ABR 2001

Projeto 21:204.01-010

ABNT Associao Brasileira de Normas Tcnicas

Sede: Rio de Janeiro Av. Treze de Maio, 13 28 andar CEP 20003-900 Caixa Postal 1680 Rio de Janeiro RJ Tel.: PABX (021) 210-3122 Fax: (021) 220-1762/220-6436 Endereo eletrnico: www.abnt.org.br

Tecnologia da informao - Cdigo de prtica para a gesto da segurana da informao

Copyright 2001, ABNTAssociao Brasileira de Normas Tcnicas Printed in Brazil/ Impresso no Brasil Todos os direitos reservados

ABNT/CB-21 - Comit Brasileiro de Computadores e Processamento de Dados CE-21:204.01 - Comisso de Estudo de Segurana Fsica em Instalaes de Informtica Projeto 21:204.01-010 - Information technology - Code of practice for information security Descriptors: Information technology. Safety Esta Norma equivalente ISO/IEC 17799:2000 Palavras-chave: Tecnologia da informao. Segurana 52 pginas

Sumrio Introduo Prefcio 1 Objetivo 2 Termos e definies 3 Poltica de segurana 4 Segurana organizacional 5 Classificao e controle dos ativos de informao 6 Segurana em pessoas 7 Segurana ambiental e fsica 8 Gerenciamento das operaes e comunicaes 9 Controle de acesso 10 Desenvolvimento e manuteno de sistemas 11 Gesto da continuidade do negcio 12 Conformidade ANEXO A Descrio dos termos apresentados em ingls nesta Norma Prefcio A ABNT - Associao Brasileira de Normas Tcnicas - o Frum Nacional de Normalizao. As Normas Brasileiras, cujo contedo de responsabilidade dos Comits Brasileiros (ABNT/CB) e dos Organismos de Normalizao Setorial (ABNT/ONS), so elaboradas por Comisses de Estudo (CE), formadas por representantes dos setores envolvidos, delas fazendo parte: produtores, consumidores e neutros (universidades, laboratrios e outros). Os Projetos de Norma Brasileira, elaborados no mbito dos ABNT/CB e ABNT/ONS, circulam para Consulta Pblica entre os associados da ABNT e demais interessados. Esta Norma equivalente ISO/IEC 17799:2000 Esta Norma contm o anexo A, de crater informativo. O anexo A foi incorporado a esta traduo da ISO/IEC 17799:2000, a fim de prestar informaes na descrio de termos na lngua inglesa mantidos nesta Norma por no possurem traduo equivalente para a lngua portuguesa. Introduo O que segurana da informao? A informao um ativo que, como qualquer outro ativo importante para os negcios, tem um valor para a organizao e conseqentemente necessita ser adequadamente protegida. A segurana da informao protege a informao de diversos tipos de ameaas para garantir a continuidade dos negcios, minimizar os danos aos negcios e maximizar o retorno dos investimentos e as oportunidades de negcio.

PROJETO 21:204.01-010:2001
A informao pode existir em muitas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou usando meios eletrnicos, mostrada em filmes ou falada em conversas. Seja qual for a forma apresentada ou o meio atravs do qual a informao compartilhada ou armazenada, recomendado que ela seja sempre protegida adequadamente. A segurana da informao aqui caracterizada pela preservao de: a) confidencialidade: garantia de que a informao acessvel somente por pessoas autorizadas a terem acesso; b) integridade: salvaguarda da exatido e completeza da informao e mtodos de processamento; c) disponibilidade: garantia de que os usurios autorizados obtenham acesso informao e aos ativos correspondentes sempre que necessrio. Segurana da informao obtida a partir da implementao de uma srie de controles, que podem ser polticas, prticas, procedimentos, estruturas organizacionais e funes de software. Estes controles precisam ser estabelecidos para garantir que os objetivos de segurana especficos da organizao sejam atendidos. Por que a segurana da informao necessria A informao e os processos de apoio, sistemas e redes so importantes ativos para os negcios. Confidencialidade, integridade e disponibilidade da informao podem ser essenciais para preservar a competitividade, o faturamento, a lucratividade, o atendimento aos requisitos legais e a imagem da organizao no mercado. Cada vez mais as organizaes, seus sistemas de informao e redes de computadores so colocados prova por diversos tipos de ameaas segurana da informao, incluindo fraudes eletrnicas, espionagem, sabotagem, vandalismo, fogo e inundao. Problemas causados por vrus, hackers e ataques de denial of service esto se tornando cada vez mais comuns, mais ambiciosos e incrivelmente mais sofisticados. A dependncia nos sistemas e servios de informao significa que as organizaes esto mais vulnerveis s ameaas de segurana. A interconexo de redes pblicas e privadas e o compartilhamento de recursos de informao aumentam a dificuldade de se controlar o acesso. A tendncia da computao distribuda dificulta a implementao de um controle de acesso centralizado realmente eficiente. Muitos sistemas de informao no foram projetados para serem seguros. A segurana que pode ser alcanada por meios tcnicos limitada e deve ser apoiada por uma gesto e por procedimentos apropriados. A identificao de quais controles devem ser implantados requer um planejamento cuidadoso e uma ateno aos detalhes. A gesto da segurana da informao necessita, pelo menos, da participao de todos os funcionrios da organizao. Pode ser que seja necessria tambm a participao de fornecedores, clientes e acionistas. Consultoria externa especializada pode ser tambm necessria. Os controles de segurana da informao so consideravelmente mais baratos e mais eficientes se forem incorporados nos estgios do projeto e da especificao dos requisitos. Como estabelecer requisitos de segurana essencial que uma organizao identifique os seus requisitos de segurana. Existem trs fontes principais. A primeira fonte obtida na avaliao de risco dos ativos de informao. Atravs da anlise de risco so identificadas as ameaas aos ativos, as vulnerabilidades e sua probabilidade de ocorrncia avaliada e o impacto potencial estimado. A segunda fonte a legislao vigente, os estatutos, a regulamentao e as clusulas contratuais que a organizao, seus parceiros, contratados e prestadores de servio tm que atender. A terceira fonte o conjunto particular de princpios, objetivos e requisitos para o processamento da informao que uma organizao tem que desenvolver para apoiar suas operaes. Avaliando os riscos de segurana Os requisitos de segurana so identificados atravs de uma anlise sistemtica dos riscos de segurana. Os gastos com os controles necessitam ser balanceados de acordo com os danos causados aos negcios gerados pelas potenciais falhas na segurana. As tcnicas de anlise de risco podem ser aplicadas em toda a organizao ou apenas em parte dela, assim como em um sistema de informao individual, componentes de um sistema especfico ou servios, quando for vivel, prtico e til. A anlise de risco uma considerao sistemtica de: a) o impacto nos negcios o resultado de uma falha de segurana, levando-se em conta as potenciais conseqncias da perda de confidencialidade, integridade ou disponibilidade da informao ou de outros ativos; b) a probabilidade de tal falha realmente ocorrer deve estar baseada nas ameaas e vulnerabilidades mais freqentes e nos controles atualmente implementados. Os resultados dessa anlise ajudaro a direcionar e determinar aes gerenciais e prioridades mais adequadas para um gerenciamento dos riscos da segurana da informao e a selecionar os controles a serem implementados para a proteo contra estes riscos. Pode ser necessrio que o processo de anlise de riscos e seleo de controles seja executado um determinado nmero de vezes para proteger as diferentes partes da organizao ou sistemas de informao isolados. necessrio realizar anlises crticas peridicas dos riscos de segurana e dos controles implementados para: a) considerar as mudanas nos requisitos de negcio e suas prioridades; b) considerar novas ameaas e vulnerabilidades; c) confirmar que os controles permanecem eficientes e adequados.

PROJETO 21:204.01-010:2001

Convm que as anlises crticas sejam executadas em diferentes nveis de profundidade, dependendo dos resultados das anlises de risco feitas anteriormente e das mudanas nos nveis de riscos que a administrao considera aceitvel para os negcios. As anlises de risco so sempre realizadas primeiro em nvel mais geral, como uma forma de priorizar recursos em reas de alto risco, e ento em um nvel mais detalhado, para solucionar riscos especficos. Seleo de controles Uma vez tendo sido identificados os requisitos de segurana, convm que os controles sejam selecionados e implementados para assegurar que os riscos so reduzidos a um nvel aceitvel. Os controles podem ser selecionados a partir desta Norma ou de outro conjunto de controles ou novos controles podem ser desenvolvidos para atender a necessidades especficas, quando apropriado. Existem diversas maneiras de gerenciar os riscos e esta Norma fornece exemplos para situaes mais comuns. De qualquer forma, necessrio reconhecer que alguns controles no so apli-cveis em todos os sistemas ou ambientes de informao e que pode no ser praticvel para todas as organizaes. Como um exemplo, 8.1.4 descreve como as funes podem ser segregadas para prevenir fraudes e erros. Pode no ser possvel para pequenas organizaes segregar todas as funes e uma outra maneira de se alcanar o mesmo objetivo de controle pode ser necessrio. Como outro exemplo, 9.7 e 12.1 descrevem como o uso de um sistema pode ser monitorado e como as evidncias so coletadas. Os controles descritos, por exemplo o registro de eventos, podem ser conflitantes com a legislao vigente, como a proteo da privacidade de clientes ou no local de trabalho. Convm que os controles sejam selecionados baseados nos custos de implementao em relao aos riscos que sero reduzidos e as perdas potenciais se as falhas na segurana ocorrerem. Convm que fatores no financeiros, como, por exemplo, prejuzos na reputao da organizao, sejam tambm levados em considerao. Alguns dos controles nesta Norma podem ser considerados como princpios bsicos para a gesto da segurana da informao e podem ser aplicados na maioria das organizaes. So explicados em mais detalhes no item Ponto de partida para a segurana da informao. Ponto de partida para a segurana da informao Um nmero de controles pode ser considerado como princpios bsicos, fornecendo um bom ponto de partida para a implementao da segurana da informao. So baseados tanto em requisitos legais como nas melhores prticas de segurana da informao normalmente usadas. Os controles considerados essenciais para uma organizao, sob o ponto de vista legal, incluem: a) proteo de dados e privacidade de informaes pessoais (ver 12.1.4); b) salvaguarda de registros organizacionais (ver 12.1.3); c) direitos de propriedade intelectual (ver 12.1.2). Os controles considerados como melhores prticas para a segurana da informao incluem: a) documento da poltica de segurana da informao (ver 3.1); b) definio das responsabilidades na segurana da informao (ver 4.1.3); c) educao e treinamento em segurana da informao (ver 6.2.1); d) relatrio dos incidentes de segurana (ver 6.3.1); e) gesto da continuidade do negcio (ver 11.1). Estes controles se aplicam para a maioria das organizaes e na maioria dos ambientes. Convm que seja notado que, embora todos os controles nesta Norma sejam importantes, a relevncia de qualquer controle seja determinada luz de riscos especficos que uma organizao est exposta. Por isto, embora o enfoque acima seja considerado um bom ponto de partida, ele no substitui a seleo de controles, baseada na anlise de risco. Fatores crticos de sucesso A experincia tem mostrado que os seguintes fatores so geralmente crticos para o sucesso da implementao da segurana da informao dentro de uma organizao: a) poltica de segurana, objetivos e atividades, que reflitam os objetivos do negcio; b) um enfoque para a implementao da segurana que seja consistente com a cultura organizacional; c) comprometimento e apoio visvel da administrao; d) um bom entendimento dos requisitos de segurana, anlise de risco e gerenciamento de risco; e) divulgao eficiente da segurana para todos os gerentes e funcionrios; f) distribuio das diretrizes sobre as normas e poltica de segurana da informao para todos os funcionrios e fornecedores; g) proporcionar educao e treinamento adequados; h) um abrangente e balanceado sistema de medio, que usado para avaliar o desempenho da gesto de segurana da informao e obteno de sugestes para a melhoria.

PROJETO 21:204.01-010:2001
Desenvolvendo suas prprias recomendaes Esta Norma pode ser considerada como o ponto de partida para o desenvolvimento de recomendaes especficas para a organizao. Nem todas as recomendaes e os controles nesta Norma podem ser aplicados. Alm disto, controles adicionais no includos nesta Norma podem ser necessrios. Quando isto acontecer pode ser til manter uma referncia cruzada para facilitar a verificao da conformidade por auditores e parceiros de negcio. 1 Objetivo Esta Norma fornece recomendaes para gesto da segurana da informao para uso por aqueles que so responsveis pela introduo, implementao ou manuteno da segurana em suas organizaes. Tem como propsito prover uma base comum para o desenvolvimento de normas de segurana organizacional e das prticas efetivas de gesto da segurana, e prover confiana nos relacionamentos entre as organizaes. Convm que as recomendaes descritas nesta Norma sejam selecionadas e usadas de acordo com a legislao e as regulamentaes vigentes. 2 Termos e definies Para os efeitos desta Norma, aplicam-se as seguintes definies: 2.1 segurana da informao: Preservao da confidencialidade, integridade e disponibilidade da informao. - confidencialidade: Garantia de que o acesso informao seja obtido somente por pessoas autorizadas; - integridade: Salvaguarda da exatido e completeza da informao e mtodos de processamento; - disponibilidade: Garantia de que os usurios autorizados pondentes sempre que necessrio. obtenham acesso informao e aos ativos corres-

2.2 anlise de risco: Anlise das ameaas, impactos e vulnerabilidades da informao e das instalaes de processamento da informao e da probabilidade de sua ocorrncia. 2.3 gerenciamento de risco: Processo de identificao, controle e minimizao ou eliminao dos riscos de segurana que podem afetar os sistemas de informao, a um custo aceitvel. 3 Poltica de segurana 3.1 Poltica de segurana da informao Objetivo: Prover administrao uma direo e apoio para a segurana da informao. Convm que a administrao estabelea uma poltica clara e demonstre apoio e comprometimento com a segurana da informao atravs da emisso e manuteno de uma poltica de segurana da informao para toda a organizao. 3.1.1 Documento da poltica de segurana da informao Convm que um documento da poltica seja aprovado pela administrao, publicado e comunicado, de forma adequada, para todos os funcionrios. Convm que expresse as preocupaes da administrao e estabelea as linhas-mestras para a gesto da segurana da informao. No mnimo, convm que as seguintes orientaes sejam includas: a) definio de segurana da informao, resumo das metas, do escopo e a importncia da segurana como um mecanismo que habilita o compartilhamento da informao (ver introduo); b) declarao do comprometimento da alta administrao, apoiando as metas e princpios da segurana da informao; c) breve explanao das polticas, princpios, padres e requisitos de conformidade de segurana especficos para a organizao, por exemplo: 1) conformidade com a legislao e clusulas contratuais; 2) requisitos na educao de segurana; 3) preveno e deteco de vrus e software maliciosos; 4) gesto da continuidade do negcio; 5) conseqncias das violaes na poltica de segurana; d) definio das responsabilidades gerais e especficas na gesto da segurana da informao, incluindo o registro dos incidentes de segurana; e) referncias documentao que possam apoiar a poltica, por exemplo, polticas e procedimentos de segurana mais detalhados de sistemas de informao especficos ou regras de segurana que os usurios devem seguir. Convm que esta poltica seja comunicada atravs de toda a organizao para os usurios na forma que seja relevante, acessvel e compreensvel para o leitor em foco. 3.1.2 Anlise crtica e avaliao Convm que a poltica tenha um gestor que seja responsvel por sua manuteno e anlise crtica, de acordo com um processo de reviso definido. Convm que este processo garanta que a reviso ocorre como decorrncia de qualquer mudana que venha a afetar a anlise de risco original, tais como um incidente de segurana significativo, novas vulnerabilidades ou mudanas organizacionais ou na infra-estrutura tcnica. Convm que tambm sejam agendadas as seguintes anlises crticas peridicas: a) efetividade da poltica, demonstrada pelo tipo, volume e impacto dos incidentes de segurana registrados; b) custo e impacto dos controles na eficincia do negcio; c) efeitos das mudanas na tecnologia.

PROJETO 21:204.01-010:2001
4 Segurana organizacional 4.1 Infra-estrutura da segurana da informao Objetivo: Gerenciar a segurana da informao na organizao

Convm que uma estrutura de gerenciamento seja estabelecida para iniciar e controlar a implementao da segurana da informao dentro da organizao. Convm que fruns apropriados de gerenciamento com liderana da Administrao sejam estabelecidos para aprovar a poltica de segurana da informao, atribuir as funes da segurana e coordenar a implementao da segurana atravs da organizao. Se necessrio, convm que uma fonte especializada em segurana da informao seja estabelecida e disponibilizada dentro da organizao. Convm que contatos com especialistas de segurana externos sejam feitos para se manter atualizado com as tendncias do mercado, normas de monitorao e mtodos de anlise, alm de fornecer o principal apoio durante os incidentes de segurana. Convm que um enfoque multidisciplinar na segurana da informao seja incentivado, tais como o envolvimento, cooperao e colaborao de gerentes, usurios, administradores, projetistas de aplicaes, auditores, equipes de segurana e especialistas em reas como seguro e gerenciamento de risco. 4.1.1 Gesto do frum de segurana da informao A segurana da informao uma responsabilidade compartilhada por todos os membros da equipe da administrao. Convm que seja considerada a criao de um frum para garantir um direcionamento claro e um comprometimento dos envolvidos para as iniciativas de segurana. Convm que este frum promova a segurana dentro da organizao atravs do comprometimento apropriado e os recursos adequados. O frum pode ser parte de um corpo administrativo existente. Tipicamente, tal frum responsvel pelo seguinte: a) anlise crtica e aprovao da poltica da segurana da informao e das responsabilidades envolvidas; b) monitorao das principais mudanas na exposio dos ativos das informaes s principais ameaas; c) anlise crtica e monitorao de incidentes de segurana da informao; d) aprovao das principais iniciativas para aumentar o nvel da segurana da informao. Convm que um gestor seja responsvel por todas as atividades relacionadas com a segurana. 4.1.2 Coordenao da segurana da informao Em grandes organizaes um frum multifuncional com representantes da administrao de reas relevantes da organizao pode ser necessrio para coordenar a implementao de controles da segurana da informao. Tipicamente, como frum: a) busca as regras e as responsabilidades especficas para a segurana da informao atravs da organizao; b) busca as metodologias e processos especficos para a segurana da informao, tais como anlise de risco e sistema de classificao de segurana; c) busca e apia iniciativas de segurana da informao aplicveis por toda a organizao, por exemplo programa da conscientizao em segurana; d) garante que a segurana seja parte do processo de planejamento da informao; e) avalia a adequao e coordena a implementao de controles especficos de segurana da informao para novos sistemas ou servios; f) analisa criticamente incidentes de segurana da informao; g) promove a visibilidade da segurana da informao como suporte aos negcios atravs da organizao. 4.1.3 Atribuio das responsabilidades em segurana da informao Convm que as responsabilidades pela proteo de cada ativo e pelo cumprimento de processos de segurana especficos sejam claramente definidas. Convm que a poltica de segurana da informao (ver seo 3) fornea um guia geral sobre a atribuio de regras e responsabilidades de segurana na organizao. Convm que seja complementada, onde for necessrio, com orientaes mais detalhadas para locais, sistemas ou servios especficos. Convm que sejam claramente definidas as responsabilidades em cada local para os ativos fsicos e de informao, bem como dos processos de segurana, por exemplo o plano de continuidade de negcios. Em muitas organizaes um gestor de segurana da informao ser indicado para arcar com toda a responsabilidade pelo desenvolvimento e implementao da segurana e pelo suporte identificao dos controles. Contudo, a responsabilidade pela alocao de recursos e pela implementao dos controles geralmente permanece com outros gestores. Uma prtica comum indicar um proprietrio para cada ativo de informao, tornando responsvel pela sua segurana do dia-a-dia.

PROJETO 21:204.01-010:2001
Os proprietrios dos ativos de informao podem delegar suas responsabilidades de segurana a outros colaboradores ou prestadores de servio. Todavia o proprietrio continua como responsvel final pela segurana do ativo e convm que seja capaz de determinar se esto sendo corretamente delegadas as responsabilidades. essencial que as reas pelas quais cada gestor responsvel estejam claramente estabelecidas; em particular recomenda-se que os itens seguintes sejam cumpridos. a) Convm que os vrios ativos e processos de segurana associados com cada sistema sejam identificados e claramente definidos; b) Convm que o gestor responsvel por cada ativo ou processo de segurana esteja de acordo e os detalhes dessa responsabilidade sejam documentados; c) Convm que os nveis de autorizao sejam claramente definidos e documentados. 4.1.4 Processo de autorizao para as instalaes de processamento da informao Convm que seja estabelecido um processo de gesto de autorizao para novos recursos de processamento da informao. Recomenda-se que os seguintes controles sejam considerados. a) Convm que novos recursos tenham aprovao adequada por parte da administrao de usurios, autorizando seus propsitos e uso. Convm que a aprovao tambm seja obtida junto ao gestor responsvel pela manuteno do sistema de segurana da informao para garantir que todas as polticas e requisitos de segurana relevantes so atendidos. b) Convm que os equipamentos e programas sejam verificados para garantir que so compatveis com outros componentes do sistema, onde necessrios.
NOTA - Este tipo de aprovao pode ser requerida para certas conexes.

c) Convm que o uso de recursos pessoais de processamento de informao para o processamento de informao de negcio e para quaisquer controles necessrios seja autorizado. d) O uso de recursos pessoais de processamento de informao no ambiente de trabalho pode causar novas vulnerabilidades e, por esta razo, convm que seja avaliado e autorizado. Estes controles so especialmente importantes em um ambiente de rede de computadores. 4.1.5 Consultoria especializada em segurana da informao Consultoria especializada em segurana normalmente necessria em diversas organizaes. Em condies ideais, convm que um consultor de segurana da informao interno e com boa experincia fornea isso. Nem todas as organizaes desejam empregar um consultor especialista. Nestes casos, recomendvel que seja identificado um colaborador especfico para coordenar o conhecimento e as experincias internos para garantir consistncia e fornecer auxlio nas tomadas de deciso sobre segurana. Convm que essas organizaes tambm tenham acesso a consultores externos para prover consultoria especializada alm da sua prpria experincia. Convm que consultores em segurana da informao ou contatos equivalentes sejam incumbidos de fornecer apoio em todos os aspectos da segurana da informao, utilizando suas prprias experincias ou consultoria externa. A qualidade de suas avaliaes das ameaas segurana e a consultoria nos controles determinar a eficincia da segurana da informao da organizao. Para efetividade e impactos mximos convm que eles tenham permisso de acesso direto administrao em toda a organizao. Convm que o consultor em segurana da informao ou contato equivalente seja consultado o mais cedo possvel aps suspeitas de incidente ou violao de segurana para fornecer orientaes especializadas ou recursos para o processo investigativo. Embora a maioria das investigaes de segurana internas normalmente seja executada sob controle da administrao, o consultor de segurana da informao pode ser chamado para recomendar, liderar ou conduzir a investigao. 4.1.6 Cooperao entre organizaes Convm que sejam mantidos contatos apropriados com autoridades legais, organismos reguladores, provedores de servio de informao e operadores de telecomunicaes, de forma a garantir que aes adequadas e apoio especializado possam ser rapidamente acionados na ocorrncia de incidentes de segurana. De forma similar, convm que a filiao a grupos de segurana e a fruns setoriais seja considerada. Convm que trocas de informaes de segurana sejam restritas para garantir que informaes confidenciais da organizao no sejam passadas para pessoas no autorizadas. 4.1.7 Anlise crtica independente de segurana da informao O documento da poltica de segurana da informao (ver 3.1) estabelece a poltica e as responsabilidades pela segurana da informao. Convm que a sua implementao seja analisada criticamente, de forma independente, para fornecer garantia de que as prticas da organizao refletem apropriadamente a poltica, e que esta adequada e eficiente (ver 12.2). Tal anlise crtica pode ser executada pela auditoria interna, por um gestor independente ou por uma organizao especializada em tais anlises crticas, onde eles possuem habilidade e experincia apropriadas.

