Introduo

O que segurana da informao? A informao um ativo que, como qualquer outro ativo importante para os negcios, tem um valor para a organizao e consequentemente necessita ser adequadamente protegida. A segurana da informao protege a informao de diversos tipos de ameaas para garantir a continuidade dos negcios, minimizar os danos aos negcios e maximizar o retorno dos investimentos e as oportunidades de negcio. A informao pode existir em muitas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou atravs de meios eletrnicos, mostrada em filmes ou falada em conversas. Seja qual for a forma apresentada ou o meio atravs do qual a informao compartilhada ou armazenada, recomendado que ela seja sempre protegida adequadamente. A segurana da informao aqui caracterizada pela preservao de: a) Confidencialidade : garantia de que a informao acessvel somente por pessoas autorizadas a terem acesso; b) Integridade : salvaguarda da exatido e completeza da informao e dos mtodos de processamento; c) Disponibilidade : garantia de que os usurios autorizados obtenham acesso informao e aos ativos correspondentes sempre que necessrio. Segurana da informao obtida a partir da implementao de uma srie de controles, que podem ser polticas, prticas, procedimentos, estruturas organizacionais e funes de software. Estes controles precisam ser estabelecidos para garantir que os objetivos de segurana especficos da organizao sejam atendidos.

Por que a segurana da informao necessria A informao e os processos de apoio, sistemas e redes so importantes ativos para os negcios. Confidencialidade, integridade e disponibilidade da informao podem ser essenciais para preservar a competitividade, o faturamento, a lucratividade, o atendimento aos requisitos legais e a imagem da organizao no mercado.

Cada vez mais as organizaes, seus sistemas de informao e redes de computadores so colocados prova por diversos tipos de ameaas segurana da informao de uma variedade de fontes, incluindo fraudes eletrnicas, espionagem, sabotagem, vandalismo, fogo ou inundao. Problemas causados por vrus, hackers e ataques de denial of service esto se tornando cada vez mais comuns, mais ambiciosos e incrivelmente mais sofisticados. A dependncia nos sistemas de informao e servios significa que as organizaes esto mais vulnerveis s ameaas de segurana. A interconexo de redes pblicas e privadas e o compartilhamento de recursos de informao aumentam a dificuldade de se controlar o acesso. A tendncia da computao distribuda dificulta a implementao de um controle de acesso centralizado realmente eficiente. Muitos sistemas de informao no foram projetados para serem seguros. A segurana que pode ser alcanada por meios tcnicos limitada e convm que seja apoiada por gesto e procedimentos apropriados. A identificao de quais controles convm que sejam implantados requer planejamento cuidadoso e ateno aos detalhes. A gesto da segurana da informao necessita, pelo menos, da participao de todos os funcionrios da organizao. Pode ser que seja necessria tambm a participao de fornecedores, clientes e acionistas. Consultoria externa especializada pode ser tambm necessria. Os controles de segurana da informao so consideravelmentemais baratos emais eficientes se forem incorporados nos estgios do projeto e da especificao dos requisitos. Como estabelecer requisitos de segurana essencial que uma organizao identifique os seus requisitos de segurana. Existem trs fontes principais. A primeira fonte derivada da avaliao de risco dos ativos da organizao. Atravs da avaliao de risco so identificadas as ameaas aos ativos, as vulnerabilidades e sua probabilidade de ocorrncia avaliada, bem como o impacto potencial estimado.

A segunda fonte a legislao vigente, os estatutos, a regulamentao e as clusulas contratuais que a organizao, seus parceiros, contratados e prestadores de servio tm que atender. A terceira fonte o conjunto particular de princpios, objetivos e requisitos para o processamento da informao que uma organizao tem que desenvolver para apoiar suas operaes. Avaliando os riscos de segurana Os requisitos de segurana so identificados atravs de uma avaliao sistemtica dos riscos de segurana. Os gastos com os controles necessitam ser balanceados de acordo com os danos causados aos negcios gerados pelas potenciais falhas na segurana. As tcnicas de avaliao de risco podem ser aplicadas em toda a organizao ou apenas em parte dela, assim como em um sistema de informao individual, componentes de um sistema especfico ou servios, quando for vivel, prtico e til. A avaliao de risco uma considerao sistemtica: a) do impacto nos negcios como resultado de uma falha de segurana, levandose em conta as potenciais conseqncias a) da perda de confidencialidade, integridade ou disponibilidade da informao ou de outros ativos; b) da probabilidade de tal falha realmente ocorrer luz das ameaas e vulnerabilidades mais freqentes e nos controles atualmente implementados. Os resultados dessa avaliao ajudaro a direcionar e determinar aes gerenciais e prioridades mais adequadas para um gerenciamento dos riscos da segurana da informao e a selecionar os controles a serem implementados para a proteo contra estes riscos. Pode ser necessrio que o processo de avaliao de riscos e seleo de controles seja executado um determinado nmero de vezes para proteger as diferentes partes da organizao ou sistemas de informao isolados. necessrio realizar anlises crticas peridicas dos riscos de segurana e dos controles implementados para: a) considerar as mudanas nos requisitos de negcio e suas prioridades; b) considerar novas ameaas e vulnerabilidades; c) confirmar que os controles permanecem eficientes e adequados.

Convm que as anlises crticas sejam executadas em diferentes nveis de profundidade, dependendo dos resultados das avaliaes de risco feitas anteriormente e das mudanas nos nveis de riscos que a direo considera aceitvel para os negcios. As avaliaes de risco so sempre realizadas primeiro em nvel mais geral, como uma forma de priorizar recursos em reas de alto risco, e ento em um nvel mais detalhado, para solucionar riscos especficos. Seleo de controles Uma vez tendo sido identificados os requisitos de segurana, convm que os controles sejam selecionados e implementados para assegurar que os riscos so reduzidos a um nvel aceitvel. Os controles podem ser selecionados a partir desta Norma ou de outro conjunto de controles, ou novos controles podem ser desenvolvidos para atender s necessidades especficas, quando apropriado. Existem diversas maneiras de gerenciar os riscos e esta Norma fornece exemplos para as situaes mais comuns. De qualquer forma, necessrio reconhecer que alguns controles no so aplicveis em todos os sistemas de informao ou ambientes e que podem no ser praticveis para todas as organizaes. Como um exemplo,8.1.4 descreve como as funes podem ser segregadas para prevenir fraudes e erros. Pode no ser possvel para pequenas organizaes segregar todas as funes e uma outra maneira de se alcanar o mesmo objetivo de controle pode ser necessria. Como outro exemplo, 9.7 e 12.1 descrevem como o uso de um sistema pode ser monitorado e como as evidncias podem ser coletadas. Os controles descritos, por exemplo o registro de eventos, podem ser conflitantes com a legislao vigente, como a proteo da privacidade de clientes ou no local de trabalho. Convm que os controles sejam selecionados baseados nos custos de implementao em relao aos riscos que sero reduzidos e as perdas potenciais se as falhas na segurana ocorrerem. Convm que fatores no financeiros, como, por exemplo, prejuzos na reputao da organizao, sejam tambm levados em considerao. Alguns dos controles nesta Norma podem ser considerados como princpios bsicos para a gesto da segurana da informao e podem ser aplicados na maioria das organizaes. Eles so explicados em mais detalhes no item Ponto de partida para a segurana da informao. Ponto de partida para a segurana da informao

Um nmero de controles pode ser considerado como princpios bsicos, fornecendo um bom ponto de partida para a implementao da segurana da informao. So baseados tanto em requisitos legais como nas melhores prticas de segurana da informao normalmente usadas. Os controles considerados essenciais para uma organizao, sob o ponto de vista legal, incluem: a) proteo de dados e privacidade de informaes pessoais (ver 12.1.4); b) salvaguarda de registros organizacionais (ver 12.1.3); c) direitos de propriedade intelectual (ver 12.1.2). Os controles considerados como melhores prticas para a segurana da informao incluem: a) documento da poltica de segurana da informao (ver 3.1); b) definio das responsabilidades na segurana da informao (ver 4.1.3); c) educao e treinamento em segurana da informao (ver 6.2.1); d) relatrio dos incidentes de segurana (ver 6.3.1); e) gesto da continuidade do negcio (ver 11.1). Estes controles se aplicam para a maioria das organizaes e na maioria dos ambientes. Convm que seja notado que, embora todos os controles nesta Norma sejam importantes, a relevncia de qualquer controle seja determinada luz de riscos especficos que uma organizao est exposta. Por isto, embora o enfoque acima seja considerado um bom ponto de partida, ele no substitui a seleo de controles, baseada na avaliao de risco. Fatores crticos de sucesso A experincia tem mostrado que os seguintes fatores so geralmente crticos para o sucesso da implementao da segurana da informao dentro de uma organizao: a) poltica de segurana, objetivos e atividades, que reflitam os objetivos do negcio; b) um enfoque para a implementao da segurana que seja consistente com a cultura organizacional; c) comprometimento e apoio visvel da direo;

d) um bom entendimento dos requisitos de segurana, avaliao de risco e gerenciamento de risco; e) divulgao eficiente da segurana para todos os gestores e funcionrios; f) distribuio das diretrizes sobre as normas e poltica de segurana da informao para todos os funcionrios e fornecedores; g) proporcionar educao e treinamento adequados; h) um abrangente e balanceado sistema de medio, que usado para avaliar o desempenho da gesto de segurana da informao e obteno de sugestes para a melhoria. Desenvolvendo suas prprias recomendaes Esta Norma pode ser considerada como o ponto de partida para o desenvolvimento de recomendaes especficas para a organizao. Nem todas as recomendaes e os controles nesta Norma podem ser aplicados. Alm disto, controles adicionais no includos nesta Norma podem ser necessrios. Quando isto acontecer pode ser til manter uma referncia cruzada para facilitar a verificao da conformidade por auditores e parceiros de negcio. 1 Objetivo Esta Norma fornece recomendaes para gesto da segurana da informao para uso por aqueles que so responsveis pela introduo, implementao ou manuteno da segurana em suas organizaes. Tem como propsito prover uma base comum para o desenvolvimento de normas de segurana organizacional e das prticas efetivas de gesto da segurana, e prover confiana nos relacionamentos entre as organizaes. Convm que as recomendaes descritas nesta Norma sejam selecionadas e usadas de acordo com a legislao e as regulamentaes vigentes. 2 Termos e definies Para os efeitos desta Norma, aplicam-se as seguintes definies: 2.1 segurana da informao: Preservao da confidencialidade, integridade e disponibilidade da informao.

- confidencialidade: Garantia de que o acesso informao seja obtido somente por pessoas autorizadas. - integridade: Salvaguarda da exatido e completeza da informao e dos mtodos de processamento. - disponibilidade: Garantia de que os usurios autorizados obtenham acesso informao e aos ativos correspondentes sempre que necessrio. 2.2 avaliao de risco: Avaliao das ameaas, impactos e vulnerabilidades da informao e das instalaes de processamento da informao e da probabilidade de sua ocorrncia. 2.3 gerenciamento de risco: Processo de identificao, controle e minimizao ou eliminao dos riscos de segurana que podem afetar os sistemas de informao, a um custo aceitvel. 3 Poltica de segurana 3.1 Poltica de segurana da informao Objetivo: Prover direo uma orientao e apoio para a segurana da informao. Convm que a direo estabelea uma poltica clara e demonstre apoio e comprometimento com a segurana da informao atravs da emisso e manuteno de uma poltica de segurana da informao para toda a organizao. 3.1.1 Documento da poltica de segurana da informao Convm que um documento da poltica seja aprovado pela direo, publicado e comunicado, de forma adequada, para todos os funcionrios. Convm que este expresse as preocupaes da direo e estabelea as linhas-mestras para a gesto da segurana da informao. No mnimo, convm que as seguintes orientaes sejam includas: a) definio de segurana da informao, resumo das metas e escopo e a importncia da segurana como um mecanismo que habilita o compartilhamento da informao (ver introduo); b) declarao do comprometimento da alta direo, apoiando as metas e princpios da segurana da informao;

c) breve explanao

das polticas,

princpios, padres

requisitos

de

conformidade de importncia especfica para a organizao, por exemplo: 1) conformidade com a legislao e clusulas contratuais; 2) requisitos na educao de segurana; 3) preveno e deteco de vrus e software maliciosos; 4) gesto da continuidade do negcio; 5) conseqncias das violaes na poltica de segurana da informao; d) definio das responsabilidades gerais e especficas na gesto da segurana da informao, incluindo o registro dos incidentes de segurana; e) referncias documentao que possam apoiar a poltica, por exemplo, polticas e procedimentos de segurana mais detalhados de sistemas de informao especficos ou regras de segurana que convm que os usurios sigam.

Convm que esta poltica seja comunicada atravs de toda a organizao para os usurios na forma que seja relevante, acessvel e compreensvel para o leitor em foco. 3.1.2 Anlise crtica e avaliao Convm que a poltica tenha um gestor que seja responsvel por sua manuteno e anlise crtica, de acordo com um processo de anlise crtica definido. Convm que este processo garanta que a anlise crtica ocorra como decorrncia de qualquer mudana que venha a afetar a avaliao de risco original, tais como um incidente de segurana significativo, novas vulnerabilidades ou mudanas organizacionais ou na infra-estrutura tcnica. Convm que tambm sejam agendadas as seguintes anlises crticas peridicas: a) efetividade da poltica, demonstrada pelo tipo, volume e impacto dos incidentes de segurana registrados; b) custo e impacto dos controles na eficincia do negcio; c) efeitos das mudanas na tecnologia. 4 Segurana organizacional

4.1 Infra-estrutura da segurana da informao Objetivo: Gerenciar a segurana da informao na organizao. Convm que uma estrutura de gerenciamento seja estabelecida para iniciar e controlar a implementao da segurana da informao dentro da organizao. Convm que fruns apropriados de gerenciamento com liderana da direo sejam estabelecidos para aprovar a poltica de segurana da informao, atribuir as funes da segurana e coordenar a implementao da segurana atravs da organizao. Se necessrio, convm que uma fonte especializada em segurana da informao seja estabelecida e disponibilizada dentro da organizao. Convm que contatos com especialistas de segurana externos sejam feitos para se manter atualizado com as tendncias do mercado, monitorar normas e mtodos de avaliao, alm de fornecer o principal apoio durante os incidentes de segurana. Convm que um enfoque multidisciplinar na segurana da informao seja incentivado, tais como o envolvimento, cooperao e colaborao de gestores, usurios, administradores, projetistas de aplicaes, auditores, equipes de segurana e especialistas em reas como seguro e gerenciamento de risco.

4.1.1 Gesto do frum de segurana da informao A segurana da informao uma responsabilidade de negcios compartilhada por todos os membros da equipe da direo. Convm que seja considerada a criao de um frum de gesto para garantir um direcionamento claro e um suporte de gesto visvel dos envolvidos para as iniciativas de segurana. Convm que este frum promova a segurana dentro da organizao atravs do comprometimento apropriado e dos recursos adequados. O frum pode ser parte de um corpo administrativo existente. Tipicamente, tal frum responsvel pelo seguinte: a) anlise crtica e aprovao da poltica da segurana da informao e das responsabilidades envolvidas; b) monitorao das principais mudanas na exposio dos ativos das informaes s principais ameaas; c) anlise crtica e monitorao de incidentes de segurana da informao; d) aprovao das principais iniciativas para aumentar o nvel da segurana da informao.

Convm que um gestor seja responsvel por todas as atividades relacionadas com a segurana. 4.1.2 Coordenao da segurana da informao Em grandes organizaes um frum multifuncional com representantes da direo de reas relevantes da organizaopode ser necessrio para coordenar a implementao de controles da segurana da informao. Tipicamente, tal frum: a) busca as regras e as responsabilidades especficas para a segurana da informao atravs da organizao; b) busca as metodologias e processos especficos para a segurana da informao, tais como avaliao de risco e a) sistema de classificao de segurana; b) busca e apia iniciativas de segurana da informao aplicveis por toda a organizao, por exemplo programa da c) conscientizao em segurana; d) garante que a segurana seja parte do processo de planejamento da informao; e) avalia a adequao e coordena a implementao de controles especficos de segurana da informao para novos f) sistemas ou servios; g) analisa criticamente incidentes de segurana da informao; h) promove a visibilidade do suporte aos negcios para segurana da informao atravs da organizao. 4.1.3 Atribuio das responsabilidades em segurana da informao Convm que as responsabilidades pela proteo de cada ativo e pelo cumprimento de processos de segurana especficos sejam claramente definidas. Convm que a poltica de segurana da informao (ver seo 3) fornea um guia geral sobre a atribuio de regras e responsabilidades de segurana na organizao. Convm que seja complementada, onde for necessrio, com orientaes mais detalhadas para locais, sistemas ou servios especficos. Convm que sejam claramente definidas as responsabilidades em cada local para os ativos fsicos e de informao, bem como dos processos de segurana, como, por exemplo, o plano de continuidade de negcios.

Em muitas organizaes um gestor de segurana da informao ser indicado para arcar com toda a responsabilidade pelo desenvolvimento e implementao da segurana e pelo suporte identificao dos controles. Contudo, a responsabilidade pela alocao de recursos e pela implementao dos controles geralmente permanece com os gestores. Uma prtica comum indicar um proprietrio para cada ativo de informao, tornando responsvel pela sua segurana do dia-a-dia. Os proprietrios dos ativos de informao podem delegar suas responsabilidades de segurana a outros gestores ou prestadores de servio. Todavia o proprietrio continua como responsvel final pela segurana do ativo e convm que seja capaz de determinar se esto sendo corretamente delegadas as responsabilidades. essencial que as reas pelas quais cada gestor responsvel estejam claramente estabelecidas; em particular recomenda-se que os itens seguintes sejam cumpridos. a) Convm que os vrios ativos e processos de segurana associados com cada sistema sejam identificados e claramente definidos. b) Convm que o gestor responsvel por cada ativo ou processo de segurana esteja de acordo e os detalhes dessa responsabilidade sejam documentados. c) Convm que os nveis de autorizao sejam claramente definidos e documentados. 4.1.4 Processo de autorizao para as instalaes de processamento da informao Convm que seja estabelecido um processo de gesto de autorizao para novos recursos de processamento da informao. Recomenda-se que os seguintes controles sejam considerados. a) Convm que novos recursos tenham aprovao adequada por parte da administrao de usurios, autorizando seus propsitos e uso. Convm que a aprovao tambm seja obtida junto ao gestor responsvel pela manuteno do a) sistema de segurana da informao para garantir que todas as polticas e requisitos de segurana relevantes so atendidos. b) Convm que o hardware e o software sejam verificados para garantir que so compatveis com outros componentes do sistema, onde necessrios. c) NOTA - Este tipo de aprovao pode ser requerido para certas conexes.

d) Convm que o uso de recursos pessoais de processamento de informao para o processamento de informao de negcio e para quaisquer controles necessrios seja autorizado. e) O uso de recursos pessoais de processamento de informao no ambiente de trabalho pode causar novas vulnerabilidades e, por esta razo, convm que seja avaliado e autorizado. Estes controles so especialmente importantes em um ambiente de rede de computadores. 4.1.5 Consultoria especializada em segurana da informao Consultoria especializada em segurana normalmente necessria em diversas organizaes. Em condies ideais, convm que um consultor de segurana da informao interno e com boa experincia fornea isso. Nem todas as organizaes desejam empregar um consultor especialista. Nestes casos, recomendvel que seja identificado um colaborador especfico para coordenar o conhecimento e as experincias internos para garantir consistncia e fornecer auxlio nas tomadas de deciso sobre segurana. Convm que essas organizaes tambm tenham acesso a consultores externos para prover consultoria especializada alm da sua prpria experincia. Convm que consultores em segurana da informao ou contatos equivalentes sejam incumbidos de fornecer apoio em todos os aspectos da segurana da informao, utilizando suas prprias experincias ou consultoria externa. A qualidade de suas avaliaes das ameaas segurana e a consultoria nos controles determinaro a eficincia da segurana da informao da organizao. Para efetividade e impactos mximos convm que eles tenham permisso de acesso direto administrao em toda a organizao. Convm que o consultor em segurana da informao ou contato equivalente seja consultado o mais cedo possvel aps suspeitas de incidente ou violao de segurana para fornecer orientaes especializadas ou recursos para o processo investigativo. Embora a maioria das investigaes de segurana internas normalmente seja executada sob controle da administrao, o consultor de segurana da informao pode ser chamado para recomendar, liderar ou conduzir a investigao. 4.1.6 Cooperao entre organizaes Convm que sejam mantidos contatos apropriados com autoridades legais, organismos reguladores, provedores de servio de informao e operadores de

telecomunicaes, de forma a garantir que aes adequadas e apoio especializado possam ser rapidamente acionados na ocorrncia de incidentes de segurana. De forma similar, convm que a filiao a grupos de segurana e a fruns setoriais seja considerada. Convm que trocas de informaes de segurana sejam restritas para garantir que informaes confidenciais da organizao no sejam passadas para pessoas no autorizadas. 4.1.7 Anlise crtica independente de segurana da informao O documento da poltica de segurana da informao (ver 3.1) estabelece a poltica e as responsabilidades pela segurana da informao. Convm que a sua implementao seja analisada criticamente, de forma independente, para fornecer garantia de que as prticas da organizao refletem apropriadamente a poltica, e que esta adequada e eficiente (ver 12.2). Tal anlise crtica pode ser executada pela auditoria interna, por um gestor independente ou por uma organizao prestadora de servios especializada em tais anlises crticas, onde estes possurem habilidade e experincia apropriadas. 4.2 Segurana no acesso de prestadores de servios Objetivo: Manter a segurana dos recursos de processamento de informao e ativos de informao organizacionais acessados por prestadores de servios. Convm que seja controlado o acesso de prestadores de servios aos recursos de processamento da informao da organizao. Onde existir uma necessidade de negcio para este acesso de prestadores de servios, convm que seja feita uma avaliao dos riscos envolvidos para determinar as possveis implicaes na segurana e os controles necessrios. Convm que os controles sejam acordados e definidos atravs de contrato assinado com os prestadores de servios. O acesso de prestadores de servios pode tambm envolver outros participantes. Convm que os contratos liberando o acesso de prestadores de servios incluam a permisso para designao de outros participantes qualificados, assim como as condies de seus acessos. Esta Norma pode ser utilizada como base para tais contratos e levada em considerao na terceirizao do processamento da informao. 4.2.1 Identificao dos riscos no acesso de prestadores de servios

4.2.1.1 Tipos de acesso O tipo de acesso dado a prestadores de servios de especial importncia. Por exemplo, os riscos no acesso atravs de uma conexo de rede so diferentes dos riscos resultantes do acesso fsico. Convm que os seguintes tipos de acesso sejam considerados: a) acesso fsico, por exemplo a escritrios, sala de computadores, gabinetes de cabeamento; b) acesso lgico, por exemplo aos bancos de dados da organizao, sistemas de informao. 4.2.1.2 Razes para o acesso Acessos a prestadores de servios podem ser concedidos por diversas razes. Por exemplo, existem prestadores de servios que fornecem servios para uma organizao e no esto localizados no mesmo ambiente, mas necessitam de acessos fsicos e lgicos, tais como: a) equipes de suporte de hardware e software, que necessitam ter acesso em nvel de sistema ou acesso s a) funcionalidades de baixo nvel nas aplicaes; b) parceiros comerciais ou joint ventures, que podem trocar informaes, acessar sistemas de informao ou c) compartilhar bases de dados. As informaes podem ser colocadas em risco pelo acesso de prestadores de servios com uma administrao inadequada da segurana. Existindo a necessidade de negcios de conexo com prestadores de servios, convm que uma avaliao de risco seja feita para se identificar quaisquer necessidades de implementao de controles de segurana. Convm que sejam levados em conta o tipo de acesso requerido, o valor da informao, os controles empregados por prestadores de servios e as implicaes deste acesso segurana da informao da organizao. 4.2.1.3 Contratados para servios internos Prestadores de servios que, por contrato, devem permanecer dentro da organizao por um perodo de tempo determinado tambm podem aumentar a fragilidade na segurana. Exemplos de prestadores de servio dentro da organizao incluem: a) equipes de suporte e manuteno de hardware e software;

b) pessoal da limpeza, servios de buffets, guardas da segurana e outros servios de apoio terceirizados; c) alocao de estagirios e outras contrataes de curta durao; d) consultores. essencial entender quais controles so necessrios para administrar o acesso de prestadores de servios aos recursos de processamento da informao. Geralmente, convm que todos os requisitos de segurana resultantes do acesso de prestadores de servios ou dos controles internos sejam refletidos nos contratos firmados com estes (ver tambm 4.2.2). Por exemplo, caso exista uma necessidade especial por confidencialidade da informao, um acordo de sigilo pode ser utilizado (ver 6.1.3). Convm que o acesso de prestadores de servios informao e aos recursos de processamento da informao no seja permitido at que os controles apropriados sejam implementados e um contrato definindo os termos para a conexo ou acesso seja assinado.

