NORMA ABNT NBR BRASILEIRA ISO/IEC 27002 Primeira edigao 31.08.2005 Valida a partir de ‘30.09.2005 Tecnologia da informagao — Técnicas de seguranga — Cédigo de pratica para a gestao da seguranga da informagao Information technology - Security technical - Code of pratice for information security management Palevras-chave: Tecnologia dainformacdo. Seguranga Dosertors Information fochnology. Security ICS 35.040 ISBN 978-85-07-00648-0 @ associat Namero de referéncia BENOHIAS ABNT NBR ISOIIEC 27002:7005 TECNICAS 120 paginas ‘@ABNT 2005ABNT NBR ISO/IEC 27002:2005 © ABNT 2005 Todos 06 direitos reservados. A menos que especiicado de outro modo, nenhuma parte desta publicagéo pode ser reproduzida ‘ou por qualquer meio, eletrénico ou mecéinico,incluindo fotocépia e microfilme, sem permissao por escrito pela ABNT. Sede da ABNT ‘Av-Treze de Maio, 13 - 28° andar 2031-901 - Rio de Janeiro - RJ Tol: + 55 21 3974-2300 Fax: + 55 21 2220-1762 abnt@abnt.org.br www.aont.org.br Impresso no Brasil ii @ABNT 2005 - Todos 08 ditelios reservadosABNT NBR ISO/IEC 27002:2005 Prefacio Nacional ‘A Associagto Brasileira de Normas Técnicas (ABNT) & 0 Foro Nacional de Normalizagso. As Normas Brasileiras, cujo contetido @ de responsabilidade dos Comités Brasileiros (ABNT/CB), dos Organismos de Normalizagao Setorial (ABNT/ONS) © das Comissées de Estudo Especiais Temporarias (ABNT/CEET), sao elaboradas por Comissées de Estudo (CE), formadas por representantes dos selores envolvidos, delas fazendo parte: produtores, consumidores e neutros (universidades, laboratérios e outros). (Os Documentos Técnicos ABNT sao elaborados conforme as regras da Diretivas ABNT, Parte 2. ‘A Associacao Brasileira de Normas Técnicas (ABNT) chama atencao para a possibilidade de que alguns dos elementos deste documento podem ser objeto de direito de patente. A ABNT nao deve ser considerada responsavel pela identificagdo de quaisquer direitos de patentes. A ABNT NBR ISO/IEC 27002 foi elaborada no Comité Brasileiro de Computadores @ Processamento de Dados (ABNTICB-21), pela Comissdo de Estudo de Seguranca Fisica em Instalag5es de Informatica (CE-21:027.00). Esta Norma 6 uma adogao idéntica, em contetido técnico, estrutura e redacéo, & ISO 27002:2008, que foi elaborada pelo Comité Técnico Information technology (ISO/IEC JTC 1), Subcomité SC 27, Security techniques, conforme ISO/IEC Guide 21-1:2005, Esta primeira edigio da ABNT NBR ISO/IEC 27002 compreende a ABNT NBR ISO/IEC 17799:2005 (Verséo Corrigida de 02.07.2007) @ a Errata 2 de 10.09.2007. Seu contetido técnico é idéntico ao da ABNT NBR ISO/IEC 17799:2005 (Verso Corrigida de 02.07.2007). A Errata 2:2007 altera 0 numero de referéncia da norma de 17799 para 27002. A ABNT NBR ISO/IEC 17799:2005 e a Errata 2:2007 sero provisoriamente mantidas até a publicagao da segunda edigdo da ABNT NBR ISO/IEC 27002, GABNT 2005 - Todos 08 alitvilos reservados tiiNORMA BRASILEIRA ABNT NBR ISO/IEC 17799:2005 ERRATA 2 Publicada em 10.09.2007 Tecnologia da informagao — Técnicas de seguranga — Cédigo de pratica para a gestao da seguranga da informagao ERRATA 2 Esta Errata 2 da ABNT NBR ISO/IEC 17799:2005, elaborada pela Comissdo de Estudo de Seguranga Fisica fem Instalagdes de Informatica (CE-21:027.00), tem por objetivo adotar 0 Technical Corrigendum 1 da ISOMEC 17799:2005. Em todo 0 documento: ‘Substituir “17799" por “27002" Ics 35.040 Ref.: ABNT NBR ISO/IEC 17799:2005/Err.2:2007 ‘© ABNT 2007 — Todos 08 direitos reservados 4NORMA ABNT NBR BRASILEIRA ISO/IEC 17799 ‘Segunda edigao 31.08.2005 Valida a partir de ‘30.09.2005 Verso corrigida 02.07.2007 Tecnologia da informagao — Técnicas de seguranga — Codigo de pratica para a gestao da seguranga da informagao Information technology — Security technical - Code of pratice for information security management Palavras-chave: Tecnologia da informago. Seguranga. Descriptors: Information technology. Security. Ics 35.040 ISBN 978-85-07-00519-3, assoccio Numero de referéneia DENORMAS ABNT NBR ISO/IEC 17799:2005 TECNICAS 120 paginas ‘@ABNT 2005ABNT NBR ISO/IEC 17799:2005 © ABNT 2005 Todos 08 direitos reservados. A menos que especiicado de outro modo, nenhuma parte desta publicagdo pode ser reproduzida ‘04 por qualquer meio, eletrdnico ou mecéinico,incluindo fotocépia e microfilme, sem permissao por escrito pela ABNT. ‘Sede da ABNT ‘Av-Treze de Maio, 13 - 28° andar 2031-901 - Rio de Janeiro - RJ Tel: + 55 21 3974-2300 Fax: + 55 21 2220-1762 abnt@abnt.org.br www.abnt.org.br Impresso no Brasil ii @ABNT 2005 - Todos 08 ditetos reservadosABNT NBR ISO/IEC 17799:2005 Sumario Pagina Prefacio Nacional. o oO 02 03 04 05 Introdugao. . © que é seguranca da informagao?..... Por que a seguranga da informagao é necessaria?. Como estabelecer requisitos de seguranca da informagao Analisandolavaliando os riscos de seguranga da informacao.. ‘Selegao de controles. Ponto de partida para a seguranga da informagio..... Fatores criticos de sucesso ... Desenvolvendo suas préprias diretrizes Objetivo Termos e defini¢des Estrutura desta Norma.. Segces : Principais categorias de seguranga da Informagao ... Anilise/avaliagao e tratamento de riscos Analisandolavaliando os riscos de seguranga da informagao.. Tratando 08 riscos de seguranga da informacao Politica de seguranga da informagao... Politica de seguranca da informagao. Documento da politica de seguranga da informagao. Analise critica da politica de seguranca da informagao Organizando a seguranga da informaga Organizagao interna ‘Comprometimento da direcdo com a seguranga da Informacao ... Coordenagao da seguranca da informagao.. Atribuigao de responsabilidades para a seguranga da informagao Processo de autorizacao para os recursos de processamento da informacao ... Acordos de confidencialidade Contato com autoridades Contato com grupos especials Andlise critica independente de seguranga da informagao. Partes externas. Identificacdo dos riscos relacionados com partes externas. Identificando a seguranca da informagao, quando tratando com os clientes. Identificando seguranca da informagdo nos acordos com terceiros. Gestao de ativos... Responsabilidade pelos ativos. Inventério dos ativos. Proprietario dos ativos.... Uso aceitavel dos ativos. Classificagao da informagao Recomendagées para classificagao.... Rétulos e