ABNT NBR ISO/IEC 27002 Sesso 15 Conformidade

Normas e Padres de Segurana

Andrigo Klein Althier Teixeira Guilherme Samuel Jones Jardel Poersch Rodolfo Silva

ABNT NBR ISO/IEC 27002 Sesso 15 Conformidade

Abrange trs categorias: 15.1 Conformidade com requisitos legais 15.2 Conformidade com normas e polticas de segurana da informao e conformidade tcnica 15.3 Consideraes quanto auditoria de sistemas de informao

ABNT NBR ISO/IEC 27002 Sesso 15 Conformidade

15.1 Conformidade com requisitos legais
Objetivo
- Evitar violaes de quaisquer obrigaes legais, estatutrias, regulamentares ou contratuais e de quaisquer requisitos de segurana da informao. - O projeto, a operao, o uso e a gesto de sistemas da informao podem estar sujeitos a requisitos de segurana contratuais, regulamentares ou estatutrios. - Convm que consultoria em requisitos legais especficos seja procurada em organizaes de consultoria jurdica ou em profissionais liberais, adequadamente qualificados nos aspectos legais. Os requisitos legislativos variam de pas para pas e tambm para a informao criada em um pas e transmitida para outro (isto , fluxo de dados transfronteira).

ABNT NBR ISO/IEC 27002 Sesso 15 Conformidade

15.1.1 Identificao da legislao vigente
Controle - Convm que todos os requisitos estatutrios, regulamentares e contratuais relevantes, e o enfoque da organizao para atender a esses requisitos, sejam explicitamente definidos, documentados e mantidos atualizados para cada sistema de informao da organizao. Diretrizes para implementao: - Convm que os controles especficos e as responsabilidades individuais para atender a estes requisitos sejam definidos e documentados de forma similar.

ABNT NBR ISO/IEC 27002 Sesso 15 Conformidade

15.1.2 Direitos de propriedade intelectual
Controle - Convm que procedimentos apropriados sejam implementados para garantir a conformidade com os requisitos legislativos, regulamentares e contratuais no uso de material, em relao aos quais pode haver direitos de propriedade intelectual e sobre o uso de produtos de software proprietrios. Diretrizes para implementao - Convm que as seguintes diretrizes sejam consideradas para proteger qualquer material que possa ser considerado como propriedade intelectual: a) Divulgar poltica de conformidade com os direitos de propriedade intelectual que defina o uso legal de produtos de softwaree de informao; b) adquirir softwarepor meio de fontes conhecidas e de reputao, para assegurar que o direito autoral no est sendo violado;

15.1.2 Direitos de propriedade intelectual

ABNT NBR ISO/IEC 27002 Sesso 15 Conformidade

c ) manter conscientizao das polticas e notificar a inteno de tomar aes disciplinares contra pessoas que violarem essas; d) manter de forma adequada os registros de ativos e identificar todos os ativos com requisitos para proteger os direitos de propriedade intelectual; e) manter provas e evidncias da propriedade de licenas, discos-mestre,manuais f)implementar controles para assegurar que o nmero mximo de usurios permitidos no excede o nmero de licenas adquiridas; g) conduzir verificaes para que somente produtos de software autorizados e licenciados sejam instalados; h) estabelecer uma poltica para a manuteno das condies adequadas de licenas; i) estabelecer uma poltica para disposio ou transferncia de softwarepara outros;

ABNT NBR ISO/IEC 27002 Sesso 15 Conformidade

15.1.2 Direitos de propriedade intelectual
j) utilizar ferramentas de auditoria apropriadas; k) cumprir termos e condies para software e informao obtidos a partir de redes pblicas; l) no duplicar, converter para outro formato ou extrair de registros comerciais (filme, udio) outros que no os permitidos pela lei de direito autoral; m) no copiar, no todo ou em partes, livros, artigos, relatrios ou outros documentos, alm daqueles permitidos pela lei de direito autoral.

ABNT NBR ISO/IEC 27002 Sesso 15 Conformidade

15.1.3 Proteo de registros organizacionais
Controle - Convm que registros importantes sejam protegidos contra perda, destruio e falsificao, de acordo com os requisitos regulamentares, estatutrios, contratuais e do negcio. Diretrizes para implementao - Convm que registros sejam categorizados em tipos de registros, tais como registros contbeis, de base de dados, etc., cada qual com detalhes do perodo de reteno e do tipo de mdia de armazenamento, como, papel, microficha, etc. Convm que quaisquer chaves de criptografia relacionadas com arquivos cifrados ou assinaturas digitais sejam armazenadas para permitir a decifrao de registros pelo perodo de tempo que os registros so mantidos. - Convm que cuidados sejam tomados a respeito da possibilidade de deteriorao das mdias usadas no armazenamento dos registros.

