocorrendo ou onde o propriet�rio reside. Modifica��es n�o
autorizadas de informa��es publicadas podem trazer preju�zos � reputa��o da
organiza��o
que a publica.
10.1 O Monitoramento
Objetivo: Detectar atividades n�o autorizadas de processamento da informa��o.
Conv�m que os sistemas sejam monitorados e
eventos de seguran�a
da informa��o sejam reg

istrados. Conv�m que registros (/og) de operador e registros (/og) de falhas sejam
utilizados para assegurar que os
problemas de sistemas de informa��o s�o identificados.
Conv�m que as organiza��es estejam
de acordo com todos os requisitos legais relevantes aplic�veis para suas atividades
de registro e monitoramento. Conv�m que o monitoramento do sistema seja utilizado
para checar a efic�cia dos controles adotados e para verificar a conformidade com o
modelo de pol�tica de acesso.

10.10.1 Registros de auditoria
Controle Conv�m que registros (log) de auditoria contendo atividades dos usu�rios,
exce��es e outros eventos de seguran�a da informa��o sejam produzidos e mantidos
por um per�odo de tempo acordado para auxiliar em futuras investiga��es e
monitoramento de controle de acesso.
Diretrizes para implementa��o Conv�m que os registros (log) de auditoria incluam,
quando relevante:
a)
identifica��o dos usu�rios;
b)
datas, hor�rios e detalhes de eventos-chave, como, por exemplo, hor�rio de entrada
(/og-on) e sa�da (/og-off) no sistema;
c)
identidade do terminal ou, quando poss�vel, a sua localiza��o;
d} registros das tentativas de acesso ao sistema aceitas e rejeitadas;

e)
registros das tentativas de acesso a outros recursos e dados aceitos e rejeitados;
f)
altera��es na configura��o do sistema;
g)
uso de privil�gios;
h)
uso de aplica��es e utilit�rios do sistema;
i)
arquivos acessados e tipo de acesso;
j)
endere�os e protocolos de rede;
k)
alarmes provocados pelo sistema de controle de acesso;
1)
ativa��o e desativa��o dos sistemas de prote��o, tais como sistemas de antiv�rus e
sistemas de detec��o de intrusos.
Informa��es adicionais Os registros (/og) de auditoria podem conter dados pessoais
confidenciais e de intrusos. Conv�m que medidas apropriadas de prote��o de
privacidade sejam tomadas (ver 15.1.4 ). Quando poss�vel, conv�m que
administradores de sistemas n�o tenham permiss�o de exclus�o ou desativa��o dos
registros (/og) de suas pr�prias atividades (ver 10.e1.3).
10.10.2 Monitoramento do uso do sistema

Controle Conv�m que sejam
estabelecidos procedimentos para o monitoramento do uso dos recursos de
processamento da informa��o e os resultados das atividades de monitoramento sejam
analisados criticamente, de forma regular.
Diretrizes para implementa��o Conv�m que o n�vel de monitoramento requerido para os

recursos individuais seja determinado atrav�s de uma an�lise/avalia��o de riscos.
Conv�m que a organiza��o esteja de acordo com todos os requisitos legais
relevantes, aplic�veis para suas atividades de monitoramento. Conv�m que as
seguintes �reas sejam consideradas:
a) acessos autorizados, incluindo detalhes do tipo:
o identificador do usu�rio (ID de usu�rio);
c)
2) a data e o hor�rio dos eventos-chave;
3) tipo do evento;
4) os arquivos acessados;
5) os programas ou utilit�rios utilizados ;
todas as opera��es privilegiadas, tais como:

1) uso de contas privilegiadas, por exemplo: supervisor, root, administrador;
2) inicializa��o e finaliza��o do sistema;
3) a conex�o e a desconex�o de dispositivos de entrada e sa�da; tentativas de
acesso n�o autorizadas, tais como
:
1) a��es de usu�rios com falhas ou rejeitados;
2) a��es envolvendo dados ou outros recursos com falhas ou rejeitadas;
3) viola��o de pol�ticas de acesso e notifica��es para gateways de rede e
firewa/1s;
4) alertas dos sistemas propriet�rios de detec��o de intrusos;
d)
alertas e falhas do sistema, tais como:
1) alertas ou mensagens do console;

2) registro das exce��es do sistema;
3) alarmes do gerenciamento da rede;
4) alarmes disparados pelo sistema de controle de acesso;
e)
altera��es ou tentativas de altera��es nos controles e par�metros dos sistemas de
seguran�a.
Conv�m que a freq��ncia da an�lise cr�tica dos resultados das atividades de
monitaramento dependa dos riscos envolvidos. Conv�m que os seguintes fatores de
risco sejam
considerados:
a)
criticidade dos processos de aplica��o;
b)
valor, sensibilidade e criticidade da informa��o envolvida;
c) experi�ncia anterior com infiltra��es e uso impr�prio do sistema e da freq��ncia

das vulnerabilidades sendo exploradas;
d)
extens�o da interconex�o dos sistemas (particularmente com redes p�blicas);
e)
desativa��o da grava��o dos registros (/ogs).
Informa��es adicionais O uso de procedimentos de monitoramento � necess�rio para

assegurar que os usu�rios est�o executando somente as atividades que foram
explicitamente autorizadas.
A an�lise cr�tica dos registros (/og) envolve a compreens�o das amea�as encontradas
no sistema e a maneira pela qual isto pode acontecer. Exemplos de eventos que podem
requerer uma maior investiga��o em casos de incidentes de seguran�a da informa��o
s�o comentados em 13a.1.1.
10.10.3 Prote��o das informa��es dos registros (log)

Controle Conv�mque os recursos e informa��es de registros (/og) sejam protegidos
contra falsifica��o e acesso n�o autorizado.
Diretrizes para implementa��o Conv�m que os controles implementados objetivem a
prote��o contra modifica��es n�o autorizadas e problemas operacionais com os
recursos dos registros (/og), tais como:
altera��es dos tipos de mensagens que s�o gravadas;
b)
arquivos de registros (/og) sendo editados ou exclu�dos;
c)
capacidade de armazenamento da m�dia magn�tica do arquivo de registros (/og)
excedida, resultando em falhas no registro de eventos ou sobreposi��o do registro
de evento anterior.
Alguns registros (/og) de auditoria podem ser guardados como parte da pol�tica de
reten��o de registros ou devido aos requisitos para a coleta e reten��o de
evid�ncia (ver 13.2.3).
Informa��es adicionais Registros (/og) de sistema normalmente cont�m um grande
volume de informa��es e muitos dos quais n�o dizem respeito ao monitoramento da
seguran�a. Para ajudar a identificar eventos significativos para prop�sito de
monitoramento de seguran�a, conv�m que a c�pia autom�tica dos tipos de mensagens
para a execu��o de consulta seja considerada e/ou o uso de sistemas utilit�rios
adequados ou ferramentas de auditoria para realizar a racionaliza��o e investiga��o
do arquivo seja considerado.
Registros (/og) de sistema precisam ser protegidos, pois os dados podem ser
modificados e exclu�dos e suas ocorr�ncias podem causar falsa impress�o de
seguran�a.
10.10.4 Registros (/og) de administrador e operador

Controle Conv�mque as atividades dos administradores e operadores do sistema sejam
registradas.
Conv�m que esses registros (/og) incluam:
a)
a hora em que o evento ocorreu (sucesso ou falha);
b) informa��es sobre o evento (exemplo: arquivos manuseados) ou falha (exemplo:

erros ocorridos e a��es corretivas adotadas);
c)
que conta e que administrador ou operador estava envolvido;
d} que processos estavam envolvidos.

Conv�m que os registros (/og) de atividades dos operadores e administradores dos
sistemas sejam analisados criticamente em intervalos regulares.
Informa��es adicionais Um sistema de detec��o de intrusos gerenciado fora do
controle dos administradores de rede e de sistemas pode ser utilizado para
monitorar a conformidade das atividades dos administradores do sistema e da rede.
10.10.5 Registros (/og) de falhas

Controle Conv�m que as falhas ocorridas sejam registradas e analisadas, e que sejam
adotadas a��es apropriadas.
Diretrizes para implementa��o Conv�m que falhas informadas pelos usu�rios ou pelos
programas de sistema relacionado a problemas com processamento da informa��o ou
sistemas de comunica��o sejam registradas. Conv�m que existam regras claras para o
tratamento das falhas informadas, incluindo:
a)
an�lise cr�tica dos registros (/og) de falha para assegurar que as falhas foram
satisfatoriamente resolvidas;
b)
an�lise cr�tica das medidas corretivas para assegurar que os controles n�o foram
comprometidos e que a a��o tomada � completamente autorizada.
Conv�m que seja assegurado que o registro de erros esteja habilitado, caso essa
fun��o do sistema esteja dispon�vel.
Informa��es adicionais Registros de falhas e erros podem impactar o desempenho do
sistema. Conv�m que cada tipo de registro a ser coletado seja habilitado por
pessoas competentes e que o n�vel de registro requerido para cada sistema
individual seja determinado por uma an�lise/avalia��o de riscos, levando em
considera��o a degrada��o do desempenho do sistema.
10.10.6 Sincroniza��o dos rel�gios

Controle Conv�m que os rel�gios de todos os sistemas de processamento de
informa��es relevantes, dentro da organiza��o ou do dom�nio de seguran�a, sejam
sincronizados com uma fonte de tempo precisa, acordada.
Diretrizes para implementa��o Onde um computador ou dispositivo de comunica��o
tiver a capacidade para operar um rel�gio (c/ock) de tempo real, conv�m que o
rel�gio seja ajustado conforme o padr�o acordado, por exemplo o tempo coordenado
universal (Coordinated Universal Time -UTC} ou um padr�o de tempo local. Como
alguns rel�gios s�o conhecidos pela sua varia��o durante o tempo, conv�m que exista
um procedimento que verifique esses tipos de inconsist�ncias e corrija qualquer
varia��o significativa.
A interpreta��o correta do formato data/hora � importante para assegurar que o

timestamp reflete a data/hora real. Conv�m que se levem em conta especifica��es
locais (por exemplo, hor�rio de ver�o).
Informa��es adicionais O estabelecimento correto dos rel�gios dos computadores �
importante para assegurar a exatid�o dos registros (/og) de auditoria, que podem
ser requeridos por investiga��es ou como evid�ncias em casos legais ou
disciplinares. Registros (/og) de auditoria incorretos podem impedir tais
investiga��es e causar danos � credibilidade das evid�ncias. Um rel�gio interno
ligado ao rel�gio at�mico nacional via transmiss�o de r�dio pode ser utilizado como
rel�gio principal para os sistemas de registros (/ogging). O protocolo de hora da
rede pode ser utilizado para sincronizar todos os rel�gios dos servidores com o
rel�gio principal.
11 Controle de acessos
11.1 Requisitos de neg�cio para controle de acesso
Objetivo: Controlar acesso � informa��o.
Conv�m que o acesso � informa��o, recursos de processamento das informa��es e
processos de neg�cios sejam controlados com base nos requisitos de neg�cio e
seguran�a da informa��o.
Conv�m que as regras de controle de acesso levem em considera��o as pol�ticas para
autoriza��o e dissemina��o da informa��o.
11.1.1 Pol�tica de controle de acesso
Controle Conv�m que a pol�tica de controle de acesso seja estabelecida documentada
e analisada criticamente, tomando-se como base os requisitos de acesso dos neg�cios
e seguran�a da informa��o.
Diretrizes para implementa��o Conv�m que as regras de controle de acesso e direitos
para cada usu�rio ou grupos de usu�rios sejam expressas claramente na pol�tica de
controle de acesso. Conv�m considerar os controles de acesso l�gico e f�sico (ver
se��o 9) de forma conjunta. Conv�m fornecer aos usu�rios e provedores de servi�os
uma declara��o n�tida dos requisitos do neg�cio a serem atendidos pelos controles
de acessos.
Conv�m que a pol�tica leve em considera��o os seguintes itens:
a)
requisitos de seguran�a de aplica��es de neg�cios individuais;
b)
identifica��o de todas as informa��es relacionadas �s aplica��es de neg�cios e os
riscos a que as informa��es est�o expostas;
c)
pol�tica para dissemina��o e autoriza��o da informa��o, por exemplo, o princ�pio
need to know e n�veis de seguran�a e a classifica��o das informa��es (ver 7.2);
d)
consist�ncia entre controle de acesso e pol�ticas de classifica��o da informa��o em
diferentes sistemas e redes;
e)
legisla��o pertinente e qualquer obriga��o contratual relativa � prote��o de acesso
para dados ou servi�os (ver 15.1 );
f)
perfis de acesso de usu�rio-padr�o para trabalhos comuns na organiza��o;
g)
administra��o de direitos de acesso em um ambiente distribu�do e conectado � rede
que reconhece todos os tipos de conex�es dispon�veis;
h)
segrega��o de fun��es para controle de acesso, por exemplo, pedido de acesso,
autoriza��o de acesso, administra��o de acesso;
i)
requisitos para autoriza��o formal de pedidos de acesso (ver 11.2.1 );
j)
requisitos para an�lise cr�tica peri�dica de controles de acesso (ver 11.2.4);
k)
remo��o de direitos de acesso (ver 8.3.3).
Informa��es adicionais Conv�m que sejam tomados cuidados na especifica��o de regras

de controle de acesso quando se considerar
o seguinte:
a)
diferenciar entre regras que devem ser obrigat�rias e for�adas, e diretrizes que
s�o opcionais ou condicionais;
b)
estabelecer regra baseada na premissa "Tudo � proibido, a menos que expressamente
permitido" em lugar da regra mais fraca "Tudo � permitido, a menos que
expressamente proibido";
c)
mudan�as em r�tulos de informa��o (ver 7.2) que s�o iniciadas automaticamente
atrav�s de recursos de processamento da informa��o e os que iniciaram pela
pondera��o de um usu�rio;
d} mudan�as em permiss�es de usu�rio que s�o iniciadas automaticamente pelo sistema

de informa��o e aqueles iniciados por um administrador;
e) regras que requerem aprova��o espec�fica antes de um decreto ou lei e as que n�o
necessitam.
Conv�m que as regras para controle de acesso sejam apoiadas por procedimentos
formais e responsabilidades claramente definidas (ver 6.1.3, 11.3, 10.4.1 e 11.6).
11.2 Gerenciamento de acesso do usu�rio

Objetivo: Assegurar acesso de usu�rio autorizado e prevenir acesso n�o autorizado a
sistemas de informa��o.
Conv�m que procedimentos formais sejam implementados para controlar a distribui��o
de direitos de acesso a sistemas de informa��o e servi�os.
Conv�m que os procedimentos cubram todas as fases do ciclo de vida de acesso do
usu�rio, da inscri��o inicial como novos usu�rios at� o cancelamento final do
registro de usu�rios que j� n�o requerem acesso a sistemas de informa��o e
servi�os. Conv�m que aten��o especial seja dada, onde apropriado, para a
necessidade de controlar a distribui��o de direitos de acesso privilegiado que
permitem os usu�rios mudar controles de sistemas.
11.2.1 Registro de usu�rio
Controle Conv�m que exista um procedimento formal de registro e cancelamento de
usu�rio para garantir e revogar acessos em todos os sistemas de informa��o e
servi�os.
Diretrizes para implementa��o Conv�m que os procedimentos de controle de acesso
para registro e cancelamento de usu�rios incluam:
a) utilizar identificador de usu�rio (ID de usu�rio) �nico para assegurar a
responsabilidade de cada
usu�rio por suas a��es; conv�m que o uso de grupos de ID somente seja permitido
onde existe a
necessidade para o neg�cio ou por raz�es operacionais, e isso seja aprovado e
documentado;
b) verificar se o usu�rio tem autoriza��o do propriet�rio do sistema para o uso do
sistema de informa��o
ou servi�o; aprova��o separada para direitos de acesso do gestor tamb�m pode ser
apropriada;
c) verificar se o n�vel de acesso concedido � apropriado ao prop�sito do
neg�cio (ver 11.1) e �
consistente com a pol�tica de seguran�a da organiza��o, por exemplo, n�o compromete
a segrega��o
de fun��o (ver 10.1e.3);
d) dar para os usu�rios uma declara��o por escrito dos seus direitos de acesso;
e)
requerer aos usu�rios a assinatura de uma declara��o indicando que eles entendem as
condi��es de acesso;
f)
assegurar aos provedores de servi�os que n�o ser�o dados acessos at� que os
procedimentos de autoriza��o tenham sido conclu�dos;
g)
manter um registro formal de todas as pessoas registradas para usar o servi�o;
h)
remover imediatamente ou bloquear direitos de acesso de usu�rios que mudaram de
cargos ou fun��es, ou deixaram a organiza��o;
i)
verificar periodicamente e remover ou bloquear identificadores (1D) e contas de
usu�rio redundantes (ver 11.2.4 );
j)
assegurar que identificadores de usu�rio (1D de usu�rio) redundantes n�o sejam
atribu�dos para outros usu�rios.
Informa��es adicionais Conv�m que seja considerado estabelecer perfis de acesso do

usu�rio baseados nos requisitos dos neg�cios que resumam um n�mero de direitos de
acessos dentro de um perfil de acesso t�pico de usu�rio. Solicita��es de acessos e
an�lises cr�ticas (ver 11e.2.4) s�o mais f�ceis de gerenciar ao n�vel de tais
perfis do que ao n�vel de direitos particulares.
Conv�m que seja considerada a inclus�o de cl�usulas nos contratos de usuanos
e de servi�os que especifiquem as san��es em caso de tentativa de acesso n�o
autorizado pelos usu�rios ou por terceiros (ver 6.1.5, 8.1.3 e 8.2.3).
11.2.2 Gerenciamento de privil�gios

Controle Conv�m que a concess�o e o uso de privil�gios sejam restritos e
controlados.
Diretrizes para implementa��o Conv�m que os sistemas de multiusu�rios que
necessitam de prote��o contra acesso n�o autorizado tenham a concess�o de
privil�gios controlada por um processo de autoriza��o formal. Conv�m que os
seguintes passos sejam considerados:
a)
privil�gio de acesso de cada produto de sistema, por exemplo, sistema operacional,
sistemas de gerenciamento de banco de dados e cada aplica��o, e de categorias de
usu�rios para os quais estes necessitam ser concedido, seja identificado;
b)
os privil�gios sejam concedidos a usu�rios conforme a necessidade de uso e com base
em eventos alinhados com a pol�tica de controle de acesso (ver 11.1.1 ), por
exemplo, requisitos m�nimos para sua fun��o somente quando necess�rio;
c) um processo de autoriza��o e
um registro de todos os
privil�gios concedidos sejam mantidos. Conv�m que os privil�gios n�o sejam
fornecidos at� que todo o processo de autoriza��o esteja finalizado;
d} desenvolvimento e uso de rotinas de sistemas sejam incentivados de forma a

evitar a necessidade de fornecer privil�gios aos usu�rios;
e) desenvolvimento
e uso de programas que n�o necessitam funcionar com privil�gios
sejam estimulados;
f)
os privil�gios sejam atribu�dos para um identificador de usu�rio (1D de usu�rio)
diferente daqueles usados normalmente para os neg�cios.