tratamento da informagao... ‘Seguranga em recursos humanos.. Antes da contratagao .... Papéls e responsabilidades ... Selegao . Termos e condigées de contratagao L©ABNT 2005 - Todos oe alto tos reservados iABNT NBR ISO/IEC 17799:2005 82 824 822 823 83 83.4 Durante a contratacao. Responsabilidades da direcao. Conscientizagao, educagao e treinamento em seguranga da informagao. Processo disciplinar.. Encerramento ou mudanca da contratacao.. Encerramento de atividades.. Devolugao de ativos. Retirada de direitos de acesso... Seguranga fisica o do ambiente. Areas seguras.. Perimetro de seguranca fisica ... Controles de entrada fisica ‘Seguranca em escritérios, salas e instalacoes Protecao contra ameacas externas e do meio ambiente ... Trabalhando em areas seguras.. Acesso do pubblico, areas de entrega e de carregamento.. Seguranca de equipamentos. Instalagao e protege do equipamento... Utilidades. ‘Seguranca do cabeamento.. Manutengao dos equipamentos. Seguranga de equipamentos fora das dependéncias da organizagao Reutilizagao e alienacao segura de equipamentos... Remosao de propriedade.... Gerenclamento das operagées e comunicagées. Procedimentos e responsabilidades operacionais... Documentagao dos procedimentos de operacao Gestao de mudancas. Segregacdo de funcoes ‘Separagdo dos recursos de desenvolvimento, teste e de produgao.. Gerenciamento de servicos terceirizados Entrega de servicos. Monitoramento e andlise critica de servigos terceirizados... Gerenciamento de mudangas para servicos terceirizados. Planejamento e aceitagao dos sistemas. Gestdo de capacidade... Aceitacao de sistemas Protecdo contra cédigos maliciosos e cédigos moveis .. Controles contra cédigos maliciosos Controles contra cédigos méveis. Cépias de seguranga. Cépias de seguranca das informacées.. Gerenciamento da seguranga em redes Controles de redes Seguranca dos servicos de rede Manuseio de midias. Gerenciamento de midias removiveis. Descarte de midias. Procedimentos para tratamento de informaga Seguranga da documentacao dos sistemas. Troca de informagées ... Politicas e procedimentos para troca de informagées. Acordos para a troca de informacées. Midias em transito Mensagens eletrénicas Sistemas de informagées do negécio. Servigos de comércio eletrénico .. Comércio eletrénico... Transagées on-line. Informagées publicamente disponiveis. (GABNT 2005 - Todos 08 dvotos reservadosABNT NBR ISO/IEC 17799:2005 10.10 Monitoramento 10.10.1 Registros de auditoria... 60 61 10.10.2 Monitoramento do uso do sistema... 61 10.10.3 Protecao das informagées dos registros (/og). 63 10.10.4 Registros (log) de administrador e operador 63 10.10.5 Registros (log) de falhas.. . 10.10.6 Sincronizacao dos relégios. 64 " M4 11.1.1 Politica de controle de acesso... 11.2. Gerenciamento de acesso do usuario, 11.2.4 Registro de usuario... 11.2.2 Gerenciamento de privilégios 11.23. Gerenciamento de senha do usuario 11.2.4 Andlise critica dos direitos de acesso de usuario 11.3 Responsabilidades dos usuarios 113.4 Uso de senhas 11.3.2. Equipamento de usuario sem monitoragao. 11.3.3 Politica de mesa limpa e tela limpa 114 Controle de acesso a rede. 11.4.1. Politica de uso dos servicos de red. 11.4.2. Autenticacao para conexao externa do usuario 11.4.3. Identificagao de equipamento em redes 11.4.4 Protecao de portas de configuragao e diagnéstico remotos. 11.4.5 Segregacao de redes. 11.4.6 Controle de conexao de rede 11.4.7 Controle de roteamento de redes 11.5 Controle de acesso ao sistema operacional 11.5.1 Procedimentos seguros de entrada no sistema (log-on)... 11.5.2 Identificacao autenticacao de usuario 11.5.3 Sistema de gerenciamento de senha .. 11.5.4 Uso de utilitarios de sistema. 11.5.5 Limite de tempo de sessao. 11.5.6 Limitagao de horario de conexao 11.6 Controle de acesso a aplicagao e a informagao 11.6.1. Restrigao de acesso a informacao 11.6.2 Isolamento de sistemas sensiveis. 11.7 Computagao mével e trabalho remoto 11.7.1 Computagao e comunicacdo mével 14.7.2 Trabalho remote .. 12 Aquisicao, desenvolvimento e manutengdo de sistemas de informagao 12.1 Requisitos de seguranca de sistemas de informacao. 12.1.1 Andlise e especificacao dos requisitos de seguranca 12.2 Processamento correto nas aplicacées. 12.2.1 Validagao dos dados de entrada. 12.2.2 Controle do processamento interno. 12.2.3. Integridade de mensagens 12.2.4 Validagao de dados de saida. 12.3. Controles criptograficos.. 12.3.1. Politica para o uso de controles criptograficos .. 12.3.2 Gerenciamento de chave 12.4 Seguranca dos arquivos do sistema... 12.4.1. Controle de software operacional. 12.4.2 Protegao dos dados para teste de sistema.. 12.4.3 Controle de acesso ao cédigo-fonte de programa ... 12.5 Seguranca em processos de desenvolvimento e de suporte. 12.5.1 Procedimentos para controle de mudancas, : 12.5.2 Anilise critica técnica das aplicagoes apés mudancas no sistema operacional 94 12.5.3 Restric6es sobre mudangas em pacotes de software.. @ABNT 2005 - Todos 08 diteltos reservados vABNT NBR ISO/IEC 17799:2005 125.4 1255 126 126.1 13 134 43.4.4 13.1.2 13.2 13.2.4 13.22 13.23 vi Vazamento de informagées . Desenvolvimento terceirizado de software, 96 Gestdo de vulnerabilidades técnicas .. Controle de vulnerabilidades técnicas. Gestao de incidentes de seguranga da informagio .... Notificacao de fragilidades e eventos de seguranga da Informacao. Notificaco de eventos de seguranca da informagao Notificando fragilidades de seguranca da informagao. Gestao de incidentes de seguranca da informacao e molhorias, Responsabilidades e procedimentos... Aprendendo com os incidentes de seguranga da informagao.. Coleta de evidéncias Gestio da continuidade do negécio. Aspectos da gestio da continuldade do negécio, relativos a seguranga da Informag: Incluindo seguranca da informagao no processo de gestae da continuidade de negécio... Continuidade de negécios e andlise/avaliagao de riscos, Desenvolvimento ¢ implementagao de planos de continuidade relatives 4 seguranga da informagao 104 105 Estrutura do plano de continuidade do negécio. Testes, manutengao e reavaliagao dos planos de continuidade do negécio . ‘Conformidad: Conformidade com requisitos legais . Identificacao da legislagao aplicavel. Direitos de propriedade intelectual Protecao de registros