ABNT NBR ISO/IEC 27002 Sesso 15 Conformidade

15.1.3 Proteo de registros organizacionais
Diretrizes para implementao - Convm que os procedimentos de armazenamento e manuseio sejam implementados de acordo com as recomendaes dos fabricantes. - Sejam includos procedimentos de acesso aos dados armazenados durante o perodo de reteno. - Convm escolher um sistema de armazenamento que possibilite a recuperao dos dados em caso de necessidade. - Convm que o sistema de armazenamento e manuseio assegure a identificao dos registros e seus perodos de reteno.

ABNT NBR ISO/IEC 27002 Sesso 15 Conformidade

15.1.3 Proteo de registros organizacionais
Para atender aos objetivos de proteo dos registros, convm que os seguintes passos sejam tomados dentro da organizao: 1. emitir diretrizes gerais para reteno, armazenamento, tratamento e disposio de registros e informaes; 2. elaborar uma programao para reteno, identificando os registros essenciais e o perodo que cada um deve ser mantido; 3. manter um inventrio das fontes de informaes-chave; 4. Implementar controles apropriados para proteger registros e informaes contra perda, destruio e falsificao.

ABNT NBR ISO/IEC 27002 Sesso 15 Conformidade

15.1.3 Proteo de registros organizacionais
Informaes adicionais: - Alguns registros podem precisar ser retidos para atender a requisitos estatutrios, contratuais ou regulamentares, ou apoiar as atividades essenciais do negcio. Ex: registros a serem exigidos como evidncia que a organizao opera de acordo com as regras estatutrias e regulamentares ou confirmar a situao financeira da mesma. O perodo de tempo e o contedo da informao podem estar definidos atravs de leis ou regulamentaes nacionais.

ABNT NBR ISO/IEC 27002 Sesso 15 Conformidade

15.1.4 Proteo de dados e privacidade de informaes pessoais
Controle: - Convm que a privacidade e proteo de dados sejam asseguradas conforme exigido nas legislaes relevantes, regulamentaes e, se aplicvel, nas clusulas contratuais. Diretrizes para implementao - Convm que uma poltica de privacidade e proteo de dados da organizao seja desenvolvida, implementada e comunicada a todas as pessoas envolvidas no processamento de informaes pessoais; - A conformidade com esta poltica, legislaes e regulamentaes relevantes de proteo de dados necessita de uma estrutura de gesto e de controles apropriados. - Convm que a responsabilidade pelo tratamento de informaes pessoais e a conscientizao dos princpios de proteo dos dados sejam tratadas de acordo com as legislaes e regulamentaes.

ABNT NBR ISO/IEC 27002 Sesso 15 Conformidade

15.1.4 Proteo de dados e privacidade de informaes pessoais
Diretrizes para implementao - Implementao de medidas organizacionais e tcnicas para proteger as informaes pessoais. Informaes adicionais - Alguns pases tm promulgado leis que estabelecem controles na coleta, no processamento e na transmisso de dados pessoais (geralmente informao sobre indivduos vivos que podem ser identificados a partir de tais informaes). Dependendo da respectiva legislao nacional, tais controles podem impor responsabilidades sobre aqueles que coletam, processam e disseminam informao pessoal, e podem restringir a capacidade de transferncia desses dados para outros pases.

ABNT NBR ISO/IEC 27002 Sesso 15 Conformidade

15.1.5 Preveno de mau uso de recursos de processamento da informao
Controle - Convm que os usurios sejam dissuadidos de usar os recursos de processamento da informao para propsitos no autorizados. Diretrizes: - Convm que a direo aprove o uso de recursos de processamento da informao. Convm que qualquer uso dos recursos para propsitos no relacionados ao negcio ou no autorizados, seja considerado como uso imprprio desses. Se qualquer atividade no autorizada for identificada, seja levada ao conhecimento do gestor responsvel para que sejam aplicadas as aes disciplinares e/ou legais pertinentes; - Convm que se busque uma assessoria legal antes da implementao dos procedimentos de monitorao;

ABNT NBR ISO/IEC 27002 Sesso 15 Conformidade

15.1.5 Preveno de mau uso de recursos de processamento da informao
Convm que todos os usurios estejam conscientes do escopo preciso de suas permisses de acesso e da monitorao realizada para detectar o uso no autorizado. Isto pode ser alcanado pelo registro das autorizaes dos usurios por escrito, convm que a cpia seja assinada pelo usurio e armazenada de forma segura pela organizao. Convm que funcionrios da organizao, fornecedores e terceiros sejam informados de que nenhum acesso permitido com exceo daqueles que foram autorizados. No momento da conexo inicial, convm que seja apresentada uma mensagem de advertncia para indicar que o recurso que est sendo usado de propriedade da organizao e que no so permitidos acessos no autorizados, e que seja necessrio uma confirmao do usurio para prosseguir.

