Abnt NBR Isoiec 17799

Cpia no autorizada
NORMA BRASILEIRA
ABNT NBR ISO/IEC 17799

Segunda edio 31.08.2005 Vlida a partir de 30.09.2005
Tecnologia da informao Tcnicas de segurana Cdigo de prtica para a gesto da segurana da informao
Information technology Security technical Code of pratice for information security management
Palavras-chave: Tecnologia da informao. Segurana. Descriptors: Information technology. Security. ICS 35.040
Nmero de referncia ABNT NBR ISO/IEC 17799:2005 120 pginas
ABNT 2005
Cpia no autorizada
ABNT NBR ISO/IEC 17799:2005
ABNT 2005 Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicao pode ser reproduzida ou por qualquer meio, eletrnico ou mecnico, incluindo fotocpia e microfilme, sem permisso por escrito pela ABNT. Sede da ABNT Av.Treze de Maio, 13 - 28 andar 20031-901 - Rio de Janeiro - RJ Tel.: + 55 21 3974-2300 Fax: + 55 21 2220-1762 abnt@abnt.org.br www.abnt.org.br Impresso no Brasil
ii
ABNT 2005 - Todos os direitos reservados
Cpia no autorizada
Sumrio
Pgina
Prefcio Nacional......................................................................................................................................................vii 0 0.1 0.2 0.3 0.4 0.5 0.6 0.7 0.8 1 2 3 3.1 3.2 4 4.1 4.2 5 5.1 5.1.1 5.1.2 6 6.1 6.1.1 6.1.2 6.1.3 6.1.4 6.1.5 6.1.6 6.1.7 6.1.8 6.2 6.2.1 6.2.2 6.2.3 7 7.1 7.1.1 7.1.2 7.1.3 7.2 7.2.1 7.2.2 8 8.1 8.1.1 8.1.2 8.1.3 Introduo......................................................................................................................................................ix O que segurana da informao?............................................................................................................ix Por que a segurana da informao necessria?..................................................................................ix Como estabelecer requisitos de segurana da informao .....................................................................x Analisando/avaliando os riscos de segurana da informao.................................................................x Seleo de controles.....................................................................................................................................x Ponto de partida para a segurana da informao...................................................................................xi Fatores crticos de sucesso ........................................................................................................................xi Desenvolvendo suas prprias diretrizes ..................................................................................................xii Objetivo ..........................................................................................................................................................1 Termos e definies ......................................................................................................................................1 Estrutura desta Norma ..................................................................................................................................4 Sees ............................................................................................................................................................4 Principais categorias de segurana da informao ..................................................................................4 Anlise/avaliao e tratamento de riscos ...................................................................................................6 Analisando/avaliando os riscos de segurana da informao.................................................................6 Tratando os riscos de segurana da informao ......................................................................................6 Poltica de segurana da informao ..........................................................................................................8 Poltica de segurana da informao ..........................................................................................................8 Documento da poltica de segurana da informao ................................................................................8 Anlise crtica da poltica de segurana da informao ...........................................................................9 Organizando a segurana da informao .................................................................................................10 Infra-estrutura da segurana da informao ............................................................................................10 Comprometimento da direo com a segurana da informao ...........................................................10 Coordenao da segurana da informao..............................................................................................11 Atribuio de responsabilidades para a segurana da informao ......................................................11 Processo de autorizao para os recursos de processamento da informao ...................................12 Acordos de confidencialidade ...................................................................................................................12 Contato com autoridades ...........................................................................................................................13 Contato com grupos especiais ..................................................................................................................14 Anlise crtica independente de segurana da informao....................................................................14 Partes externas ............................................................................................................................................15 Identificao dos riscos relacionados com partes externas ..................................................................15 Identificando a segurana da informao, quando tratando com os clientes......................................17 Identificando segurana da informao nos acordos com terceiros ....................................................18 Gesto de ativos ..........................................................................................................................................21 Responsabilidade pelos ativos ..................................................................................................................21 Inventrio dos ativos...................................................................................................................................21 Proprietrio dos ativos................................................................................................................................22 Uso aceitvel dos ativos .............................................................................................................................22 Classificao da informao ......................................................................................................................23 Recomendaes para classificao ..........................................................................................................23 Rtulos e tratamento da informao .........................................................................................................24 Segurana em recursos humanos.............................................................................................................25 Antes da contratao ..................................................................................................................................25 Papis e responsabilidades .......................................................................................................................25 Seleo .........................................................................................................................................................26 Termos e condies de contratao .........................................................................................................26
iii
Cpia no autorizada

8.2 8.2.1 8.2.2 8.2.3 8.3 8.3.1 8.3.2 8.3.3 9 9.1 9.1.1 9.1.2 9.1.3 9.1.4 9.1.5 9.1.6 9.2 9.2.1 9.2.2 9.2.3 9.2.4 9.2.5 9.2.6 9.2.7 10 10.1 10.1.1 10.1.2 10.1.3 10.1.4 10.2 10.2.1 10.2.2 10.2.3 10.3 10.3.1 10.3.2 10.4 10.4.1 10.4.2 10.5 10.5.1 10.6 10.6.1 10.6.2 10.7 10.7.1 10.7.2 10.7.3 10.7.4 10.8 10.8.1 10.8.2 10.8.3 10.8.4 10.8.5 10.9 10.9.1 10.9.2 10.9.3 Durante a contratao.................................................................................................................................28 Responsabilidades da direo...................................................................................................................28 Conscientizao, educao e treinamento em segurana da informao............................................28 Processo disciplinar....................................................................................................................................29 Encerramento ou mudana da contratao..............................................................................................29 Encerramento de atividades.......................................................................................................................30 Devoluo de ativos ....................................................................................................................................30 Retirada de direitos de acesso...................................................................................................................30 Segurana fsica e do ambiente.................................................................................................................32 reas seguras ..............................................................................................................................................32 Permetro de segurana fsica ...................................................................................................................32 Controles de entrada fsica ........................................................................................................................33 Segurana em escritrios, salas e instalaes........................................................................................33 Proteo contra ameaas externas e do meio ambiente ........................................................................34 Trabalhando em reas seguras..................................................................................................................34 Acesso do pblico, reas de entrega e de carregamento.......................................................................35 Segurana de equipamentos......................................................................................................................35 Instalao e proteo do equipamento .....................................................................................................35 Utilidades......................................................................................................................................................36 Segurana do cabeamento .........................................................................................................................37 Manuteno dos equipamentos.................................................................................................................38 Segurana de equipamentos fora das dependncias da organizao ..................................................38 Reutilizao e alienao segura de equipamentos..................................................................................39 Remoo de propriedade............................................................................................................................39 Gerenciamento das operaes e comunicaes .....................................................................................40 Procedimentos e responsabilidades operacionais..................................................................................40 Documentao dos procedimentos de operao ....................................................................................40 Gesto de mudanas...................................................................................................................................41 Segregao de funes ..............................................................................................................................41 Separao dos recursos de desenvolvimento, teste e de produo.....................................................42 Gerenciamento de servios terceirizados ................................................................................................42 Entrega de servios.....................................................................................................................................43 Monitoramento e anlise crtica de servios terceirizados.....................................................................43 Gerenciamento de mudanas para servios terceirizados.....................................................................44 Planejamento e aceitao dos sistemas ...................................................................................................44 Gesto de capacidade.................................................................................................................................45 Aceitao de sistemas ................................................................................................................................45 Proteo contra cdigos maliciosos e cdigos mveis .........................................................................46 Controles contra cdigos maliciosos .......................................................................................................46 Controles contra cdigos mveis..............................................................................................................47 Cpias de segurana...................................................................................................................................48 Cpias de segurana das informaes.....................................................................................................48 Gerenciamento da segurana em redes ...................................................................................................49 Controles de redes ......................................................................................................................................49 Segurana dos servios de rede ...............................................................................................................50 Manuseio de mdias.....................................................................................................................................50 Gerenciamento de mdias removveis .......................................................................................................50 Descarte de mdias ......................................................................................................................................51 Procedimentos para tratamento de informao.......................................................................................52 Segurana da documentao dos sistemas.............................................................................................52 Troca de informaes .................................................................................................................................53 Polticas e procedimentos para troca de informaes............................................................................53 Acordos para a troca de informaes .......................................................................................................55 Mdias em trnsito .......................................................................................................................................56 Mensagens eletrnicas ...............................................................................................................................56 Sistemas de informaes do negcio .......................................................................................................57 Servios de comrcio eletrnico ...............................................................................................................58 Comrcio eletrnico ....................................................................................................................................58 Transaes on-line ......................................................................................................................................59 Informaes publicamente disponveis ....................................................................................................60
iv
Cpia no autorizada

10.10 Monitoramento.............................................................................................................................................60 10.10.1 Registros de auditoria.................................................................................................................................61 10.10.2 Monitoramento do uso do sistema ............................................................................................................61 10.10.3 Proteo das informaes dos registros (log).........................................................................................63 10.10.4 Registros (log) de administrador e operador ...........................................................................................63 10.10.5 Registros (log) de falhas.............................................................................................................................64 10.10.6 Sincronizao dos relgios ........................................................................................................................64 11 11.1 11.1.1 11.2 11.2.1 11.2.2 11.2.3 11.2.4 11.3 11.3.1 11.3.2 11.3.3 11.4 11.4.1 11.4.2 11.4.3 11.4.4 11.4.5 11.4.6 11.4.7 11.5 11.5.1 11.5.2 11.5.3 11.5.4 11.5.5 11.5.6 11.6 11.6.1 11.6.2 11.7 11.7.1 11.7.2 12 12.1 12.1.1 12.2 12.2.1 12.2.2 12.2.3 12.2.4 12.3 12.3.1 12.3.2 12.4 12.4.1 12.4.2 12.4.3 12.5 12.5.1 12.5.2 12.5.3 Controle de acessos....................................................................................................................................65 Requisitos de negcio para controle de acesso......................................................................................65 Poltica de controle de acesso ...................................................................................................................65 Gerenciamento de acesso do usurio.......................................................................................................66 Registro de usurio .....................................................................................................................................66 Gerenciamento de privilgios ....................................................................................................................67 Gerenciamento de senha do usurio ........................................................................................................68 Anlise crtica dos direitos de acesso de usurio ...................................................................................68 Responsabilidades dos usurios ..............................................................................................................69 Uso de senhas .............................................................................................................................................69 Equipamento de usurio sem monitorao..............................................................................................70 Poltica de mesa limpa e tela limpa ...........................................................................................................70 Controle de acesso rede ..........................................................................................................................71 Poltica de uso dos servios de rede ........................................................................................................71 Autenticao para conexo externa do usurio ......................................................................................72 Identificao de equipamento em redes ...................................................................................................73 Proteo e configurao de portas de diagnstico remotas..................................................................73 Segregao de redes...................................................................................................................................73 Controle de conexo de rede .....................................................................................................................74 Controle de roteamento de redes ..............................................................................................................75 Controle de acesso ao sistema operacional ............................................................................................75 Procedimentos seguros de entrada no sistema (log-on) ........................................................................75 Identificao e autenticao de usurio ...................................................................................................77 Sistema de gerenciamento de senha ........................................................................................................77 Uso de utilitrios de sistema......................................................................................................................78 Desconexo de terminal por inatividade...................................................................................................79 Limitao de horrio de conexo ..............................................................................................................79 Controle de acesso aplicao e informao ......................................................................................80 Restrio de acesso informao ............................................................................................................80 Isolamento de sistemas sensveis.............................................................................................................80 Computao mvel e trabalho remoto ......................................................................................................81 Computao e comunicao mvel ..........................................................................................................81 Trabalho remoto ..........................................................................................................................................82 Aquisio, desenvolvimento e manuteno de sistemas de informao .............................................84 Requisitos de segurana de sistemas de informao.............................................................................84 Anlise e especificao dos requisitos de segurana ............................................................................84 Processamento correto nas aplicaes....................................................................................................85 Validao dos dados de entrada................................................................................................................85 Controle do processamento interno..........................................................................................................86 Integridade de mensagens .........................................................................................................................87 Validao de dados de sada......................................................................................................................87 Controles criptogrficos .............................................................................................................................87 Poltica para o uso de controles criptogrficos .......................................................................................88 Gerenciamento de chaves ..........................................................................................................................89 Segurana dos arquivos do sistema .........................................................................................................90 Controle de software operacional..............................................................................................................90 Proteo dos dados para teste de sistema...............................................................................................92 Controle de acesso ao cdigo-fonte de programa ..................................................................................92 Segurana em processos de desenvolvimento e de suporte.................................................................93 Procedimentos para controle de mudanas.............................................................................................93 Anlise crtica tcnica das aplicaes aps mudanas no sistema operacional ................................94 Restries sobre mudanas em pacotes de software.............................................................................95
Cpia no autorizada

12.5.4 12.5.5 12.6 12.6.1 13 13.1 13.1.1 13.1.2 13.2 13.2.1 13.2.2 13.2.3 14 14.1 14.1.1 14.1.2 14.1.3 Vazamento de informaes ........................................................................................................................95 Desenvolvimento terceirizado de software...............................................................................................96 Gesto de vulnerabilidades tcnicas ........................................................................................................96 Controle de vulnerabilidades tcnicas......................................................................................................96 Gesto de incidentes de segurana da informao ................................................................................98 Notificao de fragilidades e eventos de segurana da informao .....................................................98 Notificao de eventos de segurana da informao .............................................................................98 Notificando fragilidades de segurana da informao............................................................................99 Gesto de incidentes de segurana da informao e melhorias .........................................................100 Responsabilidades e procedimentos ......................................................................................................100 Aprendendo com os incidentes de segurana da informao .............................................................101 Coleta de evidncias .................................................................................................................................102
Gesto da continuidade do negcio........................................................................................................103 Aspectos da gesto da continuidade do negcio, relativos segurana da informao.................103 Incluindo segurana da informao no processo de gesto da continuidade de negcio...............103 Continuidade de negcios e anlise/avaliao de riscos .....................................................................104 Desenvolvimento e implementao de planos de continuidade relativos segurana da informao ............................................................................................................................................104 14.1.4 Estrutura do plano de continuidade do negcio....................................................................................105 14.1.5 Testes, manuteno e reavaliao dos planos de continuidade do negcio .....................................106 15 15.1 15.1.1 15.1.2 15.1.3 15.1.4 15.1.5 15.1.6 15.2 15.2.1 15.2.2 15.3 15.3.1 15.3.2 Conformidade ............................................................................................................................................108 Conformidade com requisitos legais ......................................................................................................108 Identificao da legislao vigente .........................................................................................................108 Direitos de propriedade intelectual .........................................................................................................108 Proteo de registros organizacionais ...................................................................................................109 Proteo de dados e privacidade de informaes pessoais ................................................................110 Preveno de mau uso de recursos de processamento da informao .............................................111 Regulamentao de controles de criptografia .......................................................................................111 Conformidade com normas e polticas de segurana da informao e conformidade tcnica........112 Conformidade com as polticas e normas de segurana da informao ............................................112 Verificao da conformidade tcnica ......................................................................................................113 Consideraes quanto auditoria de sistemas de informao ...........................................................113 Controles de auditoria de sistemas de informao ...............................................................................113 Proteo de ferramentas de auditoria de sistemas de informao .....................................................114
ndice .....................................................................................................................................................................116
vi
Cpia no autorizada
Prefcio Nacional
A Associao Brasileira de Normas Tcnicas (ABNT) o Frum Nacional de Normalizao. As Normas Brasileiras, cujo contedo de responsabilidade dos Comits Brasileiros (ABNT/CB), dos Organismos de Normalizao Setorial (ABNT/ONS) e das Comisses de Estudo Especiais Temporrias (ABNT/CEET), so elaboradas por Comisses de Estudo (CE), formadas por representantes dos setores envolvidos, delas fazendo parte: produtores, consumidores e neutros (universidades, laboratrios e outros). A ABNT NBR ISO/IEC 17799 foi elaborada no Comit Brasileiro de Computadores e Processamento de Dados (ABNT/CB-21), pela Comisso de Estudo de Segurana Fsica em Instalaes de Informtica (CE-21:204.01). O Projeto circulou em Consulta Nacional conforme Edital n 03, de 31.03.2005, com o nmero de Projeto NBR ISO/IEC 17799. Esta Norma equivalente ISO/IEC 17799:2005. Uma famlia de normas de sistema de gesto de segurana da informao (SGSI) est sendo desenvolvida no ISO/IEC JTC 1/SC 27. A famlia inclui normas sobre requisitos de sistema de gesto da segurana da informao, gesto de riscos, mtricas e medidas, e diretrizes para implementao. Esta famlia adotar um esquema de numerao usando a srie de nmeros 27000 em seqncia. A partir de 2007, a nova edio da ISO/IEC 17799 ser incorporada ao novo esquema de numerao como ISO/IEC 27002. Os termos relacionados a seguir, com a respectiva descrio, foram mantidos na lngua inglesa, por no possurem traduo equivalente para a lngua portuguesa: Back-up - cpias de segurana de arquivos. BBS (Bulletin Board System) - sistema no qual o computador pode se comunicar com outros computadores atravs de linha telefnica, como na Internet. Call forwarding (Retorno de chamada) - procedimento para identificar um terminal remoto. Covert channel - canal de comunicaes que permite que dois processos cooperativos transfiram a informao de uma maneira que viole a poltica de segurana do sistema. Denial of service (negao do servio) - impedimento do acesso autorizado aos recursos ou retardamento de operaes crticas por um certo perodo de tempo. Dial up - servio por meio do qual o terminal de computador pode usar o telefone para iniciar e efetuar uma comunicao com outro computador. E-business - Forma de uma organizao realizar uma transao comercial. E-gov - forma de um governo realizar uma transao comercial. Firewall - sistema ou combinao de sistemas que protege a fronteira entre duas ou mais redes. Gateway - mquina que funciona como ponto de conexo entre duas redes. Hackers - pessoa que tenta acessar sistemas sem autorizao, usando tcnicas prprias ou no, no intuito de ter acesso a determinado ambiente para proveito prprio ou de terceiros. Dependendo dos objetivos da ao, podem ser chamados de Cracker, Lammer ou BlackHat. Logging - processo de estocagem de informaes sobre eventos que ocorreram num firewall ou numa rede.
vii
Cpia no autorizada

Middlewae - personalizao de software; software de sistema que foi personalizado por um vendedor para um usurio particular. Need to know - conceito que define que uma pessoa s precisa acessar os sistemas necessrios para realizar a sua atividade. Patches - correo temporria efetuada em um programa; pequena correo executada pelo usurio no software, com as instrues do fabricante do software. Wireless - sistema de comunicao que no requer fios para transportar sinais. Em 6.1.3, Diretrizes para implementao, primeiro pargrafo, a ISO/IEC 17799:2005 faz uma referncia equivocada seo 4. Esse equvoco foi corrigido nesta ABNT NBR ISO/IEC 17799 e a notificao deste foi feita ao ISO/IEC JTC 1 para correo da norma original. Esta segunda edio cancela e substitui a edio anterior (ABNT NBR ISO/IEC 17799:2001), a qual foi tecnicamente revisada.
viii
Cpia no autorizada
0 Introduo
0.1 O que segurana da informao?

A informao um ativo que, como qualquer outro ativo importante, essencial para os negcios de uma organizao e conseqentemente necessita ser adequadamente protegida. Isto especialmente importante no ambiente dos negcios, cada vez mais interconectado. Como um resultado deste incrvel aumento da interconectvidade, a informao est agora exposta a um crescente nmero e a uma grande variedade de ameaas e vulnerabilidades (ver OECD Diretrizes para a Segurana de Sistemas de Informaes e Redes). A informao pode existir em diversas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrnicos, apresentada em filmes ou falada em conversas. Seja qual for a forma apresentada ou o meio atravs do qual a informao compartilhada ou armazenada, recomendado que ela seja sempre protegida adequadamente. Segurana da informao a proteo da informao de vrios tipos de ameaas para garantir a continuidade do negcio, minimizar o risco ao negcio, maximizar o retorno sobre os investimentos e as oportunidades de negcio. A segurana da informao obtida a partir da implementao de um conjunto de controles adequados, incluindo polticas, processos, procedimentos, estruturas organizacionais e funes de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessrio, para garantir que os objetivos do negcio e de segurana da organizao sejam atendidos. Convm que isto seja feito em conjunto com outros processos de gesto do negcio.
0.2 Por que a segurana da informao necessria?

A informao e os processos de apoio, sistemas e redes so importantes ativos para os negcios. Definir, alcanar, manter e melhorar a segurana da informao podem ser atividades essenciais para assegurar a competitividade, o fluxo de caixa, a lucratividade, o atendimento aos requisitos legais e a imagem da organizao junto ao mercado. As organizaes, seus sistemas de informao e redes de computadores so expostos a diversos tipos de ameaas segurana da informao, incluindo fraudes eletrnicas, espionagem, sabotagem, vandalismo, incndio e inundao. Danos causados por cdigo malicioso, hackers e ataques de denial of service esto se tornando cada vez mais comuns, mais ambiciosos e incrivelmente mais sofisticados. A segurana da informao importante para os negcios, tanto do setor pblico como do setor privado, e para proteger as infra-estruturas crticas. Em ambos os setores, a funo da segurana da informao viabilizar os negcios como o governo eletrnico (e-gov) ou o comrcio eletrnico (e-business), e evitar ou reduzir os riscos relevantes. A interconexo de redes pblicas e privadas e o compartilhamento de recursos de informao aumentam a dificuldade de se controlar o acesso. A tendncia da computao distribuda reduz a eficcia da implementao de um controle de acesso centralizado. Muitos sistemas de informao no foram projetados para serem seguros. A segurana da informao que pode ser alcanada por meios tcnicos limitada e deve ser apoiada por uma gesto e por procedimentos apropriados. A identificao de controles a serem implantados requer um planejamento cuidadoso e uma ateno aos detalhes. A gesto da segurana da informao requer pelo menos a participao de todos os funcionrios da organizao. Pode ser que seja necessria tambm a participao de acionistas, fornecedores, terceiras partes, clientes ou outras partes externas. Uma consultoria externa especializada pode ser tambm necessria.
ix
Cpia no autorizada
0.3 Como estabelecer requisitos de segurana da informao

essencial que uma organizao identifique os seus requisitos de segurana da informao. Existem trs fontes principais de requisitos de segurana da informao. 1. Uma fonte obtida a partir da anlise/avaliao de riscos para a organizao, levando-se em conta os objetivos e as estratgias globais de negcio da organizao. Por meio da anlise/avaliao de riscos, so identificadas as ameaas aos ativos e as vulnerabilidades destes, e realizada uma estimativa da probabilidade de ocorrncia das ameaas e do impacto potencial ao negcio. Uma outra fonte a legislao vigente, os estatutos, a regulamentao e as clusulas contratuais que a organizao, seus parceiros comerciais, contratados e provedores de servio tm que atender, alm do seu ambiente sociocultural. A terceira fonte um conjunto particular de princpios, objetivos e os requisitos do negcio para o processamento da informao que uma organizao tem que desenvolver para apoiar suas operaes.
2.
3.
0.4
Analisando/avaliando os riscos de segurana da informao
Os requisitos de segurana da informao so identificados por meio de uma anlise/avaliao sistemtica dos riscos de segurana da informao. Os gastos com os controles precisam ser balanceados de acordo com os danos causados aos negcios gerados pelas potenciais falhas na segurana da informao. Os resultados da anlise/avaliao de riscos ajudaro a direcionar e a determinar as aes gerenciais apropriadas e as prioridades para o gerenciamento dos riscos da segurana da informao, e para a implementao dos controles selecionados para a proteo contra estes riscos. Convm que a anlise/avaliao de riscos seja repetida periodicamente para contemplar quaisquer mudanas que possam influenciar os resultados desta anlise/avaliao. Informaes adicionais sobre a anlise/avaliao de riscos de segurana da informao podem ser encontradas em 4.1 Analisando/avaliando os riscos de segurana da informao.
0.5 Seleo de controles

Uma vez que os requisitos de segurana da informao e os riscos tenham sido identificados e as decises para o tratamento dos riscos tenham sido tomadas, convm que controles apropriados sejam selecionados e implementados para assegurar que os riscos sejam reduzidos a um nvel aceitvel. Os controles podem ser selecionados a partir desta Norma ou de um outro conjunto de controles ou novos controles podem ser desenvolvidos para atender s necessidades especficas, conforme apropriado. A seleo de controles de segurana da informao depende das decises da organizao, baseadas nos critrios para aceitao de risco, nas opes para tratamento do risco e no enfoque geral da gesto de risco aplicado organizao, e convm que tambm esteja sujeito a todas as legislaes e regulamentaes nacionais e internacionais, relevantes. Alguns dos controles nesta Norma podem ser considerados como princpios bsicos para a gesto da segurana da informao e podem ser aplicados na maioria das organizaes. Estes controles so explicados em mais detalhes no item Ponto de partida para a segurana da informao. Informaes adicionais sobre seleo de controles e outras opes para tratamento de risco podem ser encontradas em 4.2 Tratamento dos riscos de segurana da informao.
Cpia no autorizada
0.6 Ponto de partida para a segurana da informao

Um certo nmero de controles pode ser considerado um bom ponto de partida para a implementao da segurana da informao. Estes controles so baseados tanto em requisitos legais como nas melhores prticas de segurana da informao normalmente usadas. Os controles considerados essenciais para uma organizao, sob o ponto de vista legal, incluem, dependendo da legislao aplicvel: a) proteo de dados e privacidade de informaes pessoais (ver 15.1.4); b) proteo de registros organizacionais (ver 15.1.3); c) direitos de propriedade intelectual (ver 15.1.2). Os controles considerados prticas para a segurana da informao incluem: a) documento da poltica de segurana da informao (ver 5.1.1); b) atribuio de responsabilidades para a segurana da informao (ver 6.1.3); c) conscientizao, educao e treinamento em segurana da informao (ver 8.2.2); d) processamento correto nas aplicaes (ver 12.2); e) gesto de vulnerabilidades tcnicas (ver 12.6); f) gesto da continuidade do negcio (ver seo 14); g) gesto de incidentes de segurana da informao e melhorias (ver 13.2). Esses controles se aplicam para a maioria das organizaes e na maioria dos ambientes. Convm observar que, embora todos os controles nesta Norma sejam importantes e devam ser considerados, a relevncia de qualquer controle deve ser determinada segundo os riscos especficos a que uma organizao est exposta. Por isto, embora o enfoque acima seja considerado um bom ponto de partida, ele no substitui a seleo de controles, baseado na anlise/avaliao de riscos.
0.7 Fatores crticos de sucesso

A experincia tem mostrado que os seguintes fatores so geralmente crticos para o sucesso da implementao da segurana da informao dentro de uma organizao: a) poltica de segurana da informao, objetivos e atividades, que reflitam os objetivos do negcio; b) uma abordagem e uma estrutura para a implementao, manuteno, monitoramento e melhoria da segurana da informao que seja consistente com a cultura organizacional; c) comprometimento e apoio visvel de todos os nveis gerenciais; d) um bom entendimento dos requisitos de segurana da informao, da anlise/avaliao de riscos e da gesto de risco; e) divulgao eficiente da segurana da informao para todos os gerentes, funcionrios e outras partes envolvidas para se alcanar a conscientizao;
xi
Cpia no autorizada

f) distribuio de diretrizes e normas sobre a poltica de segurana da informao para todos os gerentes, funcionrios e outras partes envolvidas;
g) proviso de recursos financeiros para as atividades da gesto de segurana da informao; h) proviso de conscientizao, treinamento e educao adequados; i) j) estabelecimento de um eficiente processo de gesto de incidentes de segurana da informao; implementao de um sistema de medio1, que seja usado para avaliar o desempenho da gesto da segurana da informao e obteno de sugestes para a melhoria.
0.8 Desenvolvendo suas prprias diretrizes

Esta Norma pode ser considerada como um ponto de partida para o desenvolvimento de diretrizes especficas para a organizao. Nem todos os controles e diretrizes contidos nesta Norma podem ser aplicados. Alm disto, controles adicionais e recomendaes no includos nesta Norma podem ser necessrios. Quando os documentos so desenvolvidos contendo controles ou recomendaes adicionais, pode ser til realizar uma referncia cruzada para as sees desta Norma, onde aplicvel, para facilitar a verificao da conformidade por auditores e parceiros do negcio.
1 Deve-se observar que as medies de segurana da informao esto fora do escopo desta Norma.
xii
Cpia no autorizada
NORMA BRASILEIRA
Tecnologia da informao Tcnicas de segurana Cdigo de prtica para a gesto da segurana da informao
Objetivo
Esta Norma estabelece diretrizes e princpios gerais para iniciar, implementar, manter e melhorar a gesto de segurana da informao em uma organizao. Os objetivos definidos nesta Norma provem diretrizes gerais sobre as metas geralmente aceitas para a gesto da segurana da informao. Os objetivos de controle e os controles desta Norma tm como finalidade ser implementados para atender aos requisitos identificados por meio da anlise/avaliao de riscos. Esta Norma pode servir como um guia prtico para desenvolver os procedimentos de segurana da informao da organizao e as eficientes prticas de gesto da segurana, e para ajudar a criar confiana nas atividades interorganizacionais.
Termos e definies
Para os efeitos desta Norma, aplicam-se os seguintes termos e definies. 2.1 ativo qualquer coisa que tenha valor para a organizao [ISO/IEC 13335-1:2004] 2.2 controle forma de gerenciar o risco, incluindo polticas, procedimentos, diretrizes, prticas ou estruturas organizacionais, que podem ser de natureza administrativa, tcnica, de gesto ou legal
NOTA Controle tambm usado como um sinmino para proteo ou contramedida.
2.3 diretriz descrio que orienta o que deve ser feito e como, para se alcanarem os objetivos estabelecidos nas polticas [ISO/IEC 13335-1:2004] 2.4 recursos de processamento da informao qualquer sistema de processamento da informao, servio ou infra-estrutura, ou as instalaes fsicas que os abriguem 2.5 segurana da informao preservao da confidencialidade, da integridade e da disponibilidade da informao; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, no repdio e confiabilidade, podem tambm estar envolvidas
Cpia no autorizada
2.6 evento de segurana da informao ocorrncia identificada de um sistema, servio ou rede, que indica uma possvel violao da poltica de segurana da informao ou falha de controles, ou uma situao previamente desconhecida, que possa ser relevante para a segurana da informao [ISO/IEC TR 18044:2004] 2.7 incidente de segurana da informao um incidente de segurana da informao indicado por um simples ou por uma srie de eventos de segurana da informao indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operaes do negcio e ameaar a segurana da informao [ISO/IEC TR 18044:2004] 2.8 poltica intenes e diretrizes globais formalmente expressas pela direo 2.9 risco combinao da probabilidade de um evento e de suas conseqncias [ABNT ISO/IEC Guia 73:2005] 2.10 anlise de riscos uso sistemtico de informaes para identificar fontes e estimar o risco [ABNT ISO/IEC Guia 73:2005] 2.11 anlise/avaliao de riscos processo completo de anlise e avaliao de riscos [ABNT ISO/IEC Guia 73:2005] 2.12 avaliao de riscos processo de comparar o risco estimado com critrios de risco pr-definidos para determinar a importncia do risco [ABNT ISO/IEC Guia 73:2005] 2.13 gesto de riscos atividades coordenadas para direcionar e controlar uma organizao no que se refere a riscos
NOTA A gesto de riscos geralmente inclui a anlise/avaliao de riscos, o tratamento de riscos, a aceitao de riscos e a comunicao de riscos.
[ABNT ISO/IEC Guia 73:2005] 2.14 tratamento do risco processo de seleo e implementao de medidas para modificar um risco [ABNT ISO/IEC Guia 73:2005] 2.15 terceira parte pessoa ou organismo reconhecido como independente das partes envolvidas, no que se refere a um dado assunto [ABNT ISO/IEC Guia 2:1998]
Cpia no autorizada
2.16 ameaa causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organizao [ISO/IEC 13335-1:2004] 2.17 vulnerabildade fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaas
Cpia no autorizada
Estrutura desta Norma
Esta Norma contm 11 sees de controles de segurana da informao, que juntas totalizam 39 categorias principais de segurana e uma seo introdutria que aborda a anlise/avaliao e o tratamento de riscos.
3.1
Sees
Cada seo contm um nmero de categorias principais de segurana da informao. As 11 sees (acompanhadas com o respectivo nmero de categorias) so: a) Poltica de Segurana da Informao (1); b) Organizando a Segurana da Informao (2); c) Gesto de Ativos (2); d) Segurana em Recursos Humanos (3); e) Segurana Fsica e do Ambiente (2); f) Gesto das Operaes e Comunicaes (10);
g) Controle de Acesso (7); h) Aquisio, Desenvolvimento e Manuteno de Sistemas de Informao (6); i) j) Gesto de Incidentes de Segurana da Informao (2); Gesto da Continuidade do Negcio (1);
k) Conformidade (3).
Nota: A ordem das sees nesta Norma no significa o seu grau de importncia. Dependendo das circunstncias, todas as sees podem ser importantes. Entretanto, cada organizao que utilize esta Norma deve identificar quais as sees aplicveis, quo importante elas so e a sua aplicao para os processos especficos do negcio. Todas as alneas nesta Norma tambm no esto ordenadas por prioridade, a menos que explicitado.
3.2
Principais categorias de segurana da informao
Cada categoria principal de segurana da informao contm: a) um objetivo de controle que define o que deve ser alcanado; e b) um ou mais controles que podem ser aplicados para se alcanar o objetivo do controle. As descries dos controles esto estruturadas da seguinte forma: Controle Define qual o controle especfico para atender ao objetivo do controle. Diretrizes para a implementao Contm informaes mais detalhadas para apoiar a implementao do controle e atender ao objetivo de controle. Algumas destas diretrizes podem no ser adequadas em todos os casos e assim outras formas de implementao do controle podem ser mais apropriadas.
Cpia no autorizada
Informaes adicionais Contm informaes adicionais que podem ser consideradas, como, por exemplo, consideraes legais e referncias a outras normas.
Cpia no autorizada
4
4.1
Anlise/avaliao e tratamento de riscos

Analisando/avaliando os riscos de segurana da informao
Convm que as anlises/avaliaes de riscos identifiquem, quantifiquem e priorizem os riscos com base em critrios para aceitao dos riscos e dos objetivos relevantes para a organizao. Convm que os resultados orientem e determinem as aes de gesto apropriadas e as prioridades para o gerenciamento dos riscos de segurana da informao, e para a implementao dos controles selecionados, de maneira a proteger contra estes riscos. O processo de avaliar os riscos e selecionar os controles pode precisar ser realizado vrias vezes, de forma a cobrir diferentes partes da organizao ou de sistemas de informao especficos. Convm que a anlise/avaliao de riscos inclua um enfoque sistemtico de estimar a magnitude do risco (anlise de riscos) e o processo de comparar os riscos estimados contra os critrios de risco para determinar a significncia do risco (avaliao do risco). Convm que as anlises/avaliaes de riscos tambm sejam realizadas periodicamente, para contemplar as mudanas nos requisitos de segurana da informao e na situao de risco, ou seja, nos ativos, ameaas, vulnerabilidades, impactos, avaliao do risco e quando uma mudana significativa ocorrer. Essas anlises/ avaliaes de riscos devem ser realizadas de forma metdica, capaz de gerar resultados comparveis e reproduzveis. Convm que a anlise/avaliao de riscos de segurana da informao tenha um escopo claramente definido para ser eficaz e inclua os relacionamentos com as anlises/avaliaes de riscos em outras reas, se necessrio. O escopo de uma anlise/avaliao de riscos pode tanto ser em toda a organizao, partes da organizao, em um sistema de informao especfico, em componentes de um sistema especfico ou em servios onde isto seja praticvel, realstico e til. Exemplos de metodologias de anlise/avaliao de riscos so discutidas no ISO/IEC TR 13335-3 (Guidelines for the management of IT security: Techniques for the management of IT Security).
4.2
Tratando os riscos de segurana da informao
Convm que, antes de considerar o tratamento de um risco, a organizao defina os critrios para determinar se os riscos podem ser ou no aceitos. Riscos podem ser aceitos se, por exemplo, for avaliado que o risco baixo ou que o custo do tratamento no economicamente vivel para a organizao. Convm que tais decises sejam registradas. Para cada um dos riscos identificados, seguindo a anlise/avaliao de riscos, uma deciso sobre o tratamento do risco precisa ser tomada. Possveis opes para o tratamento do risco, incluem: a) aplicar controles apropriados para reduzir os riscos; b) conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente poltica da organizao e aos critrios para a aceitao de risco; c) evitar riscos, no permitindo aes que poderiam causar a ocorrncia de riscos; d) transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores.
Cpia no autorizada
Convm que, para aqueles riscos onde a deciso de tratamento do risco seja a de aplicar os controles apropriados, esses controles sejam selecionados e implementados para atender aos requisitos identificados pela anlise/avaliao de riscos. Convm que os controles assegurem que os riscos sejam reduzidos a um nvel aceitvel, levando-se em conta: a) os requisitos e restries de legislaes e regulamentaes nacionais e internacionais; b) os objetivos organizacionais; c) os requisitos e restries operacionais; d) custo de implementao e a operao em relao aos riscos que esto sendo reduzidos e que permanecem proporcionais s restries e requisitos da organizao; e) a necessidade de balancear o investimento na implementao e operao de controles contra a probabilidade de danos que resultem em falhas de segurana da informao. Os controles podem ser selecionados desta Norma ou de outros conjuntos de controles, ou novos controles podem ser considerados para atender s necessidades especficas da organizao. importante reconhecer que alguns controles podem no ser aplicveis a todos os sistemas de informao ou ambientes, e podem no ser praticveis para todas as organizaes. Como um exemplo, 10.1.3 descreve como as responsabilidades podem ser segregadas para evitar fraudes e erros. Pode no ser possvel para pequenas organizaes segregar todas as responsabilidades e, portanto, outras formas de atender o mesmo objetivo de controle podem ser necessrias. Em um outro exemplo, 10.10 descreve como o uso do sistema pode ser monitorado e as evidncias coletadas. Os controles descritos, como, por exemplo, eventos de logging, podem conflitar com a legislao aplicvel, tais como a proteo privacidade dos clientes ou a exercida nos locais de trabalho. Convm que os controles de segurana da informao sejam considerados na especificao dos requisitos e nos estgios iniciais dos projetos e sistemas. Caso isso no seja realizado, pode acarretar custos adicionais e solues menos efetivas, ou mesmo, no pior caso, incapacidade de se alcanar a segurana necessria. Convm que seja lembrado que nenhum conjunto de controles pode conseguir a segurana completa, e que uma ao gerencial adicional deve ser implementada para monitorar, avaliar e melhorar a eficincia e eficcia dos controles de segurana da informao, para apoiar as metas da organizao.
Cpia no autorizada
5
5.1
Poltica de segurana da informao