4.2.2 Requisitos de segurana nos contratos com prestadores de servios Convm que acordos envolvendo o acesso de prestadores de servios aos recursos de processamento da informao da organizao sejam baseados em contratos formais que contenham, ou faam referncia a, todos os requisitos de segurana, de forma a garantir a conformidade com as normas e polticas de segurana da organizao. Convm que o contrato garanta que no existam mal-entendidos entre a organizao e prestadores de servios. Convm que as organizaes considerem a indenizao a ser paga por seus fornecedores em situaes de violaes de contrato. Convm que os seguintes termos sejam considerados e includos nos contratos: a) a poltica geral sobre segurana da informao; b) proteo de ativos, incluindo: 1) procedimentos para proteo dos ativos da organizao, incluindo informao e software; 2) procedimentos para determinar se houve algum comprometimento destes ativos, por exemplo se houve perda ou modificao de dados; 3) controles para garantir a devoluo ou destruio das informaes e ativos em um determinado momento durante ou no final do contrato; 4) integridade e disponibilidade;

5) restries relacionadas com a cpia e divulgao da informao; c) descrio de cada servio que deve estar disponvel; d) nveis de servio desejados e no aceitveis; e) condies para transferncia da equipe de trabalho, onde for apropriado; f) as respectivas obrigaes dos envolvidos no acordo; g) responsabilidades com aspectos legais, por exemplo leis de proteo de dados, especialmente levando em considerao diferenas nas legislaes vigentes se o contrato envolver a cooperao com organizaes de outros pases (ver tambm 12.1); h) direitos de propriedade intelectual e direitos autorais (ver 12.1.2) e proteo de qualquer trabalho colaborativo (ver tambm 6.1.3); i) acordos de controle de acesso, abrangendo: 1) mtodos de acesso permitidos e controle e uso de identificadores nicos como ID e senhas de acesso; 2) processo de autorizao para acesso e privilgios para os usurios; 3) requisitos para manter uma lista de usurios autorizados a usar os servios disponibilizados e quais so seus direitos e privilgios; j) definio de critrios de verificao do desempenho, sua monitorao e registro; k) direito de monitorar e revogar as atividades de usurios; l) direito de auditar as responsabilidades contratuais ou ter a auditoria executada por prestadores de servio; m) estabelecimento de um processo escalonvel para a resoluo de problemas; convm que tambm sejam considerados procedimentos de contingncia, onde apropriados; n) responsabilidades envolvendo a instalao e manuteno de hardware e software; o) registros com estrutura clara e formato preestabelecido; p) procedimentos claros e especficos para gerenciamento de mudanas; q) quaisquer controles de proteo fsica e mecanismos necessrios para garantir que tais controles esto sendo seguidos; r) treinamento de administradores e usurios em mtodos, procedimentos e segurana; s) controles que garantam proteo contra software malicioso (ver 8.3);

t)

requisitos para registro, notificao e investigao de incidentes e violaes da segurana;

u) envolvimento de prestadores de servios com subcontratados. 4.3 Terceirizao Objetivo: Manter a segurana da informao quando a responsabilidade pelo processamento da informao terceirizada para uma outra organizao. Convm que o acordo de terceirizao considere riscos, controles de segurana e procedimentos para os sistemas de informao, rede de computadores e/ou estaes de trabalho no contrato entre as partes. 4.3.1 Requisitos de segurana dos contratos de terceirizao Convm que os requisitos de segurana com prestadores de servios para gerenciamento e controle de todos ou alguns dos sistemas de informao, redes de computadores e/ou estaes de trabalho constem no contrato entre as partes. Por exemplo, convm que o contrato considere: a) como os requisitos legais devem ser atendidos, por exemplo a legislao de proteo de dados; b) quais acordos devem ser estabelecidos para garantir que todas as partes envolvidas na terceirizao, incluindo a) subcontratados, estejam cientes das suas responsabilidades de segurana; b) como a integridade e a confidencialidade dos ativos organizacionais devem ser mantidas e testadas; c) quais controles fsicos e lgicos sero utilizados para restringir e limitar o acesso de usurios autorizados s informaes sensveis da organizao; d) como a disponibilidade dos servios ser mantida em caso de desastre; e) quais nveis de segurana fsica esto sendo fornecidos para equipamentos terceirizados; f) o direito de auditar. Convm que os termos descritos em 4.2.2 tambm faam parte deste contrato. Convm que o contrato permita que os requisitos e procedimentos de segurana possam ser expandidos em um plano de gesto da segurana em comum acordo entre as duas partes. Embora os contratos de terceirizao possam levantar algumas questes complexas de segurana, os controles includos nesta Norma podem servir como um ponto de

partida para contratos que envolvam a estrutura e o contedo do plano de gesto da segurana. 5 Classificao e controle dos ativos de informao

5.1 Contabilizao dos ativos Objetivo: Manter a proteo adequada dos ativos da organizao. Convm que todos os principais ativos de informao sejam inventariados e tenham um proprietrio responsvel. O inventrio dos ativos ajuda a assegurar que a proteo est sendo mantida de forma adequada. Convm que os proprietrios dos principais ativos sejam identificados e a eles seja atribuda a responsabilidade pela manuteno apropriada dos controles. A responsabilidade pela implementao dos controles pode ser delegada. Convm que a responsabilidade pela prestao de contas fique com o proprietrio nomeado do ativo. 5.1.1 Inventrio dos ativos de informao O inventrio dos ativos ajuda a assegurar que as protees esto sendo feitas de forma efetiva e tambm pode ser requerido para outras finalidades de negcio, como sade e segurana, seguro ou financeira (gerenciamento patrimonial). O processo de compilao de um inventrio de ativos um aspecto importante no gerenciamento de risco. Uma organizao precisa ser capaz de identificar seus ativos e seus respectivos valores e importncia. Baseada nesta informao, uma organizao pode ento fornecer nveis de proteo proporcionais ao valor e importncia desses ativos. Convm que um inventrio dos principais ativos associados com cada sistema de informao seja estruturado e mantido. Convm que cada ativo e seu respectivo proprietrio sejam claramente identificados e a classificao de segurana (ver 5.2) seja acordada e documentada, juntamente com a sua localizao atual (importante quando se tenta recuperar perdas ou danos). Exemplos de ativos associados com sistemas de informao so: a) ativos de informao: base de dados e arquivos, documentao de sistema, manuais de usurio, material de treinamento, procedimentos de suporte ou operao, planos de continuidade, procedimentos de recuperao, informaes armazenadas; b) ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitrios;

c) ativos fsicos: equipamentos computacionais (processadores, monitores, laptops, modems), equipamentos de comunicao (roteadores, PABXs, fax, secretrias eletrnicas), mdia magntica (fitas e discos), outros equipamentos tcnicos (no-breaks, ar-condicionado), moblia, acomodaes; d) servios: computao e servios de comunicao, utilidades gerais, por exemplo aquecimento, iluminao, eletricidade, refrigerao. 5.2 Classificao da informao Objetivo: Assegurar que os ativos de informao recebam um nvel adequado de proteo. Convm que a informao seja classificada para indicar a importncia, a prioridade e o nvel de proteo. A informao possui vrios nveis de sensibilidade e criticidade. Alguns itens podem necessitar um nvel adicional de proteo ou tratamento especial. Convm que um sistema de classificao da informao seja usado para definir um conjunto apropriado de nveis de proteo e determinar a necessidade de medidas especiais de tratamento. 5.2.1 Recomendaes para classificao Convm que a classificao da informao e seus respectivos controles de proteo levem em considerao as necessidades de negcios para compartilhamento ou restrio de informaes e os respectivos impactos nos negcios como, por exemplo, o acesso no autorizado ou danos informao. Em geral, a classificao dada a uma informao o caminho mais curto para determinar como ela tratada e protegida. Convm que informaes e resultados de sistemas que processam dados classificados sejam rotulados de acordo com seu valor e sua sensibilidade para a organizao. Tambm pode ser apropriado rotular a informao em termos de quo crtica ela para a organizao como, por exemplo, em termos de integridade e disponibilidade. A informao freqentemente deixa de ser sensvel ou crtica aps um certo perodo de tempo, por exemplo quando a informao se torna pblica. Convm que estes aspectos sejam levados em considerao, pois uma classificao superestimada pode levar a custos adicionais desnecessrios. Convm que as regras de classificao previnam e alertem para o fato de que um determinado item de informao no tem necessariamente uma classificao fixa, podendo sofrer modificao de acordo com alguma poltica predeterminada (ver 9.1). Convm que cuidados sejam tomados com a quantidade de categorias de classificao e com os benefcios obtidos pelo seu uso. Esquemas excessivamente

complexos podem tornar o uso incmodo, invivel economicamente ou impraticvel. Convm que ateno especial seja dada na interpretao dos rtulos de classificao sobre documentos de outras organizaes, que podem ter definies diferentes para rtulos iguais ou semelhantes aos usados. Convm que a responsabilidade pela definio da classificao de um item de informao, tais como um documento, registro de dado, arquivo de dados ou disquete, e a anlise crtica peridica desta classificao fiquem com o autor ou com o proprietrio responsvel pela informao. 5.2.2 Rtulos e tratamento da informao importante que um conjunto apropriado de procedimentos seja definido para rotular e tratar a informao de acordo com o esquema de classificao adotado pela organizao. Estes procedimentos precisam abranger tanto os ativos de informao no formato fsico quanto no eletrnico. Para cada classificao, convm que procedimentos de tratamento sejam definidos para abranger os seguintes tipos de atividade de processamento da informao: a) cpia; b) armazenamento; c) transmisso pelo correio, fax ou correio eletrnico; d) transmisso pela fala, incluindo telefonia mvel, correio de voz ou secretrias eletrnicas; e) destruio. Convm que as sadas de sistemas que contm informaes classificadas como sensveis ou crticas tenham o rtulo apropriado da classificao da informao (na sada). Convm que o rtulo reflita a classificao de acordo com as regras estabelecidas em 5.2.1. Itens que devem ser considerados incluem relatrios impressos, telas, mdias magnticas (fitas, discos, CDs, cassetes), mensagens eletrnicas e transferncias de arquivos. Rtulos fsicos so geralmente a forma mais apropriada de rotular a informao. Entretanto, alguns ativos de informao, como documentos em forma eletrnica, no podem ser fisicamente rotulados, sendo necessrio usar um rtulo eletrnico. 6 Segurana em pessoas 6.1 Segurana na definio e nos recursos de trabalho Objetivo: Reduzir os riscos de erro humano, roubo, fraude ou uso indevido das instalaes.

Convm que responsabilidades de segurana sejam atribudas na fase de recrutamento, includas em contratos e monitoradas durante a vigncia de cada contrato de trabalho. Convm que candidatos potenciais sejam devidamente analisados (ver 6.1.2), especialmente para trabalhos sensveis. Convm que todos os funcionrios e prestadores de servio, usurios das instalaes de processamento da informao, assinem um acordo de sigilo. 6.1.1 Incluindo segurana nas responsabilidades do trabalho Convm que regras e responsabilidades de segurana sejam documentadas onde for apropriado, de acordo com a poltica de segurana da informao da organizao (ver 3.1). Convm que elas incluam quaisquer responsabilidades gerais pela implementao ou manuteno da poltica de segurana, assim como quaisquer responsabilidades especficas para a proteo de determinados ativos ou pela execuo de determinados processos ou atividades de segurana. 6.1.2 Seleo e poltica de pessoal Convm que verificaes de controle sobre a equipe permanente sejam conduzidas no momento da seleo de candidatos. Recomenda-se que isso inclua o seguinte: a) disponibilidade de referncias de carter satisfatrio, por exemplo uma profissional e uma pessoal; b) verificao da exatido e inteireza das informaes do curriculum vitae do candidato; c) confirmao das qualificaes acadmicas e profissionais; d) verificao da identidade (passaporte ou documento similar). Onde um trabalho envolver pessoas, tanto por contratao como por promoo, que tenham acesso s instalaes de processamento da informao, em particular aquelas que tratam de informaes sensveis, tais como informaes financeiras ou informaes altamente confidenciais, convm que a organizao tambm faa uma verificao da idoneidade de crdito. Para funcionrios que esto em posies com nveis considerveis de autoridade, convm que este procedimento seja refeito periodicamente. Convm que um processo similar de seleo seja feito para temporrios e fornecedores. Onde esses recursos humanos so fornecidos por uma agncia, convm que o contrato especifique claramente as responsabilidades da agncia pela

seleo e os procedimentos de notificao que devem ser seguidos se a seleo no for devidamente concluda ou quando os resultados obtidos forem motivos de dvidas ou preocupaes. Convm que a direo avalie a superviso de funcionrios novos e inexperientes com autorizao para acesso a sistemas sensveis. Convm que o trabalho de toda a equipe seja periodicamente revisto e aprovado pelo membro mais experiente da equipe. Convm que os gestores estejam atentos ao fato de que motivos pessoais de seus funcionrios podem afetar o trabalho deles. Problemas pessoais e financeiros, mudanas de comportamento ou estilo de vida, ausncias freqentes e sinais de estresse ou depresso podem levar a fraudes, roubos, erros ou outras implicaes de segurana. Convm que esta informao seja tratada de acordo com qualquer legislao apropriada existente na jurisdio pertinente. 6.1.3 Acordos de confidencialidade Acordos de confidencialidade ou de no divulgao so usados para alertar que a informao confidencial ou secreta. Normalmente convm que os funcionrios assinem tais acordos como parte dos termos e condies iniciais de contratao. Para colaboradores casuais e prestadores de servios que no estejam cobertos por um contrato existente (que contenha o acordo de confidencialidade), convm que seja exigida a assinatura do acordo de confidencialidade, antes de ter acesso s instalaes de processamento da informao. Convm que acordos de confidencialidade sejam revisados quando existirem modificaes nos termos de contratao, particularmente devido sada de funcionrios da organizao ou ao trmino de contratos. 6.1.4 Termos e condies de trabalho Convm que os termos e condies de trabalho determinem as responsabilidades dos funcionrios pela segurana da informao. Quando apropriado, convm que estas responsabilidades continuem por um perodo de tempo definido, aps o trmino do contrato de trabalho. Convm que as aes que podem ser tomadas nos casos de desrespeito ao acordo tambm sejam includas no contrato. Convm que as responsabilidades e direitos legais dos funcionrios, tais como leis de direitos autorais ou de proteo de dados, sejam esclarecidos e includos dentro dos termos e condies de trabalho. Convm que responsabilidade pela classificao e gesto dos dados do empregador tambm sejam includas. Sempre que apropriado,

convm

que

os

termos

condies

de

trabalho

determinem

se

estas

responsabilidades so estendidas fora das dependncias da organizao e fora do horrio normal de trabalho como, por exemplo, nos casos de execuo de atividades de trabalho em casa (ver tambm 7.2.5 e 9.8.1). 6.2 Treinamento dos usurios Objetivo: Assegurar que os usurios esto cientes das ameaas e das preocupaes de segurana da informao e esto equipados para apoiar a poltica de segurana da organizao durante a execuo normal do seu trabalho. Convm que usurios sejam treinados nos procedimentos de segurana e no uso correto das instalaes de processamento da informao, de forma a minimizar possveis riscos de segurana. 6.2.1 Educao e treinamento em segurana da informao Convm que todos os funcionrios da organizao e, onde for relevante, prestadores de servios recebam treinamento apropriado e atualizaes regulares sobre as polticas e procedimentos organizacionais. Isto inclui requisitos de segurana, responsabilidades legais e controles do negcio, assim como treinamento sobre o uso correto das instalaes de processamento da informao como, por exemplo, procedimentos de acesso ou uso de pacotes de software, antes que seja fornecido qualquer acesso aos servios ou informaes. 6.3 Respondendo aos incidentes de segurana e ao mau funcionamento Objetivo: Minimizar danos originados pelos incidentes de funcionamento, e monitorar e aprender com tais incidentes. Convm que os incidentes que afetam a segurana sejam reportados atravs dos canais apropriados o mais rapidamente possvel. Convm que todos os funcionrios e prestadores de servio estejam conscientes dos procedimentos para notificao dos diversos tipos de incidentes (violao da segurana, ameaas, fragilidades ou mau funcionamento) que possam ter impactos na segurana dos ativos organizacionais. Convm que eles sejam solicitados a notificar quaisquer incidentes ocorridos ou suspeitos, to logo quanto possvel, ao ponto de contato designado. Convm que a organizao estabelea um processo disciplinar formal para tratar com os funcionrios que cometam violaes na segurana. Para ser capaz de lidar com os incidentes de forma apropriada, pode ser necessrio coletar evidncias o mais rapidamente possvel aps a sua ocorrncia (ver 12.1.7). 6.3.1 Notificao dos incidentes de segurana segurana emau

Convm que os incidentes de segurana sejam reportados atravs dos canais apropriados da direo, o mais rapidamente possvel. Convm que um procedimento de notificao formal seja estabelecido, junto com um procedimento de resposta ao incidente, estabelecendo a ao a ser tomada ao se receber uma notificao de incidente. Convm que todos os funcionrios e prestadores de servio estejam conscientes dos procedimentos para notificao de incidentes de segurana e instrudos para relatar tais incidentes, o mais rapidamente possvel. Convm que processos de retorno (feedback) adequados sejam implementados para assegurar que os incidentes esto notificados com os resultados obtidos aps o incidente ser tratado e encerrado. Estes incidentes podem ser usados nos treinamentos de conscientizao de usurios (ver 6.2) como exemplos do que pode acontecer, como reagir a tais incidentes e como evit-los no futuro (ver 12.1.7). 6.3.2 Notificando falhas na segurana Convm que os usurios dos servios de informao sejam instrudos a registrar e notificar quaisquer fragilidades ou ameaas, ocorridas ou suspeitas, na segurana de sistemas ou servios. Convm que eles tambm notifiquem esses assuntos o mais rapidamente possvel para seus superiores ou diretamente para seus provedores de servios. Convm que os usurios sejam informados de que eles no podem, sob nenhuma circunstncia, tentar averiguar uma fragilidade suspeita. Isto para sua prpria proteo, pois a investigao de uma fragilidade pode ser interpretada como potencial uso imprprio do sistema. 6.3.3 Notificando mau funcionamento de software Convm que sejam estabelecidos procedimentos para notificar mau funcionamento de software. Recomenda-se que as seguintes aes sejam consideradas. a) Convm que os sintomas do problema e quaisquer mensagens apresentadas na tela sejam anotados. b) Convm que o computador seja isolado e, se possvel, seu uso deve ser paralisado. Convm que o contato apropriado seja alertado imediatamente. Se o equipamento for examinado, convm que seja desconectado de qualquer rede de computadores antes de ser ligado novamente. Convm que os disquetes no sejam transferidos para outros computadores. c) Convm que o assunto seja notificado imediatamente ao gestor da segurana da informao. Convm que os usurios no tentem remover o software suspeito, a menos que sejam autorizados. Convm que uma equipe adequadamente treinada e experiente trate da recuperao.

6.3.4 Aprendendo com os incidentes Convm que existam mecanismos para permitir que tipos, quantidades e custos dos incidentes e dos maus funcionamentos sejam quantificados e monitorados. Convm que esta informao seja usada para identificar incidentes ou maus funcionamentos recorrentes ou de alto impacto. Isto pode indicar a necessidade de melhorias ou controles adicionais para limitar a freqncia, danos e custos de ocorrncias futuras ou para ser levado em considerao quando for realizado o processo de anlise crtica da poltica de segurana. 6.3.5 Processo disciplinar Convm que exista processo disciplinar formal para os funcionrios que tenham violado as polticas e procedimentos de segurana organizacional (ver 6.1.4 e, para reteno de evidncias, ver 12.1.7). Tal processo pode dissuadir funcionrios que, de outra forma, seriam inclinados a desrespeitar os procedimentos de segurana. Adicionalmente, convm que se assegure um tratamento justo e correto aos funcionrios que so suspeitos de cometer violaes de segurana, srias ou persistentes. 7 Segurana fsica e do ambiente 7.1 reas de segurana Objetivo: Prevenir acesso no autorizado, dano e interferncia s informaes e instalaes fsicas da organizao. Convm que os recursos e instalaes de processamento de informaes crticas ou sensveis do negcio sejam mantidos em reas seguras, protegidas por um permetro de segurana definido, com barreiras de segurana apropriadas e controle de acesso. Convm que estas reas sejam fisicamente protegidas de acesso no autorizado, dano ou interferncia. Convm que a proteo fornecida seja proporcional aos riscos identificados. Polticas de mesa limpa e tela limpa so recomendadas para reduzir o risco de acesso no autorizado ou danos a papis, mdias, recursos e instalaes de processamento de informaes. 7.1.1 Permetro da segurana fsica A proteo fsica pode ser alcanada atravs da criao de diversas barreiras fsicas em torno da propriedade fsica do negcio e de suas instalaes de processamento da

informao. Cada barreira estabelece um permetro de segurana, contribuindo para o aumento da proteo total fornecida. Convm que as organizaes usem os permetros de segurana para proteger as reas que contm os recursos e instalaes de processamento de dados (ver 7.1.3). Um permetro de segurana qualquer coisa que estabelea uma barreira, por exemplo, uma parede, uma porta com controle de entrada baseado em carto ou mesmo um balco de controle de acesso com registro manual. A localizao e a resistncia de cada barreira dependem dos resultados da avaliao de risco. Recomenda-se que as seguintes diretrizes e controles sejam considerados e implementados nos locais apropriados. a) Convm que o permetro de segurana esteja claramente definido. b) Convm que o permetro de um prdio ou local que contenha recursos de processamento de dados seja fisicamente consistente (isto , no podem existir brechas onde uma invaso possa ocorrer facilmente). Convm que as paredes externas do local possuam construo slida e todas as portas externas sejam protegidas de forma apropriada contra acessos no autorizados, como, por exemplo, mecanismos de controle, travas, alarmes, grades etc. c) Convm que uma rea de recepo ou outro meio de controle de acesso fsico ao local ou prdio seja usado. Convm que o acesso aos locais ou prdios seja restrito apenas ao pessoal autorizado. d) Convm que barreiras fsicas sejam, se necessrio, estendidas da laje do piso at a laje superior, para prevenir acessos no autorizados ou contaminao ambiental, como as causadas por fogo e inundaes. e) Convm que todas as portas de incndio no permetro de segurana possuam sensores de alarme e mola para fechamento automtico. 7.1.2 Controles de entrada fsica Convm que as reas de segurana sejam protegidas por controles de entrada apropriados para assegurar que apenas pessoas autorizadas tenham acesso liberado. Recomenda-se que os seguintes controles sejam considerados. a) Convm que visitantes das reas de segurana sejam checados quanto permisso para ter acesso e tenham registradas data e hora de sua entrada e sada. Convm que essas pessoas obtenham acesso apenas s reas especficas, com propsitos autorizados e que esses acessos sigam instrues baseadas nos requisitos de segurana e procedimentos de emergncia prprios da rea considerada.

b) Convm que o acesso s informaes sensveis, instalaes e recursos de processamento de informaes seja controlado e restrito apenas ao pessoal autorizado. Convm que os controles de autenticao, como, por exemplo, cartes com PIN (nmero de identificao individual ou personal identification number), sejam usados para autorizar e validar qualquer acesso. Convm que, ainda, seja mantida em segurana uma trilha de auditoria contendo todos os acessos ocorridos. c) Convm que todos os funcionrios utilizem alguma forma visvel de identificao e sejam incentivados a informar segurana sobre a presena de qualquer pessoa no identificada ou de qualquer estranho no acompanhado. d) Convm que os direitos de acesso s reas de segurana sejam regularmente revistos e atualizados. 7.1.3 Segurana em escritrios, salas e instalaes de processamento Uma rea de segurana pode ser um escritrio fechado ou diversas salas dentro de um permetro de segurana fsica, que podem estar fechadas ou podem conter armrios fechados ou cofres. Convm que a seleo e o projeto de uma rea de segurana levem em considerao as possibilidades de dano causado por fogo, inundaes, exploses, manifestaes civis e outras formas de desastres naturais ou causados pelo homem. Convm que tambm sejam levados em considerao as regulamentaes e padres de segurana e sade. Tambm devem tratar qualquer ameaa originada em propriedades vizinhas, como por exemplo, vazamento de gua de outras reas. Recomenda-se que os seguintes controles sejam considerados. a) Convm que as instalaes crticas sejam localizadas de forma a evitar o acesso pblico. b) Convm que os prdios sejam sem obstrues em seu acesso, com indicaes mnimas do seu propsito, sem sinais bvios, tanto fora quanto dentro do prdio, da presena de atividades de processamento de informao. c) Convm que os servios de suporte e equipamentos, como por exemplo, fotocopiadoras e mquinas de fax, sejam instalados de forma apropriada dentro de reas de segurana para evitar acesso que possa comprometer a informao. d) Convm que as portas e janelas sejam mantidas fechadas quando no utilizadas e que sejam instaladas protees externas, principalmente quando essas portas e janelas se localizarem em andar trreo.

e) Convm que os sistemas de deteco de intrusos sejam instalados por profissionais especializados e testados regularmente, de forma a cobrir todas as portas externas e janelas acessveis. Convm que as reas no ocupadas possuam um sistema de alarme que permanea sempre ativado. Convm que esses cuidados tambm cubram outras reas, como, por exemplo, a sala de computadores ou salas de comunicao. f) Convm que as instalaes de processamento da informao gerenciadas pela organizao fiquem fisicamente separadas daquelas gerenciadas por prestadores de servio. g) Convm que os arquivos e as listas de telefones internos que identificam os locais de processamento das informaes sensveis no sejam de acesso pblico. h) Convm que os materiais combustveis ou perigosos sejam guardados de forma segura a uma distncia apropriada de uma rea de segurana. Convm que os suprimentos volumosos, como material de escritrio, no sejam guardados em uma rea de segurana, a menos que requeridos. i) Convm que os equipamentos de contingncia e meios magnticos de reserva (back up) sejam guardados a uma distncia segura da instalao principal, para evitar que desastres neste local os afetem. 7.1.4 Trabalhando em reas de segurana Manuais e controles adicionais podem ser necessrios para melhorar as condies de uma rea de segurana. Isto inclui controles tanto para o pessoal da organizao como para prestadores de servios que trabalham em reas de segurana, assim como para atividades terceirizadas que possam ocorrer nessa rea. Recomenda-se que os seguintes itens sejam considerados. a) Convm que os funcionrios s tenham conhecimento da existncia de rea de segurana ou de atividades dentro dela quando necessrio. b) Convm que se evite trabalho sem superviso nas reas de segurana, tanto por razes de segurana como para prevenir oportunidades para atividades maliciosas. c) Convm que as reas de segurana desocupadas sejam mantidas fisicamente fechadas e verificadas periodicamente. d) Convm que pessoal de servio de suporte terceirizado tenha acesso restrito s reas de segurana ou s instalaes de processamento de informaes sensveis somente quando suas atividades o exigirem. Convm que este acesso seja autorizado e monitorado. Barreiras e permetros adicionais para

controlar o acesso fsico podem ser necessrios em reas com diferentes requisitos de segurana dentro de um mesmo permetro de segurana. e) Convm que no se permitam o uso de equipamentos fotogrficos, de vdeo, de udio ou de outro equipamento de gravao, a menos que seja autorizado. 7.1.5 Isolamento das reas de expedio e carga Convm que as reas de expedio e de carregamento sejam controladas e, se possvel, isoladas das instalaes de processamento da informao, com o objetivo de evitar acessos no autorizados. Convm que os requisitos de segurana sejam determinados a partir de uma avaliao de risco. Recomenda-se que os seguintes itens sejam considerados. a) Convm que o acesso rea de movimentao e suporte (carga e descarga) externa ao prdio seja restrito somente ao pessoal identificado e autorizado. b) Convm que esta rea seja projetada de forma que os suprimentos possam ser descarregados sem que o pessoal responsvel pela entrega tenha acesso s outras partes do prdio. c) Convm que a(s) porta(s) externa(s) destas reas seja(m) mantida(s) protegida(s) quando as portas internas estiverem abertas. d) Convm que o material de entrada seja inspecionado contra potenciais perigos [ver 7.2.1 d)], antes de ser transportado dessa rea para a rea na qual ser utilizado. e) Convm que o material recebido seja registrado, se apropriado (ver 5.1), quando da sua recepo. 7.2 Segurana dos equipamentos Objetivo: Prevenir perda, dano ou comprometimento dos ativos, e a interrupo das atividades do negcio. Convm que os equipamentos sejam fisicamente protegidos contra ameaas sua segurana e perigos ambientais. A proteo dos equipamentos (incluindo aqueles utilizados fora das instalaes fsicas da organizao) necessria para reduzir o risco de acessos no autorizados a dados e para proteo contra perda ou dano. Convm que esta proteo considere os equipamentos instalados e os em alienao. Controles especiais podem ser exigidos para proteo contra perigos ou acessos no autorizados e para salvaguardar as instalaes de suporte, como o fornecimento de energia eltrica e cabeamento. 7.2.1 Instalao e proteo de equipamentos

