Professional Documents
Culture Documents
28.08.2013
Representante
BAKERTILLY DO BRASIL
Andra Thom
CQSI
Ariosto Farias Jr
SERASA EXPERIAN
Denise Menoncello
USIMINAS
Gilmar Ribeiro
INDIVIDUAL
Lilian Prcola
GETNET
Luciano Domingues
TV GLOBO
Vincuis Brasileiro
BATORI
CEMIG
CORREIOS
Otvio Quadros
DGITRO
Andreia S. G. Da Silva
NO TEM VALOR NORMATIVO
1/110
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
IPEA-SEG
IPEA-SEG
Vera P. Harger
MICROSOFT
Fernando Gebara
PROXIS
Olympio Neto
RIOSOFT
RSA
Anchises De Paula
SABESP
Claudio Barbosa
SABESP
Marcelo Rezende
SEC4YOU
Luciano M. Kadoya
TIVIT
2/110
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
Prefcio Nacional
A Associao Brasileira de Normas Tcnicas (ABNT) o Foro Nacional de Normalizao. As
Normas Brasileiras, cujo contedo de responsabilidade dos Comits Brasileiros (ABNT/CB),
dos Organismos de Normalizao Setorial (ABNT/ONS) e das Comisses de Estudo Especiais
(ABNT/CEE), so elaboradas por Comisses de Estudo (CE), formadas por representantes dos
setores envolvidos, delas fazendo parte: produtores, consumidores e neutros (universidades,
laboratrios e outros).
Os documentos Tcnicos ABNT so elaborados conforme as regras da Diretiva ABNT, Parte 2.
O Escopo desta Norma Brasileira em ingls o seguinte:
Scope
This Standard gives guidelines for organizational information security standards and information security
management practices including the selection, implementation and management of controls taking into
consideration the organizations information security risk environment(s).
This International Standard is designed to be used by organizations that intend to:
a) select controls within the process of implementing an Information Security Management System
based on ABNT NBR ISO/IEC 27001;
b) implement commonly accepted information security controls;
c) develop their own information security management guidelines.
3/110
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
0 Introduo
0.1 Contexto e histrico
Esta Norma projetada para as organizaes usarem como uma referncia na seleo de controles
dentro do processo de implementao de um sistema de gesto da segurana da informao (SGSI),
baseado na ABNT NBR ISO/IEC 27001 ou como um documento de orientao para as organizaes
implementarem controles de segurana da informao comumente aceitos.
Esta Norma tambm usada no desenvolvimento de organizaes e indstrias especificas de
gerenciamento de segurana da informao, levando em considerao os seus ambientes de risco de
segurana da informao especficos.
Organizaes de todos os tipos e tamanhos (incluindo o setor privado e pblico, organizaes
comerciais e sem fins lucrativos), coletam, processam, armazenam e transmitem informaes em
diferentes formatos, incluindo o eletrnico, fsico e verbal (por exemplo, conversaes e apresentaes).
O valor da informao vai alm das palavras escritas, nmeros e imagens: conhecimento, conceitos,
ideias e marcas so exemplos de formas intangveis da informao. Em um mundo interconectado, a
informao e os processos relacionados, sistemas, redes e pessoas envolvidas nas suas operaes,
so informaes que, como outros ativos importantes, tm valor para o negcio da organizao e,
consequentemente, requer proteo contra vrios riscos.
Ativos so objeto de ameaas, tanto acidentais como deliberadas, enquanto que os processos,
sistemas, redes e pessoas tm vulnerabilidades inerentes. Mudanas nos processos e sistemas do
negcio ou outras mudanas externas (tais como novas leis e regulamentaes), podem criar novos
riscos de segurana da informao. Desta forma, em funo das vrias maneiras nas quais as ameaas
podem se aproveitarem das vulnerabilidades para causar dano organizao, os riscos de segurana
da informao esto sempre presentes. Uma segurana da informao eficaz reduz estes riscos,
protegendo a organizao das ameaas e vulnerabilidades e, assim, reduzindo o impacto aos seus
ativos.
A segurana da informao alcanada pela implementao de um conjunto adequado de controles,
incluindo polticas, processos, procedimentos, estrutura organizacional e funes de software e
hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados
criticamente e melhorados, quando necessrio, para assegurar que os objetivos do negcio e a
segurana da informao da organizao so atendidos.
Um sistema de gesto da segurana da informao (SGSI), a exemplo do especificado na
ABNT NBR ISO/IEC 27001, considera uma viso holstica e coordenada dos riscos de segurana da
informao da organizao, para implementar um conjunto de controles de segurana da informao
detalhado, com base na estrutura global de um sistema de gesto coerente.
Muitos sistemas de informao no tm sido projetados para serem seguros, na tica da
ABNT NBR ISO/IEC 27001 e desta Norma. A segurana que pode ser alcanada atravs de meios
tcnicos limitada e est apoiada por procedimentos e gerenciamentos apropriados. A identificao de
quais controles devem ser implementados requer planejamento e ateno cuidadosa em nvel de
detalhes. Um sistema de gesto da segurana da informao bem sucedido requer apoio de todos os
funcionrios da organizao. Isto pode tambm exigir a participao de acionistas, fornecedores ou
outras partes externas. Orientaes de especialistas externos podem tambm ser necessrias.
NO TEM VALOR NORMATIVO
4/110
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
De um modo geral, uma segurana da informao eficaz tambm garante direo e outras partes
interessadas que os ativos da organizao esto razoavelmente seguros e protegidos contra danos,
agindo como um facilitador dos negcios.
0.2
5/110
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
1 Escopo
Esta Norma fornece diretrizes para prticas de gesto de segurana da informao e normas de
segurana da informao para as organizaes, incluindo a seleo, implementao e o gerenciamento
de controles, levando em considerao os ambientes de risco da segurana da informao da
organizao.
Esta norma projetada para ser usada por organizaes que pretendam:
a) selecionar controles dentro do processo de implementao de um sistema de gesto da segurana
da informao baseado na ABNT NBR ISO/IEC 27001;
b) implementar controles de segurana da informao comumente aceitos;
c) desenvolver seus prprios princpios de gesto da segurana da informao.
NO TEM VALOR NORMATIVO
6/110
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
2 Referncias normativas
O documento referenciado a seguir indispensvel aplicao desta norma. Para referncias datadas,
aplicam-se somente as edies citadas. Para referncias no datadas, aplicam-se as edies mais
recentes do referido documento (incluindo emendas).
ISO/IEC 27000, Information technology Security techniques Information security management
systems - Overview and vocabulary
3 Termos e definies
Para os efeitos deste documento, aplicam-se os termos e definies da ISO IEC 27000:
4.1 Sees
Cada seo definindo os controles de segurana da informao contm um ou mais objetivos de
controle.
A ordem em que se encontram as sees no implica nem significa o seu grau de importncia.
Dependendo das circunstncias, os controles de segurana da informao de uma de quaisquer das
sees podem ser importantes; assim, convm que cada organizao implemente esta Norma
identificando quais controles so aplicveis, quo importantes eles so e qual a aplicao para os
processos individuais do negcio. A relao dos controles, portanto, no est em ordem de prioridade.
7/110
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
Informaes adicionais
Apresenta mais dados que podem ser considerados, como por exemplo, questes legais e referncias
normativas. Se no existem informaes adicionais, esta parte no mostrada no controle.
Controle
Convm que um conjunto de polticas de segurana da informao seja definido, aprovado pela direo,
publicado e comunicado para todos os funcionrios e partes externas relevantes.
Diretrizes para implementao
Convm que no mais alto nvel a organizao defina uma poltica de segurana da informao, que seja
aprovada pela direo e estabelea a abordagem da organizao para gerenciar os objetivos de
segurana da informao.
Convm que as polticas de segurana da informao contemplem requisitos oriundos da:
a) estratgia do negcio;
b) de regulamentaes, legislao e contratos;
c) do ambiente de ameaa da segurana da informao, atual e futuro.
Convm que a poltica de segurana da informao contenha declaraes relativas a:
a) definio da segurana da informao, objetivos e princpios para orientar todas as atividades
relativas segurana da informao;
b) atribuio de responsabilidades, gerais e especficas, para o gerenciamento da segurana da
informao para os papis definidos;
c) processos para o tratamento dos desvios e excees.
No nvel mais baixo, convm que a poltica de segurana da informao seja apoiada por polticas de
tpicos especficos, que exigem a implementao de controles de segurana e que sejam estruturadas
para considerar as necessidades de certos grupos de interesse dentro da organizao ou para cobrir
tpicos especficos.
So exemplos de polticas com tpicos especficos:
a) controle de acesso (ver 9);
8/110
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
2)
3)
4)
5)
j)
Convm que estas polticas sejam comunicadas aos funcionrios e partes externas relevantes de forma
que sejam entendidas, acessveis e relevantes aos usurios pertinentes, por exemplo, no contexto de
um programa de conscientizao, educao e treinamento em segurana da informao.
Informaes adicionais
A necessidade de polticas internas de segurana da informao varia entre organizaes. Polticas
internas so especialmente teis em organizaes maiores e mais complexas onde aqueles que
definem e aprovam os nveis esperados de controle so segregados daqueles que implementam os
controles, ou em situaes onde uma poltica se aplica a muitas pessoas ou funes diferentes na
organizao. Polticas de segurana da informao podem ser emitidas em um nico documento,
"poltica de segurana da informao" ou como um conjunto de documentos individuais, relacionados.
Se qualquer uma das polticas de segurana da informao distribuda fora da organizao, convm
que cuidados sejam tomados para no divulgar informaes confidenciais.
Algumas organizaes usam outros termos para estes documentos da poltica, como "Normas",
"Diretrizes" ou "Regras".
9/110
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
5.1.2
Controle
Convm que as polticas para a segurana da informao sejam analisadas criticamente a intervalos
planejados ou quando mudanas significativas ocorrerem, para assegurar a sua contnua pertinncia,
adequao e eficcia.
Diretrizes para implementao
Convm que cada poltica de segurana da informao tenha um gestor que tenha aprovado a
responsabilidade pelo desenvolvimento, anlise crtica e avaliao das polticas de segurana da
informao. Convm que a anlise crtica inclua a avaliao de oportunidades para melhoria da poltica
de segurana da informao da organizao e tenha um enfoque para gerenciar a segurana da
informao em resposta s mudanas ao ambiente organizacional, s circunstncias do negcio, s
condies legais, ou ao ambiente de tecnologia.