Poltica de segurana da informao
Objetivo: Prover uma orientao e apoio da direo para a segurana da informao de acordo com os requisitos do negcio e com as leis e regulamentaes relevantes. Convm que a direo estabelea uma poltica clara, alinhada com os objetivos do negcio e demonstre apoio e comprometimento com a segurana da informao por meio da publicao e manuteno de uma poltica de segurana da informao para toda a organizao. 5.1.1 Documento da poltica de segurana da informao
Controle Convm que um documento da poltica de segurana da informao seja aprovado pela direo, publicado e comunicado para todos os funcionrios e partes externas relevantes. Diretrizes para implementao Convm que o documento da poltica de segurana da informao declare o comprometimento da direo e estabelea o enfoque da organizao para gerenciar a segurana da informao. Convm que o documento da poltica contenha declaraes relativas a: a) uma definio de segurana da informao, suas metas globais, escopo e importncia da segurana da informao como um mecanismo que habilita o compartilhamento da informao (ver introduo); b) uma declarao do comprometimento da direo, apoiando as metas e princpios da segurana da informao, alinhada com os objetivos e estratgias do negcio; c) uma estrutura para estabelecer os objetivos de controle e os controles, incluindo a estrutura de anlise/avaliao e gerenciamento de risco; d) breve explanao das polticas, princpios, normas e requisitos de conformidade de segurana da informao especficos para a organizao, incluindo: 1) conformidade com a legislao e com requisitos regulamentares e contratuais; 2) requisitos de conscientizao, treinamento e educao em segurana da informao; 3) gesto da continuidade do negcio; 4) conseqncias das violaes na poltica de segurana da informao; e) definio das responsabilidades gerais e especficas na gesto da segurana da informao, incluindo o registro dos incidentes de segurana da informao; f) referncias documentao que possam apoiar a poltica, por exemplo, polticas e procedimentos de segurana mais detalhados de sistemas de informao especficos ou regras de segurana que os usurios devem seguir. Convm que esta poltica de segurana da informao seja comunicada atravs de toda a organizao para os usurios de forma que seja relevante, acessvel e compreensvel para o leitor em foco. Informaes adicionais A poltica de segurana da informao pode ser uma parte de um documento da poltica geral. Se a poltica de segurana da informao for distribuda fora da organizao, convm que sejam tomados cuidados para no revelar informaes sensveis. Informaes adicionais podem ser encontradas na ISO/IEC 13335-1:2004.
Cpia no autorizada
5.1.2
Anlise crtica da poltica de segurana da informao
Controle Convm que a poltica de segurana da informao seja analisada criticamente a intervalos planejados ou quando mudanas significativas ocorrerem, para assegurar a sua contnua pertinncia, adequao e eficcia. Diretrizes para implementao Convm que a poltica de segurana da informao tenha um gestor que tenha aprovado a responsabilidade pelo desenvolvimento, anlise crtica e avaliao da poltica de segurana da informao. Convm que a anlise crtica inclua a avaliao de oportunidades para melhoria da poltica de segurana da informao da organizao e tenha um enfoque para gerenciar a segurana da informao em resposta s mudanas ao ambiente organizacional, s circunstncias do negcio, s condies legais, ou ao ambiente tcnico. Convm que a anlise crtica da poltica de segurana da informao leve em considerao os resultados da anlise crtica pela direo. Convm que sejam definidos procedimentos para anlise crtica pela direo, incluindo uma programao ou um perodo para a anlise crtica. Convm que as entradas para a anlise crtica pela direo incluam informaes sobre: a) realimentao das partes interessadas; b) resultados de anlises crticas independentes (ver 6.1.8); c) situao de aes preventivas e corretivas (ver 6.1.8 e 15.2.1); d) resultados de anlises crticas anteriores feitas pela direo; e) desempenho do processo e conformidade com a poltica de segurana da informao; f) mudanas que possam afetar o enfoque da organizao para gerenciar a segurana da informao, incluindo mudanas no ambiente organizacional, nas circunstncias do negcio, na disponibilidade dos recursos, nas questes contratuais, regulamentares e de aspectos legais ou no ambiente tcnico;
g) tendncias relacionadas com as ameaas e vulnerabilidades; h) relato sobre incidentes de segurana da informao (ver 13.1); i) recomendaes fornecidas por autoridades relevantes (ver 6.1.6).
Convm que as sadas da anlise crtica pela direo incluam quaisquer decises e aes relacionadas a: a) melhoria do enfoque da organizao para gerenciar a segurana da informao e seus processos; b) melhoria dos controles e dos objetivos de controles; c) melhoria na alocao de recursos e/ou de responsabilidades. Convm que um registro da anlise crtica pela direo seja mantido. Convm que a aprovao pela direo da poltica de segurana da informao revisada seja obtida.
Cpia no autorizada
6
6.1
Organizando a segurana da informao

Infra-estrutura da segurana da informao
Objetivo: Gerenciar a segurana da informao dentro da organizao. Convm que uma estrutura de gerenciamento seja estabelecida para iniciar e controlar a implementao da segurana da informao dentro da organizao. Convm que a direo aprove a poltica de segurana da informao, atribua as funes da segurana, coordene e analise criticamente a implementao da segurana da informao por toda a organizao. Se necessrio, convm que uma consultoria especializada em segurana da informao seja estabelecida e disponibilizada dentro da organizao. Convm que contatos com especialistas ou grupos de segurana da informao externos, incluindo autoridades relevantes, sejam feitos para se manter atualizado com as tendncias do mercado, normas de monitorao e mtodos de avaliao, alm de fornecer apoio adequado, quando estiver tratando de incidentes de segurana da informao. Convm que um enfoque multidisciplinar na segurana da informao seja incentivado. 6.1.1 Comprometimento da direo com a segurana da informao
Controle Convm que a direo apie ativamente a segurana da informao dentro da organizao, por meio de um claro direcionamento, demonstrando o seu comprometimento, definindo atribuies de forma explcita e conhecendo as responsabilidades pela segurana da informao. Diretrizes para implementao Convm que a direo: a) assegure que as metas de segurana da informao esto identificadas, atendem aos requisitos da organizao e esto integradas nos processos relevantes; b) formule, analise criticamente e aprove a poltica de segurana da informao; c) analise criticamente a eficcia da implementao da poltica de segurana da informao; d) fornea um claro direcionamento e apoio para as iniciativas de segurana da informao; e) fornea os recursos necessrios para a segurana da informao; f) aprove as atribuies de tarefas e responsabilidades especficas para a segurana da informao por toda a organizao;
g) inicie planos e programas para manter a conscientizao da segurana da informao; h) assegure que a implementao dos controles de segurana da informao tem uma coordenao e permeia a organizao (ver 6.1.2). Convm que a direo identifique as necessidades para a consultoria de um especialista interno ou externo em segurana da informao, analise criticamente e coordene os resultados desta consultoria por toda a organizao. Dependendo do tamanho da organizao, tais responsabilidades podem ser conduzidas por um frum de gesto exclusivo ou por um frum de gesto existente, a exemplo do conselho de diretores.
10
Cpia no autorizada
Informaes adicionais Outras informaes podem ser obtidas na ISO/IEC 13335-1:2004. 6.1.2 Coordenao da segurana da informao
Controle Convm que as atividades de segurana da informao sejam coordenadas por representantes de diferentes partes da organizao, com funes e papis relevantes. Diretrizes para implementao Convm que a coordenao da segurana da informao envolva a cooperao e colaborao de gerentes, usurios, administradores, desenvolvedores, auditores, pessoal de segurana e especialistas com habilidades nas reas de seguro, questes legais, recursos humanos, TI e gesto de riscos. Convm que esta atividade: a) garanta que as atividades de segurana da informao so executadas em conformidade com a poltica de segurana da informao; b) identifique como conduzir as no-conformidades; c) aprove as metodologias e processos para a segurana da informao, tais como anlise/avaliao de riscos e classificao da informao; d) identifique as ameaas significativas e a exposio da informao e dos recursos de processamento da informao s ameaas; e) avalie a adequao e coordene a implementao de controles de segurana da informao; f) promova, de forma eficaz, a educao, o treinamento e a conscientizao pela segurana da informao por toda a organizao;
g) avalie as informaes recebidas do monitoramento e da anlise crtica dos incidentes de segurana da informao, e recomende aes apropriadas como resposta para os incidentes de segurana da informao identificados. Se a organizao no usa representantes das diferentes reas, por exemplo, porque tal grupo no apropriado para o tamanho da organizao, as aes descritas acima devem ser conduzidas por um frum de gesto adequado ou por um gestor individual. 6.1.3 Atribuio de responsabilidades para a segurana da informao
Controle Convm que todas as responsabilidades pela segurana da informao, estejam claramente definidas. Diretrizes para implementao Convm que a atribuio das responsabilidades pela segurana da informao seja feita em conformidade com a poltica de segurana da informao (ver seo 5). Convm que as responsabilidades pela proteo de cada ativo e pelo cumprimento de processos de segurana da informao especficos sejam claramente definidas. Convm que esta responsabilidade seja complementada, onde for necessrio, com orientaes mais detalhadas para locais especficos e recursos de processamento de informaes. Convm que sejam claramente definidas as responsabilidades em cada local para a proteo dos ativos e para realizar processos de segurana da informao especficos, como, por exemplo, o plano de continuidade de negcios. Pessoas com responsabilidades definidas pela segurana da informao podem delegar as tarefas de segurana da informao para outros usurios. Todavia eles continuam responsveis e convm que verifiquem se as tarefas delegadas esto sendo executadas corretamente.
11
Cpia no autorizada
Convm que as reas pelas quais as pessoas sejam responsveis, estejam claramente definidas; em particular convm que os seguintes itens sejam cumpridos: a) os ativos e os processos de segurana da informao associados com cada sistema sejam identificados e claramente definidos; b) gestor responsvel por cada ativo ou processo de segurana da informao tenha atribuies definidas e os detalhes dessa responsabilidade sejam documentados (ver 7.1.2); c) os nveis de autorizao sejam claramente definidos e documentados. Informaes adicionais Em muitas organizaes um gestor de segurana da informao pode ser indicado para assumir a responsabilidade global pelo desenvolvimento e implementao da segurana da informao e para apoiar a identificao de controles. Entretanto, a responsabilidade pela obteno dos recursos e implementao dos controles permanece sempre com os gestores. Uma prtica comum indicar um responsvel por cada ativo, tornando-o assim responsvel por sua proteo no dia a dia. 6.1.4 Processo de autorizao para os recursos de processamento da informao
Controle Convm que seja definido e implementado um processo de gesto de autorizao para novos recursos de processamento da informao. Diretrizes para implementao Convm que as seguintes diretrizes sejam consideradas no processo de autorizao: a) os novos recursos tenham a autorizao adequada por parte da administrao de usurios, autorizando seus propsitos e uso. Convm que a autorizao tambm seja obtida junto ao gestor responsvel pela manuteno do sistema de segurana da informao, para garantir que todas as polticas e requisitos de segurana relevantes sejam atendidos; b) hardware e o software sejam verificados para garantir que so compatveis com outros componentes do sistema, onde necessrios; c) uso de recursos de processamento de informao, pessoais ou privados, como, por exemplo, note books, computadores pessoais ou dispositivos do tipo palm top, para processamento das informaes do negcio, possa introduzir novas vulnerabilidades, e convm que controles necessrios sejam identificados e implementados. 6.1.5 Acordos de confidencialidade
Controle Convm que os requisitos para confidencialidade ou acordos de no divulgao que reflitam as necessidades da organizao para a proteo da informao sejam identificados e analisados criticamente, de forma regular. Diretrizes para implementao Convm que os acordos de confidencialidade e de no divulgao considerem os requisitos para proteger as informaes confidenciais, usando termos que so obrigados do ponto de vista legal. Para identificar os requisitos para os acordos de confidencialidade ou de no divulgao, convm que sejam considerados os seguintes elementos: a) uma definio da informao a ser protegida (por exemplo, informao confidencial);
12
Cpia no autorizada
b) tempo de durao esperado de um acordo, incluindo situaes onde a confidencialidade tenha que ser mantida indefinidamente; c) aes requeridas quando um acordo est encerrado; d) responsabilidades e aes dos signatrios para evitar a divulgao no autorizada da informao (como o conceito need to know); e) proprietrio da informao, segredos comerciais e de propriedade intelectual, e como isto se relaciona com a proteo da informao confidencial; f) uso permitido da informao confidencial e os direitos do signatrio para usar a informao;
g) direito de auditar e monitorar as atividades que envolvem as informaes confidenciais; h) processo para notificao e relato de divulgao no autorizada ou violao das informaes confidenciais; i) j) termos para a informao ser retornada ou destruda quando da suspenso do acordo; e aes esperadas a serem tomadas no caso de uma violao deste acordo.
Com base nos requisitos de segurana da informao da organizao, outros elementos podem ser necessrios em um acordo de confidencialidade ou de no divulgao. Convm que os acordos de confidencialidade e de no divulgao estejam em conformidade com todas as leis e regulamentaes aplicveis na jurisdio para a qual eles se aplicam (ver 15.1.1) Convm que os requisitos para os acordos de confidencialidade e de no divulgao sejam analisados criticamente de forma peridica e quando mudanas ocorrerem que influenciem estes requisitos. Informaes adicionais Acordos de confidencialidade e de no divulgao protegem as informaes da organizao e informam aos signatrios das suas responsabilidades, para proteger, usar e divulgar a informao de maneira responsvel e autorizada. Pode haver a necessidade de uma organizao usar diferentes formas de acordos de confidencialidade ou de no divulgao, em diferentes circunstncias. 6.1.6 Contato com autoridades
Controle Convm que contatos apropriados com autoridades relevantes sejam mantidos. Diretrizes para implementao Convm que as organizaes tenham procedimentos em funcionamento que especifiquem quando e por quais autoridades (por exemplo, obrigaes legais, corpo de bombeiros, autoridades fiscalizadoras) devem ser contatadas e como os incidentes de segurana da informao identificados devem ser notificados em tempo hbil, no caso de suspeita de que a lei foi violada. Organizaes que estejam sob ataque da internet podem precisar do apoio de partes externas organizao (por exemplo, um provedor de servio da internet ou um operador de telecomunicaes), para tomar aes contra a origem do ataque.
13
Cpia no autorizada
Informaes adicionais A manuteno de tais contatos pode ser um requisito para apoiar a gesto de incidentes de segurana da informao (ver 13.2) ou da continuidade dos negcios e do processo de planejamento da contingncia (ver seo 14). Contatos com organismos reguladores so tambm teis para antecipar e preparar para as mudanas futuras na lei ou nos regulamentos, os quais tm que ser seguidos pela organizao. Contatos com outras autoridades incluem utilidades, servios de emergncia, sade e segurana, por exemplo corpo de bombeiros (em conjunto com a continuidade do negcio), provedores de telecomunicao (em conjunto com as rotas de linha e disponibilidade), fornecedor de gua (em conjunto com as instalaes de refrigerao para os equipamentos). 6.1.7 Contato com grupos especiais
Controle Convm que sejam mantidos contatos apropriados com grupos de interesses especiais ou outros fruns especializados de segurana da informao e associaes profissionais. Diretrizes para implementao Convm que os membros de grupos de interesses especiais ou fruns sejam considerados como forma de: a) ampliar o conhecimento sobre as melhores prticas e manter-se atualizado com as informaes relevantes sobre segurana da informao; b) ter o entendimento de que o ambiente de segurana da informao est correto e completo; c) receber previamente advertncias de alertas, aconselhamentos e correes relativos a ataques e vulnerabilidades; d) conseguir acesso consultoria especializada em segurana da informao; e) compartilhar e trocar informaes sobre novas tecnologias, produtos, ameaas ou vulnerabilidades; f) prover relacionamentos adequados quando tratar com incidentes de segurana da informao (ver 13.2.1).
Informaes adicionais Acordos de compartilhamento de informaes podem ser estabelecidos para melhorar a cooperao e coordenao de assuntos de segurana da informao. Convm que tais acordos identifiquem requisitos para a proteo de informaes sensveis. 6.1.8 Anlise crtica independente de segurana da informao
Controle Convm que o enfoque da organizao para gerenciar a segurana da informao e a sua implementao (por exemplo, controles, objetivo dos controles, polticas, processos e procedimentos para a segurana da informao) seja analisado criticamente, de forma independente, a intervalos planejados, ou quando ocorrerem mudanas significativas relativas implementao da segurana da informao. Diretrizes para implementao Convm que a anlise crtica independente seja iniciada pela direo. Tal anlise crtica independente necessria para assegurar a contnua pertinncia, adequao e eficcia do enfoque da organizao para gerenciar a segurana da informao. Convm que a anlise crtica inclua a avaliao de oportunidades para a melhoria e a necessidade de mudanas para o enfoque da segurana da informao, incluindo a poltica e os objetivos de controle.
14
Cpia no autorizada
Convm que a anlise crtica seja executada por pessoas independentes da rea avaliada, como, por exemplo, uma funo de auditoria interna, um gerente independente ou uma organizao de terceira parte especializada em tais anlises crticas. Convm que as pessoas que realizem estas anlises crticas possuam habilidade e experincia apropriadas. Convm que os resultados da anlise crtica independente sejam registrados e relatados para a direo que iniciou a anlise crtica. Estes registros devem ser mantidos. Se a anlise crtica independente identificar que o enfoque da organizao e a implementao para gerenciar a segurana da informao so inadequados ou no-conformes com as orientaes estabelecidas pela segurana da informao, no documento da poltica de segurana da informao (ver 5.1.1), convm que a direo considere a tomada de aes corretivas. Informaes adicionais Convm que as reas onde os gerentes regularmente fazem a anlise crtica (ver 15.2.1) possam tambm ser analisadas criticamente de forma independente. Tcnicas para a anlise crtica podem incluir entrevistas com a gerncia, verificao de registros ou anlise crtica dos documentos da poltica de segurana da informao. A ABNT NBR ISO 19011:2002, Diretrizes para auditoria de sistemas de gesto da qualidade e/ou do meio ambiente, pode tambm fornecer orientaes para se realizar a anlise crtica independente, incluindo o estabelecimento e a implementao de um programa de anlise crtica. A subseo 15.3 especifica os controles relevantes para a anlise crtica independente de sistemas de informaes operacionais e o uso de ferramentas de auditoria de sistemas.
6.2
Partes externas
Objetivo: Manter a segurana dos recursos de processamento da informao e da informao da organizao, que so acessados, processados, comunicados ou gerenciados por partes externas. Convm que a segurana dos recursos de processamento da informao e da informao da organizao no seja reduzida pela introduo de produtos ou servios oriundos de partes externas. Convm que qualquer acesso aos recursos de processamento da informao da organizao e ao processamento e comunicao da informao por partes externas seja controlado. Convm que seja feita uma anlise/avaliao dos riscos envolvidos para determinar as possveis implicaes na segurana e os controles necessrios, onde existir uma necessidade de negcio para trabalhar com partes externas, que possa requerer acesso aos recursos de processamento da informao e informao da organizao, ou na obteno e fornecimento de um produto e servio de uma parte externa ou para ela. Convm que os controles sejam acordados e definidos por meio de um acordo com a parte externa. 6.2.1 Identificao dos riscos relacionados com partes externas
Controle Convm que os riscos para os recursos de processamento da informao e da informao da organizao oriundos de processos do negcio que envolva as partes externas sejam identificados e controles apropriados implementados antes de se conceder o acesso. Diretrizes para implementao Convm que uma anlise/avaliao de riscos (ver seo 4) seja feita para identificar quaisquer requisitos de controles especficos, onde existir uma necessidade que permita o acesso de uma parte externa aos recursos de processamento da informao ou informao de uma organizao. Convm que a identificao de riscos relativos ao acesso da parte externa leve em considerao os seguintes aspectos: a) os recursos de processamento da informao que uma parte externa esteja autorizada a acessar;
15
Cpia no autorizada
b) tipo de acesso que a parte externa ter aos recursos de processamento da informao e informao, como, por exemplo: 1) acesso fsico ao escritrio, sala dos computadores, gabinetes de cabeamento; 2) acesso lgico ao banco de dados da organizao e aos sistemas de informaes; 3) rede de conexo entre a organizao e a rede da parte externa, como, por exemplo, conexo permanente, acesso remoto; 4) se o acesso vai ser dentro ou fora da organizao; c) valor e a sensibilidade da informao envolvida, e a sua criticidade para as operaes do negcio; d) os controles necessrios para proteger a informao que no deva ser acessada pelas partes externas; e) as pessoas das partes externas envolvidas no manuseio das informaes da organizao; f) como a organizao ou o pessoal autorizado a ter acesso pode ser identificado, como a autorizao verificada e com qual freqncia isto precisa ser reconfirmado; g) as diferentes formas e controles empregados pela parte externa quando estiver armazenando, processando, comunicando, compartilhando e repassando informaes; h) impacto do acesso no estar disponvel para a parte externa, quando requerido, e a entrada ou o recebimento incorreto ou por engano da informao; i) prticas e procedimentos para tratar com incidentes de segurana da informao e danos potenciais, e os termos e condies para que a parte externa continue acessando, no caso que ocorra um incidente de segurana da informao; j) que os requisitos legais e regulamentares e outras obrigaes contratuais relevantes para a parte externa sejam levados em considerao; k) como os interesses de quaisquer uma das partes interessadas podem ser afetados pelos acordos. Convm que o acesso s informaes da organizao pelas partes externas no seja fornecido at que os controles apropriados tenham sido implementados e, onde for vivel, um contrato tenha sido assinado definindo os termos e condies para a conexo ou o acesso e os preparativos para o trabalho. Convm que, de uma forma geral, todos os requisitos de segurana da informao resultantes do trabalho com partes externas ou controles internos estejam refletidos por um acordo com a parte externa (ver 6.2.2 e 6.2.3). Convm que seja assegurado que a parte externa est consciente de suas obrigaes, e aceita as responsabilidades e obrigaes envolvendo o acesso, processamento, comunicao ou o gerenciamento dos recursos do processamento da informao e da informao da organizao. Informaes adicionais A informao pode ser colocada em risco por partes externas com uma gesto inadequada da segurana da informao. Convm que os controles sejam identificados e aplicados para administrar o acesso da parte externa aos recursos de processamento da informao. Por exemplo, se existir uma necessidade especial para a confidencialidade da informao, acordos de no divulgao devem ser usados. As organizaes podem estar sujeitas a riscos associados com processos interorganizacionais, gerenciamento e comunicao, se um alto grau de terceirizao for realizado, ou onde existirem vrias partes externas envolvidas.
16
Cpia no autorizada
Os controles de 6.2.2 e 6.2.3 cobrem diferentes situaes para as partes externas, incluindo, por exemplo: a) provedores de servio, tais como ISP, provedores de rede, servios de telefonia e servios de apoio e manuteno; b) gerenciamento dos servios de segurana; c) clientes; d) operaes e/ou recursos de terceirizao, como, por exemplo, sistemas de TI, servios de coleta de dados, operao de call center; e) consultores em negcios e em gesto, e auditores; f) desenvolvedores e fornecedores, como, por exemplo, de produtos de software e sistemas de TI;
g) pessoal de limpeza, servios de bufs e outros servios de apoio terceirizados; h) pessoal temporrio, estagirio e outras contrataes de curta durao. Tais acordos podem ajudar a reduzir o risco associado com as partes externas. 6.2.2 Identificando a segurana da informao, quando tratando com os clientes
Controle Convm que todos os requisitos de segurana da informao identificados sejam considerados antes de conceder aos clientes o acesso aos ativos ou s informaes da organizao. Diretrizes para implementao Convm que os seguintes termos sejam considerados para contemplar a segurana da informao antes de conceder aos clientes o acesso a quaisquer ativos da organizao (dependendo do tipo e extenso do acesso concedido, nem todos os itens so aplicveis): a) proteo dos ativos, incluindo: 1) procedimentos para proteger os ativos da organizao, incluindo informao e software, e a gesto de vulnerabilidades conhecidas; 2) procedimentos para definir aes quando ocorrer o comprometimento de quaisquer dos ativos, por exemplo, perda ou modificao de dados; 3) integridade; 4) restries em relao a cpias e divulgao de informaes; b) descrio do produto ou servio a ser fornecido; c) as diferentes razes, requisitos e benefcios para o acesso do cliente; d) polticas de controle de acesso, cobrindo: 1) mtodos de acesso permitido e o controle e uso de identificadores nicos, tais como identificador de usurio e senhas de acesso; 2) um processo de autorizao para acesso dos usurios e privilgios; 3) uma declarao de que todo o acesso que no seja explicitamente autorizado proibido;
17
Cpia no autorizada
4) um processo para revogar os direitos de acesso ou interromper a conexo entre sistemas; e) procedimentos para relato, notificao e investigao de informaes imprecisas (por exemplo, sobre pessoal), incidentes de segurana da informao e violao da segurana da informao; f) descrio de cada servio que deve estar disponvel; g) os nveis de servios acordados e os nveis de servios inaceitveis; h) direito de monitorar e revogar qualquer atividade relacionada com os ativos da organizao; i) as respectivas responsabilidades civis da organizao e dos clientes; j) responsabilidades com relao a aspectos legais e como assegurado que os requisitos legais so atendidos, por exemplo, leis de proteo de dados, especialmente levando-se em considerao os diferentes sistemas legais nacionais se o acordo envolver a cooperao com clientes em outros pases (ver 15.1); k) direitos de propriedade intelectual e direitos autorais (ver 15.1.2) e proteo de qualquer trabalho colaborativo (ver 6.1.5). Informaes adicionais Os requisitos de segurana da informao relacionados com o acesso dos clientes aos ativos da organizao podem variar consideravelmente, dependendo dos recursos de processamento da informao e das informaes que esto sendo acessadas. Estes requisitos de segurana da informao podem ser contemplados, usando-se os acordos com o cliente, os quais contm todos os riscos identificados e os requisitos de segurana da informao (ver 6.2.1). Acordos com partes externas podem tambm envolver outras partes. Convm que os acordos que concedam o acesso a partes externas incluam permisso para designao de outras partes autorizadas e condies para os seus acessos e envolvimento. 6.2.3 Identificando segurana da informao nos acordos com terceiros
Controle Convm que os acordos com terceiros envolvendo o acesso, processamento, comunicao ou gerenciamento dos recursos de processamento da informao ou da informao da organizao, ou o acrscimo de produtos ou servios aos recursos de processamento da informao cubram todos os requisitos de segurana da informao relevantes. Diretrizes para implementao Convm que o acordo assegure que no existe mal-entendido entre a organizao e o terceiro. Convm que as organizaes considerem a possibilidade de indenizao do terceiro. Convm que os seguintes termos sejam considerados para incluso no acordo, com o objetivo de atender aos requisitos de segurana da informao identificados (ver 6.2.1): a) poltica de segurana da informao; b) controles para assegurar a proteo do ativo, incluindo: 1) procedimentos para proteger os ativos da organizao, incluindo informao, software e hardware; 2) quaisquer mecanismos e controles para a proteo fsica requerida; 3) controles para assegurar proteo contra software malicioso (ver 10.4.1);
18
Cpia no autorizada
4) procedimentos para definir aes quando ocorrer o comprometimento de quaisquer dos ativos, por exemplo, perda ou modificao de informaes, software e hardware; 5) controles para assegurar o retorno ou a destruio da informao e dos ativos no final do contrato, ou em um dado momento definido no acordo. 6) confidencialidade, integridade, disponibilidade e qualquer outra propriedade relevante (ver 2.1.5) dos ativos; 7) restries em relao a cpias e divulgao de informaes, e uso dos acordos de confidencialidade (ver 6.1.5). c) treinamento dos usurios e administradores nos mtodos, procedimentos e segurana da informao; d) assegurar a conscientizao dos usurios nas questes e responsabilidades pela segurana da informao; f) proviso para a transferncia de pessoal, onde necessrio; f) responsabilidades com relao manuteno e instalao de software e hardware; g) uma estrutura clara de notificao e formatos de relatrios acordados; h) i) um processo claro e definido de gesto de mudanas; poltica de controle de acesso, cobrindo: 1) as diferentes razes, requisitos e benefcios que justificam a necessidade do acesso pelo terceiro; 2) 3) 4) 5) 6) j) k) l) mtodos de acesso permitido e o controle e uso de identificadores nicos, tais como identificadores de usurios e senhas de acesso; um processo de autorizao de acesso e privilgios para os usurios; um requisito para manter uma lista de pessoas autorizadas a usar os servios que esto sendo disponibilizados, e quais os seus direitos e privilgios com relao a tal uso; uma declarao de que todo o acesso que no seja explicitamente autorizado proibido; um processo para revogar os direitos de acesso ou interromper a conexo entre sistemas;
dispositivos para relato, notificao e investigao de incidentes de segurana da informao e violao da segurana, bem como as violaes dos requisitos definidos no acordo; uma descrio do produto ou servio que est sendo fornecido e uma descrio da informao que deve estar disponvel, juntamente com a sua classificao de segurana (ver 7.2.1); nveis de servios acordados e os nveis de servios inaceitveis;
m) definio de critrios de desempenho verificveis, seu monitoramento e relato; n) o) direito de monitorar e revogar qualquer atividade relacionada com os ativos da organizao; direito de auditar as responsabilidades definidas do acordo, para ter essas auditorias realizadas por terceira parte para enumerar os direitos regulamentares dos auditores;
19
Cpia no autorizada
p) q) r) s)
estabelecimento de um processo escalonado para resoluo de problemas; requisitos para a continuidade dos servios, incluindo medies para disponibilidade e confiabilidade, de acordo com as prioridades do negcio da organizao; respectivas obrigaes das partes com o acordo; responsabilidades com relao a aspectos legais e como assegurado que os requisitos legais so atendidos, por exemplo, leis de proteo de dados, levando-se em considerao especialmente os diferentes sistemas legais nacionais, se o acordo envolver a cooperao com organizaes em outros pases (ver 15.1); direitos de propriedade intelectual e direitos autorais (ver 15.1.2) e proteo de qualquer trabalho colaborativo (ver 6.1.5); envolvimento do terceiro com subfornecedores e os controles de segurana da informao que esses subfornecedores precisam implementar; condies de renegociao ou encerramento de acordos: 1) 2) 3) um plano de contingncia deve ser elaborado no caso de uma das partes desejar encerrar a relao antes do final do acordo; renegociao dos acordos se os requisitos de segurana da organizao mudarem; listas atualizadas da documentao dos ativos, licenas, acordos ou direitos relacionados aos ativos.
t) u) v)
Informaes adicionais Os acordos podem variar consideravelmente para diferentes organizaes e entre os diferentes tipos de terceiros. Convm, entretanto, que sejam tomados cuidados para incluir nos acordos todos os riscos identificados e os requisitos de segurana da informao (ver 6.2.1). Onde necessrio, os procedimentos e controles requeridos podem ser includos em um plano de gesto de segurana da informao. Se a gesto da segurana da informao for terceirizada, convm que os acordos definam como os terceiros iro garantir que a segurana da informao, conforme definida na anlise/avaliao de riscos, ser mantida e como a segurana da informao ser adaptada para identificar e tratar com as mudanas aos riscos. Algumas das diferenas entre as terceirizaes e as outras formas de proviso de servios de terceiros incluem a questo das obrigaes legais, o planejamento do perodo de transio e de descontinuidade da operao durante este perodo, planejamento de contingncias e anlise crtica de investigaes, e coleta e gesto de incidentes de segurana da informao. Entretanto, importante que a organizao planeje e gerencie a transio para um terceirizado e tenha processos adequados implantados para gerenciar as mudanas e renegociar ou encerrar os acordos. Os procedimentos para continuar processando no caso em que o terceiro se torne incapaz de prestar o servio precisam ser considerados no acordo para evitar qualquer atraso nos servios de substituio. Acordos com terceiros podem tambm envolver outras partes. Convm que os acordos que concedam o acesso a terceiros incluam permisso para designao de outras partes autorizadas e condies para os seus acessos e envolvimento. De um modo geral os acordos so geralmente elaborados pela organizao. Podem existir situaes onde, em algumas circunstncias, um acordo possa ser elaborado e imposto pela organizao para o terceiro. A organizao precisa assegurar que a sua prpria segurana da informao no afetada desnecessariamente pelos requisitos do terceiro, estipulados no acordo imposto.
20
Cpia no autorizada
7
7.1
Gesto de ativos
Responsabilidade pelos ativos
Objetivo: Alcanar e manter a proteo adequada dos ativos da organizao. Convm que todos os ativos sejam inventariados e tenham um proprietrio responsvel. Convm que os proprietrios dos ativos sejam identificados e a eles seja atribuda a responsabilidade pela manuteno apropriada dos controles. A implementao de controles especficos pode ser delegada pelo proprietrio, conforme apropriado, porm o proprietrio permanece responsvel pela proteo adequada dos ativos. 7.1.1 Inventrio dos ativos
Controle Convm que todos os ativos sejam claramente identificados e um inventrio de todos os ativos importantes seja estruturado e mantido. Diretrizes para implementao Convm que a organizao identifique todos os ativos e documente a importncia destes ativos. Convm que o inventrio do ativo inclua todas as informaes necessrias que permitam recuperar de um desastre, incluindo o tipo do ativo, formato, localizao, informaes sobre cpias de segurana, informaes sobre licenas e a importncia do ativo para o negcio. Convm que o inventrio no duplique outros inventrios desnecessariamente, porm ele deve assegurar que o seu contedo est coerente. Adicionalmente, convm que o proprietrio (ver 7.1.2) e a classificao da informao (ver 7.2) sejam acordados e documentados para cada um dos ativos. Convm que, com base na importncia do ativo, seu valor para o negcio e a sua classificao de segurana, nveis de proteo proporcionais importncia dos ativos sejam identificados (mais informaes sobre como valorar os ativos para indicar a sua importncia podem ser encontradas na ISO IEC TR 13335-3). Informaes adicionais Existem vrios tipos de ativos, incluindo: a) ativos de informao: base de dados e arquivos, contratos e acordos, documentao de sistema, informaes sobre pesquisa, manuais de usurio, material de treinamento, procedimentos de suporte ou operao, planos de continuidade do negcio, procedimentos de recuperao, trilhas de auditoria e informaes armazenadas; b) ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitrios; c) ativos fsicos: equipamentos computacionais, equipamentos de comunicao, mdias removveis e outros equipamentos; d) servios: servios de computao e comunicaes, utilidades gerais, por exemplo aquecimento, iluminao, eletricidade e refrigerao; e) pessoas e suas qualificaes, habilidades e experincias; f) intangveis, tais como a reputao e a imagem da organizao.
Os inventrios de ativos ajudam a assegurar que a proteo efetiva do ativo pode ser feita e tambm pode ser requerido para outras finalidades do negcio, como sade e segurana, seguro ou financeira (gesto de ativos). O processo de compilao de um inventrio de ativos um pr-requisito importante no gerenciamento de riscos (ver seo 4).
21
Cpia no autorizada
7.1.2
Proprietrio dos ativos
Controle Convm que todas as informaes e ativos associados com os recursos de processamento da informao tenham um proprietrio2 designado por uma parte definida da organizao. Diretrizes para implementao Convm que o proprietrio do ativo seja responsvel por: a) assegurar que as informaes e os ativos associados com os recursos de processamento da informao estejam adequadamente classificados; b) definir e periodicamente analisar criticamente as classificaes e restries ao acesso, levando em conta as polticas de controle de acesso, aplicveis. O proprietrio pode ser designado para: a) um processo do negcio; b) um conjunto de atividades definidas; c) uma aplicao; ou d) um conjunto de dados definido. Informaes adicionais As tarefas de rotina podem ser delegadas, por exemplo, para um custodiante que cuida do ativo no dia-a-dia, porm a responsabilidade permanece com o proprietrio. Em sistemas de informao complexos pode ser til definir grupos de ativos que atuem juntos para fornecer uma funo particular, como servios. Neste caso, o proprietrio do servio o responsvel pela entrega do servio, incluindo o funcionamento dos ativos, que prov os servios. 7.1.3 Uso aceitvel dos ativos
Controle Convm que sejam identificadas, documentadas e implementadas regras para que sejam permitidos o uso de informaes e de ativos associados aos recursos de processamento da informao. Diretrizes para implementao Convm que todos os funcionrios, fornecedores e terceiros sigam as regras para o uso permitido de informaes e de ativos associados aos recursos de processamento da informao, incluindo: a) regras para o uso da internet e do correio eletrnico (ver 10.8); b) diretrizes para o uso de dispositivos mveis, especialmente para o uso fora das instalaes da organizao (ver 11.7.1).
2 O termo proprietrio identifica uma pessoa ou organismo que tenha uma responsabilidade autorizada para controlar a
produo, o desenvolvimento, a manuteno, o uso e a segurana dos ativos. O termo "proprietrio" no significa que a pessoa realmente tenha qualquer direito de propriedade ao ativo.
22
Cpia no autorizada
Convm que regras especficas ou diretrizes sejam fornecidas pelo gestor relevante. Convm que funcionrios, fornecedores e terceiros que usem ou tenham acesso aos ativos da organizao estejam conscientes dos limites que existem para os usos das informaes e ativos associados da organizao aos recursos de processamento da informao. Convm que eles sejam responsveis pelo uso de quaisquer recursos de processamento da informao e de quaisquer outros usos conduzidos sob a suas responsabilidades.
7.2
Classificao da informao
Objetivo: Assegurar que a informao receba um nvel adequado de proteo. Convm que a informao seja classificada para indicar a necessidade, prioridades e o nvel esperado de proteo quando do tratamento da informao. A informao possui vrios nveis de sensibilidade e criticidade. Alguns itens podem necessitar um nvel adicional de proteo ou tratamento especial. Convm que um sistema de classificao da informao seja usado para definir um conjunto apropriado de nveis de proteo e determinar a necessidade de medidas especiais de tratamento. 7.2.1 Recomendaes para classificao
Controle Convm que a informao seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organizao. Diretrizes para implementao Convm que a classificao da informao e seus respectivos controles de proteo levem em considerao as necessidades de compartilhamento ou restrio de informaes e os respectivos impactos nos negcios, associados com tais necessidades. Convm que as diretrizes para classificao incluam convenes para classificao inicial e reclassificao ao longo do tempo, de acordo com algumas polticas de controle de acesso predeterminadas (ver 11.1.1) Convm que seja de responsabilidade do proprietrio do ativo (ver 7.1.2) definir a classificao de um ativo, analisando-o criticamente a intervalos regulares, e assegurar que ele est atualizado e no nvel apropriado. Convm que a classificao leve em considerao a agregao do efeito mencionado em 10.7.2. Convm que cuidados sejam tomados com a quantidade de categorias de classificao e com os benefcios obtidos pelo seu uso. Esquemas excessivamente complexos podem tornar o uso incmodo e ser inviveis economicamente ou impraticveis. Convm que ateno especial seja dada na interpretao dos rtulos de classificao sobre documentos de outras organizaes, que podem ter definies diferentes para rtulos iguais ou semelhantes aos usados. Informaes adicionais O nvel de proteo pode ser avaliado analisando a confidencialidade, a integridade e a disponibilidade da informao, bem como quaisquer outros requisitos que sejam considerados. A informao freqentemente deixa de ser sensvel ou crtica aps um certo perodo de tempo, por exemplo quando a informao se torna pblica. Convm que estes aspectos sejam levados em considerao, pois uma classificao superestimada pode levar implementao de custos desnecessrios, resultando em despesas adicionais. Considerar, conjuntamente, documentos com requisitos de segurana similares, quando da atribuio dos nveis de classificao, pode ajudar a simplificar a tarefa de classificao. Em geral, a classificao dada informao uma maneira de determinar como esta informao vai ser tratada e protegida.
23
Cpia no autorizada
7.2.2
Rtulos e tratamento da informao
Controle Convm que um conjunto apropriado de procedimentos para rotulao e tratamento da informao seja definido e implementado de acordo com o esquema de classificao adotado pela organizao. Diretrizes para implementao Os procedimentos para rotulao da informao precisam abranger tanto os ativos de informao no formato fsico quanto no eletrnico. Convm que as sadas de sistemas que contm informaes classificadas como sensveis ou crticas tenham o rtulo apropriado da classificao da informao (na sada). Convm que o rtulo reflita a classificao de acordo com as regras estabelecidas em 7.2.1. Itens que devem ser considerados incluem relatrios impressos, telas, mdias magnticas (fitas, discos, CD), mensagens eletrnicas e transferncias de arquivos. Convm que sejam definidos, para cada nvel de classificao, procedimentos para o tratamento da informao que contemplem o processamento seguro, a armazenagem, a transmisso, a reclassificao e a destruio. Convm que isto tambm inclua os procedimentos para a cadeia de custdia e registros de qualquer evento de segurana relevante. Convm que acordos com outras organizaes, que incluam o compartilhamento de informaes, considerem procedimentos para identificar a classificao daquela informao e para interpretar os rtulos de classificao de outras organizaces. Informaes adicionais A rotulao e o tratamento seguro da classificao da informao um requisito-chave para os procedimentos de compartilhamento da informao. Os rtulos fsicos so uma forma usual de rotulao. Entretanto, alguns ativos de informao, como documentos em forma eletrnica, no podem ser fisicamente rotulados, sendo necessrio usar um rtulo eletrnico. Por exemplo, a notificao do rtulo pode aparecer na tela ou no display. Onde a aplicao do rtulo no for possvel, outras formas de definir a classificao da informao podem ser usadas, por exemplo, por meio de procedimentos ou metadados.
24
Cpia no autorizada
8
8.1
Segurana em recursos humanos