Convm que os equipamentos sejam instalados ou protegidos para reduzir o risco de ameaas ambientais, perigos e oportunidades de acesso no autorizado. Recomendase que os seguintes itens sejam considerados. a) Convm que os equipamentos sejam instalados de forma a reduzir acessos desnecessrios rea de trabalho. b) Convm que as instalaes de processamento e armazenamento de informao que tratam de informaes sensveis sejam posicionadas de maneira a reduzir riscos de espionagem de informaes durante o seu uso. c) Convm que os itens que necessitem de proteo especial sejam isolados para reduzir o nvel geral de proteo exigida. d) Convm que sejam adotados controles, de forma a minimizar ameaas potenciais, incluindo: 1) roubo; 2) fogo; 3) explosivos; 4) fumaa; 5) gua (ou falha de abastecimento); 6) poeira; 7) vibrao; 8) efeitos qumicos; 9) interferncia no fornecimento eltrico; 10) radiao eletromagntica. e) Convm que uma organizao considere polticas especficas para alimentao, bebida e fumo nas proximidades das instalaes de processamento da informao. f) Convm que aspectos ambientais sejam monitorados para evitar condies que possam afetar de maneira adversa a operao das instalaes de processamento da informao. g) Convm que uso de mtodos de proteo especial, como capas para teclados, seja considerado para equipamentos em ambiente industrial. h) Convm que o impacto de um desastre que possa ocorrer nas proximidades da instalao, como, por exemplo, um incndio em um prdio vizinho, vazamentos de gua no telhado ou em andares abaixo do nvel do cho ou exploses na rua, tambm seja considerado. 7.2.2 Fornecimento de energia

Convm que os equipamentos sejam protegidos contra falhas de energia e outras anomalias na alimentao eltrica. Convm que um fornecimento de energia apropriado ocorra em conformidade com as especificaes do fabricante do equipamento. Algumas opes para alcanar a continuidade do fornecimento eltrico incluem: a) alimentao mltipla para evitar um nico ponto de falha no fornecimento eltrico; b) no-break (Uninterruptable Power Supply - UPS); c) gerador de reserva. recomendado o uso de no-break em equipamentos que suportem atividades crticas para permitir o encerramento ordenado ou a continuidade do processamento. Convm que os planos de contingncia contenham aes a serem tomadas em casos de falha no no-break. Convm que esse tipo de equipamento seja periodicamente verificado, de forma a garantir que ele esteja com a capacidade adequada, e testado de acordo com as recomendaes do fabricante. Convm que um gerador de reserva seja considerado se o processamento requer continuidade, em caso de uma falha eltrica prolongada. Se instalados, convm que os geradores sejam testados regularmente de acordo com as instrues do fabricante. Convm que um fornecimento adequado de leo esteja disponvel para assegurar que o gerador possa ser utilizado por um perodo prolongado. Adicionalmente, convm que se tenham interruptores eltricos de emergncia localizados prximo s sadas de emergncia das salas de equipamentos para facilitar o desligamento em caso de emergncia. Convm que iluminao de emergncia esteja disponvel em casos de falha da fonte eltrica primria. Convm que proteo contra relmpagos seja usada em todos os prdios e que filtros de proteo contra raios sejam instalados para todas as linhas de comunicao externas. 7.2.3 Segurana do cabeamento Convm que o cabeamento eltrico e de telecomunicao que transmite dados ou suporta os servios de informao seja protegido contra interceptao ou dano. Recomenda-se que os seguintes controles sejam considerados. a) Convm que as linhas eltricas e de telecomunicaes das instalaes de processamento da informao sejam subterrneas, onde possvel, ou sejam submetidas proteo alternativa adequada. b) Convm que o cabeamento da rede seja protegido contra interceptaes no autorizadas ou danos, por exemplo pelo uso de condutes ou evitando a sua instalao atravs de reas pblicas.

c) Convm que os cabos eltricos fiquem separados dos cabos de comunicao para prevenir interferncias. d) Convm que para sistemas crticos ou sensveis sejam utilizados alguns controles adicionais, tais como: 1) instalao de condutes blindados e salas ou gabinetes trancados nos pontos de inspeo e terminais; 2) uso de rotas e meios de transmisso alternativos; 3) uso de cabeamento de fibra ptica; 4) varredura inicial para identificar dispositivos no autorizados conectados aos cabos.

7.2.4 Manuteno de equipamentos Convm que a manuteno correta dos equipamentos garanta a continuidade da disponibilidade e integridade dos mesmos. Recomenda-se que os seguintes itens sejam considerados. a) Convm que os equipamentos tenham manuteno de acordo com intervalos e especificaes do fabricante. b) Convm que apenas pessoal autorizado execute reparos e servios nos equipamentos. c) Convm que se mantenham registros de todas as falhas suspeitas ou ocorridas e de toda manuteno corretiva e preventiva. d) Convm que controles apropriados sejam utilizados quando do envio de equipamentos para manuteno fora da instalao fsica (ver tambm 7.2.6, considerando dados excludos, apagados e sobrepostos). Convm que todos os requisitos impostos pelas aplices de seguro sejam atendidos. 7.2.5 Segurana de equipamentos fora das instalaes Independentemente de quem seja o proprietrio, convm que o uso de qualquer equipamento para o processamento da informao fora das instalaes da organizao seja autorizado pela direo. Convm que a segurana fornecida seja equivalente quela oferecida aos equipamentos utilizados dentro da organizao para o mesmo propsito, levando-se em conta os riscos de se trabalhar fora das instalaes da organizao. Os equipamentos de processamento de informao incluem todas as formas de computadores pessoais, agendas eletrnicas, telefones mveis, papis ou outros, que so levados para se trabalhar em casa ou para fora do

ambiente normal de trabalho. Recomenda-se que os seguintes itens sejam considerados. 1. Convm que equipamento e mdias levados para fora das instalaes no sejam deixados desprotegidos em reas pblicas. Convm que computadores portteis sejam carregados como bagagem de mo e disfarados sempre que possvel nas viagens. 2. Convm que as instrues dos fabricantes para proteo dos equipamentos sejam sempre observadas, como, por exemplo, proteo contra exposio a campos magnticos intensos. 3. Convm que os controles para trabalho em casa sejam determinados atravs da avaliao de risco e os controles apropriados aplicados conforme a necessidade, como, por exemplo, gabinetes de arquivo fechados, poltica de mesa limpa e controles de acesso aos computadores. 4. Convm que se use uma cobertura adequada de seguro para proteger os equipamentos existentes fora das instalaes da organizao. Os riscos de segurana, como, por exemplo, de dano, roubo e espionagem, podem variar consideravelmente conforme a localizao e convm que sejam levados em conta na determinao dos controles mais apropriados. Maiores informaes sobre a proteo de equipamentos mveis podem ser encontradas em 9.8.1. 7.2.6 Reutilizao e alienao segura de equipamentos A informao pode ser exposta pelo descuido na alienao ou reutilizao de equipamentos (ver tambm 8.6.4). Convm que dispositivos de armazenamento que contenham informao sensvel sejam destrudos fisicamente ou sobrescritos de forma segura ao invs da utilizao de funes-padro para a excluso. Convm que todos os itens de equipamentos que possuem meios de armazenamento, como, por exemplo, discos rgidos, sejam checados para assegurar que toda informao sensvel e software licenciado foi removido ou sobreposto antes da alienao do equipamento. Dispositivos de armazenamento danificados contendo informaes sensveis, podem necessitar de uma avaliao de riscos para se determinar se tais itens deveriam ser destrudos, reparados ou descartados. 7.3 Controles gerais Objetivo: Evitar exposio ou roubo de informao e de recursos de processamento da informao.

Convm que informaes e recursos de processamento da informao sejam protegidos de divulgao, modificao ou roubo por pessoas no autorizadas, e que sejam adotados controles de forma a minimizar sua perda ou dano. Os procedimentos para manuseio e armazenamento esto considerados em 8.6.3. 7.3.1 Poltica de mesa limpa e tela limpa A organizao deve considerar a adoo de uma poltica de mesa limpa para papis emdias removveis e uma poltica de tela limpa para os recursos de processamento da informao, de forma a reduzir riscos de acesso no autorizado, perda e danos informao durante e fora do horrio normal de trabalho. A poltica deve levar em considerao as classificaes da segurana das informaes (ver 5.2), os riscos correspondentes e os aspectos culturais da organizao. As informaes deixadas em mesas de trabalho tambm so alvos provveis de danos ou destruio em um desastre como incndio, inundaes ou exploses. Recomenda-se que os seguintes controles sejam considerados. a) Onde for apropriado, convm que papis e mdias de computador sejam guardados, quando no estiverem sendo utilizados, em gavetas adequadas, com fechaduras e/ou outras formas seguras de mobilirio, especialmente fora do horrio normal de trabalho. b) Informaes sensveis ou crticas ao negcio, quando no forem requeridas, devem ser guardadas, em local distante, de forma segura e fechada (de preferncia em um cofre ou arquivo resistente a fogo), especialmente quando o escritrio estiver vazio. c) Computadores pessoais, terminais de computador e impressoras no devem ser deixados ligados quando no assistidos e devem ser protegidos por senhas, chaves ou outros controles quando no estiverem em uso. d) Pontos de recepo e envio de correspondncias e mquinas de fax e telex no assistidas devem ser protegidos. e) Copiadoras devem ser travadas (ou de alguma forma protegidas contra o uso no autorizado) fora do horrio normal de trabalho. f) Informaes sensveis e classificadas, quando impressas, devem ser imediatamente retiradas da impressora.

7.3.2 Remoo de propriedade Equipamentos, informaes ou software no devem ser retirados da organizao sem autorizao. Quando necessrio e apropriado, os equipamentos devem ser

desconectados e conectados novamente no seu retorno. Inspees pontuais devem ser realizadas de forma a detectar a remoo no autorizada de propriedade. As pessoas devem estar cientes de que inspees pontuais sero realizadas. 8 Gerenciamento das operaes e comunicaes 8.1 Procedimentos e responsabilidades operacionais Objetivo: Garantir a operao segura e correta dos recursos de processamento da informao. Convm que os procedimentos e responsabilidades pela gesto e operao de todos os recursos de processamento das informaes sejam definidos. Isto abrange o desenvolvimento de procedimentos operacionais apropriados e de resposta a incidentes. Recomenda-se que se utilize a segregao de funes (ver 8.1.4), quando apropriado, para reduzir o risco de uso negligente ou doloso dos sistemas. 8.1.1 Documentao dos procedimentos de operao Convm que os procedimentos de operao identificados pela poltica de segurana sejam documentados e mantidos atualizados. Convm que os procedimentos operacionais sejam tratados como documentos formais e que as mudanas sejam autorizadas pela direo. Convm que os procedimentos especifiquem as instrues para a execuo detalhada de cada tarefa, incluindo: 1. processamento e tratamento da informao; 2. requisitos de sincronismo, incluindo interdependncias com outros sistemas, a hora mais cedo de incio e a hora mais tarde de trmino das tarefas; 3. instrues para tratamento de erros ou outras condies excepcionais, que possam ocorrer durante a execuo de uma determinada tarefa, incluindo restries de uso dos recursos do sistema (ver 9.5.5); 4. contato com os tcnicos do suporte para o caso de eventos operacionais no esperados ou dificuldades tcnicas; 5. instrues para movimentao de sadas de produtos especiais, tais como o uso de formulrios especiais ou o tratamento de produtos confidenciais, incluindo procedimentos para a alienao segura de resultados provenientes de rotinas com falhas; 6. procedimento para o reincio e recuperao para o caso de falha do sistema.

Convm que procedimentos documentados sejam tambm preparados para as atividades de housekeeping associadas com os recursos de comunicao e de processamento das informaes, tais como procedimentos de inicializao e encerramento de atividades de computadores, gerao de cpias de segurana (backup), manuteno de equipamentos, segurana e gesto do tratamento das correspondncias e sala de computadores.

8.1.2 Controle de mudanas operacionais Convm que modificaes nos sistemas e recursos de processamento da informao sejam controladas. O controle inadequado de modificaes nos sistemas e nos recursos de processamento da informao uma causa comum de falha de segurana ou de sistema. Convm que exista uma formalizao dos procedimentos e das responsabilidades para garantir que haja um controle satisfatrio de todas as mudanas de equipamentos, software ou procedimentos. Convm que programas que estejam em produo sejam submetidos a um controle especfico demodificaes. Quando da mudana de programas, convm que seja realizada e mantida uma trilha de auditoria (registro) com todas as informaes relevantes. Modificaes no ambiente operacional podem causar impacto em aplicaes. Sempre que possvel, convm que os procedimentos de controle operacional e de aplicaes sejam integrados (ver tambm 10.5.1). Em particular, recomenda-se que os seguintes controles sejam considerados: a) identificao e registro das modificaes significativas; b) avaliao de impacto potencial de tais mudanas; c) procedimento formal de aprovao das mudanas propostas; d) comunicao dos detalhes das modificaes para todas as pessoas com envolvimento relevante; e) procedimentos que identifiquem os responsveis para a suspenso e recuperao de mudanas no caso de insucesso. 8.1.3 Procedimentos para o gerenciamento de incidentes Convm que as responsabilidades e procedimentos de gerenciamento de incidentes sejam definidos para garantir uma resposta rpida, efetiva e ordenada aos incidentes de segurana (ver tambm 6.3.1). Recomenda-se que os seguintes controles sejam considerados: a) Convm que sejam estabelecidos procedimentos que cubram todos os tipos potenciais de incidentes de segurana, incluindo:

1) falhas dos sistemas de informao e inoperncia de servios; 2) no obteno de servio; 3) erros resultantes de dados incompletos ou inconsistentes; 4) violao de confidencialidade. b) Alm dos planos de contingncia (projetados para recuperao de sistemas ou servios com a maior rapidez possvel), convm que os procedimentos tambm contemplem (ver tambm 6.3.4): 1) anlise e identificao das causas do incidente; 2) planejamento e implementao de medidas para prevenir a recorrncia, se necessrio; 3) coleta de trilhas de auditoria e evidncias similares; 4) comunicao com aqueles afetados ou envolvidos na recuperao de incidentes; 5) relato da ao autoridade apropriada. c) Convm que trilhas de auditoria e evidncias similares sejam coletadas (ver 12.1.7) e mantidas com a devida segurana, para: 1) anlise de problemas internos; 2) uso como evidncia para o caso de uma potencial violao de contrato ou de normas reguladoras ou em caso de delitos civis ou criminais, por exemplo relacionados ao uso doloso de computadores ou legislao de proteo dos dados; 3) negociao para compensao ou ressarcimento por parte de fornecedores de software e servios. d) Recomenda-se que as aes para recuperao de violaes de segurana e correo de falhas do sistema sejam cuidadosa e formalmente controladas. Recomenda-se que os procedimentos garantam que: 1) apenas pessoal explicitamente identificado e autorizado esteja liberado para acessar sistemas e dados em produo (ver tambm 4.2.2 para acesso de prestadores de servios); 2) todas as aes de emergncia adotadas sejam documentadas em detalhe; 3) as aes de emergncia sejam relatadas para a direo e analisadas criticamente de maneira ordenada; 4) a integridade dos sistemas do negcio e seus controles sejam validados na maior brevidade.

8.1.4 Segregao de funes A segregao de funes um mtodo para reduo do risco de mau uso acidental ou deliberado dos sistemas. Convm que a separao da administrao ou execuo de certas funes, ou reas de responsabilidade, a fim de reduzir oportunidades para modificao no autorizada ou mau uso das informaes ou dos servios, seja considerada. As pequenas organizaes podem considerar esse mtodo de controle difcil de ser implantado, mas o seu princpio deve ser aplicado to logo quanto possvel e praticvel. Onde for difcil a segregao, convm que outros controles, como a monitorao das atividades, trilhas de auditoria e o acompanhamento gerencial, sejam considerados. importante que a auditoria da segurana permanea como uma atividade independente. Convm que sejam tomados certos cuidados para que as reas nas quais a responsabilidade seja apenas de uma pessoa no venham a ser alvo de fraudes que no possam ser detectadas. Recomenda-se que o incio de um evento seja separado de sua autorizao. Recomenda-se que os seguintes controles sejam considerados. a) importante segregar atividades que requeiram cumplicidade para a concretizao de uma fraude, por exemplo a emisso de um pedido de compra e a confirmao do recebimento da compra. b) Se existir o perigo de conluios, ento necessrio o planejamento de controles de modo que duas ou mais pessoas necessitem estar envolvidas, diminuindo dessa forma a possibilidade de conspiraes. 8.1.5 Separao dos ambientes de desenvolvimento e de produo A separao dos ambientes de desenvolvimento, teste e produo importante para se alcanar a segregao de funes envolvidas. Convm que as regras para a transferncia de software em desenvolvimento para produo sejam bem definidas e documentadas. As atividades de desenvolvimento e teste podem causar srios problemas, como, por exemplo, modificaes no autorizadas total ou parcialmente de arquivos ou do sistema. Convm que seja avaliado o nvel de separao necessrio entre o ambiente de produo e os ambientes de teste e de desenvolvimento, para prevenir problemas operacionais. Convm que uma separao semelhante tambm seja implementada entre as funes de desenvolvimento e de teste.

Nesse caso, necessria a existncia de um ambiente confivel e estvel, no qual possam ser executados os testes e que seja capaz de prevenir o acesso indevido do pessoal de desenvolvimento. Quando o pessoal de desenvolvimento e teste possui acesso ao ambiente de produo, eles podem introduzir cdigos no testados ou autorizados, ou mesmo alterar os dados reais do sistema. Em alguns sistemas essa capacidade pode ser mal utilizada para a execuo de fraudes, ou introduo de cdigos maliciosos ou no testados. Esse tipo de cdigo pode causar srios problemas operacionais. O pessoal de desenvolvimento e os encarregados dos testes tambm representam uma ameaa confidencialidade das informaes de produo. As atividades de desenvolvimento e teste podem causar modificaes no intencionais no software e a informao se eles compartilham o mesmo ambiente computacional. A separao dos recursos de desenvolvimento, de teste e operacionais dessa forma bastante desejvel para a reduo do risco de modificao acidental ou acesso no autorizado ao software operacional e dados dos negcios. Recomenda-se que os seguintes controles sejam considerados. a) Convm que o software em desenvolvimento e o software em produo sejam, sempre que possvel, executados em diferentes processadores, ou diferentes domnios ou diretrios. b) Convm que as atividades de desenvolvimento e teste ocorram de forma separada, tanto quanto possvel. c) Convm que compiladores, editores e outros programas utilitrios no sejam acessveis a partir do ambiente de produo, quando isso no for uma necessidade. d) Convm que o processo de acesso ao ambiente de produo seja diferente do acesso de desenvolvimento para a) reduzir a possibilidade de erro. Convm que os usurios sejam incentivados a usar diferentes senhas para esses ambientes e as telas de abertura exibam mensagens de identificao apropriadas. e) Convm que o pessoal de desenvolvimento receba senhas para acesso ao ambiente de produo, de forma controlada e apenas para suporte a sistemas no ambiente de produo. Convm que sejam utilizados controles que garantam que tais senhas sejam alteradas aps o uso. 8.1.6 Gesto de recursos terceirizados

O uso de um terceiro para gerenciar processamento da informao pode gerar um aumento do grau de exposio da segurana, tais como a possibilidade de comprometimento, dano ou perda de dados no ambiente do prestador do servio. Convm que esses riscos sejam previamente identificados e que os controles apropriados sejam acordados com os prestadores de servios e includos no acordo de servio (ver tambm 4.2.2 e 4.3 para referncias sobre os contratos com prestadores de servios envolvendo acesso s instalaes e ambientes da organizao e contratos de terceirizao de servios). Convm que os tpicos especficos considerados incluam: a) identificao das aplicaes crticas e sensveis que devem ser processadas internamente; b) obteno da aprovao dos gestores ou responsveis pelos processos e sistemas; c) implicaes nos planos de continuidade do negcio; d) estabelecimento de normas de segurana e um processo de aferio de conformidade a esses padres; e) definio de procedimentos de monitorao e das respectivas responsabilidades, de forma a garantir o acompanhamento das atividades relativas segurana; f) procedimentos e responsabilidades para reportar e tratar incidentes de segurana (ver 8.1.3). 8.2 Planejamento e aceitao dos sistemas Objetivo: Minimizar o risco de falhas nos sistemas. O planejamento e a preparao prvios so requeridos para garantir a disponibilidade adequada de capacidade e recursos. Convm que projees da demanda de recursos e da carga de mquina futura sejam feitas para reduzir o risco de sobrecarga dos sistemas. Convm que os requisitos operacionais dos novos sistemas sejam estabelecidos, documentados e testados antes da sua aceitao e uso. 8.2.1 Planejamento de capacidade Convm que as demandas de capacidade sejam monitoradas e que as projees de cargas de produo futuras sejam feitas de forma a garantir a disponibilidade da capacidade adequada de processamento e armazenamento. Convm que essas projees levem em considerao os requisitos de novos negcios e sistemas e as tendncias atuais e projetadas do processamento de informao da organizao.

Os computadores de grande porte necessitam de uma ateno particular, devido ao seu maior custo e o tempo necessrio para ampliao de capacidade. Convm que os gestores dos servios desses computadores monitorem a utilizao dos principais recursos destes equipamentos, tais como processadores, memria principal, rea de armazenamento de arquivo, impressoras e outros dispositivos de sada, alm dos sistemas de comunicao. Convm que eles identifiquem as tendncias de utilizao, particularmente em relao s aplicaes do negcio ou das aplicaes de gesto empresarial. Convm que os gestores utilizem essas informaes para identificar e evitar os potenciais gargalos que possam representar ameaas segurana do sistema ou aos servios dos usurios, e planejar uma ao apropriada. 8.2.2 Aceitao de sistemas Convm que sejam estabelecidos critrios de aceitao de novos sistemas, atualizaes e novas verses e que sejam efetuados testes apropriados dos sistemas antes da sua aceitao. Convm que os gestores garantam que os requisitos e critrios para aceitao de novos sistemas estejam claramente definidos, acordados, documentados e testados. Recomenda-se que os seguintes controles sejam considerados: a) requisitos de desempenho e de demanda de capacidade computacional; b) recuperao de erros, procedimentos de reinicializao e planos de contingncia; c) elaborao e teste de procedimentos operacionais para o estabelecimento de padres; d) concordncia sobre o conjunto de controles de segurana utilizados; e) procedimentos manuais eficazes; f) plano de continuidade de negcios, como requerido em 11.1; g) evidncia de que a instalao do novo sistema no afetar de forma adversa os sistemas j existentes, particularmente nos perodos de pico de demanda de processamento, como, por exemplo, em final de ms; h) evidncia de que tenha sido considerado o impacto do novo sistema na segurana da organizao como um todo; i) treinamento na operao ou uso de novos sistemas.

Para os novos desenvolvimentos principais, convm que os usurios e as funes de operao sejam consultados em todos os estgios do processo de desenvolvimento, de forma a garantir a eficincia operacional do projeto proposto e sua adequao s

necessidades organizacionais. Convm que os devidos testes sejam executados para garantir que todos os critrios de aceitao sejam plenamente satisfeitos. 8.3 Proteo contra software malicioso Objetivo: Proteger a integridade do software e da informao. necessrio que se adotem precaues para prevenir e detectar a introduo de software malicioso. Os ambientes de processamento da informao e os softwares so vulnerveis introduo de software malicioso, tais como vrus de computador, cavalos de Tria (ver tambm 10.5.4) e outros. Convm que os usurios estejam conscientes sobre os perigos do uso de software sem licena ou malicioso, e os gestores devem, onde cabvel, implantar controles especiais para detectar ou prevenir contra sua introduo. Em particular, essencial que sejam tomadas precaues para deteco e preveno de vrus em computadores pessoais. 8.3.1 Controles contra software malicioso Convm que sejam implantados controles para a deteco e preveno de software malicioso, assim como procedimentos para a devida conscientizao dos usurios. Convm que a proteo contra software malicioso seja baseada na conscientizao da segurana, no controle de acesso adequado e nos mecanismos de gerenciamento de mudanas. Recomenda-se que os seguintes controles sejam considerados: a) uma poltica formal exigindo conformidade com as licenas de uso do software e proibindo o uso de software no autorizado (ver 12.1.2.2); b) uma poltica formal para proteo contra os riscos associados com a importao de arquivos e software, seja de redes externas ou por qualquer outro meio, indicando quais as medidas preventivas que devem ser adotadas (ver tambm 10.5, especialmente 10.5.4 e 10.5.5); c) instalao e atualizao regular de software de deteco e remoo de vrus para o exame de computadores e meios magnticos, tanto de forma preventiva como de forma rotineira; d) anlises crticas regulares de software e dos dados dos sistemas que suportam processos crticos do negcio. Convm que a presena de qualquer arquivo ou atualizao no autorizada seja formalmente investigada; e) verificao, antes do uso, da existncia de vrus em qualquer arquivo em meio magntico de origem desconhecida ou no autorizada, e em qualquer arquivo recebido a partir de redes no confiveis;

f) verificao, antes do uso, da existncia de software malicioso em qualquer arquivo recebido atravs de correio eletrnico ou importado (download). Essa avaliao pode ser feita em diversos locais, como, por exemplo, nos servidores de correio eletrnico, nos computadores pessoais ou quando da sua entrada na rede da organizao; g) procedimentos de gerenciamento e respectivas responsabilidades para tratar da preveno de vrus no sistema, treinamento nesses procedimentos, relato e recuperao de ataques de vrus (ver 6.3 e 8.1.3); h) planos de contingncia adequados para a recuperao em caso de ataques por vrus, incluindo os procedimentos necessrios para salva e recuperao dos dados e software (ver seo 11); i) procedimentos para a verificao de toda informao relacionada a software malicioso e garantia de que os alertas sejam precisos e informativos. Convm que os gestores garantam que fontes qualificadas, como, por exemplo, jornais com reputao idnea, sites confiveis ou fornecedores de software antivrus, sejam utilizadas para diferenciar boatos de notcias reais de vrus. Convm que os funcionrios estejam capacitados a lidar com boatos e cientes dos problemas decorrentes desses. Esses controles so especialmente importantes para servidores de arquivo de rede que suportem um grande nmero de estaes de trabalho.