Convm que a anlise crtica das polticas de segurana da informao leve em considerao os
resultados da anlise crtica pela direo.
Convm que seja obtida a aprovao da direo para a poltica revisada.
Controle
Convm que todas as responsabilidades pela segurana da informao sejam definidas e atribudas.
Diretrizes para implementao
Convm que a atribuio das responsabilidades pela segurana da informao seja feita em
conformidade com as polticas de segurana da informao (ver 5.1.1). Convm que as
responsabilidades pela proteo de cada ativo e pelo cumprimento de processos de segurana da
informao especficos sejam claramente definidas. Convm que as responsabilidades pelas atividades
do gerenciamento dos riscos de segurana da informao e, em particular, pela aceitao dos riscos
residuais sejam definidas. Convm que as responsabilidades
sejam complementadas, onde
necessrio, com orientaes mais detalhadas para locais especficos e recursos de processamento da
informao. Convm que as responsabilidades locais para a proteo dos ativos e para realizar
processos de segurana da informao especficos, sejam definidas.
Convm que pessoas com responsabilidades definidas pela segurana da informao delegem as
tarefas de segurana da informao para outros usurios. Todavia, eles continuam responsveis para
verificar se as tarefas delegadas esto sendo executadas corretamente.
10/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
Convm que as reas pelas quais as pessoas sejam responsveis, estejam claramente definidas; em
particular recomenda-se que os seguintes itens sejam cumpridos:
a) Convm que os ativos e os processos de segurana da informao sejam identificados e
claramente definidos;
b) O gestor responsvel por cada ativo ou processo de segurana da informao tenha atribuies
definidas e os detalhes dessa responsabilidade sejam documentados (ver 8.1.2);
c) Os nveis de autorizao sejam claramente definidos e documentados;
d) As pessoas indicadas sejam competentes e capazes de cumprir com as responsabilidades pela
segurana da informao e a elas seja dada a oportunidade de manter-se atualizada com os
desenvolvimentos;
e) A coordenao e a viso global dos aspectos de segurana da informao na cadeia de suprimento
sejam identificadas e documentadas.
Informaes adicionais
Muitas organizaes atribuem a um gestor de segurana da informao a responsabilidade global pelo
desenvolvimento e implementao da segurana da informao, e para apoiar a identificao de
controles.
Entretanto, a responsabilidade por pesquisar e implementar os controles frequentemente permanecer
com os gestores individuais. Uma poltica comum a nomeao de um proprietrio para cada ativo que,
ento, se torna responsvel por sua proteo no dia-a-dia.
6.1.2
Segregao de funes
Controle
Convm que funes conflitantes e reas de responsabilidade sejam segregadas para reduzir as
oportunidades de modificao no autorizada ou no intencional, ou uso indevido dos ativos da
organizao.
Diretrizes para implementao
Convm que sejam tomados certos cuidados para impedir que uma nica pessoa possa acessar,
modificar ou usar ativos sem a devida autorizao ou deteco. Recomenda-se que o incio de um
evento seja separado de sua autorizao. A possibilidade de existncia de conluios seja considerada no
projeto dos controles.
Pequenas organizaes podem encontrar dificuldades em aplicar a segregao de funo, mas o
princpio deve ser aplicvel, to logo seja possvel e praticvel. Apesar da dificuldade em segregar,
convm considerar outros controles, como, monitorao de atividades, trilhas de auditoria e
gerenciamento da superviso.
Informaes adicionais
11/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
Segregao de funes um mtodo para reduzir o risco de mau uso, acidental ou deliberado, dos
ativos de uma organizao.
6.1.3
Controle
Convm que contatos apropriados com autoridades relevantes sejam mantidos.
Diretrizes para implementao
Convm que a organizao tenha procedimentos implementados que especifiquem quando e quais
autoridades (por exemplo, obrigaes legais, corpo de bombeiros, autoridades fiscalizadoras, entidades
regulatrias) sero contactadas e como os incidentes de segurana da informao identificados sero
reportados em tempo hbil (por exemplo,no caso de suspeita de que a lei foi violada).
Informaes adicionais
Organizaes sob ataque da internet podem vir a necessitar que autoridades tomem providncias
contra a origem dos ataques.
Manter tais contatos pode ser um requisito para apoiar a gesto de incidentes de segurana da
informao (ver 16) ou do processo de planejamento da contingncia e da continuidade de negcio (ver
clusula 17).Contatos com rgos regulatrios tambm so teis para antecipar-se e preparar-se para
futuras alteraes em leis ou regulamentos, que tero que ser implementados pela organizao.
Contatos com outras autoridades incluem servios de infraestrutura, servios de emergncia,
fornecedores de energia, sade e segurana, por exemplo, corpo de bombeiros (juntamente com
continuidade de negcios), fornecedores de telecomunicaes (juntamente com rotas de linha e
disponibilidade) e fornecedores de gua (juntamente com instalao de refrigerao para os
equipamentos).
6.1.4
Controle
Convm que contatos apropriados com grupos especiais, associaes profissionais ou outros fruns
especializados em segurana da informao sejam mantidos.
Diretrizes para implementao
Convm que a associao a grupos especiais ou fruns sejam considerados como forma de:
a) ampliar o conhecimento sobre as melhores prticas e manter-se atualizado com as informaes
relevantes sobre segurana da informao;
b) assegurar que o entendimento do ambiente de segurana da informao est atual e completo;
c) receber previamente advertncias de alertas, aconselhamentos e correes relativos a ataques e
vulnerabilidades;
d) conseguir acesso consultoria especializada em segurana da informao;
NO TEM VALOR NORMATIVO
12/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
prover relacionamentos adequados quando tratar com incidentes de segurana da informao (ver
16).
Informaes adicionais
Acordos de compartilhamento de informaes podem ser estabelecidos para melhorar a cooperao e
coordenao de assuntos de segurana da informao. Convm que tais acordos identifiquem
requisitos para a proteo de informao confidencial.
6.1.5
Controle
Convm que a segurana da informao seja considerada no gerenciamento de projetos,
independentemente do tipo do projeto.
Diretrizes para implementao
Convm que a segurana da informao seja integrada nos mtodos de gerenciamento de projeto da
organizao para assegurar que os riscos de segurana da informao esto identificados e
considerados como parte de um projeto. Isto se aplica de um modo geral, para qualquer projeto
independentemente do seu propsito, por exemplo, se um projeto para um processo crtico do
negcio, um processo de TI, de gerenciamento de recursos ou outro processo de apoio.
Controle
Convm que uma poltica e medidas que apoiam a segurana da informao seja adotada para
gerenciar os riscos decorrentes do uso de dispositivos mveis.
13/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
controle de acesso;
g) tcnicas criptogrficas;
h) proteo contra cdigos maliciosos;
i)
j)
backups;
14/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
Onde a poltica de dispositivos mveis permita o uso de dispositivos pessoais, convm que esta poltica
e os controles de segurana relacionados, tambm considerem:
a) separao do uso do dispositivo para negcio e para fins pessoais, incluindo os softwares para
apoiar esta separao e proteger os dados do negcio em um dispositivo privado;
b) prover acesso s informaes do negcio somente depois que os usurios assinarem o acordo de
conhecimento das suas responsabilidades (quanto a proteo fsica, atualizao do software, entre
outros), renunciando direitos autorais dos dados do negcio, que permita a excluso remota dos
dados pela organizao no caso de furto, roubo ou perda do dispositivo mvel ou ainda, quando
no mais houver autorizao para o uso dos servios. Esta poltica precisa levar em considerao
a legislao sobre privacidade.
Informaes adicionais
Conexes de dispositivos mveis sem fio so similares a outros tipos de conexes de rede, mas
possuem diferenas importantes as quais recomenda-se considerar na identificao dos controles. As
diferenas tpicas so:
a) alguns protocolos de segurana sem fio so imaturos e possuem fraquezas conhecidas;
b) informaes armazenadas em dispositivos mveis podem no ser passveis de cpia de segurana
por conta de limitaes da largura de banda da rede ou porque dispositivos mveis podem no
estar conectados no momento em que a cpia de segurana for agendada.
Dispositivos mveis geralmente compartilham funes comuns, por exemplo: rede, acesso internet, email e manuseio de arquivos, com uso de dispositivos fixos. Controles de segurana da informao para
os dispositivos mveis geralmente consistem naqueles adotados para o uso de dispositivos fixos e
aqueles para enderear ameaas levantadas pelo seu uso fora das instalaes da organizao.
6.2.2
Trabalho remoto
Controle
Convm que uma poltica e medidas que apoiam a segurana da informao sejam implementadas
para proteger as informaes acessadas, processadas ou armazenadas em locais de trabalho remoto
Diretrizes para implementao
Convm que a organizao que permita a atividade de trabalho remoto publique uma poltica que defina
as condies e restries para o uso do trabalho remoto. Quando considerados aplicveis e permitidos
por lei, convm que os seguintes pontos sejam considerados:
a) a segurana fsica existente no local do trabalho remoto, levando-se em considerao a segurana
fsica do prdio e o ambiente local;
b) o ambiente fsico proposto para o trabalho remoto;
c) os requisitos de segurana nas comunicaes, levando em considerao a necessidade do acesso
remoto aos sistemas internos da organizao, a sensibilidade da informao que ser acessada e
trafegada na linha de comunicao e a sensibilidade do sistema interno;
NO TEM VALOR NORMATIVO
15/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
d) a proviso de acesso virtual s estaes de trabalho dos usurios, para prevenir o processamento
e o armazenamento da informao em um equipamento de propriedade particular;
e) a ameaa de acesso no autorizado informao ou aos recursos de processamento da
informao por outras pessoas que utilizam o local, por exemplo familiares e amigos;
f)
o uso de redes domsticas e requisitos ou restries na configurao de servios de rede sem fio;
j)
g) a proviso de seguro;
h) os procedimentos para cpias de segurana e continuidade do negcio;
i)
j)
Informaes adicionais
16/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
Trabalho remoto refere-se a todas as formas de trabalho fora do escritrio, incluindo ambientes de
trabalho no tradicionais, como aqueles referidos como: ambientes de telecommuting, local de
trabalho flexvel, trabalho remoto e trabalho virtual.
Seleo
Controle
Convm que verificaes do histrico sejam realizadas para todos os candidatos a emprego, de acordo
com a tica, regulamentaes e leis relevantes, e seja proporcional aos requisitos do negcio, aos
riscos percebidos e classificao das informaes a serem acessadas.