Informa��es
adicionais
O
uso inapropriado de privil�gios de administrador de sistemas (qualquer
caracter�stica ou recursos de sistemas de informa��o que habilitam usu�rios a
exceder o controle de sistemas ou aplica��es) pode ser um grande fator de
contribui��o para falhas ou viola��es de sistemas.
11.2.3 Gerenciamento de senha do usu�rio

Controle
Conv�mque a concess�o de senhas seja controlada atrav�s de um processo de

gerenciamento formal.
Diretrizes
Conv�m
que o processo considere os seguintes requisitos:
a)
solicitar aos usu�rios a assinatura de uma declara��o, para manter a
confidencialidade de sua senha pessoal e das senhas de grupos de trabalho,
exclusivamente com os membros do grupo; esta declara��o assinada pode ser inclu�da
nos termos e condi��es da contrata��o (ver 8.1.3a);
b)
garantir, onde os usu�rios necessitam manter suas pr�prias senhas, que sejam
fornecidas inicialmente senhas seguras e tempor�rias (ver 11.3.1 ), o que obriga o
usu�rio a alter�-la imediatamente;
c)
estabelecer procedimentos para verificar a identidade de um usu�rio antes de
fornecer uma senha tempor�ria, de substitui��o ou nova;
d)
fornecer senhas tempor�rias aos usu�rios de maneira segura; conv�m que o uso de
mensagens de correio eletr�nico de terceiros ou desprotegido (texto claro) seja
evitado;
e)
senhas tempor�rias sejam �nicas para uma pessoa e n�o sejam f�ceis de serem
adivinhadas;
f)
usu�rios acusem o recebimento de senhas;
g)
as senhas nunca sejam armazenadas nos sistemas de um computador de forma
desprotegida;
h)
as senhas padr�o sejam alteradas logo ap�s a instala��o de sistemas ou so'ftware.
Informa��es
adicionais
Senhas
s�o um meio comum de verificar a identidade de um usu�rio antes que acessos sejam
concedidos a um sistema de informa��o ou servi�o de acordo com a autoriza��o do
usu�rio. Outras tecnologias para identifica��o de usu�rio e autentica��o, como
biom�trica, por exemplo, verifica��o de digitais, verifica��o de assinatura, e uso
de tokens, por exemplo, e cart�es inteligentes, est�o dispon�veis, e conv�m que
sejam consideradas, se apropriado.
11.2.4 An�lise cr�tica dos direitos de acesso de usu�rio

Controle
Conv�mque o gestor conduza a intervalos regulares a an�lise cr�tica dos direitos de

acesso dos usu�rios, por meio de um processo formal.
Diretrizes
paraimplementa��o
Conv�m
que a an�lise cr�tica dos direitos de acesso considere as seguintes orienta��es:
a) os direitos de acesso de usu�rios sejam revisados em intervalos regulares, por

exemplo, um per�odo de seis meses e depois de qualquer mudan�a, como promo��o,
rebaixamento ou encerramento do contrato (ver 11.2.1 );
b)
tipo de atividade para outra na mesma organiza��o;
c) autoriza��es para direitos de acesso privilegiado especial (ver 11 .2.2) sejam

analisadas criticamente em intervalos mais freq�entes, por exemplo, em um per�odo
de tr�s meses;
d) as aloca��es de privil�gios sejam verificadas privil�gios n�o autorizados n�o
foram obtidos; em intervalo de tempo regular para garantir que
e) as modifica��es para contas de privil�gios sejam registradas para an�lise
cr�tica peri�dica.
Informa��es adicionais � necess�rio analisar criticamente, a intervalos regulares,

os direitos de acesso de usu�rios para manter o controle efetivo sobre os acessos
de dados e servi�os de informa��o.
11.3 Responsabilidades dos usu�rios

Objetivo: Prevenir o acesso n�o autorizado dos usu�rios e evitar o comprometimento
ou furto da informa��o e dos recursos de processamento da informa��o.
A coopera��o de usu�rios autorizados � essencial para uma efetiva seguran�a.
Conv�m que os usu�rios estejam conscientes de suas responsabilidades para manter
efetivo controle de acesso, particularmente em rela��o ao uso de senhas e de
seguran�a dos equipamentos de usu�rios.
Conv�m que uma pol�tica de mesa e tela limpa seja implementada para reduzir o risco
de acessos n�o autorizados ou danos a documentos/pap�is, m�dias e recursos de
11.3.1 Uso de senhas

Controle Conv�m que os usu�rios sejam solicitados a seguir as boas pr�ticas de
seguran�a da informa��o na sele��o e uso de senhas.
Diretrizes para implementa��o Conv�m que todos os usu�rios sejam informados para:
a)
manter a confidencialidade das senhas;
b)
evitar manter anotadas senhas (por exemplo, papel, arquivos ou dispositivos
m�veis), a menos que elas possam ser armazenadas de forma segura e o m�todo de
armazenamento esteja aprovado;
c)
alterar senha sempre que existir qualquer indica��o de poss�vel comprometimento do
sistema ou da pr�pria senha;
d)
selecionar senhas de qualidade com um tamanho m�nimo que sejam:
1
) f�ceis de lembrar;
2) n�o baseadas em nada que algu�m facilmente

possa adivinhar ou obter usando informa��es relativas � pessoa, por exemplo, nomes,
n�meros de telefone e datas de anivers�rio;
3)
n�o vulner�veis a ataque de dicion�rio (por exemplo, n�o consistir em palavras
inclusas no dicion�rio);
4) isentas de caracteres id�nticos consecutivos, todos num�ricos ou todos

alfab�ticos sucessivos;
e)
modificar senhas regularmente ou com base no n�mero de acessos (conv�m que senhas
de acesso a contas privilegiadas sejam modificadas mais freq�entemente que senhas
normais) e evitar a reutiliza��o ou reutiliza��o do ciclo de senhas antigas;
f)
modificar senhas tempor�rias no primeiro acesso ao sistema;
g)
n�o incluir senhas em nenhum processo autom�tico de acesso ao sistema, por exemplo,
armazenadas em um macro ou fun��es-chave;
h)
n�o compartilhar senhas de usu�rios individuais;
i)
n�o utilizar a mesma senha para uso com finalidades profissionais e pessoais.
Se os usu�rios necessitam acessar m�ltiplos servi�os, sistemas ou plataformas, e

forem requeridos para manter separadamente m�ltiplas senhas, conv�m que eles sejam
alertados para usar uma �nica senha de qualidade (ver d) acima) para todos os
servi�os, j� que o usu�rio estar� assegurado de que um razo�vel n�vel de prote��o
foi estabelecido para o armazenamento da senha em cada servi�o, sistema ou
plataforma.
Informa��es adicionais A gest�o do sistema de help desk que trata de senhas

perdidas ou esquecidas necessita de cuidado especial, pois este caminho pode ser
tamb�m um dos meios de ataque ao sistema de senha.
11.3.2 Equipamento de usu�rio sem monitora��o

Controle Conv�m que os usu�rios assegurem que os equipamentos n�o monitorados
tenham prote��o adequada.
Diretrizes para implementa��o Conv�m que todos os usu�rios estejam cientes dos
requisitos de seguran�a da informa��o e procedimentos para proteger equipamentos
desacompanhados, assim como suas responsabilidades por implementar estas prote��es.
Conv�m que os usu�rios sejam informados para:
a)
encerrar as sess�es ativas,a menos que elas possam ser protegidas por meio de um
mecanismo de bloqueio, por exemplo tela de prote��o com senha;
b)
efetuar a desconex�o com o computador de grande porte, servidores e computadores
pessoais do escrit�rio, quando a sess�o for finalizada (por exemplo: n�o apenas
desligar a tela do computador ou o terminal);
c)
proteger os microcomputadores ou terminais contra uso n�o autorizado atrav�s de
tecla de bloqueio ou outro controle equivalente, por exemplo, senha de acesso,
quando n�o estiver em uso (ver 11e.3.3).
Informa��es adicionais Equipamentos instalados em �reas de usu�rios, por exemplo,

esta��es de trabalho ou servidores de arquivos, podem requerer prote��o especial
contra acesso n�o autorizado, quando deixados sem monitora��o por um per�odo
extenso.
11.3.3 Pol�tica de mesa limpa e tela limpa

Controle Conv�m que seja adotada uma pol�tica de mesa limpa de pap�is e m�dias de
armazenamento remov�vel e pol�tica de tela limpa para os recursos de processamento
da informa��o.
Diretrizes paraimplementa��oConv�m que uma pol�tica de mesa limpa e tela limpa leve
em considera��o a classifica��o da informa��o (ver 7 .2), requisitos contratuais e
legais (ver 15.1 ), e o risco correspondente e aspectos culturais da organiza��o.
Conv�m que as seguintes diretrizes sejam consideradas:
a) informa��es do neg�cio sens�veis ou cr�ticas, por exemplo, em papel ou em m�dia
de armazenamento eletr�nicas, sejam guardadas em lugar seguro (idealmente em um
cofre, arm�rio ou outras formas de mob�lia de seguran�a) quando n�o em uso,
especialmente quando o escrit�rio est� desocupado;
b} computadores e terminais sejam mantidos desligados ou protegidos com mecanismo

de travamento de tela e teclados controlados por senha, token ou mecanismo de
autentica��o similar quando sem monitora��o e protegidos por tecla de bloqueio,
senhas ou outros controles, quando n�o usados;
c) pontos de entrada e sa�da de correspond�ncias e m�quinas de fac-s�mile sem
monitora��o sejam protegidos;
d} sejam evitados o uso n�o autorizado de fotocopiadoras e outra tecnologia de
reprodu��o (por exemplo, scanners, m�quinas fotogr�ficas digitais);
e) documentos que cont�m informa��o sens�vel ou classificada sejam removidos de
impressoras imediatamente.
Informa��es adicionais Uma pol�tica de mesa limpa e tela limpa reduz o risco de
acesso n�o autorizado, perda e dano da informa��o durante e fora do hor�rio normal
de trabalho. Cofres e outras formas de recursos de armazenamento seguro tamb�m
podem proteger informa��es armazenadas contra desastres como inc�ndio, terremotos,
enchentes ou explos�o.
Considerar o uso de impressoras com fun��o de c�digo PIN, permitindo desta forma
que os requerentes sejam os �nicos que possam pegar suas impress�es, e apenas
quando estiverem pr�ximos �s impressoras.
11.4 Controle de acesso � rede

Objetivo: Prevenir acesso n�o autorizado aos servi�os de rede.
Conv�m que o acesso aos servi�os de rede internos e externos seja controlado.
Conv�m que os usu�rios com acesso �s redes e aos servi�os de rede n�o comprometam a
seguran�a desses servi�os, assegurando:
a)
uso de interfaces apropriadas entre a rede da organiza��o e as redes de outras
organiza��es e redes p�blicas;
uso de mecanismos de autentica��o apropriados para os usu�rios e equipamentos;
c)
controle de acesso compuls�rio de usu�rios aos servi�os de informa��o.
11.4.1 Pol�tica de uso dos servi�os de rede

Controle Conv�m que usuanos
somente recebam acesso para os servi�os que tenham sido especificamente autorizados
a usar.
Conv�m que uma pol�tica seja formulada relativamente ao uso de redes e servi�os de
rede. Conv�m que esta pol�tica cubra:
a)
redes e servi�os de redes que s�o permitidos de serem acessados;
b)
procedimentos de autoriza��o para determinar quem tem permiss�o para acessar em
quais redes e servi�os de redes;
c)
procedimentos e controles de gerenciamento para proteger acesso a conex�es e
servi�os de redes;
d) os meios usados para acessar redes e servi�os de rede (por exemplo, as condi��es
por permitir acesso discado para acessar o provedor de servi�o internet ou sistema
remoto).
Conv�m que a pol�tica no uso de servi�os de rede seja consistente com a pol�tica de
controle de acesso do neg�cio (ver 11.1 ).
Informa��es adicionais Conex�es sem autoriza��o e inseguras nos servi�os de rede

podem afetar toda organiza��o. Este controle � particularmente importante para
conex�es de redes sens�veis ou aplica��es de neg�cios cr�ticos ou para usu�rios em
locais de alto risco, por exemplo, �reas p�blicas ou externas que est�o fora da
administra��o e controle da seguran�a da organiza��o.
11.4.2 Autentica��o para conex�o externa do usu�rio

Controle Conv�m que m�todos apropriados de autentica��es sejam usados para
controlar acesso de usu�rios remotos.
Diretrizes para implementa��o A autentica��o de usu�rios remotos pode ser alcan�ada

usando, por exemplo, t�cnica baseada em criptografia, hardware tokens ou um
protocolo de desafio/resposta. Podem ser achadas poss�veis implementa��es de tais
t�cnicas em v�rias solu��es de redes privadas virtuais (VPN). Tamb�m podem ser
usadas linhas privadas dedicadas para prover garantia da origem de conex�es.
Os procedimentos e controles de discagem reversa (dial-back), por exemplo, usando
modens com discagem reversa, podem prover prote��o contra conex�es n�o autorizadas
e n�o desejadas nos recursos de processamento da informa��o de uma organiza��o.
Este tipo de controle autentica usu�rios que tentam estabelecer conex�es com a rede
de uma organiza��es de localidades remotas. Ao usar este controle, conv�m que uma
organiza��o n�o use servi�os de rede que incluem transfer�ncia de chamadas
(forward) ou, se eles fizerem, conv�m que seja desabilitado o uso de tais
facilidades para evitar exposi��o a fragilidades associadas ao cal! forward. Conv�m
que o processo de discagem reversa assegure que uma desconex�o atual no lado da
organiza��o aconte�a. Caso contr�rio, o usu�rio remoto poderia reter aberta a linha
simulando que a verifica��o do retorno da chamada (cal! back) ocorreu. Conv�m que
os procedimentos e controles da discagem reversa sejam testados completamente para
esta possibilidade.
Autentica��o de um n� pode servir como meio alternativo de autenticar grupos de
usu�rios remotos onde eles s�o conectados a recursos de computador seguros e
compartilhados. T�cnicas criptogr�ficas, por exemplo, com base em certificados de
m�quina, podem ser usadas para autentica��o de n�. Isto � parte de v�rias solu��es
baseado em VPN.
Conv�m que seja implementado controle de autentica��o adicional para controlar
acesso a redes sem fios.
Em particular, cuidado especial � necess�rio na sele��o de controles para redes sem
fios devido �s numerosas oportunidades de n�o detec��o de intercepta��o e inser��o
de tr�fico de rede.
Informa��es adicionais As conex�es externas proporcionam um potencial de acessos
n�o autorizados para as informa��es de neg�cio, por exemplo, acesso por m�todos
discados (dial-up). Existem diferentes tipos de m�todos de autentica��o, alguns
deles proporcionam um maior n�vel de prote��o que outros, por exemplo, m�todos
baseados em t�cnicas de criptografia que podem proporcionar autentica��o forte. �
importante determinar o n�vel de prote��o requerido a partir de uma
an�lise/avalia��o de riscos. Isto � necess�rio para selecionar apropriadamente um
m�todo de autentica��o.
Os recursos de conex�o autom�tica para computadores remotos podem prover um caminho
para ganhar acesso n�o autorizado nas aplica��es de neg�cio. Isto � particularmente
importante se a conex�o usar uma rede que est� fora do controle do gerenciamento de
seguran�a da informa��o da organiza��o.
11.4.3 Identifica��o de equipamento em redes

Controle Conv�mque sejam consideradas as identifica��es autom�ticas de equipamentos
como um meio de autenticar conex�es vindas de localiza��es e equipamentos
espec�ficos.
Diretrizes para implementa��o Uma identifica��o de equipamentos pode ser usada se
for importante que a comunica��o possa somente ser iniciada de um local ou
equipamento espec�fico. Um identificador no equipamento pode ser usado para indicar
se este equipamento possui permiss�o para conectar-se � rede. Conv�m que estes
identificadores indiquem claramente para qual rede o equipamento possui permiss�o
para conectar-se, se existe mais de uma rede e particularmente se estas redes s�o
de sensibilidade diferente. Pode ser necess�rio considerar prote��o f�sica do
equipamento para manter a seguran�a do identificador do equipamento.
Este controle pode ser complementado com outras t�cnicas para autenticar o usuano
do equipamento(ver 11.4a.2). Pode ser aplicada identifica��o de equipamento
adicionalmente � autentica��o de usu�rio.
11.4.4 Prote��o de portas de configura��o e diagn�stico remotos

Controle Conv�mque sejam controlados os acessos f�sico e l�gico a portas de
diagn�stico e configura��o.
Diretrizes para implementa��o Os controles potenciais para o acesso �s portas de
diagn�stico e configura��o incluem o uso de uma tecla de bloqueio e procedimentos
de suporte para controlar o acesso f�sico �s portas. Um exemplo para tal
procedimento � assegurar que as portas de diagn�stico e configura��o s�o apenas
acess�veis pelacombina��o do acesso requerido entre o gestor dos servi�os do
computador e pelo pessoal de suporte do
hardware/software.
Conv�m que portas, servi�os e recursos similares instalados em um computador ou
recurso de rede que n�o s�o especificamente requeridos para a funcionalidade do
neg�cio sejam desabilitados ou removidos.
Informa��es adicionais Muitos sistemas de computadores, sistemas de rede e sistemas

de comunica��o s�o instalados com os recursos de diagn�stico ou configura��o remota
para uso pelos engenheiros de manuten��o.Se desprotegidas, estas portas de
diagn�stico proporcionam meios de acesso n�o autorizado.
11.4.5 Segrega��o de redes

Controle Conv�mque grupos de servi�os de informa��o, usu�rios e sistemas de
informa��o sejam segregados em redes.
Diretrizes para implementa��o Um m�todo de controlar a seguran�a da informa��o
em grandes redes � dividir em diferentes dom�nios de redes l�gicas, por exemplo, os

dom�nios de redes internas de uma organiza��o e dom�nios externos de uma rede, cada
um protegido por um per�metro de seguran�a definido. Um conjunto de controles
regul�veis pode ser aplicado em dom�nios de redes l�gicas diferentes para adicionar
mais seguran�a aos ambientes de seguran�a de rede, por exemplo, sistemas
publicamente acess�veis, redes internas e ativos cr�ticos. Conv�m que
os dom�nios sejam definidos com base em uma an�lise/avalia��o de riscos e os
requisitos de seguran�a diferentes dentro de cada um dos dom�nios.
Tal per�metro de rede pode ser implementado instalando um gateway seguro entre as
duas redes a serem interconectadas para controlar o acesso e o fluxo de informa��o
entre os dois dom�nios. Conv�m que este gateway seja configurado para filtrar
tr�fico entre estes dom�nios (ver 11.4.6 e 11 .4.7) e bloquear acesso n�o
autorizado conforme a pol�tica de controle de acesso da organiza��o (ver 11.1 ). Um
exemplo deste tipo de gateway � o que geralmente � chamado de firewa/1. Outro
m�todo de segregar dom�nios l�gicos � restringir acesso de rede usando redes
privadas virtuais para grupos de usu�rio dentro da organiza��o.
Podem tamb�m ser segregadas redes usando a funcionalidade de dispositivo de rede,
por exemplo, IP switching. Os dom�nios separados podem ser implementados
controlando os fluxos de dados de rede, usando as capacidades de
roteamento/chaveamento (routinglswitching), do mesmo modo que listas de controle de
acesso.
Conv�m que crit�rios para segrega��o de redes em dom�nios estejam baseados na
pol�tica de controle de acesso e requisitos de acesso (ver 10.1 ), e tamb�m levem
em conta os custos relativos e impactos de desempenho em incorporar roteamento
adequado � rede ou tecnologia de gateway (ver 11.4.6 e 11.4. 7).
Al�m disso, conv�m que segrega��o de redes esteja baseada no valor e classifica��o
de informa��es armazenadas ou processadas na rede, n�veis de confian�a ou linhas de
neg�cio para reduzir o impacto total de
uma interrup��o de servi�o.
Conv�m considerar � segrega��o de redes sem fios de redes internas e privadas. Como
os per�metros de redes sem fios n�o s�o bem definidos, conv�m que uma
an�lise/avalia��o de riscos seja realizada em tais casos para identificar os
controles (por exemplo, autentica��o forte, m�todos criptogr�ficos e sele��o de
freq��ncia) para manter segrega��o de rede.
Informa��es adicionais As redes est�o sendo progressivamente estendidas al�m dos
limites organizacionais tradicionais, tendo em vista as parcerias de neg�cio que
s�o formadas e que podem requerer a interconex�o ou compartilhamento de
processamento de informa��o e recursos de rede. Tais extens�es podem aumentar o
risco de acesso n�o autorizado a sistemas de informa��o existentes que usam a rede
e alguns dos quais podem requerer prote��o de outros usu�rios de rede devido a
sensibilidade ou criticidade.
11.4.6 Controle de conex�o de rede

Controle Para redes compartilhadas, especialmente essas que se estendem pelos
limites da organiza��o, conv�m que a capacidade dos usu�rios para conectar-se �
rede seja restrita, alinhada com a pol�tica de controle de acesso e os requisitos
das aplica��es do neg�cio (ver 11.1 ).
Diretrizes para implementa��o Conv�m que os direitos de acesso dos usu�rios a rede
sejam mantidos e atualizados conforme requerido pela pol�tica de controle de acesso
(ver 11.1.1 ).
A capacidade de conex�o de usu�rios pode ser restrita atrav�s dos gateways que
filtram tr�fico por meio de tabelas ou regras predefinidas. Conv�m que sejam
aplicadas restri��es nos seguintes exemplos de aplica��es:
a) mensagens, por exemplo, correio eletr�nico;
b) transfer�ncia de arquivo;
c) acesso interativo;
d) acesso � aplica��o.
Conv�m que sejam considerados direitos de acesso entre redes para certo per�odo do
dia ou datas.
Informa��es adicionais A incorpora��o de controles para restringir a capacidade de

conex�o dos usu�rios pode ser requerida pela pol�tica de controle de acesso para
redes compartilhadas, especialmente aquelas que estendam os limites
organizacionais.
11.4.7 Controle de roteamento de redes

Controle Conv�m que seja implementado controle de roteamento na rede, para
assegurar que as conex�es de computador e fluxos de informa��o n�o violem a
pol�tica de controle de acesso das aplica��es do neg�cio.
Diretrizes para implementa��o Conv�m que os controles de roteamento sejam baseados
no mecanismo de verifica��o positiva do endere�o de origem e destinos.
Os gateways de seguran�a podem ser usados para validar endere�os de origem e
destino nos pontos de controle de rede interna ou externa se o proxy e/ou a
tecnologia de tradu��o de endere�o forem empregados. Conv�m que os implementadores
estejam conscientes da for�a e defici�ncias de qualquer mecanismo implementado.
Conv�m que os requisitos de controles de roteamento das redes sejam baseados na
pol�tica de controle de acesso (ver 11. 1 ).
Informa��es adicionais As redes compartilhadas, especialmente as que estendem os
limites organizacionais, podem requerer controles adicionais de roteamento. Isto se
aplica particularmente onde s�o compartilhadas redes com terceiros (usu�rios que
n�o pertencem a organiza��o).
11.5 Controle de acesso ao sistema operacional
Objetivo: Prevenir acesso n�o autorizado aos sistemas operacionais.