PROJETO 21:204.01-010:2001
4.2 Segurana no acesso de terceiros

Objetivo: Manter a segurana dos recursos de processamento de informao e ativos de informao organizacionais acessados por terceiros. Convm que seja controlado o acesso de terceiros aos recursos de processamento da informao da organizao. Onde existir uma necessidade de negcio para este acesso de terceiros, convm que seja feita uma anlise dos riscos envolvidos para determinar as possveis implicaes na segurana e os controles necessrios. Convm que os controles sejam acordados e definidos atravs de contrato assinado com terceiros. O acesso de terceiros pode tambm envolver outros participantes. Convm que os contratos liberando o acesso de terceiros incluam a permisso para designao de outros participantes qualificados, assim como as condies de seus acessos. Esta Norma pode ser utilizada como base para tais contratos e levada em considerao na terceirizao do processamento da informao. 4.2.1 Identificao dos riscos no acesso de terceiros 4.2.1.1 Tipos de acesso O tipo de acesso dado a terceiros de especial importncia. Por exemplo, os riscos no acesso atravs de uma conexo de rede so diferentes dos riscos resultantes do acesso fsico. Convm que os seguintes tipos de acesso sejam considerados: a) acesso fsico, por exemplo a escritrios, sala de computadores, gabinetes de cabeamento; b) acesso lgico, por exemplo aos bancos de dados da organizao, sistemas de informao. 4.2.1.2 Razes para o acesso Acessos a terceiros podem ser concedidos por diversas razes. Por exemplo, existem terceiros que fornecem servios para uma organizao e no esto localizados no mesmo ambiente, mas necessitam acessos fsicos e lgicos, tais como: a) equipes de suporte de equipamento e software, que necessitam ter acesso a nvel de sistema ou acesso s funcionalidades de baixo nvel nas aplicaes; b) parceiros comerciais ou joint ventures, que podem trocar informaes, acessar sistemas de informao ou compartilhar bases de dados. As informaes podem ser colocadas em risco quando terceiros tm acesso com uma administrao inadequada da segurana. Existindo a necessidade de conexo com terceiros, convm que uma anlise de risco seja feita para se identificar quaisquer necessidades de implementao de controles de segurana. Convm que seja levado em conta o tipo de acesso requerido, o valor da informao, os controles empregados por terceiros e as implicaes deste acesso segurana da informao da organizao. 4.2.1.3 Contratados para servios internos Terceiros que, por contrato, devem permanecer dentro da organizao por um perodo de tempo determinado tambm podem aumentar a fragilidade na segurana. Exemplos de terceiros dentro da organizao incluem: a) equipes de suporte e manuteno de equipamento e software; b) pessoal da limpeza, servios de buffets, guardas da segurana e outros servios de apoio terceirizados; c) alocao de estagirios e outras contrataes de curta durao; d) consultores. essencial entender quais controles so necessrios para administrar o acesso de terceiros aos recursos de processamento da informao. Geralmente, convm que todos os requisitos de segurana resultantes do acesso de terceiros ou dos controles internos sejam refletidos nos contratos firmados com estes (ver tambm 4.2.2). Por exemplo, caso exista uma necessidade especial por confidencialidade da informao, um acordo de sigilo pode ser utilizado (ver 6.1.3). Convm que o acesso de terceiros informao e aos recursos de processamento da informao no seja permitido at que os controles apropriados sejam implementados e um contrato definindo os termos para a conexo ou acesso seja assinado.

PROJETO 21:204.01-010:2001
4.2.2 Requisitos de segurana nos contratos com terceiros Convm que acordos envolvendo o acesso de terceiros aos recursos de processamento da informao da organizao sejam baseados em contratos formais que contenham, ou faam referncia a, todos os requisitos de segurana, de forma a garantir a conformidade com as normas e polticas de segurana da organizao. Convm que o contrato garanta que no existam mal entendidos entre a organizao e terceiros. Convm que as organizaes considerem a indenizao a ser paga por seus fornecedores em situaes de violaes de contrato. Convm que os seguintes termos sejam considerados e includos nos contratos: a) a poltica geral sobre segurana da informao; b) proteo de ativos, incluindo: 1) procedimentos para proteo dos ativos da organizao, incluindo informao e software; 2) procedimentos para determinar se houve algum comprometimento destes ativos, por exemplo se houve perda ou modificao de dados; 3) controles para garantir a devoluo ou destruio das informaes e ativos em um determinado momento durante ou no final do contrato; 4) integridade e disponibilidade; 5) restries relacionadas com a cpia e divulgao da informao; c) descrio de cada servio que deve estar disponvel; d) nveis de servio desejados e no aceitveis; e) condies para transferncia da equipe de trabalho, onde for apropriado; f) as respectivas obrigaes dos envolvidos no acordo; g) responsabilidades com aspectos legais, por exemplo leis de proteo de dados, especialmente levando em considerao diferenas nas legislaes vigentes se o contrato envolver a cooperao com organizaes de outros pases (ver tambm 12.1); h) direitos de propriedade intelectual e direitos autorais (ver 12.1.2) e proteo de qualquer trabalho colaborativo (ver tambm 6.1.3); i) acordos de controle de acesso, abrangendo: 1) mtodos de acesso permitidos e controle e uso de identificadores nicos como ID e senhas de acesso; 2) processo de autorizao de acesso e privilgios para os usurios; 3) requisitos para manter uma lista de usurios autorizados a usar os servios disponibilizados, cujos direitos e privilgios tais usurios possuem; j) definio de critrios de verificao do desempenho, sua monitorao e registro; k) direito de monitorar e revogar as atividade de usurios; l) direito de auditar as responsabilidades contratuais ou ter a auditoria executada por terceiros; m) estabelecimento de um processo escalonvel para a resoluo de problemas; convm que tambm sejam considerados procedimentos de contingncia, onde apropriados; n) responsabilidades envolvendo a instalao e manuteno de equipamento e software; o) registros com estrutura clara e formato preestabelecido; p) procedimentos claros e especficos para gerenciamento de mudanas; q) quaisquer controles de proteo fsica e mecanismos necessrios para garantir que tais controles esto sendo seguidos; r) treinamento de administradores e usurios em mtodos, procedimentos e segurana; s) controles que garantam proteo contra software malicioso (ver 8.3); t) requisitos para registro, notificao e investigao de incidentes e violaes da segurana; u) envolvimento de terceiros com subcontratados. 4.3 Terceirizao Objetivo: Manter a segurana da informao quando a responsabilidade pelo processamento da informao terceirizada para uma outra organizao. Convm que o acordo de terceirizao considere riscos, controles de segurana e procedimentos para os sistemas de informao, rede de computadores e/ou estaes de trabalho no contrato entre as partes.

PROJETO 21:204.01-010:2001

4.3.1 Requisitos de segurana dos contratos de terceirizao Convm que os requisitos de segurana com terceiros para gerenciamento e controle de todos ou alguns dos sistemas de informao, redes de computadores e/ou estaes de trabalho constem no contrato entre as partes. Por exemplo, convm que o contrato considere: a) como os requisitos legais devem ser atendidos, por exemplo a legislao de proteo de dados; b) quais acordos devem ser estabelecidos para garantir que todas as partes envolvidas na terceirizao, incluindo subcontratados, estejam cientes das suas responsabilidades de segurana; c) como a integridade e a confidencialidade dos ativos organizacionais devem ser mantidas e testadas; d) quais controles fsicos e lgicos sero utilizados para restringir e limitar o acesso de usurios autorizados s informaes sensveis da organizao; e) como a disponibilidade dos servios est sendo mantida em caso de desastre; f) quais nveis de segurana fsica esto sendo fornecidos para equipamentos terceirizados; g) o direito de auditar. Convm que os termos descritos em 4.2.2 tambm faam parte deste contrato. Convm que o contrato permita que os requisitos e procedimentos de segurana possam ser expandidos em um plano de gesto da segurana em comum acordo entre as duas partes. Embora os contratos de terceirizao possam levantar algumas questes complexas de segurana, os controles includos nesta Norma podem servir como um ponto de partida para contratos que envolvam a estrutura e o contedo do plano de gesto da segurana. 5 Classificao e controle dos ativos de informao 5.1 Contabilizao dos ativos Objetivo: Manter a proteo adequada dos ativos da organizao. Convm que todos os principais ativos de informao sejam inventariados e tenham um proprietrio responsvel. O inventrio dos ativos ajuda a assegurar que a proteo est sendo mantida de forma adequada. Convm que os proprietrios dos principais ativos sejam identificados e a eles seja atribuda a responsabilidade pela manuteno apropriada dos controles. A responsabilidade pela implementao dos controles pode ser delegada. Convm que a responsabilidade pela prestao de contas fique com o proprietrio nomeado do ativo. 5.1.1 Inventrio dos ativos de informao O inventrio dos ativos ajuda a assegurar que as protees esto sendo feitas de forma efetiva e tambm pode ser requerido para outras finalidades de negcio, como sade e segurana, seguro ou financeira (gerenciamento patrimonial). O processo de compilar um inventrio de ativos um aspecto importante no gerenciamento de risco. Uma organizao precisa ser capaz de identificar seus ativos e seus respectivos valores e importncia. Baseado nesta informao uma organizao pode ento fornecer nveis de proteo proporcionais ao valor e importncia desses ativos. Convm que um inventrio dos principais ativos associados com cada sistema de informao seja estruturado e mantido. Convm que cada ativo e seu respectivo proprietrio sejam claramente identificados e a classificao de segurana (ver 5.2) seja acordada e documentada, juntamente com a sua localizao atual (importante quando se tenta recuperar perdas ou danos). Exemplos de ativos associados com sistemas de informao so: a) ativos de informao: base de dados e arquivos, documentao de sistema, manuais de usurio, material de treinamento, procedimentos de suporte ou operao, planos de contingncia, procedimentos de recuperao, informaes armazenadas; b) ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitrios; c) ativos fsicos: equipamentos computacionais (processadores, monitores, laptops, modems), equipamentos de comunicao (roteadores, PABXs, fax, secretrias eletrnicas), mdia magntica (fitas e discos), outros equipamentos tcnicos (no-breaks, ar-condicionado), moblia, acomodaes; d) servios: computao e servios de comunicao, utilidades gerais, por exemplo aquecimento, iluminao, eletricidade, refrigerao. 5.2 Classificao da informao Objetivo: Assegurar que os ativos de informao recebam um nvel adequado de proteo. Convm que a informao seja classificada para indicar a importncia, a prioridade e o nvel de proteo. A informao possui vrios nveis de sensibilidade e criticidade. Alguns itens podem necessitar um nvel adicional de proteo ou tratamento especial. Convm que um sistema de classificao da informao seja usado para definir um conjunto apropriado de nveis de proteo e determinar a necessidade de medidas especiais de tratamento.

10

PROJETO 21:204.01-010:2001
5.2.1 Recomendaes para classificao Convm que a classificao da informao e seus respectivos controles de proteo levem em considerao as necessidades de compartilhamento ou restrio de informaes e os respectivos impactos nos negcios como, por exemplo, o acesso no autorizado ou danos informao. Em geral, a classificao dada a uma informao o caminho mais curto para determinar como ela deve ser tratada e protegida. Convm que informaes e resultados de sistemas que processam dados classificados sejam rotulados de acordo com seu valor e sua sensibilidade para a organizao. Tambm pode ser apropriado rotular a informao em termos de quo crtica ela para a organizao como, por exemplo, em termos de integridade e disponibilidade. A informao freqentemente deixa de ser sensvel ou crtica aps um certo perodo de tempo, por exemplo quando a informao se torna pblica. Convm que estes aspectos sejam levados em considerao, pois uma classificao superestimada pode levar a custos adicionais desnecessrios. Convm que as regras de classificao previnam e alertem para o fato de que um determinado item de informao no tem necessariamente uma classificao fixa, podendo sofrer modificao de acordo com alguma poltica predeterminada (ver 9.1). Convm que cuidados sejam tomados com a quantidade de categorias de classificao e com os benefcios obtidos pelo seu uso. Esquemas excessivamente complexos podem tornar o uso incmodo, invivel economicamente ou impraticvel. Convm que ateno especial seja dada na interpretao dos rtulos de classificao sobre documentos de outras organizaes, que podem ter definies diferentes para rtulos iguais ou semelhantes aos usados. Convm que a responsabilidade pela definio da classificao de um item de informao, tais como um documento, registro de dado, arquivo de dados ou disquete, e a reviso peridica desta classificao, fique com o autor ou com o proprietrio responsvel pela informao. 5.2.2 Rtulos e tratamento da informao importante que um conjunto de procedimentos seja definido para rotular e tratar a informao de acordo com o esquema de classificao adotado pela organizao. Estes procedimentos precisam abranger tanto os ativos de informao no formato fsico quanto no eletrnico. Para cada classificao, convm que procedimentos de tratamento sejam definidos para abranger os seguintes tipos de atividade de processamento da informao: a) cpia; b) armazenamento; c) transmisso pelo correio, fax ou correio eletrnico; d) transmisso pela palavra falada, incluindo telefonia mvel, correio de voz ou secretrias eletrnicas; e) destruio. Convm que as sadas de sistemas que contm informaes classificadas como sensveis ou crticas tenham o rtulo apropriado da classificao da informao (na sada). Convm que o rtulo reflita a classificao de acordo com as regras estabelecidas em 5.2.1. Itens que devem ser considerados incluem relatrios impressos, telas, mdias magnticas (fitas, discos, CDs, cassetes), mensagens eletrnicas e arquivos de transferncias. Rtulos fsicos so geralmente a forma mais apropriada de rotular a informao. Entretanto, alguns ativos de informao, como documentos em forma eletrnica, no podem ser fisicamente rotulados, sendo necessrio usar um rtulo eletrnico. 6 Segurana em pessoas 6.1 Segurana na definio e nos recursos de trabalho Objetivo: Reduzir os riscos de erro humano, roubo, fraude ou uso indevido das instalaes. Convm que responsabilidades de segurana sejam atribudas na fase de recrutamento, includas em contratos e monitoradas durante a vigncia de cada contrato de trabalho. Convm que candidatos potenciais sejam devidamente analisados (ver 6.1.2), especialmente para trabalhos sensveis. Convm que todos os funcionrios e prestadores de servio, usurios das instalaes de processamento da informao, assinem um acordo de sigilo. 6.1.1 Incluindo segurana nas responsabilidades do trabalho Convm que regras e responsabilidades de segurana sejam documentadas onde for apropriado, de acordo com a poltica de segurana da informao da organizao (ver 3.1). Convm que elas incluam quaisquer responsabilidades gerais pela implementao ou manuteno da poltica de segurana, assim como quaisquer responsabilidades especficas para a proteo de determinados ativos ou pela execuo de determinados processos ou atividades de segurana.

PROJETO 21:204.01-010:2001
6.1.2 Poltica de pessoal

11

Convm que verificaes de controle sobre a equipe permanente sejam executadas no momento da seleo de candidatos. Recomenda-se que isso inclua os seguintes controles: a) disponibilidade de referncias de carter satisfatrias, por exemplo uma profissional e uma pessoal; b) verificao da exatido e inteireza das informaes do curriculum vitae do candidato; c) confirmao das qualificaes acadmicas e profissionais; d) verificao da identidade (passaporte ou documento similar). Onde um trabalho envolver pessoas, tanto por contratao como por promoo, que tenham acesso s instalaes de processamento da informao, em particular aquelas que tratam de informaes sensveis, tais como informaes financeiras ou informaes altamente confidenciais, convm que a organizao tambm faa uma verificao da idoneidade de crdito. Para funcionrios que esto em posies com nveis considerveis de autoridade, convm que este procedimento seja refeito periodicamente. Convm que um processo similar de seleo seja feito para temporrios e fornecedores. Onde esses recursos humanos so fornecidos por uma agncia, convm que o contrato especifique claramente as responsabilidades da agncia pela seleo e os procedimentos de notificao que devem ser seguidos se a seleo no for devidamente concluda ou quando os resultados obtidos forem motivos de dvidas ou preocupaes. Convm que a administrao avalie a superviso de funcionrios novos e inexperientes com autorizao para acesso a sistemas sensveis. Convm que o trabalho de toda a equipe seja periodicamente revisto e aprovado pelo colaborador responsvel pelo grupo. Convm que os gestores estejam atentos que motivos pessoais de seus funcionrios podem afetar o trabalho deles. Problemas pessoais e financeiros, mudanas de comportamento ou estilo de vida, ausncias freqentes e sinais de estresse ou depresso podem levar a fraudes, roubos, erros ou outras implicaes de segurana. Convm que esta informao seja tratada de acordo com qualquer legislao apropriada existente na jurisdio pertinente. 6.1.3 Acordos de confidencialidade Acordos de confidencialidade ou de no divulgao so usados para alertar que a informao confidencial ou secreta. Normalmente convm que os funcionrios assinem tais acordos como parte dos termos e condies iniciais de contratao. Para colaboradores casuais e terceiros que no estejam cobertos por um contrato existente (que contenha o acordo de confidencialidade), convm que seja exigida a assinatura do acordo de confidencialidade, antes de ter acesso s instalaes de processamento da informao. Convm que acordos de confidencialidade sejam revisados quando existirem modificaes nos termos de contratao, particularmente devido sada de funcionrios da organizao ou ao trmino de contratos. 6.1.4 Termos e condies de trabalho Convm que os termos e condies de trabalho determinem as responsabilidades dos funcionrios pela segurana da informao. Quando apropriado, convm que estas responsabilidades continuem por um perodo de tempo definido, aps o trmino do contrato de trabalho. Convm que as aes que podem ser tomadas nos casos de desrespeito ao acordo tambm sejam includas no contrato. Convm que as responsabilidades e direitos legais dos funcionrios, tais como leis de direitos autorais ou de proteo de dados, sejam esclarecidos e includos dentro dos termos e condies de trabalho. Convm que responsabilidade pela classificao e gesto dos dados do empregador tambm sejam includas. Sempre que apropriado, convm que os termos e condies de trabalho determinem se estas responsabilidades so estendidas fora das dependncias da organizao e fora do horrio normal de trabalho como, por exemplo, nos casos de execuo de atividades de trabalho em casa (ver tambm 7.2.5 e 9.8.1). 6.2 Treinamento dos usurios Objetivo: Garantir que os usurios esto cientes das ameaas e das preocupaes de segurana da informao e esto equipados para apoiar a poltica de segurana da organizao durante a execuo normal do seu trabalho. Convm que usurios sejam treinados nos procedimentos de segurana e no uso correto das instalaes de processamento da informao, de forma a minimizar possveis riscos de segurana. 6.2.1 Educao e treinamento em segurana da informao Convm que todos os funcionrios da organizao e, onde for relevante, terceiros recebam o treinamento e a atualizao adequados sobre as polticas e procedimentos organizacionais. Isto inclui requisitos de segurana, responsabilidades legais e controles do negcio, assim como treinamento sobre o uso correto das instalaes de processamento da informao como, por exemplo, procedimentos de acesso ou uso de pacotes de software, antes que seja fornecido qualquer acesso aos servios ou informaes.

12

PROJETO 21:204.01-010:2001
6.3 Respondendo aos incidentes de segurana e ao mau funcionamento Objetivo: Minimizar danos originados pelos incidentes de segurana e mau funcionamento, e monitorar e aprender com tais incidentes. Convm que os incidentes que afetam a segurana sejam notificados atravs dos canais apropriados o mais rapidamente possvel. Todos os funcionrios e prestadores de servio devem estar conscientes dos procedimentos para notificao dos diversos tipos de incidentes (violao da segurana, ameaas, falhas ou mal funcionamento) que possam ter impactos na segurana dos ativos organizacionais. Eles devem ser solicitados a notificar quaisquer incidentes ocorridos ou suspeitos, to logo quanto possvel, ao ponto de contato designado. A organizao deve estabelecer um processo disciplinar formal para tratar com os funcionrios que cometam violaes na segurana. Para ser capaz de tratar os incidentes de forma apropriada, pode ser necessrio coletar evidncias o mais rapidamente possvel aps a sua ocorrncia (ver 12.1.7). 6.3.1 Notificao dos incidentes de segurana Convm que os incidentes de segurana sejam notificados atravs dos canais apropriados da administrao, o mais rapidamente possvel. Convm que um procedimento de notificao formal seja estabelecido, junto com um procedimento de resposta ao incidente, estabelecendo a ao a ser tomada ao se receber uma notificao de incidente. Convm que todos os funcionrios e prestadores de servio estejam conscientes dos procedimentos para notificao de incidentes de segurana e instrudos para relatar tais incidentes, o mais rapidamente possvel. Convm que processos de retorno (feedback) adequados sejam implementados para assegurar que os incidentes esto notificados com os resultados obtidos aps o incidente ser tratado e encerrado. Estes incidentes podem ser usados nos treinamentos de conscientizao de usurios (ver 6.2) como exemplos do que pode acontecer, como reagir a tais incidentes e como evit-los no futuro (ver 12.1.7). 6.3.2 Notificando falhas na segurana Convm que os usurios dos servios de informao sejam instrudos a registrar e notificar quaisquer falhas ou ameaas, ocorridas ou suspeitas, na segurana de sistemas ou servios. Convm que eles tambm notifiquem esses assuntos o mais rapidamente possvel para seus superiores ou diretamente para seus provedores de servios. Convm que os usurios sejam informados que eles no podem, sob nenhuma circunstncia, tentar averiguar uma falha suspeita. Isto para sua prpria proteo, pois a investigao de uma falha pode ser interpretada como potencial uso imprprio do sistema. 6.3.3 Notificando mau funcionamento de software Convm que sejam estabelecidos procedimentos para notificar mau funcionamento de software. Recomenda-se que as seguintes aes sejam consideradas. a) Convm que os sintomas do problema e quaisquer mensagens apresentadas na tela sejam anotadas. b) Convm que o computador seja isolado e, se possvel, seu uso deve ser paralisado. Convm que o contato apropriado seja alertado imediatamente. Se o equipamento for examinado, convm que seja desconectado de qualquer rede de computadores antes de ser ligado novamente. Convm que os disquetes no sejam transferidos para outros computadores. c) Convm que o assunto seja notificado imediatamente ao gestor da segurana da informao. Convm que os usurios no tentem remover o software suspeito, a menos que sejam autorizados. Convm que uma equipe adequadamente treinada e experiente trate da recuperao. 6.3.4 Aprendendo com os incidentes Convm que existam mecanismos para permitir que tipos, quantidades e custos dos incidentes e dos maus funcionamentos sejam quantificados e monitorados. Convm que esta informao seja usada para identificar incidentes ou maus funcionamentos recorrentes ou de alto impacto. Isto pode indicar a necessidade de melhorias ou controles adicionais para limitar a freqncia, danos e custos de ocorrncias futuras ou para ser levado em considerao quando for realizado o processo de anlise crtica da poltica de segurana. 6.3.5 Processo disciplinar Convm que exista processo disciplinar formal para os funcionrios que tenham violado as polticas e procedimentos de segurana organizacional (ver 6.1.4 e, para reteno de evidncias, ver 12.1.7). Tal processo pode dissuadir funcionrios que, de outra forma, seriam inclinados a desrespeitar os procedimentos de segurana. Adicionalmente, convm que se assegure um tratamento justo e correto aos funcionrios que so suspeitos de cometer violaes de segurana, srias ou persistentes.

PROJETO 21:204.01-010:2001
7 Segurana fsica e do ambiente 7.1 reas de segurana Objetivo: Prevenir acesso no autorizado, dano e interferncia s informaes e instalaes fsicas da organizao.

13

Convm que os recursos e instalaes de processamento de informaes crticas ou sensveis do negcio sejam mantidos em reas seguras, protegidas por um permetro de segurana definido, com barreiras de segurana apropriadas e controle de acesso. Convm que estas reas sejam fisicamente protegidas de acesso no autorizado, dano ou interferncia. Convm que a proteo fornecida seja proporcional aos riscos identificados. Polticas de mesa limpa e tela limpa so recomendadas para reduzir o risco de acesso no autorizado ou danos a papis, mdias, recursos e instalaes de processamento de informaes. 7.1.1 Permetro da segurana fsica A proteo fsica pode ser alcanada atravs da criao de diversas barreiras fsicas em torno da propriedade fsica do negcio e de suas instalaes de processamento da informao. Cada barreira estabelece um permetro de segurana, contribuindo para o aumento da proteo total fornecida. Convm que as organizaes usem os permetros de segurana para proteger as reas que contm os recursos e instalaes de processamento de dados (ver 7.1.3). Um permetro de segurana qualquer coisa que estabelea uma barreira, por exemplo, uma parede, uma porta com controle de entrada baseado em carto ou mesmo um balco de controle de acesso com registro manual. A localizao e a resistncia de cada barreira dependem dos resultados da anlise de risco. Recomenda-se que as seguintes diretrizes e controles sejam considerados e implementados nos locais apropriados: a) Convm que o permetro de segurana esteja claramente definido. b) Convm que o permetro de um prdio ou local que contenha recursos de processamento de dados seja fisicamente consistente (isto , no podem existir brechas onde uma invaso possa ocorrer facilmente). Convm que as paredes externas do local possuam construo slida e todas as portas externas sejam protegidas de forma apropriada contra acessos no autorizados, como, por exemplo, mecanismos de controle, travas, alarmes, grades etc. c) Convm que uma rea de recepo ou outro meio de controle de acesso fsico ao local ou prdio seja usado. Convm que o acesso aos locais ou prdios seja restrito apenas ao pessoal autorizado. d) Convm que barreiras fsicas sejam, se necessrio, estendidas da laje do piso at a laje superior, para prevenir acessos no autorizados ou contaminao ambiental, como as causadas por fogo e inundaes. e) Convm que todas as portas de incndio no permetro de segurana possuam sensores de alarme e mola para fechamento automtico. 7.1.2 Controles de entrada fsica Convm que as reas de segurana sejam protegidas por controles de entrada apropriados para assegurar que apenas pessoas autorizadas tenham acesso liberado. Recomenda-se que os seguintes controles sejam considerados: a) Convm que visitantes das reas de segurana sejam supervisionados ou conduzidos e tenham registrado a data e hora de sua entrada e sada. Convm que essas pessoas obtenham acesso apenas a reas especficas, com propsitos autorizados e que esses acessos sigam instrues baseadas nos requisitos de segurana e procedimentos de emergncia prprios da rea considerada. b) Convm que acesso s informaes sensveis, instalaes e recursos de processamento de informaes seja controlado e restrito apenas ao pessoal autorizado. Convm que os controles de autenticao, como por exemplo, cartes com PIN (nmero de identificao individual ou personal identification number), sejam usados para autorizar e validar qualquer acesso. Convm que, ainda, seja mantida em segurana uma trilha de auditoria contendo todos os acessos ocorridos. c) Convm que todos os funcionrios utilizem alguma forma visvel de identificao e sejam incentivados a informar segurana sobre a presena de qualquer pessoa no identificada ou de qualquer estranho no acompanhado. d) Convm que os direitos de acesso s reas de segurana sejam regularmente revistos e atualizados. 7.1.3 Segurana em escritrios, salas e instalaes de processamento Uma rea de segurana pode ser um escritrio fechado ou diversas salas dentro de um permetro de segurana fsica, que podem estar fechadas ou podem conter armrios fechados ou cofres. Convm que a seleo e o projeto de uma rea de segurana leve em considerao as possibilidades de dano causado por fogo, inundaes, exploses, manifestaes civis e outras formas de desastres naturais ou causados pelo homem. Convm que tambm sejam levados em considerao as regulamentaes e padres de segurana e sade. Tambm devem tratar qualquer ameaa originada em propriedades vizinhas, como por exemplo, vazamento de gua de outras reas. Recomenda-se que os seguintes controles sejam considerados. a) Convm que as instalaes crticas sejam localizadas de forma a evitar o acesso pblico. b) Convm que os prdios sejam sem obstrues em seu acesso, com indicaes mnimas do seu propsito, sem sinais bvios, tanto fora quanto dentro do prdio, da presena de atividades de processamento de informao.