Diretrizes para implementao
Convm que as verificaes levem em considerao toda a legislao pertinente relativa privacidade,
proteo da informao de identificao pessoal e do emprego e, onde permitido, incluam os seguintes
itens:
a) disponibilidade de referncias de carter satisfatrias, por exemplo uma profissional e uma pessoal;
b) uma verificao (da exatido e completeza) das informaes do curriculum vitae do candidato;
c) confirmao das qualificaes acadmicas e profissionais;
d) verificao independente da identidade (passaporte ou documento similar);
e) verificaes mais detalhadas, tais como verificaes financeiras (de crdito) ou verificaes de
registros criminais.
Convm que quando um individuo seja contratado para desempenhar o papel de segurana da
informao, a organizao certifique-se de que o candidato:
a) tem a competncia necessria para executar as atividades de segurana da informao;
b) suficientemente confivel para desempenhar a sua tarefa, especialmente se a atividade crtica
para a organizao.
Onde um trabalho envolver pessoas, tanto por contratao como por promoo, que tenham acesso
aos recursos de processamento da informao, em particular aquelas que tratam de informaes
sensveis, como informaes financeiras ou informaes altamente confidenciais, convm que a
organizao faa verificaes mais detalhadas.
17/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
Convm que procedimentos definam critrios e limitaes para as verificaes de controle, por
exemplo, quem est qualificado para selecionar as pessoas, e como, quando e por que as verificaes
de controle so realizadas.
Convm que um processo de seleo tambm seja feito para fornecedores e partes externas. Nestes
casos, convm que o acordo entre a organizao e o prestador de servios especifique as
responsabilidades por conduzir e realizar a seleo, bem como os procedimentos de notificao que
precisam ser seguidos no caso em que a seleo no tenha sido concluda ou se os resultados gerarem
dvidas ou preocupaes.
Convm que as informaes sobre todos os candidatos que esto sendo considerados para certas
posies dentro da organizao, sejam levantadas e tratadas de acordo com a legislao apropriada
existente na jurisdio pertinente. Dependendo da legislao aplicvel, convm que os candidatos
sejam previamente informados sobre as atividades de seleo.
7.1.2
Controle
Convm que as obrigaes contratuais com funcionrios e partes externas, declarem as suas
responsabilidades e a da organizao para a segurana da informao.
Diretrizes para implementao
Convm que as obrigaes contratuais para funcionrios e partes externas, reflitam as polticas para
segurana da informao da organizao, esclarecendo e declarando:
a) que todos os funcionrios, fornecedores e partes externas que tenham acesso a informaes
sensveis assinem um termo de confidencialidade ou de no divulgao, antes de lhes ser dado o
acesso aos recursos de processamento da informao (ver 13.2.4);
b) as responsabilidades legais e direitos dos funcionrios e partes externas, e quaisquer outros
usurios, por exemplo, com relao s leis de direitos autorais e legislao de proteo de dados
(ver 18.1.4);
c) as responsabilidades pela classificao da informao e pelo gerenciamento dos ativos da
organizao, associados com a informao, com os recursos de processamento da informao e
com os servios de informao conduzidos pelos funcionrios, fornecedores ou partes externas
(ver 8);
d) as responsabilidades dos funcionrios ou partes externas, pelo tratamento da informao recebida
de outras companhias ou partes interessadas;
e) aes a serem tomadas no caso de o funcionrio ou partes externas, desrespeitar os requisitos de
segurana da informao da organizao (ver 7.2.3).
Convm que os papis e responsabilidades pela segurana da informao sejam comunicados para o
candidato durante o processo de pr-contratao.
Convm que a organizao assegure que os funcionrios ou partes externas concordem com os
termos e condies relativas segurana da informao, adequados natureza e abrangncia do
NO TEM VALOR NORMATIVO
18/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
acesso que eles tero aos ativos da organizao, associados com os sistemas e servios de
informao.
Onde apropriado, convm que as responsabilidades contidas nos termos e condies de contratao
continuem por um perodo de tempo definido, aps o trmino da contratao (ver 7.3).
Informaes adicionais
Um cdigo de conduta pode ser usado para estabelecer as responsabilidades de segurana da
informao do funcionrio ou parte externa quanto confidencialidade, proteo de dados, tica, uso
apropriado dos equipamentos e recursos da organizao, assim como as prticas respeitosas
esperadas pela organizao. Partes externas com as quais um fornecedor associado podem ser
solicitadas a entrar nos acordos contratuais em nome do indivduo contratado.
Responsabilidades da direo
Controle
Convm que a Direo solicite a todos os funcionrios e partes externas que pratiquem a segurana da
informao de acordo com o estabelecido nas polticas e procedimentos da organizao.
Diretrizes para implementao
Convm que as responsabilidades da direo assegurem que os funcionrios e partes externas:
a) esto adequadamente instrudos sobre as suas responsabilidades e papis pela segurana da
informao, antes de obter acesso s informaes sensveis ou aos sistemas de informao;
b) recebam diretrizes que definam quais as expectativas sobre a segurana da informao de suas
atividades dentro da organizao;
c) esto motivados para cumprir com as polticas de segurana da informao da organizao;
d) atinjam um nvel de conscientizao sobre segurana da informao que seja relevante para os
seus papis e responsabilidades dentro da organizao (ver 7.2.2);
e) cumpram com os termos e condies de trabalho, que incluam a poltica de segurana da
informao da organizao e mtodos apropriados de trabalho;
f)
g) tenham disponveis um canal de notificao, de forma annima, para reportar violaes nas
polticas e procedimentos de segurana da informao.
recomendado que a direo demonstre seu apoio s polticas, procedimentos e controles, e aja como
tal, de forma exemplar.
NO TEM VALOR NORMATIVO
19/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
Informaes adicionais
Se os funcionrios e fornecedores no forem conscientizados das suas responsabilidades em
segurana da informao, eles podem causar danos considerveis para uma organizao.
Pessoal motivado pode ser mais confivel e causar menos incidentes de segurana da informao.
Uma m gesto pode fazer com que o pessoal se sinta desvalorizado, resultando em impacto negativo
na segurana da informao da organizao. Por exemplo, uma m gesto pode levar a segurana da
informao a ser negligenciada ou a um potencial mau uso dos ativos da organizao.
7.2.2
Controle
Convm que todos os funcionrios da organizao e, onde pertinente, partes externas devem recebam
treinamento, educao e conscientizao apropriados, e as atualizaes regulares das polticas e
procedimentos organizacionais relevantes para as suas funes.
Diretrizes para implementao
Convm que um programa de conscientizao em segurana da informao tenha por objetivo tornar os
funcionrios e, onde relevante, partes externas, conscientes das suas responsabilidades para a
segurana da informao e os meios pelos quais essas responsabilidades so realizadas.
Convm que um programa de conscientizao em segurana da informao seja estabelecido alinhado
com as polticas e procedimentos relevantes de segurana da informao da organizao, levando em
considerao as informaes da organizao a serem protegidas e os controles a serem
implementados para proteger a informao.
Convm que o programa de conscientizao considere um nmero de atividades de conscientizao,
tais como, campanhas (por exemplo, dia da segurana da informao) e a publicao de boletins ou
folhetos.
Convm que o programa de conscientizao seja planejado levando em considerao os papis a
serem desempenhados na organizao pelos funcionrios e, onde relevante, as expectativas da
organizao quanto conscientizao das partes externas. Convm que as atividades do programa de
conscientizao sejam planejadas ao longo do tempo, preferencialmente de forma regular, de tal modo
que as atividades sejam repetidas e contemplem novos funcionrios e partes externas.
Convm que o programa de conscientizao tambm seja atualizado regularmente, de modo que ele
permanea alinhado com as polticas e os procedimentos da organizao, e seja construdos com base
nas lies aprendidas dos incidentes de segurana da informao.
Convm que o treinamento em conscientizao seja realizado conforme requerido pelo programa de
conscientizao em segurana da informao da organizao. Convm que o treinamento em
consientizao use diferentes formas de apresentao, tais como, treinamento presencial, treinamento
a distncia, treinamento baseado em web, autodidata e outros.
Convm que o treinamento e educao em segurana da informao tambm contemple aspectos
gerais, como:
NO TEM VALOR NORMATIVO
20/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
Processo disciplinar
Controle
Convm que exista um processo disciplinar formal, implantado e comunicado, para tomar aes contra
funcionrios que tenham cometido uma violao de segurana da informao.
NO TEM VALOR NORMATIVO
21/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
Controle
Convm que as responsabilidades e obrigaes pela segurana da informao que permaneam
vlidas aps um encerramento ou mudana da contratao, sejam definidas, comunicadas aos
funcionrios ou partes externas e sejam cumpridas.
Diretrizes para implementao
Convm que a comunicao de encerramento de atividades inclua requisitos de segurana da
informao e responsabilidades legais existentes e, onde apropriado, responsabilidades contidas em
quaisquer acordos de confidencialidade e os termos e condies de trabalho que continuem por um
perodo definido aps o fim do trabalho do funcionrio ou partes externas.
Convm que as responsabilidades e obrigaes contidas nos contratos dos funcionrios ou partes
externas, permaneam vlidas aps o encerramento das atividades.
Convm que as mudanas de responsabilidades ou do trabalho sejam gerenciadas quando do
encerramento da responsabilidade ou do trabalho atual, combinado com o incio de novas
responsabilidades ou trabalho.
Informaes adicionais
22/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
A funo de Recursos Humanos geralmente responsvel por todo processo de demisso e trabalha
junto com o gestor da pessoa que est saindo da empresa para gerir os aspectos relevantes dos
procedimentos de segurana da informao. No caso de um prestador de servio fornecido por uma
parte externa, este processo feito pela parte externa de acordo com o contrato entre a organizao e
a parte externa.
Pode ser necessrio informar funcionrios, clientes ou fornecedores de alteraes de pessoal e acordos
operacionais.
8 Gesto de ativos
8.1 Responsabilidade pelos ativos
Objetivo: Identificar os ativos da organizao e definir as responsabilidades apropriadas para a proteo
dos ativos.
8.1.1
Controle
Convm que os ativos associados com informao e com os recursos de processamento da informao
sejam identificados e um inventrio destes ativos seja estruturado e mantido.