Antes da contratao3
Objetivo: Assegurar que os funcionrios, fornecedores e terceiros entendam suas responsabilidades e estejam de acordo com os seus papis, e reduzir o risco de roubo, fraude ou mau uso de recursos. Convm que as responsabilidades pela segurana da informao sejam atribudas antes da contratao, de forma adequada, nas descries de cargos e nos termos e condies de contratao. Convm que todos os candidatos ao emprego, fornecedores e terceiros sejam adequadamente analisados, especialmente em cargos com acesso a informaes sensveis. Convm que todos os funcionrios, fornecedores e terceiros, usurios dos recursos de processamento da informao, assinem acordos sobre seus papis e responsabilidades pela segurana da informao. 8.1.1 Papis e responsabilidades
Controle Convm que papis e responsabilidades pela segurana da informao de funcionrios, fornecedores e terceiros sejam definidos e documentados de acordo com a poltica de segurana da informao da organizao. Diretrizes para implementao Convm que os papis e responsabilidades pela segurana da informao incluam requisitos para: a) implementar e agir de acordo com as polticas de segurana da informao da organizao (ver 5.1); b) proteger ativos contra acesso no autorizado, divulgao, modificao, destruio ou interferncia; c) executar processos ou atividades particulares de segurana da informao; d) assegurar que a responsabilidade atribuda pessoa para tomada de aes; e) relatar eventos potenciais ou reais de segurana da informao ou outros riscos de segurana para a organizao. Convm que papis e responsabilidades de segurana da informao sejam definidos e claramente comunicados aos candidatos a cargos, durante o processo de pr-contratao. Informaes adicionais Descries de cargos podem ser usadas para documentar responsabilidades e papis pela segurana da informao. Convm que papis e responsabilidades pela segurana da informao para pessoas que no esto engajadas por meio do processo de contratao da organizao, como, por exemplo, atravs de uma organizao terceirizada, sejam claramente definidos e comunicados.
Explicao: A palavra contratao, neste contexto, visa cobrir todas as seguintes diferentes situaes: contratao de pessoas (temporrias ou por longa durao), nomeao de funes, mudana de funes, atribuies de contratos e encerramento de quaisquer destas situaes.
25
Cpia no autorizada
8.1.2
Seleo
Controle Convm que verificaes de controle de todos os candidatos a emprego, fornecedores e terceiros sejam realizadas de acordo com as leis relevantes, regulamentaes e ticas, e proporcional aos requisitos do negcio, classificao das informaes a serem acessadas e aos riscos percebidos. Diretrizes para implementao Convm que as verificaes de controle levem em considerao todos os aspectos relevantes relacionados com a privacidade, legislao baseada na contratao e/ou proteo de dados pessoais e, onde permitido, incluam os seguintes itens: a) disponibilidade de referncias de carter satisfatrias, por exemplo uma profissional e uma pessoal; b) uma verificao (da exatido e inteireza) das informaes do curriculum vitae do candidato; c) confirmao das qualificaes acadmicas e profissionais; d) verificao independente da identidade (passaporte ou documento similar); e) verificaes mais detalhadas, tais como verificaes financeiras (de crdito) ou verificaes de registros criminais. Convm que a organizao tambm faa verificaes mais detalhadas, onde um trabalho envolver pessoas, tanto por contratao como por promoo, que tenham acesso aos recursos de processamento da informao, em particular aquelas que tratam de informaes sensveis, tais como informaes financeiras ou informaes altamente confidenciais. Convm que os procedimentos definam critrios e limitaes para as verificaes de controle, por exemplo, quem est qualificado para selecionar as pessoas, e como, quando e por que as verificaes de controle so realizadas. Convm que um processo de seleo tambm seja feito para fornecedores e terceiros. Quando essas pessoas vm por meio de uma agncia, convm que o contrato especifique claramente as responsabilidades da agncia pela seleo e os procedimentos de notificao que devem ser seguidos se a seleo no for devidamente concluda ou quando os resultados obtidos forem motivos de dvidas ou preocupaes. Do mesmo modo, convm que acordos com terceiros (ver 6.2.3) especifiquem claramente todas as responsabilidades e procedimentos de notificao para a seleo. Convm que informaes sobre todos os candidatos que esto sendo considerados para certas posies dentro da organizao sejam levantadas e tratadas de acordo com qualquer legislao apropriada existente na jurisdio pertinente. Dependendo da legislao aplicvel, convm que os candidatos sejam previamente informados sobre as atividades de seleo. 8.1.3 Termos e condies de contratao
Controle Como parte das suas obrigaes contratuais, convm que os funcionrios, fornecedores e terceiros concordem e assinem os termos e condies de sua contratao para o trabalho, os quais devem declarar as suas responsabilidades e a da organizao para a segurana da informao.
26
Cpia no autorizada
Diretrizes para implementao Convm que os termos e condies de trabalho reflitam a poltica de segurana da organizao, esclarecendo e declarando: a) que todos os funcionrios, fornecedores e terceiros que tenham acesso a informaes sensveis assinem um termo de confidencialidade ou de no divulgao antes de lhes ser dado o acesso aos recursos de processamento da informao; b) as responsabilidades legais e direitos dos funcionrios, fornecedores e quaisquer outros usurios, por exemplo, com relao s leis de direitos autorais ou legislao de proteo de dados (ver 15.1.1 e 15.1.2); c) as responsabilidades pela classificao da informao e pelo gerenciamento dos ativos da organizao associados com os sistemas de informao e com os servios conduzidos pelos funcionrios, fornecedores ou terceiros (ver 7.2.1 e 10.7.3); d) as responsabilidades dos funcionrios, fornecedores e terceiros pelo tratamento da informao recebida de outras companhias ou de partes externas; e) responsabilidades da organizao pelo tratamento das informaes pessoais, incluindo informaes pessoais criadas como resultado de, ou em decorrncia da, contratao com a organizao (ver 15.1.4); f) responsabilidades que se estendem para fora das dependncias da organizao e fora dos horrios normais de trabalho, como, por exemplo, nos casos de execuo de trabalhos em casa (ver 9.2.5 e 11.7.1);
g) aes a serem tomadas no caso de o funcionrio, fornecedor ou terceiro desrespeitar os requisitos de segurana da informao da organizao (ver 8.2.3). Convm que a organizao assegure que os funcionrios, fornecedores e terceiros concordam com os termos e condies relativas segurana da informao adequados natureza e extenso do acesso que eles tero aos ativos da organizao associados com os sistemas e servios de informao. Convm que as responsabilidades contidas nos termos e condies de contratao continuem por um perodo de tempo definido, aps o trmino da contratao (ver 8.3), onde apropriado. Informaes adicionais Um cdigo de conduta pode ser usado para contemplar as responsabilidades dos funcionrios, fornecedores ou terceiros, em relao confidencialidade, proteo de dados, ticas, uso apropriado dos recursos e dos equipamentos da organizao, bem como prticas de boa conduta esperada pela organizao. O fornecedor ou o terceiro pode estar associado com uma organizao externa que possa, por sua vez, ser solicitada a participar de acordos contratuais, em nome do contratado.
27
Cpia no autorizada
8.2
Durante a contratao
Objetivo: Assegurar que os funcionrios, fornecedores e terceiros esto conscientes das ameaas e preocupaes relativas segurana da informao, suas responsabilidades e obrigaes, e esto preparados para apoiar a poltica de segurana da informao da organizao durante os seus trabalhos normais, e para reduzir o risco de erro humano. Convm que as responsabilidades pela direo sejam definidas para garantir que a segurana da informao aplicada em todo trabalho individual dentro da organizao. Convm que um nvel adequado de conscientizao, educao e treinamento nos procedimentos de segurana da informao e no uso correto dos recursos de processamento da informao seja fornecido para todos os funcionrios, fornecedores e terceiros, para minimizar possveis riscos de segurana da informao. Convm que um processo disciplinar formal para tratar das violaes de segurana da informao seja estabelecido. 8.2.1 Responsabilidades da direo
Controle Convm que a direo solicite aos funcionrios, fornecedores e terceiros que pratiquem a segurana da informao de acordo com o estabelecido nas polticas e procedimentos da organizao. Diretrizes para implementao Convm que as responsabilidades da direo assegurem que os funcionrios, fornecedores e terceiros: a) esto adequadamente instrudos sobre as suas responsabilidades e papis pela segurana da informao antes de obter acesso s informaes sensveis ou aos sistemas de informao; b) recebam diretrizes que definam quais as expectativas sobre a segurana da informao de suas atividades dentro da organizao; c) esto motivados para cumprir com as polticas de segurana da informao da organizao; d) atinjam um nvel de conscientizao sobre segurana da informao que seja relevante para os seus papis e responsabilidades dentro da organizao (ver 8.2.2); e) atendam aos termos e condies de contratao, que incluam a poltica de segurana da informao da organizao e mtodos apropriados de trabalho; f) tenham as habilidades e qualificaes apropriadas.
Informaes adicionais Se os funcionrios, fornecedores e terceiros no forem conscientizados das suas responsabilidades, eles podem causar considerveis danos para a organizao. Pessoas motivadas tm uma maior probabilidade de serem mais confiveis e de causar menos incidentes de segurana da informao. Uma m gesto pode causar s pessoas o sentimento de sub-valorizao, resultando em um impacto de segurana da informao negativo para a organizao. Por exemplo, uma m gesto pode levar a segurana da informao a ser negligenciada ou a um potencial mau uso dos ativos da organizao. 8.2.2 Conscientizao, educao e treinamento em segurana da informao
Controle Convm que todos os funcionrios da organizao e, onde pertinente, fornecedores e terceiros recebam treinamento apropriados em conscientizao, e atualizaes regulares nas polticas e procedimentos organizacionais, relevantes para as suas funes.
28
Cpia no autorizada
Diretrizes para implementao Convm que o treinamento em conscientizao comece com um processo formal de induo concebido para introduzir as polticas e expectativas de segurana da informao da organizao, antes que seja dado o acesso s informaes ou servios. Convm que os treinamentos em curso incluam requisitos de segurana da informao, responsabilidades legais e controles do negcio, bem como o treinamento do uso correto dos recursos de processamento da informao, como, por exemplo, procedimentos de log-on, o uso de pacotes de software e informaes sobre o processo disciplinar (ver 8.2.3). Informaes adicionais Convm que a conscientizao, educao e treinamento nas atividades de segurana da informao sejam adequados e relevantes para os papis, responsabilidades e habilidades da pessoa, e que incluam informaes sobre conhecimento de ameaas, quem deve ser contatado para orientaes sobre segurana da informao e os canais adequados para relatar os incidentes de segurana da informao (ver 13.1). O treinamento para aumentar a conscientizao visa permitir que as pessoas reconheam os problemas e incidentes de segurana da informao, e respondam de acordo com as necessidades do seu trabalho. 8.2.3 Processo disciplinar
Controle Convm que exista um processo disciplinar formal para os funcionrios que tenham cometido uma violao da segurana da informao. Diretrizes para implementao Convm que o processo disciplinar no inicie sem uma verificao prvia de que a violao da segurana da informao realmente ocorreu (ver 13.2.3 em coleta de evidncias). Convm que o processo disciplinar formal assegure um tratamento justo e correto aos funcionrios que so suspeitos de cometer violaes de segurana da informao. O processo disciplinar formal deve dar uma resposta de forma gradual, que leve em considerao fatores como a natureza e a gravidade da violao e o seu impacto no negcio, se este ou no o primeiro delito, se o infrator foi ou no adequadamente treinado, as legislaes relevantes, os contratos do negcio e outros fatores conforme requerido. Em casos srios de m conduta, convm que o processo permita, por um certo perodo, a remoo das responsabilidades, dos direitos de acesso e privilgios e, dependendo da situao, solicitar pessoa, a sada imediata das dependncias da organizao, escoltando-a. Informaes adicionais Convm que o processo disciplinar tambm seja usado como uma forma de dissuaso, para evitar que os funcionrios, fornecedores e terceiros violem os procedimentos e as polticas de segurana da informao da organizao, e quaisquer outras violaes na segurana.
8.3
Encerramento ou mudana da contratao
Objetivo: Assegurar que funcionrios, fornecedores e terceiros deixem a organizao ou mudem de trabalho de forma ordenada. Convm que responsabilidades sejam definidas para assegurar que a sada de funcionrios, fornecedores e terceiros da organizao seja feita de modo controlado e que a devoluo de todos os equipamentos e a retirada de todos os direitos de acesso esto concludas. Convm que as mudanas de responsabilidades e de trabalhos dentro de uma organizao sejam gerenciadas quando do encerramento da respectiva responsabilidade ou trabalho de acordo com esta seo, e quaisquer novos trabalhos sejam gerenciados conforme descrito em 8.1.
29
Cpia no autorizada
8.3.1
Encerramento de atividades
Controle Convm que responsabilidades para realizar o encerramento ou a mudana de um trabalho sejam claramente definidas e atribudas. Diretrizes para implementao Convm que a comunicao de encerramento de atividades inclua requisitos de segurana e responsabilidades legais existentes e, onde apropriado, responsabilidades contidas em quaisquer acordos de confidencialidade (ver 6.1.5) e os termos e condies de trabalho (ver 8.1.3) que continuem por um perodo definido aps o fim do trabalho do funcionrio, do fornecedor ou do terceiro. Convm que as responsabilidades e obrigaes contidas nos contratos dos funcionrios, fornecedores ou terceiros permaneam vlidas aps o encerramento das atividades. Convm que as mudanas de responsabilidades ou do trabalho sejam gerenciadas quando do encerramento da respectiva responsabilidade ou do trabalho, e que novas responsabilidades ou trabalho sejam controladas conforme descrito em 8.1. Informaes adicionais A funo de Recursos Humanos geralmente responsvel pelo processo global de encerramento e trabalha em conjunto com o gestor responsvel pela pessoa que est saindo, para gerenciar os aspectos de segurana da informao dos procedimentos pertinentes. No caso de um fornecedor, o processo de encerramento de atividades pode ser realizado por uma agncia responsvel pelo fornecedor e, no caso de um outro usurio, isto pode ser tratado pela sua organizao. Pode ser necessrio informar aos funcionrios, clientes, fornecedores ou terceiros sobre as mudanas de pessoal e procedimentos operacionais. 8.3.2 Devoluo de ativos
Controle Convm que todos os funcionrios, fornecedores e terceiros devolvam todos os ativos da organizao que estejam em sua posse, aps o encerramento de suas atividades, do contrato ou acordo. Diretrizes para implementao Convm que o processo de encerramento de atividades seja formalizado para contemplar a devoluo de todos os equipamentos, documentos corporativos e software entregues pessoa. Outros ativos da organizao, tais como dispositivos de computao mvel, cartes de crditos, cartes de acesso, software, manuais e informaes armazenadas em mdia eletrnica, tambm precisam ser devolvidos. No caso em que um funcionrio, fornecedor ou terceiro compre o equipamento da organizao ou use o seu prprio equipamento pessoal, convm que procedimentos sejam adotados para assegurar que toda a informao relevante seja transferida para a organizao e que seja apagada de forma segura do equipamento (ver 10.7.1). Nos casos em que o funcionrio, fornecedor ou terceiro tenha conhecimento de que seu trabalho importante para as atividades que so executadas, convm que este conhecimento seja documentado e transferido para a organizao. 8.3.3 Retirada de direitos de acesso
Controle Convm que os direitos de acesso de todos os funcionrios, fornecedores e terceiros s informaes e aos recursos de processamento da informao sejam retirados aps o encerramento de suas atividades, contratos ou acordos, ou ajustado aps a mudana destas atividades.
30
Cpia no autorizada
Diretrizes para implementao Convm que os direitos de acesso da pessoa aos ativos associados com os sistemas de informao e servios sejam reconsiderados, aps o encerramento das atividades. Isto ir determinar se necessrio retirar os direitos de acesso. Convm que mudanas de uma atividade sejam refletidas na retirada de todos os direitos de acesso que no foram aprovados para o novo trabalho. Convm que os direitos de acesso que sejam retirados ou adaptados incluam o acesso lgico e fsico, chaves, cartes de identificao, recursos de processamento da informao (ver 11.2.4), subscries e retirada de qualquer documentao que os identifiquem como um membro atual da organizao. Caso o funcionrio, fornecedor ou terceiro que esteja saindo tenha conhecimento de senhas de contas que permanecem ativas, convm que estas sejam alteradas aps um encerramento das atividades, mudana do trabalho, contrato ou acordo. Convm que os direitos de acesso aos ativos de informao e aos recursos de processamento da informao sejam reduzidos ou retirados antes que a atividade se encerre ou altere, dependendo da avaliao de fatores de risco, tais como: a) se o encerramento da atividade ou a mudana iniciada pelo funcionrio, fornecedor ou terceiro, ou pelo gestor e a razo do encerramento da atividade; b) as responsabilidades atuais do funcionrio, fornecedor ou qualquer outro usurio; c) valor dos ativos atualmente acessveis. Informaes adicionais Em certas circunstncias os direitos de acesso podem ser alocados com base no que est sendo disponibilizado para mais pessoas do que as que esto saindo (funcionrio, fornecedor ou terceiro), como, por exemplo, grupos de ID. Convm que, em tais casos, as pessoas que esto saindo da organizao sejam retiradas de quaisquer listas de grupos de acesso e que sejam tomadas providncias para avisar aos outros funcionrios, fornecedores e terceiros envolvidos para no mais compartilhar estas informaes com a pessoa que est saindo. Nos casos em que o encerramento da atividade seja da iniciativa do gestor, os funcionrios, fornecedores ou terceiros descontentes podem deliberadamente corromper a informao ou sabotar os recursos de processamento da informao. No caso de pessoas demitidas ou exoneradas, elas podem ser tentadas a coletar informaes para uso futuro.
31
Cpia no autorizada
9
9.1
Segurana fsica e do ambiente

reas seguras
Objetivo: Prevenir o acesso fsico no autorizado, danos e interferncias com as instalaes e informaes da organizao. Convm que as instalaes de processamento da informao crticas ou sensveis sejam mantidas em reas seguras, protegidas por permetros de segurana definidos, com barreiras de segurana e controles de acesso apropriados. Convm que sejam fisicamente protegidas contra o acesso no autorizado, danos e interferncias. Convm que a proteo oferecida seja compatvel com os riscos identificados. 9.1.1 Permetro de segurana fsica
Controle Convm que sejam utilizados permetros de segurana (barreiras tais como paredes, portes de entrada controlados por carto ou balces de recepo com recepcionistas) para proteger as reas que contenham informaes e instalaes de processamento da informao. Diretrizes para a implementao Convm que sejam levadas em considerao e implementadas as seguintes diretrizes para permetros de segurana fsica, quando apropriado: a) os permetros de segurana sejam claramente definidos e que a localizao e a capacidade de resistncia de cada permetro dependam dos requisitos de segurana dos ativos existentes no interior do permetro, e dos resultados da anlise/avaliao de riscos; b) os permetros de um edifcio ou de um local que contenha instalaes de processamento da informao sejam fisicamente slidos (ou seja, o permetro no deve ter brechas nem pontos onde poderia ocorrer facilmente uma invaso); convm que as paredes externas do local sejam de construo robusta e todas as portas externas sejam adequadamente protegidas contra acesso no autorizado por meio de mecanismos de controle, por exemplo, barras, alarmes, fechaduras etc.; convm que as portas e janelas sejam trancadas quando estiverem sem monitorao, e que uma proteo externa para as janelas seja considerada, principalmente para as que estiverem situadas no andar trreo; c) seja implantada uma rea de recepo, ou um outro meio para controlar o acesso fsico ao local ou ao edifcio; o acesso aos locais ou edifcios deve ficar restrito somente ao pessoal autorizado; d) sejam construdas barreiras fsicas, onde aplicvel, para impedir o acesso fsico no autorizado e a contaminao do meio ambiente; e) todas as portas corta-fogo do permetro de segurana sejam providas de alarme, monitoradas e testadas juntamente com as paredes, para estabelecer o nvel de resistncia exigido, de acordo com normas regionais, nacionais e internacionais aceitveis; elas devem funcionar de acordo com os cdigos locais de preveno de incndios e preveno de falhas; f) sistemas adequados de deteco de intrusos, de acordo com normas regionais, nacionais e internacionais, sejam instalados e testados em intervalos regulares, e cubram todas as portas externas e janelas acessveis; as reas no ocupadas devem ser protegidas por alarmes o tempo todo; tambm deve ser dada proteo a outras reas, por exemplo, salas de computadores ou salas de comunicaes;
g) as instalaes de processamento da informao gerenciadas pela organizao devem ficar fisicamente separadas daquelas que so gerenciadas por terceiros.
32
Cpia no autorizada
Informaes adicionais Pode-se obter proteo fsica criando uma ou mais barreiras fsicas ao redor das instalaes e dos recursos de processamento da informao da organizao. O uso de barreiras mltiplas proporciona uma proteo adicional, uma vez que neste caso a falha de uma das barreiras no significa que a segurana fique comprometida imediatamente. Uma rea segura pode ser um escritrio trancvel ou um conjunto de salas rodeado por uma barreira fsica interna contnua de segurana. Pode haver necessidade de barreiras e permetros adicionais para o controle do acesso fsico, quando existem reas com requisitos de segurana diferentes dentro do permetro de segurana. Convm que sejam tomadas precaues especiais para a segurana do acesso fsico no caso de edifcios que alojam diversas organizaes. 9.1.2 Controles de entrada fsica
Controle Convm que as reas seguras sejam protegidas por controles apropriados de entrada para assegurar que somente pessoas autorizadas tenham acesso. Diretrizes para implementao Convm que sejam levadas em considerao as seguintes diretrizes: a) a data e hora da entrada e sada de visitantes sejam registradas, e todos os visitantes sejam supervisionados, a no ser que o seu acesso tenha sido previamente aprovado; convm que as permisses de acesso sejam concedidas somente para finalidades especficas e autorizadas, e sejam emitidas com instrues sobre os requisitos de segurana da rea e os procedimentos de emergncia; b) acesso s reas em que so processadas ou armazenadas informaes sensveis seja controlado e restrito s pessoas autorizadas; convm que sejam utilizados controles de autenticao, por exemplo, carto de controle de acesso mais PIN (personal identification number), para autorizar e validar todos os acessos; deve ser mantido de forma segura um registro de todos os acessos para fins de auditoria; c) seja exigido que todos os funcionrios, fornecedores e terceiros, e todos os visitantes, tenham alguma forma visvel de identificao, e eles devem avisar imediatamente o pessoal de segurana caso encontrem visitantes no acompanhados ou qualquer pessoa que no esteja usando uma identificao visvel; d) aos terceiros que realizam servios de suporte, seja concedido acesso restrito s reas seguras ou s instalaes de processamento da informao sensvel somente quando necessrio; este acesso deve ser autorizado e monitorado; e) os direitos de acesso a reas seguras sejam revistos e atualizados em intervalos regulares, e revogados quando necessrio (ver 8.3.3). 9.1.3 Segurana em escritrios, salas e instalaes
Controle Convm que seja projetada e aplicada segurana fsica para escritrios, salas e instalaes. Diretrizes para implementao Convm que sejam levadas em considerao as seguintes diretrizes para proteger escritrios, salas e instalaes: a) sejam levados em conta os regulamentos e normas de sade e segurana aplicveis; b) as instalaes-chave sejam localizadas de maneira a evitar o acesso do pblico;
33
Cpia no autorizada
c) os edifcios sejam discretos e dem a menor indicao possvel da sua finalidade, sem letreiros evidentes, fora ou dentro do edifcio, que identifiquem a presena de atividades de processamento de informaes, quando for aplicvel; d) as listas de funcionrios e guias telefnicos internos que identifiquem a localizao das instalaes que processam informaes sensveis no fiquem facilmente acessveis ao pblico. 9.1.4 Proteo contra ameaas externas e do meio ambiente
Controle Convm que sejam projetadas e aplicadas proteo fsica contra incndios, enchentes, terremotos, exploses, perturbaes da ordem pblica e outras formas de desastres naturais ou causados pelo homem. Diretrizes para implementao Convm que sejam levadas em considerao todas as ameaas segurana representadas por instalaes vizinhas, por exemplo, um incndio em um edifcio vizinho, vazamento de gua do telhado ou em pisos do subsolo ou uma exploso na rua. Convm que sejam levadas em considerao as seguintes diretrizes para evitar danos causados por incndios, enchentes, terremotos, exploses, perturbaes da ordem pblica e outras formas de desastres naturais ou causados pelo homem: a) os materiais perigosos ou combustveis sejam armazenados a uma distncia segura da rea de segurana. Suprimentos em grande volume, como materiais de papelaria, no devem ser armazenados dentro de uma rea segura; b) os equipamentos para contingncia e mdia de backup fiquem a uma distncia segura, para que no sejam danificados por um desastre que afete o local principal; c) os equipamentos apropriados de deteco e combate a incndios sejam providenciados e posicionados corretamente. 9.1.5 Trabalhando em reas seguras
Controle Convm que seja projetada e aplicada proteo fsica, bem como diretrizes para o trabalho em reas seguras. Diretrizes para implementao Convm que sejam levadas em considerao as seguintes diretrizes: a) pessoal s tenha conhecimento da existncia de reas seguras ou das atividades nelas realizadas, apenas se for necessrio; b) seja evitado o trabalho no supervisionado em reas seguras, tanto por motivos de segurana como para prevenir as atividades mal intencionadas; c) as reas seguras no ocupadas sejam fisicamente trancadas e periodicamente verificadas; d) no seja permitido o uso de mquinas fotogrficas, gravadores de vdeo ou udio ou de outros equipamentos de gravao, tais como cmeras em dispositivos mveis, salvo se for autorizado. As normas para o trabalho em reas seguras incluem o controle dos funcionrios, fornecedores e terceiros que trabalham em tais reas, bem como o controle de outras atividades de terceiros nestas reas.
34
Cpia no autorizada
9.1.6
Acesso do pblico, reas de entrega e de carregamento
Controle Convm que os pontos de acesso, tais como reas de entrega e de carregamento e outros pontos em que pessoas no autorizadas possam entrar nas instalaes, sejam controlados e, se possvel, isolados das instalaes de processamento da informao, para evitar o acesso no autorizado. Diretrizes para implementao Convm que sejam levadas em considerao as seguintes diretrizes: a) acesso a uma rea de entrega e carregamento a partir do exterior do prdio fique restrito ao pessoal identificado e autorizado; b) as reas de entrega e carregamento sejam projetadas de tal maneira que seja possvel descarregar suprimentos sem que os entregadores tenham acesso a outras partes do edifcio; c) as portas externas de uma rea de entrega e carregamento sejam protegidas enquanto as portas internas estiverem abertas; d) os materiais entregues sejam inspecionados para detectar ameaas potenciais (ver 9.2.1d)) antes de serem transportados da rea de entrega e carregamento para o local de utilizao; e) os materiais entregues sejam registrados por ocasio de sua entrada no local, usando-se procedimentos de gerenciamento de ativos (ver 7.1.1); f) as remessas entregues sejam segregadas fisicamente das remessas que saem, sempre que possvel.
9.2
Segurana de equipamentos
Objetivo: Impedir perdas, danos, furto ou comprometimento de ativos e interrupo das atividades da organizao. Convm que os equipamentos sejam protegidos contra ameaas fsicas e do meio ambiente. A proteo dos equipamentos (incluindo aqueles utilizados fora do local, e a retirada de ativos) necessria para reduzir o risco de acesso no autorizado s informaes e para proteger contra perdas ou danos. Convm que tambm seja levado em considerao a introduo de equipamentos no local, bem como sua remoo. Podem ser necessrios controles especiais para a proteo contra ameaas fsicas e para a proteo de instalaes de suporte, como a infra-estrutura de suprimento de energia e de cabeamento. 9.2.1 Instalao e proteo do equipamento
Controle Convm que os equipamentos sejam colocados no local ou protegidos para reduzir os riscos de ameaas e perigos do meio ambiente, bem como as oportunidades de acesso no autorizado. Diretrizes para implementao Convm que sejam levadas em considerao as seguintes diretrizes para proteger os equipamentos: a) os equipamentos sejam colocados no local, a fim de minimizar o acesso desnecessrio s reas de trabalho; b) as instalaes de processamento da informao que manuseiam dados sensveis sejam posicionadas de forma que o ngulo de viso seja restrito, de modo a reduzir o risco de que as informaes sejam vistas por pessoal no autorizado durante a sua utilizao, e os locais de armazenagem sejam protegidos, a fim de evitar o acesso no autorizado;
35
Cpia no autorizada
c) os itens que exigem proteo especial devem ser isolados para reduzir o nvel geral de proteo necessrio; d) sejam adotados controles para minimizar o risco de ameaas fsicas potenciais, tais como furto, incndio, explosivos, fumaa, gua (ou falha do suprimento de gua), poeira, vibrao, efeitos qumicos, interferncia com o suprimento de energia eltrica, interferncia com as comunicaes, radiao eletromagntica e vandalismo; e) sejam estabelecidas diretrizes quanto a comer, beber e fumar nas proximidades das instalaes de processamento da informao; f) as condies ambientais, como temperatura e umidade, sejam monitoradas para a deteco de condies que possam afetar negativamente os recursos de processamento da informao;
g) todos os edifcios sejam dotados de proteo contra raios e todas as linhas de entrada de fora e de comunicaes tenham filtros de proteo contra raios; h) para equipamentos em ambientes industriais, o uso de mtodos especiais de proteo, tais como membranas para teclados, deve ser considerado; i) os equipamentos que processam informaes sensveis sejam protegidos, a fim de minimizar o risco de vazamento de informaes em decorrncia de emanaes. Utilidades
9.2.2
Controle Convm que os equipamentos sejam protegidos contra falta de energia eltrica e outras interrupes causadas por falhas das utilidades. Diretrizes para implementao Convm que todas as utilidades, tais como suprimento de energia eltrica, suprimento de gua, esgotos, calefao/ventilao e ar-condicionado sejam adequados para os sistemas que eles suportam. Convm que as utilidades sejam inspecionadas em intervalos regulares e testadas de maneira apropriada para assegurar seu funcionamento correto e reduzir os riscos de defeitos ou interrupes do funcionamento. Convm que seja providenciado um suprimento adequado de energia eltrica, de acordo com as especificaes do fabricante dos equipamentos. Recomenda-se o uso de UPS para suportar as paradas e desligamento dos equipamentos ou para manter o funcionamento contnuo dos equipamentos que suportam operaes crticas dos negcios. Convm que hajam planos de contingncia de energia referentes s providncias a serem tomadas em caso de falha do UPS. Convm que seja considerado um gerador de emergncia caso seja necessrio que o processamento continue mesmo se houver uma interrupo prolongada do suprimento de energia. Convm que esteja disponvel um suprimento adequado de combustvel para garantir a operao prolongada do gerador. Convm que os equipamentos UPS e os geradores sejam verificados em intervalos regulares para assegurar que eles tenham capacidade adequada, e sejam testados de acordo com as recomendaes do fabricante. Alm disto, deve ser considerado o uso de mltiplas fontes de energia ou de uma subestao de fora separada, se o local for grande. Convm que as chaves de emergncia para o desligamento da energia fiquem localizadas na proximidade das sadas de emergncia das salas de equipamentos, para facilitar o desligamento rpido da energia em caso de uma emergncia. Convm que seja providenciada iluminao de emergncia para o caso de queda da fora. Convm que o suprimento de gua seja estvel e adequado para abastecer os equipamentos de arcondicionado e de umidificao, bem como os sistemas de extino de incndios (quando usados). Falhas de funcionamento do abastecimento de gua podem danificar o sistema ou impedir uma ao eficaz de extino de incndios. Convm que seja analisada a necessidade de sistemas de alarme para detectar falhas de funcionamento das utilidades, instalando os alarmes, se necessrio.
36
Cpia no autorizada
Convm que os equipamentos de telecomunicaes sejam conectados rede pblica de energia eltrica atravs de pelo menos duas linhas separadas, para evitar que a falha de uma das conexes interrompa os servios de voz. Convm que os servios de voz sejam adequados para atender s exigncias legais locais relativas a comunicaes de emergncia. Informaes adicionais As opes para assegurar a continuidade do suprimento de energia incluem mltiplas linhas de entrada, para evitar que uma falha em um nico ponto comprometa o suprimento de energia. 9.2.3 Segurana do cabeamento
Controle Convm que o cabeamento de energia e de telecomunicaes que transporta dados ou d suporte aos servios de informaes seja protegido contra interceptao ou danos. Diretrizes para implementao Convm que sejam levadas em considerao as seguintes diretrizes para a segurana do cabeamento: a) as linhas de energia e de telecomunicaes que entram nas instalaes de processamento da informao sejam subterrneas (ou fiquem abaixo do piso), sempre que possvel, ou recebam uma proteo alternativa adequada; b) cabeamento de redes seja protegido contra interceptao no autorizada ou danos, por exemplo, pelo uso de condutes ou evitando trajetos que passem por reas pblicas; c) os cabos de energia sejam segregados dos cabos de comunicaes, para evitar interferncias; d) nos cabos e nos equipamentos, sejam utilizadas marcaes claramente identificveis, a fim de minimizar erros de manuseio, como, por exemplo, fazer de forma acidental conexes erradas em cabos da rede; e) seja utilizada uma lista de documentao das conexes para reduzir a possibilidade de erros; f) para sistemas sensveis ou crticos, os seguintes controles adicionais devem ser considerados: 1) 2) 3) 4) 5) 6) instalao de condutes blindados e salas ou caixas trancadas em pontos de inspeo e pontos terminais; uso de rotas alternativas e/ou meios de transmisso alternativos que proporcionem segurana adequada; utilizao de cabeamento de fibras pticas; utilizao de blindagem eletromagntica para a proteo dos cabos; realizao de varreduras tcnicas e inspees fsicas para detectar a presena de dispositivos no autorizados conectados aos cabos; acesso controlado aos painis de conexes e s salas de cabos.
37
Cpia no autorizada
9.2.4
Manuteno dos equipamentos
Controle Convm que os equipamentos tenham uma manuteno correta para assegurar sua disponibilidade e integridade permanentes. Diretrizes para implementao Convm que sejam levadas em considerao as seguintes diretrizes para a manuteno dos equipamentos: a) a manuteno dos equipamentos seja realizada nos intervalos recomendados pelo fornecedor, e de acordo com as suas especificaes; b) a manuteno e os consertos dos equipamentos sejam realizados somente por pessoal de manuteno autorizado; c) sejam mantidos os registros de todas as falhas, suspeitas ou reais, e de todas as operaes de manuteno preventiva e corretiva realizadas; d) sejam implementados controles apropriados, na poca programada para a manuteno do equipamento, dependendo de a manuteno ser realizada pelo pessoal do local ou por pessoal externo organizao; onde necessrio, as informaes sensveis sejam eliminadas do equipamento, ou o pessoal de manuteno seja de absoluta confiana; e) sejam atendidas todas as exigncias estabelecidas nas aplices de seguro. 9.2.5 Segurana de equipamentos fora das dependncias da organizao
Controle Convm que sejam tomadas medidas de segurana para equipamentos que operem fora do local, levando em conta os diferentes riscos decorrentes do fato de se trabalhar fora das dependncias da organizao. Diretrizes para implementao Convm que, independentemente de quem seja o proprietrio, a utilizao de quaisquer equipamentos de processamento de informaes fora das dependncias da organizao seja autorizada pela gerncia. Convm que sejam levadas em considerao as seguintes diretrizes para a proteo de equipamentos usados fora das dependncias da organizao: a) os equipamentos e suportes fsicos de dados removidos das dependncias da organizao no fiquem sem superviso em lugares pblicos; os computadores portteis sejam carregados como bagagem de mo e disfarados, sempre que possvel, quando se viaja; b) sejam observadas a qualquer tempo as instrues do fabricante para a proteo do equipamento, por exemplo, proteo contra a exposio a campos eletromagnticos intensos; c) os controles para o trabalho em casa sejam determinados por uma anlise/avaliao de riscos, sendo aplicados controles adequados para cada caso, por exemplo, arquivos trancveis, poltica de "mesa limpa", controles de acesso a computadores, e comunicao segura com o escritrio (ver ISO/IEC 18028 Network security); d) haja uma cobertura adequada de seguro para proteger os equipamentos fora das dependncias da organizao. Os riscos de segurana, por exemplo, de danos, furto ou espionagem, podem variar consideravelmente de um local para outro e convm que sejam levados em conta para determinar os controles mais apropriados.
38
Cpia no autorizada
Informaes adicionais Os equipamentos de armazenagem e processamento de informaes incluem todas as formas de computadores pessoais, agendas eletrnicas, telefones celulares, cartes inteligentes, papis e outros tipos, utilizados no trabalho em casa, ou que so removidos do local normal de trabalho. Mais informaes sobre outros aspectos da proteo de equipamentos mveis podem ser encontradas em 11.7.1. 9.2.6 Reutilizao e alienao segura de equipamentos
Controle Convm que todos os equipamentos que contenham mdias de armazenamento de dados sejam examinados antes do descarte, para assegurar que todos os dados sensveis e softwares licenciados tenham sido removidos ou sobregravados com segurana. Diretrizes para implementao Convm que os dispositivos que contenham informaes sensveis sejam destrudos fisicamente ou as informaes sejam destrudas, apagadas ou sobregravadas por meio de tcnicas que tornem as informaes originais irrecuperveis, em vez de se usarem as funes-padro de apagar ou formatar. Informaes adicionais No caso de dispositivos defeituosos que contenham informaes sensveis, pode ser necessria uma anlise/avaliao de riscos para determinar se convm destruir fisicamente o dispositivo em vez de mand-lo para o conserto ou descart-lo. As informaes podem ser comprometidas por um descarte feito sem os devidos cuidados ou pela reutilizao do equipamento (ver 10.7.2). 9.2.7 Remoo de propriedade
Controle Convm que equipamentos, informaes ou software no sejam retirados do local sem autorizao prvia. Diretrizes para implementao Convm que sejam levadas em considerao as seguintes diretrizes: a) os equipamentos, informaes ou software no sejam retirados do local sem autorizao prvia; b) os funcionrios, fornecedores e terceiros que tenham autoridade para permitir a remoo de ativos para fora do local sejam claramente identificados; c) sejam estabelecidos limites de tempo para a retirada de equipamentos do local, e a devoluo seja controlada; d) sempre que necessrio ou apropriado, seja feito um registro da retirada e da devoluo de equipamentos, quando do seu retorno. Informaes adicionais Podem ser feitas inspees aleatrias para detectar a retirada no autorizada de bens e a existncia de equipamentos de gravao no autorizados, armas etc., e impedir sua entrada no local. Convm que tais inspees aleatrias sejam feitas de acordo com a legislao e as normas aplicveis. Convm que as pessoas sejam avisadas da realizao das inspees, e elas s podem ser feitas com a devida autorizao, levando em conta as exigncias legais e regulamentares.
39
Cpia no autorizada
10 Gerenciamento das operaes e comunicaes