14

PROJETO 21:204.01-010:2001
c) Convm que os servios de suporte e equipamentos, como por exemplo, fotocopiadoras e mquinas de fax, sejam instalados de forma apropriada dentro de reas de segurana para evitar acesso que poderia comprometer a informao. d) Convm que as portas e janelas sejam mantidas fechadas quando no utilizadas e que sejam instaladas protees externas, principalmente quando essas portas e janelas se localizarem em andar trreo. e) Convm que os sistemas de deteco de intrusos sejam instalados por profissionais especializados e testados regularmente, de forma a cobrir todas as portas externas e janelas acessveis. Convm que as reas no ocupadas possuam um sistema de alarme que permanea sempre ativado. Convm que esses cuidados tambm cubram outras reas, como por exemplo, a sala de computadores ou salas de comunicao. f) Convm que as instalaes de processamento da informao gerenciadas pela organizao fiquem fisicamente separadas daquelas gerenciadas por terceiros. g) Convm que os arquivos e as listas de telefones internos que identificam os locais de processamento das informaes sensveis no sejam de acesso pblico; h) Convm que os materiais combustveis ou perigosos sejam guardados de forma segura a uma distncia apropriada de uma rea de segurana. Convm que os suprimentos volumosos, como material de escritrio, no sejam guardados em uma rea de segurana, a menos que requeridos. i) Convm que os equipamentos de contingncia e meios magnticos de reserva (back up) sejam guardados a uma distncia segura da instalao principal para evitar que desastres neste local os afetem. 7.1.4 Trabalhando em reas de segurana Manuais e controles adicionais podem ser necessrios para melhorar as condies de uma rea de segurana. Isto inclui controles tanto para o pessoal da organizao como para terceiros que trabalham em reas de segurana, assim como para atividades terceirizadas que possam ocorrer nessa rea. Recomenda-se que os seguintes itens sejam considerados. a) Convm que os funcionrios s tenham conhecimento da existncia de rea de segurana ou de atividades dentro dela, quando necessrio. b) Convm que se evite trabalho sem superviso nas reas de segurana, tanto por razes de segurana como para prevenir oportunidades para atividades maliciosas. c) Convm que as reas de segurana desocupadas sejam mantidas fisicamente fechadas e verificadas periodicamente. d) Convm que pessoal de servio de suporte terceirizado tenha acesso restrito s reas de segurana ou s instalaes de processamento de informaes sensveis, somente quando suas atividades o exigirem. Convm que este acesso seja autorizado e monitorado. Barreiras e permetros adicionais para controlar o acesso fsico podem ser necessrios em reas com diferentes requisitos de segurana dentro de um mesmo permetro de segurana. e) Convm que no se permitam o uso de equipamentos fotogrficos, de vdeo, de udio ou de outro equipamento de gravao, a menos que seja autorizado. 7.1.5 Isolamento das reas de expedio e carga Convm que as reas de expedio e de carregamento sejam controladas e, se possvel, isoladas das instalaes de processamento da informao, com o objetivo de evitar acessos no autorizados. Convm que os requisitos de segurana sejam determinados a partir de uma anlise de risco. Recomenda-se que os seguintes itens sejam considerados. a) Convm que acesso a rea de manipulao e suporte (carga e descarga) externa ao prdio seja restrito somente ao pessoal identificado e autorizado. b) Convm que esta rea seja projetada de forma que os suprimentos possam ser descarregados sem que o pessoal responsvel pela entrega tenha acesso s outras partes do prdio. c) Convm que a(s) porta(s) externa(s) destas reas sejam mantida(s) protegida(s) quando as portas internas estiverem abertas. d) Convm que o material de entrada seja inspecionado contra potenciais perigos [ver 7.2.1 d)], antes de ser transportado dessa rea para a rea na qual ser utilizado. e) Convm que material recebido seja registrado, se apropriado (ver 5.1), quando da sua recepo. 7.2 Equipamentos de segurana Objetivo: Prevenir perda, dano ou comprometimento dos ativos, e a interrupo das atividades do negcio. Convm que os equipamentos sejam fisicamente protegidos contra ameaas sua segurana e perigos ambientais. A proteo dos equipamentos (incluindo aqueles utilizados fora das instalaes fsicas) necessria para reduzir o risco de acessos no autorizados a dados e para proteo contra perda ou dano. Convm que esta proteo considere os equipamentos instalados e os em alienao. Controles especiais podem ser exigidos para proteo contra perigos ou acessos no autorizados e para salvaguardar as instalaes de infra-estrutura, como o fornecimento de energia eltrica e cabeamento.

PROJETO 21:204.01-010:2001
7.2.1 Instalao e proteo de equipamentos

15

Convm que os equipamentos sejam instalados ou protegidos para reduzir o risco de ameaas ambientais, perigos e oportunidades de acesso no autorizado. Recomenda-se que os seguintes itens sejam considerados. a) Convm que os equipamentos sejam instalados de forma a reduzir acessos desnecessrios rea de trabalho. b) Convm que as instalaes de processamento e armazenamento de informao que tratam informaes sensveis sejam posicionadas de maneira a reduzir riscos de espionagem de informaes durante o seu uso. c) Convm que os itens que necessitem de proteo especial sejam isolados para reduzir o nvel geral de proteo exigida. d) Convm que sejam adotados controles de forma a minimizar ameaas potenciais, incluindo: 1) 2) 3) 4) 5) 6) 7) 8) 9) roubo; fogo; explosivos; fumaa; gua (ou falha de abastecimento); poeira; vibrao; efeitos qumicos; interferncia no fornecimento eltrico;

10) radiao eletromagntica. e) Convm que uma organizao considere polticas especficas para alimentao, bebida e fumo nas proximidades das instalaes de processamento da informao. f) Convm que aspectos ambientais sejam monitorados para evitar condies que possam afetar de maneira adversa a operao dos recursos de processamento da informao. g) Convm que uso de mtodos de proteo especial, como membranas para teclados, seja considerado para equipamentos em ambiente industrial. h) Convm que o impacto de um desastre que possa ocorrer nos proximidades da instalao, como por exemplo, um incndio em um prdio vizinho, vazamentos de gua no telhado ou em andares abaixo do nvel do cho ou exploses na rua, tambm seja considerado. 7.2.2 Fornecimento eltrico Convm que os equipamentos sejam protegidos contra falhas de energia e outras anomalias na alimentao eltrica. Convm que um fornecimento eltrico apropriado ocorra em conformidade com as especificaes do fabricante. Algumas opes para alcanar a continuidade do fornecimento eltrico incluem: a) alimentao mltipla para evitar um nico ponto de falha no fornecimento eltrico; b) no-break (Uninterruptable Power Supply - UPS); c) gerador de reserva. recomendado o uso de no-breaks em equipamentos que suportem atividades crticas para permitir o encerramento ordenado ou a continuidade do processamento. Convm que os planos de contingncia contenham aes a serem tomadas em casos de falha no no-break. Convm que esse tipo de equipamento seja periodicamente verificado, de forma a garantir que ele esteja com a capacidade adequada, e testado de acordo com as recomendaes do fabricante. Convm que um gerador de reserva seja considerado se o processamento requer continuidade, em caso de uma falha eltrica prolongada. Se instalados, convm que os geradores sejam testados regularmente de acordo com as instrues do fabricante. Convm que um fornecimento adequado de leo esteja disponvel para assegurar que o gerador possa ser utilizado por um perodo prolongado. Adicionalmente, convm que se tenham interruptores eltricos de emergncia localizados prximo s sadas de emergncia das salas de equipamentos para facilitar o desligamento em caso de emergncia. Convm que iluminao de emergncia esteja disponvel em casos de falha da fonte eltrica primria. Convm que proteo contra relmpagos seja usada em todos os prdios e que filtros de proteo contra raios sejam instalados para todas as linhas de comunicao externas.

16

PROJETO 21:204.01-010:2001
7.2.3 Segurana do cabeamento Convm que o cabeamento eltrico e de telecomunicao que transmite dados ou suporta os servios de informao seja protegido contra interceptao ou dano. Recomenda-se que os seguintes controles sejam considerados. a) Convm que as linhas eltricas e de telecomunicaes das instalaes de processamento da informao sejam subterrneas, onde possvel, ou sejam submetidas proteo alternativa adequada. b) Convm que o cabeamento da rede seja protegido contra interceptaes no autorizadas ou danos, por exemplo pelo uso de condutes ou evitando a sua instalao atravs de reas pblicas. c) Convm que os cabos eltricos fiquem separados dos cabos de comunicao para prevenir interferncias. d) Convm que para sistemas crticos ou sensveis, sejam utilizados alguns controles adicionais: 1) 2) 3) 4) instalao de condutes blindados e salas ou gabinetes trancados nos pontos de inspeo e terminais; uso de rotas e meios de transmisso alternativos; uso de cabeamento de fibra ptica; varredura inicial para identificar dispositivos no autorizados conectados aos cabos.

7.2.4 Manuteno de equipamentos Convm que a manuteno correta dos equipamentos garanta a continuidade da disponibilidade e integridade dos mesmos. Recomenda-se que os seguintes itens sejam considerados. a) Convm que os equipamentos tenham manuteno de acordo com intervalos e especificaes do fabricante. b) Convm que apenas pessoal autorizado execute reparos e servios nos equipamentos. c) Convm que se mantenham registros de todas as falhas suspeitas ou ocorridas e de toda manuteno corretiva e preventiva. d) Convm que controles apropriados sejam utilizados quando do envio de equipamentos para manuteno fora da instalao fsica (ver tambm 7.2.6, considerando dados apagados, modificados ou sobrepostos). Convm que todos os requisitos impostos pelas aplices de seguro sejam atendidos. 7.2.5 Segurana de equipamentos fora das instalaes Independentemente de quem seja o proprietrio, convm que o uso de qualquer equipamento para o processamento da informao fora das instalaes da organizao seja autorizado pela Alta Administrao. Convm que a segurana fornecida seja equivalente quela oferecida aos equipamentos utilizados dentro da organizao para o mesmo propsito, levando-se em conta os riscos de se trabalhar fora das instalaes da organizao. Os equipamentos de processamento de informao incluem todas as formas de computadores pessoais, agendas eletrnicas, telefones mveis, papis ou outros, que so levados para se trabalhar em casa ou para fora do ambiente normal de trabalho. Recomenda-se que os seguintes itens sejam considerados. a) Convm que equipamento e mdias levados para fora das instalaes no sejam deixados desprotegidos em reas pblicas. Convm que computadores portteis sejam carregados como bagagem de mo e disfarados sempre que possvel nas viagens. b) Convm que as instrues dos fabricantes para proteo dos equipamentos sejam sempre observadas, como por exemplo, proteo contra exposio a campos magnticos intensos. c) Convm que os controles para trabalho em casa sejam determinados atravs da anlise de risco e os controles apropriados aplicados conforme a necessidade, como por exemplo, gabinetes de arquivo fechados, poltica de mesa limpa e controles de acesso aos computadores. d) Convm que se use uma cobertura adequada de seguro para proteger os equipamentos existentes fora das instalaes da organizao. Os riscos de segurana, como por exemplo, de dano, roubo e espionagem, podem variar consideravelmente conforme a localizao e convm que sejam levados em conta na determinao dos controles mais apropriados. Maiores informaes sobre a proteo de equipamentos mveis podem ser encontradas em 9.8.1. 7.2.6 Reutilizao e alienao segura de equipamentos A informao pode ser exposta pelo descuido na alienao ou reutilizao de equipamentos (ver tambm 8.6.4). Convm que dispositivos de armazenamento que contenham informao sensvel sejam destrudos fisicamente ou sobrescritos de forma segura ao invs da utilizao de funes-padro para a deleo. Convm que todos os itens de equipamentos que possuem meios de armazenamento, como, por exemplo discos rgidos, sejam checados para se assegurar que toda informao sensvel e software licenciado foi removido ou sobreposto antes da alienao do equipamento. Dispositivos de armazenamento danificados contendo informaes sensveis, podem necessitar uma anlise de riscos para se determinar se tais itens deveriam ser destrudos, reparados ou descartados.

PROJETO 21:204.01-010:2001
7.3 Controles gerais Objetivo: Evitar exposio ou roubo de informao e de instalaes de processamento da informao.

17

Conm que informaes e instalaes de processamento da informao sejam protegidas de divulgao, modificao ou roubo por pessoas no autorizadas, e que sejam adotados controles de forma a minimizar sua perda ou dano. Os procedimentos para manipulao e armazenamento esto considerados em 8.6.3. 7.3.1 Poltica de mesa limpa e tela limpa A organizao deve considerar a adoo de uma poltica de mesa limpa para papis e mdias removveis e uma poltica de tela limpa para as instalaes de processamento da informao, de forma a reduzir riscos de acesso no autorizado, perda e danos informao durante e fora do horrio normal de trabalho. A poltica deve levar em considerao as classificaes da segurana das informaes (ver 5.2), os riscos correspondentes e os aspectos culturais da organizao. As informaes deixadas em mesas de trabalho tambm so alvos provveis de danos ou destruio em um desastre como incndio, inundaes ou exploses. Recomeda-se que os seguintes controles sejam considerados. a) Onde for apropriado, convm que papis e mdias de computador sejam guardados, quando no estiverem sendo utilizados, em gavetas adequadas com fechaduras e/ou outras formas segura de mobilirio, especialmente fora dos horrios de trabalho. b) Informaes sensveis ou crticas ao negcio, quando no forem requeridas, devem ser guardadas, em local distante, de forma segura e fechada (de preferncia em um cofre ou arquivo resistente a fogo), especialmente quando o escritrio estiver vazio. c) Computadores pessoais, terminais de computador e impressoras no devem ser deixados ligados quando no assistidos e devem ser protegidos por senhas, chaves ou outros controle quando no estiverem em uso. d) Pontos de recepo e envio de correspondncias e mquinas de fax e telex no assistidas devem ser protegidos. e) Copiadoras devem ser travadas (ou de alguma forma protegidas contra o uso no autorizado) fora do horrio normal de trabalho. f) Informaes sensveis e classificadas, quando impressas, devem ser imediatamente retiradas da impressora. 7.3.2 Remoo de propriedade Equipamentos, informaes ou software no devem ser retirados da organizao sem autorizao. Quando necessrio e apropriado, os equipamentos devem ser desconectados e conectados novamente no seu retorno. Inspees pontuais devem ser realizadas de forma a detectar a remoo no autorizada de propriedade. As pessoas devem estar cientes de que inspees pontuais sero realizadas. 8 Gerenciamento das operaes e comunicaes 8.1 Procedimentos e responsabilidades operacionais Objetivo: Garantir a operao segura e correta dos recursos de processamento da informao. Convm que os procedimentos e responsabilidades pela gesto e operao de todas as instalaes de processamento das informaes sejam definidos. Isto abrange o desenvolvimento de procedimentos operacionais apropriados e de resposta a incidentes. Recomenda-se que se utilize a segregao de funes (ver 8.1.4), quando apropriado, para reduzir o risco de uso negligente ou doloso dos sistemas. 8.1.1 Documentao dos procedimentos de operao Convm que os procedimentos de operao identificados pela poltica de segurana sejam documentados e mantidos. Convm que procedimentos operacionais sejam tratados como documentos formais e as mudanas autorizadas pela administrao. Convm que os procedimentos especifiquem as instrues para a execuo detalhada de cada tarefa, incluindo: a) processamento e tratamento da informao; b) requisitos de sincronismo, incluindo interdependncias com outros sistemas, a hora mais cedo de incio e a hora mais tarde de trmino das tarefas; c) instrues para tratamento de erros ou outras condies excepcionais, que possam ocorrer durante a execuo de uma determinada tarefa, incluindo restries de uso dos recursos do sistema (ver 9.5.5); d) contato com os tcnicos do suporte para o caso de eventos operacionais no esperados ou dificuldades tcnicas; e) instrues para manipulao de sadas ou produtos especiais, tais como o uso de formulrios especiais ou o tratamento de produtos confidenciais, incluindo procedimentos para a alienao segura de resultados provenientes de rotinas com falhas; f) procedimento para o reincio e recuperao para o caso de falha do sistema. Convm que procedimentos documentados sejam tambm preparados para as atividades de housekeeping associadas com as instalaes das comunicaes e do processamento das informaes, tais como procedimentos de inicializao e encerramento de atividades de computadores, gerao de cpias (back-up), manuteno de equipamentos, segurana e gesto do manuseio das correspondncias e sala de computadores.

18

PROJETO 21:204.01-010:2001
8.1.2 Controle de mudanas operacionais Convm que modificaes nos sistemas, recursos e instalaes de processamento da informao sejam controladas. O controle inadequado de modificaes nos sistemas e nas instalaes de processamento da informao uma causa comum de falha de segurana ou de sistema. Convm que exista uma formalizao dos procedimentos e das responsabilidades para garantir que haja um controle satisfatrio de todas as mudanas de equipamentos, software ou procedimentos. Convm que programas que estejam em produo sejam submetidos a um controle especfico de modificaes. Quando da mudana de programas, convm que seja realizada e mantida uma trilha de auditoria (registro) com todas as informaes relevantes. Modificaes no ambiente operacional podem causar impacto em aplicaes. Sempre que possvel, convm que os procedimentos de controle operacional e de aplicaes sejam integrados (ver tambm 10.5.1). Em particular, recomenda-se que os seguintes controles sejam considerados: a) identificao e registro das modificaes significativas; b) anlise de impacto potencial de tais mudanas; c) procedimento formal de aprovao das mudanas propostas; d) comunicao dos detalhes das modificaes para todas as pessoas com envolvimento relevante; e) procedimentos que identifiquem os responsveis para a suspenso e recuperao de mudanas no caso de insucesso. 8.1.3 Procedimentos para o gerenciamento de incidentes Convm que as responsabilidades e procedimentos de gerenciamento de incidentes sejam definidos para garantir uma resposta rpida, efetiva e ordenada aos incidentes de segurana (ver tambm 6.3.1). Recomenda-se que os seguintes controles sejam considerados: a) Convm que sejam estabelecidos procedimentos que cubram todos os tipos potenciais de incidentes de segurana, incluindo: 1) 2) 3) 4) falhas dos sistemas de informao e inoperncia de servios; no obteno de servio; erros resultantes de dados incompletos ou inconsistentes; violao de confidencialidade.

b) Alm dos planos de contingncia (projetados para recuperao de sistemas ou servios com a maior rapidez possvel), convm que os procedimentos tambm contemplem (ver tambm 6.3.4): 1) 2) 3) 4) 5) anlise e identificao das causas do incidente; planejamento e implementao de medidas para prevenir a recorrncia, se necessrio; coleta de trilhas de auditoria e evidncias similares; comunicao com aqueles afetados ou envolvidos na recuperao de incidentes; relato da ao autoridade apropriada.

c) Convm que trilhas de auditoria e evidncias similares sejam coletadas (ver 12.1.7) e mantidas com a devida segurana, para: 1) anlise de problemas internos; 2) uso como evidncia para o caso de uma potencial violao de contrato, ou de normas reguladoras ou em caso de delitos civis ou criminais, por exemplo relacionados ao uso doloso de computadores ou legislao de proteo dos dados; 3) negociao para compensao ou ressarcimento por parte de fornecedores de software e servios. d) Recomenda-se as aes para recuperao de violaes de segurana e correo de falhas do sistema sejam cuidadosa e formalmente controladas. Recomenda-se os procedimentos garantam que: 1) apenas pessoal explicitamente identificado e autorizado esteja liberado para acessar sistemas e dados em produo (ver tambm 4.2.2 para acesso de terceiros); 2) todas as aes de emergncia adotadas sejam documentadas em detalhe; 3) as aes de emergncia sejam relatadas para a administrao e revisadas de maneira ordenada; 4) a integridade dos sistemas do negcio e seus controles sejam validados na maior brevidade.

PROJETO 21:204.01-010:2001
8.1.4 Segregao de funes

19

A segregao de funes um mtodo para reduo do risco de mau uso acidental ou deliberado dos sistemas. Convm que a separao da administrao de execuo de certas funes ou reas responsabilidade, a fim de reduzir oportunidades para modificao no autorizada ou mau uso das informaes ou dos servios, seja considerada. As pequenas organizaes podem considerar esse mtodo de controle difcil de ser implantado, mas o seu princpio deve ser aplicado to logo quanto possvel e praticvel. Onde for difcil a segregao, convm que outros controles como a monitorao das atividades, trilhas de auditoria e o acompanhamento gerencial sejam considerados. importante que a auditoria da segurana permanea como uma atividade independente. Convm que sejam tomados certos cuidados para que reas nas quais a responsabilidade seja apenas de uma pessoa no venham a ser alvo de fraudes que no possam ser detectadas. Recomenda-se que o incio de um evento seja separado de sua autorizao. Recomenda-se que os seguintes controles sejam considerados. a) importante segregar atividades que requeiram cumplicidade para a concretizao de uma fraude, por exemplo a emisso de um pedido de compra e a confirmao do recebimento da compra. b) Se existir o perigo de conluios, ento necessrio o planejamento de controles de modo que duas ou mais pessoas necessitem estar envolvidas, diminuindo dessa forma a possibilidade de conspiraes. 8.1.5 Separao dos ambientes de desenvolvimento e de produo A separao dos ambientes de desenvolvimento, teste e operao importante para se alcanar a segregao de funes envolvidas. Convm que as regras para a transferncia de software em desenvolvimento para produo sejam bem definidas e documentadas. As atividades de desenvolvimento e teste podem causar srios problemas, como por exemplo modificaes no autorizadas total ou parcialmente de arquivos ou do sistema. Convm que seja avaliado o nvel de separao necessrio entre o ambiente de produo e os ambientes de teste e de desenvolvimento, para prevenir problemas operacionais. Convm que uma separao semelhante tambm seja implementada entre as funes de desenvolvimento e de teste. Nesse caso, necessria a existncia de um ambiente confivel e estvel, no qual possam ser executados os testes e que seja capaz de prevenir o acesso indevido do pessoal de desenvolvimento. Quando o pessoal de desenvolvimento e teste possui acesso ao ambiente de produo, eles podem introduzir cdigos no testados ou autorizados, ou mesmo alterar os dados reais do sistema. Em alguns sistemas essa capacidade pode ser mal utilizada para a execuo de fraudes, ou introduo de cdigos maliciosos ou no testados. Esse tipo de cdigo pode causar srios problemas operacionais. O pessoal de desenvolvimento e os encarregados dos testes tambm representam uma ameaa confidencialidade das informaes de produo. As atividades de desenvolvimento e teste podem causar modificaes no intencionais nos softwares e informao se eles compartilharem o mesmo ambiente computacional. A separao dos recursos de desenvolvimento, de teste e operacionais dessa forma bastante desejvel para a reduo do risco de modificao acidental ou acesso no autorizado ao software operacional e dados dos negcios. Recomenda-se que os seguintes controles sejam considerados. a) Convm que software em desenvolvimento e software em produo sejam, sempre que possvel, processados em diferentes processadores, ou diferentes domnios ou diretrios. b) Convm que as atividades de desenvolvimento e teste ocorram de forma separada, tanto quanto possvel. c) Convm que compiladores, editores e outros programas utilitrios no sejam acessveis a partir do ambiente de produo, quando isso no for uma necessidade. d) Convm que o processo de acesso ao ambiente de produo seja diferente do acesso de desenvolvimento para reduzir a possibilidade de erro. Convm que os usurios sejam incentivados a usar diferentes senhas para esses ambientes e as telas de abertura exibam mensagens de identificao apropriadas. e) Convm que o pessoal de desenvolvimento receba senhas para acesso ao ambiente de produo, de forma controlada, e apenas para suporte a sistemas no ambiente de produo. Convm que sejam utilizados controles que garantam que tais senhas sejam alteradas aps o uso. 8.1.6 Gesto de recursos terceirizados O uso de um terceiro para gerenciar processamento da informao pode gerar um aumento do grau de exposio da segurana, tais como a possibilidade de comprometimento, dano ou perda de dados no ambiente do prestador do servio. Convm que esses riscos sejam previamente identificados e que os controles apropriados sejam acordados com o prestadores de servio e includos no acordo de servio (ver tambm 4.2.2 e 4.3 para referncias sobre os contratos com terceiros envolvendo acesso s instalaes e ambientes da organizao e contratos de terceirizao de servios). Convm que os tpicos especficos considerados incluam: a) identificao das aplicaes crticas e sensveis que devem ser processadas internamente; b) obteno da aprovao dos gestores ou responsveis pelos processos e sistemas;

20

PROJETO 21:204.01-010:2001
c) implicaes nos planos de continuidade do negcio; d) estabelecimento de normas de segurana e um processo de aferio de conformidade a esses padres; e) definio de procedimentos de monitorao e das respectivas responsabilidades, de forma a garantir o acompanhamento das atividades relativas segurana; f) procedimentos e responsabilidades para reportar e tratar incidentes de segurana (ver 8.1.3). 8.2 Planejamento e aceitao dos sistemas Objetivo: Minimizar o risco de falhas nos sistemas. O planejamento e a preparao prvios so requeridos para garantir a disponibilidade adequada de capacidade e recursos. Convm que projees da demanda de recursos e da carga de mquina futuras sejam feitas para reduzir o risco de sobrecarga dos sistemas. Convm que os requisitos operacionais dos novos sistemas sejam estabelecidos, documentados e testados antes da sua aceitao e uso. 8.2.1 Planejamento de capacidade Convm que as demandas de capacidade sejam monitoradas e que as projees de cargas de produo futuras sejam feitas de forma a garantir a disponibilidade da capacidade adequada de processamento e armazenamento. Convm que essas projees levem em considerao os requisitos de novos negcios e sistemas e as tendncias atuais e projetadas do processamento de informao da organizao. Os computadores de grande porte necessitam de uma ateno particular, devido ao seu maior custo e o tempo necessrio para ampliao de capacidade. Convm que os gestores dos servios desses computadores monitorem a utilizao dos principais recursos destes equipamentos, tais como processadores, memria principal, rea de armazenamento de arquivo, impressoras e outros dispositivos de sada, alm dos sistemas de comunicao. Convm que eles identifiquem as tendncias de utilizao, particularmente em relao s aplicaes do negcio ou das aplicaes de gesto empresarial. Convm que os gestores utilizem essas informaes para identificar e evitar os potenciais gargalos que possam representar ameaas segurana do sistema ou aos servios dos usurios, e planejar uma ao apropriada. 8.2.2 Aceitao de sistemas Convm que sejam estabelecidos critrios de aceitao de novos sistemas, atualizaes e novas verses e que sejam efetuados testes apropriados dos sistemas antes da sua aceitao. Convm que os gestores garantam que os requisitos e critrios para aceitao de novos sistemas estejam claramente definidos, acordados, documentados e testados. Recomenda-se que os seguintes controles sejam considerados: a) requisitos de desempenho e de demanda de capacidade computacional; b) recuperao de erros, procedimentos de reinicializao e planos de contingncia; c) elaborao e teste de procedimentos operacionais para o estabelecimento de padres; d) concordncia sobre o conjunto de controles de segurana; e) procedimentos manuais eficazes; f) plano de continuidade de negcios, como requerido em 11.1; g) evidncia de que a instalao do novo sistema no afetar de forma adversa os sistemas j existentes, particularmente nos perodos de pico de demanda de processamento, como, por exemplo, em final de ms; h) evidncia de que tenha sido considerado o impacto do novo sistema na segurana da organizao como um todo; i) treinamento na operao ou uso de novos sistemas. Para os principais novos desenvolvimentos, convm que os usurios e as funes de operao sejam consultados em todos os estgios do processo de desenvolvimento, de forma a garantir a eficincia operacional do projeto proposto e sua adequao s necessidades organizacionais. Convm que os devidos testes sejam executados para garantir que todos os critrios de aceitao sejam satisfeitos. 8.3 Proteo contra software maliciosos Objetivo: Proteger a integridade do software e da informao. necessrio que se adotem precaues para prevenir e detectar a introduo de software malicioso. Os ambientes de processamento da informao e os softwares so vulnerveis introduo de software malicioso, tais como vrus de computador, cavalos de Tria (ver tambm 10.5.4) e outros. Convm que os usurios estejam conscientes sobre os perigos do uso de softwares sem licena ou maliciosos, e os gestores devem, onde cabvel, implantar controles especiais para detectar ou prevenir contra sua introduo. Em particular, essencial que sejam tomadas precaues para deteco e preveno de vrus em computadores pessoais.