Diretrizes para implementao
Convm que a organizao identifique os ativos relevantes no ciclo de vida da informao e documente
a sua importncia. Convm que o ciclo de vida da informao inclua a criao, o processamento, o
armazenamento, a transmisso, a excluso e a sua destruio. Convm que a documentao seja
mantida em um inventrio existente ou exclusivo, conforme apropriado.
Convm que o inventrio de ativos seja completo, atualizado, consistente e alinhado com outros
inventrios.
Convm que para cada um dos ativos identificados, seja indicado um responsvel (ver 8.1.2) e a
classificao do ativo a ser identificado (ver 8.2).
Informaes adicionais
Os inventrios de ativos ajudam a assegurar que a proteo efetiva ocorra, e podem igualmente ser
exigidos para outras finalidades, tais como a sade e segurana, razes de seguro ou financeiras
(gesto de ativos).
A ABNT NBR ISO/IEC 27005 fornece exemplos de ativos que podem necessitar serem considerados
pela organizao na identificao dos ativos. O processo de compilao de um inventrio de ativos
um pr-requisito importante da gesto de riscos.
8.1.2
Controle
Convm que os ativos mantidos no inventrio tenham um proprietrio.
NO TEM VALOR NORMATIVO
23/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
Controle
Convm que regras para o uso aceitvel das informaes, dos ativos associados com a informao e
dos recursos de processamento da informao, sejam identificadas, documentadas e implementadas.
Diretrizes para implementao
Convm que funcionrios e partes externas que usam ou tm acesso aos ativos da organizao
estejam conscientes dos requisitos de segurana da informao dos ativos da organizao, associados
com a informao e os recursos e instalaes de processamento da informao. Convm que eles
sejam responsveis pelo seu uso de qualquer recurso de processamento da informao e tal uso seja
realizado sob sua responsabilidade
24/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
8.1.4
Devoluo de ativos
Controle
Convm que todos os funcionrios e partes externas devolvam todos os ativos da organizao que
estejam em sua posse, aps o encerramento de suas atividades, do contrato ou acordo.
Diretrizes para implementao
Convm que o processo de encerramento de atividades seja formalizado para contemplar a devoluo
de todos os equipamentos fsico e eletronico, de propriedade da organizao.
Convm que no caso em que um funcionrio ou partes externas, compre o equipamento da organizao
ou use o seu prprio equipamento pessoal, procedimentos sejam adotados para assegurar que toda a
informao relevante seja transferida para a organizao e que seja apagada de forma segura do
equipamento (Ver 11.2.7).
Convm que nos casos em que o funcionrio ou partes externas, tenham conhecimento de que seu
trabalho importante para as atividades que so executadas, esta informao seja documentada e
transferida para a organizao.
Convm que durante o perodo de encerramento, a organizao monitore possveis cpias de
informaes relevantes (por exemplo, propriedade intelectual) pelos funcionrios ou partes externas que
esto saindo da organizao.
Classificao da informao
Controle
Convm que a informao seja classificada em termos do seu valor, requisitos legais, sensibilidade e
criticidade para evitar modificao ou divulgao no autorizada.
Diretrizes para implementao
Convm que a classificao e os controles de proteo, associados para a informao, leve em
considerao as necessidades do negcio para compartilhar ou restrigir a informao bem como os
requisitos legais. Convm que outros ativos alm dos ativos de informao tambm sejam classificados
de acordo com a classificao da informao armazenada, processada, manuseada ou protegida pelo
ativo.
Convm que os proprietrios de ativos de informao sejam responsveis por sua classificao.
Convm que o esquema de classificao inclua convenes para classificao e critrios para anlise
crtica da classificao ao longo do tempo. Convm que o nvel de proteo seja avaliado por meio da
anlise da confidencialidade, integridade e disponibilidade e quaisquer requisitos considerados para a
informao.
NO TEM VALOR NORMATIVO
25/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
Convm que o esquema esteja alinhado com a poltica de controle de acesso (Ver 9.1.1).
Convm que a cada nvel seja dado um nome que faa sentido no contexto do esquema de
classificao.
Convm que o esquema seja consistente em toda a organizao de forma que cada pessoa possa
classificar a informao e os ativos relacionados da mesma forma, e tenham um entendimento comum
dos requisitos de proteo e apliquem a proteo apropriada.
Convm que a classificao seja includa nos processos da organizao e seja consistente e coerente
em toda a organizao. Convm que os resultados da classificao indiquem o valor dos ativos em
funo da sua sensibilidade e criticidade para a organizao, em termos da confidencialidade,
integridade e disponibilidade. Convm que os resultados da classificao sejam atualizados de acordo
com as mudanas do seu valor, sensibilidade e criticidade ao longo do seu ciclo de vida.
Informaes adicionais
A Classificao fornece s pessoas que lidam com informaes uma indicao concisa de como tratar e
proteger a informao. A criao de grupos de informao com necessidades de proteo semelhantes
e especificao dos procedimentos de segurana da informao que se aplicam a todas as informaes
de cada grupo, um facilitador. Esta abordagem reduz a necessidade de avaliao de risco e a
customizao personalizada de controles caso a caso.
A informao pode deixar de ser sensvel ou crtica aps certo perodo de tempo, por exemplo, quando
a informao se torna pblica. Convm que estes aspectos sejam levados em considerao, pois uma
classificao superestimada pode levar implementao de controles desnecessrios, resultando em
despesas adicionais ou, pelo contrrio, classificaes subestimada podem pr em perigo o alcance dos
objetivos de negcio.
Um exemplo de um esquema de classificao de confidencialidade da informao poderia ser baseado
em quatro nveis, a seguir:
a) quando sua divulgao no causa nenhum dano;
b) quando a divulgao causa constrangimento menor ou inconvenincia operacional menor;
c) quando a divulgao tem um pequeno impacto significativo nas operaes ou objetivos tticos;
d) quando a divulgao tem um srio impacto sobre os objetivos estratgicos de longo prazo, ou
coloca a sobrevivncia da organizao em risco.
8.2.2
Controle
Convm que um conjunto apropriado de procedimentos para rotular e tratar a informao seja
desenvolvido e implementado de acordo com o esquema de classificao da informao adotado pela
organizao.
26/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
Controle
Convm que procedimentos para o tratamento dos ativos sejam desenvolvidos e implementados de
acordo com o esquema de classificao da informao adotada pela organizao.
Diretrizes para implementao
Convm que procedimentos sejam estabelecidos para o tratamento, processamento, armazenamento e
a transmisso da informao, de acordo com a sua classificao (Ver 8.2.1).
Convm que os seguintes itens sejam considerados:
a) Restries de acesso para apoiar os requisitos de proteo para cada nvel de classificao;
b) Manuteno de um registro formal dos destinatrios de ativos autorizados;
c) Armazenamento dos ativos de TI de acordo com as especificaes dos fabricantes;
d) Identificao eficaz de todas as cpias das mdias, para chamar a ateno dos destinatrios
autorizados.
O esquema de classificao usado na organizao pode no ser equivalente aos esquemas usados por
outras organizaes, mesmo se os nomes dos nveis so similares;
27/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
Adicionalmente, uma informao que transita entre organizaes pode variar a sua classificao
dependendo do contexto da informao em cada organizao, mesmo se os esquemas de classifcao
so idnticos.
Convm que acordos com outras organizaes que incluam o compartilhamento de informao,
contemplem procedimento para identificar a classificao daquela informao e interpretar os rtulos de
classificao de outras organizaes.
Controle
Convm que existam procedimentos implementados para o gerenciamento de mdias removveis, de
acordo com o esquema de classificao adotado pela organizao.
Diretrizes para implementao
Convm que as seguintes diretrizes para o gerenciamento de mdias removveis sejam consideradas:
a) quando no for mais necessrio, o contedo de qualquer meio magntico reutilizvel seja
destrudo, caso venha a ser retirado da organizao;
b) quando necessrio e prtico, seja requerida a autorizao para remoo de qualquer mdia da
organizao e mantido o registro dessa remoo como trilha de auditoria;
c) toda mdia seja guardada de forma segura em um ambiente protegido, de acordo com as
especificaes do fabricante;
d) convm que sejam usadas, no caso em que a integridade ou confidencialidade dos dados sejam
consideraes importantes, tcnicas de criptografia, para proteger os dados na mdia removvel;
e) para mitigar o risco de degradar a mdia enquanto os dados armazenados ainda so necessrios,
convm que os dados sejam transferidos para uma mdia nova antes de se tornar ilegveis;
f)
cpias mltiplas de dados valiosos sejam armazenadas em mdias separadas para reduzir riscos
futuros de perda ou dano, que ocorram por coincidncia nessas mdias;
onde houver a necessidade para o uso de mdia removvel, a transferncia da informao contida
na mdia seja monitorada.
28/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
8.3.2
Descarte de mdias
Controle
Convm que as mdias sejam descartadas de forma segura, quando no forem mais necessrias, por
meio de procedimentos formais.
Diretrizes para implementao
Convm que procedimentos formais para o descarte seguro das mdias sejam definidos para minimizar
o risco de vazamento de informaes sensveis para pessoas no autorizadas. Os procedimentos para
o descarte seguro das mdias, contendo informaes confidenciais, sejam proporcionais sensibilidade
das informaes. Recomenda-se que os itens abaixo sejam considerados:
a) convm que mdias contendo informaes confidenciais sejam guardadas e destrudas de forma
segura e protegida, como por exemplo, atravs de incinerao ou triturao, ou da remoo dos
dados para uso por outra aplicao dentro da organizao;
b) procedimentos sejam implementados para identificar os itens que requerem descarte seguro;
c) pode ser mais fcil implementar a coleta e descarte seguro de todas as mdias a serem inutilizadas
do que tentar separar apenas aquelas contendo informaes sensveis;
d) muitas organizaes oferecem servios de coleta e descarte de mdia; convm que sejam tomados
cuidados na seleo de um fornecedor com experincia e controles adequados;
e) convm que o descarte de itens sensveis sejam registrados, sempre que possvel, para se manter
uma trilha de auditoria.
Quando da acumulao de mdias para descarte, seja levada em considerao o efeito proveniente do
acmulo, o que pode fazer com que uma grande quantidade de informao no sensvel, torna-se
sensvel.
Informaes adicionais
Equipamentos danificados contendo dados sensveis podem exigir uma avaliao de riscos para
determinar se recomendado que os itens sejam destrudos fisicamente ao invs de serem enviados
para conserto ou descartados (ver 11.2.7).