organizacionais .. Protecdo de dados e privacidade de informacées pessoais Prevengao de mau uso de recursos de processamento da informacao ... Regulamentacao de controles de criptografia ‘Conformidade com normas e politicas de seguranga da informagao e conformidade técnica, Conformidade com as politicas e normas de seguranga da informacao.. Verificacao da conformidade técnica.. Consideracées quanto a auditoria de sistemas de informacao. Controles de auditoria de sistemas de informacao. Protecdo de ferramentas de auditoria de sistemas de informagao (GABNT 2005 - Todos 08 dvotos reservadosABNT NBR ISO/IEC 17795 2005 Prefacio Nacional A Associagéo Brasileira de Normas Técnicas (A3NT) o Férum Nacional de Normalizagdo, ‘As Normas Brasileiras, cujo contetido 6 de responsabilidade dos Comités Brasileiros (ABNT/CB), dos Organismos de Normalizagao Setorial (ABNT/ONS) e das Comissées de Esludo Especiais Temporarias (ABNT/CEET), sd0 elaboradas por Comisses de Estudo (CE), formadas por representantes dos setores envolvidos, delas fazendo Parte: produtores, consumidores e neutros (universidades, laboratérios e outros). A ABNT NBR ISO/IEC 17799 fol elaborada no Comité Brasileiro de Computadores e Processamento de Dados (ABNTICB-21), pela Comissdo de Estudo de Seguranca Fisica em Instalagées de Informatica (CE-21:204.01). © Projeto circulou em Consulta Nacional conforme Eaital n* 03, de 31.03.2005, com 0 niimero de Projeto NBR ISO/IEC 17799. Esta Norma é equivalente a ISO/IEC 17799:2005. Uma familia de normas de sistema de gestéo de seguranga da informagao (SGSI) esté sendo desenvolvida no ISO/IEC JTC 1/SC 27. A familia inclui normas sobre requisites de sistema de gestao da seguranga da informagao, gestdo de riscos, métricas e medidas, e diretrizes para implementagao. Esta familia adotara um esquema de numeragao usando a série de nlimeros 27000 em seqliéncia, A partir de 2007, a nova edigéo da ISO/IEC 17799 sera incorporada ao novo esquema de numeragéo como ISO/IEC 27002. Os termos relacionados a seguir, com a respectiva descrigao, foram mantidos na lingua inglesa, por nao possuirem tradugdo equivalente para a lingua portuguesa: Back-up — cépias de seguranga de arquivos. BBS (Bulletin Board System) ~ sistema no qual um computador pode se comunicar com outros computadores por meio de linha telefonica, como na Internet. Buffer overflow/overrun ~ transbordamento de dados. Situagao que ocorre quando dados em demasia so aceitos na entrada de uma aplicaco ou durante o processamento interno do sistema, ullrapassando a sua capacidade de armazenamento. Call back — retorno de chamada, Call center — central de atendimento. Call forwarding - encaminhamento de chamada. Covert channel — canal de comunicagées que permite o fluxo de informagées de uma maneira que viole a politica de seguranga do sistema, Denial of service (negago do servigo) — impedimento do acesso autorizado aos recursos ou retardamento de operacées criticas por um certo periodo de tempo. Dial up — servigo por meio do qual um computador pode usar a linha telef6nica para iniclar e efetuar uma ‘comunicago com outro computador. Display — dispositive de apresentagao de dados. Download - descarregamento, transferéncia de arquivos entre computadores por meio de uma rede. E-business - modalidade eletrénica de realizagao de transagbes de negécios, {@ABNT 2005 - Todos 08 direitos reservados vilABNT NBR ISO/IEC 17799:2005 EDI ~ Eletronic Data Interchange — intercdmbio eletrénico de dados. E-government ~ modalidade eletrénica de realizagao de transagdes de negécios @ prestagao de servicos por entidades governamentais. Firewall - sistema ou combinago de sistemas que protege a fronteira entre duas ou mais redes. Flash Disks — dispositivos de armazenamento de dados que utiiza circuitos integrados de meméria nao volatil Gateway — equipamento que funciona como ponto de conexao entre duas redes. Hacker — pessoa que tenta acessar sistemas sem autorizagao, usando técnicas proprias ou nao, no intuito de ter acesso a determinado ambiente para provelto préprio ou de terceiros, Dependendo dos objetivos da aco, podem ser chamados de Cracker, Lammer ou BlackHat. Hash — representagao matemdtica Unica de um conjunto de dados (resumo de mensagem). Help desk — fonte de suporte técnico aos usuarios, ISP provedores de servigos de Internet. Log-On — processo de identificacao e autenticagao de um usuario para permitir 0 seu acesso a um sistema. Logging ~ registro do histérico de atividades realizadas ou de eventos ocorridos em um determinado sistema ou proceso. Middleware — personalizagao de software; software de sistema que foi personalizado por um vendedor para um. usudrio particular. Need fo know ~ concelto que define que uma sé pessoa precisa acessar os sistemas necessérios para realizar a sua atividade, ‘Network worms (vermes de rede) — cédigo malicioso autopropagavel que pode ser distribuido automaticamente de um computador para outro por meio de conexdes de rede local ou pela _ Internet. Um worm pode realizar ages perigosas, como consumir banda de rede e recursos locals. Patch — corregao temporaria efetuada em um programa; pequena corregao executada pelo usuario no software, com as instrugdes do fabricante do software. PDA ~assistente digital pessoal. PIN (Personal Identification Number) — niimero de identificagao pessoal. Program-to-program controls ~ controles entre programas. Root ~ usuario administrador com privilégios irrestritos no sistema. Rup-to-run controls — controles entre execugoes. ‘Scanners — periférico de digitalizagao de imagens e documentos. ‘Snapshot - retrato do estado de um sistema em um estagio especttico. Sniffer — um software ou dispositive especializado que captura pacotes na rede. Timostamp (carimbo de tempo) - registro temporal de um evento. vill @ABNT 2005 - Todos o8 direitos reservadosABNT NBR ISO/IEC 17799:2005 Tokens ~ Dispositivo fisico para autenticagao. Exemplos: token criptogréfico, token de senha dinémica, token de meméria, entre outros, UTC ~ Coordinated Universal Time — Tempo Universal Coordenad. Wireless ~ sistema de comunicagao que no requer flos para transportar sinais. Em 6.1.3, Diretrizes para implementagdo, primeiro paragrafo, a ISO/IEC 17799:2005 faz uma referéncia equivocada a seco 4. Esse