PROJETO 21:204.01-010:2001
8.3.1 Controles contra programas maliciosos

21

Convm que sejam implantados controles para a deteco e preveno de programas maliciosos, assim como procedimentos para a devida conscientizao dos usurios. Convm que a proteo contra programas maliciosos seja baseada na conscientizao da segurana, no controle de acesso adequado e nos mecanismos de gerncia de mudanas. Recomenda-se que os seguintes controles sejam considerados: a) uma poltica formal exigindo conformidade com as licenas de uso dos softwares e proibindo o uso de programas no autorizados (ver 12.1.2.2); b) uma poltica formal para proteo contra os riscos associados com a importao de arquivos obtidos de ou atravs de redes externas, ou por qualquer outro meio, indicando quais as medidas preventivas que devem ser adotadas (ver tambm 10.5, especialmente 10.5.4 e 10.5.5); c) instalao e atualizao regular de programas de deteco e remoo de vrus para o exame de computadores e meios magnticos, tanto de forma preventiva como de forma rotineira; d) revises regulares de softwares e dos dados dos sistemas que suportam processos crticos do negcio. Convm que a presena de qualquer arquivo ou atualizao no autorizada seja formalmente investigada; e) verificao, antes do uso, da existncia de vrus em qualquer arquivo em meio magntico de origem desconhecida ou no autorizada, e em qualquer arquivo recebido a partir de redes no confiveis; f) verificao, antes do uso, da existncia de software malicioso em qualquer arquivo recebido atravs de correio eletrnico ou importado (download). Essa avaliao pode ser feita em diversos locais, como, por exemplo, nos servidores de correio eletrnico, nos computadores pessoais ou quando da sua entrada na rede da organizao; g) procedimentos de gerenciamento e respectivas responsabilidades para tratar da preveno de vrus no sistema, treinamento nesses procedimentos, relato e recuperao de ataques de vrus (ver 6.3 e 8.1.3); h) planos de contingncia adequados para a recuperao em caso de ataques por vrus, incluindo os procedimentos necessrios para salva e recuperao dos dados e programas (ver seo 11); i) procedimentos para a verificao de toda informao relacionada a programas maliciosos e garantia de que os alertas sejam precisos e informativos. Convm que os gestores garantam que fontes qualificadas, como, por exemplo, jornais com reputao idnea, sites confiveis ou fornecedores de software antivrus, sejam utilizadas para diferenciar boatos de notcias reais de vrus. Convm que os funcionrios estejam capacitados a lidar com boatos e cientes dos problemas decorrentes desses. Esses controles so especialmente importantes para servidores de arquivo de rede que suportem um grande nmero de estaes de trabalho. 8.4 Housekeeping Objetivo: Manter a integridade e disponibilidade dos servios de comunicao e processamento da informao. Convm que sejam estabelecidos procedimentos de rotina para a execuo das cpias de arquivos e para a disponibilizao dos recursos de reserva, conforme definido na estratgia de contingncia (ver 11.1), de forma a viabilizar a restaurao em tempo hbil, controlando e registrando eventos e falhas e, quando necessrio, monitorando o ambiente operacional. 8.4.1 Cpias de segurana Convm que cpias dos dados essenciais do negcio e de arquivos de programas sejam feitas regularmente. Convm que recursos e instalaes alternativos sejam disponibilizados de forma a garantir que todos os dados e sistemas aplicativos essenciais ao negcio possam ser recuperados aps um desastre ou problemas em mdias. Convm que sejam testados regularmente os backup de sistemas individuais, de maneira a garantir que satisfaam os requisitos dos planos de continuidade de negcios (ver seo 11). Recomenda-se que os seguintes controles sejam considerados. a) Convm que um nvel mnimo de cpias de segurana, juntamente com o controle consistente e atualizado dessas cpias e com a documentao dos procedimentos de recuperao, sejam mantidos em local remoto a uma distncia suficiente para livr-los de qualquer dano que possa ocorrer na instalao principal. Convm que no mnimo trs geraes ou ciclos de cpias de arquivos de dados das aplicaes crticas sejam mantidos. b) Convm que seja dado s cpias de segurana um nvel adequado de proteo fsica e ambiental (ver seo 7), compatvel com os padres utilizados no ambiente principal. Convm que os controles adotados para as mdias no ambiente principal sejam estendidos para o ambiente alternativo. c) Convm que as mdias utilizadas para cpias sejam periodicamente testadas, quando possvel, de modo a garantir sua confiabilidade, quando necessrio. d) Convm que os procedimentos de recuperao sejam verificados e testados periodicamente para assegurar que sejam efetivos e que possam ser aplicados integralmente dentro dos prazos alocados para estes procedimentos operacionais de recuperao. Convm que sejam especificados o perodo de reteno para informaes essenciais ao negcio e tambm qualquer requerimento para o arquivamento de cpias com reteno permanente (ver 12.1.3).

22

PROJETO 21:204.01-010:2001
8.4.2 Registros de operao Convm que seja mantido registro das atividades do pessoal de operao. Convm que esses registros incluam, conforme apropriado: a) horrio de incio e fim dos processamentos; b) erros e aes corretivas adotadas nos processamentos; c) confirmao do correto manuseio dos arquivos de dados e dos resultados gerados nos processamentos; d) identificao de quem est efetuando a operao. Convm que os registros de atividades dos operadores sejam submetidos a checagem regular e independente, em conformidade com os procedimentos operacionais. 8.4.3 Registro de falhas Convm que qualquer tipo de falha seja relatada e que sejam tomadas aes corretivas. Convm que falhas informadas por usurios relativas a problemas com processamento de informao ou sistemas de comunicao sejam registradas. Convm que existam regras claras para o tratamento das falhas informadas, incluindo: a) reviso sobre os registros de falha para se assegurar de que as falhas foram satisfatoriamente resolvidas; b) reviso sobre as medidas corretivas aplicadas para se assegurar de que elas no tenham comprometido os controles e que as aes adotadas tenham sido devidamente autorizadas. 8.5 Gerenciamento da rede Objetivo: Garantir a salvaguarda das informaes na rede e a proteo da infra-estrutura de suporte. O gerenciamento da segurana de redes que se estendam alm dos limites fsicos da organizao requer particular ateno. Tambm pode ser necessria a utilizao de controles adicionais para proteo de dados sensveis que transitam por redes pblicas. 8.5.1 Controles da rede necessria a utilizao de um conjunto de controles, de forma a obter e preservar a segurana nas redes de computadores. Convm que os gestores implementem controles para garantir a segurana de dados nas redes, assim como a proteo dos servios disponibilizados contra acessos no autorizados. Particularmente, recomenda-se que os seguintes itens sejam considerados. a) Convm que a responsabilidade operacional sobre a rede seja segregada da operao dos computadores, onde for apropriado (ver 8.1.4). b) Convm que sejam estabelecidos procedimentos e responsabilidades para o gerenciamento de equipamentos remotos, incluindo equipamentos nas instalaes dos usurios. c) Quando necessrio, convm que sejam estabelecidos controles especiais para salvaguardar a confidencialidade e a integridade dos dados que trafegam por redes pblicas, e para proteger os respectivos sistemas (ver 9.4 e 10.3). Controles especiais tambm podem ser necessrios para manter a disponibilidade dos servios de rede e dos computadores conectados. d) Convm que as atividades de gerenciamento sejam cuidadosamente coordenadas, de forma a otimizarem o servio prestado e garantirem que os controles utilizados sejam aplicados de forma consistente por toda a infra-estrutura de processamento da informao. 8.6 Segurana e manuseio de mdias Objetivo: Prevenir danos aos ativos e interrupes das atividades do negcio. Convm que as mdias sejam controladas e fisicamente protegidas. Convm que procedimentos operacionais apropriados sejam estabelecidos para proteger documentos, mdias magnticas de computadores (fitas, discos, cartuchos), dados de entrada e sada e documentao dos sistemas contra roubo, acesso no autorizado e danos em geral.

PROJETO 21:204.01-010:2001
8.6.1 Gerenciamento de mdias removveis

23

Convm que existam procedimentos para o gerenciamento de mdias removveis, como fitas, discos, cartuchos e formulrios impressos. Recomenda-se que os controles abaixo sejam considerados. a) Quando no for mais necessrio, convm que se apague o contedo de qualquer meio magntico reutilizvel que venha a ser retirado da organizao. b) Convm que seja requerida a autorizao para remoo de qualquer mdia da organizao, assim como mantido o registro dessa remoo como trilha de auditoria (ver 8.7.2). c) Convm que toda mdia seja guardada em ambiente seguro, de acordo com as especificaes do fabricante. Convm que todos os procedimentos e os nveis de autorizao sejam explicitamente documentados. 8.6.2 Destruio de mdias Convm que as mdias sejam descartadas de forma segura e protegida quando no forem mais necessrias. Informaes sensveis podem ser divulgadas para pessoas de fora da organizao atravs da eliminao de mdias feita sem o devido cuidado. Convm que procedimentos formais para a destruio segura das mdias sejam definidos para minimizar os riscos. Recomenda-se que os controles abaixo sejam considerados. a) Convm que mdias contendo informaes sensveis sejam guardadas e destrudas de forma segura e protegida, como por exemplo, atravs de incinerao ou triturao, ou da eliminao dos dados para uso por uma outra aplicao dentro da organizao. b) A lista seguinte identifica itens que podem requerer destruio segura: 1) documentos em papel; 2) gravao de voz ou de outros tipos; 3) papel-carbono; 4) relatrios impressos; 5) fitas de impresso descartveis; 6) fitas magnticas; 7) discos removveis e cartuchos; 8) meio de armazenamento tico (todas as formas e incluindo todas as mdias utilizadas pelos fabricantes para distribuio de software); 9) listagem de programas; 10) dados de teste; 11) documentao de sistemas; c) Pode ser mais fcil implementar a coleta e destruio segura de todas as mdias a serem inutilizadas do que tentar separar apenas aquelas contendo informaes sensveis. d) Muitas organizaes oferecem servios de coleta e destruio de papel, de equipamentos e de mdias magnticas. Convm que se tenha o cuidado na seleo de um prestador de servio com experincia e controles adequados. e) Convm que a destruio de itens sensveis seja registrada em controles sempre que possvel para se manter uma trilha de auditoria. Quando da acumulao de mdias para destruio, convm que se leve em considerao o efeito proveniente da agregao, tornando mais crtica uma grande quantidade de informao no classificada do que uma pequena quantidade de informao confidencial. 8.6.3 Procedimentos para manuseio de informao Convm que sejam estabelecidos procedimentos para o manuseio e o armazenamento de informaes, com o objetivo de proteger tais informaes contra a divulgao ou uso indevidos. Convm que estabeleam procedimentos para o manuseio da informao, consistente com a sua classificao (ver 5.2), em documentos, sistemas de computadores, redes de computadores, computao mvel, comunicao mvel, correio eletrnico, correio de voz, comunicao de voz em geral, multimdia, servios postais, uso de mquinas de fax e qualquer outro item sensvel, como por exemplo cheques em branco e faturas. Recomenda-se que os seguintes controles sejam considerados (ver tambm 5.2 e 8.7.2): a) manuseio e identificao de todos os meios magnticos [ver tambm 8.7.2 a)]; b) restries de acesso para a identificao de pessoal no autorizado;

24

PROJETO 21:204.01-010:2001
c) manuteno de um registro formal dos destinatrios de dados autorizados; d) garantia de que a entrada de dados seja completa, de que o processamento esteja devidamente concludo e de que a validao das sadas seja aplicada; e) proteo dos dados preparados para expedio ou impresso de forma consistente com a sua criticidade; f) armazenamento das mdias em ambientes compatveis com as especificaes dos fabricantes; g) manuteno da distribuio de dados no menor nvel possvel; h) identificao eficaz de todas as cpias de dados, para chamar a ateno dos destinatrios autorizados; i) reviso das listas de distribuio e das listas de destinatrios autorizados em intervalos regulares. 8.6.4 Segurana da documentao dos sistemas A documentao dos sistemas pode conter um grupo de informaes sensveis, como por exemplo descries de processos, procedimentos, estruturas de dados e processos de autorizao (ver tambm 9.1). Recomenda-se que os seguintes controles sejam considerados para proteger a documentao dos sistemas contra acessos no autorizados. a) Convm que a documentao dos sistemas seja guardada de forma segura. b) Convm que a relao de pessoas com acesso autorizado documentao de sistemas seja a menor possvel e autorizada pelo responsvel pelo sistema. c) Convm que a documentao de sistema mantida em uma rede pblica, ou fornecida atravs de uma rede pblica, seja protegida de forma apropriada. 8.7 Troca de informaes e software Objetivo: Prevenir a perda, modificao ou m utilizao de informaes trocadas entre organizaes. Convm que as trocas de informaes e arquivos de programas entre organizaes sejam controladas e estejam em conformidade com toda a legislao pertinente (ver seo 12). Convm que as trocas sejam efetuadas baseadas em contratos. Convm que os procedimentos e padres para proteger informao e mdias em trnsito tambm sejam acordados. Convm que sejam consideradas as possveis implicaes nos negcios e na segurana, relacionadas com a troca eletrnica de dados, com o comrcio eletrnico, com o correio eletrnico e com a necessidade de controles. 8.7.1 Acordos para a troca de informaes e software Convm que os acordos, alguns dos quais podem ser formais, incluindo acordos de distribuio de arquivos de programas, quando apropriado, sejam estabelecidos para a troca de informao e de arquivos de programas (eletrnica ou manual) entre organizaes. Convm que a parte relativa segurana em tais acordos reflita o nvel de sensibilidade das informaes envolvidas no negcio. Recomenda-se que os acordos sobre condies de segurana considerem: a) responsabilidades pelo controle e comunicao de transmisses, expedies e recepes; b) procedimentos para notificao do emissor, da transmisso, expedio e recepo; c) padres tcnicos mnimos para empacotamento e transmisso; d) padres para identificao de portadores; e) responsabilidades e nus no caso de perda de dados; f) utilizao de um sistema de identificao para informaes crticas e sensveis, garantindo que o significado dos rtulos seja imediatamente entendido e que a informao esteja devidamente protegida; g) propriedade das informaes e dos sistemas e responsabilidade pela proteo dos dados, dos direitos de propriedade de programas e consideraes afins (ver 12.1.2 e 12.1.4); h) normas tcnicas para a gravao e leitura de informaes e software; i) qualquer controle especial que possa ser necessrio para proteo de itens sensveis, tais como chaves criptogrficas (ver 10.3.5). 8.7.2 Segurana de mdias em trnsito A informao pode ficar vulnervel a acessos no autorizados, uso imprprio ou alterao durante o seu transporte fsico, como por exemplo quando se enviam meios magnticos atravs de servio postal ou de mensageiro. Recomenda-se que os seguintes controles sejam aplicados para salvaguardar as mdias de computador que esto sendo transportadas entre localidades a) Convm que utilizao de transporte ou de servio de mensageiro seja confivel. Convm que seja definida uma relao de portadores autorizados em concordncia com os gestores e que seja estabelecido um procedimento para a identificao dos portadores. b) Convm que a embalagem seja suficiente para proteger o contedo contra qualquer dano fsico, como os que podem ocorrer durante o transporte e que seja feita de acordo com especificaes dos fabricantes.

PROJETO 21:204.01-010:2001

25

c) Convm que sejam adotados controles especiais, quando necessrio, para proteger informaes crticas contra divulgao no autorizada ou modificao. Como exemplo, pode-se incluir: 1) 2) 3) 4) 5) utilizao de recipientes lacrados; entrega em mos; lacre explcito de pacotes (que revele qualquer tentativa de acesso); em casos excepcionais, diviso do contedo para mais de uma entrega e expedio por rotas distintas; uso de assinatura digital e de criptografia (ver 10.3).

8.7.3 Segurana do comrcio eletrnico O comrcio eletrnico pode envolver o uso de troca eletrnica de dados (EDI), de correio eletrnico e de transaes on-line atravs de redes pblicas tal como a Internet. O comrcio eletrnico vulnervel a inmeras ameaas da rede que podem resultar em atividades fraudulentas, violaes de contratos e divulgao ou modificao de informao. Convm que controles sejam aplicados para proteger o comrcio eletrnico de tais ameaas. Recomenda-se que as consideraes de segurana para o comrcio eletrnico incluam o seguinte. a) Autenticao. Qual nvel de confiana deve ser requerido pelo cliente e pelo comerciante para se garantir a identidade de cada um deles? b) Autorizao. Quem est autorizado a estabelecer preos, emitir ou assinar documentos comerciais chave? Como os parceiros do negcios tomam conhecimento disto? c) Contratao e processos de apresentao de propostas. Quais so os requisitos de confidencialidade, integridade e prova de envio e recebimento de documentos-chave e de no repdio de contratos? d) Informao de preo. Qual nvel de confiana pode-se ter da integridade da lista de preos e na confidencialidade dos acordos de descontos? e) Transaes. Qual a confidencialidade e a integridade dos detalhes do endereo fornecidos para o pedido de compra, pagamento e entrega? E da confirmao de recebimento? f) Investigao. Qual nvel de investigao o mais apropriado para checagem das informaes de pagamento fornecidas pelo cliente? g) Liquidao. Qual a forma mais apropriada de pagamento para se evitar fraudes? h) Pedido de compra. Que tipos de proteo so necessrios para se manter a confidencialidade e a integridade da informao do pedido de compra, e para se evitar a perda ou duplicao das transaes? i) Responsabilizao. Quem responde pelo risco de qualquer transao fraudulenta? Muitas das consideraes feitas acima podem ser solucionadas atravs da aplicao de tcnicas de criptografia apresentadas em 10.3, levando-se em conta a conformidade com os requisitos legais (ver 12.1, especialmente 12.1.6 que trata da legislao sobre criptografia). Convm que os acordos de comrcio eletrnico entre parceiros comerciais sejam baseados em um contrato formal que comprometa as partes com os termos do acordo comercial, incluindo os detalhes de autorizao (ver item b acima). Outros acordos com fornecedores de servios de tecnologia de informao e de provedores de rede tambm podem ser necessrios. Convm que os sistemas comerciais pblicos divulguem seus termos comerciais para seus clientes. Convm que seja considerada a capacidade de resilincia a ataques dos computadores centrais utilizados no comrcio eletrnico e a implicaes na segurana de qualquer conexo que seja necessria na rede de telecomunicaes para sua implementao (ver 9.4.7). 8.7.4 Segurana do correio eletrnico 8.7.4.1 Riscos de segurana O correio eletrnico est sendo utilizado para as comunicaes comerciais, substituindo meios tradicionais, tais como telex e cartas. O correio eletrnico difere das formas convencionais de comunicao comercial em, por exemplo, velocidade, estrutura da mensagem, grau de informalidade e vulnerabilidade a aes no autorizadas. Convm que se leve em conta a necessidade de controles para se reduzirem os riscos gerados pelo uso do correio eletrnico. Os riscos de segurana incluem: a) vulnerabilidade das mensagens ao acesso no autorizado, modificao ou negao do servio; b) vulnerabilidade a erro como por exemplo endereamento e direcionamento incorretos, e em geral a falta de confiabilidade e disponibilidade do servio; c) impacto da mudana do meio de comunicao nos processos do negcio, como por exemplo o efeito do aumento da velocidade dos encaminhamentos ou o efeito do envio de mensagens formais no mbito de pessoa para pessoa ao invs de companhia para companhia; d) consideraes legais relacionadas com a necessidade potencial de prova de origem, envio, recebimento e aceitao; e) implicaes da divulgao externa de listas de funcionrios; f) controle sobre o acesso dos usurios remotos s contas de correio eletrnico.

26

PROJETO 21:204.01-010:2001
8.7.4.2 Poltica de uso do correio eletrnico Convm que as organizaes definam uma poltica clara para a utilizao do correio eletrnico, incluindo: a) ataques ao correio eletrnico, como por exemplo, por vrus e interceptao; b) proteo de anexos de correio eletrnico; c) orientaes de quando no se deve utilizar o correio eletrnico; d) responsabilidades dos funcionrios de forma a no comprometer a organizao, como por exemplo o envio de mensagens difamatrias, uso do correio eletrnico para atormentar pessoas ou fazer compras no autorizadas; e) uso de tcnicas de criptografia para proteger a confidencialidade e integridade das mensagens eletrnicas (ver 10.3); f) reteno de mensagens que, se guardadas, podem ser descobertas e utilizadas em casos de litgio; g) controles adicionais para a investigao de mensagens que no puderem ser autenticadas. 8.7.5 Segurana dos sistemas de automao de escritrio Convm que polticas e diretrizes sejam preparadas e implementadas para controlar o negcio e os riscos de segurana associados com os sistemas de automao de escritrio. Isso traz oportunidades para a rpida disseminao e compartilhamento de informaes, utilizando-se de uma combinao de: documentos, computadores, computao mvel, comunicao mvel, correio eletrnico, correio de voz, comunicao de voz em geral, multimdia, servios postais e mquinas de fax. Convm que as consideraes relacionadas com a segurana e com o negcio e que esto envolvidas com tal conjunto de recursos incluam: a) vulnerabilidades da informao nos sistemas de escritrio, como por exemplo gravao de chamadas telefnicas, confidencialidade das chamadas, armazenamento de faxes, abertura de correio, distribuio de correspondncia; b) poltica e controles apropriados para gerenciar o compartilhamento de informaes, como por exemplo o uso de BBS corporativa (ver 9.1); c) excluso das categorias de informao sensvel ao negcio caso o sistema no fornea o nvel de proteo apropriado (ver 5.2); d) restrio do acesso a informaes de trabalho relacionadas com indivduos especficos, como por exemplo grupo de trabalho de projetos sensveis; e) adequao, ou outras medidas, dos sistemas que suportam aplicaes do negcio, como os de comunicaes ou autorizaes; f) categorias de funcionrios, prestadores de servio ou terceiros, autorizados a usar o sistema e as localidades a partir dos quais eles possam ser acessados (ver 4.2); g) restrio de facilidades selecionadas a categorias especficas de usurios; h) identificao da categoria dos usurios, como por exemplo listas dos funcionrios da organizao ou prestadores de servio, em benefcio de outros usurios; i) gerao e reteno de arquivos cpias de informao mantidos no sistema (ver 12.1.3 e 8.4.1); j) requisitos e acordos de recuperao e contingncia (ver 11.1) 8.7.6 Sistemas disponveis publicamente Convm que se tome cuidado para proteger a integridade da informao divulgada eletronicamente, de forma a prevenir modificaes no autorizadas que possam prejudicar a reputao pblica da organizao. A informao em sistemas disponveis para o pblico, como por exemplo informaes em um servidor acessvel atravs da Internet, pode necessitar estar em conformidade com as leis, normas e regulamentaes na jurisdio na qual o sistema esteja localizado ou onde a transao estiver sendo realizada. Convm que exista um processo de autorizao formal antes da publicao de uma informao. Convm que arquivos de programas, dados e outras informaes que requeiram um alto nvel de integridade, expostos em um sistema pblico, sejam protegidos por mecanismos apropriados, como por exemplo assinaturas digitais (ver 10.3.3). Convm que sistemas de publicao eletrnica, especialmente aqueles que permitam retorno (feedback) e entrada direta de informaes, sejam cuidadosamente controlados, de forma que: a) a informao seja obtida em conformidade com a legislao relacionada proteo de dados (ver 12.1.4); b) a entrada e o processamento de dados sejam feitos de forma completa e no devido tempo; c) as informaes sensveis sejam protegidas durante o processo de coleta e quando armazenadas; d) a forma de acesso a sistemas que divulguem informaes no permita o acesso casual s redes nas quais esses sistemas estejam conectados.