8.3.3
Controle
Convm que mdias contendo informaes sejam protegidas contra acesso no autorizado, uso
imprprio ou corrupo, durante o transporte..
Diretrizes para implementao
Convm que as seguintes recomendaes sejam consideradas, para proteger as mdias que contm
informaes, quando transportadas:
a) o meio de transporte ou o servio de mensageiros sejam confiveis;
NO TEM VALOR NORMATIVO
29/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
9 Controle de acesso
9.1 Requisitos do negcio para controle de acesso
Objetivo: Limitar o acesso informao e aos recursos de processamento da informao.
30/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
j)
arquivo dos registros de todos os eventos significantes, relativos ao uso e gerenciamento das
identidades do usurio e da informao de autenticao secreta;
31/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
b) necessidade de uso: voc somente tem permisso para acessar os recursos de processamento da
informao (equipamentos de TI, aplicaes, procedimentos, salas), que voc necessita para
desempenhar a sua tarefa/funo/papel.
Convm que a poltica do uso de servio de rede seja consistente com a poltica de controle de acesso
da organizao (ver 9.1.1).
Informaes adicionais
Conexes sem autorizao e inseguras nos servios de rede podem afetar toda organizao. Este
controle particularmente importante para conexes de redes sensveis ou aplicaes de negcios
crticos ou para usurios em locais de alto risco, por exemplo, reas pblicas ou externas que esto fora
da administrao e controle da segurana da organizao.
32/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
9.2.1
Controle
Convm que um processo formal de registro e cancelamento de usurio seja implementado para
permitir atribuio de direitos de acesso.
Diretrizes para implementao
Convm que o processo para gerenciar o identificador de usurio (ID de usurio) inclua:
a) o uso de um ID de usurio nico, para permitir relacionar os usurios com suas responsabilidades
e aes; o uso compartilhado de ID de usurio somente ser permitido, onde eles so necessrios
por razes operacionais ou de negcios e convm que seja aprovado e documentado;
b) a imediata remoo ou desabilitao do ID de usurio que tenha deixado a organizao (ver 9.2.5);
c) a remoo e identificao, de forma peridica, ou a desabilitao de usurios redundantes com ID;
d) a garantia de que o ID de usurio redundante no emitido para outros usurios;
Informaes adicionais
Fornecer ou revogar o acesso informao ou aos recursos de processamento da informao,
normalmente um procedimento de duas etapas:
a) atribuir e permitir, ou revogar, um ID de um usurio;
b) fornecer, ou revogar, os direitos de acesso para este usurio de ID (ver 9.2.2)
9.2.2
Controle
Convm que um processo formal de provisionamento de acesso do usurio seja implementado para
conceder ou revogar os direitos de acesso do usurio para todos os tipos de usurios em todos os tipos
de sistemas e servios.
Diretrizes para implementao
Convm que o processo de provisionamento para atribuir ou revogar os direitos de acesso concedidos
ao ID de usurio inclua:
a) obteno de autorizao do proprietrio do sistema ou do servio da informao para o uso do
servio ou sistema da informao (ver 8.1.2); aprovaes separadas para os direitos de acesso da
direo tambm pode ser recomendada;
b) verificao de que o nvel de acesso concedido apropriado s polticas de acesso (ver 9.1) e
consistente com outros requisitos, tais como, segregao de funes(ver 6.1.2);
c) garantia de que os direitos de acesso no esto ativados (por exemplo, por provedores de
servios) antes que o procedimento de autorizao esteja completo;
NO TEM VALOR NORMATIVO
33/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
direitos de acesso analisados criticamente a intervalos regulares com os proprietrios dos servios
ou sistemas de informao (ver 9.2.4)
Informaes adicionais
Convm que considerao seja dada para estabelecer as regras de acesso do usurio baseadas nos
requisitos do negcio que resumam um nmero de direitos de acesso em um perfil tpico de acesso do
usurio. Solicitaes de acesso e anlises crticas (ver 9.2.4), so facilmente gerenciadas no nvel de
tais papis do que no nvel de direitos particulares.
Convm que considerao seja dada para incluir clusulas nos contratos de pessoas e nos contratos de
servios, que especifiquem sanes no caso de tentativa de acesso no autorizado pelas pessoas ou
pelas partes externas (ver 7.1.2, 7.2.3,13.2.4 e 15.1.2)
9.2.3
Controle
Convm que a concesso e uso de direitos de acesso privilegiado sejam restritos e controlados.
Diretrizes para implementao
Convm que a alocao de direitos de acesso privilegiado seja controlada por meio de um processo de
autorizao formal, de acordo com a poltica de controle de acesso pertinente (ver 9.1.1).
Convm que os seguintes passos sejam considerados:
a) os direitos de acesso privilegiados, associados a cada sistema ou processo, por exemplo, sistema
operacional, sistemas de gerenciamento de banco de dados e cada aplicao, e de categorias de
usurios para os quais estes necessitam ser concedido, sejam identificados;
b) os direitos de acesso privilegiado sejam concedidos a usurios conforme a necessidade de uso e
com base em eventos alinhados com a poltica de controle de acesso (ver 9.1.1), baseado nos
requisitos mnimos para sua funo;
c) um processo de autorizao e um registro de todos os privilgios concedidos sejam mantidos.
direitos de acesso privilegiados no sejam concedidos at que todo o processo de autorizao
esteja finalizado;
d) requisitos para expirar os direitos de acesso privilegiado sejam definidos;
e) os direitos de acesso privilegiados sejam atribudos a um ID de usurio diferente daqueles usados
nas atividades normais do negcio. As atividades normais do negcio no sejam desempenhadas
usando contas privilegiadas;
34/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
f)
as competncias dos usurios com direitos de acesso privilegiado sejam analisadas criticamente a
intervalos regulares, para verificar se eles esto alinhados com as suas obrigaes;
Controle
Convm que a concesso de informao de autenticao secreta seja controlada por meio de um
processo de gerenciamento formal.
Diretrizes para implementao
Convm que o processo inclua os seguintes requisitos:
a) solicitar aos usurios a assinatura de uma declarao, para manter a confidencialidade da
informao de autenticao secreta e manter as senhas de grupos de trabalho, exclusivamente
com os membros do grupo; esta declarao assinada pode ser includa nos termos e condies da
contratao (ver 7.1.2);
b) garantir, onde os usurios necessitam manter suas prprias informaes de autenticao secreta,
que lhes sejam fornecidas uma informao de autenticao secreta temporria, as quais o usurio
obrigado a alter-la no primeiro uso;
c) procedimentos sejam estabelecidos para verificar a identidade de um usurio antes de fornecer
uma informao de autenticao secreta, temporria, de substituio ou nova;
d) fornecer informao de autenticao secreta temporrias aos usurios de maneira segura; o uso de
mensagens de correio eletrnico de terceiros ou desprotegido (texto claro) seja evitado;
e) Informao de autenticao secreta temporria seja nica para uma pessoa e que no seja fcil de
ser advinhada;
f)
35/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
Informaes adicionais
Senhas so normalmente usadas como um tipo de informao de autenticao secreta, e uma forma
comum de verificar a identidade de um usurio. Outros tipos de informao de autenticao secreta so
chaves criptogrficas e outros dados armazenados em tokens (por exemplo, smart cards), que
produzem cdigos de autenticao.
9.2.5
Controle
Convm que os proprietrios de ativos analisem criticamente os direitos de acesso dos usurios, a
intervalos regulares.
Diretrizes para implementao
Convm que a anlise crtica dos direitos de acesso considerem as seguintes orientaes:
a) os direitos de acesso de usurios sejam revisados em intervalos regulares e depois de quaisquer
mudanas, como promoo, remanejamento ou encerramento do contrato (ver 7);
b) os direitos de acesso de usurios sejam analisados criticamente e realocados quando movidos de
um tipo de atividade para outra na mesma organizao;
c) autorizaes para direitos de acesso privilegiado especial sejam revisadas em intervalos mais
frequentes.
d) as alocaes de privilgios sejam verificadas em intervalo de tempo regular para garantir que
privilgios no autorizados no foram obtidos;
e) as modificaes para contas privilegadas sejam registradas para anlise crtica peridica.
Informaes adicionais
Este controle compensa possveis vulnerabilidades na execuo dos controles 9.2.1, 9.2.2 e 9.2.6.
9.2.6
Controle
Convm que os direitos de acesso de todos os funcionrios e partes externas s informaes e aos
recursos de processamento da informao sejam retirados logo aps o encerramento de suas
atividades, contratos ou acordos, ou ajustados aps a mudana destas atividades.
Diretrizes para implementao
Convm que, aps o encerramento das atividades, os direitos de acesso da pessoa aos ativos
associados com os sistemas de informao e servios sejam removidos ou suspensos. Isto ir
determinar se necessrio retirar os direitos de acesso.
36/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
As mudanas de uma atividade podem refletir na retirada de todos os direitos de acesso que no foram
aprovados para o novo trabalho. Convm que os direitos de acesso que sejam retirados ou adaptados,
incluam o acesso lgico e fsico.
A remoo ou o ajuste pode ser feito por meio da remoo, revogao ou substituio de chaves,
cartes de identificao, recursos de processamento da informao ou subscries.
Convm que qualquer documentao que identifique os direitos de acesso de funcionrios e partes
externas reflita a remoo ou ajuste dos direitos de acesso.
Caso o funcionrio, fornecedor ou terceiro que esteja saindo tenha conhecimento de senhas de contas
que permanecem ativas, convm que estas sejam alteradas aps um encerramento das atividades,
mudana do trabalho, contrato ou acordo.
Convm que os direitos de acesso aos ativos de informao e aos recursos de processamento da
informao sejam reduzidos ou retirados antes que a atividade se encerre ou altere, dependendo da
avaliao de fatores de risco, como:
a) se o encerramento da atividade ou a mudana iniciada pelo funcionrio, parte externa ou pelo
gestor e a razo do encerramento da atividade;
b) as responsabilidades atuais do funcionrio, parte externa ou qualquer outro usurio;
c) o valor dos ativos atualmente acessveis.
Informaes adicionais
Em certas circunstncias os direitos de acesso podem ser alocados com base no que est sendo
disponibilizado para mais pessoas do que as que esto saindo (funcionrio, fornecedor ou terceiro),
como, por exemplo, grupos de ID. Em tais casos, convm que as pessoas que esto saindo da
organizao sejam retiradas de quaisquer listas de grupos de acesso e que sejam tomadas
providncias para avisar aos outros funcionrios, fornecedores e terceiros envolvidos para no mais
compartilhar esta informao com a pessoa que est saindo.