8.4 Housekeeping Objetivo: Manter a integridade e disponibilidade dos servios de comunicao e processamento da informao. Convm que sejam estabelecidos procedimentos de rotina para a execuo das cpias de segurana e para a disponibilizao dos recursos de reserva, conforme definido na estratgia de contingncia (ver 11.1), de forma a viabilizar a restaurao em tempo hbil, controlando e registrando eventos e falhas e, quando necessrio, monitorando o ambiente operacional. 8.4.1 Cpias de segurana Convm que cpias de segurana dos dados e de software essenciais ao negcio sejam feitas regularmente. Convm que recursos e instalaes alternativos sejam disponibilizados de forma a garantir que todos os dados e sistemas aplicativos essenciais ao negcio possam ser recuperados aps um desastre ou problemas em mdias. Convm que sejam testados regularmente os backups de sistemas individuais,

de maneira a garantir que satisfaam os requisitos dos planos de continuidade de negcios (ver seo 11). Recomenda-se que os seguintes controles sejam considerados. a) Convm que um nvel mnimo de cpias de segurana, juntamente com o controle consistente e atualizado dessas cpias e com a documentao dos procedimentos de recuperao, sejam mantidos em local remoto a uma distncia suficiente para livr-los de qualquer dano que possa ocorrer na instalao principal. Convm que no mnimo trs geraes ou ciclos de cpias de segurana das aplicaes crticas sejam mantidos. b) Convm que seja dado s cpias de segurana um nvel adequado de proteo fsica e ambiental (ver seo 7), compatvel com os padres utilizados no ambiente principal. Convm que os controles adotados para as mdias no ambiente principal sejam estendidos para o ambiente de backup. c) Convm que as mdias utilizadas para cpias sejam periodicamente testadas, quando possvel, de modo a garantir sua confiabilidade, quando necessrio. d) Convm que os procedimentos de recuperao sejam verificados e testados periodicamente para assegurar que sejam efetivos e que possam ser aplicados integralmente dentro dos prazos alocados para estes procedimentos operacionais de recuperao. Convm que sejam especificados o perodo de reteno para informaes essenciais ao negcio e tambm qualquer requerimento para o arquivamento de cpias de segurana com reteno permanente (ver 12.1.3). 8.4.2 Registros de operao Convm que seja mantido registro das atividades do pessoal de operao. Convm que esses registros incluam, conforme apropriado: a) horrio de incio e fim dos processamentos; b) erros e aes corretivas adotadas nos processamentos; c) confirmao do correto tratamento dos arquivos de dados e dos resultados gerados nos processamentos; d) identificao de quem est efetuando a operao. Convm que os registros de atividades dos operadores sejam submetidos a checagem regular e independente, em conformidade com os procedimentos operacionais. 8.4.3 Registro de falhas

Convm que qualquer tipo de falha seja relatada e que sejam tomadas aes corretivas. Convm que falhas informadas por usurios relativas a problemas com processamento de informao ou sistemas de comunicao sejam registradas. Convm que existam regras claras para o tratamento das falhas informadas, incluindo: a) anlise crtica sobre os registros de falha para assegurar que as falhas foram satisfatoriamente resolvidas; b) anlise crtica sobre as medidas corretivas aplicadas para se assegurar de que elas no tenham comprometido os controles e que as aes adotadas tenham sido devidamente autorizadas.

8.5 Gerenciamento da rede Objetivo: Garantir a salvaguarda das informaes na rede e a proteo da infraestrutura de suporte. O gerenciamento da segurana de redes que se estendam alm dos limites fsicos da organizao requer particular ateno. Tambm pode ser necessria a utilizao de controles adicionais para proteo de dados sensveis que transitam por redes pblicas. 8.5.1 Controles da rede necessria a utilizao de um conjunto de controles, de forma a obter e preservar a segurana nas redes de computadores. Convm que os gestores implementem controles para garantir a segurana de dados nas redes, assim como a proteo dos servios disponibilizados contra acessos no autorizados. Particularmente, recomenda-se que os seguintes itens sejam considerados. a) Convm que a responsabilidade operacional sobre a rede seja segregada da operao dos computadores, onde for apropriado (ver 8.1.4). b) Convm que sejam estabelecidos procedimentos e responsabilidades para o gerenciamento de equipamentos remotos, incluindo equipamentos nas instalaes dos usurios. c) Quando necessrio, convm que sejam estabelecidos controles especiais para salvaguardar a confidencialidade e a integridade dos dados que trafegam por redes pblicas, e para proteger os respectivos sistemas (ver 9.4 e 10.3). Controles especiais tambm podem ser necessrios para manter a disponibilidade dos servios de rede e dos computadores conectados.

d) Convm que as atividades de gerenciamento sejam cuidadosamente coordenadas, de forma a otimizarem o servio prestado e garantirem que os controles utilizados sejam aplicados de forma consistente por toda a infraestrutura de processamento da informao. 8.6 Segurana e tratamento de mdias Objetivo: Prevenir danos aos ativos e interrupes das atividades do negcio. Convm que as mdias sejam controladas e fisicamente protegidas. Convm que procedimentos operacionais apropriados sejam estabelecidos para proteger documentos, mdias magnticas de computadores (fitas, discos, cartuchos), dados de entrada e sada e documentao dos sistemas contra roubo, acesso no autorizado e danos em geral. 8.6.1 Gerenciamento de mdias removveis Convm que existam procedimentos para o gerenciamento de mdias removveis, como fitas, discos, cartuchos e formulrios impressos. Recomenda-se que os controles abaixo sejam considerados. a) Quando no for mais necessrio, convm que se apague o contedo de qualquer meio magntico reutilizvel que venha a ser retirado da organizao. b) Convm que seja requerida a autorizao para remoo de qualquer mdia da organizao, assim como mantido o registro dessa remoo como trilha de auditoria (ver 8.7.2). c) Convm que toda mdia seja guardada em ambiente seguro, de acordo com as especificaes do fabricante. Convm que todos os procedimentos e os nveis de autorizao sejam explicitamente documentados. 8.6.2 Descarte de mdias Convm que as mdias sejam descartadas de forma segura e protegida quando no forem mais necessrias. Informaes sensveis podem ser divulgadas para pessoas de fora da organizao atravs da eliminao de mdias feita sem o devido cuidado. Convm que procedimentos formais para o descarte seguro das mdias sejam definidos para minimizar este risco. Recomenda-se que os controles abaixo sejam considerados. a) Convm que mdias contendo informaes sensveis sejam guardadas e descartadas de forma segura e protegida, como, por exemplo, atravs de

incinerao ou triturao, ou da eliminao dos dados para uso por uma outra aplicao dentro da organizao. b) A lista seguinte identifica itens que podem requerer descarte seguro: 1) documentos em papel; 2) gravao de voz ou de outros tipos; 3) papel-carbono; 4) relatrios impressos; 5) fitas de impresso descartveis; 6) fitas magnticas; 7) discos removveis e cartuchos; 8) meio de armazenamento tico (todas as formas e incluindo todas as mdias utilizadas pelos fabricantes para distribuio de software); 9) listagem de programas; 10) dados de teste; 11)documentao de sistemas. c) Pode ser mais fcil implementar a coleta e descarte seguro de todas as mdias a serem inutilizadas do que tentar separar apenas aquelas contendo informaes sensveis. d) Muitas organizaes oferecem servios de coleta e descarte de papel, de equipamentos e de mdias magnticas. Convm que se tenha o cuidado na seleo de um prestador de servio com experincia e controles adequados. e) Convm que o descarte de itens sensveis seja registrado, sempre que possvel, para se manter uma trilha de auditoria. Quando do acmulo de mdias para descarte, convm que se leve em considerao o efeito proveniente da agregao, tornando mais crtica uma grande quantidade de informao no classificada do que uma pequena quantidade de informao confidencial. 8.6.3 Procedimentos para tratamento de informao Convm que sejam estabelecidos procedimentos para o tratamento e o armazenamento de informaes, com o objetivo de proteger tais informaes contra a divulgao ou uso indevidos. Convm que se estabeleam procedimentos para o tratamento da informao, consistente com a sua classificao (ver 5.2), em

documentos, sistemas de computadores, redes de computadores, computao mvel, comunicao mvel, correio eletrnico, correio de voz, comunicao de voz em geral, multimdia, servios postais, uso de mquinas de fax e qualquer outro item sensvel, como, por exemplo, cheques em branco e faturas. Recomenda-se que os seguintes controles sejam considerados (ver tambm 5.2 e 8.7.2): a) tratamento e identificao de todos os meios magnticos [ver tambm 8.7.2 a)]; b) restries de acesso para a identificao de pessoal no autorizado; c) manuteno de um registro formal dos destinatrios autorizados aos dados; d) garantia de que a entrada de dados seja completa, de que o processamento esteja devidamente concludo e de que a validao das sadas seja aplicada; e) proteo dos dados preparados para expedio ou impresso de forma consistente com a sua criticidade; f) armazenamento das mdias em ambientes compatveis com as especificaes dos fabricantes; g) manuteno da distribuio de dados no menor nvel possvel; h) identificao eficaz de todas as cpias de segurana, para chamar a ateno dos destinatrios autorizados; i) anlise crtica das listas de distribuio e das listas de destinatrios autorizados em intervalos regulares. 8.6.4 Segurana da documentao dos sistemas A documentao dos sistemas pode conter uma srie de informaes sensveis, como, por exemplo, descries de processos da aplicao, procedimentos, estruturas de dados e processos de autorizao (ver tambm 9.1). Recomenda-se que os seguintes controles sejam considerados para proteger a documentao dos sistemas contra acessos no autorizados. a) Convm que a documentao dos sistemas seja guardada de forma segura. b) Convm que a relao de pessoas com acesso autorizado documentao de sistemas seja a menor possvel e autorizada pelo gestor da aplicao. c) Convm que a documentao de sistema mantida em uma rede pblica, ou fornecida atravs de uma rede pblica, seja protegida de forma apropriada. 8.7 Troca de informaes e software Objetivo: Prevenir a perda, modificao ou mau uso de informaes trocadas entre organizaes.

Convm que as trocas de informaes e software entre organizaes sejam controladas e estejam em conformidade com toda a legislao pertinente (ver seo 12). Convm que as trocas sejam efetuadas baseadas em contratos. Convm que os procedimentos e padres para proteger informao e mdias em trnsito tambm sejam acordados. Convm que sejam consideradas as possveis implicaes nos negcios e na segurana, relacionadas com a troca eletrnica de dados, com o comrcio eletrnico, com o correio eletrnico e com a necessidade de controles.

8.7.1 Acordos para a troca de informaes e software Convm que os acordos, alguns dos quais podem ser formais, incluindo acordos de distribuio de software, quando apropriado, sejam estabelecidos para a troca (eletrnica ou manual) de informao e de software entre organizaes. Convm que a parte relativa segurana em tais acordos reflita o nvel de sensibilidade das informaes envolvidas no negcio. Recomenda-se que os acordos sobre condies de segurana considerem: a) responsabilidades pelo controle e comunicao de transmisses, expedies e recepes; b) procedimentos para notificao do emissor, da transmisso, expedio e recepo; c) padres tcnicos mnimos para embalagem e transmisso; d) padres para identificao de portadores; e) responsabilidades e nus no caso de perda de dados; f) utilizao de um sistema de identificao para informaes crticas e sensveis, garantindo que o significado dos rtulos seja imediatamente entendido e que a informao esteja devidamente protegida; g) responsabilidades e propriedade das informaes e software pela proteo dos dados, em conformidade com os direitos de propriedade de software e consideraes afins (ver 12.1.2 e 12.1.4); h) normas tcnicas para a gravao e leitura de informaes e software; i) quaisquer controles especiais que possam ser necessrios para proteo de itens sensveis, tais como chaves criptogrficas (ver 10.3.5). 8.7.2 Segurana de mdias em trnsito

A informao pode ficar vulnervel a acessos no autorizados, mau uso ou alterao durante o seu transporte fsico, como, por exemplo, quando se enviam meios magnticos atravs de servio postal ou de mensageiro. Recomenda-se que os seguintes controles sejam aplicados para salvaguardar as mdias de computador que esto sendo transportadas entre localidades. a) Convm que utilizao de transporte ou de servio de mensageiro seja confivel. Convm que seja definida uma relao de portadores autorizados em concordncia com os gestores e que seja estabelecido um procedimento para a identificao dos portadores. b) Convm que a embalagem seja suficiente para proteger o contedo contra qualquer dano fsico, como os que podem ocorrer durante o transporte, e que seja feita de acordo com especificaes dos fabricantes. c) Convm que sejam adotados controles especiais, quando necessrio, para proteger informaes crticas contra divulgao no autorizada ou modificao. Como exemplo, pode-se incluir: 1) utilizao de recipientes lacrados; 2) entrega em mos; 3) lacre explcito de pacotes (que revele qualquer tentativa de acesso); 4) em casos excepcionais, diviso do contedo para mais de uma entrega e expedio por rotas distintas; 5) uso de assinatura digital e de criptografia (ver 10.3).

8.7.3 Segurana do comrcio eletrnico O comrcio eletrnico pode envolver o uso de troca eletrnica de dados (EDI), de correio eletrnico e de transaes on-line atravs de redes pblicas tal como a Internet. O comrcio eletrnico vulnervel a inmeras ameaas da rede que podem resultar em atividades fraudulentas, violaes de contratos e divulgao ou modificao de informao. Convm que controles sejam aplicados para proteger o comrcio eletrnico de tais ameaas. Recomenda-se que as consideraes de segurana para o comrcio eletrnico incluam o seguinte. a) Autenticao. Qual nvel de confiana deve ser requerido pelo cliente e pelo comerciante para se garantir a identidade de cada um deles? b) Autorizao. Quem est autorizado a estabelecer preos, emitir ou assinar documentos comerciais chave? Como os parceiros do negcio tomam conhecimento disto?

c) Contratao e processos de apresentao de propostas. Quais so os requisitos de confidencialidade, integridade e prova de envio e recebimento de documentos-chave e de no repdio de contratos? d) Informao de preo. Qual nvel de confiana pode-se ter da integridade da lista de preos e na confidencialidade dos acordos de descontos? e) Transaes. Qual a confidencialidade e a integridade dos detalhes do endereo fornecido para o pedido de compra, pagamento e entrega? E da confirmao de recebimento? f) Investigao. Qual nvel de investigao o mais apropriado para checagem das informaes de pagamento fornecidas pelo cliente? g) Liquidao. Qual a forma mais apropriada de pagamento para se evitarem fraudes? h) Pedido de compra. Que tipos de proteo so necessrios para se manter a confidencialidade e a integridade da informao do pedido de compra e para se evitar a perda ou duplicao das transaes? i) Responsabilizao. Quem responde pelo risco de qualquer transao fraudulenta? Muitas das consideraes feitas acima podem ser solucionadas atravs da aplicao de tcnicas de criptografia apresentadas em 10.3, levando-se em conta a conformidade com os requisitos legais (ver 12.1, especialmente 12.1.6, que trata da legislao sobre criptografia). Convm que os acordos de comrcio eletrnico entre parceiros comerciais sejam baseados em um contrato formal que comprometa as partes com os termos do acordo comercial, incluindo os detalhes de autorizao [ver item b) acima]. Outros acordos com fornecedores de servios de tecnologia de informao e de provedores de rede tambm podem ser necessrios. Convm que os sistemas comerciais pblicos divulguem seus termos comerciais para seus clientes. Convm que seja considerada a capacidade de resilincia a ataques dos computadores centrais utilizados no comrcio eletrnico e a implicaes na segurana de qualquer conexo que seja necessria na rede de telecomunicaes para sua implementao (ver 9.4.7).

8.7.4 Segurana do correio eletrnico

8.7.4.1 Riscos de segurana O correio eletrnico est sendo utilizado para as comunicaes comerciais, substituindo meios tradicionais, tais como telex e cartas. O correio eletrnico difere das formas convencionais de comunicao comercial em, por exemplo, velocidade, estrutura da mensagem, grau de informalidade e vulnerabilidade a aes no autorizadas. Convm que se leve em conta a necessidade de controles para se reduzirem os riscos gerados pelo uso do correio eletrnico. Os riscos de segurana incluem: a) vulnerabilidade das mensagens ao acesso no autorizado, modificao ou negao do servio; b) vulnerabilidade a erro, como, por exemplo, endereamento e direcionamento incorretos, e em geral a falta de confiabilidade e disponibilidade do servio; c) impacto da mudana do meio de comunicao nos processos do negcio, como, por exemplo, o efeito do aumento da velocidade dos encaminhamentos ou o efeito do envio de mensagens formais no mbito de pessoa para pessoa ao invs de companhia para companhia; d) consideraes legais relacionadas com a necessidade potencial de prova de origem, envio, entrega e aceitao; e) implicaes da divulgao externa de listas de funcionrios; f) controle sobre o acesso dos usurios remotos s contas de correio eletrnico. 8.7.4.2 Poltica de uso do correio eletrnico Convm que as organizaes definam uma poltica clara para a utilizao do correio eletrnico, incluindo: a) ataques ao correio eletrnico, como, por exemplo, por vrus e interceptao; b) proteo de anexos de correio eletrnico; c) orientaes de quando no se deve utilizar o correio eletrnico; d) responsabilidades dos funcionrios de forma a no comprometer a organizao, como, por exemplo, o envio de mensagens difamatrias, uso do correio eletrnico para atormentar pessoas ou fazer compras no autorizadas; e) uso de tcnicas de criptografia para proteger a confidencialidade e integridade das mensagens eletrnicas (ver 10.3); f) reteno de mensagens que, se guardadas, podem ser descobertas e utilizadas em casos de litgio; g) controles adicionais para a investigao de mensagens que no puderem ser autenticadas.

8.7.5 Segurana dos sistemas eletrnicos de escritrio Convm que polticas e diretrizes sejam preparadas e implementadas para controlar o negcio e os riscos de segurana associados com os sistemas eletrnicos de escritrio. Isso traz oportunidades para a rpida disseminao e compartilhamento de informaes, utilizando-se uma combinao de: documentos, computadores, computao mvel, comunicao mvel, correio eletrnico, correio de voz, comunicao de voz em geral, multimdia, servios postais e mquinas de fax. Convm que as consideraes relacionadas com a segurana e com o negcio envolvidas com tal conjunto de recursos incluam: a) vulnerabilidades da informao nos sistemas de escritrio, como, por exemplo, gravao de chamadas telefnicas, confidencialidade das chamadas, armazenamento de faxes, abertura de correio, distribuio de correspondncia; b) poltica e controles apropriados para gerenciar o compartilhamento de informaes, como, por exemplo, o uso de BBS (Bulletin Board System) corporativo (ver 9.1); c) excluso das categorias de informao sensvel ao negcio caso o sistema no fornea o nvel de proteo apropriado (ver 5.2); d) restrio do acesso a informaes de trabalho relacionadas com indivduos especficos, como, por exemplo, grupo de trabalho de projetos sensveis; e) adequao, ou outras medidas, dos sistemas que suportam aplicaes do negcio, como os de comunicaes ou autorizaes; f) categorias de funcionrios, fornecedores ou parceiros nos negcios autorizados a usar o sistema e as localidades a partir das quais obtm-se acesso aos mesmos (ver 4.2); g) restrio do acesso a categorias especficas de usurios; h) identificao da categoria dos usurios, como, por exemplo, listas dos funcionrios da organizao ou prestadores de servio, em benefcio de outros usurios; i) j) reteno e cpia de segurana das informaes mantidas no sistema (ver 12.1.3 e 8.4.1); requisitos e acordos de recuperao e contingncia (ver 11.1).

8.7.6 Sistemas disponveis publicamente Convm que se tome cuidado para proteger a integridade da informao divulgada eletronicamente, de forma a prevenir modificaes no autorizadas que possam prejudicar a reputao pblica da organizao. A informao em sistemas disponveis para o pblico, como, por exemplo, informaes em um servidor acessvel atravs da

Internet, pode necessitar estar em conformidade com as leis, normas e regulamentaes na jurisdio na qual o sistema esteja localizado ou onde a transao estiver sendo realizada. Convm que exista um processo de autorizao formal antes da publicao de uma informao. Convm que software, dados e outras informaes que requeiram um alto nvel de integridade, expostos em um sistema pblico, sejam protegidos por mecanismos apropriados, como, por exemplo, assinaturas digitais (ver 10.3.3). Convm que sistemas de publicao eletrnica, especialmente aqueles que permitam retorno (feedback) e entrada direta de informaes, sejam cuidadosamente controlados, de forma que: a) a informao seja obtida em conformidade com a legislao relacionada proteo de dados (ver 12.1.4); b) a entrada e o processamento de dados sejam feitos de forma completa e no devido tempo; c) as informaes sensveis sejam protegidas durante o processo de coleta e quando armazenadas; d) a forma de acesso a sistemas que divulguem informaes no permita o acesso casual s redes nas quais esses sistemas estejam conectados. 8.7.7 Outras formas de troca de informao Convm que sejam definidos procedimentos e controles para proteo da troca de informao atravs da comunicao verbal, de fax e de vdeo. A informao pode ser comprometida devido falta de ateno e de polticas e procedimentos adequados utilizao destes recursos, como, por exemplo, atravs da escuta de conversa quando do uso de um telefone mvel em local pblico, atravs da escuta no autorizada de mensagens em secretrias eletrnicas, atravs do acesso no autorizado a sistemas de correios de voz ou atravs do envio acidental de fax para pessoas erradas. As operaes de negcio podem ser prejudicadas e a informao pode ser comprometida se os recursos de comunicao falharem, forem sobrecarregados ou interrompidos (ver 7.2 e seo 11). A informao tambm pode ser comprometida se o acesso a esta for obtido por usurios no autorizados (ver seo 9). Convm que seja estabelecida uma poltica clara, dispondo sobre os procedimentos a serem seguidos pelos funcionrios, na utilizao de comunicao por voz, fax e vdeo. Recomenda-se que isso inclua: a) relembrar aos funcionrios que convm que eles tomem as precaues apropriadas, como, por exemplo, no revelar informaes sensveis ou evitar

deixar que suas ligaes a partir de locais pblicos sejam captadas ou interceptadas por pessoas que se encontram prximas ao telefone utilizado, levando-se em conta: 1) pessoas nas proximidades, principalmente quando se est falando em telefones mveis; 2) interceptao de cabo telefnico e outras formas de escuta atravs de acesso fsico ao aparelho ou linha telefnica, ou atravs do uso de receptores que faam o rastreamento da freqncia quando se utilizam telefones mveis analgicos; 3) outras pessoas prximas ao receptor final; b) relembrar aos funcionrios que convm que eles no efetuem conversaes sobre assuntos confidenciais em locais pblicos ou em escritrios abertos ou em reunies em salas com paredes finas; c) no deixar mensagens em secretrias eletrnicas, pois essas podem ser resgatadas por pessoas no autorizadas, armazenadas em sistemas de uso comum ou armazenadas de forma incorreta como resultado de erro de discagem; d) relembrar aos funcionrios sobre os problemas relativos utilizao de equipamentos de fax, a saber: 1) acesso no autorizado s mensagens enviadas ou a serem enviadas; 2) falha intencional ou acidental na programao do envio de faxes; 3) envio de documentos e mensagens para nmeros errados atravs de discagem incorreta ou da utilizao de nmeros errados guardados em memria. 9 Controle de acesso 9.1 Requisitos do negcio para controle de acesso Objetivo: Controlar o acesso informao. Convm que o acesso informao e processos do negcio seja controlado na base dos requisitos de segurana e do negcio. Convm que isto leve em considerao as polticas de autorizao e disseminao da informao. 9.1.1 Poltica de controle de acesso 9.1.1.1 Requisitos do negcio e poltica

Convm que os requisitos do negcio para controle de acesso sejam definidos e documentados. Convm que as regras de controle de acesso e direitos para cada usurio ou grupo de usurios estejam claramente estabelecidas no documento da poltica de controle de acesso. Convm que seja dado aos usurios e provedores de servio um documento contendo claramente os controles de acesso que satisfaam os requisitos do negcio. Recomenda-se que a poltica leve em conta o seguinte: a) requisitos de segurana de aplicaes especficas do negcio; b) identificao de toda informao referente s aplicaes do negcio; c) polticas para autorizao e distribuio de informao, por exemplo a necessidade de conhecer os princpios e nveis de segurana, bem como a classificao da informao; d) compatibilidade entre o controle de acesso e as polticas de classificao da informao dos diferentes sistemas e redes; e) legislao vigente e qualquer obrigao contratual considerando a proteo do acesso a dados ou servios (ver seo 12); f) perfil de acesso de usurio-padro para categorias de trabalho comuns; g) gerenciamento dos direitos de acesso em todos os tipos de conexes disponveis em um ambiente distribudo e conectado em rede. 9.1.1.2 Regras de controle de acesso Na especificao de regras para controle de acesso, convm que alguns cuidados sejam considerados: a) diferenciao entre as regras que sempre devem ser cumpridas das regras opcionais ou condicionais; b) estabelecimento de regras baseadas na premissa Tudo deve ser proibido a menos que expressamente permitido, ao invs da regra Tudo permitido a menos que expressamente proibido; c) modificaes nos rtulos de informao (ver 5.2) que so atribudos automaticamente pelos recursos de processamento de dados e dos atribudos a critrio de um usurio; d) modificaes nas permisses de usurios que so atribudas automaticamente por um sistema de informao daquelas atribudas por um administrador; e) diferenciao entre regras que requerem aprovao do administrador ou outro funcionrio antes da liberao e aquelas que no necessitam de tal aprovao. 9.2 Gerenciamento de acessos do usurio

Objetivo: Prevenir acessos no autorizados aos sistemas de informao. Convm que procedimentos formais sejam estabelecidos para controlar a concesso de direitos de acesso aos sistemas de informao e servios. Convm que os procedimentos cubram todos os estgios do ciclo de vida de acesso de um usurio, do registro inicial de novos usurios at o registro final de excluso dos usurios que no mais necessitam ter acesso aos sistemas de informao e servios. Convm que seja dada ateno especial, onde apropriado, necessidade de controlar a concesso de direitos de acesso privilegiados, os quais permitem aos usurios sobrepor os controles do sistema. 9.2.1 Registro de usurio Convm que exista um procedimento formal de registro e cancelamento de usurio para obteno de acesso a todos os sistemas de informao e servios multiusurios. Convm que o acesso aos servios de informao multiusurio seja controlado atravs de um processo formal de registro de usurio, que recomenda-se que inclua: a) utilizao de identificador de usurio (ID) nico, de forma que cada usurio possa ser identificado e feito responsvel por suas aes. Convm que o uso de identificador (ID) de grupo somente seja permitido onde for necessrio para a execuo do trabalho; b) verificao de que o usurio tem autorizao do proprietrio do sistema para a utilizao do sistema de informao ou servio. Aprovao do direito de acesso pelo gestor pode tambm ser necessria; c) verificao de que o nvel de acesso concedido est adequado aos propsitos do negcio (ver 9.1) e est consistente com a poltica de segurana da organizao, por exemplo no compromete a segregao de funes (ver 8.1.4); d) entrega de um documento escrito aos usurios sobre seus direitos de acesso; e) solicitao da assinatura dos usurios indicando que eles entenderam as condies de seus direitos de acesso; f) garantia de que o provedor de servio no fornecer direitos de acesso at que os procedimentos de autorizao sejam concludos; g) manuteno de um registro formal de todas as pessoas cadastradas para usar o servio; h) remoo imediata dos direitos de acesso de usurios que tenham mudado de funo ou sado da organizao; i) verificao peridica para remoo de usurios (ID) e contas redundantes;

j)

garantia de que identificadores de usurios (ID) redundantes no sejam atribudos para outros usurios. Convm que seja considerada a incluso de clusulas nos contratos de funcionrios e de servios que especifiquem as sanes em caso de tentativa de acesso no autorizado por funcionrio ou prestador de servio (ver tambm 6.1.4 e 6.3.5).