PROJETO 21:204.01-010:2001
8.7.7 Outras formas de troca de informao

27

Convm que sejam definidos procedimentos e controles para proteo da troca de informao atravs da comunicao verbal, de fax e de vdeo. A informao pode ser comprometida atravs da falta de ateno e de polticas e de procedimentos adequados utilizao destes recursos, como por exemplo atravs da escuta de conversa quando do uso de um telefone mvel em local pblico, atravs da escuta no autorizada de mensagens em secretrias eletrnicas, atravs do acesso no autorizado a sistemas de correios de voz ou atravs do envio acidental de fax para pessoas erradas. As operaes de negcio podem ser prejudicadas e a informao pode ser comprometida se os recursos de comunicao falharem, forem sobrecarregados ou interrompidos (ver 7.2 e seo 11). A informao tambm pode ser comprometida se for acessada por usurios no autorizados (ver seo 9). Convm que seja estabelecida uma poltica clara, dispondo sobre os procedimentos a serem seguidos pelos funcionrios, na utilizao de comunicao por voz, fax e vdeo. Recomenda-se que isso inclua: a) relembrar aos funcionrios que convm que eles tomem as precaues apropriadas, como por exemplo no revelar informaes sensveis ou evitar deixar que suas ligaes a partir de locais pblicos sejam captadas ou interceptadas por pessoas que se encontram prximas ao telefone utilizado, levando-se em conta: 1) pessoas nas proximidades, principalmente quando se est falando em telefones mveis; 2) interceptao de cabo telefnico e outras formas de escuta atravs de acesso fsico ao aparelho ou linha telefnica, ou atravs do uso de receptores que faam o rastreamento da freqncia quando se utilizam telefones mveis analgicos; 3) outras pessoas prximas ao receptor final; b) relembrar aos funcionrios que convm que eles no efetuem conversaes sobre assuntos confidenciais em locais pblicos ou em escritrios abertos ou em reunies em salas com paredes finas; c) no deixar mensagens em secretrias eletrnicas, pois essas podem ser resgatadas por pessoas no autorizadas, armazenadas em sistemas de uso comum ou armazenadas de forma incorreta como resultado de erro de discagem; d) relembrar aos funcionrios sobre os problemas relativos utilizao de equipamentos de fax, a saber: 1) acesso no autorizado s mensagens enviadas ou a serem enviadas; 2) falha intencional ou acidental na programao do envio de faxes; 3) envio de documentos ou mensagens para nmeros errados atravs de discagem incorreta ou da utilizao de nmeros errados guardados em memria. 9 Controle de acesso 9.1 Requisitos do negcio para controle de acesso Objetivo: Controlar o acesso informao. Convm que o acesso a informao e processos do negcio seja controlado na base dos requisitos de segurana e do negcio.
Convm que isto leve em considerao as polticas de autorizao e distribuio da informao.

9.1.1 Poltica de controle de acesso 9.1.1.1 Requisitos do negcio e poltica Convm que os requisitos do negcio para controle de acesso sejam definidos e documentados. Convm que as regras de controle de acesso e direitos para cada usurio ou grupo de usurios estejam claramente estabelecidas no documento da poltica de controle de acesso. Convm que seja dado aos usurios e provedores de servio um documento contendo claramente os controles de acesso que satisfaam os requisitos do negcio. Recomenda-se que a poltica leve em conta o seguinte: a) requisitos de segurana de aplicaes especficas do negcio; b) identificao de toda informao referente as aplicaes do negcio; c) polticas para autorizao e distribuio de informao, por exemplo a necessidade de conhecer os princpios e nveis de segurana, bem como a classificao da informao; d) compatibilidade entre o controle de acesso e as polticas de classificao da informao dos diferentes sistemas e redes; e) legislao vigente e qualquer obrigao contratual considerando a proteo do acesso a dados ou servios (ver seo 12); f) perfil de acesso de usurio padro para categorias de trabalho comuns; g) gerenciamento dos direitos de acesso em todos os tipos de conexes disponveis em um ambiente distribudo e conectado em rede.

28

PROJETO 21:204.01-010:2001
9.1.1.2 Regras de controle de acesso Na especificao de regras para controle de acesso, convm que alguns cuidados sejam considerados: a) diferenciao entre as regras que sempre devem ser cumpridas das regras opcionais ou condicionais; b) estabelecimento de regras baseadas na premissa Tudo deve ser proibido a menos que expressamente permitido, ao invs da regra Tudo permitido a menos que expressamente proibido ; c) modificaes nos rtulos de informao (ver 5.2) que so atribudos automaticamente pelos recursos de processamento de dados e dos atribudos a critrio de um usurio; d) modificaes nas permisses de usurios que so atribudas automaticamente por um sistema de informao daquelas atribudas por um administrador; e) diferenciao entre regras que requerem aprovao do administrador ou outro funcionrio antes da liberao e aquelas que no necessitam tal aprovao. 9.2 Gerenciamento de acessos do usurio Objetivo: Prevenir acessos no autorizados aos sistemas de informao. Convm que procedimentos formais sejam estabelecidos para controlar a concesso de direitos de acesso aos sistemas de informao e servios. Convm que os procedimentos cubram todos os estgios do ciclo de vida de acesso de um usurio, do registro inicial de novos usurios at o registro final de excluso dos usurios que no mais necessitam ter acesso aos sistemas de informao e servios. Convm que seja dada ateno especial, onde apropriado, necessidade de controlar a concesso de direitos de acesso privilegiados, os quais permitem aos usurios sobrepor os controles do sistema. 9.2.1 Registro de usurio Convm que exista um procedimento formal de registro e cancelamento de usurio para obteno de acesso a todos os sistemas de informao e servios multiusurios. Convm que o acesso aos servios de informao multiusurio seja controlado atravs de um processo formal de registro de usurio, que recomenda-se que incluia: a) utilizao de identificador de usurio (ID) nico de forma que cada usurio possa ser identificado e feito responsvel por suas aes. Convm que o uso de identificador (ID) de grupo somente seja permitido onde for necessrio para a execuo do trabalho; b) verificao que o usurio tem autorizao do proprietrio do sistema para a utilizao do sistema de informao ou servio. Aprovao do direito de acesso pelo gestor do usurio pode tambm ser necessria; c) verificao de que o nvel de acesso concedido est adequado aos propsitos do negcio (ver 9.1) e est consistente com a poltica de segurana da organizao, por exemplo no compromete a segregao de funes (ver 8.1.4); d) entrega de um documento escrito aos usurios sobre seus direitos de acesso; e) solicitao da assinatura dos usurios indicando que eles entenderam as condies de seus direitos de acesso; f) garantia de que o provedor de servio no fornecer direitos de acesso at que os procedimentos de autorizao sejam concludos; g) manuteno de um registro formal de todas as pessoas cadastradas para usar o servio; h) remoo imediata dos direitos de acesso de usurios que tenham mudado de funo ou sado da organizao; i) verificao peridica para remoo de usurios (ID) e contas redundantes; j) garantia de que identificadores de usurios (ID) redundantes no sejam atribudos para outros usurios. Convm que seja considerada a incluso de clusulas nos contratos de funcionrios e de servios que especifiquem as sanes em caso de tentativa de acesso no autorizado por funcionrio ou prestador de servio (ver tambm 6.1.4 e 6.3.5). 9.2.2 Gerenciamento de privilgios Convm que a concesso e o uso de privilgios (qualquer caracterstica ou facilidade de um sistema de informao multiusurio que permita ao usurio sobrepor controles do sistema ou aplicao) sejam restritos e controlados. O uso inadequado de privilgios em sistemas freqentemente apontado como o maior fator de vulnerabilidade de sistemas. Convm que sistemas multiusurio que necessitam de proteo contra acesso no autorizado tenham a concesso de privilgios controlada atravs de um processo de autorizao formal. Recomenda-se que os seguintes passos sejam considerados. a) Convm que os privilgios associados a cada produto do sistema, por exemplo sistema operacional, sistema de gerenciamento de banco de dados e cada aplicao, e as categorias dos funcionrios para os quais estes necessitam ser concedidos sejam identificados.

PROJETO 21:204.01-010:2001

29

b) Convm que os privilgios sejam concedidos a indivduos conforme a necessidade de uso ou determinao por eventos, por exemplo os requisitos mnimos para sua funo somente quando necessrio. c) Convm que um processo de autorizao e um registro de todos os privilgios concedidos sejam mantidos. Convm que os privilgios no sejam fornecidos at que todo o processo de autorizao esteja finalizado. d) Convm que o desenvolvimento e o uso de rotinas do sistema sejam incentivados de forma a evitar a necessidade de fornecer privilgios aos usurios. e) Convm que os privilgios sejam estabelecidos para uma identidade de usurio diferente daquelas usadas normalmente para os negcios. 9.2.3 Gerenciamento de senha dos usurios Senhas so um meio comum de validao da identidade do usurio para acessar um sistema de informao ou servio. Convm que a concesso de senhas seja controlada atravs de um processo de gerenciamento formal, que recomenda-se que considere o seguinte: a) solicitar aos usurios a assinatura de uma declarao, a fim de manter a confidencialidade de sua senha pessoal e das senhas de grupos de trabalho (isto pode estar incluso nos termos e condies do contrato de trabalho, ver 6.1.4); b) garantir, onde os usurios necessitam manter suas prprias senhas, que esto sendo fornecidas senhas iniciais seguras e temporrias, o que obriga o usurio alter-la imediatamente. Convm que o fornecimento de senhas temporrias para o caso de os usurios esquecerem sua senha seja efetuado somente aps a identificao positiva do mesmo; c) requerer que senhas temporrias sejam dadas aos usurios de forma segura. Convm que o uso de prestadores de servio ou de mensagens de correio eletrnico desprotegidas (texto claro) seja evitado. Convm que os usurios acusem o recebimento das senhas. No convm que senhas sejam armazenadas em sistemas de computador de forma desprotegida (ver 9.5.4). Outras tecnologias para a identificao e autenticao de usurios, tais como reconhecimento biomtrico, por exemplo verificao de impresso digital, verificao de assinatura e utilizao de tokens, como smart cards, j esto disponveis e convm que sejam consideradas, se apropriado. 9.2.4 Reviso dos direitos de acesso do usurio Para manter controle efetivo sobre o acesso aos dados e servios de informao, convm que a gerncia conduza em intervalos regulares de tempo um processo formal de reviso dos direitos de acesso dos usurios, de forma que: a) os direitos de acesso dos usurios sejam revisados periodicamente (um perodo de seis meses recomendado) e aps qualquer alterao (ver 9.2.1); b) as autorizaes para direitos de acesso privilegiados (ver 9.2.2) sejam revisadas em intervalos mais freqentes, sendo recomendado um perodo de trs meses; c) as concesses de privilgios sejam verificadas em intervalos regulares para garantir que privilgios no autorizados no sejam obtidos. 9.3 Responsabilidades do usurio Objetivo: Prevenir acesso no autorizado dos usurios. A cooperao dos usurios autorizados essencial para a eficcia da segurana. Convm que os usurios estejam cientes de suas responsabilidades para a manuteno efetiva dos controles de acesso, considerando particularmente o uso de senhas e a segurana de seus equipamentos. 9.3.1 Uso de senhas Convm que os usurios sigam as boas prticas de segurana na seleo e uso de senhas. As senhas fornecem um meio de validao da identidade do usurio e conseqentemente o estabelecimento dos direitos de acesso para os recursos ou servios de processamento da informao. Convm que todos os usurios sejam informados para: a) manter a confidencialidade das senhas; b) evitar o registro das senhas em papel, a menos que o papel possa ser guardado de forma segura; c) alterar a senha sempre que existir qualquer indicao de possvel comprometimento do sistema ou da prpria senha; d) selecionar senhas de qualidade, com um tamanho mnimo de seis caracteres, que sejam: 1) fceis de lembrar; 2) no baseadas em coisas que outras pessoas possam facilmente adivinhar ou obter a partir de informaes pessoais, por exemplo nomes, nmeros telefnicos, datas de nascimento, etc.; 3) isentas de caracteres idnticos consecutivos ou de grupos de caracteres somente numricos ou alfabticos.

30

PROJETO 21:204.01-010:2001
e) alterar a senha em intervalos regulares ou baseado no nmero de acessos (senhas para contas privilegiadas devem ser alteradas com maior freqncia do que senhas normais) e evitar a reutilizao de senhas; f) alterar senhas temporrias no primeiro acesso ao sistema; g) no incluir senhas em processos automticos de acesso ao sistema, por exemplo armazenadas em macros ou teclas de funo; h) no compartilhar senhas individuais. Se usurios precisarem ter acesso a mltiplas plataformas ou servios e tiverem que manter vrias senhas, convm orient-los a utilizar uma nica senha, de qualidade [ver 9.3.1d)] para todos os servios que proverem um nvel razovel de proteo de armazenamento de senhas. 9.3.2 Equipamento de usurio sem monitorao Convm que usurios garantam que equipamentos no monitorados tenham proteo apropriada. Equipamentos instalados em reas de usurio, por exemplo estaes de trabalho ou servidores de arquivo, podem necessitar proteo especfica contra acesso no autorizado, quando deixados sem monitorao por um perodo longo de tempo. Convm que todos os usurios e prestadores de servio estejam cientes dos requisitos de segurana e dos procedimentos para a proteo de equipamentos no monitorados, bem como suas responsabilidades para implementao de tais protees. Convm que os usurios sejam informados para: a) encerrar as sees ativas, a menos que elas possam ser protegidas atravs de um mecanismo de bloqueio, por exemplo tela de proteo com senha; b) efetuar a desconexo com o computador de grande porte quando a seo for finalizada (no apenas desligar o microcomputador ou terminal, mas utilizar o procedimento para desconexo); c) proteger microcomputadores ou terminais contra o uso no autorizado atravs de tecla de bloqueio ou outro controle equivalente, por exemplo senha de acesso, quando no estiverem em uso. 9.4 Controle de acesso rede Objetivo: Proteo dos servios de rede. Convm que o acesso aos servios de rede internos e externos seja controlado. Isto necessrio para garantir que usurios com acesso s redes e aos servios de rede no comprometam a segurana desses servios, assegurando: a) uso de interfaces apropriadas entre a rede da organizao e as redes de outras organizaes ou redes pblicas; b) uso de mecanismos de autenticao apropriados para usurios e equipamentos; c) controle de acesso dos usurios aos servios de informao. 9.4.1 Poltica de utilizao dos servios de rede Conexes no seguras a servios de rede podem afetar toda a organizao. Convm que os usurios possuam acesso direto somente aos servios que eles esto especificamente autorizados para uso. Este controle particularmente importante para as conexes de rede com aplicaes sensveis ou crticas do negcio ou para usurios que esto em locais de alto risco, como por exemplo em reas pblicas ou externas, que se encontram fora do controle e da gerncia de segurana da organizao. Convm que uma poltica seja formulada considerando-se o uso de redes e seus servios. Convm incluir: a) redes e servios de rede aos quais o acesso permitido; b) procedimentos de autorizao para a determinao de quem tem acesso a que redes e a quais servios de rede; c) procedimentos e controles de gerenciamento para proteger o acesso s conexes e servios de rede. Convm que esta poltica seja consistente com a poltica de controle de acesso do negcio (ver 9.1). 9.4.2 Rota de rede obrigatria O caminho entre o terminal do usurio e o servio do computador pode necessitar ser controlado. Redes so projetadas para permitir a mxima extenso no compartilhamento de recursos e flexibilidade de roteamento. Estas caractersticas podem oferecer tambm oportunidades para acessos no autorizados s aplicaes do negcio ou ao uso no autorizado dos recursos de informao. A incorporao de controles que restringem a rota entre um terminal de usurio e os servios do computador, aos quais o usurio autorizado a acessar, como por exemplo, a criao de uma rota forada, pode reduzir tais riscos. O objetivo de uma rota forada prevenir que qualquer usurio selecione rotas fora da rota entre o terminal do usurio e os servios para os quais ele est autorizado a acessar. Isto usualmente requer a implementao de um nmero de controles em diferentes pontos da rota. A idia limitar as opes de roteamento para cada ponto da rede atravs de alternativas predeterminadas.

PROJETO 21:204.01-010:2001
Exemplos disto so os seguintes: a) alocao de linhas ou nmero de telefones dedicados; b) portas de conexo automtica para sistemas de aplicao especficos ou gateways de segurana; c) limitao das opes de menu e submenu para usurios individuais; d) preveno de transferncia (roaming) ilimitada na rede;

31

e) imposio do uso de sistemas de aplicao especficos e/ou gateways de segurana para usurios de redes externas; f) controle ativo das origens permitidas para comunicao com destinos atravs de gateways de segurana, por exemplo firewall; g) restrio de acesso rede atravs do estabelecimento de domnios lgicos separados, por exemplo redes virtuais privadas, para grupos de usurios dentro da organizao (ver tambm 9.4.6). Convm que os requisitos para a especificao de rotas (imposio de caminho) sejam baseados na poltica de controle de acesso do negcio (ver 9.1). 9.4.3 Autenticao para conexo externa do usurio As conexes externas proporcionam um potencial para acesso no autorizado s informaes do negcio, por exemplo acessos atravs de mtodos dial-up. Portanto, convm que acessos de usurios remotos estejam sujeitos autenticao. Existem diferentes mtodos de autenticao, alguns deles fornecendo maior nvel de proteo que outros, por exemplo mtodos baseados no uso de tcnicas de criptografia podem fornecer autenticao forte. importante determinar o nvel de proteo requerido a partir de uma avaliao de risco. Isso necessrio para selecionar apropriadamente um mtodo de autenticao. A autenticao de usurios remotos pode ser alcanada pelo uso, por exemplo, de tcnicas baseadas em criptografia, de dispositivos de tokens ou de protocolo de desafio/resposta. Linhas privadas dedicadas ou recursos de verificao endereo de usurio de rede podem tambm ser utilizados para garantir a origem das conexes. Controles e procedimentos de discagem reversa (dial back), por exemplo uso de modems com discagem reversa, podem fornecer proteo contra conexes indesejveis ou no autorizadas aos recursos de processamento de informao da organizao. Este tipo de controle autentica aqueles usurios que tentam estabelecer uma conexo com a rede da organizao a partir de uma localizao remota. Ao se utilizarem estes controles, convm que uma organizao no faa uso de servios de rede que incluam call forwarding ou, se fizer, convm que seja desabilitado o uso de tais facilidades para evitar exposio a fragilidades associadas ao call forwarding. importante tambm que o processo de discagem reversa inclua a garantia de que uma desconexo efetiva ocorra pelo lado da organizao. Caso contrrio, o usurio remoto pode manter a linha aberta com a pretenso de que a verificao da chamada reversa tenha ocorrido. Convm que os procedimentos e controles de chamada reversa sejam exaustivamente testados para essa possibilidade. 9.4.4 Autenticao de n A facilidade de conexo automtica para um computador remoto pode proporcionar uma forma de se ganhar acesso no autorizado a uma aplicao do negcio. Portanto, convm que as conexes a sistemas remotos de computadores sejam autenticadas. Isto especialmente importante se a conexo usa uma rede que est fora do controle do gerenciamento de segurana da organizao. Alguns exemplos de autenticao e como eles podem ser alcanados so fornecidos em 9.4.3 acima. A autenticao de n pode servir como um meio alternativo de autenticao de grupos de usurios remotos, onde eles so conectados a uma facilidade computacional segura e compartilhada (ver 9.4.3). 9.4.5 Proteo de portas de diagnstico remotas Convm que o acesso s portas de diagnstico seja seguramente controlado. Muitos computadores e sistemas de comunicao esto instalados com recursos que permitem o diagnstico remoto por dial-up para uso dos engenheiros de manuteno. Se desprotegidas, essas portas de diagnstico proporcionam um meio de acesso no autorizado. Convm que elas, portanto, sejam protegidas por um mecanismo de segurana apropriado, por exemplo uma chave de bloqueio e um procedimento para garantir que elas sejam acessveis somente atravs de um acordo entre o gerente dos servios computadorizados e o pessoal de suporte de hardware/software que solicitou o acesso. 9.4.6 Segregao de redes As redes se estendem cada vez mais alm dos limites tradicionais da organizao, a medida que as parcerias de negcio so formadas, e podem requerer a interligao ou compartilhamento dos recursos de rede e de processamento de informaes. Esta extenso pode aumentar o risco de acessos no autorizados aos sistemas de informao j existentes e que utilizam a rede, alguns dos quais podem necessitar proteo contra os usurios de uma outra rede por conta de sua criticidade e sensitividade. Nestas circunstncias, convm que seja considerada a introduo de controles na rede, para segregao de grupos de servios de informao, de usurios e de sistemas de informao.

32

PROJETO 21:204.01-010:2001
Um dos mtodos de controlar a segurana de grandes redes dividi-las em domnios lgicos de rede separados, por exemplo domnios internos e domnios externos, cada um dos quais protegidos por um permetro de segurana definido. Tal permetro pode ser implementado com a instalao de um gateway seguro entre as duas redes que sero interligadas para controlar o acesso e o fluxo de informaes entre os dois domnios. Convm que este gateway seja configurado para filtrar o trfego entre estes dois domnios (ver 9.4.7 e 9.4.8) e para bloquear acessos no autorizados de acordo com a poltica de controle acesso da organizao (ver 9.1). Um exemplo deste tipo de gateway freqentemente referenciado como firewall. Convm que o critrio para segregao da rede em domnios seja baseado na poltica de controle de acesso e nos requisitos de acesso (ver 9.1), e tambm leve em considerao o custo relativo e o impacto no desempenho pela incorporao de roteamento adequado para a rede ou de tecnologia baseada em gateway (ver 9.4.7 e 9.4.8). 9.4.7 Controle de conexes de rede Os requisitos da poltica de controle de acesso para redes compartilhadas, especialmente aquelas que se estendem alm dos limites da organizao, podem requerer a incorporao de controles que limitem a capacidade de conexo dos usurios. Tais controles podem ser implementados atravs de gateways de rede que filtram o trfego por meio de tabelas ou regras predefinidas. Convm que as restries aplicadas sejam baseadas na poltica de controle de acesso e nos requisitos das aplicaes do negcio (ver 9.1), e sejam mantidas e atualizadas adequadamente. Exemplos de aplicaes nas quais convm que estas restries sejam aplicadas so: a) correio eletrnico; b) transferncia unidirecional de arquivos; c) transferncia bidirecional de arquivos; d) acesso interativo; e) acesso rede associado hora do dia ou data. 9.4.8 Controle do roteamento de rede Redes compartilhadas, especialmente aquelas que se estendem atravs dos limites organizacionais, podem necessitar a incorporao de controles de roteamento que garantam que as conexes de computador e o fluxo de informaes no violam a poltica de controle de acesso das aplicaes do negcio (ver 9.1). Este controle geralmente essencial para redes compartilhadas com terceiros (usurios que no pertencem ao quadro da organizao). Convm que controles de roteamento sejam baseados em origens confiveis e mecanismos de checagem de endereo de destino. A traduo dos endereos de rede tambm um mecanismo muito til para isolar redes e prevenir a utilizao de rotas da rede de uma organizao para redes de uma outra organizao. Eles podem ser implementados em software ou hardware. Convm que os implementadores estejam cientes do poder de qualquer mecanismo usado. 9.4.9 Segurana dos servios de rede Uma ampla variedade de servios pblicos ou privados de rede est disponvel, alguns dos quais oferecendo servios de valor agregado. Os servios de rede podem ter caractersticas de segurana nicas ou complexas. Convm que as organizaes que usam servios de rede se assegurem de que ser fornecida uma descrio clara dos atributos de segurana de todos os servios usados. 9.5 Controle de acesso ao sistema operacional Objetivo: Prevenir acesso no autorizado ao computador. Convm que as funcionalidades de segurana do sistema operacional sejam usadas para restringir o acesso aos recursos computacionais. Convm que estas funcionalidades permitam: a) identificao e verificao da identidade e, se necessrio, do terminal e da localizao de cada usurio autorizado; b) registro dos sucessos e das falhas de acesso ao sistema; c) fornecimento de meios apropriados para a autenticao; se um sistema de gerenciamento de senhas for usado, convm que ele garanta senhas de qualidade [ver 9.3.1d)]; d) restrio do tempo de conexo dos usurios, quando apropriado; Outros mtodos de controle de acesso, tais como desafio/resposta, podem ser disponibilizados se forem justificados com base nos riscos do negcio. 9.5.1 Identificao automtica de terminal Convm que a identificao automtica de terminal seja considerada para autenticar conexes a locais especficos e para equipamentos portteis. A identificao automtica de terminal uma tcnica que pode ser usada quando for importante que uma seo s possa ser inicializada a partir de uma localizao particular ou de um terminal de computador especfico. Um identificador de terminal ou um identificador anexado ao terminal pode ser utilizado para indicar se o terminal, em particular, possui permisso para iniciar ou receber transaes especficas. Pode ser necessrio aplicar proteo fsica para o terminal, para manter a segurana do identificador. Outras tcnicas tambm podem ser utilizadas para autenticar usurios (ver 9.4.3).