Nos casos em que o encerramento da atividade seja da iniciativa do gestor, os funcionrios,
fornecedores ou terceiros descontentes podem deliberadamente corromper a informao ou sabotar os
recursos de processamento da informao. No caso de pessoas demitidas ou exoneradas, elas podem
ser tentadas a coletar informaes para uso futuro.
Controle
Convm que os usurios sejam orientados a seguir as prticas da organizao quanto ao uso da
informao de autenticao secreta.
37/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
fceis de lembrar;
2)
no baseadas em nada que algum facilmente possa adivinhar ou obter usando informaes
relativas pessoa, por exemplo, nomes, nmeros de telefone e datas de aniversrio;
3)
4)
5)
caso a senha seja temporria, ela deve ser mudada no primeiro acesso (log-on)
g) no utilizar a mesma informao de autenticao secreta para uso com finalidades profissionais e
pessoais.
Informaes adicionais
O fornecimento de um Simples Sign On (SSO) ou outras ferramentas de gerenciamento de informao
de autenticao secreta reduz o nmero de informao de autenticao secreta que os usurios so
solicitados a proteger, aumentando dessa forma a eficcia desse controle. Entretanto, estas
ferramentas podem tambm aumentar o impacto da revelao da informao de autenticao secreta.
38/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
9.4.1
Controle
Convm que o acesso informao e s funes dos sistemas de aplicaes seja restrito, de acordo
com a poltica de controle de acesso.
Diretrizes para implementao
Convm que restries para o acesso sejam baseadas nos requisitos das aplicaes individuais do
negcio e de acordo com a poltica de controle de acesso definida.
Convm que os seguintes controles sejam considerados de forma a apoiar os requisitos de restrio de
acesso:
a) fornecer menus para controlar o acesso s funes dos sistemas de aplicao;
b) controlar quais dados podem ser acessados por um usurio em particular;
c) controlar os direitos de acesso dos usurios, por exemplo, ler, escrever, excluir e executar;
d) controlar os direitos de acesso de outras aplicaes;
e) limitar a informao contidas nas sadas;
f)
prover controles de acesso lgico ou fisico para o isolamento de aplicaes sensveis, dados de
aplicao ou sistemas.
9.4.2
Controle
Convm que, onde aplicvel pela poltica de controle de acesso, o acesso aos sistemas e aplicaes
sejam controlados por um procedimento seguro de entrada no sistema (log-on).
Diretrizes para implementao
Convm que uma tcnica de autenticao adequada seja escolhida para validar a identificao alegada
de um usurio.
Onde requerida a verificao de identidade e uma forte autenticao, mtodos alternativos de
autenticao para as senhas, tais como, meios criptogrficos, smart cards, tokens ou biometria, sejam
usados.
Convm que o procedimento para entrada no sistema operacional seja configurado para minimizar a
oportunidade de acessos no autorizados. Convm que o procedimento de entrada (log-on) revele o
mnimo de informaes sobre o sistema ou aplicao, de forma a evitar o fornecimento de informaes
desnecessrias a um usurio no autorizado.
Convm que um bom procedimento de entrada no sistema (log-on):
39/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
g) comunique um evento de segurana caso uma tentativa potencial ou uma violao bem sucedida
de entrada no sistema (log-on), seja detectada;
h) mostre as seguintes informaes quando o procedimento de entrada no sistema (log-on) finalizar
com sucesso:
1)
2)
detalhes de qualquer tentativa sem sucesso de entrada no sistema (log-on) desde o ltimo
acesso com sucesso;
i)
j)
k) encerre sesses inativas aps um perodo definido de inatividade, especialmente em locais de alto
risco, tais como, locais pblicos, ou reas externas ao gerenciamento de segurana da organizao
ou quando do uso de dispositivos mveis;
l)
restrinja os tempos de conexo para fornecer segurana adicional nas aplicaes de alto risco e
reduzir a janela de oportunidade para acesso no autorizado.
Informaes adicionais
Senhas representam uma forma comum de prover identificao e autenticao baseado no segredo de
que somente o usurio quem conhece. Isto tambm pode ser obtido com protocolos de autenticao e
meios criptogrficos. Convm que a complexidade de autenticao do usurio seja apropriada para a
classificao da informao a ser acessada.
Se as senhas forem transmitidas em texto claro durante o procedimento de entrada no sistema (log-on)
pela rede, elas podem ser capturadas por um programa de sniffer de rede, instalado nela.
40/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
9.4.3
Controle
Convm que sistemas para gerenciamento de senhas sejam interativos e assegurem senhas de
qualidade.
Diretrizes para implementao
Convm que o sistema de gerenciamento de senha:
a) obrigue o uso individual de ID de usurio e senha para manter responsabilidades;
b) permita que os usurios selecionem e modifiquem suas prprias senhas, incluindo um
procedimento de confirmao para evitar erros;
c) obrigue a escolha de senhas de qualidade;
d) obrigue os usurios a mudarem as suas senhas temporrias no primeiro acesso ao sistema;
e) force as mudanas de senha a intervalos regulares, conforme necessrio;
f)
Informaes adicionais
Algumas aplicaes requerem que senhas de usurio sejam atribudas por uma autoridade
independente. Em alguns casos, as alneas b), d) e e) das diretrizes acima no se aplicam. Na maioria
dos casos, as senhas so selecionadas e mantidas pelos usurios.
9.4.4
Controle
Convm que o uso de programas utilitrios que podem ser capazes de sobrepor os controles dos
sistemas e aplicaes sejam restrito e estritamente controlado.
Diretrizes para implementao
Convm que as seguintes diretrizes para o uso de utilitrios de programa que possam ser capazes de
sobrepor os controles dos sistemas e as aplicaes, sejam consideradas:
a) uso de procedimentos de identificao, autenticao e autorizao para programas utilitrios de
sistema;
b) segregao de programas utilitrios dos softwares de aplicao;
NO TEM VALOR NORMATIVO
41/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
no deixar programas utilitrios disponveis para usurios que tm acesso s aplicaes nos
sistemas onde a segregao de funes requerida.
Informaes adicionais
A maioria das instalaes de computadores tem um ou mais programas utilitrios que podem ser
capazes de sobrepor os controles dos sistemas e aplicaes.
9.4.5
Controle
Convm que o acesso ao cdigo-fonte de programa seja restrito.
Diretrizes para implementao
Convm que o acesso ao cdigo-fonte de programas e de itens associados (como desenhos,
especificaes, planos de verificao e de validao) sejam estritamente controlados, com a finalidade
de prevenir a introduo de funcionalidade no autorizada e para evitar mudanas no intencionais,
bem como para manter a confidencialidade de propriedade intelectual valiosa.
Para os cdigos-fonte de programas, este controle pode ser obtido com a guarda centralizada do
cdigo, de preferncia utilizando bibliotecas de programa-fonte.
conveniente que as seguintes orientaes sejam consideradas para o controle de acesso s
bibliotecas de programa-fonte, com a finalidade de reduzir o risco de corrupo de programas de
computador:
a) quando possvel, convm que seja evitado manter as bibliotecas de programa-fonte no mesmo
ambiente dos sistemas operacionais.
b) convm que seja implementado o controle do cdigo-fonte de programa e das bibliotecas de
programa-fonte, conforme procedimentos estabelecidos;
c) convm que o pessoal de suporte no tenha acesso irrestrito s bibliotecas de programa-fonte;
42/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
10 Criptografia
10.1 Controles criptogrficos
Objetivo: Assegurar o uso efetivo e adequado da criptografia para proteger a confidencialidade,
autenticidade e/ou a integridade da informao.
10.1.1 Poltica para o uso de controles criptogrficos
Controle
Convm que seja desenvolvida e implementada uma poltica para o uso de controles criptogrficos para
a proteo da informao.
Diretrizes para implementao
Quando do desenvolvimento de uma poltica para criptografia, convm que sejam considerados:
a) a abordagem gerencial quanto ao uso de controles criptogrficos em toda a organizao, incluindo
os princpios gerais sob os quais as informaes de negcio sejam protegidas;
b) a identificao do nvel requerido de proteo com base em uma avaliao de risco, levando em
considerao o tipo, a fora e a qualidade do algoritmo de criptografia requerido;
c) o uso de criptografia para a proteo de informaes sensveis transportadas em dispositivos
mveis, mdias removiveis ou atravs de linhas de comunicao;
d) a abordagem do gerenciamento de chaves, incluindo mtodos para lidar com a proteo das
chaves criptogrficas e a recuperao de informaes cifradas, no caso de chaves perdidas,
comprometidas ou danificadas;
e) papis e responsabilidades, por exemplo, de quem for responsvel:
1)
2)
43/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
f)
os padres a serem adotados para a efetiva implementao ao longo de toda a organizao (qual
soluo usada para quais processos de negcios);
44/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
Algoritmos criptogrficos, tamanho de chaves e prticas usuais sejam selecionados de acordo com as
melhores prticas.
Todas as chaves criptogrficas sejam protegidas contra modificao e perda. Adicionalmente, chaves
secretas e privadas necessitam de proteo contra o uso ou a divulgao no autorizada.
recomendvel que os equipamentos utilizados para gerar, armazenar e guardar as chaves sejam
fisicamente protegidos.
Convm que um sistema de gerenciamento de chaves seja baseado em um conjunto estabelecido de
normas, procedimentos e mtodos seguros para:
a) gerar chaves para diferentes sistemas criptogrficos e diferentes aplicaes;
b) gerar e obter certificados de chaves pblicas;
c) distribuir chaves para os usurios devidos, incluindo a forma como as chaves
quando recebidas;
so ativadas,
d) armazenar chaves, incluindo a forma como os usurios autorizados obtm acesso a elas;
e) mudar ou atualizar chaves, incluindo regras quando as chaves so mudadas e como isto deve ser
conduzido;
f)
g) revogar chaves, incluindo regras de como elas so retiradas ou desativadas, por exemplo quando
chaves tiverem sido comprometidas ou quando um usurio deixa a organizao ( recomendvel,
tambm neste caso, que as chaves sejam guardadas);
h) recuperar chaves perdidas ou corrompidas;
i)
j)
destruir chaves;
45/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
aspectos como responsabilidades, confiabilidade dos servios e tempos de resposta para a execuo
dos servios contratados (ver 15.2) .