Conv�m que recursos de seguran�a da informa��o sejam usados para restringir o
acesso aos sistemas operacionais para usu�rios autorizados. Conv�m que estes
recursos permitam:
a) autentica��o de usu�rios autorizados, conforme a pol�tica de controle de acesso
definida;
b} registro das tentativas de autentica��o no sistema com sucesso ou falha;
c)
registro do uso de privil�gios especiais do sistema;
d)
disparo de alarmes quando as pol�ticas de seguran�a do sistema s�o violadas;
e)
fornecer meios apropriados de autentica��o;
f)
restri��o do tempo de conex�o dos usu�rios, quando apropriado.
11.5.1 Procedimentos seguros de entrada no sistema (/og-on)
Controle Conv�m que o acesso aos sistemas operacionais seja

controlado por um procedimento seguro de entrada no sistema (/og-on).
Diretrizes para implementa��o Conv�m que o procedimento para entrada no sistema

operacional seja configurado para mmImIzar a oportunidade de acessos n�o
autorizados. Conv�m que o procedimento de entrada (/og-on) divulgue o m�nimo de
informa��es sobre o sistema, de forma a evitar o fornecimento de informa��es
desnecess�rias a um usu�rio n�o autorizado. Conv�m que um bom procedimento de
entrada no sistema (/og-on):
a)
n�o mostre identificadores de sistema ou de aplica��o at� que o processo tenha sido
conclu�do com sucesso;
b)
mostre um aviso geral informando que o computador seja acessado somente por
usu�rios autorizados;
c)
n�o forne�a mensagens de ajuda durante o procedimento de entrada (log-on) que
poderiam auxiliar um usu�rio n�o autorizado;
d)
valide informa��es de entrada no sistema somente quando todos os dados de entrada
estiverem completos. Caso ocorra uma condi��o de erro, conv�m que o sistema n�o
indique qual parte do dado de entrada est� correta ou incorreta;
e)
limite o n�mero permitido de tentativas de entradas no sistema (log-on) sem
sucesso, por exemplo, tr�s tentativas, e considere:
1) registro das tentativas com sucesso ou com falha;

2) imposi��o do tempo de espera antes de permitir novas tentativas de entrada no
sistema (/og-on) ou rejei��o de qualquer tentativa posterior de acesso sem
autoriza��o espec�fica;
3) encerramento das conex�es por data link,
4) envio de uma mensagem de alerta para o console do sistema, se o n�mero m�ximo de
tentativas de entrada no sistema (/og-on) for alcan�ado;
5) configura��o do n�mero de tentativas de senhas alinhado com o tamanho m�nimo da
senha e o valor do sistema que est� sendo protegido;
f)
limite o tempo m�ximo e m�nimo permitido para o procedimento de entrada no sistema
(/og-on). Se excedido, conv�m que o sistema encerre o procedimento;
g)
mostre as seguintes informa��es, quando o procedimento de entrada no sistema (/og-
on) finalizar com sucesso:
1) data e hora da �ltima entrada no sistema (/og-on) com sucesso;

detalhes de qualquer tentativa sem sucesso de entrada no sistema (/og-on) desde o
�ltimo acesso com sucesso;
h)
n�o mostre a senha que est� sendo informada ou considere ocultar os caracteres da
senha por s�mbolos;
i)
n�o transmita senhas em texto claro pela rede.
Informa��es adicionais Se as senhas forem transmitidas em texto claro durante

o procedimento de entrada no sistema (log-on) pela rede, elas podem ser capturadas
por um programa de sniffer de rede, instalado nela.
11.5.2 Identifica��o e autentica��o de usu�rio

Controle Conv�mque todos os usu�rios tenham um identificador �nico {ID de usu�rio)
para uso pessoal e exclusivo, e conv�m que uma t�cnica adequada de autentica��o
seja escolhida para validar a identidade alegada por um usu�rio.
Diretrizes para implementa��o Conv�m que este controle seja aplicado para todos os
tipos de usu�rios (incluindo o pessoal de suporte t�cnico, operadores,
administradores de rede, programadores de sistema e administradores de banco de
dados).
Conv�m que os identificadores de usu�rios {ID de usu�rios) possam ser utilizados
para rastrear atividades ao indiv�duo respons�vel. Conv�m que atividades regulares
de usu�rios n�o sejam executadas atrav�s de contas privilegiadas.
Em circunst�ncias excepcionais, onde exista um claro benef�cio ao neg�cio, pode
ocorrer a utiliza��o de um identificador de usu�rio {ID de usu�rio) compartilhado
por um grupo de usu�rios ou para um trabalho espec�fico. Conv�m que a aprova��o
pelo gestor esteja documentada nestes casos. Controles adicionais podem ser
necess�rios para manter as responsabilidades.
Conv�m que identificadores de usu�rios (ID de usu�rios) gen�ricos para uso de um
indiv�duo somente sejam permitidos onde as fun��es acess�veis ou as a��es
executadas pelo usu�rio n�o precisam ser rastreadas (por exemplo, acesso somente
leitura), ou quando existem outros controles implementados (por exemplo, senha para
identificador de usu�rio gen�rico somente fornecida para um indiv�duo por vez e
registrada).
Conv�m que onde autentica��o forte e verifica��o de identidade � requerida, m�todos
alternativos de autentica��o de senhas, como meios criptogr�ficos, cart�es
inteligentes (smart card), tokens e meios biom�tricos sejam utilizados.
Informa��es adicionais As senhas (ver 11.3.1 e 11.5.3) s�o uma maneira muito comum
de se prover identifica��o e autentica��o com base em um segredo que apenas o
usu�rio conhece. O mesmo pode ser obtido com meios criptogr�ficos e protocolos de
autentica��o. Conv�m que a for�a da identifica��o e autentica��o de usu�rio seja
adequada com a sensibilidade da informa��o a ser acessada.
Objetos como tokens de mem�ria ou cart�es inteligentes (smart carc/) que os
usu�rios possuem tamb�m podem ser usados para identifica��o e autentica��o. As
tecnologias de autentica��o biom�trica que usam caracter�sticas ou atributos �nicos
de um indiv�duo tamb�m podem ser usadas para autenticar a identidade de uma pessoa.
Uma combina��o de tecnologias e mecanismos seguramente relacionados resultar� em
uma autentica��o forte.
11.5.3 Sistema de gerenciamento de senha

Controle Conv�mque sistemas para gerenciamento de senhas sejam interativos e
assegurem senhas de qualidade.
Diretrizes para implementa��o Conv�m que o sistema de gerenciamento de senha:
a)
obrigue o uso de identificador de usu�rio (ID de usu�rio) e senha individual para
manter responsabilidades;
b)
permita que os usu�rios selecionem e modifiquem suas pr�prias senhas, incluindo um
procedimentode confirma��o para evitar erros;
c)
obrigue a escolha de senhas de qualidade (ver 11.3.1 );
d)
obrigue a troca de senhas (ver 11.3.1 );
e)
obrigue os usu�rios a trocar a senha tempor�ria no primeiro acesso (ver 11.2.3);
f)
mantenha um registro das senhas anteriores utilizadas e bloqueie a reutiliza��o;
g)
n�o mostre as senhas na tela quando forem digitadas;
h)
armazene os arquivos de senha separadamente dos dados do sistema da aplica��o;
armazene e transmita as senhas de forma protegida (por exemplo, criptografada ou

hashed}.
Informa��es adicionais A senha � um dos principais meios de validar a autoridade de
um usu�rio para acessar um servi�o de computador.
Algumas aplica��es requerem que senhas de usu�rio sejam atribu�das por uma
autoridade independente. Em alguns casos, as al�neas b ), d} e e) das diretrizes
acima n�o se aplicam. Na maioria dos casos, as senhas s�o selecionadas e mantidas
pelos usu�rios. Ver 11.3.1 para diretrizes do uso de senhas.
11.5.4 Uso de utilit�rios de sistema

Controle Conv�m que o uso de programas utilit�rios que podem ser capazes de
sobrepor os controles dos sistemas e aplica��es seja restrito e estritamente
controlado.
Diretrizes para implementa��o Conv�m que as seguintes diretrizes para o uso de
utilit�rios de sistema sejam consideradas:
a)
uso de procedimentos de identifica��o, autentica��o e autoriza��o para utilit�rios
de sistema;
b)
segrega��o dos utilit�rios de sistema dos so'ftwares de aplica��o;
c)
limita��o do uso dos utilit�rios de sistema a um n�mero m�nimo de usu�rios
confi�veis e autorizados (ver 11.2.2);
d)
autoriza��o para uso de utilit�rios de sistema n�o previstos;
e)
limita��o da disponibilidade dos utilit�rios de sistema, por exemplo para a dura��o
de uma modifica��o autorizada;
f)
registro de todo o uso de utilit�rios de sistemas;
g)
defini��o e documenta��o dos n�veis de autoriza��o para os utilit�rios de sistema;
h)
remo��o ou desabilita��o de todos os softwares utilit�rios e de sistema
desnecess�rios;
i)
n�o deixar utilit�rios de sistema dispon�veis para usu�rios que t�m acesso �s
aplica��es nos sistemas onde segrega��o de fun��es � requerida.
Informa��es adicionais A maioria das instala��es de computadores tem um ou mais

programas utilit�rios de sistema que podem ser capazes de sobrepor os controles dos
sistemas e aplica��es.
11.5.5 Limite de tempo de sess�o

Controle Conv�mque sess�es inativas sejam encerradas ap�s um per�odo definido de
inatividade.
Diretrizes para implementa��o Conv�m que o recurso de limita��o de tempo limpe a
tela da sess�o e tamb�m, possivelmente mais tarde, feche tanto a aplica��o quanto
as sess�es de rede ap�s um per�odo definido de inatividade. Conv�m que o prazo de
tempo para a desconex�o reflita os riscos de seguran�a da �rea, a classifica��o da
informa��o que est� sendo manuseada, as aplica��es que est�o sendo utilizadas e os
riscos relacionados para os usu�rios do terminal do equipamento.
Uma forma limitada para o recurso de limita��o de tempo pode ser provida por alguns
sistemas, os quaislimpam a tela e previnem acesso n�o autorizado, mas n�o fecham as
sess�es das aplica��es ou da rede.
Informa��es adicionais Este controle � particularmente importante em locais de alto

risco, os quais incluem �reas p�blicas ou externas fora dos limites do
gerenciamento de seguran�a da organiza��o. Conv�m que estas sess�es sejamencerradas
para prevenir o acesso por pessoas n�o autorizadas e ataques de nega��o de servi�o.
11.5.6 Limita��o de hor�rio de conex�o

Controle Conv�mque restri��es nos hor�rios de conex�o sejam utilizadas para
proporcionar seguran�a adicional para aplica��es de alto risco.
Diretrizes para implementa��o Conv�m que controles de hor�rio de conex�o sejam
considerados para aplica��es computacionais sens�veis, especialmente aquelas com
terminais instalados em locais de alto risco, por exemplo em �reas p�blicas ou
externas fora dos limites do gerenciamento de seguran�a da organiza��o. Exemplos
deste tipo de restri��o incluem:
a) utiliza��o de janelas de tempo predeterminadas, por exemplo para transmiss�o de
arquivos em lote ou sess�es regulares interativas de curta dura��o;
b} restri��o dos hor�rios de conex�o �s horas normais de expediente se n�o houver
necessidades para horas extras ou trabalhos fora do hor�rio normal;
c) considerar a reautentica��o em intervalos de tempo.
Informa��es adicionais Limitar o per�odo durante o qual as conex�es de terminal

para os servi�os computadorizados s�o permitidas reduz a janela de oportunidade
para acessos n�o autorizados. Limitar a dura��o de sess�es ativas inibe os usu�rios
a manter se��es abertas, para evitar reautentica��o.
11.6 Controle de acesso � aplica��o e � informa��o

Objetivo: Prevenir acesso n�o autorizado � informa��o contida nos sistemas de
aplica��o.
Conv�m que os recursos de seguran�a da informa��o sejam utilizados para restringir
o acesso aos sistemas de aplica��o.
Conv�m que o acesso l�gico � aplica��o e informa��o seja restrito a usu�rios
autorizados. Conv�m que os sistemas de aplica��o:
a)
controlem o acesso dos usu�rios � informa��o e �s fun��es dos sistemas de
aplica��o, de acordo com uma pol�tica de controle de acesso definida;
b)
proporcionem prote��o contra acesso n�o autorizado para qualquer software
utilit�rio, sistema operacional e software malicioso que seja capaz de sobrepor ou
contornar os controles da aplica��o ou do sistema;
c)
n�o comprometam outros sistemas com os quais os recursos de informa��o s�o
compartilhados.
11.6.1 Restri��o de acesso � informa��o

Controle Conv�m que o acesso � informa��o e �s fun��es dos sistemas de aplica��es
por usu�rios e pessoal de suporte seja restrito de acordo com o definido na
pol�tica de controle de acesso.
Diretrizes para implementa��o Conv�m que restri��es para acesso sejam baseadas nos
requisitos das aplica��es individuais do neg�cio. Conv�m que a pol�tica de controle
de acesso seja consistente com a pol�tica de acesso organizacional (ver 11.1 ).
Conv�m que a aplica��o dos seguintes controles seja considerada de forma a suportar
os requisitos de restri��o de acesso:
a)
fornecer menus para controlar o acesso �s fun��es dos sistemas de aplica��o;
b)
controlar os direitos de acesso dos usu�rios, por exemplo, ler, escrever, excluir e
executar;
c)
controlar os direitos de acesso de outras aplica��es;
d)
assegurar que as sa�das dos sistemas de aplica��o que tratam informa��es sens�veis
contenham apenas a informa��o relevante ao uso de tais sa�das e s�o enviadas apenas
para os terminais e locais autorizados; conv�m incluir uma an�lise cr�tica
peri�dica de tais sa�das, para assegurar que informa��o redundante seja removida.
11.6.2 Isolamento de sistemas sens�veis

Controle Conv�m que sistemas sens�veis tenham um ambiente computacional dedicado
(isolado).
Diretrizes para implementa��o Conv�m que os seguintes pontos sejam
considerados para o isolamento de um sistema sens�vel:
a) a sensibilidade de um sistema de aplica��o seja explicitamente identificada e
documentada pelo propriet�rio da aplica��o (ver 7.1.2);
b} quando uma aplica��o sens�vel � executada em um ambiente compartilhado, conv�m

que se identifiquem os sistemas de aplica��o com os quais ela compartilhar�
recursos e os correspondentes riscos, e que se obtenha a concord�ncia do
propriet�rio da aplica��o sens�vel.
Informa��es adicionais Alguns sistemas de aplica��o s�o suficientemente sens�veis a
perdas potenciais, requerendo tratamento especial. A sensibilidade pode indicar que
o sistema de aplica��o:
a) seja executado a partir de um computador dedicado; ou
b} compartilha recursos somente com sistemas de aplica��o confi�veis. O isolamento
pode ser obtido utilizando-se m�todos f�sicos ou l�gicos (ver 11e.4.5).
11.7 Computa��o m�vel e trabalho remoto
Objetivo: Garantir a seguran�a da informa��o quando se utilizam a computa��o m�vel

e recursos de trabalho remoto.
Conv�m que a prote��o requerida seja proporcional com o risco desta forma
espec�fica de trabalho. Quando se utiliza a computa��o m�vel, conv�m que os riscos
de trabalhar em um ambiente desprotegido sejam considerados e a prote��o adequada
seja aplicada. No caso de trabalho remoto, conv�m que a organiza��o aplique
prote��o ao local do trabalho remoto e assegure que as provid�ncias adequadas est�o
implementadas para este tipo de trabalho.
11.7.1 Computa��o e comunica��o m�vel
Controle Conv�m que uma pol�tica formal seja estabelecida e que medidas de
seguran�a apropriadas sejam adotadas para a prote��o contra os riscos do uso de
recursos de computa��o e comunica��o m�veis.
Diretrizes para implementa��o Quando se utilizam recursos de computa��o e
comunica��o m�veis, como, por exemplo, notebooks, palmtops, /aptops, cart�es
inteligentes (smart cards) e telefones celulares, conv�m que cuidados especiais
sejam tomados para assegurar que as informa��es do neg�cio n�o sejam comprometidas.
A pol�tica de computa��o m�vel deve levar em considera��o os riscos de se trabalhar
com equipamentos de computa��o m�vel em ambientes desprotegidos.
Conv�m que a pol�tica de computa��o m�vel inclua os requisitos de prote��o f�sica,
controles de acesso, t�cnicas criptogr�ficas, c�pias de seguran�a e prote��o contra
v�rus. Conv�m que esta pol�tica inclua tamb�m regras e recomenda��es sobre a
conex�o de recursos m�veis � rede e diretrizes sobre o uso destes recursos em
locais p�blicos.
Conv�m que sejam tomadas certas precau��es ao se utilizarem os recursos de
computa��o m�vel em locais p�blicos, salas de reuni�es e outras �reas desprotegidas
fora dos limites da organiza��o. Conv�m que sejam estabelecidas prote��es para
evitar o acesso n�o autorizado ou a divulga��o de informa��es armazenadas e
processadas nestes recursos, por exemplo atrav�s da utiliza��o de t�cnicas de
criptografia (ver 12.3).
Conv�m que usu�rios de recursos de computa��o m�vel em locais p�blicos tomem
cuidado para evitar o risco de capta��o por pessoas n�o autorizadas. Conv�m que
procedimentos contra softwares maliciosos sejam estabelecidos e mantidos sempre
atualizados (ver 10.4).
Conv�m que c�pias de seguran�a das informa��es cr�ticas de neg�cio sejam feitas
regularmente. Conv�m que equipamentos estejam dispon�veis para possibilitar a
realiza��o de c�pias de
seguran�a das informa��es de forma r�pida e f�cil. Para essas c�pias de seguran�a,
conv�m que sejam adotadas prote��es adequadas contra, por exemplo, furto ou roubo,
ou perda de informa��o.
Conv�m que prote��o adequada seja dada para o uso dos recursos de computa��o m�vel
conectados em rede. Conv�m que o acesso remoto �s informa��es do neg�cio atrav�s de
redes p�blicas, usando os recursos de computa��o m�vel, ocorra apenas ap�s o
sucesso da identifica��o e da autentica��o, e com os apropriados mecanismos de
controle de acesso implantados (ver 11.4).
Conv�m que os recursos de computa��o m�vel tamb�m estejam protegidos fisicamente
contra furto ou roubo, especialmente quando deixados, por exemplo, em carros ou em
outros meios de transporte, quartos de hot�is, centros de confer�ncia e locais de
reuni�o. Conv�m que esteja estabelecido um procedimento espec�fico que leve em
considera��o requisitos legais, securit�rios e outros requisitos de seguran�a da
organiza��o para casos de roubo ou perda de recursos de computa��o m�vel. Conv�m
que os equipamentos que cont�m informa��es importantes, sens�veis e/ou cr�ticas
para o neg�cio n�o sejam deixados sem observa��o e, quando poss�vel, estejam
fisicamente trancados, ou conv�m que travas especiais sejam utilizadas para
proteger o equipamento. (ver 9.2.5).
Conv�m que seja providenciado treinamento para os usu�rios de computa��o m�vel,
para aumentar o n�vel de conscientiza��o a respeito dos riscos adicionais
resultantes desta forma de trabalho e dos controles que devem ser implementados.
Informa��es adicionais As redes de conex�o sem fio s�o similares a outros tipos de
redes, mas possuem diferen�as importantes que conv�m que sejam consideradas quando
da identifica��o de controles. As diferen�as t�picas s�o:
a)
alguns protocolos de seguran�a de redes sem fio s�o imaturos e possuem fragilidades
conhecidas;
b)
pode n�o ser poss�vel efetuar c�pias de seguran�a das informa��es armazenadas em
computadores m�veis devido � largura de banda limitada e/ou devido ao equipamento
m�vel n�o estar conectado no momento em que as c�pias de seguran�a est�o
programadas.
11.7.2 Trabalho remoto
Controle Conv�m que uma pol�tica, planos operacionais e procedimentos sejam
desenvolvidos e implementados para atividades de trabalho remoto.
Diretrizes para implementa��o Conv�m que as organiza��es somente autorizem
atividades de trabalho remotas apenas se elas estiverem certas de que as
provid�ncias apropriadas e controles de seguran�a est�o implementados e que estes
est�o de acordo com a pol�tica de seguran�a da organiza��o.
Conv�m que a prote��o apropriada ao local do trabalho remoto seja implantada para
evitar, por exemplo, o furto ou roubo do equipamento e de informa��es, a divulga��o
n�o autorizada de informa��o, o acesso remoto n�o autorizado aos sistemas internos
da organiza��o ou mau uso de recursos. Conv�m que o trabalho remoto seja autorizado
e controlado pelo gestor e conv�m que sejam asseguradas as provid�ncias adequadas a
esta forma de trabalho.
Conv�m que os seguintes pontos sejam
considerados:
a) a seguran�a f�sica existente no local do trabalho remoto, levando-se em
considera��o a seguran�a f�sica do pr�dio e o ambiente local;
o ambiente f�sico proposto para o trabalho remoto;
os requisitos de seguran�a nas comunica��es, levando em considera��o a necessidade
do acesso remoto aos sistemas internos da organiza��o, a sensibilidade da
informa��o que ser� acessada e
lizam o
e)
o uso de redes dom�sticas e requisitos ou restri��es na configura��o de servi�os de
rede sem fio;
f)
pol�ticas e procedimentos para evitar disputas relativas a direitos de propriedade
intelectual desenvolvidas em equipamentos de propriedade particular;
acesso a equipamentos de propriedade particular (para verificar a seguran�a da

m�quina ou durante uma investiga��o), que pode ser proibido legalmente;
h) acordos de licenciamento de software que podem tornar as organiza��es
respons�veis pelo licenciamento do software cliente em esta��es de trabalho
particulares de propriedade de funcion�rios, fornecedores ou terceiros;
i) requisitos de prote��o contra v�rus e requisitos de firewa/1. Conv�m que as
diretrizes e provid�ncias a serem consideradas incluam:
a)
a provis�o de equipamento e mob�lia apropriados �s atividade de trabalho remoto,
onde o uso de equipamentos de propriedade particular que n�o esteja sob controle da
organiza��o n�o � permitido;
b)
uma defini��o do trabalho permitido, o per�odo de trabalho, a classifica��o da
informa��o que pode ser tratada e os sistemas internos e servi�os que o usu�rio do
trabalho remoto est� autorizado a acessar;
c)
a provis�o de equipamento de comunica��o apropriado, incluindo m�todos para acesso
remoto seguro;
d)
seguran�a f�sica;
e)
regras e diretrizes sobre o acesso de familiares e visitantes ao equipamento e �
informa��o;
f)
a provis�o de suporte e manuten��o de hardware e software;
g)
a provis�o de seguro;
h)
os procedimentos para c�pias de seguran�a e continuidade do neg�cio;
i)
auditoria e monitoramento da seguran�a;
j)
revoga��o de autoridade e direitos de acesso, e devolu��o do equipamento quando as
atividades de trabalho remoto cessarem.
Informa��es adicionais As atividades de trabalho remoto utilizam tecnologias de

comunica��o que permitem que as pessoas trabalhem remotamente de uma localidade
fixa externa � sua organiza��o.
12 Aquisi��o, desenvolvimento e manuten��o de sistemas de informa��o