PROJETO 21:204.01-010:2001
9.5.2 Procedimentos de entrada no sistema (log-on)

33

Convm que o acesso aos servios de informao seja realizado atravs de um processo seguro de entrada no sistema (log-on). Convm que o procedimento para entrada no sistema de computador seja projetado para minimizar a oportunidade de acessos no autorizados. Convm que o procedimento de entrada no sistema (log-on), portanto, divulgue o mnimo de informaes sobre o sistema, de forma a evitar o fornecimento de informaes desnecessrias a um usurio no autorizado. Convm que um bom procedimento de entrada no sistema (log-on): a) no mostre identificadores de sistema ou de aplicaes at que o processo de entrada no sistema (log-on) esteja concludo; b) mostre um aviso geral informando que o computador s deve ser acessado por pessoas autorizadas; c) no fornea mensagens de ajuda durante o procedimento de entrada no sistema (log-on) que poderiam auxiliar um usurio no autorizado; d) valide a informao de entrada no sistema (log-on) apenas quando todos os dados de entrada estiverem completos. Caso ocorra uma condio de erro, o sistema no deve indicar que parte do dado de entrada est correta ou incorreta; e) limite o nmero de tentativas de entradas no sistema (log-on) sem sucesso ( recomendado um mximo de trs tentativas) e considere: 1) registro das tentativas de acesso invlidas; 2) imposio de tempo de retardo antes de permitir novas tentativas de entrada no sistema (log-on) ou rejeio de qualquer tentativa posterior de acesso sem autorizao especfica; 3) encerramento das conexes por data link; f) limite o tempo mximo e mnimo para o procedimento de entrada no sistema (log-on). Se excedido, o sistema dever encerrar o procedimento; g) mostre as seguintes informaes, quando o procedimento de entrada no sistema (log-on) finalizar com xito: 1) data e hora da ltima entrada no sistema (log-on) com sucesso; 2) detalhes de qualquer tentativa sem sucesso de entrada no sistema (log-on) desde o ltimo procedimento efetuado com sucesso. 9.5.3 Identificao e autenticao de usurio Convm que todos os usurios (incluindo o pessoal de suporte tcnico, como operadores, administradores de rede, programadores de sistema e administradores de banco de dados) tenham um identificador nico (ID de usurio) para uso pessoal e exclusivo, de modo que as atividades possam ser trilhadas subseqentemente a um indivduo responsvel. Convm que os identificadores de usurio no forneam qualquer indicao do nvel de privilgio do usurio (ver 9.2.2), por exemplo gerente, supervisor. Em circunstncias excepcionais, onde exista um claro benefcio ao negcio, pode ocorrer a utilizao de um ID compartilhado por um grupo de usurios ou para um trabalho especfico. Convm que a aprovao pelo gestor esteja documentada nestes casos. Controles adicionais podem ser necessrios para manuteno das responsabilidades. Existem vrios procedimentos de autenticao, que podem ser usados para confirmar a identidade alegada por um usurio. Senhas (ver tambm 9.3.1 e itens abaixo) so uma maneira muito comum de se prover identificao e autenticao (I e A), baseadas em um segredo que apenas o usurio conhece. O mesmo pode ser obtido com meios criptogrficos e protocolos de autenticao. Objetos como tokens de memria ou smart card (cartes inteligentes) que os usurios possuem tambm podem ser usados para identificao e autenticao. As tecnologias de autenticao biomtrica que usam caractersticas ou atributos nicos de cada indivduo tambm podem ser usadas para autenticar a identidade de uma pessoa. Uma combinao de tecnologias e mecanismos seguramente relacionados resultar em uma autenticao forte. 9.5.4 Sistema de gerenciamento de senhas A senha um dos principais meios de validar a autoridade de um usurio para acessar um servio de computador. Convm que sistemas de gerenciamento de senhas proporcionem facilidade interativa eficaz que assegure senhas de qualidade (ver 9.3.1 para guiar-se no uso de senhas). Algumas aplicaes requerem que senhas de usurio sejam atribudas por uma autoridade independente. Na maioria dos casos as senhas so selecionadas e mantidas pelos usurios. Convm que um bom sistema de gerenciamento de senhas: a) obrigue o uso de senhas individuais para manter responsabilidades; b) onde apropriado, permita que os usurios selecionem e modifiquem suas prprias senhas, incluindo um procedimento de confirmao para evitar erros;

34

PROJETO 21:204.01-010:2001
c) obrigue a escolha de senhas de qualidade como descrito em 9.3.1; d) onde os usurios mantm suas prprias senhas, obrigue a troca como descrito em 9.3.1; e) onde os usurios selecionam senhas, obrigue a troca da senha temporria no primeiro acesso (ver 9.2.3); f) mantenha registro das senhas anteriores utilizadas, por exemplo para os 12 meses passados, e bloqueie reutilizao de senhas; g) no mostre as senhas na tela quando forem digitadas; h) armazene os arquivos de senha separadamente dos dados de sistemas e de aplicao; i) armazene as senhas na forma cifrada, usando um algoritmo de criptografia unidirecional. j) altere senhas-padro fornecidas pelo fabricante, aps a instalao do software. 9.5.5 Uso de programas utilitrios A maioria das instalaes possui um ou mais programas utilitrios de sistema que podem ser capazes de sobrepor os controles dos sistemas e aplicaes. essencial que o uso destes programas seja restrito e estritamente controlado. Convm que os seguintes controles sejam considerados: a) uso de procedimentos de autenticao para utilitrios de sistema; b) segregao dos utilitrios de sistema dos softwares de aplicao; c) limitao do uso dos utilitrios de sistema a um nmero mnimo de usurios confiveis e autorizados; d) autorizao para uso particular dos utilitrios de sistema; e) limitao da disponibilidade dos utilitrios de sistema, por exemplo para a durao de uma modificao autorizada; f) registro de todo o uso de utilitrios de sistemas; g) definio e documentao dos nveis de autorizao necessrios para os utilitrios de sistema; h) remoo de todos os softwares utilitrios e de sistema desnecessrios. 9.5.6 Alarme de intimidao para a salvaguarda de usurios Convm que a proviso de um alarme de intimidao seja considerada para usurios que podem ser alvo de coao. Convm que a deciso de implantar tal alarme seja baseada na avaliao de riscos. Convm que sejam definidos as responsabilidades e procedimentos para responder a um alarme de intimidao. 9.5.7 Desconexo de terminal por inatividade Convm que terminais inativos em locais de alto risco, por exemplo em reas pblicas ou externas fora dos limites do gerenciamento de segurana da organizao, ou servindo a sistemas de alto risco, sejam desligados automaticamente aps um perodo predeterminado de inatividade para prevenir o acesso de pessoas no autorizadas. Convm que esta facilidade de desconexo por tempo preveja a limpeza da tela do terminal e o encerramento das sees do aplicativo e da rede aps um perodo definido de inatividade. Convm que o prazo de tempo para o desligamento reflita os riscos de segurana da rea e dos usurios do terminal. Uma forma limitada para desconexo de terminal pode ser provida por alguns microcomputadores que limpam a tela e previnem acesso no autorizado, mas no fecham as sees das aplicaes ou da rede. 9.5.8 Limitao do tempo de conexo Convm que restries nos horrios de conexo proporcionem segurana adicional para aplicaes de alto risco. Limitando o perodo durante o qual as conexes de terminal so permitidas para os servios computadorizados, se reduz a janela de oportunidade para acessos no autorizados. Convm que tal controle seja considerado para aplicaes computacionais sensveis, especialmente aquelas com terminais instalados em locais de alto risco, por exemplo em reas pblicas ou externas fora dos limites do gerenciamento de segurana da organizao. Exemplos deste tipo de restrio incluem: a) utilizao de blocos de tempo predeterminados, por exemplo para transmisso de arquivos em lote ou sees regulares interativas de curta durao; b) restrio dos horrios de conexo s horas normais de expediente, se no houver necessidades para horas extras ou trabalhos fora do horrio habitual. a

PROJETO 21:204.01-010:2001
9.6 Controle de acesso s aplicaes Objetivo: Prevenir acesso no autorizado informao contida nos sistemas de informao. Convm que os recursos de segurana sejam utilizados para restringir o acesso aos sistemas de aplicao.

35

Convm que o acesso lgico a software e informao seja restrito a usurios autorizados. Convm que os sistemas de aplicao: a) controlem o acesso dos usurios informao e s funes dos sistemas de aplicao, de acordo com uma poltica definida de controle de acesso do negcio; b) proporcionem proteo contra acesso no autorizado para qualquer software utilitrio e de sistema operacional que seja capaz de sobrepor os controles das aplicaes ou do sistema; c) no comprometam a segurana de outros sistemas com os quais os recursos de informao so compartilhados; d) sejam capazes de dar acesso informao apenas ao seu proprietrio, a outros indivduos nominalmente autorizados ou a determinados grupos de usurios. 9.6.1 Restrio de acesso informao Convm que os usurios dos sistemas de aplicao, incluindo o pessoal de suporte, sejam providos de acesso informao e s funes dos sistemas de aplicao de acordo com uma poltica de controle de acesso definida, baseada nos requisitos das aplicaes individuais do negcio e consistente com a poltica de acesso informao organizacional (ver 9.1). Convm que a aplicao dos seguintes controles seja considerada de forma a suportar os requisitos de restrio de acesso: a) fornecendo menus para controlar o acesso s funes dos sistemas de aplicao; b) restringindo o conhecimento do usurio sobre informaes ou funes de aplicao do sistema s quais ele no tem autoridade de acesso, com a publicao apropriada de documentao para o usurio; c) controlando os direitos de acesso dos usurios, por exemplo ler, escrever, apagar ou executar; d) assegurando que as sadas dos sistemas de aplicao que tratam informaes sensveis contenham apenas a informao que relevante ao uso de tal sada e enviada apenas para os terminais e locais autorizados, incluindo reviso peridica de tais sadas para garantir que as informaes redundantes so removidas. 9.6.2 Isolamento de sistemas sensveis Os sistemas sensveis podem requerer um ambiente computacional dedicado (isolado). Alguns sistemas de aplicao so suficientemente sensveis a perdas potenciais, requerendo tratamento especial. A sensibilidade pode indicar que convm que o sistema de aplicao seja executado a partir de um computador dedicado, e que se compartilhem recursos somente com sistemas de aplicao confiveis ou que no tenha limitaes. As seguintes consideraes aplicam-se: a) Convm que a sensibilidade de um sistema de aplicao seja explicitamente identificada e documentada pelo proprietrio da aplicao (ver 4.1.3). b) Quando uma aplicao sensvel executada em um ambiente compartilhado, convm que se identifique os sistemas de aplicao com os quais ela compartilhar recursos e se obtenha a concordncia do proprietrio da aplicao sensvel. 9.7 Monitorao do uso e acesso ao sistema Objetivo: Descobrir atividades no autorizadas. Convm que os sistemas sejam monitorados para detectar divergncias entre a poltica de controle de acesso e os registros de eventos monitorados, fornecendo evidncias no caso de incidentes de segurana. A monitorao do sistema permite que sejam verificadas a efetividade dos controles adotados e a conformidade com o modelo de poltica de acesso (ver 9.1). 9.7.1 Registro (log) de eventos Convm que trilhas de auditoria registrando as excees e outros eventos de segurana relevantes sejam produzidas e mantidas por um perodo de tempo acordado para auxiliar em investigaes futuras e na monitorao do controle de acesso. Convm que os registros (log) de auditoria devem incluam: a) identificao dos usurios; b) datas e horrios de entrada (log-on) e sada (log-off) no sistema; c) identidade do terminal e, quando possvel, a sua localizao; d) registros das tentativas de acesso ao sistema aceitas e rejeitadas; e) registros das tentativas de acesso a outros recursos e dados aceitas e rejeitadas. Certos registros (log) de auditoria podem ser guardados como parte da poltica de reteno de registros ou devido aos requisitos para a coleta de evidncia (ver tambm a seo 12).

36

PROJETO 21:204.01-010:2001
9.7.2 Monitorao do uso do sistema 9.7.2.1 Procedimentos e reas de risco Convm que sejam estabelecidos procedimentos para a monitorao do uso das facilidades de processamento da informao. Tais procedimentos so necessrios para garantir que os usurios esto executando apenas as atividades para as quais eles foram explicitamente autorizados. Convm que o nvel de monitorao requerido para os recursos individuais seja determinado atravs de uma avaliao de riscos. As reas que devem ser consideradas incluem: a) acessos autorizados, incluindo detalhes do tipo: 1) 2) 3) 4) 5) a identificao (ID) do usurio; a data e o horrio dos eventos-chave; tipo do evento; os arquivos acessados; os programas ou utilitrios utilizados;

b) todas as operaes privilegiadas, tais como: 1) 2) 3) utilizao de conta de supervisor; inicializao e finalizao do sistema; a conexo e a desconexo de dispositivos de entrada e sada;

c) tentativas de acesso no autorizadas, tais como: 1) 2) 3) tentativas que falharam; violao da poltica de acesso e notificaes para gateways e firewalls da rede; alertas dos sistemas proprietrios de deteco de intruso;

d) alertas e falhas do sistema, tais como: 1) 2) 3) alertas ou mensagens da console; registro das excees do sistema; alarmes do gerenciamento da rede.

9.7.2.2 Fatores de risco Convm que o resultado das atividades de monitorao seja revisto regularmente. Convm que a freqncia da reviso dependa dos riscos envolvidos. Convm que os fatores de risco que devem ser considerados incluam : a) criticidade dos processos de aplicao; b) valor, sensibilidade e criticidade da informao envolvida; c) experincia anterior com infiltraes e uso imprprio do sistema; d) extenso da interconexo dos sistemas (particularmente com redes pblicas). 9.7.2.3 Registro e reviso dos eventos A reviso dos registros (logs) envolve a compreenso das ameaas encontradas no sistema e a maneira pela qual isto pode acontecer. Exemplos de eventos que podem requerer uma maior investigao em casos de incidentes de segurana so comentados em 9.7.1. Registros (logs) de sistema normalmente contm um grande volume de informaes, e muitas das quais no dizem respeito monitorao da segurana. Para ajudar a identificar eventos significativos para propsito de monitorao de segurana, convm que a cpia automtica dos tipos de mensagens apropriados para um segundo registro (log) e/ou o uso de utilitrios de sistema apropriados ou ferramentas de auditoria para a execuo de consulta sejam considerados. Quando forem alocadas as responsabilidades pela reviso dos registros (logs), convm que seja considerada uma separao entre as funes da(s) pessoa(s) que conduz(em) a reviso daquelas cujas atividades esto sendo monitoradas. Convm que ateno especial seja dada segurana dos recursos do registro (log) porque, se adulterados, podem prover uma falsa impresso de segurana. Convm que os controles objetivem a proteo contra modificaes no autorizadas e problemas operacionais, incluindo: a) desativao das facilidades de registro (log); b) alteraes dos tipos de mensagens que so gravadas; c) arquivos de registros (logs) sendo editados ou excludos; d) esgotamento do meio magntico do arquivo de registros (logs), falhas no registro de eventos ou sobreposio do prprio arquivo.

PROJETO 21:204.01-010:2001
9.7.3 Sincronizao dos relgios

37

O estabelecimento correto dos relgios dos computadores importante para garantir a exatido dos registros de auditoria, que podem ser requeridos por investigaes ou como evidncias em casos legais ou disciplinares. Registros de auditoria incorretos podem impedir tais investigaes e causar danos credibilidade das evidncias. Onde um computador ou dispositivo de comunicao tiver a capacidade para operar um relgio (clock) de tempo real, convm que ele seja ajustado conforme o padro acordado, por exemplo o tempo coordenado universal (Universal Coordinated time - UCT) ou um padro local de tempo. Como alguns relgios so conhecidos pela sua variao durante o tempo, convm que exista um procedimento que verifique esses tipos de inconsistncias e corrija qualquer variao significativa. 9.8 Computao mvel e trabalho remoto Objetivo: Garantir a segurana da informao quando se utilizam a computao mvel e os recursos de trabalho remoto. Convm que a proteo requerida seja proporcional com o risco desta forma especfica de trabalho. Quando se utiliza a computao mvel, convm que os riscos de trabalhar em um ambiente desprotegido sejam considerados e a proteo adequada seja aplicada. No caso de trabalho remoto convm que a organizao aplique proteo ao local do trabalho remoto e garanta que os arranjos adequados foram feitos para este tipo de trabalho. 9.8.1 Computao mvel Quando se utilizam as instalaes da computao mvel, por exemplo notebooks, palmtops, laptops e telefones celulares, convm que cuidados especiais sejam tomados para garantir que as informaes do negcio no so comprometidas. Convm que uma poltica formal seja adotada levando em conta os riscos de trabalhar com as instalaes de computao mvel, particularmente em ambientes desprotegidos. Por exemplo, convm que tais polticas incluam os requisitos para proteo fsica, controles de acesso, tcnicas criptogrficas, cpias de segurana e proteo contra vrus. Convm que esta poltica inclua tambm regras e avisos sobre a conexo de recursos mveis rede e orientao sobre o uso destes recursos em locais pblicos. Convm que sejam tomadas certas precaues ao se utilizarem os recursos de computao mvel em locais pblicos, salas de reunies e outras reas desprotegidas fora dos limites da organizao. Convm que sejam estabelecidas protees para evitar o acesso no autorizado ou a divulgao de informaes armazenadas e processadas nestes recursos, por exemplo atravs da utilizao de tcnicas de criptografia (ver 10.3). importante que quando tais recursos so utilizados em locais pblicos, que seja tomado o cuidado para evitar o risco de captao por pessoas no autorizadas. Convm que tambm sejam estabelecidos procedimentos contra softwares maliciosos, mantendo-os sempre atualizados (ver 8.3). Convm que equipamentos estejam disponveis para possibilitar uma recuperao rpida e fcil das informaes. Para essas recuperaes, convm que sejam dadas protees adequadas contra, por exemplo, roubo ou perda de informao. Convm que proteo adequada seja dada para o uso dos recursos de computao mvel conectados em rede. Convm que o acesso remoto s informaes do negcio atravs de redes pblicas, usando os recursos de computao mvel, ocorra apenas aps o sucesso da identificao e da autenticao, e com os mecanismos de controle de acesso apropriados implantados (ver 9.4). Convm que os recursos de computao mvel tambm estejam protegidos fisicamente contra roubo, especialmente quando deixados, por exemplo em carros ou em outros meios de transporte, quartos de hotis, centros de conferncia e locais de reunio. Convm que os equipamentos que contm informaes importantes, sensveis e/ou crticas para o negcio nunca sejam deixados sem observao e, quando possvel, sejam fisicamente trancados, ou convm que travas especiais sejam utilizadas de forma a manter o equipamento seguro. Maiores informaes sobre a proteo fsica de equipamentos mveis podem ser encontradas em 7.2.5. Convm que seja preparado treinamento para o grupo de trabalho que utiliza a computao mvel, para aumentar o nvel de conscientizao a respeito dos riscos adicionais resultantes desta forma de trabalho e dos controles que devem ser implementados. 9.8.2 Trabalho remoto O trabalho remoto utiliza tecnologia de comunicao para permitir que funcionrios trabalhem remotamente a partir de uma localizao fsica fora da sua organizao. Convm que a proteo apropriada do local do trabalho remoto seja implantada para evitar, por exemplo, o roubo do equipamento e de informaes, a divulgao no autorizada de informao, o acesso remoto no autorizado aos sistemas internos da organizao ou o uso imprprio destes recursos. importante que o trabalho remoto seja tanto autorizado quanto controlado pelo gestor e que as providncias adequadas a esta forma de trabalho tenham sido tomadas.

38

PROJETO 21:204.01-010:2001
Convm que as organizaes considerem o desenvolvimento de polticas, procedimentos e padres para controlar as atividades do trabalho remoto. Convm que as organizaes somente autorizem as atividades de trabalho remoto se existirem controles e acordos de segurana apropriados e em vigor e que estejam em conformidade com a poltica de segurana da organizao. Recomeda-se considerar o seguinte: a) a segurana fsica existente no local do trabalho remoto, levando-se em conta a segurana fsica do prdio e o ambiente local; b) ambiente proposto de trabalho remoto; c) os requisitos de segurana nas comunicaes, levando em conta a necessidade do acesso remoto para os sistemas internos da organizao, a sensibilidade das informaes que sero acessadas e trafegadas na linha de comunicao e a sensibilidade do sistema interno; d) a ameaa de acesso no autorizado informao ou aos recursos por outras pessoas que utilizam o local, por exemplo familiares e amigos. Os controles e providncias que devem ser considerados incluem: a) a proviso de equipamento e moblia apropriados s atividade de trabalho remoto; b) uma definio do trabalho permitido, as horas de trabalho, a classificao da informao que pode ser tratada e os sistemas internos e servios que o funcionrio autorizado a acessar; c) a proviso de equipamento de comunicao apropriado, incluindo mtodos para acesso remoto seguro; d) segurana fsica; e) regras e orientaes sobre o acesso de familiares e visitantes ao equipamento e informao; f) a proviso de suporte e manuteno de equipamento e software; g) os procedimentos para cpias de segurana e continuidade do negcio; h) auditoria e monitorao da segurana; i) revogao de autoridade, direitos de acesso e devoluo do equipamento quando as atividades de trabalho remoto cessarem. 10 Desenvolvimento e manuteno de sistemas 10.1 Requisitos de segurana de sistemas Objetivos: Garantir que segurana seja parte integrante dos sistemas de informao. Isto incluir infra-estrutura, aplicaes do negcio e aplicaes desenvolvidas pelo usurio. O projeto e a implementao dos processos do negcio que do suporte s aplicaes e aos servios podem ser cruciais para segurana. Convm que requisitos de segurana sejam identificados e acordados antes do desenvolvimento dos sistemas de informao. Convm que todos os requisitos de segurana, incluindo a necessidade de acordos de contingncia, sejam identificados na fase de levantamento de requisitos de um projeto e justificados, acordados e documentados como parte do estudo de caso de um negcio para um sistema de informao. 10.1.1 Anlise e especificao dos requisitos de segurana Na especificao dos requisitos do negcio para novos sistemas, ou melhoria nos sistemas j existentes, convm que tambm especifique os requisitos de controle. Convm que tais especificaes considerem os controles automatizados a serem incorporados no sistema e a necessidade de suporte a controles manuais. Convm que consideraes semelhantes sejam aplicadas quando se avaliam pacotes de software para as aplicaes do negcio. Se considerado apropriado, a adminis-trao pode desejar fazer uso de produtos com avaliao e certificao independentes. Convm que os requisitos e controles de segurana reflitam o valor, para o negcio, dos ativos de informao envolvidos e o dano potencial ao negcio, que pode resultar da falha ou ausncia de segurana. A estrutura para analisar os requisitos de segurana e identificar os controles que os satisfazem est na avaliao de riscos e no gerenciamento de riscos. Os controles introduzidos no desenvolvimento do projeto so significativamente mais baratos para implementar e manter do que aqueles includos durante ou aps a implementao. 10.2 Segurana nos sistemas de aplicao Objetivo: Prevenir perda, modificao ou uso imprprio de dados do usurio nos sistemas de aplicaes. Convm que os controles apropriados e trilhas de auditoria ou registros de atividades sejam previstos para os sistemas de aplicao, incluindo aplicaes escritas pelo usurio. Convm que estes incluam a validao dos dados de entrada, processamento interno e dados de sada. Controles adicionais podem ser necessrios para sistemas que processam ou tm impacto em ativos organizacionais crticos, valiosos ou sensveis. Convm que tais controles sejam determinados na base dos requisitos de segurana e na avaliao de riscos.