Informaes adicionais
A gesto de chaves criptogrficas essencial para o uso eficaz de tcnicas criptogrficas. A
ISO/IEC 11770 fornece informao adicional sobre a gesto de chaves.
Tcnicas criptogrficas podem ser tambm utilizadas para proteger chaves criptogrficas. Pode ser
necessrio o estabelecimento de procedimentos para o manuseio de solicitaes legais para acesso a
chaves criptogrficas, por exemplo, a disponibilizao de informao cifrada pode ser requerida em sua
forma decifrada para uso como evidncia em um processo judicial.
46/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
e) convm que todas as portas corta-fogo do permetro de segurana sejam providas de alarme,
monitoradas e testadas juntamente com as paredes, para estabelecer o nvel de resistncia
exigido, de acordo com normas regionais, nacionais e internacionais aceitveis; elas devem
funcionar de acordo com os cdigos locais de preveno de incndios e preveno de falhas;
f)
convm que sistemas adequados de deteco de intrusos, de acordo com normas regionais,
nacionais e internacionais sejam instalados e testados em intervalos regulares, e cubram todas as
portas externas e janelas acessveis; as reas no ocupadas sejam protegidas por alarmes o
tempo todo; tambm seja dada proteo a outras reas, por exemplo, salas de computadores ou
salas de comunicaes;
47/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
apropriados, por exemplo, mecanismos de autenticao de dois fatores, como, cartes de controle
de acesso e PIN (personal identification number);
c) convm que uma trilha de auditoria eletrnica ou um livro de registro fsico de todos os acessos
seja mantida e monitorada de forma segura;
d) convm que seja exigido que todos os funcionrios, fornecedores e partes externas, e todos os
visitantes, tenham alguma forma visvel de identificao, e que eles avisem imediatamente ao
pessoal de segurana, caso encontrem visitantes no acompanhados ou qualquer pessoa que no
esteja usando uma identificao visvel;
e) s partes externas que realizam servios de suporte, convm que seja concedido acesso restrito
s reas seguras ou as instalaes de processamento da informao sensveis, somente quando
necessrio; este acesso seja autorizado e monitorado;
f)
convm que os direitos de acesso a reas seguras sejam revistos e atualizados em intervalos
regulares, e revogados quando necessrio (ver 9.2.4 e 9.2.5).
48/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
Convm que orientaes de especialistas sejam obtidas sobre como evitar danos oriundos de fogo,
inundao, terremoto, exploso, manifestaes civis e outras formas de desastre natural ou provocado
pela natureza.
11.1.5 Trabalhando em reas seguras
Controle
Convm que seja projetado e aplicado procedimentos para o trabalho em reas seguras.
49/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
convm que as remessas entregues sejam segregadas fisicamente das remessas que saem,
sempre que possvel;
g) convm que os materiais entregues sejam inspecionados para evidenciar alterao indevida. Caso
alguma alterao indevida seja descoberta, ela deve ser imediatamente notificado ao pessoal da
segurana.
11.2 Equipamentos
Objetivo: Impedir perdas, danos, furto ou roubo, ou comprometimento de ativos e interrupo das
operaes da organizao.
11.2.1 Escolha do local e proteo do equipamento
Controle
Convm que os equipamentos sejam colocados no local ou protegidos para reduzir os riscos de
ameaas e perigos do meio-ambiente, bem como as oportunidades de acesso no autorizado.
Diretrizes para implementao
Convm que sejam levadas em considerao as seguintes diretrizes para proteger os equipamentos:
a) convm que os equipamentos sejam colocados no local, a fim de minimizar o acesso
desnecessrio s reas de trabalho;
b) convm que as instalaes de processamento da informao que manuseiam dados sensveis
sejam posicionadas cuidadosamente para reduzir o risco de que as informaes sejam vistas por
pessoal no autorizado durante a sua utilizao;
c) convm que as instalaes de armazenagem sejam protegidas de forma segura para evitar acesso
no autorizado;
d) convm que os itens que exigem proteo especial sejam protegidos para reduzir o nvel geral de
proteo necessrio;
e) convm que sejam adotados controles para minimizar o risco de ameaas fsicas potenciais e
ambientais, tais como furto, incndio, explosivos, fumaa, gua (ou falha do suprimento de gua),
poeira, vibrao, efeitos qumicos, interferncia com o suprimento de energia eltrica, interferncia
com as comunicaes, radiao eletromagntica e vandalismo;
f)
convm que sejam estabelecidas diretrizes quanto a comer, beber e fumar nas proximidades das
instalaes de processamento da informao;
50/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
g) convm que as condies ambientais, como temperatura e umidade, sejam monitoradas para a
deteco de condies que possam afetar negativamente as instalaes de processamento da
informao;
h) convm que todos os edifcios sejam dotados de proteo contra raios e todas as linhas de entrada
de fora e de comunicaes tenham filtros de proteo contra raios;
i)
j)
convm que os equipamentos que processam informaes sensveis sejam protegidos, a fim de
minimizar o risco de vazamento de informaes em decorrncia de emanaes eletromagnticas.
11.2.2 Utilidades
Controle
Convm que os equipamentos sejam protegidos contra falta de energia eltrica e outras interrupes
causadas por falhas das utilidades.
Diretrizes para implementao
Convm que todas as utilidades (como suprimento de energia eltrica, telecomunicaes, suprimento
de gua, gs, esgoto, calefao/ventilao e ar-condicionado) :
a) estejam em conformidade com as especificaes do fabricante do equipamento e com os requisitos
legais da localidade;
b) sejam avaliadas regularmente quanto sua capacidade para atender ao crescimento do negcio e
s interaes com outras utilidades;
c) sejam inspecionadas e testadas regularmente para assegurar o seu adequado funcionamento;
d) seja alarmada para detectar mau funcionamento, quando necessrio;
e) tenham mltiplas alimentaes com rotas fsicas diferentes;
Convm que seja providenciada iluminao e comunicao de emergncia. As chaves de emergncia
(switches) e vlvulas para o corte de energia, gua, gs ou outras utilidades, sejam localizadas prximo
das sadas de emergncia ou salas de equipamentos.
Informaes adicionais
Redundncia adicional para conectividade em rede pode ser obtida por meio de mltiplas rotas de mais
de um provedor de utilidades.
11.2.3 Segurana do cabeamento
Controle
Convm que o cabeamento de energia e de telecomunicaes que transporta dado ou d suporte aos
servios de informaes seja protegido contra interceptao, interferncia ou danos.
NO TEM VALOR NORMATIVO
51/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
2)
3)
4)
52/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
f)
antes de colocar o equipamento em operao, aps a sua manuteno, convm que ele seja
inspecionado para garantir que o equipamento no foi alterado indevidamente e que no est em
mau funcionamento.
53/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
54/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
Informaes adicionais
No caso de dispositivos defeituosos que contenham informaes sensveis, pode ser necessria uma
avaliao de riscos para determinar se convm destruir fisicamente o dispositivo em vez de mand-lo
para o conserto ou descart-lo.
As informaes podem ser comprometidas por um descarte feito sem os devidos cuidados ou pela
reutilizao do equipamento.
Adicionalmente remoo segura das informaes contidas no disco, a encriptao completa do disco
reduz o risco de revelao de informao confidencial quando o equipamento descartado ou reparado
considerando que:
a) o processo de encriptao suficientemente robusto e cobre o disco por completo (incluindo slack
space, swap files, etc)
b) as chaves criptogrficas so de um tamanho considervel para resistir um ataque de fora bruta;
c) as chaves criptogrficas so guardadas de forma confidencial (por exemplo, nunca armazenada no
mesmo disco).
Para orientaes adicionais sobre criptografia ver seo 10.
Tcnicas para sobregravar de forma segura as mdias armazenadas, diferem em funo da tecnologia
usada para armazenar a mdia. Convm que ferramentas usadas para sobregravar sejam analisadas
criticamente para assegurar que elas so aplicveis tecnologia usada para o armazenamento da
mdia.
11.2.8 Equipamento de usurio sem monitorao
Controle
Convm que os usurios assegurem que os equipamentos no monitorados tenham proteo
adequada.
Diretrizes para implementao
Convm que todos os usurios estejam cientes dos requisitos de segurana da informao e
procedimentos para proteger equipamentos desacompanhados, assim como suas responsabilidades
por implementar estas protees.
Convm que os usurios sejam informados para:
a) encerrar as sesses ativas, a menos que elas possam ser protegidas por meio de um mecanismo
de bloqueio, por exemplo tela de proteo com senha;
b) efetuar a desconexo de servios de rede ou aplicaes, quando no for mais necessrio;
c) proteger os computadores ou dispositivos mveis contra uso no autorizado atravs de tecla de
bloqueio ou outro controle equivalente, por exemplo, senha de acesso, quando no estiver em uso.
55/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
56/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
contatos para suporte e escalao, incluindo contatos de suporte externos, para o caso de eventos
operacionais inesperados ou dificuldades tcnicas;
g) instrues quanto ao manuseio de mdias e sadas especiais, tais como o uso de formulrios
especiais ou o gerenciamento de dados confidenciais, incluindo procedimentos para o descarte
seguro de resultados provenientes de rotinas com falhas (ver 8.3 e11.2.7);
h) procedimento para o reincio e recuperao em caso de falha do sistema;
i)
j)
57/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
Convm que mudanas na organizao, nos processos do negcio, nos recursos de processamento da
informao e nos sistemas que afetam a segurana da informao, sejam controladas.
Diretrizes para implementao
Convm que os seguintes itens em particular, sejam considerados:
a) identificao e registro das mudanas significativas;
b) planejamento e testes das mudanas;
c) avaliao de impactos potenciais, incluindo impactos de segurana da informao, de tais
mudanas;
d) procedimento formal de aprovao das mudanas propostas;
e) verificao de que os requisitos de segurana da informao foram atendidos;
f)
58/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
59/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
convm que os usurios tenham diferentes perfis para sistemas em testes e em produo, e que os
menus mostrem mensagens apropriadas de identificao para reduzir o risco de erro;
g) convm que os dados sensveis no sejam copiados para os ambientes de testes, a menos que
controles equivalentes sejam fornecidos para o sistema de teste (ver 14.3).