ABNT NBR ISO/IEC 27002 Sesso 15 Conformidade

15.1.5 Preveno de mau uso de recursos de processamento da informao
Informaes adicionais Os recursos de processamento da informao de uma organizao so destinados para atender aos propsitos do negcio. Ferramentas do tipo deteco de intrusos, inspeo de contedo e outras formas de monitorao podem ajudar a prevenir e detectar o mau uso dos recursos de processamento da informao. A legalidade do processo de monitorao do uso do computador varia de pas para pas e pode requerer que a direo avise a todos os usurios dessa monitorao e/ou que concordem formalmente com este processo. Quando o sistema estiver sendo usado para acesso pblico (por exemplo, um servidor pblico web) e sujeito a uma monitorao de segurana, convm que uma mensagem seja exibida na tela informando deste processo.

ABNT NBR ISO/IEC 27002 Sesso 15 Conformidade

15.1.6 Regulamentao de controles de criptografia
Controle - Convm que controles de criptografia sejam usados em conformidade com todas as leis, acordos e regulamentaes. Diretrizes para implementao - Convm que os seguintes itens sejam considerados para conformidade com leis, acordos e regulamentaes relevantes: restries importao e/ou exportao de hardwareesoftwarede computador para execuo defunes criptogrficas; restries importao e/ou exportao de hardwareesoftwarede computador que foi projetado para ter funes criptogrficas embutidas; restries no uso de criptografia; mtodos mandatrios ou discricionrios de acesso pelas autoridades dos pases informao cifrada por hardwareousoftwarepara fornecer confidencialidade ao contedo.

ABNT NBR ISO/IEC 27002 Sesso 15 Conformidade

15.1.6 Regulamentao de controles de criptografia Convm que assessoria jurdica seja obtida para garantir a conformidade com
as legislaes e leis nacionais vigentes. Tambm que seja obtida assessoria jurdica antes de se transferirem informaes cifradas ou controles de criptografia para outros pases.

ABNT NBR ISO/IEC 27002 Sesso 15 Conformidade

15.2 Conformidade com normas e polticas de segurana da informao e conformidade tcnica
Objetivo Garantir conformidade dos sistemas com as polticas e normas organizacionais de segurana da informao. - Convm que a segurana dos sistemas de informao seja analisada criticamente a intervalos regulares. - Convm que as anlises crticas sejam executadas com base nas polticas de segurana da informao apropriadas e que as plataformas tcnicas e sistemas de informao sejam auditados em conformidade com as normas de segurana da informao implementadas pertinentes e com os controles de segurana documentados.

ABNT NBR ISO/IEC 27002 Sesso 15 Conformidade

15.2.1 Conformidade com as polticas e normas de segurana da informao
Controle - Convm que gestores garantam que todos os procedimentos de SI dentro da sua rea de responsabilidade, esto sendo executados corretamente para atender conformidade com as normas e polticas de segurana da informao. Diretrizes para implementao - Convm que os gestores analisem criticamente, a intervalos regulares, a conformidade do processamento dainformao dentro da sua rea de responsabilidade com as polticas de segurana da informao, normas e quaisquer outros requisitos de segurana.

ABNT NBR ISO/IEC 27002 Sesso 15 Conformidade

15.2.1 Conformidade com as polticas e normas de segurana da informao
- Se qualquer no-conformidade for encontrada durante a anlise crtica, convm que os gestores: a) determinem as causas da no-conformidade; b) avaliem a necessidade de aes para assegurar que a no-conformidade no se repita; c) determinem e implementem ao corretiva apropriada; d) analisem criticamente a ao corretiva tomada. - Convm que os resultados das anlises crticas e das aes corretivas realizadas pelos gestores sejam registrados e mantidos, e que os resultados sejam relatados para as pessoas que esto realizando a anlise crtica independente quando esta for realizada.

ABNT NBR ISO/IEC 27002 Sesso 15 Conformidade

15.2.2 Verificao da conformidade tcnica
Controle - Convm que sistemas de informao sejam periodicamente verificados em sua conformidade com as normas de SI implementadas. Diretrizes para implementao - Convm que a verificao de conformidade tcnica seja executada manualmente por um engenheiro de sistemas experiente, e/ou com a assistncia de ferramentas automatizadas que gerem relatrio tcnico para interpretao por um especialista. - Se o teste de invaso ou avaliaes de vulnerabilidades forem usados, deve-se tomar precaues, uma vez que tais atividades podem conduzir a um comprometimento da segurana do sistema - Convm que tais testes sejam planejados, documentados e repetidos.