10.1 Procedimentos e responsabilidades operacionais
Objetivo: Garantir a operao segura e correta dos recursos de processamento da informao. Convm que os procedimentos e responsabilidades pela gesto e operao de todos os recursos de processamento das informaes sejam definidos. Isto abrange o desenvolvimento de procedimentos operacionais apropriados. Convm que seja utilizada a segregao de funes quando apropriado, para reduzir o risco de mau uso ou uso doloso dos sistemas. 10.1.1 Documentao dos procedimentos de operao Controle Convm que os procedimentos de operao sejam documentados, mantidos atualizados e disponveis a todos os usurios que deles necessitem. Diretrizes para implementao Convm que procedimentos documentados sejam preparados para as atividades de sistemas associadas a recursos de processamento e comunicao de informaes, tais como procedimentos de inicializao e desligamento de computadores, gerao de cpias de segurana (backup), manuteno de equipamentos, tratamento de mdias, segurana e gesto do tratamento das correspondncias e das salas de computadores. Convm que os procedimentos de operao especifiquem as instrues para a execuo detalhada de cada tarefa, incluindo: a) processamento e tratamento da informao; b) backup (ver 10.5); c) requisitos de agendamento, incluindo interdependncias com outros sistemas, a primeira hora para incio da tarefa e a ltima hora para o trmino da tarefa; d) instrues para tratamento de erros ou outras condies excepcionais, que possam ocorrer durante a execuo de uma tarefa, incluindo restries de uso dos utilitrios do sistema (ver 11.5.4); e) dados para contatos de suporte para o caso de eventos operacionais inesperados ou dificuldades tcnicas; f) instrues para tratamento de resultados especiais e mdias, tais como o uso de formulrios especiais ou o gerenciamento de resultados confidenciais, incluindo procedimentos para a alienao segura de resultados provenientes de rotinas com falhas (ver 10.7.2 e 10.7.3);
g) procedimento para o reincio e recuperao em caso de falha do sistema; h) gerenciamento de trilhas de auditoria e informaes de registros (log) de sistemas (ver 10.10). Convm que procedimentos operacionais e os procedimentos documentados para atividades de sistemas sejam tratados como documentos formais e as mudanas sejam autorizadas pela direo. Quando tecnicamente possvel, convm que os sistemas de informao sejam gerenciados uniformemente, usando os mesmos procedimentos, ferramentas e utilitrios.
40
Cpia no autorizada
10.1.2 Gesto de mudanas Controle Convm que modificaes nos recursos de processamento da informao e sistemas sejam controladas. Diretrizes para implementao Convm que sistemas operacionais e aplicativos estejam sujeitos a rgido controle de gesto de mudanas. Em particular, convm que os seguintes itens sejam considerados: a) identificao e registro das mudanas significativas; b) planejamento e testes das mudanas; c) avaliao de impactos potenciais, incluindo impactos de segurana, de tais mudanas; d) procedimento formal de aprovao das mudanas propostas; e) comunicao dos detalhes das mudanas para todas as pessoas envolvidas; f) procedimentos de recuperao, incluindo procedimentos e responsabilidades pela interrupo e recuperao de mudanas em caso de insucesso ou na ocorrncia de eventos inesperados.
Convm que sejam estabelecidos os procedimentos e responsabilidades gerenciais formais para garantir que haja um controle satisfatrio de todas as mudanas em equipamentos, software ou procedimentos. Quando mudanas forem realizadas, convm que seja mantido um registro de auditoria contendo todas as informaes relevantes. Informaes adicionais O controle inadequado de modificaes nos sistemas e nos recursos de processamento da informao uma causa comum de falhas de segurana ou de sistema. Mudanas a ambientes operacionais, especialmente quando da transferncia de um sistema em desenvolvimento para o estgio operacional, podem trazer impactos confiabilidade de aplicaes (ver 12.5.1). Convm que mudanas em sistemas operacionais sejam apenas realizadas quando houver uma razo de negcio vlida para tal, como um aumento no risco do sistema. A atualizao de sistemas s verses mais atuais de sistemas operacionais ou aplicativos nem sempre do interesse do negcio, pois pode introduzir mais vulnerabilidades e instabilidades ao ambiente do que a verso corrente. Pode haver ainda a necessidade de treinamento adicional, custos de licenciamento, suporte, manuteno e sobrecarga de administrao, bem como a necessidade de novos equipamentos, especialmente durante a fase de migrao. 10.1.3 Segregao de funes Controle Convm que funes e reas de responsabilidade sejam segregadas para reduzir as oportunidades de modificao ou uso indevido no autorizado ou no intencional dos ativos da organizao. Diretrizes para implementao A segregao de funes um mtodo para reduo do risco de uso indevido acidental ou deliberado dos sistemas. Convm que sejam tomados certos cuidados para impedir que uma nica pessoa possa acessar, modificar ou usar ativos sem a devida autorizao ou deteco. Convm que o incio de um evento seja separado de sua autorizao. Convm que a possibilidade de existncia de conluios seja considerada no projeto dos controles. As pequenas organizaes podem considerar a segregao de funes difcil de ser implantada, mas convm que o seu princpio seja aplicado sempre que possvel e praticvel. Onde for difcil a segregao, convm que outros controles, como a monitorao das atividades, trilhas de auditoria e o acompanhamento gerencial, sejam considerados. importante que a auditoria da segurana permanea como uma atividade independente.
41
Cpia no autorizada
10.1.4 Separao dos recursos de desenvolvimento, teste e de produo Controle Convm que recursos de desenvolvimento, teste e produo sejam separados para reduzir o risco de acessos ou modificaes no autorizadas aos sistemas operacionais. Diretrizes para implementao Convm que o nvel de separao dos ambientes de produo, testes e desenvolvimento que necessrio para prevenir problemas operacionais seja identificado e os controles apropriados sejam implementados. Convm que os seguintes itens sejam considerados: a) as regras para a transferncia de software da situao de desenvolvimento para a de produo sejam definidas e documentadas; b) software em desenvolvimento e o software em produo sejam, sempre que possvel, executados em diferentes sistemas ou processadores e em diferentes domnios ou diretrios; c) os compiladores, editores e outras ferramentas de desenvolvimento ou utilitrios de sistemas no sejam acessveis aos sistemas operacionais, quando no for necessrio; d) os ambientes de testes emulem o ambiente de produo o mais prximo possvel; e) os usurios tenham diferentes perfis para sistemas em testes e em produo, e que os menus mostrem mensagens apropriadas de identificao para reduzir o risco de erro; f) os dados sensveis no sejam copiados para os ambientes de testes (ver 12.4.2).
Informaes adicionais As atividades de desenvolvimento e teste podem causar srios problemas, como, por exemplo, modificaes inesperadas em arquivos ou sistemas ou falhas de sistemas. Nesse caso, necessria a manuteno de um ambiente conhecido e estvel, no qual possam ser executados testes significativos e que seja capaz de prevenir o acesso indevido do pessoal de desenvolvimento. Quando o pessoal de desenvolvimento e teste possui acesso ao ambiente de produo e suas informaes, eles podem introduzir cdigos no testados e no autorizados, ou mesmo alterar os dados do sistema. Em alguns sistemas essa capacidade pode ser mal utilizada para a execuo de fraudes, ou introduo de cdigos maliciosos ou no testados, que podem causar srios problemas operacionais. O pessoal de desenvolvimento e testes tambm representa uma ameaa confidencialidade das informaes de produo. As atividades de desenvolvimento e teste podem causar modificaes no intencionais no software e informaes se eles compartilharem o mesmo ambiente computacional. A separao dos ambientes de desenvolvimento, teste e produo so, portanto, desejvel para reduzir o risco de modificaes acidentais ou acessos no autorizados aos sistemas operacionais e aos dados do negcio (ver 12.4.2 para a proteo de dados de teste).
10.2 Gerenciamento de servios terceirizados

Objetivo: Implementar e manter o nvel apropriado de segurana da informao e de entrega de servios em consonncia com acordos de entrega de servios terceirizados. Convm que a organizao verifique a implementao dos acordos, monitore a conformidade com tais acordos e gerencie as mudanas para garantir que os servios entregues atendem a todos os requisitos acordados com os terceiros.
42
Cpia no autorizada
10.2.1 Entrega de servios Controle Convm que seja garantido que os controles de segurana, as definies de servio e os nveis de entrega includos no acordo de entrega de servios terceirizados sejam implementados, executados e mantidos pelo terceiro. Diretrizes para implementao Convm que a entrega de servios por um terceiro inclua os arranjos de segurana acordados, definies de servio e aspectos de gerenciamento de servios. No caso de acordos de terceirizao, convm que a organizao planeje as transies necessrias (de informao, recursos de processamento de informaes e quaisquer outros que necessitem de movimentao) e garanta que a segurana seja mantida durante todo o perodo de transio. Convm que a organizao garanta que o terceiro mantenha capacidade de servio suficiente, juntamente com planos viveis projetados para garantir que os nveis de continuidade de servios acordados sejam mantidos aps falhas de servios severas ou desastres (ver 14.1). 10.2.2 Monitoramento e anlise crtica de servios terceirizados Controle Convm que os servios, relatrios e registros fornecidos por terceiro sejam regularmente monitorados e analisados criticamente, e que auditorias sejam executadas regularmente. Diretrizes para implementao Convm que a monitorao e anlise crtica dos servios terceirizados garantam a aderncia entre os termos de segurana de informao e as condies dos acordos, e que problemas e incidentes de segurana da informao sejam gerenciados adequadamente. Convm que isto envolva processos e relaes de gerenciamento de servio entre a organizao e o terceiro para: a) monitorar nveis de desempenho de servio para verificar aderncia aos acordos; b) analisar criticamente os relatrios de servios produzidos por terceiros e agendamento de reunies de progresso conforme requerido pelos acordos; c) fornecer informaes acerca de incidentes de segurana da informao e anlise crtica de tais informaes tanto pelo terceiro quanto pela organizao, como requerido pelos acordos e por quaisquer procedimentos e diretrizes que os apiem; d) analisar criticamente as trilhas de auditoria do terceiro e registros de eventos de segurana, problemas operacionais, falhas, investigao de falhas e interrupes relativas ao servio entregue; e) resolver e gerenciar quaisquer problemas identificados. Convm que a responsabilidade do gerenciamento de relacionamento com o terceiro seja atribuda a um indivduo designado ou equipe de gerenciamento de servio. Adicionalmente, convm que a organizao garanta que o terceiro atribua responsabilidades pela verificao de conformidade e reforo aos requisitos dos acordos. Convm que habilidades tcnicas suficientes e recursos sejam disponibilizados para monitorar se os requisitos dos acordos (ver 6.2.3), em particular os requisitos de segurana da informao, esto sendo atendidos. Convm que aes apropriadas sejam tomadas quando deficincias na entrega dos servios forem observadas. Convm que a organizao mantenha suficiente controle geral e visibilidade em todos os aspectos de segurana para as informaes sensveis ou crticas ou para os recursos de processamento da informao acessados, processados ou gerenciados por um terceiro. Convm que a organizao garanta a reteno da visibilidade nas atividades de segurana como gerenciamento de mudanas, identificao de vulnerabilidades e relatrio/resposta de incidentes de segurana da informao atravs de um processo de notificao, formatao e estruturao claramente definido.
43
Cpia no autorizada
Informaes adicionais Em caso de terceirizao, a organizao precisa estar ciente de que a responsabilidade final pela informao processada por um parceiro de terceirizao permanece com a organizao. 10.2.3 Gerenciamento de mudanas para servios terceirizados Controle Convm que mudanas no provisionamento dos servios, incluindo manuteno e melhoria da poltica de segurana da informao, procedimentos e controles existentes, sejam gerenciadas levando-se em conta a criticidade dos sistemas e processos de negcio envolvidos e a reanlise/reavaliao de riscos. Diretrizes para implementao O processo de gerenciamento de mudanas para servios terceirizados precisa levar em conta: a) mudanas feitas pela organizao para a implementao de: 1) melhorias dos servios correntemente oferecidos; 2) desenvolvimento de quaisquer novas aplicaes ou sistemas; 3) modificaes ou atualizaes das polticas e procedimentos da organizao; 4) novos controles para resolver os incidentes de segurana da informao e para melhorar a segurana; b) mudanas em servios de terceiros para implementao de: 1) 2) 3) 4) 5) 6) mudanas e melhorias em redes; uso de novas tecnologias; adoo de novos produtos ou novas verses; novas ferramentas e ambientes de desenvolvimento; mudanas de localizao fsica dos recursos de servios; mudanas de fornecedores.
10.3 Planejamento e aceitao dos sistemas

Objetivo: Minimizar o risco de falhas nos sistemas. O planejamento e a preparao prvios so requeridos para garantir a disponibilidade adequada de capacidade e recursos para entrega do desempenho desejado ao sistema. Convm que projees de requisitos de capacidade futura sejam feitas para reduzir o risco de sobrecarga dos sistemas. Convm que os requisitos operacionais dos novos sistemas sejam estabelecidos, documentados e testados antes da sua aceitao e uso.
44
Cpia no autorizada
10.3.1 Gesto de capacidade Controle Convm que utilizao dos recursos seja monitorada e sincronizada e as projees feitas para necessidades de capacidade futura, para garantir o desempenho requerido do sistema. Diretrizes para implementao Convm que requisitos de capacidade sejam identificados para cada atividade nova ou em andamento. Convm que a sincronizao e monitoramento dos sistemas sejam aplicados para garantir e, quando necessrio, melhorar a disponibilidade e eficincia dos sistemas. Convm que controles detectivos sejam implantados para identificar problemas em tempo hbil. Convm que projees de capacidade futura levem em considerao os requisitos de novos negcios e sistemas e as tendncias atuais e projetadas de capacidade de processamento de informao da organizao. Ateno particular precisa ser dada a qualquer recurso que possua um ciclo de renovao ou custo maior, sendo responsabilidade dos gestores monitorar a utilizao dos recursos-chave dos sistemas. Convm que eles identifiquem as tendncias de utilizao, particularmente em relao s aplicaes do negcio ou gesto das ferramentas de sistemas de informao. Convm que os gestores utilizem essas informaes para identificar e evitar os potenciais gargalos e a dependncia em pessoas-chave que possam representar ameaas segurana dos sistemas ou aos servios, e planejar ao corretiva apropriada. 10.3.2 Aceitao de sistemas Controle Convm que sejam estabelecidos critrios de aceitao para novos sistemas, atualizaes e novas verses, e que sejam efetuados testes apropriados do(s) sistema(s) durante seu desenvolvimento e antes da sua aceitao. Diretrizes para implementao Convm que os gestores garantam que os requisitos e critrios para aceitao de novos sistemas estejam claramente definidos, acordados, documentados e testados. Convm que novos sistemas de informao, atualizaes e novas verses s sejam migrados para produo aps a obteno de aceitao formal. Convm que os seguintes itens sejam considerados antes que a aceitao formal seja emitida: a) requisitos de desempenho e de capacidade computacional; b) recuperao de erros, procedimentos de reinicializao e planos de contingncia; c) preparao e teste de procedimentos operacionais de rotina para o estabelecimento de padres; d) concordncia sobre o conjunto de controles de segurana utilizados; e) manuais eficazes; f) requisitos de continuidade dos negcios (ver 14.1);
g) evidncia de que a instalao do novo sistema no afetar de forma adversa os sistemas existentes, particularmente nos perodos de pico de processamento, como, por exemplo, em final de ms; h) evidncia de que tenha sido considerado o impacto do novo sistema na segurana da organizao como um todo; i) j) treinamento na operao ou uso de novos sistemas; facilidade de uso, uma vez que afeta o desempenho do usurio e evita falhas humanas.
45
Cpia no autorizada
Para os principais novos desenvolvimentos, convm que os usurios e as funes de operao sejam consultados em todos os estgios do processo de desenvolvimento, de forma a garantir a eficincia operacional do projeto de sistema proposto. Convm que os devidos testes sejam executados para garantir que todos os critrios de aceitao tenham sido plenamente satisfeitos. Informaes adicionais A aceitao pode incluir um processo formal de certificao e reconhecimento para garantir que os requisitos de segurana tenham sido devidamente endereados.
10.4 Proteo contra cdigos maliciosos e cdigos mveis

Objetivo: Proteger a integridade do software e da informao. Precaues so requeridas para prevenir e detectar a introduo de cdigos maliciosos e cdigos mveis no autorizados. Os recursos de processamento da informao e os softwares so vulnerveis introduo de cdigo malicioso, tais como vrus de computador, worms de rede, cavalos de Tria e bombas lgicas. Convm que os usurios estejam conscientes dos perigos do cdigo malicioso. Convm que os gestores, onde apropriado, implantem controles para prevenir, detectar e remover cdigo malicioso e controlar cdigos mveis. 10.4.1 Controles contra cdigos maliciosos Controle Convm que sejam implantados controles de deteco, preveno e recuperao para proteger contra cdigos maliciosos, assim como procedimentos para a devida conscientizao dos usurios. Diretrizes para implementao Convm que a proteo contra cdigos maliciosos seja baseada em softwares de deteco de cdigos maliciosos e reparo, na conscientizao da segurana da informao, no controle de acesso adequado e nos controles de gerenciamento de mudanas. Convm que as seguintes diretrizes sejam consideradas: a) estabelecer uma poltica formal proibindo o uso de softwares no autorizados (ver 15.1.2); b) estabelecer uma poltica formal para proteo contra os riscos associados com a importao de arquivos e softwares, seja de redes externas, ou por qualquer outro meio, indicando quais medidas preventivas devem ser adotadas; c) conduzir anlises crticas regulares dos softwares e dados dos sistemas que suportam processos crticos de negcio; convm que a presena de quaisquer arquivos no aprovados ou atualizao no autorizada seja formalmente investigada; d) instalar e atualizar regularmente softwares de deteco e remoo de cdigos maliciosos para o exame de computadores e mdias magnticas, de forma preventiva ou de forma rotineira; convm que as verificaes realizadas incluam: 1) verificao, antes do uso, da existncia de cdigos maliciosos nos arquivos em mdias ticas ou eletrnicas, bem como nos arquivos transmitidos atravs de redes; 2) verificao, antes do uso, da existncia de software malicioso em qualquer arquivo recebido atravs de correio eletrnico ou importado (download). Convm que essa avaliao seja feita em diversos locais, como, por exemplo, nos servidores de correio eletrnico, nos computadores pessoais ou quando da sua entrada na rede da organizao; 3) verificao da existncia de cdigos maliciosos em pginas web;
46
Cpia no autorizada
e)
definir procedimentos de gerenciamento e respectivas responsabilidades para tratar da proteo de cdigo malicioso nos sistemas, treinamento nesses procedimentos, reporte e recuperao de ataques de cdigos maliciosos (ver 13.1 e 13.2); preparar planos de continuidade do negcio adequados para a recuperao em caso de ataques por cdigos maliciosos, incluindo todos os procedimentos necessrios para a cpia e recuperao dos dados e softwares (ver seo 14); implementar procedimentos para regularmente coletar informaes, tais como, assinaturas de listas de discusso e visitas a sites informativos sobre novos cdigos maliciosos; implementar procedimentos para a verificao de informao relacionada a cdigos maliciosos e garantia de que os boletins com alertas sejam precisos e informativos; convm que os gestores garantam que fontes qualificadas, como, por exemplo, jornais com reputao idnea, sites confiveis ou fornecedores de software de proteo contra cdigos maliciosos, sejam utilizadas para diferenciar boatos de notcias reais sobre cdigos maliciosos; convm que todos os usurios estejam cientes dos problemas decorrentes de boatos e capacitados a lidar com eles.
f)
g) h)
Informaes adicionais A utilizao de dois ou mais tipos de software de controle contra cdigos maliciosos de diferentes fornecedores no ambiente de processamento da informao pode aumentar a eficcia na proteo contra cdigos maliciosos. Softwares de proteo contra cdigo malicioso podem ser instalados para prover atualizaes automticas dos arquivos e mecanismos de busca, para garantir que a proteo esteja atualizada. Adicionalmente, estes softwares podem ser instalados em todas as estaes de trabalho para a realizao de verificaes automticas. Convm que seja tomado cuidado quanto a possvel introduo de cdigos maliciosos durante manutenes e quando esto sendo realizados procedimentos de emergncia. Tais procedimentos podem ignorar controles normais de proteo contra cdigos maliciosos. 10.4.2 Controles contra cdigos mveis Controle Onde o uso de cdigos mveis autorizado, convm que a configurao garanta que o cdigo mvel autorizado opere de acordo com uma poltica de segurana da informao claramente definida e cdigos mveis no autorizados tenham sua execuo impedida. Diretrizes para implementao Convm que as seguintes aes sejam consideradas para proteger contra aes no autorizadas realizadas por cdigos mveis: a) executar cdigos mveis em ambientes isolados logicamente; b) bloquear qualquer tipo de uso de cdigo mvel; c) bloquear o recebimento de cdigos mveis; d) ativar medidas tcnicas disponveis nos sistemas especficos para garantir que o cdigo mvel esteja sendo administrado; e) controlar os recursos disponveis para acesso ao cdigo mvel; f) estabelecer controles criptogrficos de autenticao exclusiva do cdigo mvel.
47
Cpia no autorizada
Informaes adicionais Cdigo mvel um cdigo transferido de um computador a outro executando automaticamente e realizando funes especficas com pequena ou nenhuma interao por parte do usurio. Cdigos mveis so associados a uma variedade de servios middleware. Alm de garantir que os cdigos mveis no carreguem cdigos maliciosos, manter o controle deles essencial na preveno contra o uso no autorizado ou interrupo de sistemas, redes ou aplicativos, e na preveno contra violaes de segurana da informao.
10.5 Cpias de segurana

Objetivo: Manter a integridade e disponibilidade da informao e dos recursos de processamento de informao. Convm que procedimentos de rotina sejam estabelecidos para implementar as polticas de estratgias para a gerao de cpias de segurana (ver 14.1) e possibilitar a gerao das cpias de segurana dos dados e sua recuperao em um tempo aceitvel. 10.5.1 Cpias de segurana das informaes Controle Convm que as cpias de segurana das informaes e dos softwares sejam efetuadas e testadas regularmente conforme a poltica de gerao de cpias de segurana definida. Diretrizes para implementao Convm que recursos adequados para a gerao de cpias de segurana sejam disponibilizados para garantir que toda informao e software essenciais possam ser recuperados aps um desastre ou a falha de uma mdia. Convm que os seguintes itens para a gerao das cpias de segurana sejam considerados: a) definio do nvel necessrio das cpias de segurana das informaes; b) produo de registros completos e exatos das cpias de segurana e documentao apropriada sobre os procedimentos de restaurao da informao; c) a extenso (por exemplo, completa ou diferencial) e a freqncia da gerao das cpias de segurana reflita os requisitos de negcio da organizao, alm dos requisitos de segurana da informao envolvidos e a criticidade da informao para a continuidade da operao da organizao; d) as cpias de segurana sejam armazenadas em uma localidade remota, a uma distncia suficiente para escapar dos danos de um desastre ocorrido no local principal; e) deve ser dado um nvel apropriado de proteo fsica e ambiental das informaes das cpias de segurana (ver seo 9), consistente com as normas aplicadas na instalao principal; os controles aplicados s mdias na instalao principal sejam usados no local das cpias de segurana; f) as mdias de cpias de segurana sejam testadas regularmente para garantir que elas so suficientemente confiveis para uso de emergncia, quando necessrio;
g) os procedimentos de recuperao sejam verificados e testados regularmente, de forma a garantir que estes so efetivos e que podem ser concludos dentro dos prazos definidos nos procedimentos operacionais de recuperao; h) em situaes onde a confidencialidade importante, cpias de segurana sejam protegidas atravs de encriptao.
48
Cpia no autorizada
Convm que as cpias de segurana de sistemas especficos sejam testadas regularmente para garantir que elas esto aderentes aos requisitos definidos nos planos de continuidade do negcio (ver seo 14). Para sistemas crticos, convm que os mecanismos de gerao de cpias de segurana abranjam todos os sistemas de informao, aplicaes e dados necessrios para a completa recuperao do sistema em um evento de desastre. Convm que o perodo de reteno para informaes essenciais ao negcio e tambm qualquer requisito para que cpias de arquivo sejam permanentemente retidas seja determinado (ver 15.1.3). Informaes adicionais Os mecanismos de cpias de segurana podem ser automatizados para facilitar os processos de gerao e recuperao das cpias de segurana. Convm que tais solues automatizadas sejam suficientemente testadas antes da implementao e verificadas em intervalos regulares.
10.6 Gerenciamento da segurana em redes

Objetivo: Garantir a proteo das informaes em redes e a proteo da infra-estrutura de suporte. O gerenciamento seguro de redes, que pode ir alm dos limites da organizao, requer cuidadosas consideraes relacionadas ao fluxo de dados, implicaes legais, monitoramento e proteo. Controles adicionais podem ser necessrios para proteger informaes sensveis trafegando sobre redes pblicas. 10.6.1 Controles de redes Controle Convm que as redes sejam adequadamente gerenciadas e controladas, de forma a proteg-las contra ameaas e manter a segurana de sistemas e aplicaes que utilizam estas redes, incluindo a informao em trnsito. Diretrizes para implementao Convm que gestores de redes implementem controles para garantir a segurana da informao nestas redes e a proteo dos servios a elas conectadas, de acesso no autorizado. Em particular, convm que os seguintes itens sejam considerados: a) a responsabilidade operacional pelas redes seja separada da operao dos recursos computacionais onde for apropriado (ver 10.1.3); b) as responsabilidades e procedimentos sobre o gerenciamento de equipamentos remotos, incluindo equipamentos em reas de usurios, sejam estabelecidos; c) os controles especiais sejam estabelecidos para proteo da confidencialidade e integridade dos dados trafegando sobre redes pblicas ou sobre as redes sem fio (wireless) e para proteger os sistemas e aplicaes a elas conectadas (ver 11.4 e 12.3); controles especiais podem tambm ser requeridos para manter a disponibilidade dos servios de rede e computadores conectados; d) os mecanismos apropriados de registro e monitorao sejam aplicados para habilitar a gravao das aes relevantes de segurana; e) as atividades de gerenciamento sejam coordenadas para otimizar os servios para a organizao e assegurar que os controles estejam aplicados de forma consistente sobre toda a infra-estrutura de processamento da informao. Informaes adicionais Informaes adicionais sobre segurana de redes podem ser encontradas na ISO/IEC 18028, Information technology Security techniques IT network security.
49
Cpia no autorizada
10.6.2 Segurana dos servios de rede Controle Convm que as caractersticas de segurana, nveis de servio e requisitos de gerenciamento dos servios de rede sejam identificados e includos em qualquer acordo de servios de rede, tanto para servios de rede providos internamente ou terceirizados. Diretrizes para implementao Convm que a capacidade do provedor dos servios de rede de gerenciar os servios acordados de maneira segura seja determinada e monitorada regularmente, bem como que o direito de audit-los seja acordado. Convm que as definies de segurana necessrias para servios especficos, como caractersticas de segurana, nveis de servio e requisitos de gerenciamento, sejam identificadas. Convm que a organizao assegure que os provedores dos servios de rede implementam estas medidas. Informaes adicionais Servios de rede incluem o fornecimento de conexes, servios de rede privados, redes de valor agregado e solues de segurana de rede gerenciadas como firewalls e sistemas de deteco de intrusos. Estes servios podem abranger desde o simples fornecimento de banda de rede no gerenciada at complexas ofertas de solues de valor agregado. Funcionalidades de segurana de servios de rede podem ser: a) tecnologias aplicadas para segurana de servios de redes como autenticao, encriptao e controles de conexes de rede; b) parmetro tcnico requerido para uma conexo segura com os servios de rede de acordo com a segurana e regras de conexo de redes; c) procedimentos para o uso de servios de rede para restringir o acesso a servios de rede ou aplicaes, onde for necessrio.
10.7 Manuseio de mdias

Objetivo: Prevenir contra divulgao no autorizada, modificao, remoo ou destruio aos ativos, e interrupes das atividades do negcio. Convm que as mdias sejam controladas e fisicamente protegidas. Convm que procedimentos operacionais apropriados sejam estabelecidos para proteger documentos, mdias magnticas de computadores (fitas, discos), dados de entrada e sada e documentao dos sistemas contra divulgao no autorizada, modificao, remoo e destruio. 10.7.1 Gerenciamento de mdias removveis Controle Convm que existam procedimentos implementados para o gerenciamento de mdias removveis. Diretrizes para implementao Convm que as seguintes diretrizes para o gerenciamento de mdias removveis sejam consideradas: a) quando no for mais necessrio, o contedo de qualquer meio magntico reutilizvel seja destrudo, caso venha a ser retirado da organizao; b) quando necessrio e prtico, seja requerida a autorizao para remoo de qualquer mdia da organizao e mantido o registro dessa remoo como trilha de auditoria;
50
Cpia no autorizada
c) toda mdia seja guardada de forma segura em um ambiente protegido, de acordo com as especificaes do fabricante; d) informaes armazenadas em mdias que precisam estar disponveis por muito tempo (em conformidade com as especificaes dos fabricantes) sejam tambm armazenadas em outro local para evitar perda de informaes devido deteriorao das mdias; e) as mdias removveis sejam registradas para limitar a oportunidade de perda de dados; f) as unidades de mdias removveis estejam habilitadas somente se houver uma necessidade do negcio.
Convm que todos os procedimentos e os nveis de autorizao sejam explicitamente documentados. Informaes adicionais Mdia removvel inclui fitas, discos, flash disks, discos removveis, CD, DVD e mdia impressa. 10.7.2 Descarte de mdias Controle Convm que as mdias sejam descartadas de forma segura e protegida quando no forem mais necessrias, por meio de procedimentos formais. Diretrizes para implementao Convm que procedimentos formais para o descarte seguro das mdias sejam definidos para minimizar o risco de vazamento de informaes sensveis para pessoas no autorizadas. Convm que os procedimentos para o descarte seguro das mdias, contendo informaes sensveis, sejam relativos sensibilidade das informaes. Convm que os seguintes itens sejam considerados: a) mdias contendo informaes sensveis sejam guardadas e destrudas de forma segura e protegida, como, por exemplo, atravs de incinerao ou triturao, ou da remoo dos dados para uso por uma outra aplicao dentro da organizao; b) procedimentos sejam implementados para identificar os itens que requerem descarte seguro; c) pode ser mais fcil implementar a coleta e descarte seguro de todas as mdias a serem inutilizadas do que tentar separar apenas aquelas contendo informaes sensveis; d) muitas organizaes oferecem servios de coleta e descarte de papel, de equipamentos e de mdias magnticas; convm que se tenha o cuidado na seleo de um fornecedor com experincia e controles adequados; e) descarte de itens sensveis seja registrado em controles sempre que possvel para se manter uma trilha de auditoria. Quando da acumulao de mdias para descarte, convm que se leve em considerao o efeito proveniente do acmulo, o que pode fazer com que uma grande quantidade de informao no sensvel torne-se sensvel. Informaes adicionais Informaes sensveis podem ser divulgadas atravs do descarte negligente das mdias (ver 9.2.6 para informaes de descarte de equipamentos).
51
Cpia no autorizada
10.7.3 Procedimentos para tratamento de informao Controle Convm que sejam estabelecidos procedimentos para o tratamento e o armazenamento de informaes, para proteger tais informaes contra a divulgao no autorizada ou uso indevido. Diretrizes para implementao Convm que procedimentos sejam estabelecidos para o tratamento, processamento, armazenamento e transmisso da informao, de acordo com a sua classificao (ver 7.2). Convm que os seguintes itens sejam considerados: a) tratamento e identificao de todos os meios magnticos indicando o nvel de classificao; b) restries de acesso para prevenir o acesso de pessoas no autorizadas; c) manuteno de um registro formal dos destinatrios de dados autorizados; d) garantia de que a entrada de dados seja completa, de que o processamento esteja devidamente concludo e de que a validao das sadas seja aplicada; e) proteo dos dados preparados para expedio ou impresso de forma consistente com a sua criticidade; f) armazenamento das mdias em conformidade com as especificaes dos fabricantes;
g) manuteno da distribuio de dados no menor nvel possvel; h) identificao eficaz de todas as cpias das mdias, para chamar a ateno dos destinatrios autorizados; i) anlise crtica das listas de distribuio e das listas de destinatrios autorizados em intervalos regulares.
Informaes adicionais Estes procedimentos so aplicados para informaes em documentos, sistemas de computadores, redes de computadores, computao mvel, comunicao mvel, correio eletrnico, correio de voz, comunicao de voz em geral, multimdia, servios postais, uso de mquinas de fax e qualquer outro item sensvel, como, por exemplo, cheques em branco e faturas. 10.7.4 Segurana da documentao dos sistemas Controle Convm que a documentao dos sistemas seja protegida contra acessos no autorizados. Diretrizes para implementao Para proteger a documentao dos sistemas, convm que os seguintes itens sejam considerados: a) a documentao dos sistemas seja guardada de forma segura; b) a relao de pessoas com acesso autorizado documentao de sistemas seja a menor possvel e autorizada pelo proprietrio do sistema; c) a documentao de sistema mantida em uma rede pblica, ou fornecida atravs de uma rede pblica, seja protegida de forma apropriada. Informaes adicionais A documentao dos sistemas pode conter uma srie de informaes sensveis, como, por exemplo, descries de processos da aplicao, procedimentos, estruturas de dados e processos de autorizao.
52
Cpia no autorizada
10.8 Troca de informaes

Objetivo: Manter a segurana na troca de informaes e softwares internamente organizao e com quaisquer entidades externas. Convm que as trocas de informaes e softwares entre organizaes estejam baseadas numa poltica formal especfica, sejam efetuadas a partir de acordos entre as partes e estejam em conformidade com toda a legislao pertinente (ver seo 15). Convm que sejam estabelecidos procedimentos e normas para proteger a informao e a mdia fsica que contm informao em trnsito. 10.8.1 Polticas e procedimentos para troca de informaes Controle Convm que polticas, procedimentos e controles sejam estabelecidos e formalizados para proteger a troca de informaes em todos os tipos de recursos de comunicao. Diretrizes para implementao Convm que os procedimentos e controles estabelecidos para a troca de informaes em recursos eletrnicos de comunicao considerem os tpicos a seguir: a) procedimentos formulados para proteger a informao em trnsito contra interceptao, cpia, modificao, desvio e destruio; b) procedimentos para deteco e proteo contra cdigo malicioso que pode ser transmitido atravs do uso de recursos eletrnicos de comunicao (ver 10.4.1); c) procedimentos para proteo de informaes eletrnicas sensveis que sejam transmitidas na forma de anexos; d) poltica ou diretrizes que especifiquem o uso aceitvel dos recursos eletrnicos de comunicao (ver 7.1.3); e) procedimentos para o uso de comunicao sem fio (wireless), levando em conta os riscos particulares envolvidos; f) as responsabilidades de funcionrios, fornecedores e quaisquer outros usurios no devem comprometer a organizao atravs de, por exemplo, difamao, assdio, falsa identidade, retransmisso de "correntes", compras no autorizadas etc.;
g) uso de tcnicas de criptografia para, por exemplo, proteger a confidencialidade, a integridade e a autenticidade das informaes (ver 12.3); h) diretrizes de reteno e descarte para toda a correspondncia de negcios, incluindo mensagens, de acordo com regulamentaes e legislao locais e nacionais relevantes; i) j) no deixar informaes crticas ou sensveis em equipamentos de impresso, tais como copiadoras, impressoras e aparelhos de fax, de tal forma que pessoas no autorizadas tenham acesso a elas; controles e restries associados retransmisso em recursos de comunicao como, por exemplo, a retransmisso automtica de correios eletrnicos para endereos externos;
53
Cpia no autorizada
k) lembrar s pessoas que elas devem tomar precaues adequadas como, por exemplo, no revelar informaes sensveis, para evitar que sejam escutadas ou interceptadas durante uma ligao telefnica por: 1) 2) 3) pessoas em sua vizinhana, especialmente quando estiver usando telefone celular; grampo telefnico e outras formas de escuta clandestina atravs do acesso fsico ao aparelho telefnico ou linha, ou, ainda, pelo uso de rastreadores; pessoas ao lado do interlocutor;
l) no deixar mensagens contendo informaes sensveis em secretrias eletrnicas, uma vez que as mensagens podem ser reproduzidas por pessoas no autorizadas, gravadas em sistemas pblicos ou gravadas indevidamente por erro de discagem; m) lembrar as pessoas sobre os problemas do uso de aparelhos de fax, tais como: 1) 2) 3) acesso no autorizado a dispositivos para recuperao de mensagens; programao de aparelhos, deliberada ou acidental, para enviar mensagens para nmeros especficos determinados; envio de documentos e mensagens para nmero errado, seja por falha na discagem ou uso de nmero armazenado errado;
n) lembrar as pessoas para que evitem o armazenamento de dados pessoais, como endereos de correios eletrnicos ou informaes adicionais particulares, em qualquer software, impedindo que sejam capturados para uso no autorizado; o) lembrar as pessoas sobre a existncia de aparelhos de fax e copiadoras que tm dispositivos de armazenamento temporrio de pginas para o caso de falha no papel ou na transmisso, as quais sero impressas aps a correo da falha. Adicionalmente, convm que as pessoas sejam lembradas de que no devem manter conversas confidenciais em locais pblicos, escritrios abertos ou locais de reunio que no disponham de paredes prova de som. Convm que os recursos utilizados para a troca de informaes estejam de acordo com os requisitos legais pertinentes (ver seo 15). Informaes adicionais A troca de informaes pode ocorrer atravs do uso de vrios tipos diferentes de recursos de comunicao, incluindo correios eletrnicos, voz, fax e vdeo. A troca de softwares pode ocorrer de diferentes formas, incluindo a baixa (download) da internet ou a aquisio junto a fornecedores que vendem produtos em srie. Convm que sejam consideradas as possveis implicaes nos negcios, nos aspectos legais e na segurana, relacionadas com a troca eletrnica de dados, com o comrcio eletrnico, comunicao eletrnica e com os requisitos para controles. As informaes podem ser comprometidas devido falta de conscientizao, de polticas ou de procedimentos no uso de recursos de troca de informaes, como, por exemplo, a escuta de conversas ao telefone celular em locais pblicos, erro de endereamento de mensagens de correio eletrnico, escuta no autorizada de mensagens gravadas em secretrias eletrnicas, acesso no autorizado a sistemas de correio de voz ou o envio acidental de faxes para aparelhos errados.
54
Cpia no autorizada
As operaes do negcio podem ser prejudicadas e as informaes podem ser comprometidas se os recursos de comunicao falharem, forem sobrecarregados ou interrompidos (ver 10.3 e seo 14). As informaes podem ser comprometidas se acessadas por usurios no autorizados (ver seo 11). 10.8.2 Acordos para a troca de informaes Controle Convm que sejam estabelecidos acordos para a troca de informaes e softwares entre a organizao e entidades externas. Diretrizes para implementao Convm que os acordos de troca de informaes considerem as seguintes condies de segurana da informao: a) responsabilidades do gestor pelo controle e notificao de transmisses, expedies e recepes; b) procedimentos para notificar o emissor da transmisso, expedio e recepo; c) procedimentos para assegurar a rastreabilidade dos eventos e o no-repdio; d) padres tcnicos mnimos para embalagem e transmisso; e) acordos para procedimentos de custdia; f) normas para identificao de portadores;
g) responsabilidades e obrigaes na ocorrncia de incidentes de segurana da informao, como perda de dados; h) utilizao de um sistema acordado de identificao para informaes crticas e sensveis, garantindo que o significado dos rtulos seja imediatamente entendido e que a informao esteja devidamente protegida; i) j) propriedade e responsabilidades sobre a proteo dos dados, direitos de propriedade, conformidade com as licenas dos softwares e consideraes afins (ver 15.1.2 e 15.1.4); normas tcnicas para a gravao e leitura de informaes e softwares;
k) quaisquer controles especiais que possam ser necessrios para proteo de itens sensveis, tais como chaves criptogrficas (ver 12.3). Convm que polticas, procedimentos e normas para proteger as informaes e as mdias em trnsito (ver tambm 10.8.3) sejam estabelecidos e mantidos, alm de serem referenciados nos mencionados acordos para a troca de informaes. Convm que os aspectos de segurana contidos nos acordos reflitam a sensibilidade das informaes envolvidas no negcio. Informaes adicionais Os acordos podem ser eletrnicos ou manuais, e podem estar no formato de contratos formais ou condies de contratao. Para informaes sensveis, convm que os mecanismos especficos usados para a troca de tais informaes sejam consistentes com todas as organizaes e tipos de acordos.
55
Cpia no autorizada
10.8.3 Mdias em trnsito Controle Convm que mdias contendo informaes sejam protegidas contra acesso no autorizado, uso imprprio ou alterao indevida durante o transporte externo aos limites fsicos da organizao. Diretrizes para implementao Convm que as seguintes recomendaes sejam consideradas, para proteger as mdias que so transportadas entre localidades: a) meio de transporte ou o servio de mensageiros sejam confiveis; b) seja definida uma relao de portadores autorizados em concordncia com o gestor; c) sejam estabelecidos procedimentos para a verificao da identificao dos transportadores; d) a embalagem seja suficiente para proteger o contedo contra qualquer dano fsico, como os que podem ocorrer durante o transporte, e que seja feita de acordo com as especificaes dos fabricantes (como no caso de softwares), por exemplo, protegendo contra fatores ambientais que possam reduzir a possibilidade de restaurao dos dados como a exposio ao calor, umidade ou campos eletromagnticos; e) sejam adotados controles, onde necessrio, para proteger informaes sensveis contra divulgao no autorizada ou modificao; como exemplo, pode-se incluir o seguinte: 1) utilizao de recipientes lacrados; 2) entrega em mos; 3) lacre explcito de pacotes (que revele qualquer tentativa de acesso); 4) em casos excepcionais, diviso do contedo em mais de uma remessa e expedio por rotas distintas. Informaes adicionais As informaes podem estar vulnerveis a acesso no autorizado, uso imprprio ou alterao indevida durante o transporte fsico, por exemplo quando a mdia enviada por via postal ou sistema de mensageiros. 10.8.4 Mensagens eletrnicas Controle Convm que as informaes que trafegam em mensagens eletrnicas sejam adequadamente protegidas. Diretrizes para implementao Convm que as consideraes de segurana da informao sobre as mensagens eletrnicas incluam o seguinte: a) proteo das mensagens contra acesso no autorizado, modificao ou negao de servio; b) assegurar que o endereamento e o transporte da mensagem estejam corretos; c) confiabilidade e disponibilidade geral do servio; d) aspectos legais, como, por exemplo, requisitos de assinaturas eletrnicas; e) aprovao prvia para o uso de servios pblicos externos, tais como sistemas de mensagens instantneas e compartilhamento de arquivos;
56
Cpia no autorizada
f)
nveis mais altos de autenticao para controlar o acesso a partir de redes pblicas.
Informaes adicionais Mensagens eletrnicas como correio eletrnico, Eletronic Data Interchange (EDI) e sistemas de mensagens instantneas cumprem um papel cada vez mais importante nas comunicaes do negcio. A mensagem eletrnica tem riscos diferentes, se comparada com a comunicao em documentos impressos. 10.8.5 Sistemas de informaes do negcio Controle Convm que polticas e procedimentos sejam desenvolvidos e implementados para proteger as informaes associadas com a interconexo de sistemas de informaes do negcio. Diretrizes para implementao Convm que as consideraes sobre segurana da informao e implicaes no negcio das interconexes de sistemas incluam o seguinte: a) vulnerabilidades conhecidas nos sistemas administrativos e contbeis onde as informaes so compartilhadas com diferentes reas da organizao; b) vulnerabilidades da informao nos sistemas de comunicao do negcio, como, por exemplo, gravao de chamadas telefnicas ou teleconferncias, confidencialidade das chamadas, armazenamento de faxes, abertura de correio e distribuio de correspondncia; c) poltica e controles apropriados para gerenciar o compartilhamento de informaes; d) excluso de categorias de informaes sensveis e documentos confidenciais, caso o sistema no fornea o nvel de proteo apropriado (ver 7.2); e) restrio do acesso a informaes de trabalho relacionado com indivduos especficos, como, por exemplo, um grupo que trabalha com projetos sensveis; f) categorias de pessoas, fornecedores ou parceiros nos negcios autorizados a usar o sistema e as localidades a partir das quais pode-se obter acesso ao sistema (ver 6.2 e 6.3);
g) restrio aos recursos selecionados para categorias especficas de usurios; h) identificao da condio do usurio, como, por exemplo,funcionrios da organizao ou fornecedores na lista de catlogo de usurios em benefcio de outros usurios; i) j) reteno e cpias de segurana das informaes mantidas no sistema (ver 10.5.1); requisitos e procedimentos para recuperao e contingncia (ver seo 14).
Informaes adicionais Os sistemas de informao de escritrio representam uma oportunidade de rpida disseminao e compartilhamento de informaes do negcio atravs do uso de uma combinao de: documentos, computadores, dispositivos mveis, comunicao sem fio, correio, correio de voz, comunicao de voz em geral, multimdia, servios postais e aparelhos de fax.
57
Cpia no autorizada
10.9 Servios de comrcio eletrnico