12.1 Requisitos de seguran�a de sistemas de informa��o
Objetivo: Garantir que seguran�a � parte integrante de sistemas de informa��o.
Sistemas de informa��o incluem sistemas operacionais, infra-estrutura, aplica��es
de neg�cios, produtos de prateleira, servi�os e aplica��es desenvolvidas pelo
usu�rio. O projeto e a implementa��o de sistemas de informa��o destinados a apoiar
o processo de neg�cios podem ser cruciais para a seguran�a. Conv�m que os
requisitos de seguran�a sejam identificados e acordados antes do desenvolvimento
e/ou implementa��o de sistemas de informa��o.
Conv�m que todos os requisitos de seguran�a sejam identificados na fase de
defini��o de requisitos de um projeto e justificados, acordados e documentados como
parte do caso geral de neg�cios para um sistema de informa��es.
12.1.1 An�lise e especifica��o dos requisitos de seguran�a
Controle Conv�mque sejam especificados os requisitos para controles de seguran�a
nas especifica��es de requisitos de neg�cios, para novos sistemas de informa��o ou
melhorias em sistemas existentes.
Diretrizes para implementa��o Conv�m que as especifica��es para os requisitos de
controles, nos sistemas de informa��o, considerem os controles autom�ticos a serem
incorporados, assim como a necessidade de apoiar controles manuais. Conv�m que
considera��es similares sejam aplicadas quando da avalia��o de pacotes de
softwares, desenvolvidos internamente ou comprados, para as aplica��es de neg�cios.
Conv�m que requisitos de seguran�a e controles reflitam o valor para o neg�cio dos
ativos de informa��o envolvidos (ver 7.2), e os danos potenciais ao neg�cio que
poderiam resultar de uma falha ou aus�ncia de seguran�a.
Conv�m que os requisitos de sistemas para a seguran�a da informa��o, bem como os
processos para implement�-la sejam integrados aos est�gios iniciais dos projetos
dos sistemas de informa��o. Controles introduzidos no est�gio de projeto s�o
significativamente mais baratos para implementar e manter do que aqueles inclu�dos
durante ou ap�s a implementa��o.
Conv�m que, no caso de produtos comprados, um processo formal de aquisi��o e testes
seja seguido. Conv�m que contratos com fornecedores levem em considera��o os
requisitos de seguran�a identificados. Nas situa��es em que funcionalidades de
seguran�a de um produto proposto n�o satisfa�am requisitos especificados, conv�m
que o risco introduzido, assim como os controles associados, sejam reconsiderados
antes da compra do produto. Nas situa��es em que as funcionalidades adicionais
incorporadas acarretem riscos � seguran�a, conv�m que estas sejam desativadas ou a
estrutura de controles proposta seja analisada criticamente para determinar se h�
vantagem na utiliza��o das funcionalidades em quest�o.
Informa��es adicionais Se considerado apropriado, por exemplo, por raz�es de

custos, o gestor pode considerar o uso de produtos avaliados e certificados por
entidade independente. Informa��o adicional sobre crit�rios de avalia��o de
produtos pode ser encontrada na ISO/IEC 154a08 ou em outras normas de avalia��o ou
certifica��oapropriadas.
A ISO/IEC 13a3a35-3 possui orienta��o sobre o uso de processos de gerenciamento de
riscos para a identifica��o de requisitos de controles de seguran�a.
12.2 Processamento correto nas aplica��es

Objetivo: Prevenir a ocorr�ncia de erros, perdas, modifica��o n�o autorizada ou mau
uso de informa��es em aplica��es.
Conv�m que controles apropriados sejam incorporados no projeto das aplica��es,
inclusive aquelas desenvolvidas pelos usu�rios, para assegurar o processamento
correto. Conv�m que esses controles incluam a valida��o dos dados de entrada, do
processamento interno e dos dados de sa�da.
Controles adicionais podem ser necess�rios para sistemas que processem informa��es
sens�veis, valiosas ou cr�ticas, ou que nestas exer�am algum impacto. Conv�m que
tais controles sejam determinados com base em requisitos de seguran�a e a
an�lise/avalia��o de riscos.
12.2.1 Valida��o dos dados de entrada
Controle Conv�m que os dados de entrada de aplica��es sejam validados para garantir
que s�o corretos e apropriados.
Diretrizes para implementa��o Conv�m que sejam aplicadas checagens na entrada de
transa��es de neg�cios, em dados permanentes (por exemplo, nomes e endere�os,
limites de cr�dito, n�meros de refer�ncia de clientes) e em, par�metros de tabelas
(por exemplo, pre�os de venda, taxas de convers�o de moedas, tarifas de impostos).
Conv�m que as seguintes diretrizes sejam consideradas:
a)
entrada duplicada ou outros tipos de verifica��o, tais como checagem de limites ou
campos limitando as faixas espec�ficas de dados de entrada, para detectar os
seguintes erros:
1)
valores fora de faixa;
2)
caracteres inv�lidos em campos de dados;
3)
dados incompletos ou faltantes;
4)
volumes de dados excedendo limites superiores ou inferiores;
5)
dados de controle inconsistentes ou n�o autorizados;
b)
verifica��o peri�dica do conte�do de campos-chave ou arquivos de dados para
confirmar a sua validade e integridade;
c)
inspe��o de c�pias impressas de documentos de entrada para detectar quaisquer
altera��es n�o autorizadas (conv�m que todas as mudan�as em documentos de entrada
sejam autorizadas);
d)
procedimentos para tratar erros de valida��o;
e)
procedimentos para testar a plausibilidade dos dados de entrada;
f)
defini��o da responsabilidade de todo o pessoal envolvido no processo de entrada de
dados;
g)
cria��o de um registro de atividades envolvendo o processo de entrada de dados (ver
10.10.1).
Informa��es adicionais A verifica��o e valida��o autom�tica de dados de entrada

podem ser consideradas, onde aplic�veis, para reduzir o risco de erros e prevenir
ataques conhecidos como buffer overflow e inje��o de c�digo.
12.2.2 Controle do processamento interno

Controle Conv�mque sejam incorporadas, nas aplica��es, checagens de valida��o com o
objetivo de detectar qualquer corrup��o de informa��es, por erros ou por a��es
deliberadas.
Diretrizes para implementa��o Conv�m que o projeto e a implementa��o das aplica��es
garantam que os riscos de falhas de processamento que levem � perda de integridade
sejam minimizados. �reas espec�ficas a serem consideradas incluem:
a)
o uso das fun��es, como incluir, modificar e remover para implementa��o de
altera��es nos dados;
b)
procedimentos para evitar que programas rodem na ordem errada ou continuem rodando
ap�s uma falha de processamento (ver 10.1.1 );
c)
o uso de programas apropriados para recupera��o de falhas, para assegurar o
processamento correto dos dados;
d)
prote��o contra ataques usando buffer overrun/overflow;
Conv�m que seja preparada uma lista de verifica��o apropriada, as atividades sejam
documentadas e os resultados sejam mantidos em seguran�a. Exemplos de verifica��es
que podem ser incorporadas incluem:
a)
controles de sess�es ou de lotes, para reconciliar saldos de arquivos ap�s as
atualiza��es de transa��es;
b)
controles de saldos, para verifica��o de saldos abertos comparando com saldos
previamenteencerrados o batimento de saldos de abertura contra saldos de
fechamento, utilizando:
1) controles run-to-run;
2) totaliza��es na atualiza��o de arquivos;
3) controles program-to-program;
c)
valida��o de dados de entrada gerados pelo sistema (ver 12.2.1);
d)
verifica��es de integridade, autenticidade ou qualquer outra caracter�stica de
seguran�a, de dados ou softwares transferidos, ou atualizados entre computadores
centrais e remotos;
e)
implementa��o de t�cnicas de consist�ncia (hash) para registros e arquivos;
f)
verifica��es para garantir que os programas sejam rodados no tempo correto;
h) cria��o de um registro das atividades envolvidas no processamento (ver

10.10.1 ). Informa��es adicionais
aplica��es e do impacto, no neg�cio, de qualquer corrup��o de dados.
12.2.3 Integridade de mensagens

Controle Conv�mque requisitos para garantir a autenticidade e proteger a
integridade das mensagens em aplica��es sejam identificados e os controles
apropriados sejam identificados e implementados.
Diretrizes para implementa��o Conv�m que seja efetuada uma an�lise/avalia��o dos
riscos de seguran�a para determinar se a integridadedas mensagens � requerida e
para identificar o m�todo mais apropriado de implementa��o.
Informa��es adicionais As t�cnicas criptogr�ficas (ver 12.3) podem ser usadas como
um meio apropriado para a implementa��o da autentica��o de mensagens.
12.2.4 Valida��o de dados de sa�da
Controle Conv�mque os dados de sa�da das aplica��es sejam validados para assegurar
que o processamento das informa��es armazenadas est� correto e � apropriado �s
circunst�ncias.
Diretrizes para implementa��o A valida��o de dados de sa�da pode incluir:
a)
verifica��es de plausibilidade para testar se os dados de sa�da s�o razo�veis;
b)
controles envolvendo contagens de reconcilia��o para garantir o processamento de
todos os dados;
c)
fornecimento de informa��o suficiente para que um leitor ou um sistema de
processamentosubseq�ente possa determinar a exatid�o, completeza, precis�o e
classifica��o das informa��es;
d)
procedimentos para responder aos testes de valida��o dos dados de sa�da;
e)
defini��o das responsabilidades de todo o pessoal envolvido no processo de dados de
sa�da;
f)
cria��o de um registro de atividades do processo de valida��o dos dados de sa�da.
Informa��es adicionais Tipicamente, sistemas e aplica��es s�o constru�dos no

pressuposto de que, tendo sido efetuadas as valida��es apropriadas, verifica��es e
testes, as sa�das estar�o sempre corretas. Contudo, este pressuposto nem sempre �
v�lido, isto �, sistemas que tenham sido testados podem ainda produzir dados de
sa�da incorretos sob certas circunst�ncias.
12.3 Controles criptogr�ficos
Objetivo: Proteger a confidencialidade, a autenticidade ou a integridade das

informa��es por meios criptogr�ficos.
Conv�m que uma pol�tica seja desenvolvida para o uso de controles criptogr�ficos.
Conv�m que o gerenciamento de chaves seja implementado para apoiar o uso de
t�cnicas criptogr�ficas.
12.3.1 Pol�tica para o uso de controles criptogr�ficos

Controle Conv�mque seja desenvolvida e implementada uma pol�tica para o uso de
controles criptogr�ficos para a prote��o da informa��o.
Diretrizes para implementa��o Conv�m que, quando do desenvolvimento de uma pol�tica
para criptografia, sejam considerados:
a)
a abordagem gerencial quanto ao uso de controles criptogr�ficos em toda a
organiza��o, incluindo os princ�pios gerais sob os quais as informa��es de neg�cio
sejam protegidas (ver 5.1.1 );
a identifica��o do n�vel requerido de prote��o com base em uma an�lise/avalia��o de
riscos, levando em considera��o o tipo, a for�a e a qualidade do algoritmo de
criptografia requerido;
c)
o uso de criptografia para a prote��o de informa��es sens�veis transportadas em
celulares e PDA, m�dias remov�veis ou m�veis, dispositivos ou linhas de
comunica��o;
d)
a abordagem do gerenciamento de chaves, incluindo m�todos para lidar com a prote��o
das chaves criptogr�ficas e a recupera��o de informa��es cifradas, no caso de
chaves perdidas, comprometidas ou danificadas;
e)
pap�is e responsabilidades, por exemplo, de quem for respons�vel:
1) pela implementa��o da pol�tica;

2) pelo gerenciamento de chaves, incluindo sua gera��o (ver 12.3.2);
f)
os padr�es a serem adotados para a efetiva implementa��o ao longo de toda a
organiza��o (qual solu��o � usada para quais processos de neg�cios);
g)
o impacto do uso de informa��es cifradas em controles que dependem da inspe��o de
conte�dos (por exemplo, detec��o de v�rus).
Conv�m que sejam consideradas, na implementa��o da pol�tica criptogr�fica da

organiza��o, as leis ou regulamenta��es e restri��es nacionais aplic�veis ao uso de
t�cnicas criptogr�ficas, nas diferentes partes do mundo, e das quest�es relativas
ao fluxo transfronteiras de informa��es cifradas (ver 15.1.6).
Controles criptogr�ficos podem ser usados para alcan�ar diversos objetivos de
seguran�a, como, por exemplo:
a)
confidencialidade: usando a criptografia da informa��o para proteger informa��es
sens�veis ou cr�ticas, armazenadas ou transmitidas;
b)
integridade/autenticidade: usando assinaturas digitais ou c�digos de autentica��o
de mensagens(MAC) para proteger a autenticidade e integridade de informa��es
sens�veis ou cr�ticas, armazenadas ou transmitidas;
c)
n�o-rep�dio: usando t�cnicas de criptografia para obter prova da ocorr�ncia ou n�o
ocorr�ncia de um evento ou a��o.
parte de um processo de an�lise/avalia��o de riscos e sele��o de controles mais

amplos. Essa avalia��o pode, ent�o, ser usada para determinar se um controle
criptogr�fico � apropriado, que tipo de controle seja usado e para que prop�sito e
processos de neg�cios.
Uma pol�tica sobre o uso de controles criptogr�ficos � necess�ria para maximizar os
benef�cios e minimizar os riscos do uso de t�cnicas criptogr�ficas para evitar o
uso incorreto ou inapropriado. Quanto ao uso de assinaturas digitais, conv�m que
seja considerada toda a legisla��o relevante, em particular aquela quedescreve as
condi��es sob as quais uma assinatura digital � legalmente aceita (ver 15.1 ).
Conv�m que seja buscada a opini�o de um especialista para identificar o n�vel
apropriado de prote��o e definir as especifica��es aplic�veis que proporcionar�o o
n�vel requerido de prote��o e o apoio � implementa��o de um sistema seguro de
gerenciamento de chaves (ver 12.3.2).
O IS0/IEC JTC1 SC27 desenvolveu diversas normas relacionadas com controles
criptogr�ficos. Informa��es adicionais podem tamb�m ser encontradas na IEEE P13a63
e no OECD Guidelines on Cryptography.
12.3.2 Gerenciamento de chaves

Controle Conv�mque um processo de gerenciamento de chaves seja implantado para
apoiar o uso de t�cnicas criptogr�ficas pela organiza��o.
Diretrizes para implementa��o Conv�m que todas as chaves criptogr�ficas sejam
protegidas contra modifica��o, perda e destrui��o.Adicionalmente, chaves secretas e
privadas necessitam de prote��o contra a divulga��o n�o autorizada. Conv�m que os
equipamentos utilizados para gerar, armazenar e guardar as chaves sejam fisicamente
protegidos.
Conv�m que um sistema de gerenciamento de chaves seja baseado em um conjunto
estabelecido de normas, procedimentos e m�todos de seguran�a para:
a)
gerar chaves para diferentes sistemas criptogr�ficos e diferentes aplica��es;
b)
gerar e obter certificados de chaves p�blicas;
c)
distribuir chaves para os usu�rios devidos, incluindo a forma como as chaves devem
ser ativadas,quando recebidas;
d} armazenar chaves, incluindo a forma como os usu�rios autorizados obt�m acesso a

elas;
e)
mudar ou atualizar chaves, incluindo regras relativas a quando as chaves devem ser
mudadas e como isto ser� feito;
f)
lidar com chaves comprometidas;
g)
revogar chaves, incluindo regras de como elas devem ser retiradas ou desativadas,
por exemplo quando chaves tiverem sido comprometidas ou quando um usu�rio deixa a
organiza��o (conv�m que, tamb�m neste caso, que as chaves sejam guardadas);
h} recuperar chaves perdidas ou corrompidas, como parte da gest�o da continuidade

do neg�cio, por exemplo para recupera��o de informa��es cifradas;
i)
guardar chaves, por exemplo para informa��es guardadas ou armazenadas em c�pias de
seguran�a;
j)
destruir chaves;
k)
manter registro e auditoria das atividades relacionadas com o gerenciamento de
chaves.
Conv�m, para reduzir a possibilidade de comprometimento, que datas de ativa��o e

desativa��o de chaves sejam definidas de forma que possam ser utilizadas apenas por
um per�odo de tempo limitado. Conv�m que este per�odo de tempo seja dependente das
circunst�ncias sob as quais o controle criptogr�fico est� sendo usado, assim como
do risco percebido.
Al�m do gerenciamento seguro de chaves secretas e privadas, conv�m que a
autenticidade de chaves p�blicas seja tamb�m considerada. Este processo de
autentica��o pode ser conduzido utilizando-se certificados de chaves p�blicas que
s�o normalmente emitidos por uma autoridade certificadora, a qual conv�m que seja
uma organiza��o reconhecida, com controles adequados e procedimentos implantados
com o objetivo de garantir o requerido n�vel de confian�a.
Conv�m que o conte�do dos termos dos acordos de n�vel de servi�o ou contratos com
fornecedores externos de servi�os criptogr�ficos, por exemplo com uma autoridade
certificadora, cubram aspectos como responsabilidades, confiabilidade dos servi�os
e tempos de resposta para a execu��o dos servi�os contratados (ver 6.2.3).
Informa��es adicionais O gerenciamento de chaves criptogr�ficas � essencial para o
uso efetivo de t�cnicas criptogr�ficas. A 1SO/IEC 11770 fornece informa��o
adicional sobre gerenciamento de chaves. Os dois tipos de t�cnicas criptogr�ficas
s�o:
a)
t�cnicas de chaves secretas, onde duas ou mais partes compartilham a mesma chave, a
qual � utilizado tanto para cifrar quanto para decifrar a informa��o; esta chave
deve ser mantida secreta, uma vez que qualquer um que tenha acesso a ela ser� capaz
de decifrar todas as informa��es que tenham sido cifradas com essa chave ou dela se
utilizando para introduzir informa��o n�o autorizada;
b)
t�cnicas de chaves p�blicas, onde cada usu�rio possui um par de chaves; uma chave
p�blica (que pode ser revelada para qualquer um) e uma chave privada (que deve ser
mantida secreta); t�cnicas de chaves p�blicas podem ser utilizadas para cifrar e
para produzir assinaturas digitais (ver tamb�m 1SO/IEC 9796 e 1SO/IEC 14888).
Existe a amea�a de que seja forjada uma assinatura digital pela substitui��o da
chave p�blica do usu�rio. Este problema � resolvido pelo uso de um certificado de
chave p�blica.
T�cnicas criptogr�ficas podem ser tamb�m utilizadas para proteger chaves
criptogr�ficas. Pode ser necess�rio
o estabelecimento de procedimentos para a manipula��o de solicita��es legais para
acesso a chaves criptogr�ficas, por exemplo, informa��o cifrada pode ser requerida
em sua forma decifrada para uso como evid�ncia em um processo judicial.
12.4 Seguran�a dos arquivos do sistema
Objetivo: Garantir a seguran�a de arquivos de sistema.