9.2.2 Gerenciamento de privilgios Convm que a concesso e o uso de privilgios (qualquer caracterstica ou facilidade de um sistema de informao multiusurio que permita ao usurio sobrepor controles do sistema ou aplicao) sejam restritos e controlados. O uso inadequado de privilgios em sistemas freqentemente apontado como o maior fator de vulnerabilidade de sistemas. Convm que sistemas multiusurio que necessitam de proteo contra acesso no autorizado tenham a concesso de privilgios controlada atravs de um processo de autorizao formal. Recomenda-se que os seguintes passos sejam considerados. a) Convm que os privilgios associados a cada produto do sistema, por exemplo sistema operacional, sistema de gerenciamento de banco de dados e cada aplicao, e as categorias dos funcionrios para os quais estes necessitam ser concedidos sejam identificados. b) Convm que os privilgios sejam concedidos a indivduos conforme a necessidade de uso ou determinao por eventos, por exemplo os requisitos mnimos para sua funo somente quando necessrio. c) Convm que um processo de autorizao e um registro de todos os privilgios concedidos sejam mantidos. a) Convm que os privilgios no sejam fornecidos at que todo o processo de autorizao esteja finalizado. d) Convm que o desenvolvimento e o uso de rotinas do sistema sejam incentivados de forma a evitar a necessidade de fornecer privilgios aos usurios. e) Convm que privilgios sejam estabelecidos para uma identidade de usurio diferente daquelas usadas normalmente para os negcios. 9.2.3 Gerenciamento de senha dos usurios Senhas so um meio comum de validao da identidade do usurio para obteno de acesso a um sistema de informao ou servio. Convm que a concesso de senhas

seja controlada atravs de um processo de gerenciamento formal, que recomenda-se que considere o seguinte: a) solicitar aos usurios a assinatura de uma declarao, a fim de manter a confidencialidade de sua senha pessoal e das senhas de grupos de trabalho (isto pode estar incluso nos termos e condies do contrato de trabalho, ver 6.1.4); b) garantir, onde os usurios necessitam manter suas prprias senhas, que esto sendo fornecidas senhas iniciais seguras e temporrias, o que obriga o usurio a alter-la imediatamente. Convm que o fornecimento de senhas temporrias para o caso de os usurios esquecerem sua senha seja efetuado somente aps a sua identificao positiva; c) requerer que senhas temporrias sejam dadas aos usurios de forma segura. Convm que o uso de prestadores de servio ou de mensagens de correio eletrnico desprotegidas (texto claro) seja evitado. Convm que os usurios acusem o recebimento das senhas. No convm que senhas sejam armazenadas em sistemas de computador de forma desprotegida (ver 9.5.4). Outras tecnologias para a identificao e autenticao de usurios, tais como reconhecimento biomtrico, por exemplo verificao de impresso digital, verificao de assinatura e utilizao de tokens, como smart cards, j esto disponveis e convm que sejam consideradas, se apropriado. 9.2.4 Anlise crtica dos direitos de acesso do usurio Para manter controle efetivo sobre o acesso aos dados e servios de informao, convm que o gestor conduza em intervalos regulares de tempo um processo formal de anlise crtica dos direitos de acesso dos usurios, de forma que: a) os direitos de acesso dos usurios sejam analisados criticamente a intervalos regulares (um perodo de seis meses recomendado) e aps quaisquer mudanas (ver 9.2.1); b) as autorizaes para direitos de acesso privilegiados (ver 9.2.2) sejam analisadas criticamente em intervalos mais freqentes, sendo recomendado um perodo de trs meses; c) as concesses de privilgios sejam verificadas em intervalos regulares para garantir que privilgios no autorizados no sejam obtidos. 9.3 Responsabilidades do usurio Objetivo: Prevenir acesso no autorizado dos usurios.

A cooperao dos usurios autorizados essencial para a eficcia da segurana. Convm que os usurios estejam cientes de suas responsabilidades para a manuteno efetiva dos controles de acesso, considerando particularmente o uso de senhas e a segurana de seus equipamentos. 9.3.1 Uso de senhas Convm que os usurios sigam as boas prticas de segurana na seleo e uso de senhas. As senhas fornecem um meio de validao da identidade do usurio e conseqentemente o estabelecimento dos direitos de acesso para os recursos ou servios de processamento da informao. Convm que todos os usurios sejam informados para: a) manter a confidencialidade das senhas; b) evitar o registro das senhas em papel, a menos que o papel possa ser guardado de forma segura; c) alterar a senha sempre que existir qualquer indicao de possvel comprometimento do sistema ou da prpria senha; d) selecionar senhas de qualidade, com um tamanho mnimo de seis caracteres, que sejam: 1) fceis de lembrar; 2) no baseadas em coisas que outras pessoas possam facilmente adivinhar ou obter a partir de informaes pessoais, por exemplo nomes, nmeros telefnicos, datas de nascimento, etc.; 3) isentas de caracteres idnticos consecutivos ou de grupos de caracteres somente numricos ou alfabticos. e) alterar a senha em intervalos regulares ou baseando-se no nmero de acessos (senhas para contas privilegiadas devem ser alteradas com maior freqncia do que senhas normais) e evitar a reutilizao de senhas antigas; f) alterar senhas temporrias no primeiro acesso ao sistema; g) no incluir senhas em processos automticos de acesso ao sistema, por exemplo armazenadas em macros ou teclas de funo; h) no compartilhar senhas individuais. Se usurios precisarem ter acesso a mltiplas plataformas ou servios e tiverem que manter vrias senhas, convm orient-los a utilizar uma nica senha de qualidade [ver

9.3.1d)] para todos os servios que proverem um nvel razovel de proteo de armazenamento de senhas. 9.3.2 Equipamento de usurio sem monitorao Convm que os usurios garantam que equipamentos no monitorados tenham proteo apropriada. Equipamentos instalados em reas de usurio, por exemplo estaes de trabalho ou servidores de arquivo, podem necessitar de proteo especfica contra acesso no autorizado, quando deixados sem monitorao por um perodo longo de tempo. Convm que todos os usurios e prestadores de servio estejam cientes dos requisitos de segurana e dos procedimentos para a proteo de equipamentos no monitorados, bem como suas responsabilidades para implementao de tais protees. Convm que os usurios sejam informados para: a) encerrar as sesses ativas, a menos que elas possam ser protegidas atravs de um mecanismo de bloqueio, por exemplo tela de proteo com senha; b) efetuar a desconexo com o computador de grande porte quando a sesso for finalizada (no apenas desligar o microcomputador ou terminal, mas utilizar o procedimento para desconexo); c) proteger microcomputadores ou terminais contra o uso no autorizado atravs de tecla de bloqueio ou outro controle equivalente, por exemplo senha de acesso, quando no estiverem em uso. 9.4 Controle de acesso rede Objetivo: Proteo dos servios de rede. Convm que o acesso aos servios de rede internos e externos seja controlado. Isto necessrio para garantir que usurios com acesso s redes e aos servios de rede no comprometam a segurana desses servios, assegurando: a) uso de interfaces apropriadas entre a rede da organizao e as redes de outras organizaes ou redes pblicas; b) uso de mecanismos de autenticao apropriados para usurios e equipamentos; c) controle de acesso dos usurios aos servios de informao. 9.4.1 Poltica de utilizao dos servios de rede Conexes no seguras a servios de rede podem afetar toda a organizao. Convm que os usurios possuam acesso direto somente aos servios que eles esto especificamente autorizados para uso. Este controle particularmente importante para

as conexes de rede com aplicaes sensveis ou crticas do negcio ou para usurios que esto em locais de alto risco, como, por exemplo, em reas pblicas ou externas que se encontram fora do controle e da gerncia de segurana da organizao. Convm que uma poltica seja formulada considerando-se o uso de redes e seus servios. Convm incluir: a) redes e servios de rede aos quais o acesso permitido; b) procedimentos de autorizao para a determinao de quem tem acesso a que redes e a quais servios de rede; c) procedimentos e controles de gerenciamento para proteger o acesso s conexes e servios de rede. Convm que esta poltica seja consistente com a poltica de controle de acesso do negcio (ver 9.1). 9.4.2 Rota de rede obrigatria O caminho entre o terminal do usurio e o servio do computador pode necessitar ser controlado. Redes so projetadas para permitir a mxima extenso no compartilhamento de recursos e flexibilidade de roteamento. Estas caractersticas podem oferecer tambm oportunidades para acessos no autorizados s aplicaes do negcio ou ao uso no autorizado dos recursos de informao. A incorporao de controles que restringem a rota entre um terminal de usurio e os servios do computador, aos quais o usurio autorizado a obter acesso, como, por exemplo, a criao de uma rota forada, pode reduzir tais riscos. O objetivo de uma rota forada prevenir que qualquer usurio selecione rotas fora da rota entre o terminal do usurio e os servios para os quais ele est autorizado a obter acesso. Isto usualmente requer a implementao de um nmero de controles em diferentes pontos da rota. A idia limitar as opes de roteamento para cada ponto da rede atravs de alternativas predeterminadas. Exemplos disto so os seguintes: a) alocao de linhas ou nmero de telefones dedicados; b) portas de conexo automtica para sistemas de aplicao especficos ou gateways de segurana; c) limitao das opes de menu e submenu para usurios individuais; d) preveno de transferncia (roaming) ilimitada na rede; e) imposio do uso de sistemas de aplicao especficos e/ou gateways de segurana para usurios de redes externas;

f)

controle ativo das origens permitidas para comunicao com destinos atravs de gateways de segurana, por exemplo firewalls;

g) restrio de acesso rede atravs do estabelecimento de domnios lgicos separados, por exemplo redes virtuais privadas, para grupos de usurios dentro da organizao (ver tambm 9.4.6). Convm que os requisitos para a especificao de rotas (imposio de caminho) sejam baseados na poltica de controle de acesso do negcio (ver 9.1). 9.4.3 Autenticao para conexo externa do usurio As conexes externas proporcionam um potencial para acesso no autorizado s informaes do negcio, por exemplo acessos atravs de mtodos dial-up. Portanto, convm que acessos de usurios remotos estejam sujeitos autenticao. Existem diferentes mtodos de autenticao, alguns deles fornecendo maior nvel de proteo que outros, por exemplo mtodos baseados no uso de tcnicas de criptografia podem fornecer autenticao forte. importante determinar o nvel de proteo requerido a partir de uma avaliao de risco. Isso necessrio para selecionar apropriadamente um mtodo de autenticao. A autenticao de usurios remotos pode ser alcanada pelo uso, por exemplo, de tcnicas baseadas em criptografia, de dispositivos de tokens ou de protocolo de desafio/resposta. Linhas privadas dedicadas ou recursos de verificao de endereo de usurio de rede podem tambm ser utilizados para garantir a origem das conexes. Controles e procedimentos de discagem reversa (dial back), por exemplo uso de modems com discagem reversa, podem fornecer proteo contra conexes indesejveis ou no autorizadas aos recursos de processamento de informao da organizao. Este tipo de controle autentica aqueles usurios que tentam estabelecer uma conexo com a rede da organizao a partir de uma localizao remota. Ao se utilizarem estes controles, convm que uma organizao no faa uso de servios de rede que incluam call forwarding ou, se fizer, convm que seja desabilitado o uso de tais facilidades para evitar exposio a fragilidades associadas ao call forwarding. importante tambm que o processo de discagem reversa inclua a garantia de que uma desconexo efetiva ocorra pelo lado da organizao. Caso contrrio, o usurio remoto pode manter a linha aberta com a pretenso de que a verificao da chamada reversa tenha ocorrido. Convm que os procedimentos e controles de chamada reversa sejam exaustivamente testados para essa possibilidade. 9.4.4 Autenticao de n

A facilidade de conexo automtica para um computador remoto pode proporcionar uma forma de se ganhar acesso no autorizado a uma aplicao do negcio. Portanto, convm que as conexes a sistemas remotos de computadores sejam autenticadas. Isto especialmente importante se a conexo usar uma rede que est fora do controle do gerenciamento de segurana da organizao. Alguns exemplos de autenticao e como eles podem ser alcanados so fornecidos em 9.4.3 acima. A autenticao de n pode servir como um meio alternativo de autenticao de grupos de usurios remotos, onde eles so conectados a um recurso computacional seguro e compartilhado (ver 9.4.3). 9.4.5 Proteo de portas de diagnstico remotas Convm que o acesso s portas de diagnstico seja seguramente controlado. Muitos computadores e sistemas de comunicao esto instalados com recursos que permitem o diagnstico remoto por dial-up para uso dos engenheiros de manuteno. Se desprotegidas, essas portas de diagnstico proporcionam um meio de acesso no autorizado. Convm que elas, portanto, sejam protegidas por um mecanismo de segurana apropriado, por exemplo uma chave de bloqueio e um procedimento para garantir que elas sejam acessveis somente atravs de um acordo entre o gestor dos servios computadorizados e o pessoal de suporte de hardware/software que solicitou o acesso. 9.4.6 Segregao de redes As redes se estendem cada vez mais alm dos limites tradicionais da organizao, medida que as parcerias de negcio so formadas, e podem requerer a interligao ou compartilhamento dos recursos de rede e de processamento de informaes. Esta extenso pode aumentar o risco de acessos no autorizados aos sistemas de informao j existentes e que utilizam a rede, e alguns dos quais podem necessitar proteo contra os usurios de uma outra rede por conta de sua criticidade e sensitividade. Nestas circunstncias, convm que seja considerada a introduo de controles na rede, para segregao de grupos de servios de informao, de usurios e de sistemas de informao. Um dos mtodos de controlar a segurana de grandes redes dividi-las em domnios lgicos de rede separados, por exemplo domnios internos e domnios externos, cada um dos quais protegidos por um permetro de segurana definido. Tal permetro pode ser implementado com a instalao de um gateway seguro entre as duas redes que sero interligadas para controlar o acesso e o fluxo de informaes entre os dois domnios. Convm que este gateway seja configurado para filtrar o

trfego entre estes dois domnios (ver 9.4.7 e 9.4.8) e para bloquear acessos no autorizados de acordo com a poltica de controle de acesso da organizao (ver 9.1). Um exemplo deste tipo de gateway frequentemente referenciado como firewall. Convm que o critrio para segregao da rede em domnios seja baseado na poltica de controle de acesso e nos requisitos de acesso (ver 9.1), e tambm leve em considerao o custo relativo e o impacto no desempenho pela incorporao de roteamento adequado para a rede ou de tecnologia baseada em gateway (ver 9.4.7 e 9.4.8). 9.4.7 Controle de conexes de rede Os requisitos da poltica de controle de acesso para redes compartilhadas, especialmente aquelas que se estendem alm dos limites da organizao, podem requerer a incorporao de controles que limitem a capacidade de conexo dos usurios. Tais controles podem ser implementados atravs de gateways de rede que filtram o trfego por meio de tabelas ou regras predefinidas. Convm que as restries aplicadas sejam baseadas na poltica de controle de acesso e nos requisitos das aplicaes do negcio (ver 9.1), e sejam mantidas e atualizadas adequadamente. Exemplos de aplicaes nas quais convm que estas restries sejam aplicadas so: a) correio eletrnico; b) transferncia unidirecional de arquivos; c) transferncia bidirecional de arquivos; d) acesso interativo; e) acesso rede associado hora do dia ou data. 9.4.8 Controle do roteamento de rede Redes compartilhadas, especialmente aquelas que se estendem atravs dos limites organizacionais, podem necessitar a incorporao de controles de roteamento que garantam que as conexes de computador e o fluxo de informaes no violam a poltica de controle de acesso das aplicaes do negcio (ver 9.1). Este controle geralmente essencial para redes compartilhadas com prestadores de servios (usurios que no pertencem ao quadro da organizao). Convm que controles de roteamento sejam baseados em fontes confiveis e mecanismos de checagem de endereo de destino. A traduo dos endereos de rede tambm um mecanismo muito til para isolar redes e prevenir a utilizao de rotas da rede de uma organizao para redes de uma outra organizao. Eles podem ser implementados em software ou hardware. Convm que os implementadores estejam cientes do poder de qualquer mecanismo usado.

9.4.9 Segurana dos servios de rede Uma ampla variedade de servios pblicos ou privados de rede est disponvel, alguns dos quais oferecendo servios de valor agregado. Os servios de rede podem ter caractersticas de segurana nicas ou complexas. Convm que as organizaes que usam servios de rede se assegurem de que ser fornecida uma descrio clara dos atributos de segurana de todos os servios usados. 9.5 Controle de acesso ao sistema operacional Objetivo: Prevenir acesso no autorizado ao computador. Convm que as funcionalidades de segurana do sistema operacional sejam usadas para restringir o acesso aos recursos computacionais. Convm que estas funcionalidades permitam: a) identificao e verificao da identidade e, se necessrio, do terminal e da localizao de cada usurio autorizado; b) registro dos sucessos e das falhas de acesso ao sistema; c) fornecimento de meios apropriados para a autenticao; se um sistema de gerenciamento de senhas for usado, convm que ele garanta senhas de qualidade [ver 9.3.1d)]; d) restrio do tempo de conexo dos usurios, quando apropriado; Outros mtodos de controle de acesso, tais como desafio/resposta, podem ser disponibilizados se forem justificados com base nos riscos do negcio. 9.5.1 Identificao automtica de terminal Convm que a identificao automtica de terminal seja considerada para autenticar conexes a locais especficos e para equipamentos portteis. A identificao automtica de terminal uma tcnica que pode ser usada quando for importante que uma sesso s possa ser inicializada a partir de uma localizao particular ou de um terminal de computador especfico. Um identificador de terminal ou um identificador anexado ao terminal pode ser utilizado para indicar se o terminal, em particular, possui permisso para iniciar ou receber transaes especficas. Pode ser necessrio aplicar proteo fsica para o terminal, para manter a segurana do identificador. Outras tcnicas tambm podem ser utilizadas para autenticar usurios (ver 9.4.3). 9.5.2 Procedimentos de entrada no sistema (log-on)

Convm que o acesso aos servios de informao seja realizado atravs de um processo seguro de entrada no sistema (log-on). Convm que o procedimento para entrada no sistema de computador seja projetado para minimizar a oportunidade de acessos no autorizados. Convm que o procedimento de entrada no sistema (log-on), portanto, divulgue o mnimo de informaes sobre o sistema, de forma a evitar o fornecimento de informaes desnecessrias a um usurio no autorizado. Convm que um bom procedimento de entrada no sistema (log-on): a) no mostre identificadores de sistema ou de aplicaes at que o processo de entrada no sistema (log-on) tenha sido concludo com sucesso; b) mostre um aviso geral informando que somente pessoas autorizadas devem obter acesso ao computador; c) no fornea mensagens de ajuda durante o procedimento de entrada no sistema (log-on) que poderiam auxiliar um usurio no autorizado; d) valide a informao de entrada no sistema (log-on) apenas quando todos os dados de entrada estiverem completos. Caso ocorra uma condio de erro, o sistema no deve indicar que parte do dado de entrada est correta ou incorreta; e) limite o nmero de tentativas de entradas no sistema (log-on) sem sucesso ( recomendado um mximo de trs tentativas) e considere: 1) registro das tentativas de acesso invlidas; 2) imposio de tempo de espera antes de permitir novas tentativas de entrada no sistema (log-on) ou rejeio de qualquer tentativa posterior de acesso sem autorizao especfica; 3) encerramento das conexes por data link; f) limite o tempo mximo e mnimo para o procedimento de entrada no sistema (log-on). Se excedido, o sistema dever encerrar o procedimento; g) mostre as seguintes informaes, quando o procedimento de entrada no sistema (log-on) finalizar com xito: 1) data e hora da ltima entrada no sistema (log-on) com sucesso; 2) detalhes de qualquer tentativa sem sucesso de entrada no sistema (logon) desde o ltimo procedimento efetuado com sucesso. 9.5.3 Identificao e autenticao de usurio Convm que todos os usurios (incluindo o pessoal de suporte tcnico, como operadores, administradores de rede, programadores de sistema e administradores de banco de dados) tenham um identificador nico (ID de usurio) para uso pessoal e

exclusivo, de modo que as atividades possam ser rastreadas subseqentemente a um indivduo responsvel. Convm que os identificadores de usurio no forneam qualquer indicao do nvel de privilgio do usurio (ver 9.2.2), por exemplo gestor, supervisor. Em circunstncias excepcionais, onde exista um claro benefcio ao negcio, pode ocorrer a utilizao de um ID compartilhado por um grupo de usurios ou para um trabalho especfico. Convm que a aprovao pelo gestor esteja documentada nestes casos. Controles adicionais podem ser necessrios para manuteno das responsabilidades. Existem vrios procedimentos de autenticao, que podem ser usados para confirmar a identidade alegada por um usurio. Senhas (ver tambm 9.3.1 e itens abaixo) so uma maneira muito comum de se prover identificao e autenticao (I&A), baseadas em um segredo que apenas o usurio conhece. O mesmo pode ser obtido com meios criptogrficos e protocolos de autenticao. Objetos como tokens de memria ou smart card (cartes inteligentes) que os usurios possuem tambm podem ser usados para identificao e autenticao. As tecnologias de autenticao biomtrica que usam caractersticas ou atributos nicos de cada indivduo tambm podem ser usadas para autenticar a identidade de uma pessoa. Uma combinao de tecnologias e mecanismos seguramente relacionados resultar em uma autenticao forte. 9.5.4 Sistema de gerenciamento de senhas A senha um dos principais meios de validar a autoridade de um usurio para obter acesso a um servio de computador. Convm que sistemas de gerenciamento de senhas proporcionem facilidade interativa e eficaz que assegure senhas de qualidade (ver 9.3.1 para guiar-se no uso de senhas). Algumas aplicaes requerem que senhas de usurio sejam atribudas por uma autoridade independente. Na maioria dos casos as senhas so selecionadas e mantidas pelos usurios. Convm que um bom sistema de gerenciamento de senhas: a) obrigue o uso de senhas individuais para manter responsabilidades; b) onde apropriado, permita que os usurios selecionem e modifiquem suas prprias senhas, incluindo um procedimento de confirmao para evitar erros; c) obrigue a escolha de senhas de qualidade como descrito em 9.3.1; d) onde os usurios mantm suas prprias senhas, obrigue a troca como descrito em 9.3.1;

e) onde os usurios selecionam senhas, obrigue a troca da senha temporria no primeiro acesso (ver 9.2.3); f) mantenha registro das senhas anteriores utilizadas, por exemplo para os 12 meses passados, e bloqueie a reutilizao de senhas; g) no mostre as senhas na tela quando forem digitadas; h) armazene os arquivos de senha separadamente dos dados de sistemas e de aplicao; i) j) armazene as senhas na forma cifrada, usando um algoritmo de criptografia unidirecional; altere senhas-padro fornecidas pelo fabricante, aps a instalao do software.