Objetivo: Garantir a segurana de servios de comrcio eletrnico e sua utilizao segura. Convm que as implicaes de segurana da informao associadas com o uso de servios de comrcio eletrnico, incluindo transaes on-line e os requisitos de controle, sejam consideradas. Convm que a integridade e a disponibilidade da informao publicada eletronicamente por sistemas publicamente disponveis sejam tambm consideradas. 10.9.1 Comrcio eletrnico Controle Convm que as informaes envolvidas em comrcio eletrnico transitando sobre redes pblicas sejam protegidas de atividades fraudulentas, disputas contratuais e divulgao e modificaes no autorizadas. Diretrizes para implementao Convm que as consideraes de segurana da informao para comrcio eletrnico incluam os seguintes itens: a) nvel de confiana que cada parte requer na suposta identidade de outros, como, por exemplo, por meio de mecanismos de autenticao; b) processos de autorizao com quem pode determinar preos, emitir ou assinar documentos-chave de negociao; c) garantia de que parceiros comerciais esto completamente informados de suas autorizaes; d) determinar e atender requisitos de confidencialidade, integridade, evidncias de emisso e recebimento de documentos-chave, e a no-repudiao de contratos, como, por exemplo, os associados aos processos de licitaes e contrataes; e) nvel de confiana requerido na integridade das listas de preos anunciadas; f) a confidencialidade de quaisquer dados ou informaes sensveis;
g) a confidencialidade e integridade de quaisquer transaes de pedidos, informaes de pagamento, detalhes de endereo de entrega e confirmaes de recebimentos; h) grau de investigao apropriado para a verificao de informaes de pagamento fornecidas por um cliente; i) j) seleo das formas mais apropriadas de pagamento para proteo contra fraudes; nvel de proteo requerida para manter a confidencialidade e integridade das informaes de pedidos;
k) preveno contra perda ou duplicao de informao de transao; l) responsabilidades associados com quaisquer transaes fraudulentas;
m) requisitos de seguro. Muitas das consideraes acima podem ser endereadas pela aplicao de controles criptogrficos (ver 12.3), levando-se em conta a conformidade com os requisitos legais (ver 15.1, especialmente 15.1.6 para legislao sobre criptografia).
58
Cpia no autorizada
Convm que os procedimentos para comrcio eletrnico entre parceiros comerciais sejam apoiados por um acordo formal que comprometa ambas as partes aos termos da transao, incluindo detalhes de autorizao (ver b) acima). Outros acordos com fornecedores de servios de informao e redes de valor agregado podem ser necessrios. Convm que sistemas comerciais pblicos divulguem seus termos comerciais a seus clientes. Convm que sejam consideradas a capacidade de resilincia dos servidores utilizados para comrcio eletrnico contra ataques e as implicaes de segurana de qualquer interconexo que seja necessria na rede de telecomunicaes para a sua implementao (ver 11.4.6). Informaes adicionais Comrcio eletrnico vulnervel a inmeras ameaas de rede que podem resultar em atividades fraudulentas, disputas contratuais, e divulgao ou modificao de informao. Comrcio eletrnico pode utilizar mtodos seguros de autenticao, como, por exemplo, criptografia de chave pblica e assinaturas digitais (ver 12.3) para reduzir os riscos. Ainda, terceiros confiveis podem ser utilizados onde tais servios forem necessrios. 10.9.2 Transaes on-line Controle Convm que informaes envolvidas em transaes on-line sejam protegidas para prevenir transmisses incompletas, erros de roteamento, alteraes no autorizadas de mensagens, divulgao no autorizada, duplicao ou reapresentao de mensagem no autorizada. Diretrizes para implementao Convm que as consideraes de segurana para transaes on-line incluam os seguintes itens: a) uso de assinaturas eletrnicas para cada uma das partes envolvidas na transao; b) todos os aspectos da transao, ou seja, garantindo que: 1) credenciais de usurio para todas as partes so vlidas e verificadas; 2) a transao permanea confidencial; e 3) a privacidade de todas as partes envolvidas seja mantida; c) caminho de comunicao entre todas as partes envolvidas criptografado; d) protocolos usados para comunicaes entre todas as partes envolvidas seguro; e) garantir que o armazenamento dos detalhes da transao est localizado fora de qualquer ambiente publicamente acessvel, como por exemplo, numa plataforma de armazenamento na intranet da organizao, e no retida e exposta em um dispositivo de armazenamento diretamente acessvel pela internet; f) onde uma autoridade confivel utilizada (como, por exemplo, para propsitos de emisso e manuteno de assinaturas e/ou certificados digitais), segurana integrada a todo o processo de gerenciamento de certificados/assinaturas. Informaes adicionais A extenso dos controles adotados precisar ser proporcional ao nvel de risco associado a cada forma de transao on-line.
59
Cpia no autorizada
Transaes podem precisar estar de acordo com leis, regras e regulamentaes na jurisdio em que a transao gerada, processada, completa ou armazenada. Existem muitas formas de transaes que podem ser executadas de forma on-line, como, por exemplo, contratuais, financeiras etc. 10.9.3 Informaes publicamente disponveis Controle Convm que a integridade das informaes disponibilizadas em sistemas publicamente acessveis seja protegida para prevenir modificaes no autorizadas. Diretrizes para implementao Convm que aplicaes, dados e informaes adicionais que requeiram um alto nvel de integridade e que sejam disponibilizados em sistemas publicamente acessveis sejam protegidos por mecanismos apropriados, como, por exemplo, assinaturas digitais (ver 12.3). Convm que os sistemas acessveis publicamente sejam testados contra fragilidades e falhas antes da informao estar disponvel. Convm que haja um processo formal de aprovao antes que uma informao seja publicada. Adicionalmente, convm que todo dado de entrada fornecido por fontes externas ao sistema seja verificado e aprovado. Convm que sistemas de publicao eletrnica, especialmente os que permitem realimentao e entrada direta de informao, sejam cuidadosamente controlados, de forma que: a) informaes sejam obtidas em conformidade com qualquer legislao de proteo de dados (ver 15.1.4); b) informaes que sejam entradas e processadas por um sistema de publicao sejam processadas completa e corretamente em um tempo adequado; c) informaes sensveis sejam protegidas durante a coleta, processamento e armazenamento; d) acesso a sistemas de publicao no permita acesso no intencional a redes s quais tal sistema est conectado. Informaes adicionais Informaes em sistemas publicamente disponveis, como, por exemplo, informaes em servidores web acessveis por meio da internet, podem necessitar estar de acordo com leis, regras e regulamentaes na jurisdio em que o sistema est localizado, onde a transao est ocorrendo ou onde o proprietrio reside. Modificaes no autorizadas de informaes publicadas podem trazer prejuzos reputao da organizao que a publica.
10.10 Monitoramento
Objetivo: Detectar atividades no autorizadas de processamento da informao. Convm que os sistemas sejam monitorados e eventos de segurana da informao sejam registrados. Convm que registros (log) de operador e registros (log) de falhas sejam utilizados para assegurar que os problemas de sistemas de informao so identificados. Convm que as organizaes estejam de acordo com todos os requisitos legais relevantes aplicveis para suas atividades de registro e monitoramento. Convm que o monitoramento do sistema seja utilizado para checar a eficcia dos controles adotados e para verificar a conformidade com o modelo de poltica de acesso.
60
Cpia no autorizada
10.10.1
Registros de auditoria
Controle Convm que registros (log) de auditoria contendo atividades dos usurios, excees e outros eventos de segurana da informao sejam produzidos e mantidos por um perodo de tempo acordado para auxiliar em futuras investigaes e monitoramento de controle de acesso. Diretrizes para implementao Convm que os registros (log) de auditoria incluam, quando relevante: a) identificao dos usurios; b) datas, horrios e detalhes de eventos-chave, como, por exemplo, horrio de entrada (log-on) e sada (log-off) no sistema; c) identidade do terminal ou, quando possvel, a sua localizao; d) registros das tentativas de acesso ao sistema aceitas e rejeitadas; e) registros das tentativas de acesso a outros recursos e dados aceitos e rejeitados; f) alteraes na configurao do sistema;
g) uso de privilgios; h) uso de aplicaes e utilitrios do sistema; i) j) arquivos acessados e tipo de acesso; endereos e protocolos de rede;
k) alarmes provocados pelo sistema de controle de acesso; l) ativao e desativao dos sistemas de proteo, tais como sistemas de antivrus e sistemas de deteco de intrusos.
Informaes adicionais Os registros (log) de auditoria podem conter dados pessoais confidenciais e de intrusos. Convm que medidas apropriadas de proteo de privacidade sejam tomadas (ver 15.1.4). Quando possvel, convm que administradores de sistemas no tenham permisso de excluso ou desativao dos registros (log) de suas prprias atividades (ver 10.1.3). 10.10.2 Monitoramento do uso do sistema
Controle Convm que sejam estabelecidos procedimentos para o monitoramento do uso dos recursos de processamento da informao e os resultados das atividades de monitoramento sejam analisados criticamente, de forma regular.
61
Cpia no autorizada
Diretrizes para implementao Convm que o nvel de monitoramento requerido para os recursos individuais seja determinado atravs de uma anlise/avaliao de riscos. Convm que a organizao esteja de acordo com todos os requisitos legais relevantes, aplicveis para suas atividades de monitoramento. Convm que as seguintes reas sejam consideradas: a) acessos autorizados, incluindo detalhes do tipo: 1) 2) 3) 4) 5) b) o identificador do usurio (ID de usurio); a data e o horrio dos eventos-chave; tipo do evento; os arquivos acessados; os programas ou utilitrios utilizados;
todas as operaes privilegiadas, tais como: 1) 2) 3) uso de contas privilegiadas, por exemplo: supervisor, root, administrador; inicializao e finalizao do sistema; a conexo e a desconexo de dispositivos de entrada e sada;
c)
tentativas de acesso no autorizadas, tais como: 1) 2) 3) 4) aes de usurios com falhas ou rejeitados; aes envolvendo dados ou outros recursos com falhas ou rejeitadas; violao de polticas de acesso e notificaes para gateways de rede e firewalls; alertas dos sistemas proprietrios de deteco de intrusos;
d)
alertas e falhas do sistema, tais como: 1) 2) 3) 4) alertas ou mensagens do console; registro das excees do sistema; alarmes do gerenciamento da rede; alarmes disparados pelo sistema de controle de acesso;
e)
alteraes ou tentativas de alteraes nos controles e parmetros dos sistemas de segurana.
Convm que a freqncia da anlise crtica dos resultados das atividades de monitaramento dependa dos riscos envolvidos. Convm que os seguintes fatores de risco sejam considerados: a) criticidade dos processos de aplicao; b) valor, sensibilidade e criticidade da informao envolvida; c) experincia anterior com infiltraes e uso imprprio do sistema e da freqncia das vulnerabilidades sendo exploradas;
62
Cpia no autorizada
d) extenso da interconexo dos sistemas (particularmente com redes pblicas); e) desativao da gravao dos registros (logs). Informaes adicionais O uso de procedimentos de monitoramento necessrio para assegurar que os usurios esto executando somente as atividades que foram explicitamente autorizadas. A anlise crtica dos registros (log) envolve a compreenso das ameaas encontradas no sistema e a maneira pela qual isto pode acontecer. Exemplos de eventos que podem requerer uma maior investigao em casos de incidentes de segurana da informao so comentados em 13.1.1. 10.10.3 Proteo das informaes dos registros (log)
Controle Convm que os recursos e informaes de registros (log) sejam protegidos contra falsificao e acesso no autorizado. Diretrizes para implementao Convm que os controles implementados objetivem a proteo contra modificaes no autorizadas e problemas operacionais com os recursos dos registros (log), tais como: a) alteraes dos tipos de mensagens que so gravadas; b) arquivos de registros (log) sendo editados ou excludos; c) capacidade de armazenamento da mdia magntica do arquivo de registros (log) excedida, resultando em falhas no registro de eventos ou sobreposio do registro de evento anterior. Alguns registros (log) de auditoria podem ser guardados como parte da poltica de reteno de registros ou devido aos requisitos para a coleta e reteno de evidncia (ver 13.2.3). Informaes adicionais Registros (log) de sistema normalmente contm um grande volume de informaes e muitos dos quais no dizem respeito ao monitoramento da segurana. Para ajudar a identificar eventos significativos para propsito de monitoramento de segurana, convm que a cpia automtica dos tipos de mensagens para a execuo de consulta seja considerada e/ou o uso de sistemas utilitrios adequados ou ferramentas de auditoria para realizar a racionalizao e investigao do arquivo seja considerado. Registros (log) de sistema precisam ser protegidos, pois os dados podem ser modificados e excludos e suas ocorrncias podem causar falsa impresso de segurana. 10.10.4 Registros (log) de administrador e operador
Controle Convm que as atividades dos administradores e operadores do sistema sejam registradas. Diretrizes para implementao Convm que esses registros (log) incluam: a) a hora em que o evento ocorreu (sucesso ou falha); b) informaes sobre o evento (exemplo: arquivos manuseados) ou falha (exemplo: erros ocorridos e aes corretivas adotadas); c) que conta e que administrador ou operador estava envolvido;
63
Cpia no autorizada
d) que processos estavam envolvidos. Convm que os registros (log) de atividades dos operadores e administradores dos sistemas sejam analisados criticamente em intervalos regulares. Informaes adicionais Um sistema de deteco de intrusos gerenciado fora do controle dos administradores de rede e de sistemas pode ser utilizado para monitorar a conformidade das atividades dos administradores do sistema e da rede. 10.10.5 Registros (log) de falhas
Controle Convm que as falhas ocorridas sejam registradas e analisadas, e que sejam adotadas aes apropriadas. Diretrizes para implementao Convm que falhas informadas pelos usurios ou pelos programas de sistema relacionado a problemas com processamento da informao ou sistemas de comunicao sejam registradas. Convm que existam regras claras para o tratamento das falhas informadas, incluindo: a) anlise crtica dos registros (log) de falha para assegurar que as falhas foram satisfatoriamente resolvidas; b) anlise crtica das medidas corretivas para assegurar que os controles no foram comprometidos e que a ao tomada completamente autorizada. Convm que seja assegurada que a coleta dos registros de erros permitida, caso essa funo do sistema esteja disponvel. Informaes adicionais Registros de falhas e erros podem impactar o desempenho do sistema. Convm que cada tipo de registro a ser coletado seja permitido por pessoas competentes e que o nvel de registro requerido para cada sistema individual seja determinado por uma anlise/avaliao de riscos, levando em considerao a degradao do desempenho do sistema. 10.10.6 Sincronizao dos relgios
Controle Convm que os relgios de todos os sistemas de processamento da informao relevantes, dentro da organizao ou do domnio de segurana, sejam sincronizados de acordo com uma hora oficial. Diretrizes para implementao Onde um computador ou dispositivo de comunicao tiver a capacidade para operar um relgio (clock) de tempo real, convm que o relgio seja ajustado conforme o padro acordado, por exemplo o tempo coordenado universal (Coordinated Universal Time - UTC) ou um padro de tempo local. Como alguns relgios so conhecidos pela sua variao durante o tempo, convm que exista um procedimento que verifique esses tipos de inconsistncias e corrija qualquer variao significativa. A interpretao correta do formato data/hora importante para assegurar que o timestamp reflete a data/hora real. Convm que se levem em conta especificaes locais (por exemplo, horrio de vero). Informaes adicionais O estabelecimento correto dos relgios dos computadores importante para assegurar a exatido dos registros (log) de auditoria, que podem ser requeridos por investigaes ou como evidncias em casos legais ou disciplinares. Registros (log) de auditoria incorretos podem impedir tais investigaes e causar danos credibilidade das evidncias. Um relgio interno ligado ao relgio atmico nacional via transmisso de rdio pode ser utilizado como relgio principal para os sistemas de registros (logging). O protocolo de hora da rede pode ser utilizado para sincronizar todos os relgios dos servidores com o relgio principal.
64
Cpia no autorizada
11 Controle de acessos
11.1 Requisitos de negcio para controle de acesso
Objetivo: Controlar acesso informao. Convm que o acesso informao, recursos de processamento das informaes e processos de negcios sejam controlados com base nos requisitos de negcio e segurana da informao. Convm que as regras de controle de acesso levem em considerao as polticas para autorizao e disseminao da informao. 11.1.1 Poltica de controle de acesso Controle Convm que a poltica de controle de acesso seja estabelecida documentada e analisada criticamente, tomando-se como base os requisitos de acesso dos negcios e segurana da informao. Diretrizes para implementao Convm que as regras de controle de acesso e direitos para cada usurio ou grupos de usurios sejam expressas claramente na poltica de controle de acesso. Convm considerar os controles de acesso lgico e fsico (ver seo 9) de forma conjunta. Convm fornecer aos usurios e provedores de servios uma declarao ntida dos requisitos do negcio a serem atendidos pelos controles de acessos. Convm que a poltica leve em considerao os seguintes itens: a) requisitos de segurana de aplicaes de negcios individuais; b) identificao de todas as informaes relacionadas s aplicaes de negcios e os riscos a que as informaes esto expostas; c) poltica para disseminao e autorizao da informao, por exemplo, a necessidade de conhecer princpios e nveis de segurana e a classificao das informaes (ver 7.2); d) consistncia entre controle de acesso e polticas de classificao da informao em diferentes sistemas e redes; e) legislao pertinente e qualquer obrigao contratual relativa proteo de acesso para dados ou servios (ver 15.1); f) perfis de acesso de usurio-padro para trabalhos comuns na organizao;
g) administrao de direitos de acesso em um ambiente distribudo e conectado rede que reconhece todos os tipos de conexes disponveis; h) segregao de regras de controle de acesso, por exemplo, pedido de acesso, autorizao de acesso, administrao de acesso; i) j) requisitos para autorizao formal de pedidos de acesso (ver 11.2.1); requisitos para anlise crtica peridica de controles de acesso (ver 11.2.4);
k) remoo de direitos de acesso (ver 8.3.3).
65
Cpia no autorizada
Informaes adicionais Convm que sejam tomados cuidados na especificao de regras de controle de acesso quando se considerar o seguinte: a) diferenciar entre regras que devem ser obrigatrias e foradas, e diretrizes que so opcionais ou condicionais; b) estabelecer regra baseada na premissa Tudo proibido, a menos que expressamente permitido" em lugar da regra mais fraca "Tudo permitido, a menos que expressamente proibido"; c) mudanas em rtulos de informao (ver 7.2) que so iniciadas automaticamente atravs de recursos de processamento da informao e os que iniciaram pela ponderao de um usurio; d) mudanas em permisses de usurio que so iniciadas automaticamente pelo sistema de informao e aqueles iniciados por um administrador; e) regras que requerem aprovao especfica antes de um decreto ou lei e as que no necessitam. Convm que as regras para controle de acesso sejam apoiadas por procedimentos formais e responsabilidades claramente definidas (ver 6.1.3, 11.3, 10.4.1 e 11.6).
11.2 Gerenciamento de acesso do usurio

Objetivo: Assegurar acesso de usurio autorizado e prevenir acesso no autorizado a sistemas de informao. Convm que procedimentos formais sejam implementados para controlar a distribuio de direitos de acesso a sistemas de informao e servios. Convm que os procedimentos cubram todas as fases do ciclo de vida de acesso do usurio, da inscrio inicial como novos usurios at o cancelamento final do registro de usurios que j no requerem acesso a sistemas de informao e servios. Convm que ateno especial seja dada, onde apropriado, para a necessidade de controlar a distribuio de direitos de acesso privilegiado que permitem os usurios mudar controles de sistemas. 11.2.1 Registro de usurio Controle Convm que exista um procedimento formal de registro e cancelamento de usurio para garantir e revogar acessos em todos os sistemas de informao e servios. Diretrizes para implementao Convm que os procedimentos de controle de acesso para registro e cancelamento de usurios incluam: a) utilizar identificador de usurio (ID de usurio) nico para assegurar a responsabilidade de cada usurio por suas aes; convm que o uso de grupos de ID somente seja permitido onde existe a necessidade para o negcio ou por razes operacionais, e isso seja aprovado e documentado; b) verificar se o usurio tem autorizao do proprietrio do sistema para o uso do sistema de informao ou servio; aprovao separada para direitos de acesso do gestor tambm pode ser apropriada; c) verificar se o nvel de acesso concedido apropriado ao propsito do negcio (ver 11.1) e consistente com a poltica de segurana da organizao, por exemplo, no compromete a segregao de funo (ver 10.1.3); d) dar para os usurios uma declarao por escrito dos seus direitos de acesso;
66
Cpia no autorizada
e) requerer aos usurios a assinatura de uma declarao indicando que eles entendem as condies de acesso; f) assegurar aos provedores de servios que no sero dados acessos at que os procedimentos de autorizao tenham sido concludos;
g) manter um registro formal de todas as pessoas registradas para usar o servio; h) remover imediatamente ou bloquear direitos de acesso de usurios que mudaram de cargos ou funes, ou deixaram a organizao; i) j) verificar periodicamente e remover ou bloquear identificadores (ID) e contas de usurio redundantes (ver 11.2.4); assegurar que identificadores de usurio (ID de usurio) redundantes no sejam atribudos para outros usurios.
Informaes adicionais Convm que seja considerado estabelecer perfis de acesso do usurio baseados nos requisitos dos negcios que resumam um nmero de direitos de acessos dentro de um perfil de acesso tpico de usurio. Solicitaes de acessos e anlises crticas (ver 11.2.4) so mais fceis de gerenciar ao nvel de tais perfis do que ao nvel de direitos particulares. Convm que seja considerada a incluso de clusulas nos contratos de usurios e de servios que especifiquem as sanes em caso de tentativa de acesso no autorizado pelos usurios ou por terceiros (ver 6.1.5, 8.1.3 e 8.2.3). 11.2.2 Gerenciamento de privilgios Controle Convm que a concesso e o uso de privilgios sejam restritos e controlados. Diretrizes para implementao Convm que os sistemas de multiusurios que necessitam de proteo contra acesso no autorizado tenham a concesso de privilgios controlada por um processo de autorizao formal. Convm que os seguintes passos sejam considerados: a) privilgio de acesso de cada produto de sistema, por exemplo, sistema operacional, sistemas de gerenciamento de banco de dados e cada aplicao, e de categorias de usurios para os quais estes necessitam ser concedido, seja identificado; b) os privilgios sejam concedidos a usurios conforme a necessidade de uso e com base em eventos alinhados com a poltica de controle de acesso (ver 11.1.1), por exemplo, requisitos mnimos para sua funo somente quando necessrio; c) um processo de autorizao e um registro de todos os privilgios concedidos sejam mantidos. Convm que os privilgios no sejam fornecidos at que todo o processo de autorizao esteja finalizado; d) desenvolvimento e uso de rotinas de sistemas sejam incentivados de forma a evitar a necessidade de fornecer privilgios aos usurios; e) desenvolvimento e uso de programas que no necessitam funcionar com privilgios sejam estimulados; f) os privilgios sejam atribudos para um identificador de usurio (ID de usurio) diferente daqueles usados normalmente para os negcios.
67
Cpia no autorizada
Informaes adicionais O uso inapropriado de privilgios de administrador de sistemas (qualquer caracterstica ou recursos de sistemas de informao que habilitam usurios a exceder o controle de sistemas ou aplicaes) pode ser um grande fator de contribuio para falhas ou violaes de sistemas. 11.2.3 Gerenciamento de senha do usurio Controle Convm que a concesso de senhas seja controlada atravs de um processo de gerenciamento formal. Diretrizes para implementao Convm que o processo considere os seguintes requisitos: a) solicitar aos usurios a assinatura de uma declarao, para manter a confidencialidade de sua senha pessoal e das senhas de grupos de trabalho, exclusivamente com os membros do grupo; esta declarao assinada pode ser includa nos termos e condies da contratao (ver 8.1.3); b) garantir, onde os usurios necessitam manter suas prprias senhas, que sejam fornecidas inicialmente senhas seguras e temporrias (ver 11.3.1), o que obriga o usurio a alter-la imediatamente; c) estabelecer procedimentos para verificar a identidade de um usurio antes de fornecer uma senha temporria, de substituio ou nova; d) fornecer senhas temporrias aos usurios de maneira segura; convm que o uso de mensagens de correio eletrnico de terceiros ou desprotegido (texto claro) seja evitado; e) senhas temporrias sejam nicas para uma pessoa e no sejam de fcil memorizao; f) usurios acusem o recebimento de senhas;
g) as senhas nunca sejam armazenadas nos sistemas de um computador de forma desprotegida; h) as senhas padro sejam alteradas logo aps a instalao de sistemas ou software. Informaes adicionais Senhas so um meio comum de verificar a identidade de um usurio antes que acessos sejam concedidos a um sistema de informao ou servio de acordo com a autorizao do usurio. Outras tecnologias para identificao de usurio e autenticao, como biomtrica, por exemplo, verificao de digitais, verificao de assinatura, e uso de tokens, por exemplo, e cartes inteligentes, esto disponveis, e convm que sejam consideradas, se apropriado. 11.2.4 Anlise crtica dos direitos de acesso de usurio Controle Convm que o gestor conduza a intervalos regulares a anlise crtica dos direitos de acesso dos usurios, por meio de um processo formal. Diretrizes para implementao Convm que a anlise crtica dos direitos de acesso considere as seguintes orientaes: a) os direitos de acesso de usurios sejam revisados em intervalos regulares, por exemplo, um perodo de seis meses e depois de qualquer mudana, como promoo, rebaixamento ou encerramento do contrato (ver 11.2.1); b) os direitos de acesso de usurios sejam analisados criticamente e realocados quando movidos de um tipo de atividade para outra na mesma organizao;
68
Cpia no autorizada
c) autorizaes para direitos de acesso privilegiado especial (ver 11.2.2) sejam analisadas criticamente em intervalos mais freqentes, por exemplo, em um perodo de trs meses; d) as alocaes de privilgios sejam verificadas em intervalo de tempo regular para garantir que privilgios no autorizados no foram obtidos; e) as modificaes para contas de privilgios sejam registradas para anlise crtica peridica. Informaes adicionais necessrio analisar criticamente, a intervalos regulares, os direitos de acesso de usurios para manter o controle efetivo sobre os acessos de dados e servios de informao.
11.3 Responsabilidades dos usurios

Objetivo: Prevenir o acesso no autorizado dos usurios e evitar o comprometimento ou roubo da informao e dos recursos de processamento da informao. A cooperao de usurios autorizados essencial para uma efetiva segurana. Convm que os usurios estejam conscientes de suas responsabilidades para manter efetivo controle de acesso, particularmente em relao ao uso de senhas e de segurana dos equipamentos de usurios. Convm que uma poltica de mesa e tela limpa seja implementada para reduzir o risco de acessos no autorizados ou danos a documentos/papis, mdias e recursos de processamento da informao. 11.3.1 Uso de senhas Controle Convm que os usurios sejam solicitados a seguir as boas prticas de segurana da informao na seleo e uso de senhas. Diretrizes para implementao Convm que todos os usurios sejam informados para: a) manter a confidencialidade das senhas; b) evitar manter anotadas senhas (por exemplo, papel, arquivos ou dispositivos mveis), a menos que elas possam ser armazenadas de forma segura e o mtodo de armazenamento esteja aprovado; c) alterar senha sempre que existir qualquer indicao de possvel comprometimento do sistema ou da prpria senha; d) selecionar senhas de qualidade com um tamanho mnimo que sejam: 1) fceis de lembrar; 2) no baseadas em nada que algum facilmente possa adivinhar ou obter usando informaes relativas pessoa, por exemplo, nomes, nmeros de telefone e datas de aniversrio; 3) no vulnerveis a ataque de dicionrio (por exemplo, no consistir em palavras inclusas no dicionrio); 4) isentas de caracteres idnticos consecutivos, todos numricos ou todos alfabticos sucessivos; e) modificar senhas regularmente ou com base no nmero de acessos (convm que senhas de acesso a contas privilegiadas sejam modificadas mais freqentemente que senhas normais) e evitar a reutilizao ou reutilizao do ciclo de senhas antigas;
69
Cpia no autorizada
f) g) h) i)
modificar senhas temporrias no primeiro acesso ao sistema; no incluir senhas em nenhum processo automtico de acesso ao sistema, por exemplo, armazenadas em um macro ou funes-chave; no compartilhar senhas de usurios individuais; no utilizar a mesma senha para uso com finalidades profissionais e pessoais.
Se os usurios necessitam acessar mltiplos servios, sistemas ou plataformas, e forem requeridos para manter separadamente mltiplas senhas, convm que eles sejam alertados para usar uma nica senha de qualidade (ver d) acima) para todos os servios, j que o usurio estar assegurado de que um razovel nvel de proteo foi estabelecido para o armazenamento da senha em cada servio, sistema ou plataforma. Informaes adicionais A gesto do sistema de help desk que trata de senhas perdidas ou esquecidas necessita de cuidado especial, pois este caminho pode ser tambm um dos meios de ataque ao sistema de senha. 11.3.2 Equipamento de usurio sem monitorao Controle Convm que os usurios assegurem que os equipamentos no monitorados tenham proteo adequada. Diretrizes para implementao Convm que todos os usurios estejam cientes dos requisitos de segurana da informao e procedimentos para proteger equipamentos desacompanhados, assim como suas responsabilidades por implementar estas protees. Convm que os usurios sejam informados para: a) encerrar as sesses ativas,a menos que elas possam ser protegidas por meio de um mecanismo de bloqueio, por exemplo tela de proteo com senha; b) efetuar a desconexo com o computador de grande porte, servidores e computadores pessoais do escritrio, quando a sesso for finalizada (por exemplo: no apenas desligar a tela do computador ou o terminal); c) proteger os microcomputadores ou terminais contra uso no autorizado atravs de tecla de bloqueio ou outro controle equivalente, por exemplo, senha de acesso, quando no estiver em uso (ver 11.3.3). Informaes adicionais Equipamentos instalados em reas de usurios, por exemplo, estaes de trabalho ou servidores de arquivos, podem requerer proteo especial contra acesso no autorizado, quando deixados sem monitorao por um perodo extenso. 11.3.3 Poltica de mesa limpa e tela limpa Controle Convm que seja adotada uma poltica de mesa limpa de papis e mdias de armazenamento removvel e poltica de tela limpa para os recursos de processamento da informao. Diretrizes para implementao Convm que uma poltica de mesa limpa e tela limpa leve em considerao a classificao da informao (ver 7.2), requisitos contratuais e legais (ver 15.1), e o risco correspondente e aspectos culturais da organizao. Convm que as seguintes diretrizes sejam consideradas: a) informaes do negcio sensveis ou crticas, por exemplo, em papel ou em mdia de armazenamento eletrnicas, sejam guardadas em lugar seguro (idealmente em um cofre, armrio ou outras formas de moblia de segurana) quando no em uso, especialmente quando o escritrio est desocupado;
70
Cpia no autorizada
b) computadores e terminais sejam mantidos desligados ou protegidos com mecanismo de travamento de tela e teclados controlados por senha, token ou mecanismo de autenticao similar quando sem monitorao e protegidos por tecla de bloqueio, senhas ou outros controles, quando no usados; c) pontos de entrada e sada de correspondncias e mquinas de fac-smile sem monitorao sejam protegidos; d) sejam evitados o uso no autorizado de fotocopiadoras e outra tecnologia de reproduo (por exemplo, scanners, mquinas fotogrficas digitais); e) documentos que contm informao sensvel ou classificada sejam removidos de impressoras imediatamente. Informaes adicionais Uma poltica de mesa limpa e tela limpa reduz o risco de acesso no autorizado, perda e dano da informao durante e fora do horrio normal de trabalho. Cofres e outras formas de instalaes de armazenamento seguro tambm podem proteger informaes armazenadas contra desastres como incndio, terremotos, enchentes ou exploso. Considerar o uso de impressoras com funo de cdigo PIN, permitindo desta forma que os requerentes sejam os nicos que possam pegar suas impresses, e apenas quando estiverem prximos s impressoras.
11.4 Controle de acesso rede