Conv�m que o acesso aos arquivos de sistema e aos programas de c�digo fonte seja
controlado e que atividades de projeto de tecnologia da informa��o e de suporte
sejam conduzidas de forma segura. Conv�m que cuidados sejam tomados para evitar a
exposi��o de dados sens�veis em ambientes de teste.
12.4.1 Controle de software operacional
Controle Conv�m que procedimentos para controlar a instala��o de software em
sistemas operacionais sejam implementados.
Diretrizes para implementa��o Para minimizar o risco de corrup��o aos sistemas

operacionais, conv�m que as seguintes diretrizes sejam consideradas para controlar
mudan�as:
a) a atualiza��o do software operacional, de aplicativos e de bibliotecas de
programas seja executada somente por administradores treinados e com autoriza��o
gerencial (ver 12.4.3);
b} sistemas operacionais somente contenham c�digo execut�vel e aprovado, e n�o
contenham c�digos em desenvolvimento ou compiladores;
c) sistemas operacionais e aplicativos somente sejam implementados ap�s testes
extensivos e bem�sucedidos; � recomend�vel que os testes incluam testes sobre uso,
seguran�a, efeitos sobre outros sistemas, como tamb�m sobre uso amig�vel, e sejam
realizados em sistemas separados (ver 10.1.4); conv�m que seja assegurado que todas
as bibliotecas de programa-fonte correspondentes tenham sido atualizadas;
d} um sistema de controle de configura��o seja utilizado para manter controle da
implementa��o do software assim como da documenta��o do sistema;
e)
uma estrat�gia de retorno �s condi��es anteriores seja disponibilizada antes que
mudan�as sejam implementadas no sistema;
f)
um registro de auditoria seja mantido para todas as atualiza��es das bibliotecas
dos programas operacionais;
g)
vers�es anteriores dos softwares aplicativos sejam mantidas como medida de
conting�ncia;
h} vers�es antigas de software sejam arquivadas, junto com todas as informa��es e

par�metros requeridos, procedimentos, detalhes de configura��es e software de
suporte durante um prazo igual ao prazo de reten��o dos dados.
Conv�m que software adquirido de fornecedores e utilizado em sistemas operacionais
seja mantido num n�vel apoiado pelo fornecedor. Ao transcorrer do tempo,
fornecedores de software cessam o apoio �s vers�es antigas do software. Conv�m que
a organiza��o considere os riscos associados � depend�ncia de software sem suporte.
Conv�m que qualquer decis�o de atualiza��o para uma nova vers�o considere os
requisitos do neg�cio para a mudan�a e da seguran�a associada, por exemplo, a
introdu��o de uma nova funcionalidade de seguran�a ou a quantidade e a gravidade
dos problemas de seguran�a associados a esta vers�o. Conv�m que pacotes de
corre��es de software sejam aplicados quando puderem remover ou reduzir as
vulnerabilidades de seguran�a (ver 12.6.1 ).
Conv�m que acessos f�sicos e l�gicos sejam concedidos a fornecedores, quando
necess�rio, para a finalidade de suporte e com aprova��o gerencial. Conv�m que as
atividades do fornecedor sejam monitoradas.
Os softwares para computadores podem depender de outros softwares e m�dulos
fornecidos externamente, os quais conv�m ser monitorados e controlados para evitar
mudan�as n�o autorizadas, que podem introduzir fragilidades na seguran�a.
Informa��es adicionais Conv�m que sistemas operacionais sejam atualizados quando
existir um requisito para tal, por exemplo, se a vers�o atual do sistema
operacional n�o suportar mais os requisitos do neg�cio. Conv�m que as atualiza��es
n�o sejam efetivadas pela mera disponibilidade de uma vers�o nova do sistema
operacional. Novas vers�es de sistemas operacionais podem ser menos seguras, com
menor estabilidade, e ser menos entendidas do que os sistemas atuais.
12.4.2 Prote��o dos dados para teste de sistema

Controle Conv�mque os dados de teste sejam selecionados com cuidado, protegidos e
controlados.
Diretrizes para implementa��o Para prop�sitos de teste, conv�m que seja evitado o
uso de bancos de dados operacionais que contenham informa��es de natureza pessoal
ou qualquer outra informa��o considerada sens�vel. Se informa��o de natureza
pessoal ou outras informa��es sens�veis forem utilizadas com o prop�sito de teste,
conv�m que todos os detalhes e conte�do sens�vel sejam removidos ou modificados de
forma a evitar reconhecimento antes do seu uso. Conv�m que sejam aplicadas as
seguintes diretrizes para a prote��o de dados operacionais, quando utilizados para
fins de teste:
a)
os procedimentos de controle de acesso, aplic�veis aos aplicativos de sistema em
ambiente operacional, sejam tamb�m aplicados aos aplicativos de sistema em ambiente
de teste;
b)
seja obtida autoriza��o cada vez que for utilizada uma c�pia da informa��o
operacional para uso de um aplicativo em teste;
a informa��o operacional seja apagada do aplicativo em teste imediatamente ap�s

completar o teste;
d)
a c�pia e o uso de informa��o operacional sejam registrados de forma a prover uma
trilha para auditoria.
Informa��es adicionais Testes de sistema e testes de aceita��o requerem normalmente

volumes significativos de dados de teste que sejam o mais pr�ximo poss�vel aos
dados utilizados no ambiente operacional.
12.4.3 Controle de acesso ao c�digo-fonte de programa

Controle Conv�mque o acesso ao c�digo-fonte de programa seja restrito.
Diretrizes para implementa��o Conv�m que o acesso ao c�digo-fonte de programa e de
itens associados (como desenhos, especifica��es, planos de verifica��o e de
valida��o) seja estritamente controlado, com a finalidade de prevenir a introdu��o
de funcionalidade n�o autorizada e para evitar mudan�as n�o intencionais. Para os
c�digos-fonte de programas, este controle pode ser obtido com a guarda centralizada
do c�digo, de prefer�ncia utilizando bibliotecas de programa-fonte. Conv�m que as
seguintes orienta��es sejam consideradas (ver se��o 11) para
o controle de acesso �s bibliotecas de programa-fonte, com a finalidade de reduzir
o risco de corrup��o de programas de computador:
a)
quando poss�vel, seja evitado manter as bibliotecas de programa-fonte no mesmo
ambiente dos sistemas operacionais;
b) seja implementado o controle do c�digo-fonte de programa e das bibliotecas de

programa-fonte,conforme procedimentos estabelecidos;
c)
o pessoal de suporte n�o tenha acesso irrestrito �s bibliotecas de programa-fonte;
d)
a atualiza��o das bibliotecas de programa-fonte e itens associados e a entrega de
fontes de recebimento da autoriza��o pertinente;
e)
as listagens dos programas sejam mantidas num ambiente seguro (ver 10.7.4);
f)
g) a manuten��o e a c�pia das bibliotecas de programa-fonte estejam sujeitas a

procedimentos estritos de controles de mudan�as (ver 12.5.1 );
Informa��es adicionais Os c�digos-fonte de programas s�o c�digos escritos por
programadores, que s�o compilados (e ligados) para criar programas execut�veis.
Algumas linguagens de programa��o n�o fazem uma distin��o formal entre c�digo-fonte
e execut�vel, pois os execut�veis s�o criados no momento da sua ativa��o.
As ABNT NBR ISO 10007 e ABNT NBR 1SO/IEC 12207 possuem mais informa��es sobre a
gest�o de configura��o e o processo de ciclo de vida de software.
12.5 Seguran�a em processos de desenvolvimento e de suporte
Objetivo: Manter a seguran�a de sistemas aplicativos e da informa��o.

Conv�m que os ambientes de projeto e de suporte sejam estritamente controlados.
Conv�m que os gerentes respons�veis pelos sistemas aplicativos sejam tamb�m
respons�veis pela seguran�a dos ambientes de projeto ou de suporte. Conv�m que eles
assegurem que mudan�as propostas sejam analisadas criticamente para verificar que
n�o comprometam a seguran�a do sistema ou do ambiente operacional.
12.5.1 Procedimentos para controle de mudan�as
Controle Conv�m que a implementa��o de mudan�as seja controlada utilizando
procedimentos formais de controle de mudan�as.
Diretrizes para implementa��o Conv�m que os procedimentos de controle de mudan�as
sejam documentados e refor�ados com a finalidade de minimizar a corrup��o dos
sistemas da informa��o. Conv�m que a introdu��o de novos sistemas e mudan�as
maiores em sistemas existentes sigam um processo formal de documenta��o,
especifica��o, teste, controle da qualidade e gest�o da implementa��o.
Conv�m que o processo inclua uma an�lise/avalia��o de riscos, an�lise do impacto
das mudan�as e a especifica��o dos controles de seguran�a requeridos. Conv�m que o
processo garanta que a seguran�a e os procedimentos de controle atuais n�o sejam
comprometidos, que os programadores de suporte tenham acesso somente �s partes do
sistema necess�rias para o cumprimento das tarefas e que sejam obtidas concord�ncia
e aprova��o formal para qualquer mudan�a obtida.
Conv�m que, quando pratic�vel, os procedimentos de controle de mudan�as sejam
integrados (ver 10.1.2). Conv�m que os procedimentos de mudan�as incluam:
a) a manuten��o de um registro dos n�veis acordados de autoriza��o;
b) a garantia de que as mudan�as sejam submetidas por usu�rios autorizados;
c) a an�lise cr�tica dos procedimentos de controle e integridade para assegurar
que as mudan�as n�o os comprometam;
d) a identifica��o de todo soffware, informa��o, entidades em bancos de dados e
hardware que precisam de emendas;
e) a obten��o de aprova��o formal para propostas detalhadas antes da
implementa��o;
f) a garantia da aceita��o das mudan�as por usu�rios autorizados, antes da
implementa��o;
g)
a garantia da atualiza��o da documenta��o do sistema ap�s conclus�o de cada mudan�a
e de que a documenta��o antiga seja arquivada ou descartada;
h)
a manuten��o de um controle de vers�o de todas as atualiza��es de softwares;
i)
a manuten��o de uma trilha para auditoria de todas as mudan�as solicitadas;
j)
a garantia de que toda a documenta��o operacional (ver 10.1.1) e procedimentos dos
usu�rios sejam alterados conforme necess�rio e que se mantenham apropriados;
k)
a garantia de que as mudan�as sejam implementadas em hor�rios apropriados, sem a
perturba��o dos processos de neg�cios cab�veis.
Informa��es adicionais A mudan�a de software pode ter impacto no ambiente

operacional.
As boas pr�ticas incluem o teste de novos softwares em um ambiente segregado dos
ambientes de produ��o e de desenvolvimento (ver 10.1 .4). Isto fornece um meio de
controle sobre o novo software e permite uma prote��o adicional � informa��o
operacional que � utilizada para prop�sitos de teste. Aplica-se tamb�m �s
corre��es, pacotes de servi�o e outras atualiza��es. Conv�m que atualiza��es
autom�ticas n�o sejam utilizadas em sistemas cr�ticos, pois algumas atualiza��es
podem causar falhas em aplica��es cr�ticas (ver 12.6).
12.5.2 An�lise cr�tica t�cnica das aplica��es ap�s mudan�as no sistema operacional
Controle Conv�m que aplica��es cr�ticas de negocios
sejam analisadas criticamente e testadas quando sistemas operacionais s�o mudados,
para garantir que n�o haver� nenhum impacto adverso na opera��o da organiza��o ou
na seguran�a.
Conv�m que o processo compreenda:
a)
uma an�lise cr�tica dos procedimentos de controle e integridade dos controles para
assegurar que n�o foram comprometidos pelas mudan�as no sistema operacional;
b)
a garantia de que o plano anual de suporte e o or�amento ir�o cobrir as an�lises e
testes do sistema devido �s mudan�as no sistema operacional;
c)
a garantia de que as mudan�as pretendidas sejam comunicadas em tempo h�bil para
permitir os testes e an�lises cr�ticas antes da implementa��o das mudan�as;
d)
a garantia de que as mudan�as necess�rias sejam executadas nos planos de
continuidade de neg�cios (ver se��o 1 4).
Conv�m que seja dada responsabilidade a um grupo espec�fico ou a um indiv�duo para

monitoramento das vulnerabilidades e divulga��o de emendas e corre��es dos
fornecedores de software (ver 12.6).
12.5.3 Restri��es sobre mudan�as em pacotes de software

Controle Conv�m que modifica��es em pacotes de software sejam desencorajadas e
limitadas �s mudan�as necess�rias e que todas as mudan�as sejam estritamente
controladas.
Diretrizes para implementa��o Quando poss�vel e pratic�vel, conv�m que pacotes de
softwares providos pelos fornecedores sejam utilizados sem modifica��es. Quando um
pacote de software requer modifica��o, conv�m que sejam considerados os seguintes
itens:
a) o risco de que controles e processos de integridade embutidos no software sejam
comprometidos;
b} a obten��o do consentimento do fornecedor;
c)
a possibilidade de obten��o junto ao fornecedor das mudan�as necess�rias como
atualiza��o padr�o do programa;
d)
o impacto resultante quando a organiza��o passa a ser respons�vel para a manuten��o
futura do software como resultado das mudan�as.
Se mudan�as forem necess�rias, conv�m que o software original seja mantido e as

mudan�as aplicadas numa c�pia claramente identificada. Conv�m que um processo de
gest�o de atualiza��es seja implementado para assegurar a instala��o das mais
recentes corre��es e atualiza��es para todos os softwares autorizados (ver 12.6).
Conv�m que todas as mudan�as sejam completamente testadas e documentadas para que
possam ser reaplicadas, se necess�rio, em atualiza��es futuras do software. Se
requerido, conv�m que as modifica��es sejam testadas e validadas por um grupo de
avalia��o independente.
12.5.4 Vazamento de informa��es

Controle Conv�m que oportunidades para vazamento de informa��es sejam prevenidas.
Diretrizes para implementa��o Conv�m que os seguintes itens sejam considerados,
para limitar o risco de vazamento de informa��es, por exemplo atrav�s do uso e
explora��o de covert channels:
a)
a varredura do envio de m�dia e comunica��es para verificar a presen�a de
informa��o oculta;
b)
o mascaramento e a modula��o do comportamento dos sistemas e das comunica��es para
reduzir a possibilidade de terceiros deduzirem informa��es a partir do
comportamento dos sistemas;
c)
a utiliza��o de sistemas e software reconhecidos como de alta integridade, por
exemplo utilizando produtos avaliados (ver ISO/IEC 15408);
d} o monitoramento regular das atividades do pessoal e do sistema, quando permitido

pela legisla��o ou regulamenta��o vigente;
e) o monitoramento do uso de recursos de sistemas de computa��o.
Os covert channe/s s�o caminhos n�o previstos para conduzir fluxo de informa��es,
mas que no entanto podem existir num sistema ou rede. Por exemplo, a manipula��o de
bits no protocolo de pacotes de comunica��o poderia ser utilizada como um m�todo
oculto de sinaliza��o. Devido � sua natureza, seria dif�cil, se n�o imposs�vel,
precaver-se
contra a exist�ncia de todos os poss�veis covert channe/s. No entanto, a explora��o
destes canais freq�entemente � realizada por c�digo troiano (ver 10.4.1 ). A ado��o
de medidas de prote��o contra c�digo troiano reduz, conseq�entemente, o risco de
explora��o de covert channels.
A precau��o contra acesso n�o autorizado � rede (ver 11.4 ), como tamb�m pol�ticas
e procedimentos para dissuadir o mau uso de servi�os de informa��o pelo pessoal
(ver 15.1.5), pode ajudar a proteger contra covert channe/s.
12.5.5 Desenvolvimento terceirizado de software

Controle Conv�m que a organiza��o supervisione e monitore o desenvolvimento
terceirizado de software.
Diretrizes para implementa��o Conv�m que sejam considerados os seguintes itens
quando do desenvolvimento de software terceirizado:
a)
acordos de licenciamento, propriedade do c�digo e direitos de propriedade
intelectual (ver 15.1.2);
b)
certifica��o da qualidade e exatid�o do servi�o realizado;
c)
provis�es para cust�dia no caso de falha da terceira parte;
d)
direitos de acesso para auditorias de qualidade e exatid�o do servi�o realizado;
e)
requisitos contratuais para a qualidade e funcionalidade da seguran�a do c�digo;
f)
testes antes da instala��o para detectar a presen�a de c�digo malicioso e troiano.
12.6 Gest�o de vulnerabilidades t�cnicas
Objetivo: Reduzir riscos resultantes da explora��o de vulnerabilidades t�cnicas

conhecidas.
Conv�m que a implementa��o da gest�o de vulnerabilidades t�cnicas seja implementada
de forma efetiva, sistem�tica e de forma repet�vel com medi��es de confirma��o da
efetividade. Conv�m que estas considera��es incluam sistemas operacionais e
quaisquer outras aplica��es em uso.
12.6.1 Controle de vulnerabilidades t�cnicas
Controle Conv�m que seja obtida informa��o em tempo h�bil sobre vulnerabilidades
t�cnicas dos sistemas de informa��o em uso, avaliada a exposi��o da organiza��o a
estas vulnerabilidades e tomadas as medidas apropriadas para lidar com os riscos
associados.
Diretrizes para implementa��o Um invent�rio completo e atualizado dos ativos de
informa��o (ver 7 .1) � um pr�-requisito para uma gest�o efetiva de vulnerabilidade
t�cnica. Informa��o espec�fica para o apoio � gest�o de vulnerabilidade t�cnica
inclui o fornecedor de software, o n�mero de vers�o, o status atual de uso e
distribui��o (por exemplo, quesoftwares est�o instalados e em quais sistemas) e
a(s) pessoa(s) na organiza��o respons�vel(is) pelos
Conv�m que a a��o apropriada seja tomada, no devido tempo, como resposta �s
potenciais vulnerabilidades t�cnicas identificadas. Conv�m que as seguintes
diretrizes sejam seguidas para o estabelecimento de um processo de gest�o efetivo
de vulnerabilidades t�cnicas:
a) a organiza��o defina e estabele�a as fun��es e responsabilidades associadas na
gest�o de vulnerabilidades t�cnicas, incluindo o monitoramento de vulnerabilidades,
a an�lise/avalia��o de riscos de vulnerabilidades, patches, acompanhamento dos
ativos e qualquer coordena��o de responsabilidades requerida;

b} os recursos de informa��o a serem usados para a identificar vulnerabilidades
t�cnicas relevantes e para manter a conscientiza��o sobre eles sejam identificados
para softwares e outras tecnologias ( com base na lista de invent�rio dos ativos,
ver 7 .1.1 ); conv�m que esses recursos de informa��o sejam mantidos atualizados
com base nas mudan�as no invent�rio de ativos, ou quando outros recursos novos ou
�teis forem encontrados;
seja definido um prazo para a rea��o a notifica��es de potenciais vulnerabilidades
t�cnicas relevantes;
d)
uma vez que uma vulnerabilidade t�cnica potencial tenha sido identificada, conv�m
que a organiza��o avalie os riscos associados e as a��es a serem tomadas; tais
a��es podem requerer o uso de patches nos sistemas vulner�veis e/ou a aplica��o de
outros controles;
e)
dependendo da urg�ncia exigida para tratar uma vulnerabilidade t�cnica, conv�m que
a a��o tomada esteja de acordo com os controles relacionados com a gest�o de
mudan�as (ver 12.5.1) ou que sejam seguidos os procedimentos de resposta a
incidentes de seguran�a da informa��o (ver 13.2);
f)
se um patch for disponibilizado, conv�m que sejam avaliados os riscos associados �
sua instala��o (conv�m que os riscos associados � vulnerabilidade sejam comparados
com os riscos de instala��o do
patch);
g)
patches sejam testados e avaliados antes de serem instaladas para assegurar a
efetividade e que n�o tragam efeitos que n�o possam ser tolerados; quando n�o
existir a disponibilidade de um patch, conv�m considerar o uso de outros controles,
tais como:
1)
a desativa��o de servi�os ou potencialidades relacionadas � vulnerabilidade;
2)
a adapta��o ou agrega��o de controles de acesso, por exemplo firewalls nas
fronteiras da rede (ver 11.4.5);
3)
o aumento do monitoramento para detectar ou prevenir ataques reais;
4)
o aumento da conscientiza��o sobre a vulnerabilidade;
h)
seja mantido um registro de auditoria de todos os procedimentos realizados;
com a finalidade de assegurar a efic�cia e a efici�ncia, conv�m que seja monitorado

e avaliado regularmente o processo de gest�o de vulnerabilidades t�cnicas;
conv�m abordar em primeiro lugar os sistemas com altos riscos.
Informa��es adicionais O correto funcionamento do processo de gest�o de
vulnerabilidades t�cnicas � cr�tico para muitas organiza��es e, portanto, conv�m
que seja monitorado regularmente. Um invent�rio de ativos preciso � essencial para
assegurar que vulnerabilidades potenciais relevantes sejam identificadas.
A gest�o de vulnerabilidades t�cnicas pode ser vista como uma subfun��o da gest�o
de mudan�as e, como tal, pode aproveitar os procedimentos e processos da gest�o de
mudan�as (ver 10.1e.2 e 12.5.1 ).
Os fornecedores est�o sempre sob grande press�o para liberar patches t�o logo
quanto poss�vel. Portanto, um patch pode n�o abordar o problema adequadamente e
pode causar efeitos colaterais negativos. Tamb�m, em alguns casos, a desinstala��o
de um patch pode n�o ser facilmente realiz�vel ap�s sua instala��o.
Quando testes adequados de patch n�o forem poss�veis, por exemplo, devido a custos
ou falta de recursos, um atraso no uso do patch pode ser considerado para avaliar
os riscos associados, baseado nas experi�ncias relatadas por outros usu�rios.
13 Gest�o de incidentes de seguran�a da informa��o
13.1 Notifica��o de fragilidades e eventos de seguran�a da informa��o
Objetivo: Assegurar que fragilidades e eventos de seguran�a da informa��o
associados com sistemas de informa��o sejam comunicados, permitindo a tomada de
a��o corretiva em tempo h�bil.
Conv�m que sejam estabelecidos procedimentos formais de registro e escalonamento.
Conv�m que todos os funcion�rios, fornecedores e terceiros estejam conscientes
sobre os procedimentos para notifica��o dos diferentes tipos de eventos e
fragilidades que possam ter impactos na seguran�a dos ativos da organiza��o. Conv�m
que seja requerido que os eventos de seguran�a da informa��o e fragilidades sejam
notificados, t�o logo quanto poss�vel, ao ponto de contato designado.
13.1.1 Notifica��o de eventos de seguran�a da informa��o
Controle Conv�m que os eventos de seguran�a da informa��o sejam relatados atrav�s
dos canais apropriados da dire��o, o mais rapidamente poss�vel.
Diretrizes para Implementa��o Conv�m que um procedimento de notifica��o formal seja
estabelecido para relatar os eventos de seguran�a da informa��o, junto com um
procedimento de resposta a incidente e escalonamento, estabelecendo a a��o a ser
tomada ao se receber a notifica��o de um evento de seguran�a da informa��o. Conv�m
que um ponto de contato seja estabelecido para receber as notifica��es dos eventos
de seguran�a da informa��o. Conv�m que este ponto de contato seja de conhecimento
de toda a organiza��o e esteja sempre dispon�vel e em condi��es de assegurar uma
resposta adequada e oportuna.
Conv�m que todos os funcion�rios, fornecedores e terceiros sejam alertados sobre
sua responsabilidade de notificar qualquer evento de seguran�a da informa��o o mais
rapidamente poss�vel. Conv�m que eles tamb�m estejam cientes do procedimento para
notificar os eventos de seguran�a da informa��o e do ponto de contato designado
para este fim. Conv�m que os procedimentos incluam:
processos adequados de realimenta��o para assegurar que os eventos de seguran�a da
informa��o relatados sejam notificados dos resultados ap�s a quest�o ter sido
conduzida e conclu�da;
b)
formul�rio para apoiar a a��o de notificar um evento de seguran�a da informa��o e
ajudar as pessoas a lembrar as a��es necess�rias para a notifica��o do evento;
c)
o comportamento correto a ser tomado no caso de um evento de seguran�a da
informa��o, como, por exemplo:
1) anotar todos os detalhes importantes imediatamente (por exemplo, tipo de n�o-

conformidade ou viola��o, mau funcionamento, mensagens na tela, comportamento
estranho);
2) n�o tomar nenhuma a��o pr�pria, mas informar imediatamente o evento ao ponto de
contato;
d) refer�ncia para um processo disciplinar formal estabelecido para lidar com

funcion�rios, fornecedores ou terceiros que cometam viola��es de seguran�a da
informa��o.
Em ambientes de alto risco, podem ser fornecidos alarmes de coa��o4 atrav�s do qual
a pessoa que est� sendo coagida possa sinalizar o que est� ocorrendo. Conv�m que os
procedimentos para responder a alarmes de coa��o reflitam o alto risco que a
situa��o exige.
4 Alarme de coa��o � um m�todo usado para indicar, de forma secreta, que uma a��o
est� acontecendo sob coa��o.
Informa��es adicionais Exemplos de eventos e incidentes de seguran�a da informa��o
s�o:
a)
perda de servi�o, equipamento ou recursos;
mau funcionamento ou sobrecarga de sistema;
c)
erros humanos;
d)
n�o-conformidade com pol�ticas ou diretrizes;
e)
viola��es de procedimentos de seguran�a f�sica;
f)
mudan�as descontroladas de sistemas;
g)
mau funcionamento de software ou hardware;
h} viola��o de acesso.
Considerando os cuidados com os aspectos de confidencialidade, os incidentes de
seguran�a da informa��o podem ser utilizados em treinamento de conscientiza��o (ver
8.2.2) como exemplos do que poderia ocorrer, como responder a tais incidentes e
como evit�-los futuramente. Para ser capaz de destinar os eventos e incidentes de
seguran�a da informa��o adequadamente, pode ser necess�rio coletar evid�ncias t�o
logo quanto poss�vel depois da ocorr�ncia (ver 13.2.3).
Um mau funcionamento ou outras anomalias de comportamento de sistemas podem ser um
indicador de um ataque de seguran�a ou viola��o de seguran�a e, portanto, conv�m
que sempre sejam notificados como um evento de seguran�a da informa��o.
Mais informa��es sobre notifica��o de eventos de seguran�a da informa��o e gest�o
de incidentes de seguran�a da informa��o podem ser encontradas na 1S0/IEC TR 18044.
13.1.2 Notificando fragilidades de seguran�a da informa��o