9.5.5 Uso de programas utilitrios A maioria das instalaes possui um ou mais programas utilitrios de sistema que podem ser capazes de sobrepor os controles dos sistemas e aplicaes. essencial que o uso destes programas seja restrito e estritamente controlado. Convm que os seguintes controles sejam considerados: a) uso de procedimentos de autenticao para utilitrios de sistema; b) segregao dos utilitrios de sistema do software de aplicao; c) limitao do uso dos utilitrios de sistema a um nmero mnimo de usurios confiveis e autorizados; d) autorizao para uso particular dos utilitrios de sistema; e) limitao da disponibilidade dos utilitrios de sistema, por exemplo para a durao de uma modificao autorizada; f) registro de todo o uso de utilitrios de sistemas; g) definio e documentao dos nveis de autorizao necessrios para os utilitrios de sistema; h) remoo de todo software utilitrio e de sistemas desnecessrios. 9.5.6 Alarme de intimidao para a salvaguarda de usurios Convm que a proviso de um alarme de intimidao seja considerada para usurios que podem ser alvo de coao. Convm que a deciso de implantar tal alarme seja baseada na avaliao de riscos. Convm que sejam definidos as responsabilidades e os procedimentos para responder a um alarme de intimidao.

9.5.7 Desconexo de terminal por inatividade Convm que terminais inativos em locais de alto risco, por exemplo em reas pblicas ou externas fora dos limites do gerenciamento de segurana da organizao, ou servindo a sistemas de alto risco, sejam desligados automaticamente aps um perodo predeterminado de inatividade para prevenir o acesso de pessoas no autorizadas. Convm que este recurso de desconexo por tempo preveja a limpeza da tela do terminal e o encerramento das sesses do aplicativo e da rede aps um perodo definido de inatividade. Convm que o prazo de tempo para o desligamento reflita os riscos de segurana da rea e dos usurios do terminal. Uma forma limitada para desconexo de terminal pode ser provida por alguns microcomputadores que limpam a tela e previnem acesso no autorizado, mas no fecham as sesses das aplicaes ou da rede. 9.5.8 Limitao do tempo de conexo Convm que restries nos horrios de conexo proporcionem segurana adicional para aplicaes de alto risco. Limitando o perodo durante o qual as conexes de terminal so permitidas para os servios computadorizados, se reduz a janela de oportunidade para acessos no autorizados. Convm que tal controle seja considerado para aplicaes computacionais sensveis, especialmente aquelas com terminais instalados em locais de alto risco, por exemplo em reas pblicas ou externas fora dos limites do gerenciamento de segurana da organizao. Exemplos deste tipo de restrio incluem: a) utilizao de blocos de tempo predeterminados, por exemplo para transmisso de arquivos em lote ou sesses regulares interativas de curta durao; b) restrio dos horrios de conexo s horas normais de expediente, se no houver necessidades para horas extras ou trabalhos fora do horrio normal. 9.6 Controle de acesso s aplicaes Objetivo: Prevenir acesso no autorizado informao contida nos sistemas de informao. Convm que os recursos de segurana sejam utilizados para restringir o acesso aos sistemas de aplicao. Convm que o acesso lgico a software e informao seja restrito a usurios autorizados. Convm que os sistemas de aplicao:

a) controlem o acesso dos usurios informao e s funes dos sistemas de aplicao, de acordo com uma poltica definida de controle de acesso do negcio; b) proporcionem proteo contra acesso no autorizado para qualquer software utilitrio e de sistema operacional que seja capaz de sobrepor os controles das aplicaes ou do sistema; c) no comprometam a segurana de outros sistemas com os quais os recursos de informao so compartilhados; d) sejam capazes de dar acesso informao apenas ao seu proprietrio, a outros indivduos nominalmente autorizados ou a determinados grupos de usurios.

9.6.1 Restrio de acesso informao Convm que os usurios dos sistemas de aplicao, incluindo o pessoal de suporte, sejam providos de acesso informao e s funes dos sistemas de aplicao de acordo com uma poltica de controle de acesso definida, baseada nos requisitos das aplicaes individuais do negcio e consistente com a poltica de acesso informao organizacional (ver 9.1). Convm que a aplicao dos seguintes controles seja considerada de forma a suportar os requisitos de restrio de acesso: a) fornecendo menus para controlar o acesso s funes dos sistemas de aplicao; b) restringindo o conhecimento do usurio sobre informaes ou funes de aplicao do sistema s quais ele no tem autoridade de acesso, com a publicao apropriada de documentao para o usurio; c) controlando os direitos de acesso dos usurios, por exemplo ler, escrever, apagar e executar; d) assegurando que as sadas dos sistemas de aplicao que tratam informaes sensveis contenham apenas informaes que sejam relevantes ao uso de tal sada e so enviadas apenas para os terminais e locais autorizados, incluindo anlise crtica peridica de tais sadas para garantir que as informaes redundantes so removidas. 9.6.2 Isolamento de sistemas sensveis Os sistemas sensveis podem requerer um ambiente computacional dedicado (isolado). Alguns sistemas de aplicao so suficientemente sensveis a perdas potenciais, requerendo tratamento especial. A sensibilidade pode indicar que convm

que o sistema de aplicao seja executado a partir de um computador dedicado e que somente compartilhe recursos com sistemas de aplicao confiveis ou no tenha limitaes. As seguintes consideraes aplicam-se. a) Convm que a sensibilidade de um sistema de aplicao seja explicitamente identificada e documentada pelo proprietrio da aplicao (ver 4.1.3). b) Quando uma aplicao sensvel executada em um ambiente compartilhado, convm que se identifiquem os sistemas de aplicao com os quais ela compartilhar recursos e se obtenha a concordncia do proprietrio da aplicao sensvel. 9.7 Monitorao do uso e acesso ao sistema Objetivo: Descobrir atividades no autorizadas. Convm que os sistemas sejam monitorados para detectar divergncias entre a poltica de controle de acesso e os registros de eventos monitorados, fornecendo evidncias no caso de incidentes de segurana. A monitorao do sistema permite que sejam verificadas a efetividade dos controles adotados e a conformidade com o modelo de poltica de acesso (ver 9.1). 9.7.1 Registro (log) de eventos Convm que trilhas de auditoria registrando as excees e outros eventos de segurana relevantes sejam produzidas e mantidas por um perodo de tempo acordado para auxiliar em investigaes futuras e na monitorao do controle de acesso. Convm que os registros (log) de auditoria tambm incluam: a) identificao dos usurios; b) datas e horrios de entrada (log-on) e sada (log-off) no sistema; c) identidade do terminal ou, quando possvel, a sua localizao; d) registros das tentativas de acesso ao sistema aceitas e rejeitadas; e) registros das tentativas de acesso a outros recursos e dados aceitas e rejeitadas. Certos registros (log) de auditoria podem ser guardados como parte da poltica de reteno de registros ou devido aos requisitos para a coleta de evidncia (ver tambm a seo 12). 9.7.2 Monitorao do uso do sistema 9.7.2.1 Procedimentos e reas de risco

Convm que sejam estabelecidos procedimentos para a monitorao do uso dos recursos de processamento da informao. Tais procedimentos so necessrios para garantir que os usurios esto executando apenas as atividades para as quais eles foram explicitamente autorizados. Convm que o nvel de monitorao requerido para os recursos individuais seja determinado atravs de uma avaliao de risco. As reas que devem ser consideradas incluem: a) acessos autorizados, incluindo detalhes do tipo: 1) a identificao (ID) do usurio; 2) a data e o horrio dos eventos-chave; 3) tipo do evento; 4) os arquivos cujo acesso foi obtido; 5) os programas ou utilitrios utilizados; b) todas as operaes privilegiadas, tais como: 1) utilizao de conta de supervisor; 2) inicializao e finalizao do sistema; 3) a conexo e a desconexo de dispositivos de entrada e sada; c) tentativas de acesso no autorizado, tais como: 1) tentativas que falharam; 2) violao da poltica de acesso e notificaes para gateways e firewalls da rede; 3) alertas dos sistemas proprietrios de deteco de intruso; d) alertas e falhas do sistema, tais como: 1) alertas ou mensagens do console; 2) registro das excees do sistema; 3) alarmes do gerenciamento da rede. 9.7.2.2 Fatores de risco Convm que o resultado das atividades de monitorao seja analisado criticamente em intervalos regulares. Convm que a freqncia da anlise crtica dependa dos riscos envolvidos. Convm que os fatores de risco que devem ser considerados incluam: a) criticidade dos processos de aplicao; b) valor, sensibilidade ou criticidade da informao envolvida; c) experincia anterior com infiltraes e uso imprprio do sistema; d) extenso da interconexo dos sistemas (particularmente com redes pblicas).

9.7.2.3 Registro e anlise crtica dos eventos A anlise crtica dos registros (logs) envolve a compreenso das ameaas encontradas no sistema e a maneira pela qual isto pode acontecer. Exemplos de eventos que podem requerer uma maior investigao em casos de incidentes de segurana so comentados em 9.7.1. Registros (logs) de sistema normalmente contm um grande volume de informaes, emuitas das quais no dizem respeito monitorao da segurana. Para ajudar a identificar eventos significativos para propsito de monitorao de segurana, convm que a cpia automtica dos tipos de mensagens apropriadas para um segundo registro (log) e/ou o uso de utilitrios de sistema apropriados ou ferramentas de auditoria para a execuo de consulta sejam considerados. Quando forem alocadas as responsabilidades pela anlise crtica dos registros (logs), convm que seja considerada uma separao entre as funes da(s) pessoa(s) que conduz(em) a anlise crtica daquelas cujas atividades esto sendo monitoradas. Convm que ateno especial seja dada segurana dos recursos do registro (log) porque, se adulterados, podem prover uma falsa impresso de segurana. Convm que os controles objetivem a proteo contra modificaes no autorizadas e problemas operacionais, incluindo: a) desativao das facilidades de registro (log); b) alteraes dos tipos de mensagens que so gravadas; c) arquivos de registros (logs) sendo editados ou excludos; d) esgotamento do meio magntico do arquivo de registros (logs), falhas no registro de eventos ou sobreposio do prprio arquivo. 9.7.3 Sincronizao dos relgios O estabelecimento correto dos relgios dos computadores importante para garantir a exatido dos registros de auditoria, que podem ser requeridos por investigaes ou como evidncias em casos legais ou disciplinares. Registros de auditoria incorretos podem impedir tais investigaes e causar danos credibilidade das evidncias. Onde um computador ou dispositivo de comunicao tiver a capacidade para operar um relgio (clock) de tempo real, convm que ele seja ajustado conforme o padro acordado, por exemplo o tempo coordenado universal (Universal Coordinated time UCT) ou um padro local de tempo. Como alguns relgios so conhecidos pela sua variao durante o tempo, convm que exista um procedimento que verifique esses tipos de inconsistncias e corrija qualquer variao significativa.

9.8 Computao mvel e trabalho remoto Objetivo: Garantir a segurana da informao quando se utilizam a computao mvel e os recursos de trabalho remoto. Convm que a proteo requerida seja proporcional com o risco desta forma especfica de trabalho. Quando se utiliza a computao mvel, convm que os riscos de trabalhar em um ambiente desprotegido sejam considerados e a proteo adequada seja aplicada. No caso de trabalho remoto, convm que a organizao aplique proteo ao local do trabalho remoto e garanta que os arranjos adequados foram feitos para este tipo de trabalho. 9.8.1 Computao mvel Quando se utilizam recursos da computao mvel, por exemplo notebooks, palmtops, laptops e telefones celulares, convm que cuidados especiais sejam tomados para garantir que a informao do negcio no est comprometida. Convm que uma poltica formal seja adotada levando em conta os riscos de trabalhar com os recursos de computao mvel, particularmente em ambientes desprotegidos. Por exemplo, convm que tais polticas incluam os requisitos para proteo fsica, controles de acesso, tcnicas criptogrficas, cpias de segurana e proteo contra vrus. Convm que esta poltica inclua tambm regras e avisos sobre a conexo de recursos mveis rede e orientao sobre o uso destes recursos em locais pblicos. Convm que sejam tomadas certas precaues ao se utilizarem os recursos de computao mvel em locais pblicos, salas de reunies e outras reas desprotegidas fora dos limites da organizao. Convm que sejam estabelecidas protees para evitar o acesso no autorizado ou a divulgao de informaes armazenadas e processadas nestes recursos, por exemplo atravs da utilizao de tcnicas de criptografia (ver 10.3). importante que, quando tais recursos forem utilizados em locais pblicos, seja tomado cuidado para evitar o risco de captao por pessoas no autorizadas. Convm que tambm sejam estabelecidos procedimentos contra software malicioso, mantendoos sempre atualizados (ver 8.3). Convm que equipamentos estejam disponveis para possibilitar uma recuperao rpida e fcil das informaes. Para essas recuperaes, convm que sejam dadas protees adequadas contra, por exemplo, roubo ou perda de informao. Convm que proteo adequada seja dada para o uso dos recursos de computao mvel conectados em rede. Convm que o acesso remoto s informaes do negcio atravs de redes pblicas, usando os recursos de computao mvel, ocorra apenas

aps o sucesso da identificao e da autenticao, e com os mecanismos de controle de acesso apropriados implantados (ver 9.4). Convm que os recursos de computao mvel tambm estejam protegidos fisicamente contra roubo, especialmente quando deixados, por exemplo, em carros ou em outros meios de transporte, quartos de hotis, centros de conferncia e locais de reunio. Convm que os equipamentos que contm informaes importantes, sensveis e/ou crticas para o negcio nunca sejam deixados sem observao e, quando possvel, sejam fisicamente trancados, ou convm que travas especiais sejam utilizadas de forma a manter o equipamento seguro. Maiores informaes sobre a proteo fsica de equipamentos mveis podem ser encontradas em 7.2.5. Convm que seja preparado treinamento para o grupo de trabalho que utiliza a computao mvel, para aumentar o nvel de conscientizao a respeito dos riscos adicionais resultantes desta forma de trabalho e dos controles que devem ser implementados. 9.8.2 Trabalho remoto O trabalho remoto utiliza tecnologia de comunicao para permitir que funcionrios trabalhem remotamente a partir de uma localizao fsica fora da sua organizao. Convm que a proteo apropriada do local do trabalho remoto seja implantada para evitar, por exemplo, o roubo do equipamento e de informaes, a divulgao no autorizada de informao, o acesso remoto no autorizado aos sistemas internos da organizao ou o uso imprprio destes recursos. importante que o trabalho remoto seja tanto autorizado quanto controlado pelo gestor e que as providncias adequadas a esta forma de trabalho tenham sido tomadas. Convm que as organizaes considerem o desenvolvimento de polticas, procedimentos e normas para controlar as atividades do trabalho remoto. Convm que as organizaes somente autorizem as atividades de trabalho remoto se existirem controles e acordos de segurana apropriados e em vigor e que estejam em conformidade com a poltica de segurana da organizao. Recomenda-se considerar o seguinte: a) a segurana fsica existente no local do trabalho remoto, levando-se em conta a segurana fsica do prdio e o ambiente local; b) o ambiente proposto de trabalho remoto; c) os requisitos de segurana nas comunicaes, levando em conta a necessidade do acesso remoto para os sistemas internos da organizao, a sensibilidade das informaes que sero acessadas e que sero trafegadas na linha de comunicao e a sensibilidade do sistema interno;

d) a ameaa de acesso no autorizado informao ou aos recursos por outras pessoas que utilizam o local, por exemplo familiares e amigos. Os controles e providncias que devem ser considerados incluem: a) a proviso de equipamento e moblia apropriados s atividade de trabalho remoto; b) uma definio do trabalho permitido, as horas de trabalho, a classificao da informao que pode ser tratada e os sistemas internos e servios que o funcionrio autorizado a obter acesso; c) a proviso de equipamento de comunicao apropriado, incluindo mtodos para acesso remoto seguro; d) segurana fsica; e) regras e orientaes sobre o acesso de familiares e visitantes ao equipamento e informao; f) a proviso de suporte e manuteno de hardware e software; g) os procedimentos para cpias de segurana e continuidade do negcio; h) auditoria e monitorao da segurana; i) revogao de autoridade, direitos de acesso e devoluo do equipamento quando as atividades de trabalho remoto cessarem. 10 Desenvolvimento e manuteno de sistemas 10.1 Requisitos de segurana de sistemas Objetivos: Garantir que a segurana seja parte integrante dos sistemas de informao. Isto incluir infra-estrutura, aplicaes do negcio e aplicaes desenvolvidas pelo usurio. O projeto e a implementao dos processos do negcio que do suporte s aplicaes e aos servios podem ser cruciais para segurana. Convm que requisitos de segurana sejam identificados e acordados antes do desenvolvimento dos sistemas de informao. Convm que todos os requisitos de segurana, incluindo a necessidade de acordos de contingncia, sejam identificados na fase de levantamento de requisitos de um projeto e justificados, acordados e documentados como parte do estudo de caso de um negcio para um sistema de informao. 10.1.1 Anlise e especificao dos requisitos de segurana Na especificao dos requisitos do negcio para novos sistemas, ou melhoria nos sistemas j existentes, convm que tambm se especifiquem os requisitos de controle. Convm que tais especificaes considerem os controles automatizados a serem

incorporados no sistema e a necessidade de suporte a controles manuais. Convm que consideraes semelhantes sejam aplicadas quando se avaliam pacotes de software para as aplicaes do negcio. Se considerado apropriado, a direo pode desejar fazer uso de produtos com avaliao e certificao independentes. Convm que os requisitos e controles de segurana reflitam o valor, para o negcio, dos ativos de informao envolvidos e o dano potencial ao negcio, que pode resultar da falha ou ausncia de segurana. A estrutura para analisar os requisitos de segurana e identificar os controles que os satisfazem est na avaliao de riscos e no gerenciamento de riscos. Os controles introduzidos no desenvolvimento do projeto so significativamentemais baratos para implementar emanter do que aqueles includos durante ou aps a implementao. 10.2 Segurana nos sistemas de aplicao Objetivo: Prevenir perda, modificao ou uso imprprio de dados do usurio nos sistemas de aplicaes. Convm que os controles apropriados e trilhas de auditoria ou registros de atividades sejam previstos para os sistemas de aplicao, incluindo aplicaes escritas pelo usurio. Convm que estes incluam a validao dos dados de entrada, processamento interno e dados de sada. Controles adicionais podem ser necessrios para sistemas que processam ou tm impacto em ativos organizacionais crticos, valiosos ou sensveis. Convm que tais controles sejam determinados na base dos requisitos de segurana e na avaliao de riscos. 10.2.1 Validao de dados de entrada Convm que os dados de entrada dos sistemas de aplicao sejam validados para garantir que esto corretos e que so apropriados. Convm que validaes sejam aplicadas na entrada das transaes de negcio, nos dados permanentes (nomes e endereos, limites de crdito, nmeros de referncia de clientes) e nas tabelas de parmetros (preos de venda, razo de converso de moeda, taxas de impostos). Recomenda-se que os seguintes controles sejam considerados: a) dupla entrada ou outra forma de checagem de entrada para deteco dos seguintes erros: 1) valores fora dos limites aceitveis; 2) caracteres invlidos nos campos de dados;

3) dados ausentes ou incompletos; 4) dados excedendo os volumes mximos e mnimos; 5) controle de dados no autorizados ou inconsistentes; b) anlise crtica peridica do contedo dos campos-chave ou arquivos de dados para confirmar a sua validade e integridade; c) inspeo de cpias de documentos de entrada de dados para qualquer modificao no autorizada aos dados de entrada (qualquer modificao dos documentos de entrada de dados deve ser explicitamente autorizada); d) procedimentos de resposta validao de erros; e) procedimentos de teste de plausibilidade dos dados de entrada; f) definio de responsabilidades de todo pessoal envolvido no processo de entrada de dados. 10.2.2 Controle do processamento interno 10.2.2.1 reas de risco Dados que foram introduzidos corretamente podem ser corrompidos por erros de processamento ou atravs de aes intencionais. Convm que checagens de validao sejam incorporadas no sistema para detectar tais corrupes. Convm que o projeto de aplicaes garanta que restries sejam implementadas para minimizar o risco de falhas de processamento que possam levar perda da integridade. reas especficas que devem ser consideradas incluem: a) uso e localizao nos programas de funes de adio e excluso para implementar modificaes nos dados; b) procedimentos para prevenir a execuo de programas na ordem errada ou executar aps falhas no processamento anterior (ver tambm 8.1.1); c) uso de programas corretos para recuperao de falhas que assegurem o processamento correto dos dados. 10.2.2.2 Checagens e controles Os controles necessrios dependero da natureza das aplicaes e do impacto nos negcios de qualquer corrupo de dados. Exemplos de checagens que podem ser incorporadas incluem o seguinte: a) controles de sesso ou processamento em lote, para reconciliar o balano dos arquivos de dados, aps transaes de atualizao;

b) controles de balanceamento, para checagem dos balanos de abertura contra os balanos de fechamento anteriores, tais como: 1) controles entre execuo; 2) totalizadores de atualizao de arquivo; 3) controle de programa a programa; c) validao de dados gerados pelo sistema (ver 10.2.1); d) checagem da integridade de dados ou de software trazidos ou enviados entre computador central e remoto (ver 10.3.3); e) totais de registros e arquivos; f) checagem para garantir que os programas de aplicao so executados no horrio correto; g) checagem para garantir que os programas esto executando na ordem correta e terminando em caso de uma falha, e que o processamento subseqente ficar suspenso at que o problema seja solucionado. 10.2.3 Autenticao de mensagem A autenticao de mensagem uma tcnica utilizada para detectar modificaes no autorizadas no contedo das mensagens transmitidas eletronicamente, ou ento corrupo deste contedo. Ela pode ser implementada em hardware ou software que suporte um dispositivo fsico de autenticao de mensagem ou um algoritmo de software. Convm que a autenticao de mensagem seja considerada para aplicaes onde exista requisito de segurana para proteger a integridade do contedo da mensagem, por exemplo transferncia eletrnica de fundos, especificaes, contratos, propostas, etc., com importncia significativa ou outras trocas similares de dados eletrnicos. Convm que uma avaliao dos riscos de segurana seja executada para determinar se a autenticao da mensagem necessria e para identificar o mtodo mais apropriado de implementao. A autenticao de mensagem no projetada para proteger o contedo da mensagem de divulgao no autorizada. Tcnicas de criptografia (ver 10.3.2 e 10.3.3) podem ser utilizadas como meios apropriados de implementao de autenticao de mensagem. 10.2.4 Validao dos dados de sada Convm que os dados de sada de um sistema de aplicao sejam validados para garantir que o processo de armazenamento da informao est correto e apropriado para as circunstncias. Tipicamente, os sistemas so construdos com a premissa de

que, passados pela apropriada validao, verificao e teste, a sada sempre estar correta. Isto nem sempre o caso. A validao de sada pode incluir: a) verificao de plausibilidade para testar se o dado de sada razovel; b) contadores de controle de reconciliao, para garantir o processamento de todos os dados; c) fornecimento de informaes suficientes para um leitor ou para um sistema de processamento subsequente poder determinar a exata, completa e precisa classificao da informao; d) procedimentos para responder aos testes de validao de sada; e) definio de responsabilidades para todo o pessoal envolvido com o processo de sada de dados. 10.3 Controles de criptografia Objetivo: Proteger a confidencialidade, autenticidade ou integridade das informaes. Convm que tcnicas e sistemas criptogrficos sejam usados para a proteo das informaes que so consideradas de risco e que para as quais outros controles no fornecem proteo adequada. 10.3.1 Poltica para o uso de controles de criptografia Convm que a tomada de deciso sobre o quo adequada uma soluo criptogrfica seja vista como parte de um processo mais amplo de avaliao de riscos e seleo de controles. Convm que uma avaliao de riscos seja executada para determinar o nvel de proteo que deve ser dado informao. Esta avaliao pode ento ser usada para determinar se um controle criptogrfico apropriado, que tipo de controle deve ser aplicado e para que propsito e processos do negcio. Convm que uma organizao desenvolva uma poltica do uso de controles de criptografia para a proteo das suas informaes. Tal poltica necessria para se maximizar os benefcios e minimizar os riscos da utilizao das tcnicas criptogrficas e para se evitar o uso imprprio ou incorreto. Quando do desenvolvimento de uma poltica, recomenda-se considerar o seguinte: a) enfoque da direo frente ao uso dos controles de criptografia atravs da organizao, incluindo os princpios gerais sob os quais as informaes do negcio devem ser protegidas; b) enfoque utilizado para o gerenciamento de chaves, incluindo mtodos para tratar a recuperao de informaes criptografadas em casos de chaves perdidas, expostas ou danificadas; c) regras e responsabilidades, por exemplo quem responsvel por:

d) implementao da poltica; e) gerenciamento das chaves; f) como deve ser determinado o nvel apropriado de proteo criptogrfica; g) as normas a serem adotadas para a efetiva implementao atravs da organizao (qual soluo utilizada para qual processo do negcio). 10.3.2 Criptografia A codificao uma tcnica criptogrfica que pode ser usada para proteger a confidencialidade da informao. Convm que seja considerada para a proteo de informaes crticas ou sensveis. Baseado na avaliao de risco, convm que o nvel apropriado de proteo seja identificado levando-se em conta o tipo e a qualidade do algoritmo de codificao usado e o tamanho das chaves criptogrficas a serem utilizadas. Quando se implementa a poltica de criptografia na organizao, convm que se tenha ateno com as regulamentaes e restries nacionais que possam ter implicaes no uso das tcnicas criptogrficas em diferentes partes do mundo e com o fluxo de informaes codificadas alm das fronteiras. Em adio, convm que tambm se considerem os controles aplicados para a exportao e importao de tecnologias de criptografia (ver tambm 12.1.6). Convm que assessoria especializada seja procurada para a identificao do nvel de proteo apropriado, para seleo dos produtos mais adequados que fornecero a proteo necessria e a implementao de um sistema seguro de gerenciamento de chaves (ver tambm 10.3.5). Adicionalmente, assessoria legal pode ser necessria com respeito s leis e regulamentaes aplicveis organizao que pretende usar criptografia. 10.3.3 Assinatura digital As assinaturas digitais fornecem os meios para proteo da autenticidade e integridade de documentos eletrnicos. Por exemplo, elas podem ser utilizadas no comrcio eletrnico onde existe a necessidade de verificar quem assinou o documento eletrnico e checar se o contedo do documento eletrnico assinado foi modificado. Assinaturas digitais podem ser aplicadas a qualquer forma de documento que processado eletronicamente, por exemplo elas podem ser usadas para assinar pagamentos eletrnicos, transferncias de fundos, contratos e acordos. Assinaturas digitais podem ser implementadas utilizando as tcnicas criptogrficas baseadas em um nico par de chaves relacionadas, em que uma das chaves utilizada para criar uma assinatura (a chave privada) e a outra para verificar a assinatura (chave pblica).