equivoco foi corrigido nesta ABNT NBR ISO/IEC 17799 e a notificagao deste foi feita ao ISO/IEC JTC 1 para correcdo da norma original Esta segunda edigéo cancela e substitul a edigéo anterior (ABNT NBR ISO/IEC 17799:2001), a qual fol tecnicamente revisada. Esta versao corrigida da ABNT NBR ISO/IEC 17799:2005 incorpora a Errata 1 de 28.08.2008 e Errata 1 de 02.07.2207. CABNT 2005 - Todos 08 direitos reservados xABNT NBR ISO/IEC 17799:2005 0 Introdugdo 0.1 © que é seguranga da informago? A informagao 6 um ativo que, como qualquer outro ativo importante, 6 essencial para os negécios de uma organizagao e conseqilentemente necesita ser adequadamente protegida, Isto 6 especialmente importante no ambiente dos negécios, cada vez mais interconectado. Como um resultado deste incrivel aumento da interconectvidade, a informagao esté agora exposta a um crescente numero @ a uma grande variedade de ameacas e vulnerabilidades (ver OECD Diretrizes para a Seguranga de Sistemas de Informagées ¢ Redes). A informagao pode existir em diversas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletronicos, apresentada em filmes ou falada em conversas. Seja qual for a forma apresentada ou o meio através do qual a informacao 6 compartilhada ou armazenada, é recomendado que ela seja sempre protegida adequadamente, ‘Seguranca da informagao € a protecdo da informago de varios tipos de ameagas para garantir a continuidade do negécio, minimizar 0 risco a0 negécio, maximizar o retorno sobre os investimentos @ as oportunidades de negécio, A seguranca da informagao € obtida a partir da implementagao de um conjunto de controles adequados, incluindo politicas, processos, procedimentos, estruturas organizacionais e fungdes de software © hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente melhorados, onde necessério, para garantir que os objetivos do negocio e de seguranga da organizacao sejam atendidos. Convém que isto seja feito em conjunto com outros processos de gestao do negécio. 0.2 Por que a seguranga da informagao é necessaria? A informagdo @ 0s processos de apoio, sistemas e redes sdo importantes ativos para os negécios Definir, alcangar, manter © melhorar a seguranca da informacdo podem ser atividades essenciais para assegurar a competitividade, o fluxo de calxa, a lucratividade, o alendimento aos requisites legais ¢ a imagem da organizagao junto ao mercado, As organizagoes, seus sistemas de informagao e redes de computadores sao expostos a diversos tipos de ameacas & seguranca da informagao, incluindo fraudes eletrénicas, espionagem, sabotagem, vandalismo, incéndio e inundagdo. Danos causados por cédigo malicioso, hackers alaques de denial of service estao se tomando cada vez mais comuns, mais ambiciosos e incrivelmente mais sofisticados. ‘A seguranga da informagao 6 importante para os negécios, tanto do setor piiblico como do setor privado, @ para proteger as infra-estruluras criticas. Em ambos os setores, a fungao da seguranga da informagdo é viabilizar os Negécios como 0 governo eletrénico (e-gov) ou 0 comércio eletrénico (e-business), e evitar ou reduzir 0s riscos, relevantes. A interconexao de redes publicas privadas e o compartilhamento de recursos de informagao aumentam a dificuldade de se controlar 0 acesso. A tendéncia da computago distribulda reduz a eficacia da implementagao de um controle de acesso centralizado. Muitos sistemas de informagao nao foram projetados para serem seguros. A seguranca da informagao que pode ser alcangada por meios técnicos 6 limitada e deve ser apoiada por uma gesléo e por procedimentos apropriados. A identificacdo de controles a serem implantados requer um planejamento cuidadoso © uma atengao aos detalhes. A gesio da seguranca da informacao requer pelo menos a participagao de todos os funcionérios da organizagao. Pode ser que seja necesséria também a parlicipagdio de acionistas, fomecedores, terceiras partes, clientes ou outras partes extemas. Uma consultoria externa especializada pode ser também necessétia. x @ABNT 2005 - Todos o8 direitos reservadosABNT NBR ISO/IEC 17795 2005 0.3 Como estabelecer requisitos de seguranga da informagao E essencial que uma organizagiio identifique os seus requisilos de seguranga da informagabo. Existem trés fontes principais de requisitos de seguranga da informacao. 1. Uma fonte é obtida a partir da andlise/avaliagdo de riscos para a organizagao, levando-se em conta 08 objetivos © as estratégias globais de negécio da organizacao. Por meio da andlise/avaliacdo de fiscos, séo identificadas as ameagas aos ativos e as vulnerabilidades destes, e realizada uma estimativa da probabilidade de ocorréncia das ameagas e do impacto potencial ao negécio. 2, Uma outra fonte 6 a legislagao vigente, os estatutos, a regulamentagao e as clausulas contratuais que a organizagéo, seus parceiros comerciais, contratados e provedores de servigo tém que atender, além do seu ambiente sociocultural. 3. A terceira fonte um conjunto particular de principios, objetivos @ os requisites do negécio para o processamento da informagao que uma organizacdo tem que desenvolver para apolar suas operagées. 0.4 Analisando/avaliando os riscos de seguranga da informagao Os requisitos de seguranga da informacao sao identificados por meio de uma analise/avaliagao sistematica dos riscos de seguranca da informagao. Os gastos com os controles precisam ser balanceados de acordo com os danos causados aos negécios gerados pelas potenciais falhas na seguranga da informacao. Os resultados da andlise/avaliagao de riscos ajudaro a direcionar e a delerminar as acées gerenciais apropriadas @ as prioridades para o gerenciamento dos riscos da seguranga da informagéo, e para a implementagao dos controles selecionados para a protegao contra estes riscos. Convém que a analise/avaliagao de riscos seja repetida periodicamente para contemplar quaisquer mudangas que possam influenciar os resullados desta andlise/avaliagao. Informagées adicionais sobre a anélise/avaliacdo de riscos de seguranga da informago podem ser encontradas em 4.1 “Analisandofavaliando os riscos de seguranga da informagao". 