Controle Conv�m que os funcion�rios, fornecedores e terceiros de sistemas e
servi�os de informa��o sejam instru�dos a registrar e notificar qualquer observa��o
ou suspeita de fragilidade em sistemas ou servi�os.
Diretrizes para implementa��o Conv�m que os funcion�rios, fornecedores e terceiros
notifiquem esse assunto o mais r�pido poss�vel para sua dire��o ou diretamente ao
seu provedor de servi�os, de forma a prevenir incidentes de seguran�a da
informa��o. Conv�m que o mecanismo de notifica��o seja f�cil, acess�vel e
dispon�vel sempre que poss�vel. Conv�m que os usu�rios sejam informados que n�o
podem, sob nenhuma circunst�ncia, tentar averiguar fragilidade suspeita.
Informa��es adicionais Conv�m que os funcion�rios, fornecedores e terceiros sejam
alertados para n�o tentarem averiguar uma fragilidade de seguran�a da informa��o
suspeita. Testar fragilidades pode ser interpretado como um uso impr�prio potencial
do sistema e tamb�m pode causar danos ao sistema ou servi�o de informa��o,
resultando em responsabilidade legal ao indiv�duo que efetuar o teste.
13.2 Gest�o de incidentes de seguran�a da informa��o e melhorias
Objetivo: Assegurar que um enfoque consistente e efetivo seja aplicado � gest�o de
incidentes de seguran�a da informa��o.
Conv�m que responsabilidades e procedimentos estejam definidos para o manuseio
efetivo de eventos de seguran�a da informa��o e fragilidades, uma vez que estes
tenham sido notificados. Conv�m que um processo de melhoria cont�nua seja aplicado
�s respostas, monitoramento, avalia��o e gest�o total de incidentes de seguran�a da
informa��o.
Conv�m que onde evid�ncias sejam exigidas, estas sejam coletadas para assegurar a
conformidade com as exig�ncias legais.
13.2.1 Responsabilidades e procedimentos

Controle Conv�m que responsabilidades e procedimentos de gest�o sejam estabelecidos
para assegurar respostas r�pidas, efetivas e ordenadas a incidentes de seguran�a da
informa��o.
Diretrizes para implementa��o Conv�m que, adicionalmente � notifica��o de eventos
de seguran�a da informa��o e fragilidades (ver 13.1 ), o monitoramento de sistemas,
alertas e vulnerabilidades (10.10.2) seja utilizado para a detec��o de incidentes
de seguran�a da informa��o. Conv�m que as seguintes diretrizes para procedimentos
de gest�o de incidentes de seguran�a da informa��o sejam consideradas:
a)
procedimentos sejam estabelecidos para manusear diferentes tipos de incidentes de
seguran�a da informa��o, incluindo:
1) falhas de sistemas de informa��es e perda de servi�os;

2) c�digo malicioso (ver 10.4.1 );
3) denial of seNice (nega��o de servi�o);
4) erros resultantes de dados incompletos ou inconsistentes;
5) viola��es de confidencialidade e integridade;
6) uso impr�prio de sistemas de informa��o;
b)
al�m dos planos de conting�ncia (ver 14.1e.3), conv�m que os procedimentos tamb�m
considerem (ver 13.2.2):
1) an�lise e identifica��o da causa do incidente;

2) reten��o;
3) planejamento e
implementa��o de a��o corretiva para prevenir a sua repeti��o, se necess�rio;
4) comunica��o com aqueles afetados ou envolvidos com a recupera��o do incidente;
5) notifica��o da a��o para a autoridade apropriada;

c) conv�m que trilhas de auditoria e evid�ncias similares sejam coletadas (ver
13.2.3) e protegidas, como apropriado, para:
an�lise de problemas internos;
2) uso como evid�ncia forense para o caso de uma potencial viola��o de contrato ou
de normas reguladoras ou em caso de delitos civis ou criminais, por exemplo
relacionados ao uso impr�prio de computadores ou legisla��o de prote��o dos dados;
3) negocia��o para compensa��o ou ressarcimento por parte de fornecedores de
software e servi�os;
d)
conv�m que as a��es para recupera��o de viola��es de seguran�a e corre��o de falhas
do sistema sejam cuidadosa e formalmente controladas; conv�m que os procedimentos
assegurem que:
1)
apenas funcion�rios explicitamente identificados e autorizados estejam liberados
para acessar sistemas e dados em produ��o (ver 6.2 para acesso externo);
2)
todas as a��es de emerg�ncia sejam documentadas em detalhe;
3)
as a��es de emerg�ncia sejam relatadas para a dire��o e analisadas criticamente de
maneira ordenada;
4)
a integridade dos sistemas do neg�cio e seus controles sejam validados na maior
brevidade.
Conv�m que os objetivos da gest�o de incidentes de seguran�a da informa��o estejam

em concord�ncia com a dire��o e que seja assegurado que os respons�veis pela gest�o
de incidentes de seguran�a da informa��o entendem as prioridades da organiza��o no
manuseio de incidentes de seguran�a da informa��o.
Informa��es adicionais Os incidentes de seguran�a da informa��o podem transcender
fronteiras organizacionais e nacionais. Para responder a estes incidentes, cada vez
mais h� a necessidade de resposta coordenada e troca de informa��es sobre eles com
organiza��es externas, quando apropriado.
13.2.2 Aprendendo com os incidentes de seguran�a da informa��o

Controle Conv�m que sejam estabelecidos mecanismos para permitir que tipos,
quantidades e custos dos incidentes de seguran�a da informa��o sejam quantificados
e monitorados.
Diretrizes para implementa��o Conv�m que a informa��o resultante da an�lise de
incidentes de seguran�a da informa��o seja usada para identificar incidentes
recorrentes ou de alto impacto.
Informa��es adicionais A an�lise de incidentes de seguran�a da informa��o pode
indicar a necessidade de melhorias ou controles
adicionais para limitar a freq��ncia, danos e custos de ocorr�ncias futuras ou para

ser levada em conta quando for realizado o processo de an�lise cr�tica da pol�tica
de seguran�a da informa��o (ver 5.1.2).
13.2.3 Coleta de evid�ncias

Controle Nos casos em que uma a��o de acompanhamento contra uma pessoa ou
organiza��o, ap�s um incidente de seguran�a da informa��o, envolver uma a��o legal
(civil ou criminal), conv�m que evid�ncias sejam coletadas, armazenadas e
apresentadas em conformidade com as normas de armazenamento de evid�ncias da
jurisdi��o(�es) pertinente(s).
Diretrizes para implementa��o Conv�m que procedimentos internos sejam elaborados e
respeitados para as atividades de coleta e apresenta��o de evid�ncias com o
prop�sito de a��o disciplinar movida em uma organiza��o.
Em geral, as normas para evid�ncias abrangem:
a)
admissibilidade da evid�ncia: se a evid�ncia pode ser ou n�o utilizada na corte;
b)
import�ncia da evid�ncia: qualidade e inteireza da evid�ncia.
Para obter a admissibilidade da evid�ncia, conv�m que a organiza��o assegure que

seus sistemas de informa��o estejam de acordo com qualquer norma ou c�digo de
pr�tica publicado para produ��o de evid�ncia admiss�vel.
Conv�m que o valor da evid�ncia esteja de acordo com algum requisito aplic�vel.
Para obter o valor da evid�ncia, conv�m que a qualidade e a inteireza dos controles
usados para proteger as evid�ncias de forma correta e consistente (ou seja, o
processo de controle de evid�ncias) durante todo o per�odo de armazenamento e
processamento da evid�ncia sejam demonstradas por uma trilha forte de evid�ncia. Em
geral, essa trilha forte de evid�ncia pode ser estabelecida sob as seguintes
condi��es:
a)
para documentos em papel: o original � mantido de forma segura, com um registro da
pessoa que o encontrou, do local e data em que foi encontrado e quem testemunhou a
descoberta; conv�m que qualquer investiga��o assegure que os originais n�o foram
adulterados;
b) para informa��o em m�dia eletr�nica: conv�m que imagens espelho ou copias

(dependendo de requisitos aplic�veis) de quaisquer m�dias remov�veis, discos
r�gidos ou em mem�rias sejamprovidenciadas para assegurar disponibilidade; conv�m
que o registro de todas as a��es tomadas durante o processo de c�pia seja guardado
e que o processo seja testemunhado; conv�m que a m�dia original que cont�m a
informa��o e o registro (ou, caso isso n�o seja poss�vel, pelo menos uma imagem
espelho ou c�pia) seja mantido de forma segura e intoc�vel.
Conv�m que qualquer trabalho forense seja somente realizado em copias do material
de evid�ncia. Conv�m que a integridade de todo material de evid�ncia seja
preservada. Conv�m que o processo de c�pia de todo material de evid�ncia seja
supervisionado por pessoas confi�veis e que as informa��es sobre a data,local,
pessoas, ferramentas e programas envolvidos no processo de c�pia sejam registradas.
Informa��es adicionais Quando um evento de seguran�a da informa��o � detectado,

pode n�o ser �bvio que ele resultar� num
As evid�ncias podem ultrapassar limites organizacionais e/ou de jurisdi��es. Nesses

casos, conv�m assegurar que a organiza��o seja devidamente autorizada para coletar
as informa��es requeridas como evid�ncias. Conv�m que os requisitos de diferentes

jurisdi��es sejam tamb�m considerados para maximizar as possibilidades de admiss�o
da evid�ncia em todas as jurisdi��es relevantes.
14 Gest�o da continuidade do neg�cio

14.1 Aspectos da gest�o da continuidade do neg�cio, relativos � seguran�a da
informa��o
Objetivo: N�o permitir a interrup��o das atividades do neg�cio e proteger os
processos cr�ticos contra efeitos de falhas ou desastres significativos, e
assegurar a sua retomada em tempo h�bil, se for o caso.
Conv�m que o processo de gest�o da continuidade do neg�cio seja implementado para
minimizar um impacto sobre a organiza��o e recuperar perdas de ativos da informa��o
(que pode ser resultante de, por exemplo, desastres naturais, acidentes, falhas de
equipamentos e a��es intencionais) a um n�vel aceit�vel atrav�s da combina��o de
a��es de preven��o e recupera��o. Conv�m que este processo identifique os processos
cr�ticos e integre a gest�o da seguran�a da informa��o com as exig�ncias da gest�o
da continuidade do neg�cio com outros requisitos de continuidade relativo a tais
aspectos como opera��es, funcion�rios, materiais, transporte e instala��es.
Conv�m que as conseq��ncias de desastres, falhas de seguran�a, perda de servi�os e
disponibilidade de servi�os estejam sujeitas a uma an�lise de impacto nos neg�cios.
Conv�m que os planos de continuidade do neg�cio sejam desenvolvidos e implementados
para assegurar que as opera��es essenciais sejam recuperadas dentro da requerida
escala de tempo. Conv�m que a seguran�a da informa��o seja uma parte integrante do
processo global de continuidade de neg�cios e a gest�o de outros processos dentro
da organiza��o.
Conv�m que a gest�o da continuidade do negocio
inclua controles para identificar e reduzir riscos, em complementa��o ao processo
de an�lise/avalia��o de riscos global, limite as conseq��ncias aos danos do
incidente e garanta que as informa��es requeridas para os processos do neg�cio
estejam prontamente dispon�veis.
14.1.1 Incluindo seguran�a da informa��o no processo de gest�o da continuidade de
neg�cio
Controle Conv�m que um processo de gest�o seja desenvolvido e mantido para
assegurar a continuidade do neg�cio por toda a organiza��o e que contemple os
requisitos de seguran�a da informa��o necess�rios para a continuidade do neg�cio da
organiza��o.
Diretrizes para implementa��o Conv�m que este processo agregue os seguintes
elementos-chave da gest�o da continuidade do neg�cio:
a)
entendimento dos riscos a que a organiza��o est� exposta, no que diz respeito � sua
probabilidade e impacto no tempo, incluindo a identifica��o e prioriza��o dos
processos cr�ticos do neg�cio (ver 14.1e.2);
b)
identifica��o de todos os ativos envolvidos em processos cr�ticos de neg�cio (ver 7
.1 .1 );
c)
entendimento do impacto que incidentes de seguran�a da informa��o provavelmente
ter�o sobre os neg�cios (� importante que as solu��es encontradas possam tratar
tanto os pequenos incidentes, como os mais s�rios, que poderiam colocar em risco a
continuidade da organiza��o) e estabelecimento dos objetivos do neg�cio dos
recursos de processamento da informa��o;
d} considera��o de contrata��o de seguro compat�vel que possa ser parte integrante

do processo de continuidade do neg�cio, bem como a parte de gest�o de risco
operacional;
e)
identifica��o e considera��o da implementa��o de controles preventivos e de
mitiga��o;
f)
identifica��o de recursos financeiros, organizacionais, t�cnicos e ambientais
suficientes para identificar os requisitos de seguran�a da informa��o;
g)
garantia da seguran�a de pessoal e prote��o de recursos de processamento das
informa��es e bens organizacionais;
h)
detalhamento e documenta��o de planos de continuidade de neg�cio que contemplem os
requisitos de seguran�a da informa��o alinhados com a estrat�gia da continuidade do
neg�cio estabelecida (ver 14.1.3);
i)
testes e atualiza��es regulares dos planos e processos implantados (ver 14.1.5);
j)
garantia de que a gest�o da continuidade do neg�cio esteja incorporada aos
processos e estrutura da organiza��o. Conv�m que a responsabilidade pela
coordena��o do processo de gest�o de continuidade de neg�cios seja atribu�da a um
n�vel adequado dentro da organiza��o (ver 6.1.1 ).
14.1.2 Continuidade de neg�cios e an�lise/avalia��o de riscos

Controle Conv�m identificar os eventos que podem causar interrup��es aos processos
de negocio,
junto a probabilidade e impacto de tais interrup��es e as conseq��ncias para a
seguran�a de informa��o.
Diretrizes para implementa��o Conv�m que os aspectos da continuidade do neg�cios
relativos � seguran�a da informa��o sejam baseados na identifica��o de eventos (ou
sucess�o de eventos) que possam causar interrup��es aos processos de neg�cios das
organiza��es, por exemplo, falha de equipamento, erros humanos, furto ou roubo,
inc�ndio, desastres naturais e atos terroristas. Em seguida, conv�m que seja feita
uma an�lise/avalia��o de riscos para a determina��o da probabilidade e impacto de
tais interrup��es, tanto em termos de escala de dano quanto em rela��o ao per�odo
de recupera��o.
Conv�m que as an�lises/avalia��es de riscos da continuidade do negocio
sejam realizadas com total envolvimento dos respons�veis pelos processos e recursos
do neg�cio. Conv�m que a an�lise/avalia��o considere todos os processos do neg�cio
e n�o esteja limitada aos recursos de processamento das informa��es, mas inclua os
resultados espec�ficos da seguran�a da informa��o. � importante a jun��o de
aspectos de riscos diferentes, para obter um quadro completo dos requisitos de
continuidade de neg�cios da organiza��o. Conv�m que a an�lise/avalia��o
identifique, quantifique e priorize os crit�rios baseados nos riscos e os objetivos
pertinentes � organiza��o, incluindo recursos cr�ticos, impactos de interrup��o,
possibilidade de aus�ncia de tempo e prioridades de recupera��o.
Em fun��o dos resultados da an�lise/avalia��o de riscos, conv�m que um plano
estrat�gico seja desenvolvido para se determinar a abordagem mais abrangente a ser
adotada para a continuidade dos neg�cios. Uma vez criada a estrat�gia, conv�m que
ela seja validada pela dire��o e que um plano seja elaborado e validado para
implementar tal estrat�gia.
14.1.3 Desenvolvimento e implementa��o de planos de continuidade relativos �
Controle
Conv�m que os planos sejam desenvolvidos e implementados para a manuten��o ou
recupera��o das opera��es e para assegurar a disponibilidade da informa��o no n�vel
requerido e na escala de tempo requerida, ap�s a ocorr�ncia de interrup��es ou
falhas dos processos cr�ticos do neg�cio.
Conv�m que o processo de planejamento da continuidade de neg�cios considere os
seguintes itens:
a) identifica��o e concord�ncia de todas as responsabilidades e procedimentos da
continuidade do neg�cio;
b)
identifica��o da perda aceit�vel de informa��es e servi�os;
c)
implementa��o dos procedimentos que permitam a recupera��o e restaura��o das
opera��es do neg�cio e da disponibilidade da informa��o nos prazos necess�rios;
aten��o especial precisa ser dada � avalia��o de depend�ncias externas ao neg�cio e
de contratos existentes;
d} procedimentos operacionais que permitam a conclus�o de restaura��o e recupera��o

que estejam pendentes;
e)
documenta��o dos processos e procedimentos acordados;
f)
educa��o adequada de pessoas nos procedimentos e processos definidos, incluindo o
gerenciamento de crise;
g)
teste e atualiza��o dos planos.
Conv�m que o processo de planejamento foque os objetivos requeridos do neg�cio, por

exemplo recupera��o de determinados servi�os espec�ficos para os clientes, em um
per�odo de tempo aceit�vel. Conv�m identificar os servi�os e recursos que facilitam
isso, prevendo a contempla��o de pessoal e recursos em geral, al�m da tecnologia de
informa��o, assim como o procedimento de recupera��o dos recursos de processamento
das informa��es. Tais procedimentos de recupera��o podem incluir procedimentos com
terceiros na forma de um acordo de reciprocidade, ou um contrato de presta��o de
servi�os.
Conv�m que o plano de continuidade do neg�cio trate as vulnerabilidades da
organiza��o, que pode conter informa��es sens�veis e que necessitem de prote��o
adequada. Conv�m que c�pias do plano de continuidade do neg�cio sejam guardadas em
um ambiente remoto, a uma dist�ncia suficiente para escapar de qualquer dano de um
desastre no local principal. Conv�m que o gestor garanta que as c�pias dos planos
de continuidade do neg�cio estejam atualizadas e protegidas no mesmo n�vel de
seguran�a como aplicado no ambiente principal. Conv�m que outros materiais
necess�rios para a execu��o do plano de continuidade do neg�cio tamb�m sejam
armazenados em local remoto.
Conv�m que, se os ambientes alternativos tempor�rios forem usados, o n�vel de
controles de seguran�a implementados nestes locais seja equivalente ao ambiente
principal.
Informa��es adicionais Conv�m que seja destacado que as atividades e os planos de
gerenciamento de crise (ver 1 4.1 .3 f)) possam ser diferentes de gest�o de
continuidade de neg�cios, isto �, uma crise pode acontecer e ser suprida atrav�s
dos procedimentos normais de gest�o.
14.1.4 Estrutura do plano de continuidade do neg�cio