PROJETO 21:204.01-010:2001
10.2.1 Validao de dados de entrada

39

Convm que os dados de entrada dos sistemas de aplicao sejam validados para garantir que esto corretos e que so apropriados. Convm que validaes sejam aplicadas na entrada das transaes de negcio, nos dados permanentes (nomes e endereos, limites de crdito, nmeros de referncia de clientes) e nas tabelas de parmetros (preos de venda, razo de converso de moeda, taxas de impostos). Recomenda-se que os seguintes controles sejam considerados: a) dupla entrada ou outra forma de checagem de entrada para deteco dos seguintes erros: 1) valores fora dos limites aceitveis; 2) caracteres invlidos nos campos de dados; 3) dados ausentes ou incompletos; 4) dados excedendo os volumes mximos e mnimos; 5) controle de dados no autorizados ou inconsistentes; b) reviso peridica do contedo dos campos-chave ou arquivos de dados para confirmar a sua validade e integridade; c) inspeo de cpias de documentos de entrada de dados para qualquer modificao no autorizada aos dados de entrada (qualquer modificao dos documentos de entrada de dados deve ser explicitamente autorizada); d) procedimentos de resposta validao de erros; e) procedimentos de teste de plausibilidade dos dados de entrada; f) definio de responsabilidades de todo pessoal envolvido no processo de entrada de dados. 10.2.2 Controle do processamento interno 10.2.2.1 reas de risco Dados que foram introduzidos corretamente podem ser corrompidos por erros de processamento ou atravs de aes intencionais. Convm que checagens de validao sejam incorporadas no sistema para detectar tais corrupes. Convm que o projeto de aplicaes garanta que restries sejam implementadas para minimizar o risco de falhas de processamento que possam levar perda da integridade. reas especficas que devem ser consideradas incluem: a) uso e localizao nos programas de funes de adio e excluso para implementar modificaes nos dados; b) procedimentos para prevenir a execuo de programas na ordem errada ou executar aps falhas no processamento anterior (ver tambm 8.1.1); c) uso de programas corretos para recuperao de falhas que assegurem o processamento correto dos dados. 10.2.2.2 Checagens e controles Os controles necessrios dependero da natureza das aplicaes e do impacto nos negcios de qualquer corrupo de dados. Exemplos de checagens que podem ser incorporadas incluem o seguinte: a) controles de seo ou processamento em lote, para reconciliar o balano dos arquivos de dados, aps transaes de atualizao: b) controles de balanceamento, para checagem dos balanos de abertura contra os balanos de fechamento anteriores, tais como: 1) controles entre execuo; 2) totalizadores de atualizao de arquivo; 3) controle de programas; c) validao de dados gerados pelo sistema (ver 10.2.1); d) checagem da integridade de dados ou de programas trazidos ou enviados entre computador central e remoto (ver 10.3.3); e) totais de registros e arquivos; f) checagem para garantir que os programas de aplicao so executados no horrio correto; g) checagem para garantir que os programas esto executando na ordem correta e terminando em caso de falhas, e que o processamento subseqente ficar suspenso at que o problema seja solucionado.

40

PROJETO 21:204.01-010:2001
10.2.3 Autenticao de mensagem A autenticao de mensagem uma tcnica utilizada para detectar modificaes no autorizadas no contedo das mensagens transmitidas eletronicamente, ou ento corrupo deste contedo. Ela pode ser implementada em equipamento ou software que suporte um dispositivo fsico de autenticao de mensagem ou um algoritmo de software. Convm que a autenticao de mensagem seja considerada para aplicaes onde exista requisito de segurana para proteger a integridade do contedo da mensagem, por exemplo transferncia eletrnica de fundos, especificaes, contratos, propostas, etc., com importncia significativa ou outras trocas similares de dados eletrnicos. Convm que uma anlise dos riscos de segurana seja executada para determinar se a autenticao da mensagem necessria e para identificar o mtodo mais apropriado de implementao. A autenticao de mensagem no projetada para proteger o contedo da mensagem de divulgao no autorizada. Tcnicas de criptografia (ver 10.3.2 e 10.3.3) podem ser utilizadas como meios apropriados de implementao de autenticao de mensagem. 10.2.4 Validao dos dados de sada Convm que os dados de sada de um sistema de aplicao sejam validados para garantir que o processo de armazenamento da informao est correto e apropriado para as circunstncias. Tipicamente, os sistemas so construdos com a premissa de que, passados pela apropriada validao, verificao e teste, a sada sempre estar correta. Isto nem sempre o caso. A validao de sada pode incluir: a) verificao de plausibilidade para testar se o dado de sada razovel; b) contadores de controle de reconciliao, para garantir o processamento de todos os dados; c) fornecimento de informaes suficientes para um leitor ou para um sistema de processamento subseqente poder determinar a exata, completa e precisa classificao da informao; d) procedimentos para responder aos testes de validao de sada; e) definio de responsabilidades para todo o pessoal envolvido com o processo de sada de dados. 10.3 Controles de criptografia Objetivo: Proteger a confidencialidade, autenticidade ou integridade das informaes. Convm que tcnicas e sistemas criptogrficos sejam usados para a proteo das informaes que so consideradas de risco e que para as quais outros controles no fornecem proteo adequada. 10.3.1 Poltica para o uso de controles de criptografia Convm que a tomada de deciso sobre o quo adequada uma soluo criptogrfica seja vista como parte de um processo mais amplo de anlise de risco e seleo de controles. Convm que uma anlise de riscos seja executada para determinar o nvel de proteo que deve ser dado informao. Esta avaliao pode ento determinar se um controle criptogrfico apropriado, que tipo de controle deve ser aplicado e para que propsito e processos do negcio. Convm que uma organizao desenvolva uma poltica do uso de criptografia para a proteo das suas informaes. Tal poltica necessria para se maximizar os benefcios e minimizar os riscos da utilizao das tcnicas criptogrficas e para se evitar o uso imprprio ou incorreto. Quando do desenvolvimento de uma poltica, recomenda-se considerar o seguinte: a) enfoque da administrao frente ao uso dos controles criptogrficos atravs da organizao, incluindo os princpios gerais sob os quais as informaes do negcio devem ser protegidas; b) enfoque utilizado para o gerenciamento de chaves, incluindo mtodos para tratar a recuperao de informaes criptografadas em casos de chaves perdidas, expostas ou danificadas; c) regras e responsabilidades, por exemplo, quem responsvel por: d) implementao da poltica; e) gerenciamento das chaves; f) como deve ser determinado o nvel apropriado de proteo criptogrfica; g) os padres a serem adotados para a efetiva implementao atravs da organizao (qual soluo utilizada para qual processo do negcio). 10.3.2 Criptografia Esta codificao uma tcnica criptogrfica que pode ser usada para proteger a confidencialidade da informao. Convm que seja considerada para a proteo de informaes crticas ou sensveis. Baseado na anlise de risco, convm que o nvel apropriado de proteo seja identificado levando-se em conta o tipo e a qualidade do algoritmo criptogrfico usado e o tamanho das chaves criptogrficas a serem utilizadas.

PROJETO 21:204.01-010:2001

41

Quando se implementa a poltica de criptografia na organizao, convm que se tenha ateno com as regulamentaes e restries nacionais que possam ter implicaes no uso das tcnicas criptogrficas em diferentes partes do mundo e com o fluxo de informaes criptografadas alm das fronteiras. Em adio, convm que tambm se considerem os controles aplicados para a exportao e importao de tecnologias de criptografia (ver tambm 12.1.6). Convm que assessoria especializada seja procurada para a identificao do nvel de proteo apropriado, para seleo dos produtos mais adequados que fornecero a proteo necessria e a implementao de um sistema seguro de gerenciamento de chaves (ver tambm 10.3.5). Adicionalmente, assessoria legal pode ser necessria com respeito s leis e regulamentaes aplicveis organizao que pretende usar criptografia. 10.3.3 Assinatura digital As assinaturas digitais fornecem os meios para proteo da autenticidade e integridade de documentos eletrnicos. Por exemplo, elas podem ser utilizadas no comrcio eletrnico onde existe a necessidade de verificar quem assinou o documento eletrnico e checar se o contedo do documento eletrnico assinado foi modificado. Assinaturas digitais podem ser aplicadas a qualquer forma de documento que processado eletronicamente, por exemplo elas podem ser usadas para assinar pagamentos eletrnicos, transferncias de fundos, contratos e acordos. Assinaturas digitais podem ser implementadas utilizando as tcnicas criptogrficas baseadas em um nico par de chaves relacionadas, em que uma das chaves utilizada para criar uma assinatura (a chave privada) e a outra para verificar a assinatura (chave pblica). Convm que cuidados sejam tomados para proteger a confidencialidade da chave privada. Convm que esta chave seja mantida em segredo, uma vez que qualquer pessoa que tiver acesso a esta chave pode assinar documentos, por exemplo pagamentos, contratos, falsificando a assinatura do proprietrio da chave. Adicionalmente, importante a proteo da integridade da chave pblica. Esta proteo fornecida pelo uso de certificados de chave pblica (ver 10.3.5). Deve-se considerar o tipo e a qualidade do algoritmo de assinatura digital usado e o tamanho da chave. Convm que as chaves criptogrficas usadas para assinaturas digitais sejam diferentes daquelas usadas para criptografia (ver 10.3.2). Quando se utilizam assinaturas digitais, convm que se considere qualquer legislao relacionada que descreva as condies sob as quais uma assinatura digital possui valor legal. Por exemplo, no caso do comrcio eletrnico importante saber a sustentao legal das assinaturas digitais. Pode ser necessrio, onde a estrutura legal for inadequada, ter contratos de obrigaes ou outro tipo de acordo para suportar o uso de assinaturas digitais. Convm que se procure um aconselhamento legal considerando as leis e regulamentaes que podem ser aplicadas organizao que pretende usar assinaturas digitais. 10.3.4 Servios de no repdio Convm que os servios de no repdio sejam usados nos casos em que seja necessrio para resolver disputas sobre ocorrncia ou no ocorrncia de um evento ou ao, por exemplo uma disputa envolvendo o uso de uma assinatura digital em um contrato ou pagamento eletrnico. Eles podem ajudar a estabelecer evidncias para substanciar se um evento ou ao em particular ocorreu, por exemplo, negao do envio de uma instruo assinada digitalmente usando-se o correio eletrnico. Estes servios so baseados no uso de criptografia e tcnicas de assinatura digital (ver tambm 10.3.2 e 10.3.3). 10.3.5 Gerenciamento de chaves 10.3.5.1 Proteo de chaves criptogrficas O gerenciamento das chaves criptogrficas essencial para o uso eficaz das tcnicas de criptografia. Qualquer exposio ou perda das chaves criptogrficas pode levar ao comprometimento da confidencialidade, da autenticidade e/ou da integridade da informao. Convm que um sistema de gerenciamento de chaves seja implantado para suportar o uso, pela organizao dos dois tipos de tcnicas criptogrficas, que so: a) tcnicas de chave secreta, onde duas ou mais partes compartilham a mesma chave e esta chave utilizada tanto para codificar como para decodificar a informao. Estas chaves necessitam ser mantidas em segredo uma vez que qualquer pessoa que tiver acesso chave ser capaz de decodificar toda informao codificada com aquela chave, ou introduzir informaes no autorizadas; b) tcnicas de chave pblica, onde cada usurio possui um par de chaves, uma chave pblica (que pode ser revelada a qualquer pessoa) e uma chave privada (que tem que ser mantida em segredo). As tcnicas de chave pblica podem ser utilizadas para codificar (ver 10.3.2) e para produzir assinaturas digitais (ver 10.3.3). Convm que todas as chaves sejam protegidas contra modificao e destruio, e as chaves secretas e privadas necessitam de proteo contra a divulgao no autorizada. As tcnicas de criptografia podem ser utilizadas para este propsito. Convm que proteo fsica seja utilizada para a proteo de equipamentos usados na gerao, armazenamento e arquivamento de chaves. 10.3.5.2 Padres, procedimentos e mtodos Convm que um sistema de gerenciamento de chaves seja baseado em um acordo sobre um conjunto acordado de padres, procedimentos e mtodos seguros para: a) gerao de chaves para diferentes sistemas criptogrficos e diferentes aplicaes; b) gerao e obteno de certificados de chave pblica;

42

PROJETO 21:204.01-010:2001
c) distribuio de chaves para usurios predeterminados, incluindo como as chaves devem ser ativadas quando rece bidas; d) armazenamento de chaves, incluindo como os usurios autorizados obtm acesso s chaves; e) modificao ou atualizao de chaves, incluindo regras sobre quando as chaves devem ser modificadas e como isto pode ser feito; f) tratamento de chaves comprometidas; g) revogao de chaves, incluindo como as chaves devem ser recolhidas ou desativadas por exemplo, quando as chaves forem comprometidas ou quando um usurio deixar a organizao (nestes casos as chaves tambm devem ser arquivadas); h) recuperao de chaves que esto perdidas ou corrompidas como parte do gerenciamento da continuidade do negcio, por exemplo, para a recuperao de informaes codificadas; i) arquivamento de chaves, por exemplo para informaes arquivadas ou de reserva (back-up); j) destruio de chaves; k) registros (logs) e auditoria das atividades relacionadas com o gerenciamento de chaves. Para poder reduzir a probabilidade de comprometimento, convm que as chaves tenham data de ativao e desativao definidas, de forma que somente possam ser usadas por um perodo limitado de tempo. Convm que este perodo de tempo dependa das circunstncias sob as quais os controles de criptografia esto sendo utilizados e dos riscos observados. Pode ser necessrio considerar certos procedimentos para o tratamento de requisitos legais para acessar chaves criptogrficas; por exemplo, as informaes codificadas podem ser necessrias na sua forma no codificada como evidncias em um julgamento de uma determinada causa legal. Adicionalmente questo do gerenciamento seguro das chaves secretas e privadas, convm que a proteo de chaves pblicas tambm seja considerada. Existe a ameaa de algum falsificar uma assinatura digital atravs da troca da chave pblica do usurio por uma falsa. Este problema solucionado com o uso de certificados de chave pblica. Convm que estes certificados sejam produzidos de forma que relacione de um nico modo as informaes do proprietrio do par de chave pblica/privada com a chave pblica considerada. Alm disto importante que o processo de gerenciamento que gerou este certificado possa ser confivel (trusted). Este processo normalmente implementado por uma autoridade certificadora que deve ser uma organizao reconhecida e com controles e procedimentos implementados para fornecer o grau de confiabilidade necessrio. Convm que o contedo do acordo do nvel de servio ou contrato com fornecedores externos de servios de criptografia, por exemplo, com uma autoridade certificadora, cubra questes relacionadas com a responsabilidade cvel, a confiabilidade dos servios e o tempo de resposta para o fornecimento dos servios contratados (ver 4.2.2). 10.4 Segurana do sistema de arquivos Objetivo: Garantir que os projetos de tecnologia da informao e as atividades de suporte sero conduzidas de maneira segura. Convm que o acesso aos arquivos dos sistemas de arquivos seja controlado. Convm que a manuteno da integridade do sistema seja de responsabilidade do usurio das funcionalidades do sistema ou do grupo de desenvolvimento a quem pertence o sistema de aplicao ou software. 10.4.1 Controle de software em produo Convm que seja estabelecido controle para a implementao de software em sistemas operacionais. Para se minimizar o risco de corrupo dos sistemas operacionais, recomenda-se que se considerem os seguintes controles. a) Convm que a atualizao das bibliotecas de programa da produo ocorra apenas por um bibliotecrio nomeado e sob autorizao gerencial apropriada (ver 10.4.3). b) Se possvel, convm que o sistema operacional mantenha somente cdigo executvel. c) Convm que cdigo executvel no seja implantado no sistema operacional at que sejam obtidas evidncias do sucesso dos testes e a aceitao do usurio, e a biblioteca com os programas-fonte correspondentes tenha sido atualizada. d) Convm que seja mantido um registro (log) de auditoria para todas as atualizaes de bibliotecas de programas operacionais. e) Convm que as verses anteriores do software sejam retidas como medida de contingncia. Convm que software de terceiros usado em sistemas operacionais seja mantido em um nvel suportado pelo fornecedor. Convm que qualquer deciso de atualizao para uma nova verso leve em conta a segurana da verso, por exemplo a introduo de uma nova funcionalidade de segurana ou o nmero e a severidade dos problemas de segurana que afetam esta verso. Convm que as correes (patches) de software sejam aplicadas quando puderem ajudar na remoo ou reduo de fragilidade de segurana. Convm que o acesso fsico ou lgico s seja dado a fornecedores, por motivo de suporte, quando necessrio, e com a aprovao da gerncia. Convm que as atividades dos fornecedores sejam monitoradas.

PROJETO 21:204.01-010:2001
10.4.2 Proteo de dados de teste do sistema

43

Convm que os dados de teste sejam protegidos e controlados. Testes de sistema e de aceitao normalmente requerem volumes substanciais de dados e devem refletir, o mais prximo possvel, os dados em produo. Convm que o uso de base de dados de produo contendo informaes pessoais seja evitado. Se tal informao for utilizada, convm que ela seja despersonalizada antes do uso. Recomenda-se que os seguintes controles sejam aplicados para proteo de dados de produo, quando utilizados com o propsito de teste. a) Convm que os procedimentos de controle de acesso, que so aplicados aos sistemas de aplicao em produo, tambm sejam aplicados aos sistemas de aplicao em teste. b) Convm que exista uma autorizao separada cada vez que uma informao em produo for copiada para um teste no sistema de aplicao. c) Convm que informaes de produo sejam apagadas dos sistemas de aplicao teste imediatamente aps a finalizao dos testes. d) Convm que a cpia e o uso de informaes de produo sejam registrados de forma a permitir uma trilha de auditoria. 10.4.3 Controle de acesso a bibliotecas de programa-fonte Para reduzir o potencial de corrupo de programas de computadores, recomenda-se um controle rgido e completo seja mantido sobre o acesso s bibliotecas de programa-fonte, como o que segue (ver tambm 8.3). a) Onde possvel, convm que as bibliotecas de programas-fonte no sejam manipuladas em ambiente de produo. b) Convm que seja designado um responsvel pela biblioteca de programas-fonte de cada aplicao. c) Convm que equipe de suporte de tecnologia da informao no possua acesso ilimitado s bibliotecas de cdigofonte. d) Convm que os programas em desenvolvimento ou manuteno no sejam mantidos nas bibliotecas de programafonte que estiverem em produo. e) Convm que a atualizao das bibliotecas de programa-fonte e a distribuio de programas-fonte para os programadores somente sejam efetuadas pelo responsvel designado em manter a biblioteca e sob autorizao do gerente de suporte de tecnologia da informao da aplicao. f) Convm que listas de programa somente sejam mantidas em um ambiente seguro (ver 8.6.4). g) Convm que seja mantido um registro de auditoria contendo todos os acessos s bibliotecas de programa-fonte. h) Convm que as verses antigas de programas-fonte sejam arquivadas, com uma indicao clara e precisa da data e perodo no qual estiveram em produo, junto com todo o respectivo software de suporte, controle de tarefa, definies de dados e procedimentos. i) Convm que a manuteno e a cpia de bibliotecas de programa-fonte estejam sujeitas a procedimentos rgidos de controle de mudana (ver 10.4.1). 10.5 Segurana nos processos de desenvolvimento e suporte Objetivo: Manter a segurana do software e da informao do sistema de aplicao. Convm que os ambientes de desenvolvimento e suporte sejam rigidamente controlados. Convm que os gestores responsveis pelos sistemas de aplicao tambm sejam responsveis pela segurana do ambiente de desenvolvimento ou suporte. Convm que eles garantam que todas as modificaes de sistemas propostas sero revistas, a fim de verificar que elas no comprometero a segurana do sistema ou do ambiente de produo. 10.5.1 Procedimentos de controle de mudanas Para minimizar a corrupo dos sistemas de informao, convm que exista um controle rgido sobre a implementao de mudanas. Convm que seja exigida a existncia de procedimentos formais de controle de mudanas. Convm que eles garantam que os procedimentos de segurana e controle no sero comprometidos, que os programadores de suporte s tero acesso quelas partes do sistema que sero necessrias ao seu trabalho e acordos formais e que qualquer mudana somente ser implementada aps aprovao. Mudanas nos sistemas aplicativos podem trazer impacto ao ambiente operacional. Sempre que for possvel, convm que os procedimentos de controle de mudana na produo sejam integrados com a de aplicao. Convm que este processo inclua: a) manter um registro dos nveis de autorizao estabelecidos; b) garantir que as mudanas sero implementadas por usurios autorizados; c) revisar controles e a integridade dos procedimentos, de forma a garantir que os mesmos no sero comprometidos pelas mudanas;

44

PROJETO 21:204.01-010:2001
d) identificar todo software de computadores, informao, entidades de base de dados e equipamentos que necessitam de correo; e) obter aprovao formal para proposta detalhada antes do incio dos trabalhos; f) garantir que o usurio autorizado aceite as modificaes antes de qualquer implementao; g) garantir que a implementao ocorrer com o mnimo de transtorno para o negcio; h) garantir que a documentao do sistema seja atualizada ao final de cada modificao e que a documentao antiga seja arquivada ou destruda; i) manter o controle da verso para todas as atualizaes de software; j) manter uma trilha de auditoria para toda modificao requerida; k) garantir que a documentao de operao (ver 8.1.1) e os procedimentos de usurio sero modificados conforme necessrio, de forma a adequar as mudanas implementadas; l) garantir que a implementao de mudanas ocorrer no tempo certo e no atrapalhar os processos do negcio envolvidos. Muitas organizaes mantm um ambiente no qual os usurios testam novos softwares segregados dos ambientes de desenvolvimento e de produo. Esta estratgia favorece o controle sobre novo software, permitindo ainda a proteo adicional da informao de produo que usada para a finalidade de teste. 10.5.2 Reviso tcnica das mudanas do sistema operacional da produo Periodicamente necessrio modificar o sistema operacional, por exemplo para instalar uma correo (patch) ou uma nova verso de software enviada pelo fornecedor. Quando as modificaes ocorrerem, convm que os sistemas de aplicao sejam revistos e testados para garantir que no ocorrer nenhum impacto adverso na produo ou na segu-rana. Recomenda-se que este processo cubra: a) reviso dos procedimentos de controle e integridade da aplicao, para garantir que eles no foram comprometidos pelas mudanas efetuadas no sistema operacional; b) garantia de que o planejamento e o oramento anual para suporte cobriro revises e testes de sistemas resultantes das modificaes do sistema operacional; c) garantia de que a notificao da modificao do sistema operacional feita de modo a permitir que as revises apropriadas ocorram antes de qualquer implementao; d) garantia de que as modificaes sejam feitas no plano de contingncia no negcio (ver seo 11). 10.5.3 Restries nas mudanas dos pacotes de software Convm que modificaes dos pacotes de software sejam desencorajadas. To longe quanto possvel e praticvel, convm que os pacotes de software adquiridos de fornecedores sejam usados sem modificaes. Onde for avaliado como essencial a modificao do pacote de software, recomenda-se que os seguintes pontos sejam considerados: a) risco de comprometimento dos controles embutidos e da integridade dos processos; b) se necessria a obteno do consentimento do fornecedor; c) possibilidade de obter a modificao necessria diretamente do fornecedor como atualizao padro do programa; d) impacto de a organizao se tornar no futuro responsvel pela manuteno do software como resultado da modificao. Se as modificaes forem consideradas essenciais, convm que o software original seja retido e as modificaes efetuadas em uma cpia claramente identificada. Convm que todas as modificaes sejam completamente testadas e documentadas, de forma que elas possam ser reaplicadas, se necessrio, em futuras atualizaes de software. 10.5.4 Covert channels e cavalo de Tria Um covert channel pode expor a informao atravs de meios indiretos e obscuros. Ele pode ser ativado a partir da troca de parmetros acessveis tanto por elementos seguros como por elementos inseguros de um sistema de computao, ou por informaes embutidas em um determinado fluxo de dados. Um cavalo de Tria projetado para afetar um sistema de uma forma no autorizada ou prontamente informada, e ainda no solicitada pelo receptor ou usurio do programa. Os canais secretos e os cavalos de Tria acarretam muita preocupao e raramente ocorrem por acidente. Recomeda-se que os seguintes itens sejam considerados: a) comprar programas apenas de fontes conhecidas e idneas; b) comprar programas em cdigo-fonte, de forma que o cdigo possa ser verificado; c) utilizar produtos que j tenham sido avaliados; d) inspecionar todo o cdigo-fonte antes do uso operacional; e) controlar o acesso ao cdigo e a modificao do mesmo, uma vez que esteja instalado; f) utilizar pessoal de comprovada confiana para trabalhar com os sistemas-chave.