ABNT NBR ISO/IEC 27002 Sesso 15 Conformidade

15.2.2 Verificao da conformidade tcnica
Diretrizes para implementao - Convm que qualquer verificao de conformidade tcnica somente seja executada por pessoas autorizadas e competentes, ou sob a superviso de tais pessoas. Informaes adicionais - A verificao da conformidade tcnica envolve a anlise dos sistemas operacionais para garantir que controles de hardware e softwareforam corretamente implementados e requer assistncia de tcnicos especializados. - A verificao engloba testes de invaso e avaliaes de vulnerabilidades, que podem ser executados por especialistas contratados especificamente para este fim. - Esses testes fornecem um snapshot de um sistema em um estgio especfico para um tempo especfico. O snapshot est limitado para aquelas partes do sistema realmente testadas durante a etapa da invaso. O teste de invaso e as avaliaes de vulnerabilidades no so um substituto da anlise/avaliao de riscos.

ABNT NBR ISO/IEC 27002 Sesso 15 Conformidade

15.2.2 Verificao da conformidade tcnica
Informaes adicionais - Os testes de invaso e avaliao de vulnerabilidades fornecem um snapshot de um sistema em um estgio especfico para um tempo especfico. O snapshot est limitado para aquelas partes do sistema realmente testadas durante a etapa da invaso. O teste de invaso e as avaliaes de vulnerabilidades no so um substituto da anlise/avaliao de riscos.

ABNT NBR ISO/IEC 27002 Sesso 15 Conformidade

15.3 Consideraes quanto auditoria de sistemas de informao
Objetivo - Maximizar a eficcia e minimizar a interferncia no processo de auditoria dos sistemas de informao. - Convm que existam controles para a proteo dos sistemas operacionais e ferramentas de auditoria durante as auditorias de sistema de informao. - Proteo tambm necessria para proteger a integridade e prevenir o uso indevido das ferramentas de auditoria.

ABNT NBR ISO/IEC 27002 Sesso 15 Conformidade

15.3.1 Controles de auditoria de sistemas de informao
Controle - Convm que requisitos e atividades de auditoria envolvendo verificao nos sistemas operacionais sejam cuidadosamente planejados e acordados para minimizar os riscos de interrupo dos processos do negcio. Diretrizes para implementao - Convm que as diretrizes sejam observadas: a) requisitos de auditoria sejam acordados com o nvel apropriado da administrao; b) escopo da verificao seja acordado e controlado; c) a verificao esteja limitada ao acesso somente para leitura de software e dados;

ABNT NBR ISO/IEC 27002 Sesso 15 Conformidade

15.3.1 Controles de auditoria de sistemas de informao
d) outros acessos diferentes de apenas leitura sejam permitidos somente atravs de cpias isoladas dos arquivos do sistema, e apagados ao final da auditoria, dada proteo quando existir uma obrigao para guardar tais arquivos como requisitos da documentao da auditoria; e) recursos para execuo da verificao sejam identificados explicitamente e tornados disponveis; f) requisitos para processamento adicional ou especial sejam identificados e acordados; g) todo acesso seja monitorado e registrado para produzir uma trilha de referncia; convm que o uso desta seja considerado para os sistemas ou dados crticos; h) todos os procedimentos, requisitos e responsabilidades sejam documentados; i) as pessoas que executem a auditoria sejam independentes das atividades auditadas.

ABNT NBR ISO/IEC 27002 Sesso 15 Conformidade

15.3.2 Proteo de ferramentas de auditoria de sistemas de informao
Controle - Convm que o acesso s ferramentas de auditoria de sistema de informao seja protegido, para prevenir qualquer possibilidade de uso imprprio ou comprometimento. Diretrizes para implementao - Convm que acessos s ferramentas de auditoria de sistemas de informao, por exemplo, softwareouarquivos de dados, sejam separados de sistemas em desenvolvimento e em operao e no sejam mantidos em fitas de biblioteca ou reas de usurios, a menos que seja dado um nvel apropriado de proteo adicional.

ABNT NBR ISO/IEC 27002 Sesso 15 Conformidade

15.3.2 Proteo de ferramentas de auditoria de sistemas de informao
Informaes adicionais - Quando terceiros esto envolvidos em uma auditoria, existe um risco de mau uso de ferramentas de auditoria por esses e da informao que est sendo acessada por ele. - Controles tais como em 6.2.1 (avaliar os riscos) e 9.1.2 (restringir o acesso fsico), podem ser considerados para contemplar este risco, e convm que quaisquer conseqncias, tais como trocar imediatamente as senhas reveladas para os auditores, sejam tomadas.