Controle Conv�m que uma estrutura b�sica dos planos de continuidade do neg�cio seja
mantida para assegurar que todos os planos s�o consistentes, para contemplar os
requisitos de seguran�a da informa��o e para identificar prioridades para testes e
manuten��o.
Diretrizes para implementa��oConv�m que cada plano de continuidade do neg�cio
descreva o enfoque para continuidade, por exemplo, o enfoque para assegurar a
disponibilidade e seguran�a do sistema de informa��o ou da informa��o. Conv�m que
cada plano tamb�m especifique o plano de escalonamento e as condi��es para sua
ativa��o, assim como as responsabilidades individuais para execu��o de cada uma das
atividades do plano. Quando novos requisitos s�o identificados, � importante que os
procedimentos de emerg�ncia
relacionados sejam ajustados
de forma apropriada, por exemplo o plano de abandono ou o procedimento de

recupera��o. Conv�m que os procedimentos do programa de gest�o de mudan�a da
organiza��o sejam inclu�dos para assegurar que os assuntos de continuidade de
neg�cios estejam sempre direcionados adequadamente.
Conv�m que cada plano tenha um gestor espec�fico. Conv�m que procedimentos de
emerg�ncia, de recupera��o, manual de planejamento e planos de reativa��o sejam de
responsabilidade dos gestores dos recursos de neg�cios ou dos processos envolvidos.
Conv�m que procedimentos de recupera��o para servi�os t�cnicos alternativos, como
processamento de informa��o e meios de comunica��o, sejam normalmente de
responsabilidade dos provedores de servi�os.
Conv�m que uma estrutura de planejamento para continuidade de neg�cios contemple os
requisitos de seguran�a da informa��o identificados e considere os seguintes itens:
a)
condi��es para ativa��o dos planos, os quais descrevem os processos a serem
seguidos (como se avaliar a situa��o, quem deve ser acionado etc.) antes de cada
plano ser ativado;
b)
procedimentos de emerg�ncia que descrevam as a��es a serem tomadas ap�s a
ocorr�ncia de um incidente que coloque em risco as opera��es do neg�cio;
c) procedimentos de recupera��o que descrevam as a��es necessarias

para a transfer�ncia das atividades essenciais do neg�cio ou os servi�os de infra-
estrutura para localidades alternativas tempor�rias e para a reativa��o dos
processos do neg�cio no prazo necess�rio;
d)
procedimentos operacionais tempor�rios para seguir durante a conclus�o de
recupera��o e restaura��o;
e)
procedimentos de recupera��o que descrevam as a��es a serem adotadas quando do
restabelecimento das opera��es;
f)
uma programa��o de manuten��o que especifique quando e como o plano dever� ser
testado e a forma de se proceder � manuten��o deste plano;
g)
atividades de treinamento, conscientiza��o e educa��o com o prop�sito de criar o
entendimento do processo de continuidade de neg�cios e de assegurar que os
processos continuem a ser efetivo;
h)
designa��o das responsabilidades individuais, descrevendo quem � respons�vel pela
execu��o de que item do plano. Conv�m que suplentes sejam definidos quando
necess�rio;
i)
os ativos e recursos cr�ticos precisam estar aptos a desempenhar os procedimentos
de emerg�ncia, recupera��o e reativa��o.
14.1.5 Testes, manuten��o e reavalia��o dos planos de continuidade do neg�cio

Controle Conv�m que os planos de continuidade do neg�cio sejam testados e
atualizados regularmente, de forma a assegurar sua permanente atualiza��o e
efetividade.
Diretrizes para implementa��o Conv�m que os testes do plano de continuidade do

neg�cio assegurem que todos os membros da equipe de recupera��o e outras pessoas
relevantes estejam conscientes dos planos e de suas responsabilidades para a
continuidade do neg�cio e a seguran�a da informa��o, e conhe�am as suas atividades
quando um plano for acionado.
Conv�m que o planejamento
e a programa��o dos testes do(s) plano(s) de continuidade de neg�cios indiquem como
e quando cada elemento do plano seja testado. Conv�m que os componentes isolados
do(s) plano(s) sejam freq�entemente testados.

Conv�m que v�rias t�cnicas sejam utilizadas, de modo a assegurar a confian�a de que
o(s) plano(s) ir�(�o) operar consistentemente em casos reais. Conv�m que sejam
considerados:
a)
testes de mesa simulando diferentes cen�rios (verbalizando os procedimentos de
recupera��o para diferentes formas de interrup��o);
b)
simula��es (particularmente �til para o treinamento do pessoal nas suas atividades
gerenciais ap�s o incidente);
c)
testes de recupera��o t�cnica (garantindo que os sistemas de informa��o possam ser
efetivamente recuperados);
d)
testes de recupera��o em um local alternativo (executando os processos de neg�cios
em paralelo com a recupera��o das opera��es distantes do local principal);
e)
testes dos recursos, servi�os e instala��es de fornecedores (assegurando que os
servi�os e produtos fornecidos por terceiros atendem aos requisitos contratados);
f)
ensaio geral (testando se a organiza��o, o pessoal, os equipamentos, os recursos e
os processos podem enfrentar interrup��es).
Estas t�cnicas podem ser utilizadas por qualquer organiza��o. Conv�m que elas
reflitam a natureza do plano de recupera��o espec�fico. Conv�m que os resultados
dos testes sejam registrados e a��es tomadas para a melhoria dos planos, onde
necess�rio.
Conv�m que a responsabilidade pelas an�lises cr�ticas peri�dicas de cada parte do
plano seja definida e estabelecida. Conv�m que a identifica��o de mudan�as nas
atividades do neg�cio que ainda n�o tenham sido contempladas nos planos de
continuidade de neg�cio seja seguida por uma apropriada atualiza��o do plano.
Conv�m que um controle formal de mudan�as assegure que os planos atualizados s�o
distribu�dos e refor�ados por an�lises cr�ticas peri�dicas do plano como um todo.
Os exemplos de mudan�as onde conv�m que a atualiza��o dos planos de continuidade do
neg�cio seja considerada s�o a aquisi��o de novos equipamentos, atualiza��o de
sistemas e mudan�as de:
a)
pessoal; endere�os ou n�meros telef�nicos;
c)
estrat�gia de neg�cio;
d)
localiza��o, instala��es e recursos;
e)
legisla��o;
f)
prestadores de servi�os, fornecedores e clientes-chave;
g)
processos (inclus�es e exclus�es);
h)
risco (operacional e financeiro).
15 Conformidade
15.1 Conformidade com requisitos legais
Objetivo: Evitar viola��es de quaisquer obriga��es legais, estatut�rias,
regulamentares ou contratuais, e de quaisquer requisitos de seguran�a da
informa��o.
O projeto, a opera��o, o uso e a gest�o de sistemas de informa��o podem estar
sujeitos a requisitos de seguran�a contratuais, regulamentares ou estatut�rios.
Conv�m que consultoria em requisitos legais espec�ficos seja procurada em
organiza��es de consultoria jur�dica ou em profissionais liberais, adequadamente
qualificados nos aspectos legais. Os requisitos legislativos variam de pa�s para
pa�s e tamb�m para a informa��o criada em um pa�s e transmitida para outro (isto �,
fluxo de dados transfronteira).
15.1.1 Identifica��o da legisla��o aplic�vel
Controle Conv�m que todos os requisitos estatut�rios, regulamentares e contratuais
pertinentes, e o enfoque da organiza��o para atender a esses requisitos, sejam
explicitamente definidos, documentados e mantidos atualizados para cada sistema de
informa��o da organiza��o
Diretrizes para implementa��o Conv�m que os controles espec�ficos e as
responsabilidades individuais para atender a estes requisitos sejam definidos e
documentados de forma similar.
15.1.2 Direitos de propriedade intelectual

Controle Conv�m que procedimentos apropriados sejam implementados para garantir a
conformidade com os requisitos legislativos, regulamentares e contratuais no uso de
material, em rela��o aos quais pode haver direitos de propriedade intelectual e
sobre o uso de produtos de software propriet�rios.
Diretrizes para implementa��o Conv�m que as seguintes diretrizes sejam consideradas
para proteger qualquer material que possa ser considerado como propriedade
intelectual:
a)
divulgar uma pol�tica de conformidade com os direitos de propriedade intelectual
que defina o uso legal de produtos de software e de informa��o;
b)
adquirir software somente por meio de fontes conhecidas e de reputa��o, para
assegurar que o direito autoral n�o est� sendo violado;
c)
manter conscientiza��o das pol�ticas para proteger os direitos de propriedade
intelectual e notificar a inten��o de tomar a��es disciplinares contra pessoas que
violarem essas pol�ticas;
manter de forma adequada os registros de ativos e identificar todos os ativos com

requisitos para proteger os direitos de propriedade intelectual;
e)
manter provas e evid�ncias da propriedade de licen�as, discos-mestre, manuais etc.;
f)
implementar controles para assegurar que o n�mero m�ximo de usu�rios permitidos n�o
excede o n�mero de licen�as adquiridas;
g) conduzir verifica��es para que somente produtos de software autorizados

e licenciados sejam
instalados;
estabelecer uma pol�tica para a manuten��o das condi��es adequadas de licen�as;
i)
estabelecer uma pol�tica para disposi��o ou transfer�ncia de software para outros;
j)
utilizar ferramentas de auditoria apropriadas;
k)
cumprir termos e condi��es para software e informa��o obtidos a partir de redes
p�blicas;
1)
n�o duplicar, converter para outro formato ou extrair de registros comerciais
(filme, �udio) outros que n�o os permitidos pela lei de direito autoral;
m)
n�o copiar, no todo ou em partes, livros, artigos, relat�rios ou outros documentos,
al�m daqueles permitidos pela lei de direito autoral.
Informa��es adicionais Direitos de propriedade intelectual incluem direitos de

software ou documento, direitos de projeto, marcas, patentes e licen�as de c�digos-
fonte.
Produtos de software propriet�rios s�o normalmente fornecidos sob um contrato de
licenciamento que especifica os termos e condi��es da licen�a, por exemplo,
restringe o uso dos produtos em m�quinas especificadas ou limita a c�pia apenas
para cria��o de uma c�pia de seguran�a. A quest�o relativa aos direitos de
propriedade intelectual de software desenvolvido pela organiza��o precisa ser
esclarecida com as pessoas.
Legisla��o, regulamenta��o e requisitos contratuais podem estabelecer restri��es
para c�pia de material que tenha direitos autorais. Em particular, pode ser
requerido que somente material que seja desenvolvido pela organiza��o ou que foi
licenciado ou fornecido pelos desenvolvedores para a organiza��o seja utilizado.
Viola��es aos direitos de propriedade intelectual podem conduzir a a��es legais,
que podem envolver processos criminais.
15.1.3 Prote��o de registros organizacionais

Controle Conv�m que registros importantes sejam protegidos contra perda, destrui��o
e falsifica��o, de acordo com os requisitos regulamentares, estatut�rios,
contratuais e do neg�cio.
Diretrizes para implementa��o Conv�m que registros sejam categorizados em tipos de
registros, tais como registros cont�beis, registros de base de dados, registros de
transa��es, registros de auditoria e procedimentos operacionais, cada qual com
detalhes do per�odo de reten��o e do tipo de m�dia de armazenamento, como, por
exemplo, papel, microficha, meio magn�tico ou �tico. Conv�m que quaisquer chaves de
criptografia relacionadas com arquivos cifrados ou assinaturas digitais (ver 12.3)
sejam tamb�m armazenadas para permitir a decifra��o de registros pelo per�odo de
tempo que os registros s�o mantidos.
Conv�m que cuidados sejam tomados a respeito da possibilidade de deteriora��o das
m�dias usadas no armazenamento dos registros. Conv�m que os procedimentos de
armazenamento e manuseio sejam
implementados de acordo com as recomenda��es
dos fabricantes. Conv�m que, para o armazenamento de longo tempo, o uso de papel e
microficha seja considerado.
Onde m�dias eletr�nicas armazenadas forem escolhidas, conv�m que sejam
inclu�dos procedimentos para assegurar a capacidade de acesso aos dados (leitura
tanto na m�dia como no formato utilizado) durante o per�odo de reten��o, para
proteger contra perdas ocasionadas pelas futuras mudan�as na tecnologia.
Conv�m que sistemas de armazenamento de dados sejam
escolhidos de modo que o dado solicitado possa ser recuperado de forma aceit�vel,
dependendo dos requisitos a serem atendidos.
Conv�m que o sistema de armazenamento e manuseio assegure a clara identifica��o dos

registros e dos seus per�odos de reten��o, conforme definido pela legisla��o
nacional ou regional ou por regulamenta��es, se aplic�vel. Conv�m que seja
permitida a destrui��o apropriada dos registros ap�s esse per�odo, caso n�o sejam
mais necess�rios � organiza��o.
Para atender aos objetivos de prote��o dos registros, conv�m que os seguintes
passos sejam tomados dentro da organiza��o:
a)
emitir diretrizes gerais para reten��o, armazenamento, tratamento e disposi��o de
registros e informa��es;
b)
elaborar uma programa��o para reten��o, identificando os registros essenciais e o
per�odo que cada um deve ser mantido;
c)
manter um invent�rio das fontes de informa��es-chave;
d)
implementar controles apropriados para proteger registros e informa��es contra
perda, destrui��o e falsifica��o.
Informa��es adicionais Alguns registros podem precisar ser retidos de forma segura
para atender a requisitos estatut�rios, contratuais ou regulamentares, assim como
para apoiar as atividades essenciais do neg�cio. Exemplo disso s�o os registros que
podem ser exigidos como evid�ncia de que uma organiza��o opera de acordo com as
regras estatut�rias e regulamentares, para assegurar a defesa adequada contra
potenciais processos civis ou criminais ou confirmar a situa��o financeira de uma
organiza��o perante os acionistas, partes externas e auditores. O per�odo de tempo
e o conte�do da informa��o retida podem estar definidos atrav�s de leis ou
regulamenta��es nacionais.
Outras informa��es sobre como gerenciar os registros organizacionais, podem ser
encontradas na ISO 15489-1 .
15.1.4 Prote��o de dados e privacidade de informa��es pessoais

Controle Conv�m que a privacidade e a prote��o de dados sejam asseguradas conforme
exigido nas legisla��es, regulamenta��es e, se aplic�vel, nas cl�usulas contratuais
pertinentes.
Diretrizes para implementa��o Conv�m que uma pol�tica de privacidade e prote��o de
dados da organiza��o seja desenvolvida e implementada. Conv�m que esta pol�tica
seja comunicada a todas as pessoas envolvidas no processamento de informa��es
pessoais.
A conformidade com esta pol�tica e todas as legisla��es e regulamenta��es
relevantes de prote��o de dados necessita de uma estrutura de gest�o e de controles
apropriados. Geralmente isto � melhor alcan�ado atrav�s de uma pessoa respons�vel,
como, por exemplo, um gestor de prote��o de dados, que deve fornecer orienta��es
gerais para gerentes, usu�rios e provedores de servi�o sobre as responsabilidades
de cada um e sobre quais procedimentos espec�ficos recomenda-se seguir. Conv�m que
a responsabilidade pelo tratamento das informa��es pessoais e a garantia da
conscientiza��o dos princ�pios de prote��o dos dados sejam tratadas de acordo com
as legisla��es e regulamenta��es relevantes. Conv�m que medidas organizacionais e
t�cnicas apropriadas para proteger as informa��es pessoais sejam implementadas.
Informa��es adicionais Alguns pa�ses t�m promulgado leis que estabelecem controles
na coleta, no processamento e na transmiss�o de dados pessoais (geralmente
informa��o sobre indiv�duos vivos que podem ser identificados a partir de tais
informa��es). Dependendo da respectiva legisla��o nacional, tais controles podem
impor responsabilidades sobre aqueles que coletam, processam e disseminam
informa��o pessoal, e podem restringir a capacidade de transfer�ncia desses dados
para
outros pa�ses.
15.1.5 Preven��o de mau uso de recursos de processamento da informa��o

Controle Conv�mque os usu�rios sejam dissuadidos de usar os recursos de
processamento da informa��o para prop�sitos n�o autorizados.
Diretrizes para implementa��o: Conv�m que a dire��o aprove o uso de recursos de
processamento da informa��o. Conv�m que qualquer uso destes recursos para
prop�sitos n�o relacionados ao neg�cio ou n�o autorizados, sem a aprova��o da
dire��o (ver 6.1.4), ou para quaisquer prop�sitos n�o autorizados, seja considerado
como uso impr�prio desses recursos. Se qualquer atividade n�o autorizada for
identificada por processo de monitora��o ou outros meios, conv�m que esta atividade
seja levada ao conhecimento do gestor respons�vel para que sejam aplicadas as a��es
disciplinares e/ou legais pertinentes.
Conv�m que se busque uma assessoria legal antes da implementa��o dos procedimentos
de monitora��o.
Conv�m que todos os usu�rios estejam conscientes do escopo preciso de suas
permiss�es de acesso e da monitora��o realizada para detectar o uso n�o autorizado.
Isto pode ser alcan�ado pelo registro das autoriza��es dos usu�rios por escrito,
conv�m que a c�pia seja assinada pelo usu�rio e armazenada de forma segura pela
organiza��o. Conv�m que os funcion�rios de uma organiza��o, fornecedores e
terceiros sejam informados de que nenhum acesso � permitido com exce��o daqueles
que foram autorizados.
No momento da conex�o inicial, conv�m que seja apresentada uma mensagem de
advert�ncia para indicar que o recurso de processamento da informa��o que est�
sendo usado � de propriedade da organiza��o e que n�o s�o permitidos acessos n�o
autorizados. O usu�rio tem que confirmar e reagir adequadamente � mensagem na tela
para continuar com o processo de conex�o (ver 11.5.1 ).
Informa��es adicionais Os recursos de processamento da informa��o de uma
organiza��o s�o destinados b�sica ou exclusivamente para atender aos prop�sitos do
neg�cio.
Ferramentas do tipo detec��o de intrusos, inspe��o de conte�do e outras formas de
monitora��o podem ajudar a prevenir e detectar o mau uso dos recursos de
Muitos pa�ses t�m legisla��o para proteger contra o mau uso do computador. Pode ser
crime usar um computador para prop�sitos n�o autorizados.
A legalidade do processo de monitora��o do uso do computador varia de pa�s para
pa�s e pode requerer que a dire��o avise a todos os usu�rios dessa monitora��o e/ou
que concordem formalmente com este processo. Quando o sistema estiver sendo usado
para acesso p�blico (por exemplo, um servidor p�blico web) e sujeito a uma
monitora��o de seguran�a, conv�m que uma mensagem seja exibida na tela informando
deste processo.
15.1.6 Regulamenta��o de controles de criptografia

Controle Conv�m que controles de criptografia sejam
usados em conformidade com todas as leis, acordos e regulamenta��es pertinentes.
Diretrizes para implementa��o Conv�m que os seguintes itens sejam considerados para
conformidade com leis, acordos e regulamenta��es pertinentes:
a) restri��es � importa��o e/ou exporta��o de hardware e software de computador
para execu��o de
ter fun��es criptogr�ficas embutidas;
c)
restri��es no uso de criptografia;
d)
m�todos mandat�rios ou discricion�rios de acesso pelas autoridades dos pa�ses �
informa��o cifrada por hardware ou software para fornecer confidencialidade ao
conte�do.
Conv�m que assessoria jur�dica seja obtida para garantir a conformidade com as
legisla��es e leis nacionais vigentes. Tamb�m conv�m que seja obtida assessoria
jur�dica antes de se transferirem informa��es cifradas ou controles de criptografia
para outros pa�ses.
15.2 Conformidade com normas e pol�ticas de seguran�a da informa��o e conformidade

t�cnica
Objetivo: Garantir conformidade dos sistemas com as pol�ticas e normas
organizacionais de seguran�a da informa��o.
Conv�m que a seguran�a dos sistemas de informa��o seja analisada criticamente a
intervalos regulares.
Conv�m que tais an�lises cr�ticas sejam executadas com base nas pol�ticas de
seguran�a da informa��o apropriadas e que as plataformas t�cnicas e sistemas de
informa��o sejam auditados em conformidade com as normas de seguran�a da informa��o
implementadas pertinentes e com os controles de seguran�a documentados.
15.2.1 Conformidade com as pol�ticas e normas de seguran�a da informa��o
Controle Conv�m que gestores garantam que todos os procedimentos de seguran�a da
informa��o dentro da sua �rea de responsabilidade est�o sendo executados
corretamente para atender � conformidade com as normas e pol�ticas de seguran�a da
informa��o.
Diretrizes para implementa��o Conv�m que os gestores analisem criticamente, a
intervalos regulares, a conformidade do processamento da informa��o dentro da sua
�rea de responsabilidade com as pol�ticas de seguran�a da informa��o, normas e
quaisquer outros requisitos de seguran�a.
Se qualquer n�o-conformidade for encontrada como um resultado da an�lise cr�tica,
conv�m que os gestores:
a)
determinem as causas da n�o-conformidade;
b)
avaliem a necessidade de a��es para assegurar que a n�o-conformidade n�o se repita;
c)
determinem e implementem a��o corretiva apropriada;
d)
analisem criticamente a a��o corretiva tomada.
Conv�m que os resultados das an�lises

cr�ticas e das a��es corretivas
realizadas pelos gestores sejam registrados e que esses registros sejam mantidos.
Conv�m que os gestores relatem os resultados para as pessoas que est�o realizando a
an�lise cr�tica independente (ver 6.1.8), quando a an�lise cr�tica independente for
realizada na �rea de sua responsabilidade.
Informa��es adicionais A monitora��o operacional de sistemas em uso � apresentada
em 1 O .1 O.
15.2.2 Verifica��o da conformidade t�cnica