Convm que cuidados sejam tomados para proteger a confidencialidade da chave privada. Convm que esta chave seja mantida em segredo, uma vez que qualquer pessoa que tiver acesso a esta chave pode assinar documentos, por exemplo pagamentos e contratos, falsificando a assinatura do proprietrio da chave. Adicionalmente, importante a proteo da integridade da chave pblica. Esta proteo fornecida pelo uso de certificados de chave pblica (ver 10.3.5). Deve-se considerar o tipo e a qualidade do algoritmo de assinatura digital usado e o tamanho da chave. Convm que as chaves criptogrficas usadas para assinaturas digitais sejam diferentes daquelas usadas para criptografia (ver 10.3.2). Quando se utilizam assinaturas digitais, convm que se considere qualquer legislao relacionada que descreva as condies sob as quais uma assinatura digital possui valor legal. Por exemplo, no caso do comrcio eletrnico importante saber a sustentao legal das assinaturas digitais. Pode ser necessrio, onde a estrutura legal for inadequada, ter contratos de obrigaes ou outro tipo de acordo para suportar o uso de assinaturas digitais. Convm que se procure um aconselhamento legal considerando as leis e regulamentaes que podem ser aplicadas organizao que pretende usar assinaturas digitais. 10.3.4 Servios de no repdio Convm que os servios de no repdio sejam usados nos casos em que seja necessrio resolver disputas sobre ocorrncia ou no ocorrncia de um evento ou ao, por exemplo uma disputa envolvendo o uso de uma assinatura digital em um contrato ou pagamento eletrnico. Eles podem ajudar a estabelecer evidncias para substanciar se um evento ou ao em particular ocorreu, por exemplo, negao do envio de uma instruo assinada digitalmente usando-se o correio eletrnico. Estes servios so baseados no uso de criptografia e tcnicas de assinatura digital (ver tambm 10.3.2 e 10.3.3). 10.3.5 Gerenciamento de chaves 10.3.5.1 Proteo de chaves criptogrficas O gerenciamento das chaves criptogrficas essencial para o uso eficaz das tcnicas de criptografia. Qualquer exposio ou perda das chaves criptogrficas pode levar ao comprometimento da confidencialidade, da autenticidade e/ou da integridade da informao. Convm que um sistema de gerenciamento de chaves seja implantado para suportar o uso, pela organizao dos dois tipos de tcnicas criptogrficas, que so:

a) tcnicas de chave secreta, onde duas ou mais partes compartilham a mesma chave e esta chave utilizada tanto para codificar como para decodificar a informao. Estas chaves necessitam ser mantidas em segredo, uma vez que qualquer pessoa que tiver acesso chave ser capaz de decodificar toda informao codificada com aquela chave, ou introduzir informaes no autorizadas; b) tcnicas de chave pblica, onde cada usurio possui um par de chaves, uma chave pblica (que pode ser revelada a qualquer pessoa) e uma chave privada (que tem que ser mantida em segredo). As tcnicas de chave pblica podem ser utilizadas para codificar (ver 10.3.2) e para produzir assinaturas digitais (ver 10.3.3). Convm que todas as chaves sejam protegidas contra modificao e destruio, e as chaves secretas e privadas necessitam de proteo contra a divulgao no autorizada. As tcnicas de criptografia podem ser utilizadas para este propsito. Convm que proteo fsica seja utilizada para a proteo de equipamentos usados na gerao, armazenamento e arquivamento de chaves. 10.3.5.2 Normas, procedimentos e mtodos Convm que um sistema de gerenciamento de chaves seja baseado em um conjunto acordado de normas, procedimentos e mtodos seguros para: a) gerao de chaves para diferentes sistemas criptogrficos e diferentes aplicaes; b) gerao e obteno de certificados de chave pblica; c) distribuio de chaves para usurios predeterminados, incluindo como as chaves devem ser ativadas quando recebidas; d) armazenamento de chaves, incluindo como os usurios autorizados obtm acesso s chaves; e) modificao ou atualizao de chaves, incluindo regras sobre quando as chaves devem ser modificadas e como isto pode ser feito; f) tratamento de chaves comprometidas; g) revogao de chaves, incluindo como as chaves devem ser recolhidas ou desativadas por exemplo, quando as chaves forem comprometidas ou quando um usurio deixar a organizao (nestes casos as chaves tambm devem ser arquivadas);

h) recuperao de chaves que esto perdidas ou corrompidas como parte do gerenciamento da continuidade do negcio, por exemplo para a recuperao de informaes codificadas; i) j) arquivamento de chaves, por exemplo para informaes arquivadas ou de reserva (back-up); destruio de chaves; de chaves. Para poder reduzir a probabilidade de comprometimento, convm que as chaves tenham data de ativao e desativao definidas, de forma que somente possam ser usadas por um perodo limitado de tempo. Convm que este perodo de tempo dependa das circunstncias sob as quais os controles de criptografia esto sendo utilizados e dos riscos observados. Pode ser necessrio considerar certos procedimentos para o tratamento de requisitos legais para acessar chaves criptogrficas; por exemplo, as informaes codificadas podem ser necessrias na sua forma no codificada como evidncias em um julgamento de uma determinada causa legal. Adicionalmente questo do gerenciamento seguro das chaves secretas e privadas, convm que a proteo de chaves pblicas tambm seja considerada. Existe a ameaa de algum falsificar uma assinatura digital atravs da troca da chave pblica do usurio pela sua prpria. Este problema solucionado com o uso de certificados de chave pblica. Convm que estes certificados sejam produzidos de forma que se relacionem de um nico modo as informaes do proprietrio do par de chave pblica/privada com a chave pblica considerada. Alm disto importante que o processo de gerenciamento que gerou este certificado possa ser confivel. Este processo normalmente implementado por uma autoridade certificadora que convm que seja uma organizao reconhecida e com controles e procedimentos implementados para fornecer o grau de confiabilidade necessrio. Convm que o contedo do acordo do nvel de servio ou contrato com fornecedores externos de servios de criptografia, por exemplo com uma autoridade certificadora, cubra questes relacionadas com a responsabilidade cvel, a confiabilidade dos servios e o tempo de resposta para o fornecimento dos servios contratados (ver 4.2.2). k) registros (logs) e auditoria das atividades relacionadas com o gerenciamento

10.4 Segurana de arquivos do sistema Objetivo: Garantir que os projetos de tecnologia da informao e as atividades de suporte sero conduzidas de maneira segura. Convm que o acesso aos arquivos do sistema seja controlado. Convm que a manuteno da integridade do sistema seja de responsabilidade da funo do usurio ou do grupo de desenvolvimento a quem pertence o sistema de aplicao ou software. 10.4.1 Controle de software em produo Convm que seja estabelecido controle para a implementao de software em sistemas operacionais. Para se minimizar o risco de corrupo dos sistemas operacionais, recomenda-se que se considerem os seguintes controles. a) Convm que a atualizao das bibliotecas de programa da produo ocorra apenas por um bibliotecrio nomeado e sob autorizao gerencial apropriada (ver 10.4.3). b) Se possvel, convm que o sistema operacional mantenha somente cdigo executvel. c) Convm que cdigo executvel no seja implantado no sistema operacional at que sejam obtidas evidncias do sucesso dos testes e a aceitao do usurio, e a biblioteca com os programas-fonte correspondentes tenha sido atualizada. d) Convm que seja mantido um registro (log) de auditoria para todas as atualizaes de bibliotecas de programas em produo. e) Convm que as verses anteriores do software sejam retidas como medida de contingncia. Convm que software de fornecedores usado em sistemas operacionais seja mantido em um nvel suportado pelo fornecedor. Convm que qualquer deciso de atualizao para uma nova verso leve em conta a segurana da verso, por exemplo a introduo de uma nova funcionalidade de segurana ou o nmero e a severidade dos problemas de segurana que afetam esta verso. Convm que as correes (patches) de software sejam aplicadas quando puderem ajudar na remoo ou reduo de fragilidade de segurana. Convm que o acesso fsico ou lgico s seja dado a fornecedores por motivo de suporte, quando necessrio, e com a aprovao da gerncia. Convm que as atividades dos fornecedores sejam monitoradas.

10.4.2 Proteo de dados de teste do sistema Convm que os dados de teste sejam protegidos e controlados. Testes de sistema e de aceitao normalmente requerem volumes substanciais de dados e devem refletir, o mais prximo possvel, os dados em produo. Convm que o uso de base de dados de produo contendo informaes pessoais seja evitado. Se tal informao for utilizada, convm que ela seja despersonalizada antes do uso. Recomenda-se que os seguintes controles sejam aplicados para proteo de dados de produo, quando utilizados com o propsito de teste. a) Convm que os procedimentos de controle de acesso, os quais so aplicados aos sistemas de aplicao em produo, tambm sejam aplicados aos sistemas de aplicao em teste. b) Convm que exista uma autorizao separada cada vez que uma informao em produo for copiada para teste no sistema de aplicao. c) Convm que informaes de produo sejam apagadas dos sistemas de teste de aplicao imediatamente aps a finalizao dos testes. d) Convm que a cpia e o uso de informaes de produo sejam registrados de forma a permitir uma trilha de auditoria. 10.4.3 Controle de acesso a bibliotecas de programa-fonte Para reduzir o potencial de corrupo de programas de computadores, recomenda-se que um controle rgido e completo seja mantido sobre o acesso s bibliotecas de programa-fonte, como o que segue (ver tambm 8.3). a) Onde possvel, convm que as bibliotecas de programas-fonte no sejam manipuladas em ambiente de produo. b) Convm que seja designado um responsvel pela biblioteca de programasfonte de cada aplicao. c) Convm que a equipe de suporte de tecnologia da informao no possua acesso ilimitado s bibliotecas de cdigofonte. d) Convm que os programas em desenvolvimento ou manuteno no sejam mantidos nas bibliotecas de programafonte que estiverem em produo. e) Convm que a atualizao das bibliotecas de programa-fonte e a distribuio de programas-fonte para os programadores somente sejam efetuadas pelo responsvel designado em manter a biblioteca e sob autorizao do gestor de suporte de tecnologia da informao da aplicao. f) Convm que listas de programa somente sejam mantidas em um ambiente seguro (ver 8.6.4).

g) Convm que seja mantido um registro de auditoria contendo todos os acessos s bibliotecas de programa-fonte. h) Convm que as verses antigas de programas-fonte sejam arquivadas, com uma indicao clara e precisa da data e perodo no qual estiveram em produo, junto com todo o respectivo software de suporte, controle de tarefa, definies de dados e procedimentos. i) Convm que a manuteno e a cpia de bibliotecas de programa-fonte estejam sujeitas a procedimentos rgidos de controle de mudana (ver 10.4.1). 10.5 Segurana nos processos de desenvolvimento e suporte Objetivo: Manter a segurana do software e da informao do sistema de aplicao. Convm que os ambientes de desenvolvimento e suporte sejam rigidamente controlados. Convm que os gestores responsveis pelos sistemas de aplicao tambm sejam responsveis pela segurana do ambiente de desenvolvimento ou suporte. Convm que eles garantam que todas as modificaes de sistemas propostas sejam analisadas criticamente, a fim de verificar que elas no comprometem a segurana do sistema ou do ambiente de produo. 10.5.1 Procedimentos de controle de mudanas Para minimizar a corrupo dos sistemas de informao, convm que exista um controle rgido sobre a implementao de mudanas. Convm que seja exigida a existncia de procedimentos formais de controle de mudanas. Convm que eles garantam que os procedimentos de segurana e controle no sero comprometidos, que os programadores de suporte s tero acesso quelas partes do sistema que sero necessrias ao seu trabalho e acordos formais e que qualquer mudana somente ser implementada aps aprovao. Mudanas nos sistemas aplicativos podem trazer impacto ao ambiente operacional. Sempre que for possvel, convm que os procedimentos de controle de mudana na produo sejam integrados com a de aplicao (ver 8.1.2). Convm que este processo inclua: a) manter um registro dos nveis de autorizao estabelecidos; b) garantir que as mudanas sero implementadas por usurios autorizados; c) analisar criticamente controles e a integridade dos procedimentos, de forma a garantir que os mesmos no sero comprometidos pelas mudanas; d) identificar todo software de computadores, informao, entidades de base de dados e hardware que necessitam de correo; e) obter aprovao formal para proposta detalhada antes do incio dos trabalhos;

f) garantir que o usurio autorizado aceite as modificaes antes de qualquer implementao; g) garantir que a implementao ocorrer com o mnimo de transtorno para o negcio; h) garantir que a documentao do sistema seja atualizada ao final de cada modificao e que a documentao antiga seja arquivada ou destruda; i) j) manter o controle da verso para todas as atualizaes de software; manter uma trilha de auditoria para toda modificao requerida; usurio sero modificados conforme necessrio, de forma a adequar as mudanas implementadas; l) garantir que a implementao de mudanas ocorrer no tempo certo e no atrapalhar os processos do negcio envolvidos. Muitas organizaes mantm um ambiente no qual os usurios testam novos softwares segregados dos ambientes de desenvolvimento e de produo. Esta estratgia favorece o controle sobre novo software, permitindo ainda a proteo adicional da informao de produo que usada para a finalidade de teste.

k) garantir que a documentao de operao (ver 8.1.1) e os procedimentos de

10.5.2 Anlise crtica das mudanas tcnicas do sistema operacional da produo Periodicamente necessrio modificar o sistema operacional, por exemplo para instalar uma correo (patch) ou uma nova verso de software enviada pelo fornecedor. Quando as modificaes ocorrerem, convm que os sistemas de aplicao sejam analisados criticamente e testados para garantir que no ocorrer nenhum impacto adverso na produo ou na segurana. Recomenda-se que este processo cubra: a) anlise crtica dos procedimentos de controle e integridade da aplicao, para garantir que eles no foram comprometidos pelas mudanas efetuadas no sistema operacional; b) garantia de que o planejamento e o oramento anual para suporte cobriro revises e testes de sistemas resultantes das modificaes do sistema operacional;

c) garantia de que a notificao da modificao do sistema operacional feita de modo a permitir que as anlises crticas apropriadas ocorram antes de qualquer implementao; d) garantia de que as modificaes sejam feitas no plano de continuidade dos negcios (ver seo 11). 10.5.3 Restries nas mudanas dos pacotes de software Convm que modificaes dos pacotes de software sejam desencorajadas. To longe quanto possvel e praticvel, convm que os pacotes de software adquiridos de fornecedores sejam usados sem modificaes. Onde for avaliado como essencial a modificao do pacote de software, recomenda-se que os seguintes pontos sejam considerados: a) risco de comprometimento dos controles embutidos e da integridade dos processos; b) se necessria a obteno do consentimento do fornecedor; c) possibilidade de obter a modificao necessria diretamente do fornecedor como atualizao padro do programa; d) impacto de a organizao se tornar no futuro responsvel pela manuteno do software como resultado da modificao. Se as modificaes forem consideradas essenciais, convm que o software original seja retido e as modificaes efetuadas em uma cpia claramente identificada. Convm que todas as modificaes sejam completamente testadas e documentadas, de forma que elas possam ser reaplicadas, se necessrio, em futuras atualizaes de software. 10.5.4 Covert channels e cavalo de Tria Um covert channel pode expor a informao atravs de meios indiretos e obscuros. Ele pode ser ativado a partir da troca de parmetros acessveis tanto por elementos seguros como por elementos inseguros de um sistema de computao, ou por informaes embutidas em um determinado fluxo de dados. Um cavalo de Tria projetado para afetar um sistema de uma forma no autorizada ou prontamente informada, e ainda no solicitada pelo receptor ou usurio do programa. Os canais secretos e os cavalos de Tria acarretam muita preocupao e raramente ocorrem por acidente. Recomenda-se que os seguintes itens sejam considerados: a) comprar programas apenas de fontes conhecidas e idneas;

b) comprar programas em cdigo-fonte, de forma que o cdigo possa ser verificado; c) utilizar produtos que j tenham sido avaliados; d) inspecionar todo o cdigo-fonte antes do uso em produo; e) controlar o acesso ao cdigo e a modificao do mesmo, uma vez que esteja instalado; f) utilizar pessoal de comprovada confiana para trabalhar com os sistemaschave. 10.5.5 Desenvolvimento terceirizado de software Quando o desenvolvimento de software for terceirizado, recomenda-se que os seguintes pontos sejam considerados: a) acordos sobre licenas, propriedade do cdigo-fonte e direitos de propriedade intelectual (ver 12.1.2); b) certificao da qualidade e da exatido do trabalho implementado; c) acordos na eventualidade de haver falha por parte de prestadores de servios; d) direitos de acesso para auditoria da qualidade e exatido do trabalho executado; e) requisitos contratuais de qualidade do cdigo; f) teste antes da instalao para deteco de cavalos de Tria. 11 Gesto da continuidade do negcio 11.1 Aspectos da gesto da continuidade do negcio Objetivo: No permitir a interrupo das atividades do negcio e proteger os processos crticos contra efeitos de falhas ou desastres significativos. Convm que o processo de gesto da continuidade seja implementado para reduzir, para um nvel aceitvel, a interrupo causada por desastres ou falhas da segurana (que pode ser resultante de, por exemplo, desastres naturais, acidentes, falhas de equipamentos e aes intencionais) atravs da combinao de aes de preveno e recuperao. importante que as conseqncias de desastres, falhas de segurana e perda de servios sejam analisadas. Recomenda-se que os planos de contingncia sejam desenvolvidos e implementados para garantir que os processos do negcio possam ser recuperados dentro da requerida escala de tempo. importante que tais planos sejam mantidos e testados de forma a se tornarem parte integrante de todos os outros processos gerenciais.

 importante que a gesto da continuidade do negcio inclua controles para a identificao e reduo de riscos, a limitao das consequncias dos danos do incidente e a garantia da recuperao tempestiva das operaes vitais. 11.1.1 Processo de gesto da continuidade do negcio importante que um processo de gesto que permeie toda a organizao esteja implantado para o desenvolvimento e manuteno da continuidade do negcio. Convm que este processo agregue os seguintes elementos-chave da gesto da continuidade do negcio: a) entendimento dos riscos a que a organizao est exposta, no que diz respeito sua probabilidade e impacto, incluindo a identificao e priorizao dos processos crticos do negcio; b) entendimento do impacto que as interrupes provavelmente tero sobre os negcios ( importante que as solues encontradas possam tratar tanto os pequenos incidentes como os mais srios, que poderiam colocar em risco a continuidade da organizao) e estabelecimento dos objetivos do negcio relacionados com as instalaes e recursos de processamento da informao; c) considerao de contratao de seguro compatvel que possa ser parte integrante do processo de continuidade; d) definio e documentao de estratgia de continuidade consistente com os objetivos e prioridades estabelecidos para o negcio; e) detalhamento e documentao de planos de continuidade alinhados com a estratgia estabelecida; f) testes e atualizaes regulares dos planos e procedimentos implantados; g) garantia de que a gesto da continuidade do negcio esteja incorporada aos processos e estrutura da organizao. A responsabilidade pela coordenao do processo de gesto de continuidade do negcio deve ser atribuda a um nvel adequado dentro da organizao, por exemplo ao frum de segurana da informao (ver 4.1.1). 11.1.2 Continuidade do negcio e anlise de impacto Convm que a continuidade do negcio tenha como ponto de partida a identificao dos eventos que podem causar interrupes nos processos do negcio, por exemplo falha de equipamentos, inundaes e incndios. Em seguida, convm que seja feita uma avaliao de risco para a determinao do impacto destas interrupes (tanto em termos de escala de dano quanto em relao ao perodo de recuperao). Convm que estas atividades sejam executadas com o total envolvimento dos responsveis

pelos processos e recursos do negcio. A avaliao deve considerar todos os processos do negcio e no deve estar limitada aos recursos e instalaes de processamento da informao. Em funo dos resultados da avaliao de risco, convm que um plano estratgico seja desenvolvido para se determinar a abordagem mais abrangente a ser adotada para a continuidade do negcio. Uma vez criado, o plano dever ser validado pela direo. 11.1.3 Documentando e implementando planos de continuidade Convm que os planos sejam desenvolvidos para a manuteno ou recuperao das operaes do negcio, na escala de tempo requerida, aps a ocorrncia de interrupes ou falhas dos processos crticos. Recomenda-se que o processo de planejamento da continuidade do negcio considere os seguintes itens: a) identificao e concordncia de todas as responsabilidades e procedimentos de emergncia; b) implementao dos procedimentos de emergncia que permitam a recuperao e restaurao nos prazos necessrios. Ateno especial deve ser dada avaliao de dependncias externas ao negcio e de contratos existentes; c) documentao dos processos e procedimentos acordados; d) treinamento adequado do pessoal nos procedimentos e processos de emergncia definidos, incluindo o gerenciamento de crise; e) teste e atualizao dos planos. Convm que o processo de planejamento foque os objetivos requeridos do negcio, por exemplo recuperao de determinados servios especficos para os clientes, em um perodo de tempo aceitvel. Convm que os servios e recursos que possibilitaro isto ocorrer sejam previstos contemplando pessoal, recursos em geral, alm dos de tecnologia de informao, assim como itens de reposio dos recursos e instalaes de processamento da informao. 11.1.4 Estrutura do plano de continuidade do negcio Convm que uma estrutura bsica dos planos de continuidade do negcio seja mantida para se assegurar que todos os planos sejam consistentes e para identificar prioridades para testes e manuteno. importante que cada plano de continuidade do negcio especifique claramente as condies da sua ativao, assim como as responsabilidades individuais para a execuo de cada uma das atividades do plano.

Quando novos requisitos so identificados, importante que os procedimentos de emergncia relacionados sejam ajustados de forma apropriada, por exemplo os planos de evacuao ou qualquer acordo de recuperao da capacidade de processamento. Convm que uma estrutura de planejamento para continuidade do negcio considere os seguintes itens: a) as condies para ativao dos planos, os quais descrevem os processos a serem seguidos previamente sua ativao (como se avaliar a situao, quem deve ser acionado, etc.); b) os procedimentos de emergncia que descrevam as aes a serem tomadas aps a ocorrncia de um incidente que coloque em risco as operaes do negcio e/ou vidas humanas. Convm que isto inclua procedimentos para a gesto das relaes pblicas e para o contato eficaz com as autoridades pblicas apropriadas, tais como polcia, bombeiros e governo local; c) procedimentos de recuperao que descrevam as aes necessrias para a transferncia das atividades essenciais do negcio ou os servios de infraestrutura para localidades alternativas temporrias e para a reativao dos processos do negcio no prazo necessrio; d) procedimentos de recuperao que descrevam as aes a serem adotadas quando do restabelecimento das operaes; e) uma programao de manuteno que especifique quando e como o plano dever ser testado e a forma de se proceder manuteno deste plano; f) desenvolvimento de atividades educativas e de conscientizao com o propsito de criar o entendimento do processo de continuidade do negcio e de assegurar que os processos continuem a serem efetivos; g) designao das responsabilidades individuais, descrevendo quem responsvel pela execuo de que item do plano. Convm que suplentes sejam definidos quando necessrio. importante que cada plano possua um responsvel. Convm que os procedimentos de emergncia, planos de retomada manual e os planos de recuperao fiquem sob a guarda do respectivo responsvel pelos processos e recursos envolvidos. Convm que atividades de recuperao de servios tcnicos, tais como processamento da informao e instalaes de comunicao, sejam usualmente de responsabilidade dos fornecedores destes servios. 11.1.5 Testes, manuteno e reavaliao dos planos de continuidade do negcio

11.1.5.1 Teste dos planos Os planos de continuidade do negcio podem apresentar falhas quando testados, geralmente devido a pressupostos incorretos, omisses ou mudanas de equipamentos e de pessoal. Por isto convm que eles sejam testados regularmente, de forma a garantir sua permanente atualizao e efetividade. importante que tais testes tambm assegurem que todos os membros da equipe de recuperao e outras pessoas de relevncia esto conscientes sobre os planos. importante que o planejamento e a programao dos testes do(s) plano(s) de continuidade do negcio indiquem como e quando cada elemento deve ser testado. recomendvel que os componentes isolados do(s) plano(s) sejam freqentemente testados. Convm que vrias tcnicas sejam utilizadas, de modo a garantir a confiana de que o(s) plano(s) ir(o) operar consistentemente em casos reais. Convm que sejam considerados: a) testes de mesa simulando diferentes cenrios (verbalizando os procedimentos de recuperao para diferentes formas de interrupo); b) simulaes (particularmente til para o treinamento do pessoal nas suas atividades gerenciais ps-crise); c) testes de recuperao tcnica (garantindo que os sistemas de informao possam ser efetivamente recuperados); d) testes de recuperao em um local alternativo (executando os processos de negcio em paralelo com a recuperao das operaes); e) testes dos recursos, servios e instalaes de fornecedores (garantindo que os servios e produtos fornecidos atendam aos requisitos contratados); f) ensaio geral (testando se a organizao, o pessoal, os equipamentos, os recursos e os processos podem enfrentar interrupes). Estas tcnicas podem ser utilizadas por qualquer organizao e convm que elas reflitam a natureza do plano de recuperao especfico. 11.1.5.2 Manuteno e reavaliao dos planos importante que os planos de continuidade do negcio sejam mantidos por meio de anlises crticas regulares e atualizaes, de forma a assegurar a sua contnua efetividade (ver 11.1.5.1). Convm que procedimentos sejam includos no programa de gerenciamento de mudanas da organizao, de forma a garantir que as questes relativas continuidade de negcios esto devidamente tratadas. Convm que a responsabilidade pelas anlises crticas peridicas de cada parte do plano seja definida e estabelecida;

convm que a identificao de mudanas nas atividades do negcio que ainda no tenham sido contempladas nos planos de continuidade de negcio seja seguida da apropriada atualizao. Convm que um controle formal de mudanas assegure que os planos atualizados so distribudos e reforados por anlises crticas peridicas do plano como um todo. Exemplos de situaes que podem demandar atualizaes nos planos incluem a aquisio de novo equipamento, ou atualizao dos sistemas operacionais e alteraes: a) de pessoal; b) de endereos ou nmeros telefnicos; c) de estratgia de negcio; d) na localizao, instalaes e recursos; e) na legislao; f) em prestadores de servio, fornecedores e clientes-chave; g) de processos (incluses e excluses); h) no risco (operacional e financeiro). 12 Conformidade 12.1 Conformidade com requisitos legais Objetivo: Evitar violao de qualquer lei criminal ou civil, estatutos, regulamentaes ou obrigaes contratuais e de quaisquer requisitos de segurana. O projeto, a operao, o uso e a gesto de sistemas de informao podem estar sujeitos a requisitos de segurana contratuais, regulamentares ou estatutrios. Convm que consultoria em requisitos legais especficos seja procurada em organizaes de consultoria jurdica ou em profissionais liberais, adequadamente qualificados nos aspectos legais. Os requisitos legislativos variam de pas para pas e tambm para a informao criada em um pas e transmitida para outro (isto , fluxo de dados internacional). 12.1.1 Identificao da legislao vigente Convm que estatutos, regulamentaes ou clusulas contratuais relevantes sejam explicitamente definidos e documentados para cada sistema de informao. Convm que os controles e as responsabilidades especficos para atender a estes requisitos sejam, de forma similar, definidos e documentados.