PROJETO 21:204.01-010:2001
10.5.5 Desenvolvimento terceirizado de software Quando o desenvolvimento de software for terceirizado, recomenda-se que os seguintes pontos sejam considerados: a) acordos sobre licenas, propriedade do cdigo-fonte e direitos de propriedade intelectual (ver 12.1.2); b) certificao da qualidade e da exatido do trabalho implementado; c) acordos na eventualidade de haver falha por parte de terceiros; d) direitos de acesso para auditoria da qualidade e exatido do trabalho executado; e) requisitos contratuais de qualidade do cdigo; f) teste antes da instalao para deteco de cavalos de Tria. 11 Gesto da continuidade do negcio 11.1 Aspectos da gesto da continuidade do negcio

45

Objetivo: No permitir a interrupo das atividades do negcio e proteger os processos crticos contra efeitos de falhas ou desastres significativos. Convm que o processo de gesto da continuidade seja implementado para reduzir, para um nvel aceitvel, a interrupo causada por desastres ou falhas da segurana (que pode ser resultante de, por exemplo, desastres naturais, acidentes, falhas de equipamentos e aes intencionais) atravs da combinao de aes de preveno e recuperao. Convm que as conseqncias de desastres, falhas de segurana e perda de servios sejam analisadas. Convm que os planos de contingncia sejam desenvolvidos e implementados para garantir que os processos do negcio possam ser recuperados dentro da requerida escala de tempo. Convm que tais planos sejam mantidos e testados de forma a se tornarem parte integrante de todos os outros processos gerenciais. Convm que a gesto da continuidade do negcio inclua controles para a identificao e reduo de riscos, a limitao das conseqncias dos danos do incidente e a garantia da recuperao tempestiva das operaes vitais. 11.1.1 Processo de gesto da continuidade do negcio Convm que um processo de gesto que permeie toda a organizao esteja implantado para o desenvolvimento e manuteno da continuidade do negcio. Convm que este processo agregue os seguintes elementos-chave da gesto da continuidade do negcio: a) entendimento dos riscos a que a organizao est exposta, no que diz respeito sua probabilidade e impacto, incluindo a identificao e priorizao dos processos crticos do negcio; b) entendimento do impacto que as interrupes provavelmente tero sobre os negcios ( importante que as solues encontradas possam tratar tanto os pequenos incidentes, como os mais srios, que poderiam colocar em risco a continuidade da organizao) e estabelecimento dos objetivos do negcio relacionados com as instalaes e recursos de processamento de dados; c) considerao de contratao de seguro compatvel que possa ser parte integrante do processo de continuidade; d) definio e documentao de estratgia de continuidade consistente com os objetivos e prioridades estabelecidos para o negcio; e) detalhamento e documentao de planos de continuidade alinhados com a estratgia estabelecida; f) testes e atualizaes regulares dos planos e procedimentos implantados; g) garantia de que a gesto da continuidade do negcio esteja incorporada aos processos e estrutura da organizao. A responsabilidade pela coordenao do processo de gesto de continuidade do negcio deve ser atribuda a um nvel adequado dentro da organizao, por exemplo ao frum de segurana da informao (ver 4.1.1). 11.1.2 Continuidade do negcio e anlise de impacto Convm que a continuidade do negcio tenha como ponto de partida a identificao dos eventos que podem causar interrupes nos processos do negcio, por exemplo falha de equipamentos, inundaes e incndios. Em seguida, convm que seja feita uma anlise de risco para a determinao do impacto destas interrupes (tanto em termos de escala de dano quanto em relao ao perodo de recuperao). Convm que estas atividades sejam executadas com o total envolvimento dos responsveis pelos processos e recursos do negcio. A avaliao deve considerar todos os processos do negcio e no deve estar limitada aos recursos e instalaes de processamento de dados. Em funo dos resultados da anlise de risco, convm que um plano estratgico seja desenvolvido para se determinar a abordagem mais abrangente a ser adotada para a continuidade do negcio. Uma vez criado, o plano dever ser validado pelo corpo gerencial.

46

PROJETO 21:204.01-010:2001
11.1.3 Documentando e implementando planos de continuidade Convm que os planos sejam desenvolvidos para a manuteno ou recuperao das operaes do negcio, na escala de tempo requerida, aps a ocorrncia de interrupes ou falhas dos processos crticos. Recomenda-se que o processo de planejamento da continuidade do negcio considere os seguintes itens: a) identificao e concordncia de todas as responsabilidades e procedimentos de emergncia; b) implementao dos procedimentos de emergncia que permitam a recuperao e restaurao nos prazos necessrios. Ateno especial deve ser dada avaliao de dependncias externas ao negcio e de contratos existentes; c) documentao dos processos e procedimentos definidos; d) treinamento adequado do pessoal nos procedimentos e processos de emergncia definidos, incluindo a gerncia de crise; e) teste e atualizao dos planos. Convm que o processo de planejamento foque os objetivos requeridos do negcio, por exemplo recuperao de determinados servios especficos para os clientes, em um perodo de tempo aceitvel. Convm que os servios e recursos que possibilitaro isto ocorrer sejam previstos contemplando pessoal, recursos em geral, alm dos de tecnologia de informao, assim como itens de reposio dos recursos e instalaes de processamento de dados. 11.1.4 Estrutura do plano de continuidade do negcio Convm que uma estrutura bsica dos planos de continuidade do negcio seja mantida para se assegurar que todos os planos sejam consistentes e para identificar prioridades para testes e manuteno. Convm que cada plano de continuidade do negcio especifique claramente as condies da sua ativao, assim como as responsabilidades individuais para a execuo de cada uma das atividades do plano. Quando novos requisitos so identificados, convm que os procedimentos de emergncia relacionados sejam ajustados de forma apropriada, por exemplo os planos de evacuao ou qualquer acordo de recuperao da capacidade de processamento. Convm que uma estrutura de planejamento para continuidade do negcio considere os seguintes itens: a) as condies para ativao dos planos, os quais descrevem os processos a serem seguidos previamente sua ativao (como se avaliar a situao, quem deve ser acionado, etc.); b) os procedimentos de emergncia que descrevam as aes a serem tomadas aps a ocorrncia de um incidente que coloque em risco as operaes do negcio e/ou vidas humanas. Convm que isto inclua procedimentos para a gesto das relaes pblicas e para o contato eficaz com as autoridades pblicas apropriadas, tais como polcia, bombeiros e governo local; c) procedimentos de recuperao que descrevam as aes necessrias para a transferncia das atividades essenciais do negcio ou os servios de infra-estrutura para localidades alternativas temporrias, e para a reativao dos processos do negcio no prazo necessrio; d) procedimentos de recuperao que descrevam as aes a serem adotadas quando do restabelecimento das operaes; e) uma programao de manuteno que especifique quando e como o plano dever ser testado e a forma de se proceder a manuteno deste plano; f) desenvolvimento de atividades educativas e de conscientizao com o propsito de criar o entendimento do processo de continuidade do negcio e de assegurar que o processo continue a ser efetivo; g) designao das responsabilidades individuais, descrevendo quem responsvel pela execuo de que item do plano. Convm que suplentes sejam definidos quando necessrio. Convm que cada plano possua um responsvel. Convm que os procedimentos de emergncia, planos de retomada manual e os planos de recuperao fiquem sob a guarda do respectivo responsvel pelos processos e recursos envolvidos. Convm que atividades de recuperao de servios tcnicos, tais como processamento da informao e instalaes de comunicao, sejam usualmente de responsabilidade dos fornecedores destes servios. 11.1.5 Testes, manuteno e reavaliao dos planos de continuidade do negcio 11.1.5.1 Teste dos planos Os planos de continuidade do negcio podem apresentar falhas quando testados, geralmente devido a pressupostos incorretos, omisses ou mudanas de equipamentos e de pessoal. Por isto convm que eles sejam testados regularmente, de forma a garantir sua permanente atualizao e efetividade. Convm que tais testes tambm assegurem que todos os membros da equipe de recuperao e outras pessoas de relevncia esto conscientes sobre os planos.

PROJETO 21:204.01-010:2001

47

Convm que o planejamento e a programao dos testes do(s) plano(s) de continuidade do negcio indiquem como e quando cada elemento deve ser testado. recomendvel que os componentes isolados do(s) plano(s) sejam freqentemente testados. Convm que vrias tcnicas sejam utilizadas de modo a garantir a confiana de que o(s) plano(s) ir(o) operar consistentemente em casos reais. Convm que sejam considerados: a) testes de mesa simulando diferentes cenrios (verbalizando os procedimentos de recuperao para diferentes formas de interrupo); b) simulaes (particularmente til para o treinamento do pessoal nas suas atividades gerenciais ps-crise); c) testes de recuperao tcnica (garantindo que os sistemas de informao possam ser efetivamente recuperados); d) testes de recuperao em um local alternativo (executando os processos de negcio em paralelo com a recuperao das operaes); e) testes dos recursos, servios e instalaes de fornecedores (garantindo que os servios e produtos fornecidos por terceiros atendem aos requisitos contratados); f) ensaio geral (testando se a organizao, o pessoal, os equipamentos, os recursos e os processos podem enfrentar interrupes). Estas tcnicas podem ser utilizadas por qualquer organizao e convm que elas reflitam a natureza do plano de recuperao especfico. 11.1.5.2 Manuteno e reavaliao dos planos Convm que os planos de continuidade do negcio sejam mantidos por meio de revises e atualizaes regulares, de forma a assegurar a sua contnua efetividade (ver 11.1.5.1). Convm que procedimentos sejam includos no programa de gerncia de mudanas da organizao, de forma a garantir que as questes relativas continuidade de negcios esto devidamente tratadas. Convm que a responsabilidade pelas revises e atualizaes de cada parte do plano seja definida e estabelecida; convm que a identificao de mudanas nas atividades do negcio que ainda no tenham sido contempladas nos planos de continuidade de negcio seja seguida da apropriada atualizao. Convm que um controle formal de mudanas assegure que os planos atualizados so distribudo e reforados por revises peridicas do plano como um todo. Exemplos de situaes que podem demandar atualizaes nos planos incluem a aquisio de novo equipamento, ou atualizao dos sistemas operacionais e alteraes: a) de pessoal; b) de endereos ou nmeros telefnicos; c) de estratgia de negcio; d) na localizao, instalaes e recursos; e) na legislao; f) em prestadores de servio, fornecedores e clientes-chave; g) de processos (incluses e excluses); h) no risco (operacional e financeiro). 12 Conformidade 12.1 Conformidade com requisitos legais Objetivo: Evitar violao de qualquer lei criminal ou civil, estatutos, regulamentaes ou obrigaes contratuais e de quaisquer requisitos de segurana. O projeto, a operao, o uso e a gesto de sistemas de informao podem estar sujeitos a requisitos de segurana contratuais, regulamentares ou estatutrios. Convm que consultoria em requisitos legais especficos seja procurada em organizaes de consultoria jurdica ou em profissionais liberais, adequadamente qualificados nos aspectos legais. Os requisitos legislativos variam de pas para pas e tambm para a informao criada em um pas e transmitida para outro (isto , fluxo de dados internacional).

48

PROJETO 21:204.01-010:2001
12.1.1 Identificao da legislao vigente Convm que estatutos, regulamentaes ou clusulas contratuais relevantes sejam explicitamente definidos e documentados para cada sistema de informao. Convm que os controles e as responsabilidades especficos para atender a estes requisitos sejam, de forma similar, definidos e documentados. 12.1.2 Direitos de propriedade intelectual 12.1.2.1 Direitos autorais Convm que procedimentos apropriados sejam implementados para garantir a conformidade com as restries legais no uso de material de acordo com leis de propriedade intelectual, como as de direitos autorais, patentes ou marcas registradas. A violao do direito autoral pode levar a uma ao legal envolvendo processos criminais. Legislao, regulamentao e clusulas contratuais podem estabelecer restries para cpia de material que tenha direitos autorais. Em particular, pode ser requerido que somente material que seja desenvolvido pela organizao ou que foi licenciado ou fornecido pelos desenvolvedores para a organizao seja utilizado. 12.1.2.2 Direitos autorais de software Produtos de software proprietrios so normalmente fornecidos sob um contrato de licenciamento que restringe o uso dos produtos em mquinas especificadas e que pode limitar a cpia apenas para criao de uma cpia de segurana. Convm que os seguintes controles sejam considerados: a) divulgar uma poltica de conformidade de direito autoral de software que defina o uso legal de produtos de software e de informao; b) emitir padres para procedimentos de aquisio de produtos de software; c) manter ateno sobre a poltica de aquisio e de direitos autorais de software e notificar a inteno de tomar aes disciplinares contra colaboradores que violarem essas polticas; d) manter adequadamente os registros de ativos; e) manter provas e evidncias da propriedade de licenas, discos-mestres, manuais, etc.; f) implementar controles para assegurar que o nmero mximo de usurios permitidos no excede o nmero de licenas adquiridas; g) conduzir verificaes para que somente produtos de software autorizados e licenciados sejam instalados; h) estabelecer poltica para a manuteno das condies adequadas de licenas; i) estabelecer uma poltica para disposio ou transferncia de software para outros; j) utilizar ferramentas de auditoria apropriadas; k) cumprir termos e condies para software e informao a partir de redes pblicas (ver tambm 8.7.6). 12.1.3 Salvaguarda de registros organizacionais Convm que registros importantes de uma organizao sejam protegidos contra perda, destruio e falsificao. Alguns registros podem precisar ser retidos de forma segura para atender a requisitos estatutrios ou regulamentaes, assim como para apoiar as atividades essenciais do negcio. Exemplo disso so os registros que podem ser exigidos como evidncia de que uma organizao opera de acordo com as regras estatutrias e regulamentares, ou que podem assegurar a defesa adequada contra potenciais processos civis ou criminais ou confirmar a situao financeira de uma organizao perante aos acionistas, parceiros e auditores. O perodo de tempo e o contedo da informao retida podem estar definidos atravs de leis ou regulamentaes nacionais. Convm que registros sejam categorizados em tipos de registros, tais como registros contbeis, registros de base de dados, registros de transaes, registros de auditoria e procedimentos operacionais, cada qual com detalhes do perodo de reteno e do tipo de mdia de armazenamento como, por exemplo, papel, microficha, meio magntico ou tico. Convm que quaisquer chaves de criptografia relacionadas com arquivos cifrados ou assinaturas digitais (ver 10.3.2 e 10.3.3) sejam mantidas de forma segura e tornadas disponveis para as pessoas autorizadas quando necessrio. Convm que cuidados sejam tomados a respeito da possibilidade de degradao das mdias usadas no armazenamento dos registros. Convm que os procedimentos de armazenamento e manuseio sejam implementados de acordo com as recomendaes dos fabricantes. Onde mdias eletrnicas armazenadas forem escolhidas, convm que sejam includos procedimentos para assegurar a capacidade de acesso aos dados (leitura tanto na mdia como no formato utilizado) durante o perodo de reteno, para proteger contra perdas ocasionadas pelas futuras mudanas na tecnologia.

PROJETO 21:204.01-010:2001

49

Convm que sistemas de armazenamento de dados sejam escolhidos de modo que o dado solicitado possa ser recuperado de forma aceitvel pelo tribunal de justia como, por exemplo, todos os registros solicitados possam ser recuperados nos prazos e nos formatos aceitveis. Convm que o sistema de armazenamento e manuseio assegure a clara identificao dos registros e dos seus perodos de reteno estatutrios e regulamentares. Convm que seja permitida a destruio apropriada dos registros aps esse perodo, caso no sejam mais necessrios organizao. Para atender a estas obrigaes, convm que os seguintes passos sejam tomados dentro da organizao. a) Emitir diretrizes gerais para reteno, armazenamento, tratamento e disposio de registros e informaes. b) Elaborar uma programao para reteno, identificando os tipos de registro essenciais e o perodo que cada um deve ser mantido. c) Manter um inventrio das fontes de informaes-chave. d) Implementar controles apropriados para proteger registros e informaes essenciais de perda, destruio e falsificao. 12.1.4 Proteo de dados e privacidade da informao pessoal Alguns pases tm promulgado leis que estabelecem controles no processamento e na transmisso de dados pessoais (geralmente informao sobre indivduos vivos que podem ser identificados a partir de tais informaes). Tais controles podem impor responsabilidades sobre aqueles que coletam, processam e disseminam informao pessoal, e podem restringir a capacidade de transferncia desses dados para outros pases. Conformidade com leis de proteo de dados necessita de uma estrutura de gesto e de controles apropriados. Geralmente isto melhor alcanado atravs da indicao de um responsvel pela proteo de dados que deve fornecer orientaes gerais para gerentes, usurios e provedores de servio sobre as responsabilidades de cada um e sobre quais procedimentos especficos recomenda-se seguir. Convm que seja responsabilidade do proprietrio do dado notificar ao responsvel pela proteo de dados sobre qualquer proposta de armazenamento de informaes pessoais em um arquivo estruturado e garantir a capacitao nos princpios de proteo de dados definidos na legislao vigente. 12.1.5 Preveno de mau uso de facilidades de processamento da informao As facilidades de processamento da informao de uma organizao so fornecidas para propsitos do negcio. A administrao deve autorizar o seu uso. Convm que qualquer uso destas facilidades para propsitos no profissionais ou no autorizados, sem a aprovao da administrao, seja considerado como uso imprprio. Se essa atividade for identificada por processo de monitorao ou outros meios, convm que seja levada ao conhecimento do gestor responsvel para que sejam aplicadas as aes disciplinares cabveis. A legalidade do processo de monitorao do uso varia de pas para pas e pode requerer que os funcionrios sejam avisados dessa monitorao ou estejam formalmente em concordncia com este processo. Convm que se busque uma assessoria legal antes da implementao dos procedimentos de monitorao. Muitos pases possuem, ou tm em processo de promulgao, leis de proteo contra o uso imprprio de computadores. Pode ser crime o uso de um computador para fins no autorizados. Desta forma, essencial que os usurios tenham conhecimento do escopo exato de suas permisses de acesso. Isto pode, por exemplo, ser alcanado pelo registro das autorizaes dos usurios por escrito, recomendando-se que a cpia seja assinada pelo usurio e armazenada de forma segura pela organizao. Convm que os funcionrios de uma organizao e prestadores de servio sejam informados de que nenhum acesso permitido com exceo daqueles que foram autorizados. No momento da conexo inicial convm que seja apresentada uma mensagem de advertncia na tela do computador, indicando que o sistema que est sendo acessado privado e que no so permitidos acessos no autorizados. O usurio tem que confirmar e reagir adequadamente mensagem na tela para continuar com o processo de conexo. 12.1.6 Regulamentao de controles de criptografia Alguns pases tm estabelecido acordos, leis, regulamentaes ou outros instrumentos para controlar o acesso ou uso de controles criptogrficos. Tais controles podem incluir: a) importao e/ou exportao de equipamento e software de computador para execuo de funes criptogrficas; b) importao e/ou exportao de equipamento e software de computador que foi projetado para ter funes criptogrficas embutidas; c) mtodos mandatrios ou discricionrios de acesso dos pases informao cifrada por equipamento ou software para fornecer confidencialidade ao contedo. Convm que assessoria jurdica seja obtida para garantir a conformidade com a legislao nacional vigente. Tambm convm que seja obtida assessoria jurdica antes de se transferir informaes cifradas ou controles de criptografia para outros pases.

50

PROJETO 21:204.01-010:2001
12.1.7 Coleta de evidncias 12.1.7.1 Regras para evidncias necessrio ter evidncias adequadas para apoiar um processo jurdico contra uma pessoa ou organizao. Sempre que este processo for uma questo disciplinar interna, as evidncias necessrias estaro descritas nos procedimentos internos. Quando o processo envolver a lei, civil ou criminal, convm que as evidncias apresentadas estejam de acordo com as regras para evidncias estabelecidas pela lei ou pelo tribunal de justia especfico onde o caso ser julgado. Em geral, estas regras abrangem: a) admissibilidade da evidncia: se a evidncia pode ser ou no utilizada pela corte; b) importncia da evidncia: qualidade e inteireza da evidncia; c) evidncia adequada de que controles estavam operando correta e consistentemente (isto , processo de controle de evidncias) durante todo o perodo que a evidncia recuperada foi armazenada e processada pelo sistema. 12.1.7.2 Admissibilidade da evidncia Para obter admissibilidade da evidncia, recomenda-se que as organizaes garantam que seus sistemas de informao esto em conformidade com qualquer norma ou cdigo de prtica publicado para produo de evidncia admissvel. 12.1.7.3 Qualidade e inteireza da evidncia Para obter qualidade e inteireza da evidncia, uma boa trilha de evidncia necessria. Em geral, tal trilha pode ser estabelecida sob as seguintes condies. a) Para documentos em papel: o original mantido de forma segura e so mantidos registros sobre quem encontrou, onde foi encontrado, quando foi encontrado e quem testemunhou a descoberta. Convm que qualquer investigao garanta que os originais no foram adulterados. b) Para informaes em mdia eletrnica: convm que cpias de qualquer mdia removvel, informaes em disco rgido ou em memria sejam obtidas para garantir a disponibilidade. Convm que o registro de todas as aes durante o processo de cpia seja mantido e o processo seja testemunhado. Convm que uma cpia da mdia magntica e um dos registros sejam mantidos de forma segura. Quando um incidente detectado, pode no ser bvio que resultar num possvel processo jurdico. Entretanto, existe o perigo de que a evidncia necessria seja destruda acidentalmente antes que seja percebida a seriedade do incidente. conveniente envolver um advogado ou a polcia to logo seja constatada a possibilidade de processos jurdicos e obter consultoria sobre as evidncias necessrias. 12.2 Reviso da poltica de segurana e da conformidade tcnica Objetivo: Garantir conformidade dos sistemas com as polticas e normas organizacionais de segurana. Convm que a segurana dos sistemas de informao seja regularmente revista. Convm que tais revises sejam executadas com base nas polticas de segurana apropriadas e que as plataformas tcnicas e sistemas de informao sejam auditados na conformidade com as normas de segurana implementadas. 12.2.1 Conformidade com a poltica de segurana Convm que gestores garantam que todos os procedimentos de segurana dentro da sua rea de responsabilidade esto sendo executados corretamente. Adicionalmente, convm que todas as reas dentro da organizao sejam consideradas na reviso peridica para garantir a conformidade com as normas e polticas de segurana. Convm que isto inclua o seguinte: a) sistemas de informao; b) provedores de sistemas; c) proprietrios da informao e ativos de informao; d) usurios; e) administrao. Convm que os proprietrios dos sistemas de informao (ver 5.1) apoiem as revises peridicas de conformidade dos seus sistemas com as polticas de segurana, normas e qualquer outro requisito de segurana apropriados. A monitorao operacional do uso do sistema coberto em 9.7. 12.2.2 Verificao da conformidade tcnica Convm que sistemas de informao sejam periodicamente verificados em sua conformidade com as normas de segurana implementadas. Verificao de conformidade tcnica envolve a anlise dos sistemas operacionais para garantir que controles de equipamento e software foram corretamente implementados. Este tipo de verificao de conformidade requer a assistncia de tcnicos especializados. Convm que seja executado manualmente (auxiliado por ferramentas de software apropriadas, se necessrio) por um engenheiro de sistemas experiente ou por ferramentas de software que gerem relatrio tcnico para interpretao subseqente por um tcnico especialista.

PROJETO 21:204.01-010:2001

51

Verificao de conformidade tambm engloba, por exemplo, testes de invaso, que podem ser executados por especialistas independentes contratados especificamente para este fim. Isto pode ser til na deteco de vulnerabilidades do sistema e na verificao do quanto os controles so eficientes na preveno de acessos no autorizados devido a estas vulnerabilidades. Convm que cuidados sejam tomados em testes de invaso cujo sucesso pode levar ao comprometimento da segurana do sistema e inadvertidamente explorar outras vulnerabilidades. Convm que qualquer verificao de conformidade tcnica somente seja executada por, ou sob superviso de, pessoas competentes e autorizadas. 12.3 Consideraes quanto auditoria de sistemas Objetivo: Maximizar a eficcia e minimizar a interferncia no processo de auditoria de sistema. Convm que existam controles para a salvaguarda dos sistemas operacionais e ferramentas de auditoria durante as auditorias de sistema. Proteo tambm necessria para salvaguardar a integridade e prevenir o uso indevido das ferramentas de auditoria. 12.3.1 Controles de auditoria de sistema Convm que requisitos e atividades de auditoria envolvendo verificao nos sistemas operacionais sejam cuidadosamente planejados e acordados para minimizar os riscos de interrupo dos processos do negcio. Recomenda-se que seja observado o seguinte. a) Convm que requisitos de auditoria sejam acordados com o nvel apropriado da administrao. b) Convm que o escopo da verificao seja acordado e controlado. c) Convm que a verificao esteja limitada ao acesso somente para leitura de software e dados. d) Convm que outros acessos diferentes de apenas leitura sejam permitidos somente atravs de cpias isoladas dos arquivos do sistema, que devem ser apagados ao final da auditoria. e) Convm que recursos de tecnologia para execuo da verificao sejam identificados explicitamente e tornados disponveis. f) Convm que requisitos para processamento adicional ou especial sejam identificados e acordados. g) Convm que todo acesso seja monitorado e registrado de forma a produzir uma trilha de referncia. h) Convm que todos os procedimentos, requerimentos e responsabilidades sejam documentados. 12.3.2 Proteo das ferramentas de auditoria de sistemas Convm que acessos s ferramentas de auditoria de sistemas, isto , software ou arquivos de dados, sejam protegidos para prevenir contra qualquer possibilidade de uso imprprio ou comprometimento. Convm que tais ferramentas sejam separadas de sistemas em desenvolvimento e em operao e no sejam manipuladas em fitas de biblioteca ou reas de usurios, a menos que forneam um nvel apropriado de proteo adicional. ________________ /ANEXO A

52

PROJETO 21:204.01-010:2001

Anexo A (informativo) Descrio dos termos apresentados em ingls nesta Norma Covert channel - canal de comunicaes que permite que dois processos cooperativos transfiram a informao de uma maneira que viole a poltica de segurana do sistema Denial of service (negao do servio) - impedimento do acesso autorizado aos recursos ou retardamento de operaes crticas por um certo perodo de tempo Dial up - servio por meio do qual um terminal de computador pode usar o telefone para iniciar e efetuar uma comunicao com outro computador Firewall - sistema ou combinao de sistemas que protege a fronteira entre duas ou mais redes Gateway - mquina que funciona como ponto de conexo entre duas redes Hacker - pessoa que tenta acessar sistemas sem autorizao, usando tcnicas prprias ou no, com o intuito de acesso a determinado ambiente para proveito prprio ou de terceiros. Dependendo dos objetivos da ao, podem ser chamados de Cracker, Lammer ou BlackHat Smartcard - carto plstico que contm um microchip que inclui um microprocessador e uma memria. Do mesmo tamanho que um carto de crdito, tem contatos que permitem que outros dispositivos se comuniquem com o carto. Pode conter mais dados do que uma tarja magntica e pode ser programado para revelar somente a informao relevante Trojan horse - programa de computador com funo aparentemente ou realmente til, que contm as funes (escondidas) adicionais e que explora secretamente as autorizaes legtimas do processo, provocando perda da segurana Tokens - mensagem que consiste em dados relevantes para uma comunicao especfica e que contm informaes que podem ser transformadas, usando uma tcnica de criptografia

________________