Controle Conv�mque sistemas de informa��o sejam periodicamente verificados em sua
conformidade com as normas de seguran�a da informa��o implementadas.
Diretrizes para implementa��o Conv�m que a verifica��o de conformidade t�cnica seja
executada manualmente (auxiliada por ferramentas de software apropriadas, se
necess�rio) por um engenheiro de sistemas experiente, e/ou com a assist�ncia de
ferramentas automatizadas que gerem relat�rio t�cnico para interpreta��o
subseq�ente por um t�cnico especialista.
Se o teste de invas�o ou avalia��es de vulnerabilidades forem usados, conv�m que
sejam tomadas precau��es, uma vez que tais atividades podem conduzir a um
comprometimento da seguran�a do sistema. Conv�m que tais testes sejam planejados,
documentados e repetidos.
Conv�m que qualquer verifica��o de conformidade t�cnica somente seja executada por
pessoas autorizadas e competentes, ou sob a supervis�o de tais pessoas.
Informa��es adicionais A verifica��o da conformidade t�cnica envolve a an�lise dos

sistemas operacionais para garantir que controles de hardware e software foram
corretamente implementados. Este tipo de verifica��o de conformidade requer a
assist�ncia de t�cnicos especializados.
A verifica��o de conformidade tamb�m engloba, por exemplo, testes de invas�o e
avalia��es de vulnerabilidades, que podem ser executados por especialistas
independentes contratados especificamente para este fim. Isto pode ser �til na
detec��o de vulnerabilidades do sistema e na verifica��o do quanto os controles s�o
eficientes na preven��o de acessos n�o autorizados devido a estas vulnerabilidades.
Teste de invas�o e avalia��o de vulnerabilidades fornece um snapshot de um sistema

em um est�gioespec�fico para um tempo espec�fico. O snapshot est� limitado para
aquelas partes do sistema realmente testadas durante a etapa da invas�o. O teste de
invas�o e as avalia��es de vulnerabilidades n�o s�o um substituto da
an�lise/avalia��o de riscos.
15.3 Considera��es quanto � auditoria de sistemas de informa��o
Objetivo: Maximizar a efic�cia e minimizar a interfer�ncia no processo de auditoria

dos sistemas de informa��o.
Conv�m que existam controles para a prote��o dos sistemas operacionais e
ferramentas de auditoria durante as auditorias de sistema de informa��o.
Prote��o tamb�m � necess�ria para proteger a integridade e prevenir o uso indevido
das ferramentas de auditoria.
15.3.1 Controles de auditoria de sistemas de informa��o
Controle
Diretrizes para implementa��o Conv�m que as seguintes diretrizes sejam observadas:
a)
requisitos de auditoria sejam acordados com o n�vel apropriado da administra��o;
b) escopo da verifica��o seja acordado e controlado;
c)
a verifica��o esteja limitada ao acesso somente para leitura de software e dados;
d)
outros acessos diferentes de apenas leitura sejam permitidos somente atrav�s de
c�pias isoladas dos arquivos do sistema, e sejam apagados ao final da auditoria, ou
dada prote��o apropriada quando existir uma obriga��o para guardar tais arquivos
como requisitos da documenta��o da auditoria;
e)
recursos para execu��o da verifica��o sejam identificados explicitamente e tornados
dispon�veis;
f)
requisitos para processamento adicional ou especial sejam identificados e
acordados;
g)
todo acesso seja monitorado e registrado de forma a produzir uma trilha de
refer�ncia; conv�m que o uso de trilhas de refer�ncia (time stamped) seja
considerado para os sistemas ou dados cr�ticos;
h)
todos os procedimentos, requisitos e responsabilidades sejam documentados;
i)
as pessoas que executem a auditoria sejam independentes das atividades auditadas.
15.3.2 Prote��o de ferramentas de auditoria de sistemas de informa��o
Controle Conv�m que o acesso �s ferramentas de auditoria de sistema de informa��o
seja protegido, para prevenir qualquer possibilidade de uso impr�prio ou
comprometimento.
Diretrizes para implementa��o Conv�m que acessos �s ferramentas de auditoria de
sistemas de informa��o, por exemplo, software ou arquivos de dados, sejam separados
de sistemas em desenvolvimento e em opera��o e n�o sejam mantidos em fitas de
biblioteca ou �reas de usu�rios, a menos que seja dado um n�vel apropriado de
prote��o adicional.
Informa��es adicionais Quando terceiros est�o envolvidos em uma auditoria, existe
um risco de mau uso de ferramentas de auditoria por esses terceiros e da informa��o
que est� sendo acessada por este terceiro. Controles, tais como em 6.2.1 (para
avaliar os riscos) e 9.1 .2 (para restringir o acesso f�sico), podem ser
considerados para contemplar este risco, e conv�m que quaisquer conseq��ncias, tais
como trocar imediatamente as senhas reveladas para os auditores, sejam tomadas.
Bibliografia
ABNT NBR ISO 10007:2005 -Sistemas de gest�o da qualidade -Diretrizes para a gest�o
de configura��o ABNT NBR ISO 19011 :2002 -Diretrizes para auditorias de sistema de
gest�o da qualidade e/ou ambiental ABNT NBR ISO/IEC 12207:1998a-Tecnologia de
informa��o -Processos de ciclo de vida de software ABNT ISO/IEC Guia 2: 1998
-Normaliza��o e atividades relacionadas -Vocabul�rio geral ABNT ISO/IEC Guia
73a:2005 -Gest�o de riscos -Vocabul�rio -Recomenda��es para uso em normas ISO
15489-1 :2001 -lnformation and documentation -Records management -Part 1: General
ISO/IEC 9796-2:2002 -lnformation technology -Security techniques -Digital signature
schemes giving
message recovery -Part 2: lnteger factorization based mechanisms
ISO/IEC 9796-3a:2000 -lnformation technology -Security techniques -Digital
signature schemes giving message recovery -Part 3: Discrete logarithm based
mechanisms ISO/IEC 11770-1a:1996 -lnformation technology -Security techniques -Key
management -
Part 1: Framework ISO/IEC 13335-1 :2004 -lnformation technology -Security
techniques -Management of information and
communications technology security -Part 1: Concepts and models for information and
communications technology security management ISO/IEC 13888-1: 1997 -lnformation
technologya-Security techniques -Non-repudiation -Part 1: General ISO/IEC
14516:2002 -lnformation technologya-Security techniques -Guidelines for the use and
management
of Trusted Third Party services
ISO/IEC 14888-1:1998 -lnformation technology -Security techniques -Digital
signatures with appendix -Part 1 : General ISO/IEC 15408-1:1999 -lnformation
technology -Security techniques -Evaluation Criteria for IT security -
Part 1: lntroduction and general model
ISO/IEC 18028-4 -lnformation technology -Security techniques -IT Network security
-Part 4: Securing remote access ISO/IEC TR 13a3a35-3a:1998 -lnformation technology
-Guidelines for the Management of IT Security -
Part 3: Techniques for the management of IT Security ISO/IEC TR 18044 -lnformation

technologya-Security techniques -lnformation security incident IEEE P1363-2000:
Standard Specifications for Public-Key Cryptography OECD Guidelines for the
Security of lnformation Systems and Networks: 'Towards a Culture of Security', 2002
OECD Guidelines for Cryptography Policy, 1997
�ndice
A
aceita��o de sistemas 10.3a.2
acesso do p�blico, �reas de entrega e de carregamento 9.1.6
acordos de confidencialidade 6.1.5
acordos para a troca de informa��es 10.8.2
amea�a 2.16
an�lise/avalia��o de riscos 2.11, 4.1
an�lise cr�tica da pol�tica de seguran�a da informa��o 5.1.2
an�lise cr�tica das aplica��es ap�s mudan�as no sistema operacional 12.5.2
an�lise cr�tica dos direitos de acesso de usu�rio 11.2.4
an�lise cr�tica independente de seguran�a da informa��o 6.1.8
an�lise de riscos 2.1 O
an�lise e especifica��o dos requisitos de seguran�a 12.1.1
antes da contrata��o 8.1
aprendendo com os incidentes de seguran�a da informa��o 13.2.2
aquisi��o, desenvolvimento e manuten��o de sistemas de informa��o 12
�reas de entrega e de carregamento 9.1.6
�reas seguras 9.1
aspectos da gest�o da continuidade do neg�cio, relativos � seguran�a da informa��o
14.1
ativo 2.1
atribui��o das responsabilidades para a seguran�a da informa��o 6.1.3
autentica��o para conex�o externa do usu�rio 11.4a.2
avalia��o de riscos 2.12
e
classifica��o da informa��o 7 .2
coleta de evid�ncias 13.2.3
com�rcio eletr�nico 10.9.1
comprometimento da dire��o com a seguran�a da informa��o 6.1.1
computa��o e comunica��o m�vel 11. 7 .1
computa��o m�vel e trabalho remoto 11. 7, 11. 7 .2
conformidade 15
conformidade com normas e pol�ticas de seguran�a da informa��o e conformidade
t�cnica 15.2, 15.2.1
conformidade com requisitos legais 15.1
conformidades com as pol�ticas e normas de seguran�a da informa��o 15.2.1
conscientiza��o, educa��o e treinamento em seguran�a da informa��o 8.2.2
considera��es quanto � auditoria de sistemas de informa��o 15.3
contato com autoridades 6.1.6
contato com grupos especiais 6.1. 7
continuidade de neg�cios e an�lise/avalia��o de risco 14.1.2
controle 2.2, 3.2
controles contra c�digos m�veis 10.4a.2
controle de acessos 11
controle de acesso � aplica��o e � informa��o 11.6
controle de acesso � rede 11.4
controle de acesso ao c�digo-fonte de programas 12.4.3
controle de acesso ao sistema operacional 11.5
controles de auditoria de sistemas de informa��o 15.3.1
controle de conex�o de rede 11.4.6
controle de entrada f�sica 9.1.2
controle de processamento interno 12.2.2
controle de roteamento de redes 11 .4a. 7
controle de software operacional 12.4.1 controle de vulnerabilidades t�cnicas
12.6.1 controle do processamento interno 12.2.2 controles contra c�digos maliciosos
10.4.1 controles contra c�digos m�veis 10.4.2 controles criptogr�ficos 12.3
controles de auditoria de sistemas de informa��o 15.3.1 controles de entrada f�sica
9.1.2 controles de redes 10.6.1 coordena��o da seguran�a da informa��o 6.1.2 c�pias
de seguran�a 10.5 c�pias de seguran�a das informa��es 10.5.1
D
descarte de m�dias 10.7.2 desconex�o de terminal por inatividade 11.5.5
desenvolvimento e implementa��o de planos de continuidade relativos � seguran�a da
informa��o 14.1.3 desenvolvimento terceirizado de software 12.5.5 devolu��o de
ativos 8.3.2 direitos de propriedade intelectual 15.1.2 diretriz 2.3 documenta��o
dos procedimentos de opera��o 10.1.1 documento da pol�tica de seguran�a da
informa��o 5.1.1 durante a contrata��o 8.2
E
encerramento de atividades 8.3.1
encerramento ou mudan�a da contrata��o 8.3
entrega de servi�os 10.2.1
equipamento de usu�rio sem monitora��o 11.3.2
estrutura do plano de continuidade do neg�cio 14.e1.4
evento de seguran�a da informa��o 2.6, 13.e1
G
gerenciamento da seguran�a em redes 10.6
gerenciamento das opera��es e comunica��es 1 O
gerenciamento de acesso do usu�rio 11.2
gerenciamento de chaves 12.3.2
gerenciamento de m�dias remov�veis 10.7.1
gerenciamento de mudan�as para servi�os terceirizados 10.2.3
gerenciamento de privil�gios 11.2.2
gerenciamento de senha do usu�rio 11.2.3
gerenciamento de servi�os terceirizados 10.2
gest�o da continuidade do neg�cio 14
gest�o de ativos 7
gest�o de capacidade 10.3.1
gest�o de incidentes de seguran�a da informa��o 13, 13.2
gest�o de mudan�as 1 O. 1.2
gest�o de riscos 2.13
gest�o de vulnerabilidades t�cnicas 12.6
identifica��o da legisla��o vigente 15.1.1

identifica��o de equipamento em redes 11.4.3
identifica��o dos riscos relacionados com partes externas 6.2.1
identifica��o e autentica��o de usu�rio 11 .5.2
identificando a seguran�a da informa��o, quando tratando com os clientes 6.2.2
identificando seguran�a da informa��o nos acordos com terceiros 6.2.3
incidente de seguran�a da informa��o 2.7, 13.2
incluindo seguran�a da informa��o no processo de gest�o da continuidade do neg�cio
14.1.1
informa��es publicamente dispon�veis 10.9.3
infra-estrutura da seguran�a da informa��o 6.1
instala��o e prote��o do equipamento 9.2.1
integridade de mensagens 12.2.3
invent�rio dos ativos 7 .1.1
isolamento de sistemas sens�veis 11.6.2
limita��o de hor�rio de conex�o 11.5.6
M
manuseio de m�dias 10.7
manuten��o dos equipamentos 9.2.4
mensagens eletr�nicas 10.8.4
m�dias em tr�nsito 10.8.3
monitoramento 10.10 monitoramento do uso do sistema 10.10.2
monitoramento e an�lise cr�tica de servi�os terceirizados 10.2.2
N
notifica��o de eventos de seguran�a da informa��o 13.1.1 notifica��o de
fragilidades e eventos de seguran�a da informa��o 13.1, 13.1.2 notificando
fragilidades de seguran�a da informa��o 13.1.a2
o
organizando a seguran�a da informa��o 6
p
pap�is e responsabilidades 8.1.1
partes externas 6.2
per�metro de seguran�a f�sica 9.1.1
planejamento e aceita��o dos sistemas 10.3
pol�tica 2.8
pol�tica de controle de acesso 11.1 .1
pol�tica de mesa limpa e tela limpa 11.3.3
pol�tica de seguran�a da informa��o 5, 5.1
pol�tica de uso dos servi�os de rede 11.4.1
pol�tica e procedimentos para troca de informa��es 10.8.1 pol�tica para o uso de

controles criptogr�ficos 12.3.1 pol�ticas e procedimentos para troca de informa��es
10.8.1 preven��o de mau uso de recursos de processamento da informa��o 15.1.5
principais categorias de seguran�a da informa��o 3.2 procedimentos e
responsabilidades operacionais 10.1, 10.e1.1 procedimentos para controle de
mudan�as 12.5.1 procedimentos para tratamento de informa��o 10.7.3 procedimentos
seguros de entrada no sistema (log-on) 11.5.1 processamento correto nas aplica��es
12.2 processo de autoriza��o para os recursos de processamento da informa��o 6.1e.4
processo disciplinar 8.2.3 propriet�rio dos ativos 7.1e.2 prote��o contra amea�as
externas e do meio ambiente 9.1.4 prote��o contra c�digos maliciosos e c�digos
m�veis 10.4 prote��o das informa��es dos registros (/og) 10.10.3 prote��o de dados
e privacidade de informa��o pessoal 15.1.4 prote��o de ferramentas de auditoria de
sistemas de informa��o 15.3.2 prote��o de registros organizacionais 15.1.3 prote��o
dos dados para teste de sistema 12.4.2 prote��o e configura��o de portas de
diagn�stico remotas 11.4.4
R
recomenda��es para classifica��o 7.2.1
recursos de processamento da informa��o 2.4
registros (/og) de administrador e operador 10.10.4
registros (/og) de falhas 10.10.5
registros de auditoria 10.10.1
regulamenta��o de controles de criptografia 15.1.6
requisitos de neg�cio para controle de acesso 11.1
responsabilidade pelos ativos 7.1
responsabilidades da dire��o 8.2.e1
responsabilidades dos usu�rios 11.3
responsabilidades e procedimentos 13.2.1
restri��o de acesso � informa��o 11.6, 11e.6.1
restri��es sobre mudan�as em pacotes de software 12.5.3
remo��o de propriedade 9.2.7
retirada de direitos de acesso 8.3.3
reutiliza��o e aliena��o segura de equipamentos 9.2.6
risco 2.9
r�tulos e tratamento da informa��o 7.2.2
s
segrega��o de fun��es 10.1.3
segrega��o de redes 11.4.5
seguran�a da documenta��o dos sistemas 10.7.4
seguran�a da informa��o 2.5
seguran�a de equipamentos 9.2
seguran�a de equipamento fora das depend�ncias da organiza��o 9.2.5
seguran�a do cabeamento 9.2.3
seguran�a dos arquivos do sistema 12.4
seguran�a dos servi�os de rede 10.6.2
seguran�a em escrit�rios, salas e instala��es 9.1.3
seguran�a em processos de desenvolvimento e de suporte 12.5
seguran�a f�sica e do ambiente 9 seguran�a em recursos humanos 8 seguran�as de

equipamentos 9.2 sele��o 8.1.2 separa��o dos recursos de desenvolvimento, teste e
de produ��o 10.1.4 servi�os de com�rcio eletr�nico 10.9 sincroniza��o dos rel�gios
10.10.6 sistema de gerenciamento de senha 11.5.3 sistemas de informa��es do neg�cio
10.8.5
T
terceiros 2.15 termos e condi��es de contrata��o 8.1.3 testes, manuten��o e
reavalia��o dos planos de continuidade do neg�cio 14.1.5 trabalho em �reas seguras
9.1.5 trabalho remoto 11a.7.2 transa��es on-line 10.9.2 tratamento de risco 2.14,
4.2 troca de informa��es 10.8
u
uso aceit�vel dos ativos 7.1.3 uso de senhas 11.3a.1 uso de utilit�rios de sistema
11a.5.4 utilidades 9.2.2
valida��o de dados de sa�da 12.2.4 valida��o dos dados de entrada 12.2.1 vazamento
de informa��es 12.5.4 verifica��o da conformidade t�cnica 15.2.2 vulnerabilidades
2.17

Abnt NBR Iso 27002

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Abnt NBR Iso 27002

Enviado por

Direitos autorais:

Formatos disponíveis

NORMA ABNT NBR BRASILEIRA

N�mero de refer�ncia ABNT NBR ISO/IEC 27002:2005 120 p�ginas

ASSOCIA��O NORMA BRASILEIRA ABNT NBR I5O/IEC 17799:2005

Tecnologia da informa��o -T�cnicas de seguran�a �C�digo de pr�tica para a gest�o da

NORMA ABNT NBR BRASILEIRA IS0/IEC

Tecnologia da informa��o-T�cnicas de seguran�a-C�digo de pr�tica para a gest�o da

�ABNT 2005-Todos os direitos reservados

10.4.1 Controles contra c�digos

10.9.3 Informa��es publicamente

Aquisi��o, desenvolvimento e manuten��o de sistemas de

ABNT NBR 1S0/IEC 17799:2005

Patch -corre��o tempor�ria efetuada em um programa; pequena corre��o executada pelo

�ABNT 2005 -Todos os direitos reservados

�ABNT 2005 -Todos os direitos reservados

0.2 Por que a seguran�a da informa��o � necess�ria?

�ABNT 2005 -Todos os direitos reservados

ABNT NBR 1S0/IEC 17799:2005

0.3 Como estabelecer requisitos de seguran�a da informa��o

0.4 Analisando/avaliando os riscos de seguran�a da informa��o

0.5 Sele��o de controles

Informa��es adicionais sobre sele��o de controles e outras op��es para tratamento

0.6 Ponto de partida para a seguran�a da informa��o

c) direitos de propriedade intelectual (ver 15.1.2). Os controles considerados

Esses controles se aplicam para a maioria das organiza��es e na maioria dos

O.7 Fatores cr�ticos de sucesso

um bom entendimento dos requisitos de seguran�a da informa��o, da an�lise/avalia��o

�ABNT 2005 -Todos os direitos reservados

ABNT NBR 1S0/IEC 17799:2005

0.8 Desenvolvendo suas pr�prias diretrizes

�ABNT 2005 -Todos os direitos reservados

NORMA BRASILEIRA ABNT NBR 1S0/IEC 17799:2005

Tecnologia da informa��o -T�cnicas de seguran�a -C�digo de pr�tica para a gest�o da

2.4 recursos de processamento da informa��o

qualquer sistema de processamento da informa��o, servi�o ou infra-estrutura, ou as

2.6 evento de seguran�a da informa��o

2.10 an�lise de riscos

2.11 an�lise/avalia��o de riscos

2.12 avalia��o de riscos

2.13 gest�o de riscos

2.14 tratamento do risco

2.15 terceira parte

pessoa ou organismo reconhecido como independente das partes envolvidas, no que se

3 Estrutura desta Norma

Cada se��o cont�m um n�mero de categorias principais de seguran�a da informa��o. As

3.2 Principais categorias de seguran�a da informa��o

Cont�m informa��es mais detalhadas para apoiar a implementa��o do controle e

Informa��es adicionais Cont�m informa��es adicionais que podem ser consideradas,

4 An�lise/avalia��o e tratamento de riscos

4.2 Tratando os riscos de seguran�a da informa��o

d) transferir os riscos associados para outras partes, por exemplo, seguradoras ou

�ABNT 2005 -Todos os direitos reservados

e) a necessidade de balancear o investimento na implementa��o e opera��o de

5 Pol�tica de seguran�a da informa��o

1) conformidade com a legisla��o e com requisitos regulamentares e contratuais;

o registro dos incidentes de seguran�a da informa��o;

5.1.2 An�lise cr�tica da pol�tica de seguran�a da informa��o

6 Organizando a seguran�a da informa��o

Conv�m que a dire��o identifique as necessidades para a consultoria de um

�ABNT 2005 -Todos os direitos reservados

Informa��es adicionais Outras informa��es podem ser obtidas na 1S0/IEC 1 3335-1 :

6.1.2 Coordena��o da seguran�a da informa��o

avalie a adequa��o e coordene a implementa��o de controles de seguran�a da

6.1.3 Atribui��o de responsabilidades para a seguran�a da informa��o