0.5 Selegdo de controles Uma vez que 0s requisitos de seguranga da informagao e os riscos tenham sido identificados e as decisées para o tratamento dos riscos tenham sido tomadas, convém que controles apropriados sejam selecionados e implementados para assegurar que os riscos sejam reduzidos a um nivel aceitével. Os controles podem ser selecionados a partir desta Norma ou de um outro conjunto de controles ou novos controles podem ser desenvolvidos para atender as necessidades especificas, conforme apropriado. A selego de controles de seguranca da informacaio depende das decisées da organizacéo, baseadas nos critérios para aceltagto de Tisco, nas opgées para tratamento do risco e no enfoque geral da gestao de risco aplicado 4 organizagao, & convém que também esteja sujeito a todas as legislagdes e regulamentagGes nacionais e internacionais, relevantes, Alguns dos controles nesta Norma podem ser considerados como principios basicos para a gesto da seguranga da informagao e podem ser aplicados na maioria das organizages. Estes controles sao explicados ‘em mais detalhes no item “Ponto de partida para a seguranca da informacao Informagées adicionais sobre selegdo de controles e oulras opgdes para tratamenlo de risco podem ser ‘encontradas em 4.2 “Tratamento dos riscos de seguranga da informagao" CABNT 2005 - Todos 08 direitos reservados xiABNT NBR ISO/IEC 17799:2005 0.6 Ponto de partida para a seguranga da informagao Um certo niimero de controles pode ser considerado um bom ponto de partida para a implementagao da seguranga da informagao. Estes controles sao baseados tanto em requisitos legais como nas melhores praticas de seguranga da informacao normalmente usadas. (Os controles considerados essenciais para uma organizago, sob 0 ponto de vista legal, incluem, dependendo da legistagao aplicave!: a) protecao de dados e privacidade de informagbes pessoais (ver 15.1.4); b)_protegao de registros organizacionais (ver 18.1.3); ©) direitos de propriedade intelectual (ver 15.1.2). Os controles considerados praticas para a seguranga da informagao incluem 2) documento da politica de seguranca da informagao (ver 5.1.1); b) atribuigdo de responsabilidades para a seguranga da informago (ver 6.1.3); €) conscientizagso, educagio e treinamento em seguranca da informagao (ver 8.2.2); 4) processamento correto nas aplicacbes (ver 12.2); €) gestao de vulnerabilidades técnicas (ver 12.6); 4) gestao da continuidade do negécio (ver segao 14); 9) gestdo de incidentes de seguranga da informagao @ melhorias (ver 13.2) Esses controles se aplicam para a maioria das organizagées @ na maioria dos ambientes. Convém observar que, embora todos os controles nesta Norma sejam importantes e devam ser considerados, @ relevancia de qualquer controle deve ser determinada segundo os riscos especfficos a que uma organizagéo ‘esta exposta. Por isto, embora o enfoque acima seja considerado um bom ponto de partida, ele ndo substitui a selecdo de controles, baseado na andlise/avaliagao de riscos. 0.7 Fatores criticos de sucesso A experiéncia tem mostrado que os seguintes fatores so geralmente criticos para o sucesso da implementacao da seguranga da informagao dentro de uma organizagao: a) politica de seguranga da informacao, abjetivas e atividades, que refitam os objetives do negécio; b) uma abordagem e uma estrutura para a implementagao, manutengao, monitoramento e melhoria da seguranga da informagao que seja consistente com a cultura organizacional; ©) comprometimento ¢ apoio visivel de todos os niveis gerenciais; 4) um bom entendimento dos requisitos de seguranga da informacao, da andlise/avaliacao de riscos © da gestdo de risco; e) divulgago eficiente da seguranca da informagao para todos os gerentes, funcionatios e outras partes envolvidas para se alcangar a conscientizagao; xii @ABNT 2005 - Todos o8 direitos reservadosABNT NBR ISO/IEC 17795 2005 f) distribuigao de diretrizes e normas sobre a politica de seguranga da informagao para todos os gerentes, funcionérios e outras partes envolvidas; @) proviso de recursos financeiros para as atividades da gestdo de seguranga da informagéo; h)_provisde de conscientizagao, treinamento e educagao adequados; i) estabelecimento de um eficiente processo de gesiéo de incidentes de seguranga da informagéio; }) implementagao de um sistema de medigao?, que soja usado para avaliar o desempenho da gestéo da seguranga da informagao e obtengao de sugestées para a melhoria 0.8 Desenvolvendo suas préprias diretrizes Esta Norma pode ser considerada como um ponto de partida para o desenvolvimento de diretrizes especiticas para a organizagéo. Nem todos os controles e diretizes contidos nesta Norma podem ser aplicados. Alem isto, controles adicionais © recomendacdes nao incluidos nesta Norma podem ser necessarios. Quando os documentos so desenvolvidos contendo controles ou recomendagées adicionais, pode ser ail realizar uma referéncia cruzada para as segdes desta Norma, onde aplicavel, para faciltar a verificagao da conformidade por auditores e parceiros do negécio. * Deve-se observar que as medigdes de seguranga da informagao esto fora do escopo desta Norma CABNT 2005 - Todos 08 direitos reservados xiiNORMA BRASILEIRA ABNT NBR ISO/IEC 17799:2005 Tecnologia da informagao — Técnicas de seguranga — Cédigo de pratica para a gestdo da seguranca da informagao 1 Objetivo Esta Norma estabelece diretrizes e principios gerais para iniciar, implementar, manter e melhorar a gestao de seguranga da informagaio em uma organizago. Os objetivos definidos nesta Norma provéem diretrizes gerais, sobre as metas geralmente aceitas para a gestao da seguranga da informagao, Os objetivos de controle os controles desta Norma t&m como finalidade ser implementados para atender aos, requisitos identificados por meio da andliselavaliagao de riscos. Esta Norma pode servir como um guia pratico para desenvolver os procedimentos de seguranga da informagao da organizagao e as eficientes praticas de gestao da seguranca, e para ajudar a criar confianca nas atividades interorganizacionais. 2 Termos e definigées Para os efeitos desta Norma, aplicam-se os seguintes termos e definicées. 