Objetivo: Prevenir acesso no autorizado aos servios de rede. Convm que o acesso aos servios de rede internos e externos seja controlado. Convm que os usurios com acesso s redes e aos servios de rede no comprometam a segurana desses servios, assegurando: a) uso de interfaces apropriadas entre a rede da organizao e as redes de outras organizaes e redes pblicas; b) uso de mecanismos de autenticao apropriados para os usurios e equipamentos; c) reforo do controle de acesso de usurios aos servios de informao. 11.4.1 Poltica de uso dos servios de rede Controle Convm que usurios somente recebam acesso para os servios que tenham sido especificamente autorizados a usar. Diretrizes para implementao Convm que uma poltica seja formulada relativamente ao uso de redes e servios de rede. Convm que esta poltica cubra: a) redes e servios de redes que so permitidos de serem acessados; b) procedimentos de autorizao para determinar quem tem permisso para acessar em quais redes e servios de redes; c) gerenciamento dos controles e procedimentos para proteger acesso a conexes e servios de redes;
71
Cpia no autorizada
d) os meios usados para acessar redes e servios de rede (por exemplo, as condies por permitir acesso discado para acessar o provedor de servio internet ou sistema remoto). Convm que a poltica no uso de servios de rede seja consistente com a poltica de controle de acesso do negcio (ver 11.1). Informaes adicionais Conexes sem autorizao e inseguras nos servios de rede podem afetar toda organizao. Este controle particularmente importante para conexes de redes sensveis ou aplicaes de negcios crticos ou para usurios em locais de alto risco, por exemplo, reas pblicas ou externas que esto fora da administrao e controle da segurana da organizao. 11.4.2 Autenticao para conexo externa do usurio Controle Convm que mtodos apropriados de autenticaes sejam usados para controlar acesso de usurios remotos. Diretrizes para implementao A autenticao de usurios remotos pode ser alcanada usando, por exemplo, tcnica baseada em criptografia, hardware tokens ou um protocolo de desafio/resposta. Podem ser achadas possveis implementaes de tais tcnicas em vrias solues de redes privadas virtuais (VPN). Tambm podem ser usadas linhas privadas dedicadas para prover garantia da origem de conexes. Os procedimentos e controles de discagem reversa (dial-back), por exemplo, usando modens com discagem reversa, podem prover proteo contra conexes no autorizadas e no desejadas nos recursos de processamento da informao de uma organizao. Este tipo de controle autentica usurios que tentam estabelecer conexes com a rede de uma organizaes de localidades remotas. Ao usar este controle, convm que uma organizao no use servios de rede que incluem transferncia de chamadas (forward) ou, se eles fizerem, convm que seja desabilitado o uso de tais facilidades para evitar exposio a fragilidades associadas ao call forward. Convm que o processo de discagem reversa assegure que uma desconexo atual no lado da organizao acontea. Caso contrrio, o usurio remoto poderia reter aberta a linha simulando que a verificao do retorno da chamada (call back) ocorreu. Convm que os procedimentos e controles da discagem reversa sejam testados completamente para esta possibilidade. Autenticao de um n pode servir como meio alternativo de autenticar grupos de usurios remotos onde eles so conectados a recursos de computador seguros e compartilhados. Tcnicas criptogrficas, por exemplo, com base em certificados de mquina, podem ser usadas para autenticao de n. Isto parte de vrias solues baseado em VPN. Convm que seja implementado controle de autenticao adicional para controlar acesso a redes sem fios. Em particular, cuidado especial necessrio na seleo de controles para redes sem fios devido s numerosas oportunidades de no deteco de interceptao e insero de trfico de rede. Informaes adicionais As conexes externas proporcionam um potencial de acessos no autorizados para as informaes de negcio, por exemplo, acesso por mtodos discados (dial-up). Existem diferentes tipos de mtodos de autenticao, alguns deles proporcionam um maior nvel de proteo que outros, por exemplo, mtodos baseados em tcnicas de criptografia que podem proporcionar autenticao forte. importante determinar o nvel de proteo requerido a partir de uma anlise/avaliao de riscos. Isto necessrio para selecionar apropriadamente um mtodo de autenticao. Os recursos de conexo automtica para computadores remotos podem prover um caminho para ganhar acesso no autorizado nas aplicaes de negcio. Isto particularmente importante se a conexo usar uma rede que est fora do controle do gerenciamento de segurana da informao da organizao.
72
Cpia no autorizada
11.4.3 Identificao de equipamento em redes Controle Convm que sejam consideradas as identificaes automticas de equipamentos como um meio de autenticar conexes vindas de localizaes e equipamentos especficos. Diretrizes para implementao Uma identificao de equipamentos pode ser usada se for importante que a comunicao possa somente ser iniciada de um local ou equipamento especfico. Um identificador no equipamento pode ser usado para indicar se este equipamento possui permisso para conectar-se rede. Convm que estes identificadores indiquem claramente para qual rede o equipamento possui permisso para conectar-se, se existe mais de uma rede e particularmente se estas redes so de sensibilidade diferente. Pode ser necessrio considerar proteo fsica do equipamento para manter a segurana do identificador do equipamento. Informaes adicionais Este controle pode ser complementado com outras tcnicas para autenticar o usurio do equipamento (ver 11.4.2). Pode ser aplicada identificao de equipamento adicionalmente autenticao de usurio. 11.4.4 Proteo e configurao de portas de diagnstico remotas Controle Convm que seja controlado o acesso fsico e lgico das portas de diagnstico e configurao. Diretrizes para implementao Os controles potenciais para o acesso s portas de diagnstico e configurao incluem o uso de uma tecla de bloqueio e procedimentos de suporte para controlar o acesso fsico s portas. Um exemplo para tal procedimento assegurar que as portas de diagnstico e configurao so apenas acessveis pela combinao do acesso requerido entre o gestor dos servios do computador e pelo pessoal de suporte do hardware/software. Convm que portas, servios e recursos similares instalados em um computador ou recurso de rede que no so especificamente requeridos para a funcionalidade do negcio sejam desabilitados ou removidos. Informaes adicionais Muitos sistemas de computadores, sistemas de rede e sistemas de comunicao so instalados com os recursos de diagnstico ou configurao remota para uso pelos engenheiros de manuteno. Se desprotegidas, estas portas de diagnstico proporcionam meios de acesso no autorizado. 11.4.5 Segregao de redes Controle Convm que grupos de servios de informao, usurios e sistemas de informao sejam segredados em redes. Diretrizes para implementao Um mtodo de controlar a segurana da informao em grandes redes dividir em diferentes domnios de redes lgicas, por exemplo, os domnios de redes internas de uma organizao e domnios externos de uma rede, cada um protegido por um permetro de segurana definido. Um conjunto de controles regulveis pode ser aplicado em domnios de redes lgicas diferentes para adicionar mais segurana aos ambientes de segurana de rede, por exemplo, sistemas publicamente acessveis, redes internas e ativos crticos. Convm que os domnios sejam definidos com base em uma anlise/avaliao de riscos e os requisitos de segurana diferentes dentro de cada um dos domnios.
73
Cpia no autorizada
Tal permetro de rede pode ser implementado instalando um gateway seguro entre as duas redes a serem interconectadas para controlar o acesso e o fluxo de informao entre os dois domnios. Convm que este gateway seja configurado para filtrar trfico entre estes domnios (ver 11.4.6 e 11.4.7) e bloquear acesso no autorizado conforme a poltica de controle de acesso da organizao (ver 11.1). Um exemplo deste tipo de gateway o que geralmente chamado de firewall. Outro mtodo de segregar domnios lgicos restringir acesso de rede usando redes privadas virtuais para grupos de usurio dentro da organizao. Podem tambm ser segregadas redes usando a funcionalidade de dispositivo de rede, por exemplo, IP switching. Os domnios separados podem ser implementados controlando os fluxos de dados de rede, usando as capacidades de routing/switching, do mesmo modo que listas de controle de acesso. Convm que critrios para segregao de redes em domnios estejam baseados na poltica de controle de acesso e requisitos de acesso (ver 10.1), e tambm levem em conta os custos relativos e impactos de desempenho em incorporar roteamento adequado rede ou tecnologia de gateway (ver 11.4.6 e 11.4.7). Alm disso, convm que segregao de redes esteja baseada no valor e classificao de informaes armazenadas ou processadas na rede, nveis de confiana ou linhas de negcio para reduzir o impacto total de uma interrupo de servio. Convm considerar segregao de redes sem fios de redes internas e privadas. Como os permetros de redes sem fios no so bem definidos, convm que uma anlise/avaliao de riscos seja realizada em tais casos para identificar os controles (por exemplo, autenticao forte, mtodos criptogrficos e seleo de freqncia) para manter segregao de rede. Informaes adicionais As redes esto sendo progressivamente estendidas alm dos limites organizacionais tradicionais, tendo em vista as parcerias de negcio que so formadas e que podem requerer a interconexo ou compartilhamento de processamento de informao e recursos de rede. Tais extenses podem aumentar o risco de acesso no autorizado a sistemas de informao existentes que usam a rede e alguns dos quais podem requerer proteo de outros usurios de rede devido a sensibilidade ou criticidade. 11.4.6 Controle de conexo de rede Controle Para redes compartilhadas, especialmente essas que se estendem pelos limites da organizao, convm que a capacidade dos usurios para conectar-se rede seja restrita, alinhada com a poltica de controle de acesso e os requisitos das aplicaes do negcio (ver 11.1). Diretrizes para implementao Convm que os direitos de acesso dos usurios a rede sejam mantidos e atualizados conforme requerido pela poltica de controle de acesso (ver 11.1.1). A capacidade de conexo de usurios pode ser restrita atravs dos gateways que filtram trfico por meio de tabelas ou regras predefinidas. Convm que sejam aplicadas restries nos seguintes exemplos de aplicaes: a) mensagens, por exemplo, correio eletrnico; b) transferncia de arquivo; c) acesso interativo; d) acesso aplicao. Convm que sejam considerados direitos de acesso entre redes para certo perodo do dia ou datas.
74
Cpia no autorizada
Informaes adicionais A incorporao de controles para restringir a capacidade de conexo dos usurios pode ser requerida pela poltica de controle de acesso para redes compartilhadas, especialmente aquelas que estendam os limites organizacionais. 11.4.7 Controle de roteamento de redes Controle Convm que seja implementado controle de roteamento na rede, para assegurar que as conexes de computador e fluxos de informao no violem a poltica de controle de acesso das aplicaes do negcio. Diretrizes para implementao Convm que os controles de roteamento sejam baseados no mecanismo de verificao positiva do endereo de origem e destinos. Os gateways de segurana podem ser usados para validar endereos de origem e destino nos pontos de controle de rede interna ou externa se o proxy e/ou a tecnologia de traduo de endereo forem empregados. Convm que os implementadores estejam conscientes da fora e deficincias de qualquer mecanismo implementado. Convm que os requisitos de controles de roteamento das redes sejam baseados na poltica de controle de acesso (ver 11.1). Informaes adicionais As redes compartilhadas, especialmente as que estendem os limites organizacionais, podem requerer controles adicionais de roteamento. Isto se aplica particularmente onde so compartilhadas redes com terceiros (usurios que no pertencem a organizao).
11.5 Controle de acesso ao sistema operacional

Objetivo: Prevenir acesso no autorizado aos sistemas operacionais. Convm que recursos de segurana da informao sejam usados para restringir o acesso aos sistemas operacionais para usurios autorizados. Convm que estes recursos permitam: a) autenticao de usurios autorizados, conforme a poltica de controle de acesso definida; b) registro das tentativas de autenticao no sistema com sucesso ou falha; c) registro do uso de privilgios especiais do sistema; d) disparo de alarmes quando as polticas de segurana do sistema so violadas; e) fornecer meios apropriados de autenticao; f) restrio do tempo de conexo dos usurios, quando apropriado.
11.5.1 Procedimentos seguros de entrada no sistema (log-on) Controle Convm que o acesso aos sistemas operacionais seja controlado por um procedimento seguro de entrada no sistema (log-on).
75
Cpia no autorizada
Diretrizes para implementao Convm que o procedimento para entrada no sistema operacional seja configurado para minimizar a oportunidade de acessos no autorizados. Convm que o procedimento de entrada (log-on) divulgue o mnimo de informaes sobre o sistema, de forma a evitar o fornecimento de informaes desnecessrias a um usurio no autorizado. Convm que um bom procedimento de entrada no sistema (log-on): a) no mostre identificadores de sistema ou de aplicao at que o processo tenha sido concludo com sucesso; b) mostre um aviso geral informando que o computador seja acessado somente por usurios autorizados; c) no fornea mensagens de ajuda durante o procedimento de entrada (log-on) que poderiam auxiliar um usurio no autorizado; d) valide informaes de entrada no sistema somente quando todos os dados de entrada estiverem completos. Caso ocorra uma condio de erro, convm que o sistema no indique qual parte do dado de entrada est correta ou incorreta; e) limite o nmero permitido de tentativas de entradas no sistema (log-on) sem sucesso, por exemplo, trs tentativas, e considere: 1) 2) 3) 4) 5) registro das tentativas com sucesso ou com falha; imposio do tempo de espera antes de permitir novas tentativas de entrada no sistema (log-on) ou rejeio de qualquer tentativa posterior de acesso sem autorizao especfica; encerramento das conexes por data link; envio de uma mensagem de alerta para o console do sistema, se o nmero mximo de tentativas de entrada no sistema (log-on) for alcanado; configurao do nmero de reutilizao de senhas alinhado com o tamanho mnimo da senha e o valor do sistema que est sendo protegido;
f) limite o tempo mximo e mnimo permitido para o procedimento de entrada no sistema (log-on). Se excedido, convm que o sistema encerre o procedimento; g) mostre as seguintes informaes, quando o procedimento de entrada no sistema (log-on) finalizar com sucesso: 1) 2) data e hora da ltima entrada no sistema (log-on) com sucesso; detalhes de qualquer tentativa sem sucesso de entrada no sistema (log-on) desde o ltimo acesso com sucesso;
h) no mostre a senha que est sendo informada ou considere ocultar os caracteres da senha por smbolos; i) no transmita senhas em texto claro pela rede. Informaes adicionais Se as senhas forem transmitidas em texto claro durante o procedimento de entrada no sistema (log-on) pela rede, elas podem ser capturadas por um programa de sniffer de rede, instalado nela.
76
Cpia no autorizada
11.5.2 Identificao e autenticao de usurio Controle Convm que todos os usurios tenham um identificador nico (ID de usurio) para uso pessoal e exclusivo, e convm que uma tcnica adequada de autenticao seja escolhida para validar a identidade alegada por um usurio. Diretrizes para implementao Convm que este controle seja aplicado para todos os tipos de usurios (incluindo o pessoal de suporte tcnico, operadores, administradores de rede, programadores de sistema e administradores de banco de dados). Convm que os identificadores de usurios (ID de usurios) possam ser utilizados para rastrear atividades ao indivduo responsvel. Convm que atividades regulares de usurios no sejam executadas atravs de contas privilegiadas. Em circunstncias excepcionais, onde exista um claro benefcio ao negcio, pode ocorrer a utilizao de um identificador de usurio (ID de usurio) compartilhado por um grupo de usurios ou para um trabalho especfico. Convm que a aprovao pelo gestor esteja documentada nestes casos. Controles adicionais podem ser necessrios para manter as responsabilidades. Convm que identificadores de usurios (ID de usurios) genricos para uso de um indivduo somente sejam permitidos onde as funes acessveis ou as aes executadas pelo usurio no precisam ser rastreadas (por exemplo, acesso somente leitura), ou quando existem outros controles implementados (por exemplo, senha para identificador de usurio genrico somente fornecida para um indivduo por vez e registrada). Convm que onde autenticao forte e verificao de identidade requerida, mtodos alternativos de autenticao de senhas, como meios criptogrficos, cartes inteligentes (smart card), tokens e meios biomtricos sejam utilizados. Informaes adicionais As senhas (ver 11.3.1 e 11.5.3) so uma maneira muito comum de se prover identificao e autenticao com base em um segredo que apenas o usurio conhece. O mesmo pode ser obtido com meios criptogrficos e protocolos de autenticao. Convm que a fora da identificao e autenticao de usurio seja adequada com a sensibilidade da informao a ser acessada. Objetos como tokens de memria ou cartes inteligentes (smart card) que os usurios possuem tambm podem ser usados para identificao e autenticao. As tecnologias de autenticao biomtrica que usam caractersticas ou atributos nicos de um indivduo tambm podem ser usadas para autenticar a identidade de uma pessoa. Uma combinao de tecnologias e mecanismos seguramente relacionados resultar em uma autenticao forte. 11.5.3 Sistema de gerenciamento de senha Controle Convm que sistemas para gerenciamento de senhas sejam interativos e assegurem senhas de qualidade. Diretrizes para implementao Convm que o sistema de gerenciamento de senha: a) obrigue o uso de identificador de usurio (ID de usurio) e senha individual para manter responsabilidades; b) permita que os usurios selecionem e modifiquem suas prprias senhas, incluindo um procedimento de confirmao para evitar erros; c) obrigue a escolha de senhas de qualidade (ver 11.3.1);
77
Cpia no autorizada
d) obrigue a troca de senhas (ver 11.3.1); e) obrigue os usurios a trocar a senha temporria no primeiro acesso (ver 11.2.3); f) mantenha um registro das senhas anteriores utilizadas e bloqueie a reutilizao;
g) no mostre as senhas na tela quando forem digitadas; h) armazene os arquivos de senha separadamente dos dados do sistema da aplicao; i) armazene e transmita as senhas de forma protegida (por exemplo, criptografada ou hashed).
Informaes adicionais A senha um dos principais meios de validar a autoridade de um usurio para acessar um servio de computador. Algumas aplicaes requerem que senhas de usurio sejam atribudas por uma autoridade independente. Em alguns casos, as alneas b), d) e e) das diretrizes acima no se aplicam. Na maioria dos casos, as senhas so selecionadas e mantidas pelos usurios. Ver 11.3.1 para diretrizes do uso de senhas. 11.5.4 Uso de utilitrios de sistema Controle Convm que o uso de programas utilitrios que podem ser capazes de sobrepor os controles dos sistemas e aplicaes seja restrito e estritamente controlado. Diretrizes para implementao Convm que as seguintes diretrizes para o uso de utilitrios de sistema sejam consideradas: a) uso de procedimentos de identificao, autenticao e autorizao para utilitrios de sistema; b) segregao dos utilitrios de sistema dos softwares de aplicao; c) limitao do uso dos utilitrios de sistema a um nmero mnimo de usurios confiveis e autorizados (ver 11.2.2); d) autorizao para uso de utilitrios de sistema no previstos; e) limitao da disponibilidade dos utilitrios de sistema, por exemplo para a durao de uma modificao autorizada; f) registro de todo o uso de utilitrios de sistemas;
g) definio e documentao dos nveis de autorizao para os utilitrios de sistema; h) remoo ou desabilitao de todos os softwares utilitrios e de sistema desnecessrios; i) no deixar utilitrios de sistema disponveis para usurios que tm acesso s aplicaes nos sistemas onde segregao de funes requerida.
Informaes adicionais A maioria das instalaes de computadores tem um ou mais programas utilitrios de sistema que podem ser capazes de sobrepor os controles dos sistemas e aplicaes.
78
Cpia no autorizada
11.5.5 Desconexo de terminal por inatividade Controle Convm que terminais inativos sejam desconectados aps um perodo definido de inatividade. Diretrizes para implementao Convm que esta facilidade de desconexo por tempo preveja a limpeza da tela do terminal e o encerramento das sees do aplicativo e da rede aps um perodo definido de inatividade. Convm que o prazo de tempo para a desconexo reflita os riscos de segurana da rea, a classificao da informao que est sendo manuseada, as aplicaes que esto sendo utilizadas e os riscos relacionados para os usurios do terminal do equipamento. Uma forma limitada para o recurso de desconexo de terminal pode ser provida por alguns sistemas, os quais limpam a tela e previnem acesso no autorizado, mas no fecham as sees das aplicaes ou da rede. Informaes adicionais Este controle particularmente importante em locais de alto risco, os quais incluem reas pblicas ou externas fora dos limites do gerenciamento de segurana da organizao. Convm que estas sees sejam desligadas para prevenir o acesso por pessoas no autorizadas e ataques de negao de servio. 11.5.6 Limitao de horrio de conexo Controle Convm que restries nos horrios de conexo sejam utilizadas para proporcionar segurana adicional para aplicaes de alto risco. Diretrizes para implementao Convm que controles de horrio de conexo sejam considerados para aplicaes computacionais sensveis, especialmente aquelas com terminais instalados em locais de alto risco, por exemplo em reas pblicas ou externas fora dos limites do gerenciamento de segurana da organizao. Exemplos deste tipo de restrio incluem: a) utilizao de blocos de horrios predeterminados, por exemplo para lotes de transmisso de arquivos ou sees regulares interativas de curta durao; b) restrio dos horrios de conexo s horas normais de expediente se no houver necessidades para horas extras ou trabalhos fora do horrio normal; c) considerar a reautenticao em intervalos de tempo. Informaes adicionais Limitar o perodo durante o qual as conexes de terminal para os servios computadorizados so permitidas reduz a janela de oportunidade para acessos no autorizados. Limitar a durao de sees ativas inibe os usurios a manter sees abertas, para evitar reautenticao.
79
Cpia no autorizada
11.6 Controle de acesso aplicao e informao

Objetivo: Prevenir acesso no autorizado informao contida nos sistemas de aplicao. Convm que os recursos de segurana da informao sejam utilizados para restringir o acesso aos sistemas de aplicao. Convm que o acesso lgico aplicao e informao seja restrito a usurios autorizados. Convm que os sistemas de aplicao: a) controlem o acesso dos usurios informao e s funes dos sistemas de aplicao, de acordo com uma poltica de controle de acesso definida; b) proporcionem proteo contra acesso no autorizado para qualquer software utilitrio, sistema operacional e software malicioso que seja capaz de sobrepor ou contornar os controles da aplicao ou do sistema; c) no comprometam outros sistemas com os quais os recursos de informao so compartilhados. 11.6.1 Restrio de acesso informao Controle Convm que o acesso informao e s funes dos sistemas de aplicaes por usurios e pessoal de suporte seja restrito de acordo com o definido na poltica de controle de acesso. Diretrizes para implementao Convm que restries para acesso sejam baseadas nos requisitos das aplicaes individuais do negcio. Convm que a poltica de controle de acesso seja consistente com a poltica de acesso organizacional (ver 11.1). Convm que a aplicao dos seguintes controles seja considerada de forma a suportar os requisitos de restrio de acesso: a) fornecer menus para controlar o acesso s funes dos sistemas de aplicao; b) controlar os direitos de acesso dos usurios, por exemplo, ler, escrever, excluir e executar; c) controlar os direitos de acesso de outras aplicaes; d) assegurar que as sadas dos sistemas de aplicao que tratam informaes sensveis contenham apenas a informao relevante ao uso de tais sadas e so enviadas apenas para os terminais e locais autorizados; convm incluir uma anlise crtica peridica de tais sadas, para assegurar que informao desnecessria removida. 11.6.2 Isolamento de sistemas sensveis
Controle Convm que sistemas sensveis tenham um ambiente computacional dedicado (isolado). Diretrizes para implementao Convm que os seguintes pontos sejam considerados para o isolamento de um sistema sensvel: a) a sensibilidade de um sistema de aplicao seja explicitamente identificada e documentada pelo proprietrio da aplicao (ver 7.1.2);
80
Cpia no autorizada
b) quando uma aplicao sensvel executada em um ambiente compartilhado, convm que se identifiquem os sistemas de aplicao com os quais ela compartilhar recursos e os correspondentes riscos, e que se obtenha a concordncia do proprietrio da aplicao sensvel. Informaes adicionais Alguns sistemas de aplicao so suficientemente sensveis a perdas potenciais, requerendo tratamento especial. A sensibilidade pode indicar que o sistema de aplicao: a) seja executado a partir de um computador dedicado; ou b) compartilha recursos somente com sistemas de aplicao confiveis. O isolamento pode ser obtido utilizando-se mtodos fsicos ou lgicos (ver 11.4.5).
11.7 Computao mvel e trabalho remoto

Objetivo: Garantir a segurana da informao quando se utilizam a computao mvel e recursos de trabalho remoto. Convm que a proteo requerida seja proporcional com o risco desta forma especfica de trabalho. Quando se utiliza a computao mvel, convm que os riscos de trabalhar em um ambiente desprotegido sejam considerados e a proteo adequada seja aplicada. No caso de trabalho remoto, convm que a organizao aplique proteo ao local do trabalho remoto e assegure que as providncias adequadas esto implementadas para este tipo de trabalho. 11.7.1 Computao e comunicao mvel Controle Convm que uma poltica formal seja estabelecida e que medidas de segurana apropriadas sejam adotadas para a proteo contra os riscos do uso de recursos de computao e comunicao mveis. Diretrizes para implementao Quando se utilizam recursos de computao e comunicao mveis, como, por exemplo, notebooks, palmtops, laptops, cartes inteligentes (smart cards) e telefones celulares, convm que cuidados especiais sejam tomados para assegurar que as informaes do negcio no sejam comprometidas. A poltica de computao mvel deve levar em considerao os riscos de se trabalhar com equipamentos de computao mvel em ambientes desprotegidos. Convm que a poltica de computao mvel inclua os requisitos de proteo fsica, controles de acesso, tcnicas criptogrficas, cpias de segurana e proteo contra vrus. Convm que esta poltica inclua tambm regras e recomendaes sobre a conexo de recursos mveis rede e diretrizes sobre o uso destes recursos em locais pblicos. Convm que sejam tomadas certas precaues ao se utilizarem os recursos de computao mvel em locais pblicos, salas de reunies e outras reas desprotegidas fora dos limites da organizao. Convm que sejam estabelecidas protees para evitar o acesso no autorizado ou a divulgao de informaes armazenadas e processadas nestes recursos, por exemplo atravs da utilizao de tcnicas de criptografia (ver 12.3). Convm que usurios de recursos de computao mvel em locais pblicos tomem cuidado para evitar o risco de captao por pessoas no autorizadas. Convm que procedimentos contra softwares maliciosos sejam estabelecidos e mantidos sempre atualizados (ver 10.4). Convm que cpias de segurana das informaes crticas de negcio sejam feitas regularmente. Convm que equipamentos estejam disponveis para possibilitar a realizao de cpias de segurana das informaes de forma rpida e fcil. Para essas cpias de segurana, convm que sejam adotadas protees adequadas contra, por exemplo, roubo ou perda de informao.
81
Cpia no autorizada
Convm que proteo adequada seja dada para o uso dos recursos de computao mvel conectados em rede. Convm que o acesso remoto s informaes do negcio atravs de redes pblicas, usando os recursos de computao mvel, ocorra apenas aps o sucesso da identificao e da autenticao, e com os apropriados mecanismos de controle de acesso implantados (ver 11.4). Convm que os recursos de computao mvel tambm estejam protegidos fisicamente contra roubo, especialmente quando deixados, por exemplo, em carros ou em outros meios de transporte, quartos de hotis, centros de conferncia e locais de reunio. Convm que esteja estabelecido um procedimento especfico que leve em considerao requisitos legais, securitrios e outros requisitos de segurana da organizao para casos de roubo ou perda de recursos de computao mvel. Convm que os equipamentos que contm informaes importantes, sensveis e/ou crticas para o negcio no sejam deixados sem observao e, quando possvel, estejam fisicamente trancados, ou convm que travas especiais sejam utilizadas para proteger o equipamento. (ver 9.2.5). Convm que seja providenciado treinamento para os usurios de computao mvel, para aumentar o nvel de conscientizao a respeito dos riscos adicionais resultantes desta forma de trabalho e dos controles que devem ser implementados. Informaes adicionais As redes de conexo sem fio so similares a outros tipos de redes, mas possuem diferenas importantes que convm que sejam consideradas quando da identificao de contoles. As diferenas tpicas so: a) alguns protocolos de segurana de redes sem fio so imaturos e possuem fragilidades conhecidas; b) pode no ser possvel efetuar cpias de segurana das informaes armazenadas em computadores mveis devido largura de banda limitada e/ou devido ao equipamento mvel no estar conectado no momento em que as cpias de segurana esto programadas. 11.7.2 Trabalho remoto Controle Convm que uma poltica, planos operacionais e procedimentos sejam desenvolvidos e implementados para atividades de trabalho remoto. Diretrizes para implementao Convm que as organizaes somente autorizem atividades de trabalho remotas apenas se elas estiverem certas de que as providncias apropriadas e controles de segurana esto implementados e que estes esto de acordo com a poltica de segurana da organizao. Convm que a proteo apropriada ao local do trabalho remoto seja implantada para evitar, por exemplo, o roubo do equipamento e de informaes, a divulgao no autorizada de informao, o acesso remoto no autorizado aos sistemas internos da organizao ou mau uso de recursos. Convm que o trabalho remoto seja autorizado e controlado pelo gestor e convm que sejam asseguradas as providncias adequadas a esta forma de trabalho. Convm que os seguintes pontos sejam considerados: a) a segurana fsica existente no local do trabalho remoto, levando-se em considerao a segurana fsica do prdio e o ambiente local; b) o ambiente fsico proposto para o trabalho remoto; c) os requisitos de segurana nas comunicaes, levando em considerao a necessidade do acesso remoto aos sistemas internos da organizao, a sensibilidade da informao que ser acessada e trafegada na linha de comunicao e a sensibilidade do sistema interno; d) a ameaa de acesso no autorizado informao ou aos recursos por outras pessoas que utilizam o local, por exemplo familiares e amigos;
82
Cpia no autorizada
e) o uso de redes domsticas e requisitos ou restries na configurao de servios de rede sem fio; f) polticas e procedimentos para evitar disputas relativas a direitos de propriedade intelectual desenvolvidas em equipamentos de propriedade particular;
g) acesso a equipamentos de propriedade particular (para verificar a segurana da mquina ou durante uma investigao), que pode ser proibido legalmente; h) acordos de licenciamento de software que podem tornar as organizaes responsveis pelo licenciamento do software cliente em estaes de trabalho particulares de propriedade de funcionrios, fornecedores ou terceiros; i) requisitos de proteo contra vrus e requisitos de firewall.
Convm que as diretrizes e providncias a serem consideradas incluam: a) a proviso de equipamento e moblia apropriados s atividade de trabalho remoto, onde o uso de equipamentos de propriedade particular que no esteja sob controle da organizao no permitido; b) uma definio do trabalho permitido, o perodo de trabalho, a classificao da informao que pode ser tratada e os sistemas internos e servios que o usurio do trabalho remoto est autorizado a acessar; c) a proviso de equipamento de comunicao apropriado, incluindo mtodos para acesso remoto seguro; d) segurana fsica; e) regras e diretrizes sobre o acesso de familiares e visitantes ao equipamento e informao; f) a proviso de suporte e manuteno de hardware e software;
g) a proviso de seguro; h) os procedimentos para cpias de segurana e continuidade do negcio; i) j) auditoria e monitoramento da segurana; revogao de autoridade e direitos de acesso, e devoluo do equipamento quando as atividades de trabalho remoto cessarem.
Informaes adicionais As atividades de trabalho remoto utilizam tecnologias de comunicao que permitem que as pessoas trabalhem remotamente de uma localidade fixa externa sua organizao.
83
Cpia no autorizada
12 Aquisio, desenvolvimento e manuteno de sistemas de informao

12.1 Requisitos de segurana de sistemas de informao
Objetivo: Garantir que segurana parte integrante de sistemas de informao. Sistemas de informao incluem sistemas operacionais, infra-estrutura, aplicaes de negcios, produtos de prateleira, servios e aplicaes desenvolvidas pelo usurio. O projeto e a implementao de sistemas de informao destinados a apoiar o processo de negcios podem ser cruciais para a segurana. Convm que os requisitos de segurana sejam identificados e acordados antes do desenvolvimento e/ou implementao de sistemas de informao. Convm que todos os requisitos de segurana sejam identificados na fase de definio de requisitos de um projeto e justificados, acordados e documentados como parte do caso geral de negcios para um sistema de informaes. 12.1.1 Anlise e especificao dos requisitos de segurana Controle Convm que sejam especificados os requisitos para controles de segurana nas especificaes de requisitos de negcios, para novos sistemas de informao ou melhorias em sistemas existentes. Diretrizes para implementao Convm que as especificaes para os requisitos de controles, nos sistemas de informao, considerem os controles automticos a serem incorporados, assim como a necessidade de apoiar controles manuais. Convm que consideraes similares sejam aplicadas quando da avaliao de pacotes de softwares, desenvolvidos internamente ou comprados, para as aplicaes de negcios. Convm que requisitos de segurana e controles reflitam o valor para o negcio dos ativos de informao envolvidos (ver 7.2), e os danos potenciais ao negcio que poderiam resultar de uma falha ou ausncia de segurana. Convm que os requisitos de sistemas para a segurana da informao, bem como os processos para implement-la sejam integrados aos estgios iniciais dos projetos dos sistemas de informao. Controles introduzidos no estgio de projeto so significativamente mais baratos para implementar e manter do que aqueles includos durante ou aps a implementao. Convm que, no caso de produtos comprados, um processo formal de aquisio e testes seja seguido. Convm que contratos com fornecedores levem em considerao os requisitos de segurana identificados. Nas situaes em que funcionalidades de segurana de um produto proposto no satisfaam requisitos especificados, convm que o risco introduzido, assim como os controles associados, sejam reconsiderados antes da compra do produto. Nas situaes em que as funcionalidades adicionais incorporadas acarretem riscos segurana, convm que estas sejam desativadas ou a estrutura de controles proposta seja analisada criticamente para determinar se h vantagem na utilizao das funcionalidades em questo. Informaes adicionais Se considerado apropriado, por exemplo, por razes de custos, o gestor pode considerar o uso de produtos avaliados e certificados por entidade independente. Informao adicional sobre critrios de avaliao de produtos pode ser encontrada na ISO/IEC 15408 ou em outras normas de avaliao ou certificao apropriadas. A ISO/IEC 13335-3 possui orientao sobre o uso de processos de gerenciamento de riscos para a identificao de requisitos de controles de segurana.
84
Cpia no autorizada
12.2 Processamento correto nas aplicaes

Objetivo: Prevenir a ocorrncia de erros, perdas, modificao no autorizada ou mau uso de informaes em aplicaes. Convm que controles apropriados sejam incorporados no projeto das aplicaes, inclusive aquelas desenvolvidas pelos usurios, para assegurar o processamento correto. Convm que esses controles incluam a validao dos dados de entrada, do processamento interno e dos dados de sada. Controles adicionais podem ser necessrios para sistemas que processem informaes sensveis, valiosas ou crticas, ou que nestas exeram algum impacto. Convm que tais controles sejam determinados com base em requisitos de segurana e a anlise/avaliao de riscos. 12.2.1 Validao dos dados de entrada Controle Convm que os dados de entrada de aplicaes sejam validados para garantir que so corretos e apropriados. Diretrizes para implementao Convm que sejam aplicadas checagens na entrada de transaes de negcios, em dados permanentes (por exemplo, nomes e endereos, limites de crdito, nmeros de referncia de clientes) e em, parmetros de tabelas (por exemplo, preos de venda, taxas de converso de moedas, tarifas de impostos). Convm que as seguintes diretrizes sejam consideradas: a) entrada duplicada ou outros tipos de verificao, tais como checagem de limites ou campos limitando as faixas especficas de dados de entrada, para detectar os seguintes erros: 1) valores fora de faixa; 2) caracteres invlidos em campos de dados; 3) dados incompletos ou faltantes; 4) volumes de dados excedendo limites superiores ou inferiores; 5) dados de controle inconsistentes ou no autorizados; b) c) d) e) f) g) verificao peridica do contedo de campos-chave ou arquivos de dados para confirmar a sua validade e integridade; inspeo de cpias impressas de documentos de entrada para detectar quaisquer alteraes no autorizadas (convm que todas as mudanas em documentos de entrada sejam autorizadas); procedimentos para tratar erros de validao; procedimentos para testar a plausibilidade dos dados de entrada; definio da responsabilidade de todo o pessoal envolvido no processo de entrada de dados; criao de um registro de atividades envolvendo o processo de entrada de dados (ver 10.10.1).
Informaes adicionais A verificao e validao automtica de dados de entrada podem ser consideradas, onde aplicveis, para reduzir o risco de erros e prevenir ataques conhecidos como buffer overflow e injeo de cdigo.
85
Cpia no autorizada
12.2.2 Controle do processamento interno Controle Convm que sejam incorporadas, nas aplicaes, checagens de validao com o objetivo de detectar qualquer corrupo de informaes, por erros ou por aes deliberadas. Diretrizes para implementao Convm que o projeto e a implementao das aplicaes garantam que os riscos de falhas de processamento que levem perda de integridade sejam minimizados. reas especficas a serem consideradas incluem: a) o uso das funes, como incluir, modificar e remover para implementao de alteraes nos dados; b) procedimentos para evitar que programas rodem na ordem errada ou continuem rodando aps uma falha de processamento (ver 10.1.1); c) o uso de programas apropriados para recuperao de falhas, para assegurar o processamento correto dos dados; d) proteo contra ataques usando buffer overrun/overflow; Convm que seja preparada uma lista de verificao apropriada, as atividades sejam documentadas e os resultados sejam mantidos em segurana. Exemplos de verificaes que podem ser incorporadas incluem: a) controles de sees ou de lotes, para reconciliar saldos de arquivos aps as atualizaes de transaes; b) controles de saldos, para verificao de saldos abertos comparando com saldos previamente encerrados o batimento de saldos de abertura contra saldos de fechamento, utilizando: 1) controles run-to-run; 2) totalizaes na atualizao de arquivos; 3) controles program-to-program; c) validao de dados de entrada gerados pelo sistema (ver 12.2.1); d) verificaes de integridade, autenticidade ou qualquer outra caracterstica de segurana, de dados ou softwares transferidos, ou atualizados entre computadores centrais e remotos; e) implementao de tcnicas de consistncia (hash) para registros e arquivos; f) verificaes para garantir que os programas sejam rodados no tempo correto; g) verificaes para garantir que os programas sejam rodados na ordem correta e terminem em caso de falha, e que qualquer processamento adicional seja estancado, at que o problema seja resolvido; h) criao de um registro das atividades envolvidas no processamento (ver 10.10.1). Informaes adicionais Os dados que tenham sido corretamente alimentados podem ser corrompidos por falhas de hardware, erros de processamento ou por atos deliberados. As verificaes de validao requeridas dependem da natureza das aplicaes e do impacto, no negcio, de qualquer corrupo de dados.
86
Cpia no autorizada
12.2.3 Integridade de mensagens Controle Convm que requisitos para garantir a autenticidade e proteger a integridade das mensagens em aplicaes sejam identificados e os controles apropriados sejam identificados e implementados. Diretrizes para implementao Convm que seja efetuada uma anlise/avaliao dos riscos de segurana para determinar se a integridade das mensagens requerida e para identificar o mtodo mais apropriado de implementao. Informaes adicionais As tcnicas criptogrficas (ver 12.3) podem ser usadas como um meio apropriado para a implementao da autenticao de mensagens. 12.2.4 Validao de dados de sada Controle Convm que os dados de sada das aplicaes sejam validados para assegurar que o processamento das informaes armazenadas est correto e apropriado s circunstncias. Diretrizes para implementao A validao de dados de sada pode incluir: a) verificaes de plausibilidade para testar se os dados de sada so razoveis; b) controles envolvendo contagens de reconciliao para garantir o processamento de todos os dados; c) fornecimento de informao suficiente para que um leitor ou um sistema de processamento subseqente possa determinar a exatido, completeza, preciso e classificao das informaes; d) procedimentos para responder aos testes de validao dos dados de sada; e) definio das responsabilidades de todo o pessoal envolvido no processo de dados de sada; f) criao de um registro de atividades do processo de validao dos dados de sada.
Informaes adicionais Tipicamente, sistemas e aplicaes so construdos no pressuposto de que, tendo sido efetuadas as validaes apropriadas, verificaes e testes, as sadas estaro sempre corretas. Contudo, este pressuposto nem sempre vlido, isto , sistemas que tenham sido testados podem ainda produzir dados de sada incorretos sob certas circunstncias.
12.3 Controles criptogrficos

Objetivo: Proteger a confidencialidade, a autenticidade ou a integridade das informaes por meios criptogrficos. Convm que uma poltica seja desenvolvida para o uso de controles criptogrficos. Convm que o gerenciamento de chaves seja implementado para apoiar o uso de tcnicas criptogrficas.
87
Cpia no autorizada
12.3.1 Poltica para o uso de controles criptogrficos Controle Convm que seja desenvolvida e implementada uma poltica para o uso de controles criptogrficos para a proteo da informao. Diretrizes para implementao Convm que, quando do desenvolvimento de uma poltica para criptografia, sejam considerados: a) a abordagem gerencial quanto ao uso de controles criptogrficos em toda a organizao, incluindo os princpios gerais sob os quais as informaes de negcio sejam protegidas (ver 5.1.1); b) a identificao do nvel requerido de proteo com base em uma anlise/avaliao de riscos, levando em considerao o tipo, a fora e a qualidade do algoritmo de criptografia requerido; c) o uso de criptografia para a proteo de informaes sensveis transportadas em celulares e PDA, mdias removveis ou mveis, dispositivos ou linhas de comunicao; d) a abordagem do gerenciamento de chaves, incluindo mtodos para lidar com a proteo das chaves criptogrficas e a recuperao de informaes cifradas, no caso de chaves perdidas, comprometidas ou danificadas; e) papis e responsabilidades, por exemplo, de quem for responsvel: 1) pela implementao da poltica; 2) pelo gerenciamento de chaves, incluindo sua gerao (ver 12.3.2); f) os padres a serem adotados para a efetiva implementao ao longo de toda a organizao (qual soluo usada para quais processos de negcios); g) o impacto do uso de informaes cifradas em controles que dependem da inspeo de contedos (por exemplo, deteco de vrus). Convm que sejam consideradas, na implementao da poltica criptogrfica da organizao, as leis ou regulamentaes e restries nacionais aplicveis ao uso de tcnicas criptogrficas, nas diferentes partes do mundo, e das questes relativas ao fluxo transfronteiras de informaes cifradas (ver 15.1.6). Controles criptogrficos podem ser usados para alcanar diversos objetivos de segurana, como, por exemplo: a) confidencialidade: usando a criptografia da informao para proteger informaes sensveis ou crticas, armazenadas ou transmitidas; b) integridade/autenticidade: usando assinaturas digitais ou cdigos de autenticao de mensagens (MAC) para proteger a autenticidade e integridade de informaes sensveis ou crticas, armazenadas ou transmitidas; c) no-repdio: usando tcnicas de criptografia para obter prova da ocorrncia ou no ocorrncia de um evento ou ao. Informaes adicionais Convm que a tomada de deciso para verificar se uma soluo de criptografia apropriada seja vista como parte de um processo de anlise/avaliao de riscos e seleo de controles mais amplos. Essa avaliao pode, ento, ser usada para determinar se um controle criptogrfico apropriado, que tipo de controle seja usado e para que propsito e processos de negcios.
88
Cpia no autorizada
Uma poltica sobre o uso de controles criptogrficos necessria para maximizar os benefcios e minimizar os riscos do uso de tcnicas criptogrficas para evitar o uso incorreto ou inapropriado. Quanto ao uso de assinaturas digitais, convm que seja considerada toda a legislao relevante, em particular aquela que descreve as condies sob as quais uma assinatura digital legalmente aceita (ver 15.1). Convm que seja buscada a opinio de um especialista para identificar o nvel apropriado de proteo e definir as especificaes aplicveis que proporcionaro o nvel requerido de proteo e o apoio implementao de um sistema seguro de gerenciamento de chaves (ver 12.3.2). O ISO/IEC JTC1 SC27 desenvolveu diversas normas relacionadas com controles criptogrficos. Informaes adicionais podem tambm ser encontradas na IEEE P1363 e no OECD Guidelines on Cryptography. 12.3.2 Gerenciamento de chaves Controle Convm que um processo de gerenciamento de chaves seja implantado para apoiar o uso de tcnicas criptogrficas pela organizao. Diretrizes para implementao Convm que todas as chaves criptogrficas sejam protegidas contra modificao, perda e destruio. Adicionalmente, chaves secretas e privadas necessitam de proteo contra a divulgao no autorizada. Convm que os equipamentos utilizados para gerar, armazenar e guardar as chaves sejam fisicamente protegidos. Convm que um sistema de gerenciamento de chaves seja baseado em um conjunto estabelecido de normas, procedimentos e mtodos de segurana para: a) gerar chaves para diferentes sistemas criptogrficos e diferentes aplicaes; b) gerar e obter certificados de chaves pblicas; c) distribuir chaves para os usurios devidos, incluindo a forma como as chaves devem ser ativadas, quando recebidas; d) armazenar chaves, incluindo a forma como os usurios autorizados obtm acesso a elas; e) mudar ou atualizar chaves, incluindo regras relativas a quando as chaves devem ser mudadas e como isto ser feito; f) lidar com chaves comprometidas;
g) revogar chaves, incluindo regras de como elas devem ser retiradas ou desativadas, por exemplo quando chaves tiverem sido comprometidas ou quando um usurio deixa a organizao (convm que, tambm neste caso, que as chaves sejam guardadas); h) recuperar chaves perdidas ou corrompidas, como parte da gesto da continuidade do negcio, por exemplo para recuperao de informaes cifradas; i) j) guardar chaves, por exemplo para informaes guardadas ou armazenadas em cpias de segurana; destruir chaves;
k) manter registro e auditoria das atividades relacionadas com o gerenciamento de chaves.
89
Cpia no autorizada
Convm, para reduzir a possibilidade de comprometimento, que datas de ativao e desativao de chaves sejam definidas de forma que possam ser utilizadas apenas por um perodo de tempo limitado. Convm que este perodo de tempo seja dependente das circunstncias sob as quais o controle criptogrfico est sendo usado, assim como do risco percebido. Alm do gerenciamento seguro de chaves secretas e privadas, convm que a autenticidade de chaves pblicas seja tambm considerada. Este processo de autenticao pode ser conduzido utilizando-se certificados de chaves pblicas que so normalmente emitidos por uma autoridade certificadora, a qual convm que seja uma organizao reconhecida, com controles adequados e procedimentos implantados com o objetivo de garantir o requerido nvel de confiana. Convm que o contedo dos termos dos acordos de nvel de servio ou contratos com fornecedores externos de servios criptogrficos, por exemplo com uma autoridade certificadora, cubram aspectos como responsabilidades, confiabilidade dos servios e tempos de resposta para a execuo dos servios contratados (ver 6.2.3). Informaes adicionais O gerenciamento de chaves criptogrficas essencial para o uso efetivo de tcnicas criptogrficas. A ISO/IEC 11770 fornece informao adicional sobre gerenciamento de chaves. Os dois tipos de tcnicas criptogrficas so: a) tcnicas de chaves secretas, onde duas ou mais partes compartilham a mesma chave, a qual utilizado tanto para cifrar quanto para decifrar a informao; esta chave deve ser mantida secreta, uma vez que qualquer um que tenha acesso a ela ser capaz de decifrar todas as informaes que tenham sido cifradas com essa chave ou dela se utilizando para introduzir informao no autorizada; b) tcnicas de chaves pblicas, onde cada usurio possui um par de chaves; uma chave pblica (que pode ser revelada para qualquer um) e uma chave privada (que deve ser mantida secreta); tcnicas de chaves pblicas podem ser utilizadas para cifrar e para produzir assinaturas digitais (ver tambm ISO/IEC 9796 e ISO/IEC 14888). Existe a ameaa de que seja forjada uma assinatura digital pela substituio da chave pblica do usurio. Este problema resolvido pelo uso de um certificado de chave pblica. Tcnicas criptogrficas podem ser tambm utilizadas para proteger chaves criptogrficas. Pode ser necessrio o estabelecimento de procedimentos para a manipulao de solicitaes legais para acesso a chaves criptogrficas, por exemplo, informao cifrada pode ser requerida em sua forma decifrada para uso como evidncia em um processo judicial.
12.4 Segurana dos arquivos do sistema