12.1.2 Direitos de propriedade intelectual 12.1.2.1 Direitos autorais Convm que procedimentos apropriados sejam implementados para garantir a conformidade com as restries legais no uso de material de acordo com leis de propriedade intelectual, como as de direitos autorais, patentes ou marcas registradas. A violao do direito autoral pode levar a uma ao legal envolvendo processos criminais. Legislao, regulamentao e clusulas contratuais podem estabelecer restries para cpia de material que tenha direitos autorais. Em particular, pode ser requerido que somente material que seja desenvolvido pela organizao ou que foi licenciado ou fornecido pelos desenvolvedores para a organizao seja utilizado. 12.1.2.2 Direitos autorais de software Produtos de software proprietrios so normalmente fornecidos sob um contrato de licenciamento que restringe o uso dos produtos em mquinas especificadas e que pode limitar a cpia apenas para criao de uma cpia de segurana. Convm que os seguintes controles sejam considerados: a) divulgar uma poltica de conformidade de direito autoral de software que defina o uso legal de produtos de software e de informao; b) emitir padres para procedimentos de aquisio de produtos de software; c) manter ateno sobre a poltica de aquisio e de direitos autorais de software e notificar a inteno de tomar aes disciplinares contra colaboradores que violarem essas polticas; d) manter adequadamente os registros de ativos; e) manter provas e evidncias da propriedade de licenas, discos-mestres, manuais, etc.; f) implementar controles para assegurar que o nmero mximo de usurios permitidos no excede o nmero de licenas adquiridas; g) conduzir verificaes para que somente produtos de software autorizados e licenciados sejam instalados; h) estabelecer poltica para a manuteno das condies adequadas de licenas; i) j) estabelecer uma poltica para disposio ou transferncia de software para outros; utilizar ferramentas de auditoria apropriadas; redes pblicas (ver tambm 8.7.6). k) cumprir termos e condies para software e informao obtidos a partir de

12.1.3 Salvaguarda de registros organizacionais Convm que registros importantes de uma organizao sejam protegidos contra perda, destruio e falsificao. Alguns registros podem precisar ser retidos de forma segura para atender a requisitos estatutrios ou regulamentaes, assim como para apoiar as atividades essenciais do negcio. Exemplo disso so os registros que podem ser exigidos como evidncia de que uma organizao opera de acordo com as regras estatutrias e regulamentares, ou que podem assegurar a defesa adequada contra potenciais processos civis ou criminais ou confirmar a situao financeira de uma organizao perante aos acionistas, parceiros e auditores. O perodo de tempo e o contedo da informao retida podem estar definidos atravs de leis ou regulamentaes nacionais. Convm que registros sejam categorizados em tipos de registros, tais como registros contbeis, registros de base de dados, registros de transaes, registros de auditoria e procedimentos operacionais, cada qual com detalhes do perodo de reteno e do tipo de mdia de armazenamento, como, por exemplo, papel, microficha, meio magntico ou tico. Convm que quaisquer chaves de criptografia relacionadas com arquivos cifrados ou assinaturas digitais (ver 10.3.2 e 10.3.3) sejam mantidas de forma segura e tornadas disponveis para as pessoas autorizadas quando necessrio. Convm que cuidados sejam tomados a respeito da possibilidade de degradao das mdias usadas no armazenamento dos registros. Convm que os procedimentos de armazenamento e tratamento sejam implementados de acordo com as recomendaes dos fabricantes. Onde mdias eletrnicas armazenadas forem escolhidas, convm que sejam includos procedimentos para assegurar a capacidade de acesso aos dados (leitura tanto na mdia como no formato utilizado) durante o perodo de reteno, para proteger contra perdas ocasionadas pelas futuras mudanas na tecnologia. Convm que sistemas de armazenamento de dados sejam escolhidos de modo que o dado solicitado possa ser recuperado de forma aceitvel pelo tribunal de justia, como, por exemplo, todos os registros solicitados possam ser recuperados nos prazos e nos formatos aceitveis. Convm que o sistema de armazenamento e tratamento assegure a clara identificao dos registros e dos seus perodos de reteno estatutrios e regulamentares. Convm que seja permitida a destruio apropriada dos registros aps esse perodo, caso no sejam mais necessrios organizao. Para atender a estas obrigaes, convm que os seguintes passos sejam tomados dentro da organizao.

a) Emitir diretrizes gerais para reteno, armazenamento, tratamento e disposio de registros e informaes. b) Elaborar uma programao para reteno, identificando os tipos de registro essenciais e o perodo que cada um deve ser mantido. c) Manter um inventrio das fontes de informaes-chave. d) Implementar controles apropriados para proteger registros e informaes essenciais de perda, destruio e falsificao. 12.1.4 Proteo de dados e privacidade da informao pessoal Alguns pases tm promulgado leis que estabelecem controles no processamento e na transmisso de dados pessoais (geralmente informao sobre indivduos vivos que podem ser identificados a partir de tais informaes). Tais controles podem impor responsabilidades sobre aqueles que coletam, processam e disseminam informao pessoal, e podem restringir a capacidade de transferncia desses dados para outros pases. Conformidade com leis de proteo de dados necessita de uma estrutura de gesto e de controles apropriados. Geralmente isto melhor alcanado atravs da indicao de um responsvel pela proteo de dados que deve fornecer orientaes gerais para gestores, usurios e provedores de servio sobre as responsabilidades de cada um e sobre quais procedimentos especficos recomenda-se seguir. Convm que seja responsabilidade do proprietrio do dado notificar ao responsvel pela proteo de dados sobre qualquer proposta de armazenamento de informaes pessoais em um arquivo estruturado e garantir a capacitao nos princpios de proteo de dados definidos na legislao vigente. 12.1.5 Preveno contra uso indevido de recursos de processamento da informao Os recursos de processamento da informao de uma organizao so fornecidos para propsitos do negcio. A direo deve autorizar o seu uso. Convm que qualquer uso destes recursos para propsitos no profissionais ou no autorizados, sem a aprovao da direo, seja considerado como uso imprprio. Se essa atividade for identificada por processo de monitorao ou outros meios, convm que seja levada ao conhecimento do gestor responsvel para que sejam aplicadas as aes disciplinares cabveis. A legalidade do processo de monitorao do uso varia de pas para pas e pode requerer que os funcionrios sejam avisados dessa monitorao ou estejam

formalmente em concordncia com este processo. Convm que se busque uma assessoria legal antes da implementao dos procedimentos de monitorao. Muitos pases possuem, ou tm em processo de promulgao, leis de proteo contra o uso imprprio de computadores. Pode ser crime o uso de um computador para fins no autorizados. Desta forma, essencial que os usurios estejam conscientes do escopo exato de suas permisses de acesso. Isto pode, por exemplo, ser alcanado pelo registro das autorizaes dos usurios por escrito, recomendando-se que a cpia seja assinada pelo usurio e armazenada de forma segura pela organizao. Convm que os funcionrios de uma organizao e prestadores de servio sejam informados de que nenhum acesso permitido, com exceo daqueles que foram autorizados. No momento da conexo inicial convm que seja apresentada uma mensagem de advertncia na tela do computador, indicando que o sistema que est sendo acessado privado e que no so permitidos acessos no autorizados. O usurio tem que confirmar e reagir adequadamente mensagem na tela para continuar com o processo de conexo. 12.1.6 Regulamentao de controles de criptografia Alguns pases tm estabelecido acordos, leis, regulamentaes ou outros instrumentos para controlar o acesso ou uso de controles de criptografia. Tais controles podem incluir: a) importao e/ou exportao de hardware e software de computador para execuo de funes criptogrficas; b) importao e/ou exportao de hardware e software de computador que foi projetado para ter funes criptogrficas embutidas; c) mtodos mandatrios ou discricionrios de acesso dos pases informao cifrada por hardware ou software para fornecer confidencialidade ao contedo. Convm que assessoria jurdica seja obtida para garantir a conformidade com a legislao nacional vigente. Tambm convm que seja obtida assessoria jurdica antes de se transferirem informaes cifradas ou controles de criptografia para outros pases. 12.1.7 Coleta de evidncias

12.1.7.1 Regras para evidncias necessrio ter evidncias adequadas para apoiar um processo jurdico contra uma pessoa ou organizao. Sempre que este processo for uma questo disciplinar interna, as evidncias necessrias estaro descritas nos procedimentos internos. Quando o processo envolver a lei, civil ou criminal, convm que as evidncias apresentadas estejam de acordo com as regras para evidncias estabelecidas pela lei ou pelo tribunal de justia especfico onde o caso ser julgado. Em geral, estas regras abrangem: a) admissibilidade da evidncia: se a evidncia pode ser ou no utilizada pela corte; b) importncia da evidncia: qualidade e inteireza da evidncia; c) evidncia adequada de que controles estavam operando correta e consistentemente (isto , processo de controle de evidncias) durante todo o perodo que a evidncia recuperada foi armazenada e processada pelo sistema. 12.1.7.2 Admissibilidade da evidncia Para obter admissibilidade da evidncia, recomenda-se que as organizaes garantam que seus sistemas de informao esto em conformidade com qualquer norma ou cdigo de prtica publicado para produo de evidncia admissvel. 12.1.7.3 Qualidade e inteireza da evidncia Para obter qualidade e inteireza da evidncia, uma boa trilha de evidncia necessria. Em geral, tal trilha pode ser estabelecida sob as seguintes condies. a) Para documentos em papel: o original mantido de forma segura e so mantidos registros sobre quem encontrou, onde foi encontrado, quando foi encontrado e quem testemunhou a descoberta. Convm que qualquer investigao garanta que os originais no foram adulterados. b) Para informaes em mdia eletrnica: convm que cpias de qualquer mdia removvel, informaes em disco rgido ou em memria sejam obtidas para garantir a disponibilidade. Convm que o registro de todas as aes durante o processo de cpia seja mantido e o processo seja testemunhado. Convm que uma cpia da mdia magntica e um dos registros sejam mantidos de forma segura.

Quando um incidente detectado, pode no ser bvio que resultar num possvel processo jurdico. Entretanto, existe o perigo de que a evidncia necessria seja destruda acidentalmente antes que seja percebida a seriedade do incidente. conveniente envolver um advogado ou a polcia to logo seja constatada a possibilidade de processos jurdicos e obter consultoria sobre as evidncias necessrias. 12.2 Anlise crtica da poltica de segurana e da conformidade tcnica Objetivo: Garantir conformidade dos sistemas com as polticas e normas organizacionais de segurana. Convm que a segurana dos sistemas de informao seja analisada criticamente a intervalos regulares. Convm que tais anlises crticas sejam executadas com base nas polticas de segurana apropriadas e que as plataformas tcnicas e sistemas de informao sejam auditados na conformidade com as normas de segurana implementadas. 12.2.1 Conformidade com a poltica de segurana Convm que gestores garantam que todos os procedimentos de segurana dentro da sua rea de responsabilidade esto sendo executados corretamente. Adicionalmente, convm que todas as reas dentro da organizao sejam consideradas na anlise crtica peridica, para garantir a conformidade com as normas e polticas de segurana. Convm que isto inclua o seguinte: a) sistemas de informao; b) provedores de sistemas; c) proprietrios da informao e ativos de informao; d) usurios; e) direo. Convm que os proprietrios dos sistemas de informao (ver 5.1) apiem as anlises crticas peridicas de conformidade dos seus sistemas com as polticas de segurana, normas e qualquer outro requisito de segurana apropriado. A monitorao operacional do uso do sistema coberta em 9.7. 12.2.2 Verificao da conformidade tcnica Convm que sistemas de informao sejam periodicamente verificados em sua conformidade com as normas de segurana implementadas. Verificao de conformidade tcnica envolve a anlise dos sistemas operacionais para garantir que

controles de hardware e software foram corretamente implementados. Este tipo de verificao de conformidade requer a assistncia de tcnicos especializados. Convm que seja executado manualmente (auxiliado por funes de software apropriadas, se necessrio) por um engenheiro de sistemas experiente ou por funes de software que gerem relatrio tcnico para interpretao subseqente por um tcnico especialista. Verificao de conformidade tambm engloba, por exemplo, testes de invaso, que podem ser executados por especialistas independentes contratados especificamente para este fim. Isto pode ser til na deteco de vulnerabilidades do sistema e na verificao do quanto os controles so eficientes na preveno de acessos no autorizados devido a estas vulnerabilidades. Convm que cuidados sejam tomados em testes de invaso cujo sucesso pode levar ao comprometimento da segurana do sistema e inadvertidamente explorar outras vulnerabilidades. Convm que qualquer verificao de conformidade tcnica somente seja executada por, ou sob superviso de, pessoas competentes e autorizadas. 12.3 Consideraes quanto auditoria de sistemas Objetivo: Maximizar a eficcia e minimizar a interferncia no processo de auditoria de sistema. Convm que existam controles para a salvaguarda dos sistemas operacionais e ferramentas de auditoria durante as auditorias de sistema. Proteo tambm necessria para salvaguardar a integridade e prevenir o uso indevido das ferramentas de auditoria. 12.3.1 Controles de auditoria de sistema Convm que requisitos e atividades de auditoria envolvendo verificao nos sistemas operacionais sejam cuidadosamente planejados e acordados, para minimizar os riscos de interrupo dos processos do negcio. Recomenda-se que seja observado o seguinte. a) Convm que os requisitos de auditoria sejam acordados com o nvel apropriado da direo. b) Convm que o escopo da verificao seja acordado e controlado. c) Convm que a verificao esteja limitada ao acesso somente para leitura de software e dados. d) Convm que outros acessos diferentes de apenas leitura sejam permitidos somente atravs de cpias isoladas dos arquivos do sistema, que devem ser apagados ao final da auditoria.

e) Convm que recursos de tecnologia para execuo da verificao sejam identificados explicitamente e tornados disponveis. f) Convm que requisitos para processamento adicional ou especial sejam identificados e acordados. g) Convm que todo acesso seja monitorado e registrado de forma a produzir uma trilha de referncia. h) Convm que todos os procedimentos, requerimentos e responsabilidades sejam documentados. 12.3.2 Proteo das ferramentas de auditoria de sistemas Convm que acessos s ferramentas de auditoria de sistemas, isto , software ou arquivos de dados, sejam protegidos para prevenir contra qualquer possibilidade de uso imprprio ou comprometimento. Convm que tais ferramentas sejam separadas de sistemas em desenvolvimento e em operao e no sejam mantidas em fitas de biblioteca ou reas de usurios, a menos que forneam um nvel apropriado de proteo adicional.

Anexo A (informativo) Descrio dos termos apresentados em ingls nesta Norma

BBS (Bulletin Board System) - sistema no qual um computador pode se comunicar com outros computadores atravs de linha telefnica, como na Internet Call forwarding (Retorno de chamada) - procedimento para identificar um terminal remoto Covert channel - canal de comunicaes que permite que dois processos cooperativos transfiram a informao de uma maneira que viole a poltica de segurana do sistema Denial of service (negao do servio) - impedimento do acesso autorizado aos recursos ou retardamento de operaes crticas por um certo perodo de tempo

Dial up - servio por meio do qual um terminal de computador pode usar o telefone para iniciar e efetuar uma comunicao com outro computador Firewall - sistema ou combinao de sistemas que protege a fronteira entre duas ou mais redes Gateway - mquina que funciona como ponto de conexo entre duas redes Hacker - pessoa que tenta obter acesso a sistemas sem autorizao, usando tcnicas prprias ou no, com o intuito de acesso a determinado ambiente para proveito prprio ou de terceiros. Dependendo dos objetivos da ao, podem ser chamados de Cracker, Lammer ou BlackHat Housekeeping - processo que visa a manuteno da ordem, limpeza, organizao e segurana nas empresas ID identificador de usurio para obteno de acesso aos recursos do sistema I&A (Integrity and Availability) integridade e disponibilidade Log registro de eventos de um sistema. Trilhas de auditoria Log-on processo de entrada de um usurio no sistema Log-off processo de encerramento de uma sesso de usurio no sistema Smartcard - carto plstico que contm um microchip que inclui um microprocessador e uma memria. Do mesmo tamanho que um carto de crdito, tem contatos que permitem que outros dispositivos se comuniquem com o carto. Pode conter mais dados do que uma tarja magntica e pode ser programado para revelar somente a informao relevante Trojan horse - programa de computador com funo aparentemente ou realmente til, que contm as funes (escondidas) adicionais e que explora secretamente as autorizaes legtimas do processo, provocando perda da segurana

Tokens - mensagem que consiste em dados relevantes para uma comunicao especfica e que contm informaes que podem ser transformadas, usando uma tcnica de criptografia ndice alfabtico Aceitao de sistemas 8.2.2 Acordos de confidencialidade 6.1.3 Acordos para a troca de informaes e software 8.7.1 Alarme de intimidao para a salvaguarda de usurios 9.5.6 Anlise crtica da poltica de segurana e da conformidade tcnica 12.2 Anlise crtica das mudanas tcnicas do sistema operacional da produo 10.5.2 Anlise crtica dos direitos de acesso do usurio 9.2.4 Anlise crtica e avaliao 3.1.2 Anlise crtica independente de segurana da informao 4.1.7 Anlise e especificao dos requisitos de segurana 10.1.1 Aprendendo com os incidentes 6.3.4 reas de segurana 7.1 Aspectos da gesto da continuidade do negcio 11.1 Assinatura digital 10.3.3 Atribuio das responsabilidades em segurana da informao 4.1.3 Autenticao de mensagem 10.2.3 Autenticao de n 9.4.4 Autenticao para conexo externa do usurio 9.4.3 Avaliao de risco 2.2 Classificao da informao 5.2 Classificao e controle dos ativos de informao 5 Coleta de evidncias 12.1.7 Computao mvel 9.8.1 Computao mvel e trabalho remoto 9.8 Confidencialidade 2.1 Conformidade 12 Conformidade com a poltica de segurana 12.2.1 Conformidade com requisitos legais 12.1 Consideraes quanto auditoria de sistemas 12.3 Consultoria especializada em segurana da informao 4.1.5 Contabilizao dos ativos 5.1 Continuidade do negcio e anlise de impacto 11.1.2 Controle de acesso 9

Controle de acesso a bibliotecas de programa-fonte 10.4.3 Controle de acesso rede 9.4 Controle de acesso ao sistema operacional 9.5 Controle de acesso s aplicaes 9.6 Controle de conexes de rede 9.4.7 Controle de mudanas operacionais 8.1.2 Controle de software em produo 10.4.1 Controle do processamento interno 10.2.2 Controle do roteamento de rede 9.4.8 Controles contra software malicioso 8.3.1 Controles da rede 8.5.1 Controles de auditoria de sistema 12.3.1 Controles de criptografia 10.3 Controles de entrada fsica 7.1.2 Controles gerais 7.3 Cooperao entre organizaes 4.1.6 Coordenao da segurana da informao 4.1.2 Cpias de segurana 8.4.1 Covert channels e cavalo de Tria 10.5.4 Criptografia 10.3.2 Descarte de mdias 8.6.2 Desconexo de terminal por inatividade 9.5.7 Desenvolvimento e manuteno de sistemas 10 Desenvolvimento terceirizado de software 10.5.5 Direitos de propriedade intelectual 12.1.2 Disponibilidade 2.1 Documentao dos procedimentos de operao 8.1.1 Documentando e implementando planos de continuidade 11.1.3 Documento da poltica de segurana da informao 3.1.1 Educao e treinamento em segurana da informao 6.2.1 Equipamento de usurio sem monitorao 9.3.2 Estrutura do plano de continuidade do negcio 11.1.4 Fornecimento de energia 7.2.2 Gerenciamento da rede 8.5 Gerenciamento das operaes e comunicaes 8 Gerenciamento de acessos do usurio 9.2 Gerenciamento de chaves 10.3.5

Gerenciamento de mdias removveis 8.6.1 Gerenciamento de privilgios 9.2.2 Gerenciamento de risco 2.3 Gerenciamento de senha dos usurios 9.2.3 Gesto da continuidade do negcio 11 Gesto de recursos terceirizados 8.1.6 Gesto do frum de segurana da informao 4.1.1 Housekeeping 8.4 Identificao automtica de terminal 9.5.1 Identificao da legislao vigente 12.1.1 Identificao dos riscos no acesso de prestadores de servios 4.2.1 Identificao e autenticao de usurio 9.5.3 Incluindo segurana nas responsabilidades do trabalho 6.1.1 Infra-estrutura da segurana da informao 4.1 Instalao e proteo de equipamentos 7.2.1 integridade 2.1 Inventrio dos ativos de informao 5.1.1 Isolamento das reas de expedio e carga 7.1.5 Isolamento de sistemas sensveis 9.6.2 Limitao do tempo de conexo 9.5.8 Manuteno de equipamentos 7.2.4 Monitorao do uso do sistema 9.7.2 Monitorao do uso e acesso ao sistema 9.7 Notificao dos incidentes de segurana 6.3.1 Notificando falhas na segurana 6.3.2 Notificando mau funcionamento de software 6.3.3 Objetivo 1 Outras formas de troca de informao 8.7.7 Permetro da segurana fsica 7.1.1 Planejamento de capacidade 8.2.1 Planejamento e aceitao dos sistemas 8.2 Poltica de controle de acesso 9.1.1 Poltica de mesa limpa e tela limpa 7.3.1 Poltica de segurana 3 Poltica de segurana da informao 3.1 Poltica de utilizao dos servios de rede 9.4.1 Poltica para o uso de controles de criptografia 10.3.1

Preveno contra uso indevido de recursos de processamento da informao 12.1.5 Procedimentos de controle de mudanas 10.5.1 Procedimentos de entrada no sistema (log-on) 9.5.2 Procedimentos e responsabilidades operacionais 8.1 Procedimentos para o gerenciamento de incidentes 8.1.3 Procedimentos para tratamento de informao 8.6.3 Processo de autorizao para as instalaes de processamento da informao 4.1.4 Processo de gesto da continuidade do negcio 11.1.1 Processo disciplinar 6.3.5 Proteo contra software malicioso 8.3 Proteo das ferramentas de auditoria de sistemas 12.3.2 Proteo de dados de teste do sistema 10.4.2 Proteo de dados e privacidade da informao pessoal 12.1.4 Proteo de portas de diagnstico remotas 9.4.5 Recomendaes para classificao 5.2.1 Registro (log) de eventos 9.7.1 Registro de falhas 8.4.3 Registro de usurio 9.2.1 Registros de operao 8.4.2 Regulamentao de controles de criptografia 12.1.6 Remoo de propriedade 7.3.2 Requisitos de segurana de sistemas 10.1 Requisitos de segurana dos contratos de terceirizao 4.3.1 Requisitos de segurana nos contratos com prestadores de servios 4.2.2 Requisitos do negcio para controle de acesso 9.1 Respondendo aos incidentes de segurana e ao mau funcionamento 6.3 Responsabilidades do usurio 9.3 Restrio de acesso informao 9.6.1 Restries nas mudanas dos pacotes de software 10.5.3 Reutilizao e alienao segura de equipamentos 7.2.6 Rota de rede obrigatria 9.4.2 Rtulos e tratamento da informao 5.2.2 Salvaguarda de registros organizacionais 12.1.3 Segregao de funes 8.1.4 Segregao de redes 9.4.6 Segurana da documentao dos sistemas 8.6.4 segurana da informao 2.1

Segurana de arquivos do sistema 10.4 Segurana de equipamentos fora das instalaes 7.2.5 Segurana de mdias em trnsito 8.7.2 Segurana do cabeamento 7.2.3 Segurana do comrcio eletrnico 8.7.3 Segurana do correio eletrnico 8.7.4 Segurana dos equipamentos 7.2 Segurana dos servios de rede 9.4.9 Segurana dos sistemas eletrnicos de escritrio 8.7.5 Segurana e tratamento de mdias 8.6 Segurana em escritrios, salas e instalaes de processamento 7.1.3 Segurana em pessoas 6 Segurana fsica e do ambiente 7 Segurana na definio e nos recursos de trabalho 6.1 Segurana no acesso de prestadores de servios 4.2 Segurana nos processos de desenvolvimento e suporte 10.5 Segurana nos sistemas de aplicao 10.2 Segurana organizacional 4 Seleo e poltica de pessoal 6.1.2 Separao dos ambientes de desenvolvimento e de produo 8.1.5 Servios de no repdio 10.3.4 Sincronizao dos relgios 9.7.3 Sistema de gerenciamento de senhas 9.5.4 Sistemas disponveis publicamente 8.7.6 Terceirizao 4.3 Termos e condies de trabalho 6.1.4 Termos e definies 2 Testes, manuteno e reavaliao dos planos de continuidade do negcio 11.1.5 Trabalhando em reas de segurana 7.1.4 Trabalho remoto 9.8.2 Treinamento dos usurios 6.2 Troca de informaes e software 8.7 Uso de programas utilitrios 9.5.5 Uso de senhas 9.3.1 Validao de dados de entrada 10.2.1 Validao dos dados de sada 10.2.4 Verificao da conformidade tcnica 12.2.2

________________