24 ativo qualquer coisa que tenha valor para a organizaco [ISO/EC 13335-1:2004] 22 controle forma de gerenciar 0 risco, incluindo politicas, procedimentos, diretrizes, praticas ou estruturas organizacionais, que podem ser de natureza administrativa, técnica, de gestao ou legal NOTA Controle é também usado como um sindmino para protege ou contramedida, 23 jrotriz descrig&o que orienta o que deve ser feito e como, para se alcangarem os objetivos estabelecidos nas politicas [ISONEC 13335-1:2004] 24 recursos de processamento da informacao qualquer sistema de processamento da informagao, servigo ou infra-estrutura, ou as instalagdes fisicas que os, abriguem 25 seguranga da informagao preservacao da confidencialidade, da integridade © da disponibilidade da informagao; adicionaimente, outras, propriedades, tals como autenticidade, responsabllidade, nao repidio e conflabllidade, podem também estar envolvidas GABNT 2005 - Todos 08 dlitvtes reservados 1ABNT NBR ISO/IEC 17799:2005 26 evento de seguranga da informagao ocorréncia identificada de um sistema, servigo ou rede, que indica uma possivel violagao da politica de seguranga da informagao ou falha de controles, ou uma situagao previamente desconhecida, que possa ser relevante para a seguranga da informagao [ISO/IEC TR 18044:2004] 27 idente de seguranga da informacao um incidente de seguranga da informagéio 6 indicado por um simples ou por uma série de eventos de seguranga da informagao indesejados ou inesperados, que tenham uma grande probabilidade de compromoter as operagées do negécio e ameagar a seguranca da informacao [ISO/IEC TR 18044:2004) 28 politica Intengées e diretrizes globais formalmente expressas pela diregaio 2.9 risco combinagao da probabilidade de um evento @ de suas conseaiiéncias. IABNT ISO/IEC Guia 73:2005] 2.10 anilise de riscos uso sistematico de informages para identificar fontes e estimar 0 risco [ABNT ISO/IEC Guia 73:2005] 211 anilise/avaliagao de riscos. processo completo de andlise e avaliago de riscos [ABNT ISO/IEC Guia 73:2005} 242 avaliagao de riscos Proceso de comparar o risco estimado com critérios de risco pré-definidos para determinar a importancia do IABNT ISO/IEC Guia 73:2005] 2.13 gestdo de riscos atividades coordenadas para direcionar e controlar uma organizagao no que se refere a riscos NOTA Agestio de riscos geralmente inclul a andlise/avaliagao de riscas, o tratamento de riscos, a aceitagao de riscos 2 a comunicagao de riscos. [ABNT ISO/IEC Guia 73:2005] 2.14 tratamento do risco processo de selego e implementagdo de medidas para modificar um risco [ABNT ISO/IEC Guia 73:2005] 245 terceira parte pessoa ou organismo reconhecido como independente das partes envolvidas, no que se refere a um dado assunto [ABNT ISO/IEC Guia 2:1998] 2 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 2.16 ameaga causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organizagao [ISONEC 13335-1:2004] 247 vulnerabildade fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameagas GABNT 2005 - Todos 08 dlitvtes reservados 3ABNT NBR ISO/IEC 17799:2005 3 Estrutura desta Norma Esta Norma contém 11 seg6es de controles de seguranga da informaco, que juntas totalizam 39 categorias rincipais de seguranga e uma segao introdutéria que aborda a analise/avaliagao e o tratamento de riscos. 3.1 Segdes Cada segdo contém um niimero de categorias principais de seguranga da informagao. As 11 segdes {acompanhadas com o respectivo nlimero de calegorias) sao: a) Politica de Seguranga da Informagao (1); b) Organizando a Seguranga da Informagao (2); ©) Gestao de Ativos (2); 4) Seguranga em Recursos Humanos (3); @) Seguranga Fisica ¢ do Ambiente (2); 1) Gestdo das Operagées e Comunicagses (10); 9) Controle de Acesso (7); hh) Aquisigao, Desenvolvimento e Manutengao do Sistemas de Informagao (6); 1) Gestao de Incidentes de Seguranca da Informacao (2); }) Gestéo da Continuidade do Negécio (1) k) Conformidade (3). Nota: A ordem das segdes nesta Norma néo significa 0 seu grau de jmporténcia. Dependendo das circunsténcias, {odas as se¢oes podem ser importantes. Portanto, convém que cada organizagao que ullize esta Norma identifque quais ‘do 0s itens aplicaveis, quao importantes eles sao 6 a sua aplicagao para os processos especificas do negécio. Todas as alineas nesta Norma também ndo esto ordenadas por prioridade, a menos que explicitado. 3.2. Principais categorias de seguranga da informagao Cada categoria principal de seguranga da informagao contém: a) um objetivo de controle que define o que deve ser alcangado; e b)_um ou mals controles que podem ser aplicados para se alcangar 0 objetivo do controle. As descrigées dos controles esto estruturadas da seguinte forma Controle Define qual o controle especifico para atender ao objetivo do controle. Diretrizes para a implementago Contém informagées mals detalhadas para apolar a implementag&o do controle e atender ao objetivo de controle. Aigumas destas diretrizes podem nao ser adequadas em todos os casos e assim outras formas de implementagao do controle podem ser mais apropriadas. 4 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 Informagses adicionais Contém informagGes adicionais que podem ser consideradas, como, por exemplo, consideracées legais ¢ referéncias a outras normas. GABNT 2005 - Todos 08 dlitvtes reservados 5ABNT NBR ISO/IEC 17799:2005 4 Anilise/avaliagao e tratamento de riscos 4.1. Analisando/avaliando os riscos de seguranga da informacao Convém que as analises/avaliagdes de riscos identifiquem, quantifiquem e priorizem os riscos com base em critérios para aceitagao dos riscos e dos objetivos relevantes para a organizagéo. Convém que os resultados orientem e determinem as agdes de gestdo apropriadas e as prioridades para o gerenciamento dos riscos de seguranga da informagdo, e para a implementacdo dos controles selecionados, de maneira a proteger contra estes riscos. O processo de avaliar os riscos e selecionar os controles pode precisar ser realizado varias vezes, de forma a cobrir diferentes partes da organizagao ou de sistemas de informagao especificos. Convém que a andlise/avaliagao de riscos inclua um enfoque sistematico de estimar a magnitude do risco {anélise de riscos) e o processo de comparar os riscos estimados contra os critérios de risco para determinar a significancia do risco (avaliacao do risco). Convém que as analises/avaliagées de riscos também sejam realizadas periodicamente, para contemplar as mudangas nos requisitos de seguranca da informagao e na situaco de risco, ou seja, nos ativos, ameacas, vulnerabilidades, impactos, avaliagao do risco e quando uma mudanga significativa ocorrer. Essas analises/ avaliagées de riscos devem ser realizadas de forma metédica, capaz de gerar resultados comparaveis reproduzivels. Convém que a anélise/avaliagao de riscos de seguranga da informagao tenha um escopo claramente definido para ser eficaz e inclua os relacionamentos com as andlises/avaliagées de riscos em outras areas, se necessatio. © escopo de uma analise/avaliagao de riscos pode tanto ser em toda a organizacao, partes da organizacao, ‘em um sistema de informacao especifico, em componentes de um sistema especifico ou em servigos onde isto seja pralicdvel, realistico e util. Exemplos de metodolagias de anélise/avaliagao de riscos s4o disculidas no ISO/IEC TR 13335-3 (Guidelines for the management of IT security: Techniques for the management of IT Security). 