Objetivo: Garantir a segurana de arquivos de sistema. Convm que o acesso aos arquivos de sistema e aos programas de cdigo fonte seja controlado e que atividades de projeto de tecnologia da informao e de suporte sejam conduzidas de forma segura. Convm que cuidados sejam tomados para evitar a exposio de dados sensveis em ambientes de teste. 12.4.1 Controle de software operacional Controle Convm que procedimentos para controlar a instalao de software em sistemas operacionais sejam implementados.
90
Cpia no autorizada
Diretrizes para implementao Para minimizar o risco de corrupo aos sistemas operacionais, convm que as seguintes diretrizes sejam consideradas para controlar mudanas: a) a atualizao do software operacional, de aplicativos e de bibliotecas de programas seja executada somente por administradores treinados e com autorizao gerencial (ver 12.4.3); b) sistemas operacionais somente contenham cdigo executvel e aprovado, e no contenham cdigos em desenvolvimento ou compiladores; c) sistemas operacionais e aplicativos somente sejam implementados aps testes extensivos e bemsucedidos; recomendvel que os testes incluam testes sobre uso, segurana, efeitos sobre outros sistemas, como tambm sobre uso amigvel, e sejam realizados em sistemas separados (ver 10.1.4); convm que seja assegurado que todas as bibliotecas de programa-fonte correspondentes tenham sido atualizadas; d) um sistema de controle de configurao seja utilizado para manter controle da implementao do software assim como da documentao do sistema; e) uma estratgia de retorno s condies anteriores seja disponibilizada antes que mudanas sejam implementadas no sistema; f) um registro de auditoria seja mantido para todas as atualizaes das bibliotecas dos programas operacionais;
g) verses anteriores dos softwares aplicativos sejam mantidas como medida de contingncia; h) verses antigas de software sejam arquivadas, junto com todas as informaes e parmetros requeridos, procedimentos, detalhes de configuraes e software de suporte durante um prazo igual ao prazo de reteno dos dados. Convm que software adquirido de fornecedores e utilizado em sistemas operacionais seja mantido num nvel apoiado pelo fornecedor. Ao transcorrer do tempo, fornecedores de software cessam o apoio s verses antigas do software. Convm que a organizao considere os riscos associados dependncia de software sem suporte. Convm que qualquer deciso de atualizao para uma nova verso considere os requisitos do negcio para a mudana e da segurana associada, por exemplo, a introduo de uma nova funcionalidade de segurana ou a quantidade e a gravidade dos problemas de segurana associados a esta verso. Convm que pacotes de correes de software sejam aplicados quando puderem remover ou reduzir as vulnerabilidades de segurana (ver 12.6.1). Convm que acessos fsicos e lgicos sejam concedidos a fornecedores, quando necessrio, para a finalidade de suporte e com aprovao gerencial. Convm que as atividades do fornecedor sejam monitoradas. Os softwares para computadores podem depender de outros softwares e mdulos fornecidos externamente, os quais convm ser monitorados e controlados para evitar mudanas no autorizadas, que podem introduzir fragilidades na segurana. Informaes adicionais Convm que sistemas operacionais sejam atualizados quando existir um requisito para tal, por exemplo, se a verso atual do sistema operacional no suportar mais os requisitos do negcio. Convm que as atualizaes no sejam efetivadas pela mera disponibilidade de uma verso nova do sistema operacional. Novas verses de sistemas operacionais podem ser menos seguras, com menor estabilidade, e ser menos entendidas do que os sistemas atuais.
91
Cpia no autorizada
12.4.2 Proteo dos dados para teste de sistema Controle Convm que os dados de teste sejam selecionados com cuidado, protegidos e controlados. Diretrizes para implementao Para propsitos de teste, convm que seja evitado o uso de bancos de dados operacionais que contenham informaes de natureza pessoal ou qualquer outra informao considerada sensvel. Se informao de natureza pessoal ou outras informaes sensveis forem utilizadas com o propsito de teste, convm que todos os detalhes e contedo sensvel sejam removidos ou modificados de forma a evitar reconhecimento antes do seu uso. Convm que sejam aplicadas as seguintes diretrizes para a proteo de dados operacionais, quando utilizados para fins de teste: a) os procedimentos de controle de acesso, aplicveis aos aplicativos de sistema em ambiente operacional, sejam tambm aplicados aos aplicativos de sistema em ambiente de teste; b) seja obtida autorizao cada vez que for utilizada uma cpia da informao operacional para uso de um aplicativo em teste; c) a informao operacional seja apagada do aplicativo em teste imediatamente aps completar o teste; d) a cpia e o uso de informao operacional sejam registrados de forma a prover uma trilha para auditoria. Informaes adicionais Testes de sistema e testes de aceitao requerem normalmente volumes significativos de dados de teste que sejam o mais prximo possvel aos dados utilizados no ambiente operacional. 12.4.3 Controle de acesso ao cdigo-fonte de programa Controle Convm que o acesso ao cdigo-fonte de programa seja restrito. Diretrizes para implementao Convm que o acesso ao cdigo-fonte de programa e de itens associados (como desenhos, especificaes, planos de verificao e de validao) seja estritamente controlado, com a finalidade de prevenir a introduo de funcionalidade no autorizada e para evitar mudanas no intencionais. Para os cdigos-fonte de programas, este controle pode ser obtido com a guarda centralizada do cdigo, de preferncia utilizando bibliotecas de programa-fonte. Convm que as seguintes orientaes sejam consideradas (ver seo 11) para o controle de acesso s bibliotecas de programa-fonte, com a finalidade de reduzir o risco de corrupo de programas de computador: a) quando possvel, seja evitado manter as bibliotecas de programa-fonte no mesmo ambiente dos sistemas operacionais; b) seja implementado o controle do cdigo-fonte de programa e das bibliotecas de programa-fonte, conforme procedimentos estabelecidos; c) o pessoal de suporte no tenha acesso irrestrito s bibliotecas de programa-fonte; d) a atualizao das bibliotecas de programa-fonte e itens associados e a entrega de fontes de programas a programadores seja apenas efetuada aps o recebimento da autorizao pertinente; e) as listagens dos programas sejam mantidas num ambiente seguro (ver 10.7.4); f) seja mantido um registro de auditoria de todos os acessos a cdigo-fonte de programa;
92
Cpia no autorizada
g) a manuteno e a cpia das bibliotecas de programa-fonte estejam sujeitas a procedimentos estritos de controles de mudanas (ver 12.5.1); Informaes adicionais Os cdigos-fonte de programas so cdigos escritos por programadores, que so compilados (e ligados) para criar programas executveis. Algumas linguagens de programao no fazem uma distino formal entre cdigo-fonte e executvel, pois os executveis so criados no momento da sua ativao. As ABNT NBR ISO 10007 e ABNT NBR ISO/IEC 12207 possuem mais informaes sobre a gesto de configurao e o processo de ciclo de vida de software.
12.5 Segurana em processos de desenvolvimento e de suporte

Objetivo: Manter a segurana de sistemas aplicativos e da informao. Convm que os ambientes de projeto e de suporte sejam estritamente controlados. Convm que os gerentes responsveis pelos sistemas aplicativos sejam tambm responsveis pela segurana dos ambientes de projeto ou de suporte. Convm que eles assegurem que mudanas propostas sejam analisadas criticamente para verificar que no comprometam a segurana do sistema ou do ambiente operacional. 12.5.1 Procedimentos para controle de mudanas Controle Convm que a implementao de mudanas seja controlada utilizando procedimentos formais de controle de mudanas. Diretrizes para implementao Convm que os procedimentos de controle de mudanas sejam documentados e reforados com a finalidade de minimizar a corrupo dos sistemas da informao. Convm que a introduo de novos sistemas e mudanas maiores em sistemas existentes sigam um processo formal de documentao, especificao, teste, controle da qualidade e gesto da implementao. Convm que o processo inclua uma anlise/avaliao de riscos, anlise do impacto das mudanas e a especificao dos controles de segurana requeridos. Convm que o processo garanta que a segurana e os procedimentos de controle atuais no sejam comprometidos, que os programadores de suporte tenham acesso somente s partes do sistema necessrias para o cumprimento das tarefas e que sejam obtidas concordncia e aprovao formal para qualquer mudana obtida. Convm que, quando praticvel, os procedimentos de controle de mudanas sejam integrados (ver 10.1.2). Convm que os procedimentos de mudanas incluam: a) a manuteno de um registro dos nveis acordados de autorizao; b) a garantia de que as mudanas sejam submetidas por usurios autorizados; c) a anlise crtica dos procedimentos de controle e integridade para assegurar que as mudanas no os comprometam; d) a identificao de todo software, informao, entidades em bancos de dados e hardware que precisam de emendas; e) a obteno de aprovao formal para propostas detalhadas antes da implementao; f) a garantia da aceitao das mudanas por usurios autorizados, antes da implementao;
93
Cpia no autorizada
g) a garantia da atualizao da documentao do sistema aps concluso de cada mudana e de que a documentao antiga seja arquivada ou descartada; h) a manuteno de um controle de verso de todas as atualizaes de softwares; i) j) a manuteno de uma trilha para auditoria de todas as mudanas solicitadas; a garantia de que toda a documentao operacional (ver 10.1.1) e procedimentos dos usurios sejam alterados conforme necessrio e que se mantenham apropriados;
k) a garantia de que as mudanas sejam implementadas em horrios apropriados, sem a perturbao dos processos de negcios cabveis. Informaes adicionais A mudana de software pode ter impacto no ambiente operacional. As boas prticas incluem o teste de novos softwares em um ambiente segregado dos ambientes de produo e de desenvolvimento (ver 10.1.4). Isto fornece um meio de controle sobre o novo software e permite uma proteo adicional informao operacional que utilizada para propsitos de teste. Aplica-se tambm s correes, pacotes de servio e outras atualizaes. Convm que atualizaes automticas no sejam utilizadas em sistemas crticos, pois algumas atualizaes podem causar falhas em aplicaes crticas (ver 12.6). 12.5.2 Anlise crtica tcnica das aplicaes aps mudanas no sistema operacional Controle Convm que aplicaes crticas de negcios sejam analisadas criticamente e testadas quando sistemas operacionais so mudados, para garantir que no haver nenhum impacto adverso na operao da organizao ou na segurana. Diretrizes para implementao Convm que o processo compreenda: a) uma anlise crtica dos procedimentos de controle e integridade dos controles para assegurar que no foram comprometidos pelas mudanas no sistema operacional; b) a garantia de que o plano anual de suporte e o oramento iro cobrir as anlises e testes do sistema devido s mudanas no sistema operacional; c) a garantia de que as mudanas pretendidas sejam comunicadas em tempo hbil para permitir os testes e anlises crticas antes da implementao das mudanas; d) a garantia de que as mudanas necessrias sejam executadas nos planos de continuidade de negcios (ver seo 14). Convm que seja dada responsabilidade a um grupo especfico ou a um indivduo para monitoramento das vulnerabilidades e divulgao de emendas e correes dos fornecedores de software (ver 12.6).
94
Cpia no autorizada
12.5.3 Restries sobre mudanas em pacotes de software Controle Convm que modificaes em pacotes de software no sejam incentivadas e limitadas s mudanas necessrias e que todas as mudanas sejam estritamente controladas. Diretrizes para implementao Quando possvel e praticvel, convm que pacotes de softwares providos pelos fornecedores sejam utilizados sem modificaes. Quando um pacote de software requer modificao, convm que sejam considerados os seguintes itens: a) o risco de que controles e processos de integridade embutidos no software sejam comprometidos; b) a obteno do consentimento do fornecedor; c) a possibilidade de obteno junto ao fornecedor das mudanas necessrias como atualizao padro do programa; d) o impacto resultante quando a organizao passa a ser responsvel para a manuteno futura do software como resultado das mudanas. Se mudanas forem necessrias, convm que o software original seja mantido e as mudanas aplicadas numa cpia claramente identificada. Convm que um processo de gesto de atualizaes seja implementado para assegurar a instalao das mais recentes correes e atualizaes para todos os softwares autorizados (ver 12.6). Convm que todas as mudanas sejam completamente testadas e documentadas para que possam ser reaplicadas, se necessrio, em atualizaes futuras do software. Se requerido, convm que as modificaes sejam testadas e validadas por um grupo de avaliao independente. 12.5.4 Vazamento de informaes Controle Convm que oportunidades para vazamento de informaes sejam prevenidas. Diretrizes para implementao Convm que os seguintes itens sejam considerados, para limitar o risco de vazamento de informaes, por exemplo atravs do uso e explorao de covert channels: a) a varredura do envio de mdia e comunicaes para verificar a presena de informao oculta; b) o mascaramento e a modulao do comportamento dos sistemas e das comunicaes para reduzir a possibilidade de terceiros deduzirem informaes a partir do comportamento dos sistemas; c) a utilizao de sistemas e software reconhecidos como de alta integridade, por exemplo utilizando produtos avaliados (ver ISO/IEC 15408); d) o monitoramento regular das atividades do pessoal e do sistema, quando permitido pela legislao ou regulamentao vigente; e) o monitoramento do uso de recursos de sistemas de computao. Informaes adicionais Os covert channels so caminhos no previstos para conduzir fluxo de informaes, mas que no entanto podem existir num sistema ou rede. Por exemplo, a manipulao de bits no protocolo de pacotes de comunicao poderia ser utilizada como um mtodo oculto de sinalizao. Devido sua natureza, seria difcil, se no impossvel, precaver-se contra a existncia de todos os possveis covert channels. No entanto, a explorao destes canais freqentemente realizada por cdigo troiano (ver 10.4.1). A adoo de medidas de proteo contra cdigo troiano reduz, conseqentemente, o risco de explorao de covert channels.
95
Cpia no autorizada
A precauo contra acesso no autorizado rede (ver 11.4), como tambm polticas e procedimentos para dissuadir o mau uso de servios de informao pelo pessoal (ver 15.1.5), pode ajudar a proteger contra covert channels. 12.5.5 Desenvolvimento terceirizado de software Controle Convm que a organizao supervisione e monitore o desenvolvimento terceirizado de software. Diretrizes para implementao Convm que sejam considerados os seguintes itens quando do desenvolvimento de software terceirizado: a) acordos de licenciamento, propriedade do cdigo e direitos de propriedade intelectual (ver 15.1.2); b) certificao da qualidade e exatido do servio realizado; c) provises para custdia no caso de falha da terceira parte; d) direitos de acesso para auditorias de qualidade e exatido do servio realizado; e) requisitos contratuais para a qualidade e funcionalidade da segurana do cdigo; f) testes antes da instalao para detectar a presena de cdigo malicioso e troiano.
12.6 Gesto de vulnerabilidades tcnicas

Objetivo: Reduzir riscos resultantes da explorao de vulnerabilidades tcnicas conhecidas. Convm que a implementao da gesto de vulnerabilidades tcnicas seja implementada de forma efetiva, sistemtica e de forma repetvel com medies de confirmao da efetividade. Convm que estas consideraes incluam sistemas operacionais e quaisquer outras aplicaes em uso. 12.6.1 Controle de vulnerabilidades tcnicas Controle Convm que seja obtida informao em tempo hbil sobre vulnerabilidades tcnicas dos sistemas de informao em uso, avaliada a exposio da organizao a estas vulnerabilidades e tomadas as medidas apropriadas para lidar com os riscos associados. Diretrizes para implementao Um inventrio completo e atualizado dos ativos de informao (ver 7.1) um pr-requisito para uma gesto efetiva de vulnerabilidade tcnica. Informao especfica para o apoio gesto de vulnerabilidade tcnica inclui o fornecedor de software, o nmero de verso, o status atual de uso e distribuio (por exemplo, que softwares esto instalados e em quais sistemas) e a(s) pessoa(s) na organizao responsvel(is) pelos softwares. Convm que a ao apropriada seja tomada, no devido tempo, como resposta s potenciais vulnerabilidades tcnicas identificadas. Convm que as seguintes diretrizes sejam seguidas para o estabelecimento de um processo de gesto efetivo de vulnerabilidades tcnicas: a) a organizao defina e estabelea as funes e responsabilidades associadas na gesto de vulnerabilidades tcnicas, incluindo o monitoramento de vulnerabilidades, a anlise/avaliao de riscos de vulnerabilidades, patches, acompanhamento dos ativos e qualquer coordenao de responsabilidades requerida;
96
Cpia no autorizada
b) os recursos de informao a serem usados para a identificar vulnerabilidades tcnicas relevantes e para manter a conscientizao sobre eles sejam identificados para softwares e outras tecnologias (com base na lista de inventrio dos ativos, ver 7.1.1); convm que esses recursos de informao sejam mantidos atualizados com base nas mudanas no inventrio de ativos, ou quando outros recursos novos ou teis forem encontrados; c) seja definido um prazo para a reao a notificaes de potenciais vulnerabilidades tcnicas relevantes; d) uma vez que uma vulnerabilidade tcnica potencial tenha sido identificada, convm que a organizao avalie os riscos associados e as aes a serem tomadas; tais aes podem requerer o uso de patches nos sistemas vulnerveis e/ou a aplicao de outros controles; e) dependendo da urgncia exigida para tratar uma vulnerabilidade tcnica, convm que a ao tomada esteja de acordo com os controles relacionados com a gesto de mudanas (ver 12.5.1) ou que sejam seguidos os procedimentos de resposta a incidentes de segurana da informao (ver 13.2); f) se um patch for disponibilizado, convm que sejam avaliados os riscos associados sua instalao (convm que os riscos associados vulnerabilidade sejam comparados com os riscos de instalao do patch);
g) patches sejam testados e avaliados antes de serem instaladas para assegurar a efetividade e que no tragam efeitos que no possam ser tolerados; quando no existir a disponibilidade de um patch, convm considerar o uso de outros controles, tais como: 1) a desativao de servios ou potencialidades relacionadas vulnerabilidade; 2) a adaptao ou agregao de controles de acesso, por exemplo firewalls nas fronteiras da rede (ver 11.4.5); 3) o aumento do monitoramento para detectar ou prevenir ataques reais; 4) o aumento da conscientizao sobre a vulnerabilidade; h) i) j) seja mantido um registro de auditoria de todos os procedimentos realizados; com a finalidade de assegurar a eficcia e a eficincia, convm que seja monitorado e avaliado regularmente o processo de gesto de vulnerabilidades tcnicas; convm abordar em primeiro lugar os sistemas com altos riscos.
Informaes adicionais O correto funcionamento do processo de gesto de vulnerabilidades tcnicas crtico para muitas organizaes e, portanto, convm que seja monitorado regularmente. Um inventrio de ativos preciso essencial para assegurar que vulnerabilidades potenciais relevantes sejam identificadas. A gesto de vulnerabilidades tcnicas pode ser vista como uma subfuno da gesto de mudanas e, como tal, pode aproveitar os procedimentos e processos da gesto de mudanas (ver 10.1.2 e 12.5.1). Os fornecedores esto sempre sob grande presso para liberar patches to logo quanto possvel. Portanto, um patch pode no abordar o problema adequadamente e pode causar efeitos colaterais negativos. Tambm, em alguns casos, a desinstalao de um patch pode no ser facilmente realizvel aps sua instalao. Quando testes adequados de patch no forem possveis, por exemplo, devido a custos ou falta de recursos, um atraso no uso do patch pode ser considerado para avaliar os riscos associados, baseado nas experincias relatadas por outros usurios.
97
Cpia no autorizada
13 Gesto de incidentes de segurana da informao

13.1 Notificao de fragilidades e eventos de segurana da informao
Objetivo: Assegurar que fragilidades e eventos de segurana da informao associados com sistemas de informao sejam comunicados, permitindo a tomada de ao corretiva em tempo hbil. Convm que sejam estabelecidos procedimentos formais de registro e escalonamento. Convm que todos os funcionrios, fornecedores e terceiros estejam conscientes sobre os procedimentos para notificao dos diferentes tipos de eventos e fragilidades que possam ter impactos na segurana dos ativos da organizao. Convm que seja requerido que os eventos de segurana da informao e fragilidades sejam notificados, to logo quanto possvel, ao ponto de contato designado. 13.1.1 Notificao de eventos de segurana da informao Controle Convm que os eventos de segurana da informao sejam relatados atravs dos canais apropriados da direo, o mais rapidamente possvel. Diretrizes para Implementao Convm que um procedimento de notificao formal seja estabelecido para relatar os eventos de segurana da informao, junto com um procedimento de resposta a incidente e escalonamento, estabelecendo a ao a ser tomada ao se receber a notificao de um evento de segurana da informao. Convm que um ponto de contato seja estabelecido para receber as notificaes dos eventos de segurana da informao. Convm que este ponto de contato seja de conhecimento de toda a organizao e esteja sempre disponvel e em condies de assegurar uma resposta adequada e oportuna. Convm que todos os funcionrios, fornecedores e terceiros sejam alertados sobre sua responsabilidade de notificar qualquer evento de segurana da informao o mais rapidamente possvel. Convm que eles tambm estejam cientes do procedimento para notificar os eventos de segurana da informao e do ponto de contato designado para este fim. Convm que os procedimentos incluam: a) processos adequados de realimentao para assegurar que os eventos de segurana da informao relatados sejam notificados dos resultados aps a questo ter sido conduzida e concluda; b) formulrio para apoiar a ao de notificar um evento de segurana da informao e ajudar as pessoas a lembrar as aes necessrias para a notificao do evento; c) o comportamento correto a ser tomado no caso de um evento de segurana da informao, como, por exemplo: 1) anotar todos os detalhes importantes imediatamente (por exemplo, tipo de no-conformidade ou violao, mau funcionamento, mensagens na tela, comportamento estranho); 2) no tomar nenhuma ao prpria, mas informar imediatamente o evento ao ponto de contato; d) referncia para um processo disciplinar formal estabelecido para lidar com funcionrios, fornecedores ou terceiros que cometam violaes de segurana da informao. Em ambientes de alto risco, podem ser fornecidos alarmes de coao4 atravs do qual a pessoa que est sendo coagida possa sinalizar o que est ocorrendo. Convm que os procedimentos para responder a alarmes de coao reflitam o alto risco que a situao exige.
4 Alarme de coao um mtodo usado para indicar, de forma secreta, que uma ao est acontecendo sob coao.
98
Cpia no autorizada
Informaes adicionais Exemplos de eventos e incidentes de segurana da informao so: a) perda de servio, equipamento ou recursos; b) mau funcionamento ou sobrecarga de sistema; c) erros humanos; d) no-conformidade com polticas ou diretrizes; e) violaes de procedimentos de segurana fsica; f) mudanas descontroladas de sistemas;
g) mau funcionamento de software ou hardware; h) violao de acesso. Considerando os cuidados com os aspectos de confidencialidade, os incidentes de segurana da informao podem ser utilizados em treinamento de conscientizao (ver 8.2.2) como exemplos do que poderia ocorrer, como responder a tais incidentes e como evit-los futuramente. Para ser capaz de destinar os eventos e incidentes de segurana da informao adequadamente, pode ser necessrio coletar evidncias to logo quanto possvel depois da ocorrncia (ver 13.2.3). Um mau funcionamento ou outras anomalias de comportamento de sistemas podem ser um indicador de um ataque de segurana ou violao de segurana e, portanto, convm que sempre sejam notificados como um evento de segurana da informao. Mais informaes sobre notificao de eventos de segurana da informao e gesto de incidentes de segurana da informao podem ser encontradas na ISO/IEC TR 18044. 13.1.2 Notificando fragilidades de segurana da informao Controle Convm que os funcionrios, fornecedores e terceiros de sistemas e servios de informao sejam instrudos a registrar e notificar qualquer observao ou suspeita de fragilidade em sistemas ou servios. Diretrizes para implementao Convm que os funcionrios, fornecedores e terceiros notifiquem esse assunto o mais rpido possvel para sua direo ou diretamente ao seu provedor de servios, de forma a prevenir incidentes de segurana da informao. Convm que o mecanismo de notificao seja fcil, acessvel e disponvel sempre que possvel. Convm que os usurios sejam informados que no podem, sob nenhuma circunstncia, tentar averiguar fragilidade suspeita. Informaes adicionais Convm que os funcionrios, fornecedores e terceiros sejam alertados para no tentarem averiguar uma fragilidade de segurana da informao suspeita. Testar fragilidades pode ser interpretado como um uso imprprio potencial do sistema e tambm pode causar danos ao sistema ou servio de informao, resultando em responsabilidade legal ao indivduo que efetuar o teste.
99
Cpia no autorizada
13.2 Gesto de incidentes de segurana da informao e melhorias

Objetivo: Assegurar que um enfoque consistente e efetivo seja aplicado gesto de incidentes de segurana da informao. Convm que responsabilidades e procedimentos estejam definidos para o manuseio efetivo de eventos de segurana da informao e fragilidades, uma vez que estes tenham sido notificados. Convm que um processo de melhoria contnua seja aplicado s respostas, monitoramento, avaliao e gesto total de incidentes de segurana da informao. Convm que onde evidncias sejam exigidas, estas sejam coletadas para assegurar a conformidade com as exigncias legais. 13.2.1 Responsabilidades e procedimentos Controle Convm que responsabilidades e procedimentos de gesto sejam estabelecidos para assegurar respostas rpidas, efetivas e ordenadas a incidentes de segurana da informao. Diretrizes para implementao Convm que, adicionalmente notificao de eventos de segurana da informao e fragilidades (ver 13.1), o monitoramento de sistemas, alertas e vulnerabilidades (10.10.2) seja utilizado para a deteco de incidentes de segurana da informao. Convm que as seguintes diretrizes para procedimentos de gesto de incidentes de segurana da informao sejam consideradas: a) procedimentos sejam estabelecidos para manusear diferentes tipos de incidentes de segurana da informao, incluindo: 1) falhas de sistemas de informaes e perda de servios; 2) cdigo malicioso (ver 10.4.1); 3) denial of service (negao de servio); 4) erros resultantes de dados incompletos ou inconsistentes; 5) violaes de confidencialidade e integridade; 6) uso imprprio de sistemas de informao; b) alm dos planos de contingncia (ver 14.1.3), convm que os procedimentos tambm considerem (ver 13.2.2): 1) anlise e identificao da causa do incidente; 2) reteno; 3) planejamento e implementao de ao corretiva para prevenir a sua repetio, se necessrio; 4) comunicao com aqueles afetados ou envolvidos com a recuperao do incidente; 5) notificao da ao para a autoridade apropriada;
100
Cpia no autorizada
c) convm que trilhas de auditoria e evidncias similares sejam coletadas (ver 13.2.3) e protegidas, como apropriado, para: 1) 2) anlise de problemas internos; uso como evidncia forense para o caso de uma potencial violao de contrato ou de normas reguladoras ou em caso de delitos civis ou criminais, por exemplo relacionados ao uso imprprio de computadores ou legislao de proteo dos dados; negociao para compensao ou ressarcimento por parte de fornecedores de software e servios;
3)
d) convm que as aes para recuperao de violaes de segurana e correo de falhas do sistema sejam cuidadosa e formalmente controladas; convm que os procedimentos assegurem que: 1) 2) 3) 4) apenas funcionrios explicitamente identificados e autorizados estejam liberados para acessar sistemas e dados em produo (ver 6.2 para acesso externo); todas as aes de emergncia sejam documentadas em detalhe; as aes de emergncia sejam relatadas para a direo e analisadas criticamente de maneira ordenada; a integridade dos sistemas do negcio e seus controles sejam validados na maior brevidade.
Convm que os objetivos da gesto de incidentes de segurana da informao estejam em concordncia com a direo e que seja assegurado que os responsveis pela gesto de incidentes de segurana da informao entendem as prioridades da organizao no manuseio de incidentes de segurana da informao. Informaes adicionais Os incidentes de segurana da informao podem transcender fronteiras organizacionais e nacionais. Para responder a estes incidentes, cada vez mais h a necessidade de resposta coordenada e troca de informaes sobre eles com organizaes externas, quando apropriado. 13.2.2 Aprendendo com os incidentes de segurana da informao Controle Convm que sejam estabelecidos mecanismos para permitir que tipos, quantidades e custos dos incidentes de segurana da informao sejam quantificados e monitorados. Diretrizes para implementao Convm que a informao resultante da anlise de incidentes de segurana da informao seja usada para identificar incidentes recorrentes ou de alto impacto. Informaes adicionais A anlise de incidentes de segurana da informao pode indicar a necessidade de melhorias ou controles adicionais para limitar a freqncia, danos e custos de ocorrncias futuras ou para ser levada em conta quando for realizado o processo de anlise crtica da poltica de segurana da informao (ver 5.1.2).
101
Cpia no autorizada
13.2.3 Coleta de evidncias Controle Nos casos em que uma ao de acompanhamento contra uma pessoa ou organizao, aps um incidente de segurana da informao, envolver uma ao legal (civil ou criminal), convm que evidncias sejam coletadas, armazenadas e apresentadas em conformidade com as normas de armazenamento de evidncias da jurisdio(es) pertinente(s). Diretrizes para implementao Convm que procedimentos internos sejam elaborados e respeitados para as atividades de coleta e apresentao de evidncias com o propsito de ao disciplinar movida em uma organizao. Em geral, as normas para evidncias abrangem: a) admissibilidade da evidncia: se a evidncia pode ser ou no utilizada na corte; b) importncia da evidncia: qualidade e inteireza da evidncia. Para obter a admissibilidade da evidncia, convm que a organizao assegure que seus sistemas de informao estejam de acordo com qualquer norma ou cdigo de prtica publicado para produo de evidncia admissvel. Convm que o valor da evidncia esteja de acordo com algum requisito aplicvel. Para obter o valor da evidncia, convm que a qualidade e a inteireza dos controles usados para proteger as evidncias de forma correta e consistente (ou seja, o processo de controle de evidncias) durante todo o perodo de armazenamento e processamento da evidncia sejam demonstradas por uma trilha forte de evidncia. Em geral, essa trilha forte de evidncia pode ser estabelecida sob as seguintes condies: a) para documentos em papel: o original mantido de forma segura, com um registro da pessoa que o encontrou, do local e data em que foi encontrado e quem testemunhou a descoberta; convm que qualquer investigao assegure que os originais no foram adulterados; b) para informao em mdia eletrnica: convm que imagens espelho ou cpias (dependendo de requisitos aplicveis) de quaisquer mdias removveis, discos rgidos ou em memrias sejam providenciadas para assegurar disponibilidade; convm que o registro de todas as aes tomadas durante o processo de cpia seja guardado e que o processo seja testemunhado; convm que a mdia original que contm a informao e o registro (ou, caso isso no seja possvel, pelo menos uma imagem espelho ou cpia) seja mantido de forma segura e intocvel. Convm que qualquer trabalho forense seja somente realizado em cpias do material de evidncia. Convm que a integridade de todo material de evidncia seja preservada. Convm que o processo de cpia de todo material de evidncia seja supervisionado por pessoas confiveis e que as informaes sobre a data, local, pessoas, ferramentas e programas envolvidos no processo de cpia sejam registradas. Informaes adicionais Quando um evento de segurana da informao detectado, pode no ser bvio que ele resultar num possvel processo jurdico. Entretanto, existe o perigo de que a evidncia seja destruda intencional ou acidentalmente antes que seja percebida a seriedade do incidente. conveniente envolver um advogado ou a polcia to logo seja constatada a possibilidade de processo jurdico e obter consultoria sobre as evidncias necessrias. As evidncias podem ultrapassar limites organizacionais e/ou de jurisdies. Nesses casos, convm assegurar que a organizao seja devidamente autorizada para coletar as informaes requeridas como evidncias. Convm que os requisitos de diferentes jurisdies sejam tambm considerados para maximizar as possibilidades de admisso da evidncia em todas as jurisdies relevantes.
102
Cpia no autorizada
14 Gesto da continuidade do negcio