4.2 Tratando os riscos de seguranga da informagao Convém que, antes de considerar 0 tratamento de um risco, a organizagao defina os critétios para determinar se os riscos podem ser ou nao aceitos. Riscos podem ser aceitos se, por exemplo, for avaliado que o risco baixo ou que 0 custo do tratamento ndo 6 economicamente vidvel para a organizagao. Convém que tais decisées sejam registradas, Para cada um dos risoos identificados, seguindo a andlise/avaliagao de riscos, uma decisao sobre o tratamento do risco precisa ser tomada. Possiveis opGdes para o tratamento do risco, incluem: a) aplicar controles apropriados para reduzir os riscos; b) conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente a politica da organizagao e aos criterios para a aceltag&o de risco; ©) evitar riscos, nao permitindo agdes que poderiam causar a ocorréncia de riscos; )_transferir os riscos associados para outras partes, por exemplo, seguradoras ou fomecedores. 6 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 Convém que, para aqueles riscos onde a decisdo de tratamento do risco seja a de aplicar os controles apropriados, esses controles sejam selecionados e implementados para atender aos requisitos identificados pela andlise/avaliag4o de riscos. Convém que os controles assegurem que os riscos sejam reduzidos a um nivel aceitavel, levando-se em conta’ a) 05 requisitos e restrigdes de legislagbes @ regulamentagdes nacionais e internacionais; b)_ 08 objetivos organizacionais; ©) 08 requisites e restrigées operacionais; d) custo de implementagdo @ a operagdo em relagao aos riscos que esto sendo reduzidos e que permanecem proporcionais as restrigdes e requisites da organizagao; ©) a necessidade de balancear 0 investimento na implementagao © operagao de controles contra a probabilidade de danos que resultem em falhas de seguranga da informacao. Os controles podem ser selecionades desta Norma ou de outros conjuntos de controles, ou novos controles podem ser considerados para atender as necessidades especificas da organizagao, € importante reconhecer que alguns controles podem nao ser aplicdvels a todos os sistemas de Informagao ou ambientes, e podem nao ser praticéveis para todas as organizagdes. Como um exemplo, 10.1.3 descreve como as responsablidades podem ser segregadas para evitar fraudes e erros. Pode nao ser possivel para pequenas organizagdes Segregar todas as responsabilidades e, portanto, outras formas de alender o mesmo objetivo de controle podem ser necessarias, Em um outro exemplo, 10,10 descreve como o uso do sistema pode ser monitorado e as evidéncias coletadas. Os controles descritos, como, por exemplo, eventos de ‘logging’, podem conflitar com a legislagao aplicdvel,tais como a protegdo & privacidade dos clientes ou a exercida nos locals de trabalho. Convém que os controles de seguranga da Informaco sejam considerados na especificagao dos requisites & nos estagios iniciais dos projetos e sistemas. Caso isso nao seja realizado, pode acarretar custos adicionais & solugdes menos efetivas, ou mesmo, no pior caso, incapacidade de se alcancar a seguranga necessaria Convém que seja lembrado que nenhum conjunto de controles pode conseguir a seguranga completa, @ que uma ago gerencial adicional deve ser implementada para monitorar, avaliar e melhorar a eficiéncia e eficdcia dos controles de seguranca da informacao, para apoiar as metas da organizacao. GABNT 2005 - Todos 08 dlitvtes reservados 7ABNT NBR ISO/IEC 17799:2005 5 Politica de seguranga da informagao 5.1. Politica de seguranga da informagao ‘Objetivo: Prover uma orientagdo e apoio da diregao para a seguranga da informagao de acordo com os requisitos do negécio © com as leis @ regulamentagées pertinentes. Convém que a direcdo estabeleca uma clara orientagao da politica, alinhada com os objetivos do negécio @ demonstre apoio e comprometimento com a seguranga da informagao por meio da publicaczio e manulengao de uma politica de seguranga da informagao para toda a organizagao. 5.1.1 Documento da politica de seguranga da informagao Contrale Convém que um documento da politica de seguranga da informagao seja aprovado pela diregao, publicado comunicade para todos os funcionarios e partes externas relevantes. Diretrizes para implementagao, Convém que 0 documento da politica de seguranga da informagao declare o comprometimento da direcdo ¢ estabelega 0 enfoque da organizagdo para gerenciar a seguranga da informagao. Convém que o documento da politica contenha declaragées relativas a: a) uma definigéo de seguranca da informaco, suas metas globais, escopo e importancia da seguranca da informagao como um mecanismo que habilita o compartilnamento da informagao (ver introdugao); b) uma declaragao do comprometimento da diregao, apoiando as metas e principios da seguranga da informaco, alinhada com os objetivos e estratégias do negécio; ) uma estrutura para estabelecer os objetivos de controle € os controles, incluindo a estrutura de analise/avaliago e gerenciamento de risco; d) breve explanagao das politicas, principios, normas e requisitos de conformidade de seguranga da informagéo especificos para a organizacao, incluindo: 1) conformidade com a legislagao e com requisitos regulamentares ¢ contratuais; 2) requisitos de conscientizacdo, treinamento e educagéo em seguranca da informagao; 3) gestdo da continuidade do negécio; 4) conseqiiéncias das violagées na politica de seguranga da informagao; e) definigao das responsabilidades gerais e especificas na gestéo da seguranga da informagao, incluindo 0 registro dos incidentes de seguranga da informagao; 1) referéncias & documentagaio que possam apoiar a politica, por exemplo, politicas ¢ procedimentos de seguranga mais detalhados de sistemas de informagdo especificos ou regras de seguranga que os usuarios devem seguir Convém que esta politica de seguranga da informago seja comunicada através de toda a organizacio para os usudrios de forma que seja relevante, acessivel e compreensivel para o leitor em foco. Informacdes adicionais A politica de seguranga da informagao pode ser uma parte de um documento da politica geral. Se a politica de seguranga da informagdo for distribuida fora da organizagdo, convém que sejam tomados cuidados para ndo revelar informagdes sensiveis. InformagGes adicionais podem ser encontradas na ISO/IEC 13335-1:2004. 8 ©ABNT 2005 - Todos oe dlitotos reservadosABNT NBR ISO/IEC 17799:2005 5.1.2 Anélise critica da politica de seguranga da Informagao Controle Convém que a politica de seguranga da informacao seja analisada criticamente a intervalos planejados ou quando mudangas significativas ocorrerem, para assegurar a sua continua perlinéncia, adequagao e eficacia, Diretrizes para implementacao Convém que a politica de seguranca da informagao tenha um gestor que tenha responsabilidade de gestao aprovada para desenvolvimento, andlise critica e avaliago da politica de seguranga da informagao. Convém que a andlise critica inclua a avaliagao de oportunidades para melhoria da politica de seguranga da informagdo da organizagao e tenha um enfoque para gerenciar a seguranca da informagéio em resposta as mudangas ao ambiente organizacional, &s circunstancias do negécio, as condigbes legals, ou ao ambiente técnico, Convém que a anélise critica da politica de seguranga da informago leve em consideragao os resultados da andlise critica pela direcdo. Convém que sejam definidos procedimentos para andlise critica pela direcdo, incluindo uma programagao ou um periodo para a analise critica. Convém que as entradas para a analise critica pela diregao incluam informag6es sobre: a) _realimentagao das partes interessadas; b) resultados de andlises criticas independentes (ver 6.1.8); ©) situagao de ages preventivas e corretivas (ver 6.1.8 © 15.2.1); d) resultados de andlises criticas anteriores feitas pela diregao; ) desempenho do processo e conformidade com a politica de seguranga da informagao; f)mudangas que possam afetar o enfoque da organizacao para gerenciar a seguranca da informagao, incluindo mudangas no ambiente organizacional, nas circunstancias do negécio, na disponibilidade dos recursos, nas questées contratuais, regulamentares e de aspectos legais ou no ambiente técnico; 9) tendéncias relacionadas com as ameagas e vulnerabilidades; h)_relato sobre incidentes de seguranga da informago (ver 13.1); i) recomendagées fornecidas por autoridades relevantes (ver 6.1.6). Convém que as saidas da anélise critica pela diregao incluam quaisquer decises e ag6es relacionadas a: a) _methoria do enfoque da organizagao para gerenciar a seguranga da informagao e seus processos; b)_methoria dos controles e dos objetivos de controles; ©) methoria na alocagao de recursos e/ou de responsabilidades. Convém que um registro da andlise critica pela diregao soja mantido. Convém que a aprovagao pela dirego da politica de seguranga da informagao revisada seja obtida. GABNT 2005 - Todos 08 dlitvtes reservados 9ABNT NBR ISO/IEC 17799:2005 6 Organizando a seguranga da informagao 6.1 Organizagao interna ‘Objetivo: Gerenciar a seguranga da informagao dentro da organizago. Convém que uma estrutura de gerenciamento seja estabelecida para iniciar e controlar a implementacao da sseguranca da informacao dentro da organizacao. Convém que a direc&o aprove a politica de seguranca da informagdo, atribua as fungSes da seguranca, coordene ¢ analise criticamente a implementago da seguranga da informagao por toda a organizacdo. Se necessario, convém que uma consultoria especializada em seguranga da informagdo seja estabelecida disponibilizada dentro da organizagao. Convém que contatos com especialistas ou grupos de seguranga da informagao externos, incluindo autoridades relevantes, sejam feitos para se manter atualizado com as tendéncias de mercado, monitorar normas e métodos de avaliagdo, além de fornecer apoio adequado, quando estiver tratando de incidentes de seguranga da informacao, Convém que um enfoque multigisciplinar na seguranga da Informagao seja incentivado, 6.1.1 Comprometimento da diregdo com a seguranga da informagao Controle Convém que a direco apéie alivamente a seguranca da informagao dentro da organizacdo, por meio de um claro direcionamento, demonstrando 0 seu comprometimento, definindo atribuigées de forma explicita reconhecendo as responsabilidades pela seguranga da informagao, Diretrizes para implementacao Convém que a diregao: a) assegure que as metas de seguranga da informagao esto identificadas, atendem aos requisites da organizagao e estdo integradas nos processos relevantes; b) formule, analise crticamente e aprove a politica de seguranga da informagéo; ©) analise crticamente a eficécia da implementagSo da politica de seguranga da informagio; 4) forneca um claro direcionamento e apoio para as iniciativas de seguranga da informagao; €) fomeca os recursos necessétios para a seguranga da informacao; 4) aprove as atribuigées de tarefas e responsabilidades especificas para a seguranca da informagao por toda a organizaca 9) inicie planos e programas para manter a conscientizagao da seguranga da informago; hh) assegure que a implementagao dos controles de seguranca da informacao tem uma coordenagao e permeia a organizagao (ver 6.1.2). Convém que a diregao identifique as necessidades para a consultoria de um especialista interno ou externo em seguranga da informagao, analise criticamente e coordene os resultados desta consultoria por toda a organizagao. Dependendo do tamanho da organizagao, tals responsabilidades podem ser conduzidas por um forum de gestao exclusive ou por um férum de gestéo existente, a exemplo do conselho de diretores, 10 ©ABNT 2005 - Todos oe dlitotos reservados