14.1 Aspectos da gesto da continuidade do negcio, relativos segurana da informao
Objetivo: No permitir a interrupo das atividades do negcio e proteger os processos crticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hbil, se for o caso. Convm que o processo de gesto da continuidade do negcio seja implementado para minimizar um impacto sobre a organizao e recuperar perdas de ativos da informao (que pode ser resultante de, por exemplo, desastres naturais, acidentes, falhas de equipamentos e aes intencionais) a um nvel aceitvel atravs da combinao de aes de preveno e recuperao. Convm que este processo identifique os processos crticos e integre a gesto da segurana da informao com as exigncias da gesto da continuidade do negcio com outros requisitos de continuidade relativo a tais aspectos como operaes, funcionrios, materiais, transporte e instalaes. Convm que as conseqncias de desastres, falhas de segurana, perda de servios e disponibilidade de servios estejam sujeitas a uma anlise de impacto nos negcios. Convm que os planos de continuidade do negcio sejam desenvolvidos e implementados para assegurar que as operaes essenciais sejam recuperadas dentro da requerida escala de tempo. Convm que a segurana da informao seja uma parte integrante do processo global de continuidade de negcios e a gesto de outros processos dentro da organizao. Convm que a gesto da continuidade do negcio inclua controles para identificar e reduzir riscos, em complementao ao processo de anlise/avaliao de riscos global, limite as conseqncias aos danos do incidente e garanta que as informaes requeridas para os processos do negcio estejam prontamente disponveis. 14.1.1 Incluindo segurana da informao no processo de gesto da continuidade de negcio Controle Convm que um processo de gesto seja desenvolvido e mantido para assegurar a continuidade do negcio por toda a organizao e que contemple os requisitos de segurana da informao necessrios para a continuidade do negcio da organizao. Diretrizes para implementao Convm que este processo agregue os seguintes elementos-chave da gesto da continuidade do negcio: a) entendimento dos riscos a que a organizao est exposta, no que diz respeito sua probabilidade e impacto no tempo, incluindo a identificao e priorizao dos processos crticos do negcio (ver 14.1.2); b) identificao de todos os ativos envolvidos em processos crticos de negcio (ver 7.1.1); c) entendimento do impacto que incidentes de segurana da informao provavelmente tero sobre os negcios ( importante que as solues encontradas possam tratar tanto os pequenos incidentes, como os mais srios, que poderiam colocar em risco a continuidade da organizao) e estabelecimento dos objetivos do negcio dos recursos de processamento da informao; d) considerao de contratao de seguro compatvel que possa ser parte integrante do processo de continuidade do negcio, bem como a parte de gesto de risco operacional; e) identificao e considerao da implementao de controles preventivos e de mitigao; f) identificao de recursos financeiros, organizacionais, tcnicos e ambientais suficientes para identificar os requisitos de segurana da informao;
103
Cpia no autorizada
g) garantia da segurana de pessoal e proteo de recursos de processamento das informaes e bens organizacionais; h) detalhamento e documentao de planos de continuidade de negcio que contemplem os requisitos de segurana da informao alinhados com a estratgia da continuidade do negcio estabelecida (ver 14.1.3); i) j) testes e atualizaes regulares dos planos e processos implantados (ver 14.1.5); garantia de que a gesto da continuidade do negcio esteja incorporada aos processos e estrutura da organizao. Convm que a responsabilidade pela coordenao do processo de gesto de continuidade de negcios seja atribuda a um nvel adequado dentro da organizao (ver 6.1.1).
14.1.2 Continuidade de negcios e anlise/avaliao de riscos Controle Convm identificar os eventos que podem causar interrupes aos processos de negcio, junto a probabilidade e impacto de tais interrupes e as conseqncias para a segurana de informao. Diretrizes para implementao Convm que os aspectos da continuidade do negcios relativos segurana da informao sejam baseados na identificao de eventos (ou sucesso de eventos) que possam causar interrupes aos processos de negcios das organizaes, por exemplo falha de equipamento, erros humanos, roubo, incndio, desastres naturais e atos terroristas. Em seguida, convm que seja feita uma anlise/avaliao de riscos para a determinao da probabilidade e impacto de tais interrupes, tanto em termos de escala de dano quanto em relao ao perodo de recuperao. Convm que as anlises/avaliaes de riscos da continuidade do negcio sejam realizadas com total envolvimento dos responsveis pelos processos e recursos do negcio. Convm que a anlise/avaliao considere todos os processos do negcio e no esteja limitada aos recursos de processamento das informaes, mas inclua os resultados especficos da segurana da informao. importante a juno de aspectos de riscos diferentes, para obter um quadro completo dos requisitos de continuidade de negcios da organizao. Convm que a anlise/avaliao identifique, quantifique e priorize os critrios baseados nos riscos e os objetivos pertinentes organizao, incluindo recursos crticos, impactos de interrupo, possibilidade de ausncia de tempo e prioridades de recuperao. Em funo dos resultados da anlise/avaliao de riscos, convm que um plano estratgico seja desenvolvido para se determinar a abordagem mais abrangente a ser adotada para a continuidade dos negcios. Uma vez criada a estratgia, convm que ela seja validada pela direo e que um plano seja elaborado e validado para implementar tal estratgia. 14.1.3 Desenvolvimento e implementao de planos de continuidade relativos segurana da informao Controle Convm que os planos sejam desenvolvidos e implementados para a manuteno ou recuperao das operaes e para assegurar a disponibilidade da informao no nvel requerido e na escala de tempo requerida, aps a ocorrncia de interrupes ou falhas dos processos crticos do negcio. Diretrizes para implementao Convm que o processo de planejamento da continuidade de negcios considere os seguintes itens: a) identificao e concordncia de todas as responsabilidades e procedimentos da continuidade do negcio;
104
Cpia no autorizada
b) identificao da perda aceitvel de informaes e servios; c) implementao dos procedimentos que permitam a recuperao e restaurao das operaes do negcio e da disponibilidade da informao nos prazos necessrios; ateno especial precisa ser dada avaliao de dependncias externas ao negcio e de contratos existentes; d) procedimentos operacionais que permitam a concluso de restaurao e recuperao que estejam pendentes; e) documentao dos processos e procedimentos acordados; f) educao adequada de pessoas nos procedimentos e processos definidos, incluindo o gerenciamento de crise;
g) teste e atualizao dos planos. Convm que o processo de planejamento foque os objetivos requeridos do negcio, por exemplo recuperao de determinados servios especficos para os clientes, em um perodo de tempo aceitvel. Convm identificar os servios e recursos que facilitam isso, prevendo a contemplao de pessoal e recursos em geral, alm da tecnologia de informao, assim como o procedimento de recuperao dos recursos de processamento das informaes. Tais procedimentos de recuperao podem incluir procedimentos com terceiros na forma de um acordo de reciprocidade, ou um contrato de prestao de servios. Convm que o plano de continuidade do negcio trate as vulnerabilidades da organizao, que pode conter informaes sensveis e que necessitem de proteo adequada. Convm que cpias do plano de continuidade do negcio sejam guardadas em um ambiente remoto, a uma distncia suficiente para escapar de qualquer dano de um desastre no local principal. Convm que o gestor garanta que as cpias dos planos de continuidade do negcio estejam atualizadas e protegidas no mesmo nvel de segurana como aplicado no ambiente principal. Convm que outros materiais necessrios para a execuo do plano de continuidade do negcio tambm sejam armazenados em local remoto. Convm que, se os ambientes alternativos temporrios forem usados, o nvel de controles de segurana implementados nestes locais seja equivalente ao ambiente principal. Informaes adicionais Convm que seja destacado que as atividades e os planos de gerenciamento de crise (ver 14.1.3 f)) possam ser diferentes de gesto de continuidade de negcios, isto , uma crise pode acontecer e ser suprida atravs dos procedimentos normais de gesto. 14.1.4 Estrutura do plano de continuidade do negcio Controle Convm que uma estrutura bsica dos planos de continuidade do negcio seja mantida para assegurar que todos os planos so consistentes, para contemplar os requisitos de segurana da informao e para identificar prioridades para testes e manuteno. Diretrizes para implementao Convm que cada plano de continuidade do negcio descreva o enfoque para continuidade, por exemplo, o enfoque para assegurar a disponibilidade e segurana do sistema de informao ou da informao. Convm que cada plano tambm especifique o plano de escalonamento e as condies para sua ativao, assim como as responsabilidades individuais para execuo de cada uma das atividades do plano. Quando novos requisitos so identificados, importante que os procedimentos de emergncia relacionados sejam ajustados de forma apropriada, por exemplo o plano de abandono ou o procedimento de recuperao. Convm que os procedimentos do programa de gesto de mudana da organizao sejam includos para assegurar que os assuntos de continuidade de negcios estejam sempre direcionados adequadamente.
105
Cpia no autorizada
Convm que cada plano tenha um gestor especfico. Convm que procedimentos de emergncia, de recuperao, manual de planejamento e planos de reativao sejam de responsabilidade dos gestores dos recursos de negcios ou dos processos envolvidos. Convm que procedimentos de recuperao para servios tcnicos alternativos, como processamento de informao e meios de comunicao, sejam normalmente de responsabilidade dos provedores de servios. Convm que uma estrutura de planejamento para continuidade de negcios contemple os requisitos de segurana da informao identificados e considere os seguintes itens: a) condies para ativao dos planos, os quais descrevem os processos a serem seguidos (como se avaliar a situao, quem deve ser acionado etc.) antes de cada plano ser ativado; b) procedimentos de emergncia que descrevam as aes a serem tomadas aps a ocorrncia de um incidente que coloque em risco as operaes do negcio; c) procedimentos de recuperao que descrevam as aes necessrias para a transferncia das atividades essenciais do negcio ou os servios de infra-estrutura para localidades alternativas temporrias e para a reativao dos processos do negcio no prazo necessrio; d) procedimentos operacionais temporrios para seguir durante a concluso de recuperao e restaurao; e) procedimentos de recuperao que descrevam as aes a serem adotadas quando do restabelecimento das operaes; f) uma programao de manuteno que especifique quando e como o plano dever ser testado e a forma de se proceder manuteno deste plano;
g) atividades de treinamento, conscientizao e educao com o propsito de criar o entendimento do processo de continuidade de negcios e de assegurar que os processos continuem a ser efetivo; h) designao das responsabilidades individuais, descrevendo quem responsvel pela execuo de que item do plano. Convm que suplentes sejam definidos quando necessrio; i) os ativos e recursos crticos precisam estar aptos a desempenhar os procedimentos de emergncia, recuperao e reativao.
14.1.5 Testes, manuteno e reavaliao dos planos de continuidade do negcio Controle Convm que os planos de continuidade do negcio sejam testados e atualizados regularmente, de forma a assegurar sua permanente atualizao e efetividade. Diretrizes para implementao Convm que os testes do plano de continuidade do negcio assegurem que todos os membros da equipe de recuperao e outras pessoas relevantes estejam conscientes dos planos e de suas responsabilidades para a continuidade do negcio e a segurana da informao, e conheam as suas atividades quando um plano for acionado. Convm que o planejamento e a programao dos testes do(s) plano(s) de continuidade de negcios indiquem como e quando cada elemento do plano seja testado. Convm que os componentes isolados do(s) plano(s) sejam freqentemente testados.
106
Cpia no autorizada
Convm que vrias tcnicas sejam utilizadas, de modo a assegurar a confiana de que o(s) plano(s) ir(o) operar consistentemente em casos reais. Convm que sejam considerados: a) testes de mesa simulando diferentes cenrios (verbalizando os procedimentos de recuperao para diferentes formas de interrupo); b) simulaes (particularmente til para o treinamento do pessoal nas suas atividades gerenciais aps o incidente); c) testes de recuperao tcnica (garantindo que os sistemas de informao possam ser efetivamente recuperados); d) testes de recuperao em um local alternativo (executando os processos de negcios em paralelo com a recuperao das operaes distantes do local principal); e) testes dos recursos, servios e instalaes de fornecedores (assegurando que os servios e produtos fornecidos por terceiros atendem aos requisitos contratados); f) ensaio geral (testando se a organizao, o pessoal, os equipamentos, os recursos e os processos podem enfrentar interrupes).
Estas tcnicas podem ser utilizadas por qualquer organizao. Convm que elas reflitam a natureza do plano de recuperao especfico. Convm que os resultados dos testes sejam registrados e aes tomadas para a melhoria dos planos, onde necessrio. Convm que a responsabilidade pelas anlises crticas peridicas de cada parte do plano seja definida e estabelecida. Convm que a identificao de mudanas nas atividades do negcio que ainda no tenham sido contempladas nos planos de continuidade de negcio seja seguida por uma apropriada atualizao do plano. Convm que um controle formal de mudanas assegure que os planos atualizados so distribudos e reforados por anlises crticas peridicas do plano como um todo. Os exemplos de mudanas onde convm que a atualizao dos planos de continuidade do negcio seja considerada so a aquisio de novos equipamentos, atualizao de sistemas e mudanas de: a) pessoal; b) endereos ou nmeros telefnicos; c) estratgia de negcio; d) localizao, instalaes e recursos; e) legislao; f) prestadores de servios, fornecedores e clientes-chave;
g) processos (incluses e excluses); h) risco (operacional e financeiro).
107
Cpia no autorizada
15 Conformidade
15.1 Conformidade com requisitos legais
Objetivo: Evitar violao de qualquer lei criminal ou civil, estatutos, regulamentaes ou obrigaes contratuais e de quaisquer requisitos de segurana da informao. O projeto, a operao, o uso e a gesto de sistemas de informao podem estar sujeitos a requisitos de segurana contratuais, regulamentares ou estatutrios. Convm que consultoria em requisitos legais especficos seja procurada em organizaes de consultoria jurdica ou em profissionais liberais, adequadamente qualificados nos aspectos legais. Os requisitos legislativos variam de pas para pas e tambm para a informao criada em um pas e transmitida para outro (isto , fluxo de dados transfronteira). 15.1.1 Identificao da legislao vigente Controle Convm que todos os requisitos estatutrios, regulamentares e contratuais relevantes, e o enfoque da organizao para atender a esses requisitos, sejam explicitamente definidos, documentados e mantidos atualizados para cada sistema de informao da organizao Diretrizes para implementao Convm que os controles especficos e as responsabilidades individuais para atender a estes requisitos sejam definidos e documentados de forma similar. 15.1.2 Direitos de propriedade intelectual Controle Convm que procedimentos apropriados sejam implementados para garantir a conformidade com os requisitos legislativos, regulamentares e contratuais no uso de material, em relao aos quais pode haver direitos de propriedade intelectual e sobre o uso de produtos de software proprietrios. Diretrizes para implementao Convm que as seguintes diretrizes sejam consideradas para proteger qualquer material que possa ser considerado como propriedade intelectual: a) divulgar uma poltica de conformidade com os direitos de propriedade intelectual que defina o uso legal de produtos de software e de informao; b) adquirir software somente por meio de fontes conhecidas e de reputao, para assegurar que o direito autoral no est sendo violado; c) manter conscientizao das polticas para proteger os direitos de propriedade intelectual e notificar a inteno de tomar aes disciplinares contra pessoas que violarem essas polticas; d) manter de forma adequada os registros de ativos e identificar todos os ativos com requisitos para proteger os direitos de propriedade intelectual; e) manter provas e evidncias da propriedade de licenas, discos-mestre, manuais etc.; f) implementar controles para assegurar que o nmero mximo de usurios permitidos no excede o nmero de licenas adquiridas;
g) conduzir verificaes para que somente produtos de software autorizados e licenciados sejam instalados;
108
Cpia no autorizada
h) estabelecer uma poltica para a manuteno das condies adequadas de licenas; i) j) estabelecer uma poltica para disposio ou transferncia de software para outros; utilizar ferramentas de auditoria apropriadas;
k) cumprir termos e condies para software e informao obtidos a partir de redes pblicas; l) no duplicar, converter para outro formato ou extrair de registros comerciais (filme, udio) outros que no os permitidos pela lei de direito autoral;
m) no copiar, no todo ou em partes, livros, artigos, relatrios ou outros documentos, alm daqueles permitidos pela lei de direito autoral. Informaes adicionais Direitos de propriedade intelectual incluem direitos de software ou documento, direitos de projeto, marcas, patentes e licenas de cdigos-fonte. Produtos de software proprietrios so normalmente fornecidos sob um contrato de licenciamento que especifica os termos e condies da licena, por exemplo, restringe o uso dos produtos em mquinas especificadas ou limita a cpia apenas para criao de uma cpia de segurana. A questo relativa aos direitos de propriedade intelectual de software desenvolvido pela organizao precisa ser esclarecida com as pessoas. Legislao, regulamentao e requisitos contratuais podem estabelecer restries para cpia de material que tenha direitos autorais. Em particular, pode ser requerido que somente material que seja desenvolvido pela organizao ou que foi licenciado ou fornecido pelos desenvolvedores para a organizao seja utilizado. Violaes aos direitos de propriedade intelectual podem conduzir a aes legais, que podem envolver processos criminais. 15.1.3 Proteo de registros organizacionais Controle Convm que registros importantes sejam protegidos contra perda, destruio e falsificao, de acordo com os requisitos regulamentares, estatutrios, contratuais e do negcio. Diretrizes para implementao Convm que registros sejam categorizados em tipos de registros, tais como registros contbeis, registros de base de dados, registros de transaes, registros de auditoria e procedimentos operacionais, cada qual com detalhes do perodo de reteno e do tipo de mdia de armazenamento, como, por exemplo, papel, microficha, meio magntico ou tico. Convm que quaisquer chaves de criptografia relacionadas com arquivos cifrados ou assinaturas digitais (ver 12.3) sejam tambm armazenadas para permitir a decifrao de registros pelo perodo de tempo que os registros so mantidos. Convm que cuidados sejam tomados a respeito da possibilidade de deteriorao das mdias usadas no armazenamento dos registros. Convm que os procedimentos de armazenamento e manuseio sejam implementados de acordo com as recomendaes dos fabricantes. Convm que, para o armazenamento de longo tempo, o uso de papel e microficha seja considerado. Onde mdias eletrnicas armazenadas forem escolhidas, convm que sejam includos procedimentos para assegurar a capacidade de acesso aos dados (leitura tanto na mdia como no formato utilizado) durante o perodo de reteno, para proteger contra perdas ocasionadas pelas futuras mudanas na tecnologia. Convm que sistemas de armazenamento de dados sejam escolhidos de modo que o dado solicitado possa ser recuperado de forma aceitvel, dependendo dos requisitos a serem atendidos.
109
Cpia no autorizada
Convm que o sistema de armazenamento e manuseio assegure a clara identificao dos registros e dos seus perodos de reteno, conforme definido pela legislao nacional ou regional ou por regulamentaes, se aplicvel. Convm que seja permitida a destruio apropriada dos registros aps esse perodo, caso no sejam mais necessrios organizao. Para atender aos objetivos de proteo dos registros, convm que os seguintes passos sejam tomados dentro da organizao: a) emitir diretrizes gerais para reteno, armazenamento, tratamento e disposio de registros e informaes; b) elaborar uma programao para reteno, identificando os registros essenciais e o perodo que cada um deve ser mantido; c) manter um inventrio das fontes de informaes-chave; d) implementar controles apropriados para proteger registros e informaes contra perda, destruio e falsificao. Informaes adicionais Alguns registros podem precisar ser retidos de forma segura para atender a requisitos estatutrios, contratuais ou regulamentares, assim como para apoiar as atividades essenciais do negcio. Exemplo disso so os registros que podem ser exigidos como evidncia de que uma organizao opera de acordo com as regras estatutrias e regulamentares, para assegurar a defesa adequada contra potenciais processos civis ou criminais ou confirmar a situao financeira de uma organizao perante os acionistas, partes externas e auditores. O perodo de tempo e o contedo da informao retida podem estar definidos atravs de leis ou regulamentaes nacionais. Outras informaes sobre como gerenciar os registros organizacionais, podem ser encontradas na ISO 15489-1. 15.1.4 Proteo de dados e privacidade de informaes pessoais Controle Convm que a privacidade e proteo de dados sejam asseguradas conforme exigido nas legislaes relevantes, regulamentaes e, se aplicvel, nas clusulas contratuais. Diretrizes para implementao Convm que uma poltica de privacidade e proteo de dados da organizao seja desenvolvida e implementada. Convm que esta poltica seja comunicada a todas as pessoas envolvidas no processamento de informaes pessoais. A conformidade com esta poltica e todas as legislaes e regulamentaes relevantes de proteo de dados necessita de uma estrutura de gesto e de controles apropriados. Geralmente isto melhor alcanado atravs de uma pessoa responsvel, como, por exemplo, um gestor de proteo de dados, que deve fornecer orientaes gerais para gerentes, usurios e provedores de servio sobre as responsabilidades de cada um e sobre quais procedimentos especficos recomenda-se seguir. Convm que a responsabilidade pelo tratamento das informaes pessoais e a garantia da conscientizao dos princpios de proteo dos dados sejam tratadas de acordo com as legislaes e regulamentaes relevantes. Convm que medidas organizacionais e tcnicas apropriadas para proteger as informaes pessoais sejam implementadas. Informaes adicionais Alguns pases tm promulgado leis que estabelecem controles na coleta, no processamento e na transmisso de dados pessoais (geralmente informao sobre indivduos vivos que podem ser identificados a partir de tais informaes). Dependendo da respectiva legislao nacional, tais controles podem impor responsabilidades sobre aqueles que coletam, processam e disseminam informao pessoal, e podem restringir a capacidade de transferncia desses dados para outros pases.
110
Cpia no autorizada
15.1.5 Preveno de mau uso de recursos de processamento da informao Controle Convm que os usurios sejam dissuadidos de usar os recursos de processamento da informao para propsitos no autorizados. Diretrizes para implementao: Convm que a direo aprove o uso de recursos de processamento da informao. Convm que qualquer uso destes recursos para propsitos no relacionados ao negcio ou no autorizados, sem a aprovao da direo (ver 6.1.4), ou para quaisquer propsitos no autorizados, seja considerado como uso imprprio desses recursos. Se qualquer atividade no autorizada for identificada por processo de monitorao ou outros meios, convm que esta atividade seja levada ao conhecimento do gestor responsvel para que sejam aplicadas as aes disciplinares e/ou legais pertinentes. Convm que se busque uma assessoria legal antes da implementao dos procedimentos de monitorao. Convm que todos os usurios estejam conscientes do escopo preciso de suas permisses de acesso e da monitorao realizada para detectar o uso no autorizado. Isto pode ser alcanado pelo registro das autorizaes dos usurios por escrito, convm que a cpia seja assinada pelo usurio e armazenada de forma segura pela organizao. Convm que os funcionrios de uma organizao, fornecedores e terceiros sejam informados de que nenhum acesso permitido com exceo daqueles que foram autorizados. No momento da conexo inicial, convm que seja apresentada uma mensagem de advertncia para indicar que o recurso de processamento da informao que est sendo usado de propriedade da organizao e que no so permitidos acessos no autorizados. O usurio tem que confirmar e reagir adequadamente mensagem na tela para continuar com o processo de conexo (ver 11.5.1). Informaes adicionais Os recursos de processamento da informao de uma organizao so destinados bsica ou exclusivamente para atender aos propsitos do negcio. Ferramentas do tipo deteco de intrusos, inspeo de contedo e outras formas de monitorao podem ajudar a prevenir e detectar o mau uso dos recursos de processamento da informao. Muitos pases tm legislao para proteger contra o mau uso do computador. Pode ser crime usar um computador para propsitos no autorizados. A legalidade do processo de monitorao do uso do computador varia de pas para pas e pode requerer que a direo avise a todos os usurios dessa monitorao e/ou que concordem formalmente com este processo. Quando o sistema estiver sendo usado para acesso pblico (por exemplo, um servidor pblico web) e sujeito a uma monitorao de segurana, convm que uma mensagem seja exibida na tela informando deste processo. 15.1.6 Regulamentao de controles de criptografia Controle Convm que controles de criptografia sejam usados em conformidade com todas as leis, acordos e regulamentaes relevantes. Diretrizes para implementao Convm que os seguintes itens sejam considerados para conformidade com leis, acordos e regulamentaes relevantes: a) restries importao e/ou exportao de hardware e software de computador para execuo de funes criptogrficas; b) restries importao e/ou exportao de hardware e software de computador que foi projetado para ter funes criptogrficas embutidas;
111
Cpia no autorizada
c) restries no uso de criptografia; d) mtodos mandatrios ou discricionrios de acesso pelas autoridades dos pases informao cifrada por hardware ou software para fornecer confidencialidade ao contedo. Convm que assessoria jurdica seja obtida para garantir a conformidade com as legislaes e leis nacionais vigentes. Tambm convm que seja obtida assessoria jurdica antes de se transferirem informaes cifradas ou controles de criptografia para outros pases.
15.2 Conformidade com normas e polticas de segurana da informao e conformidade tcnica

Objetivo: Garantir conformidade dos sistemas com as polticas e normas organizacionais de segurana da informao. Convm que a segurana dos sistemas de informao seja analisada criticamente a intervalos regulares. Convm que tais anlises crticas sejam executadas com base nas polticas de segurana da informao apropriadas e que as plataformas tcnicas e sistemas de informao sejam auditados em conformidade com as normas de segurana da informao implementadas pertinentes e com os controles de segurana documentados. 15.2.1 Conformidade com as polticas e normas de segurana da informao Controle Convm que gestores garantam que todos os procedimentos de segurana da informao dentro da sua rea de responsabilidade esto sendo executados corretamente para atender conformidade com as normas e polticas de segurana da informao. Diretrizes para implementao Convm que os gestores analisem criticamente, a intervalos regulares, a conformidade do processamento da informao dentro da sua rea de responsabilidade com as polticas de segurana da informao, normas e quaisquer outros requisitos de segurana. Se qualquer no-conformidade for encontrada como um resultado da anlise crtica, convm que os gestores: a) determinem as causas da no-conformidade; b) avaliem a necessidade de aes para assegurar que a no-conformidade no se repita; c) determinem e implementem ao corretiva apropriada; d) analisem criticamente a ao corretiva tomada. Convm que os resultados das anlises crticas e das aes corretivas realizadas pelos gestores sejam registrados e que esses registros sejam mantidos. Convm que os gestores relatem os resultados para as pessoas que esto realizando a anlise crtica independente (ver 6.1.8), quando a anlise crtica independente for realizada na rea de sua responsabilidade. Informaes adicionais A monitorao operacional de sistemas em uso apresentada em 10.10.
112
Cpia no autorizada
15.2.2 Verificao da conformidade tcnica Controle Convm que sistemas de informao sejam periodicamente verificados em sua conformidade com as normas de segurana da informao implementadas. Diretrizes para implementao Convm que a verificao de conformidade tcnica seja executada manualmente (auxiliada por ferramentas de software apropriadas, se necessrio) por um engenheiro de sistemas experiente, e/ou com a assistncia de ferramentas automatizadas que gerem relatrio tcnico para interpretao subseqente por um tcnico especialista. Se o teste de invaso ou avaliaes de vulnerabilidades forem usados, convm que sejam tomadas precaues, uma vez que tais atividades podem conduzir a um comprometimento da segurana do sistema. Convm que tais testes sejam planejados, documentados e repetidos. Convm que qualquer verificao de conformidade tcnica somente seja executada por pessoas autorizadas e competentes, ou sob a superviso de tais pessoas. Informaes adicionais A verificao da conformidade tcnica envolve a anlise dos sistemas operacionais para garantir que controles de hardware e software foram corretamente implementados. Este tipo de verificao de conformidade requer a assistncia de tcnicos especializados. A verificao de conformidade tambm engloba, por exemplo, testes de invaso e avaliaes de vulnerabilidades, que podem ser executados por especialistas independentes contratados especificamente para este fim. Isto pode ser til na deteco de vulnerabilidades do sistema e na verificao do quanto os controles so eficientes na preveno de acessos no autorizados devido a estas vulnerabilidades. Teste de invaso e avaliao de vulnerabilidades fornece um snapshot de um sistema em um estgio especfico para um tempo especfico. O snapshot est limitado para aquelas partes do sistema realmente testadas durante a etapa da invaso. O teste de invaso e as avaliaes de vulnerabilidades no so um substituto da anlise/avaliao de riscos.
15.3 Consideraes quanto auditoria de sistemas de informao

Objetivo: Maximizar a eficcia e minimizar a interferncia no processo de auditoria dos sistemas de informao. Convm que existam controles para a proteo dos sistemas operacionais e ferramentas de auditoria durante as auditorias de sistema de informao. Proteo tambm necessria para proteger a integridade e prevenir o uso indevido das ferramentas de auditoria. 15.3.1 Controles de auditoria de sistemas de informao Controle Convm que requisitos e atividades de auditoria envolvendo verificao nos sistemas operacionais sejam cuidadosamente planejados e acordados para minimizar os riscos de interrupo dos processos do negcio. Diretrizes para implementao Convm que as seguintes diretrizes sejam observadas: a) requisitos de auditoria sejam acordados com o nvel apropriado da administrao; b) escopo da verificao seja acordado e controlado;
113
Cpia no autorizada
c) a verificao esteja limitada ao acesso somente para leitura de software e dados; d) outros acessos diferentes de apenas leitura sejam permitidos somente atravs de cpias isoladas dos arquivos do sistema, e sejam apagados ao final da auditoria, ou dada proteo apropriada quando existir uma obrigao para guardar tais arquivos como requisitos da documentao da auditoria; e) recursos para execuo da verificao sejam identificados explicitamente e tornados disponveis; f) requisitos para processamento adicional ou especial sejam identificados e acordados;
g) todo acesso seja monitorado e registrado de forma a produzir uma trilha de referncia; convm que o uso de trilhas de referncia (time stamped) seja considerado para os sistemas ou dados crticos; h) todos os procedimentos, requisitos e responsabilidades sejam documentados; i) as pessoas que executem a auditoria sejam independentes das atividades auditadas.
15.3.2 Proteo de ferramentas de auditoria de sistemas de informao Controle Convm que o acesso s ferramentas de auditoria de sistema de informao seja protegido, para prevenir qualquer possibilidade de uso imprprio ou comprometimento. Diretrizes para implementao Convm que acessos s ferramentas de auditoria de sistemas de informao, por exemplo, software ou arquivos de dados, sejam separados de sistemas em desenvolvimento e em operao e no sejam mantidos em fitas de biblioteca ou reas de usurios, a menos que seja dado um nvel apropriado de proteo adicional. Informaes adicionais Quando terceiros esto envolvidos em uma auditoria, existe um risco de mau uso de ferramentas de auditoria por esses terceiros e da informao que est sendo acessada por este terceiro. Controles, tais como em 6.2.1 (para avaliar os riscos) e 9.1.2 (para restringir o acesso fsico), podem ser considerados para contemplar este risco, e convm que quaisquer conseqncias, tais como trocar imediatamente as senhas reveladas para os auditores, sejam tomadas.
114
Cpia no autorizada
Bibliografia
ABNT NBR ISO 10007:2005 Sistemas de gesto da qualidade - Diretrizes para a gesto de configurao ABNT NBR ISO 19011:2002 Diretrizes para auditorias de sistema de gesto da qualidade e/ou ambiental ABNT NBR ISO/IEC 12207:1998 Tecnologia de informao - Processos de ciclo de vida de software ABNT ISO/IEC Guia 2:1998 Normalizao e atividades relacionadas Vocabulrio geral ABNT ISO/IEC Guia 73:2005 Gesto de riscos Vocabulrio Recomendaes para uso em normas ISO 15489-1:2001 Information and documentation Records management Part 1: General ISO/IEC 9796-2:2002 Information technology Security techniques Digital signature schemes giving message recovery Part 2: Integer factorization based mechanisms ISO/IEC 9796-3:2000 Information technology Security techniques Digital signature schemes giving message recovery Part 3: Discrete logarithm based mechanisms ISO/IEC 11770-1:1996 Part 1: Framework Information technology Security techniques Key management
ISO/IEC 13335-1:2004 Information technology Security techniques Management of information and communications technology security Part 1: Concepts and models for information and communications technology security management ISO/IEC 13888-1: 1997 Information technology Security techniques Non-repudiation Part 1: General ISO/IEC 14516:2002 Information technology Security techniques Guidelines for the use and management of Trusted Third Party services ISO/IEC 14888-1:1998 Information technology Security techniques Digital signatures with appendix Part 1: General ISO/IEC 15408-1:1999 Information technology Security techniques Evaluation Criteria for IT security Part 1: Introduction and general model ISO/IEC 18028-4 Information technology Security techniques IT Network security Part 4: Securing remote access ISO/IEC TR 13335-3:1998 Information technology Guidelines for the Management of IT Security Part 3: Techniques for the management of IT Security ISO/IEC TR 18044 Information technology Security techniques Information security incident IEEE P1363-2000: Standard Specifications for Public-Key Cryptography OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security, 2002 OECD Guidelines for Cryptography Policy, 1997
115
Cpia no autorizada
ndice
A
aceitao de sistemas 10.3.2 acesso do pblico, reas de entrega e de carregamento 9.1.6 acordos de confidencialidade 6.1.5 acordos para a troca de informaes 10.8.2 ameaa 2.16 anlise/avaliao de riscos 2.11, 4.1 anlise crtica da poltica de segurana da informao 5.1.2 anlise crtica das aplicaes aps mudanas no sistema operacional 12.5.2 anlise crtica dos direitos de acesso de usurio 11.2.4 anlise crtica independente de segurana da informao 6.1.8 anlise de riscos 2.10 anlise e especificao dos requisitos de segurana 12.1.1 antes da contratao 8.1 aprendendo com os incidentes de segurana da informao 13.2.2 aquisio, desenvolvimento e manuteno de sistemas de informao 12 reas de entrega e de carregamento 9.1.6 reas seguras 9.1 aspectos da gesto da continuidade do negcio, relativos segurana da informao 14.1 ativo 2.1 atribuio das responsabilidades para a segurana da informao 6.1.3 autenticao para conexo externa do usurio 11.4.2 avaliao de riscos 2.12
C
classificao da informao 7.2 coleta de evidncias 13.2.3 comrcio eletrnico 10.9.1 comprometimento da direo com a segurana da informao 6.1.1 computao e comunicao mvel 11.7.1 computao mvel e trabalho remoto 11.7, 11.7.2 conformidade 15 conformidade com normas e polticas de segurana da informao e conformidade tcnica 15.2, 15.2.1 conformidade com requisitos legais 15.1 conformidades com as polticas e normas de segurana da informao 15.2.1 conscientizao, educao e treinamento em segurana da informao 8.2.2 consideraes quanto auditoria de sistemas de informao 15.3 contato com autoridades 6.1.6 contato com grupos especiais 6.1.7 continuidade de negcios e anlise/avaliao de risco 14.1.2 controle 2.2, 3.2 controles contra cdigos mveis 10.4.2 controle de acessos 11 controle de acesso aplicao e informao 11.6 controle de acesso rede 11.4 controle de acesso ao cdigo-fonte de programas 12.4.3 controle de acesso ao sistema operacional 11.5 controles de auditoria de sistemas de informao 15.3.1 controle de conexo de rede 11.4.6 controle de entrada fsica 9.1.2 controle de processamento interno 12.2.2 controle de roteamento de redes 11.4.7
116
Cpia no autorizada
controle de software operacional 12.4.1 controle de vulnerabilidades tcnicas 12.6.1 controle do processamento interno 12.2.2 controles contra cdigos maliciosos 10.4.1 controles contra cdigos mveis 10.4.2 controles criptogrficos 12.3 controles de auditoria de sistemas de informao 15.3.1 controles de entrada fsica 9.1.2 controles de redes 10.6.1 coordenao da segurana da informao 6.1.2 cpias de segurana 10.5 cpias de segurana das informaes 10.5.1
D
descarte de mdias 10.7.2 desconexo de terminal por inatividade 11.5.5 desenvolvimento e implementao de planos de continuidade relativos segurana da informao 14.1.3 desenvolvimento terceirizado de software 12.5.5 devoluo de ativos 8.3.2 direitos de propriedade intelectual 15.1.2 diretriz 2.3 documentao dos procedimentos de operao 10.1.1 documento da poltica de segurana da informao 5.1.1 durante a contratao 8.2
E
encerramento de atividades 8.3.1 encerramento ou mudana da contratao 8.3 entrega de servios 10.2.1 equipamento de usurio sem monitorao 11.3.2 estrutura do plano de continuidade do negcio 14.1.4 evento de segurana da informao 2.6, 13.1
G
gerenciamento da segurana em redes 10.6 gerenciamento das operaes e comunicaes 10 gerenciamento de acesso do usurio 11.2 gerenciamento de chaves 12.3.2 gerenciamento de mdias removveis 10.7.1 gerenciamento de mudanas para servios terceirizados 10.2.3 gerenciamento de privilgios 11.2.2 gerenciamento de senha do usurio 11.2.3 gerenciamento de servios terceirizados 10.2 gesto da continuidade do negcio 14 gesto de ativos 7 gesto de capacidade 10.3.1 gesto de incidentes de segurana da informao 13, 13.2 gesto de mudanas 10.1.2 gesto de riscos 2.13 gesto de vulnerabilidades tcnicas 12.6
117
Cpia no autorizada
I
identificao da legislao vigente 15.1.1 identificao de equipamento em redes 11.4.3 identificao dos riscos relacionados com partes externas 6.2.1 identificao e autenticao de usurio 11.5.2 identificando a segurana da informao, quando tratando com os clientes 6.2.2 identificando segurana da informao nos acordos com terceiros 6.2.3 incidente de segurana da informao 2.7, 13.2 incluindo segurana da informao no processo de gesto da continuidade do negcio 14.1.1 informaes publicamente disponveis 10.9.3 infra-estrutura da segurana da informao 6.1 instalao e proteo do equipamento 9.2.1 integridade de mensagens 12.2.3 inventrio dos ativos 7.1.1 isolamento de sistemas sensveis 11.6.2
L
limitao de horrio de conexo 11.5.6
M
manuseio de mdias 10.7 manuteno dos equipamentos 9.2.4 mensagens eletrnicas 10.8.4 mdias em trnsito 10.8.3 monitoramento 10.10 monitoramento do uso do sistema 10.10.2 monitoramento e anlise crtica de servios terceirizados 10.2.2
N
notificao de eventos de segurana da informao 13.1.1 notificao de fragilidades e eventos de segurana da informao 13.1, 13.1.2 notificando fragilidades de segurana da informao 13.1.2
O
organizando a segurana da informao 6
P
papis e responsabilidades 8.1.1 partes externas 6.2 permetro de segurana fsica 9.1.1 planejamento e aceitao dos sistemas 10.3 poltica 2.8 poltica de controle de acesso 11.1.1 poltica de mesa limpa e tela limpa 11.3.3 poltica de segurana da informao 5, 5.1 poltica de uso dos servios de rede 11.4.1
118
Cpia no autorizada
poltica e procedimentos para troca de informaes 10.8.1 poltica para o uso de controles criptogrficos 12.3.1 polticas e procedimentos para troca de informaes 10.8.1 preveno de mau uso de recursos de processamento da informao 15.1.5 principais categorias de segurana da informao 3.2 procedimentos e responsabilidades operacionais 10.1, 10.1.1 procedimentos para controle de mudanas 12.5.1 procedimentos para tratamento de informao 10.7.3 procedimentos seguros de entrada no sistema (log-on) 11.5.1 processamento correto nas aplicaes 12.2 processo de autorizao para os recursos de processamento da informao 6.1.4 processo disciplinar 8.2.3 proprietrio dos ativos 7.1.2 proteo contra ameaas externas e do meio ambiente 9.1.4 proteo contra cdigos maliciosos e cdigos mveis 10.4 proteo das informaes dos registros (log) 10.10.3 proteo de dados e privacidade de informao pessoal 15.1.4 proteo de ferramentas de auditoria de sistemas de informao 15.3.2 proteo de registros organizacionais 15.1.3 proteo dos dados para teste de sistema 12.4.2 proteo e configurao de portas de diagnstico remotas 11.4.4
R
recomendaes para classificao 7.2.1 recursos de processamento da informao 2.4 registros (log) de administrador e operador 10.10.4 registros (log) de falhas 10.10.5 registros de auditoria 10.10.1 regulamentao de controles de criptografia 15.1.6 requisitos de negcio para controle de acesso 11.1 responsabilidade pelos ativos 7.1 responsabilidades da direo 8.2.1 responsabilidades dos usurios 11.3 responsabilidades e procedimentos 13.2.1 restrio de acesso informao 11.6, 11.6.1 restries sobre mudanas em pacotes de software 12.5.3 remoo de propriedade 9.2.7 retirada de direitos de acesso 8.3.3 reutilizao e alienao segura de equipamentos 9.2.6 risco 2.9 rtulos e tratamento da informao 7.2.2
S
segregao de funes 10.1.3 segregao de redes 11.4.5 segurana da documentao dos sistemas 10.7.4 segurana da informao 2.5 segurana de equipamentos 9.2 segurana de equipamento fora das dependncias da organizao 9.2.5 segurana do cabeamento 9.2.3 segurana dos arquivos do sistema 12.4 segurana dos servios de rede 10.6.2 segurana em escritrios, salas e instalaes 9.1.3 segurana em processos de desenvolvimento e de suporte 12.5
119
Cpia no autorizada
segurana fsica e do ambiente 9 segurana em recursos humanos 8 seguranas de equipamentos 9.2 seleo 8.1.2 separao dos recursos de desenvolvimento, teste e de produo 10.1.4 servios de comrcio eletrnico 10.9 sincronizao dos relgios 10.10.6 sistema de gerenciamento de senha 11.5.3 sistemas de informaes do negcio 10.8.5
T
terceiros 2.15 termos e condies de contratao 8.1.3 testes, manuteno e reavaliao dos planos de continuidade do negcio 14.1.5 trabalho em reas seguras 9.1.5 trabalho remoto 11.7.2 transaes on-line 10.9.2 tratamento de risco 2.14, 4.2 troca de informaes 10.8
U
uso aceitvel dos ativos 7.1.3 uso de senhas 11.3.1 uso de utilitrios de sistema 11.5.4 utilidades 9.2.2
V
validao de dados de sada 12.2.4 validao dos dados de entrada 12.2.1 vazamento de informaes 12.5.4 verificao da conformidade tcnica 15.2.2 vulnerabilidades 2.17
120

Abnt NBR Isoiec 17799

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Abnt NBR Isoiec 17799

Uploaded by

Copyright:

Available Formats

Cpia no autorizada

ABNT NBR ISO/IEC 17799

Nmero de referncia ABNT NBR ISO/IEC 17799:2005 120 pginas

ABNT NBR ISO/IEC 17799:2005

ABNT 2005 - Todos os direitos reservados

ABNT NBR ISO/IEC 17799:2005

ABNT 2005 - Todos os direitos reservados

ABNT NBR ISO/IEC 17799:2005

ABNT 2005 - Todos os direitos reservados

ABNT NBR ISO/IEC 17799:2005

ABNT 2005 - Todos os direitos reservados

ABNT NBR ISO/IEC 17799:2005

ABNT 2005 - Todos os direitos reservados

ABNT NBR ISO/IEC 17799:2005

ABNT 2005 - Todos os direitos reservados

ABNT NBR ISO/IEC 17799:2005

ABNT 2005 - Todos os direitos reservados

ABNT NBR ISO/IEC 17799:2005

0.1 O que segurana da informao?

0.2 Por que a segurana da informao necessria?

ABNT 2005 - Todos os direitos reservados

ABNT NBR ISO/IEC 17799:2005

0.3 Como estabelecer requisitos de segurana da informao

Analisando/avaliando os riscos de segurana da informao

0.5 Seleo de controles

ABNT 2005 - Todos os direitos reservados

ABNT NBR ISO/IEC 17799:2005

0.6 Ponto de partida para a segurana da informao

0.7 Fatores crticos de sucesso

ABNT 2005 - Todos os direitos reservados

ABNT NBR ISO/IEC 17799:2005

0.8 Desenvolvendo suas prprias diretrizes

ABNT 2005 - Todos os direitos reservados

ABNT NBR ISO/IEC 17799:2005

ABNT 2005 - Todos os direitos reservados

ABNT NBR ISO/IEC 17799:2005

ABNT 2005 - Todos os direitos reservados

ABNT NBR ISO/IEC 17799:2005

ABNT 2005 - Todos os direitos reservados

ABNT NBR ISO/IEC 17799:2005

Estrutura desta Norma

Principais categorias de segurana da informao

ABNT 2005 - Todos os direitos reservados

ABNT NBR ISO/IEC 17799:2005

ABNT 2005 - Todos os direitos reservados

ABNT NBR ISO/IEC 17799:2005

Anlise/avaliao e tratamento de riscos

Tratando os riscos de segurana da informao

ABNT 2005 - Todos os direitos reservados

ABNT NBR ISO/IEC 17799:2005

ABNT 2005 - Todos os direitos reservados

ABNT NBR ISO/IEC 17799:2005

Poltica de segurana da informao

ABNT 2005 - Todos os direitos reservados

ABNT NBR ISO/IEC 17799:2005

Anlise crtica da poltica de segurana da informao

ABNT 2005 - Todos os direitos reservados

ABNT NBR ISO/IEC 17799:2005

Organizando a segurana da informao

ABNT 2005 - Todos os direitos reservados

ABNT NBR ISO/IEC 17799:2005

ABNT 2005 - Todos os direitos reservados

ABNT NBR ISO/IEC 17799:2005