Informaes adicionais
As atividades de desenvolvimento e teste podem causar srios problemas, como, por exemplo,
modificaes inesperadas em arquivos ou no ambiente dos sistemas, ou falhas de sistemas. Nesse
caso, necessria a manuteno de um ambiente conhecido e estvel, no qual possam ser executados
testes significativos e que seja capaz de prevenir o acesso indevido do pessoal de desenvolvimento ao
ambiente operacional.
Quando o pessoal de desenvolvimento e teste possui acesso ao sistema operacional e suas
informaes, estes podem introduzir cdigos no autorizados e no testados, ou mesmo alterar os
dados de produo. Em alguns sistemas essa capacidade pode ser mau utilizada para a execuo de
fraudes ou introduo de cdigos maliciosos ou no testados, que podem causar srios problemas
operacionais.
O pessoal de desenvolvimento e testes tambm representa uma ameaa confidencialidade das
informaes de produo. As atividades de desenvolvimento e teste podem causar modificaes no
intencionais no software ou nas informaes se eles compartilharem o mesmo ambiente computacional.
A separao dos ambientes de desenvolvimento, teste e produo , portanto, desejvel para reduzir o
risco de modificaes acidentais ou acessos no autorizados aos sistemas operacionais e aos dados do
negcio (ver 14.3 para a proteo de dados de teste).
60/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
conduzir anlises crticas regulares dos softwares e dados dos sistemas que suportam processos
crticos de negcio; convm que a presena de quaisquer arquivos no aprovados ou atualizao
no autorizada seja formalmente investigada;
varredura, antes do uso, da existncia de cdigos maliciosos nos arquivos recebidos por meio
de redes ou em qualquer mdia de armazenamento;
2)
3)
j)
61/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
Informaes adicionais
A utilizao de dois ou mais tipos de software de controle contra cdigos maliciosos de diferentes
fornecedores e tecnologias no ambiente de processamento da informao pode aumentar a eficcia na
proteo contra cdigos maliciosos.
Convm que seja tomado cuidado para proteo contra a introduo de cdigos maliciosos durante
manutenes e procedimentos de emergncia, os quais podem ultrapassar os controles comuns de
proteo contra cdigos maliciosos.
Sob certas condies, a proteo contra cdigos maliciosos pode causar perturbao nas operaes.
O uso isolado de softwares de reparao e deteco contra cdigos maliciosos no usualmente
adequado e geralmente necessita ser acompanhado de procedimentos operacionais que previnam a
introduo de cdigos maliciosos.
62/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
Convm que cpias de segurana de sistemas e servios especficos sejam testadas regularmente para
garantir que elas esto aderentes aos requisitos definidos nos planos de continuidade do negcio. Para
servios e sistemas crticos, convm que sejam criados mecanismos de gerao de cpias de
segurana que abranjam todos os sistemas de informao, aplicaes e dados necessrios para a
completa recuperao do sistema em um evento de desastre.
O perodo de reteno para informaes essenciais ao negcio e tambm qualquer requisito para que
cpias de arquivo sejam permanentemente retidas, conm que seja determinado.
63/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
c) datas, horrios e detalhes de eventos-chave, como, por exemplo, horrio de entrada (log-on) e
sada (log-off) no sistema;
d) identidade do dispositivo ou sua localizao quando possvel e o identificador do sistema;
e) registros das tentativas de acesso ao sistema, aceitas e rejeitadas;
f)
j)
64/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
65/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
conformidade com normas ou requisitos para monitoramento interno. Um tempo padro de referncia
para uso dentro da organizao, pode ser definido.
Convm que a abordagem da organizao para obter o tempo de referncia de uma fonte externa e,
como sincronizar, de forma confivel os relgios internos, seja documentada e implementada.
Informaes adicionais
O ajuste correto dos relgios dos computadores importante para garantir a exatido dos registros (log)
de auditoria, que podem ser requeridos para investigaes ou como evidncias em casos legais ou
disciplinares. Registros (log) de auditoria incorretos podem dificultar tais investigaes e causar danos
credibilidade dessas evidncias. Um relgio interno ligado ao relgio atmico nacional via transmisso
de rdio pode ser utilizado como relgio principal para os sistemas de registros (logging). O protocolo de
hora da rede pode ser utilizado para sincronizar todos os relgios dos servidores com o relgio principal.
convm que um registro de auditoria seja mantido para todas as atualizaes das bibliotecas dos
programas operacionais;
NO TEM VALOR NORMATIVO
66/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
g) convm que verses anteriores dos softwares aplicativos sejam mantidas como medida de
contingncia;
h) convm que verses antigas de software sejam arquivadas, junto com todas as informaes e
parmetros requeridos, procedimentos, detalhes de configuraes, e software de suporte durante
um prazo igual ao prazo de reteno dos dados;
recomendvel que software adquirido de fornecedores e utilizado em sistemas operacionais seja
mantido em um nvel apoiado pelo fornecedor. Ao transcorrer o tempo, fornecedores de software
cessam o apoio s verses antigas do software. recomendado que a organizao considere os riscos
associados dependncia de software sem suporte.
Convm que qualquer deciso de atualizao para uma nova verso considere os requisitos do negcio
para a mudana, e da segurana associada por exemplo,a introduo de uma nova funcionalidade de
segurana da informao ou a quantidade e a gravidade dos problemas de segurana da informao
associados a esta verso.
Convm que os pacotes de correes de software sejam aplicados quando puderem remover ou reduzir
as vulnerabilidades de segurana da informao (ver 12.6).
recomendado que acessos fsicos e lgicos sejam concedidos a fornecedores, somente quando
necessrio, com a finalidade de suporte e com aprovao gerencial. Convm que as atividades do
fornecedor sejam monitoradas (ver 15.2.1).
Softwares para computadores podem depender de outros softwares e mdulos fornecidos
externamente, os quais convm que sejam monitorados e controlados para evitar mudanas no
autorizadas, que podem introduzir fragilidades na segurana.
67/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
se uma correo disponibilizada, convm que sejam avaliados os riscos associados sua
instalao (convm que os riscos associados vulnerabilidade sejam comparados com os riscos
de instalao da correo);
g) convm que as emendas (patches) sejam testadas e avaliadas antes de serem instaladas para
assegurar a efetividade e que no tragam efeitos que no possam ser tolerados; quando no existir
a disponibilidade de uma emenda de correo, convm considerar o uso de outros controles, como:
1)
2)
3)
4)
j)
k) convm que um processo de gesto de vulnerabilidade tcnica eficaz esteja alinhado com as
atividades de gesto de incidentes, para comunicar dados sobre as vulnerabilidades, s funes de
resposta a incidentes e fornecer procedimentos tcnicos no caso em que ocorra um incidente.
NO TEM VALOR NORMATIVO
68/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
l)
convm que seja definido um procedimento para contemplar a situao onde uma vulnerabilidade
tenha sido identificada e no existam controles adequados. Nesta situao, convm que a
organizao avalie os riscos relativos vulnerabilidade conhecida e defina correes e aes
corretivas apropriadas.
Informaes adicionais
A gesto de vulnerabilidades tcnicas pode ser vista como uma subfuno da gesto de mudanas e,
como tal, pode aproveitar os procedimentos e processos da gesto de mudanas (ver 12.1.2 e 14.2.2).
Fornecedores esto frequentemente sob grande presso para liberar correes o mais breve possvel.
Portanto, existe a possibilidade de uma correo no resolver o problema adequadamente e causar
efeitos colaterais negativos. Tambm, em alguns casos, a desinstalao de uma correo pode no ser
facilmente obtida aps sua instalao.
Quando testes adequados de correo no forem possveis, por exemplo, devido a custos ou falta de
recursos, um atraso na aplicao da correo pode ser considerado para avaliar os riscos associados,
baseados nas experincias relatadas por outros usurios. O uso da ISO/IEC 27031 pode ser benfico.
12.6.2 Restries quanto instalao de software
Controle
Convm que sejam estabelecidas e implementadas regras definindo critrios para a instalao de
software pelos usurios.
Diretrizes para implementao
Convm que a organizao defina e crie uma poltica mandatria e restrita, sobre quais os tipos de
software os usurios podem instalar.
Convm que o princpio do privilgio mnimo seja aplicado. Se certos privilgios so concedidos, os
usurios podem ter a capacidade de instalar software.
Convm que a organizao identifique quais os tipos de software so permitidos instalar (por exemplo,
atualizao e segurana de patches ao software existente), e quais tipos de instalaes so proibidas
(por exemplo, software que usado somente para fins pessoais e software cuja possibilidade de ser
potencialmente malicioso, desconhecida ou suspeita).
Convm que estes privilgios sejam concedidos aos usurios pertinentes.
Informaes adicionais
A instalao de software no controlada em dispositivos computadorizados pode introduzir
vulnerabilidades e em seguida gerar o vazamento de informaes, perda de integridade ou outros
incidentes de Segurana da Informao alm da violao de direitos de propriedade intelectual.
69/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
convm que todo o acesso seja monitorado e registrado de forma a produzir uma trilha de
referncia.
70/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
71/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
Estes servios podem abranger desde o simples fornecimento de banda de rede no gerenciada at
complexas ofertas de solues de valor agregado.
Funcionalidades de segurana de servios de rede podem ser:
a) tecnologias aplicadas para segurana de servios de redes como autenticao, encriptao e
controles de conexes de rede;
b) parmetros tcnicos requeridos para uma conexo segura com os servios de rede de acordo com
as regras de conexo de redes e segurana;
c) procedimentos para o uso de servios de rede para restringir o acesso a servios de rede ou
aplicaes, onde for necessrio.
13.1.3 Segregao de redes
Controle
Convm que grupos de servios de informao, usurios e sistemas de informao sejam segregados
em redes.
Diretrizes para implementao
Um mtodo de controlar a segurana da informao em grandes redes dividir em diferentes domnios
de redes. Os domnios podem ser escolhidos baseado no nvel de confiana (por exemplo, domnio de
acesso pblico, domnio de estao de trabalho, domnio de servidor), em todas as reas da
organizao (por exemplo, RH, financeiro, marketing). A segregao pode ser feita, tanto usando
diferentes redes fsicas ou usando diferentes redes lgicas (por exemplo, VPN).
Convm que o permetro de cada domnio seja bem definido. O acesso entre os domnios de rede
permitido, porm recomendado que seja controlado no permetro por meio do uso de um gateway (por
exemplo, firewall, roteador de filtro). Convm que o critrio para segregao de redes em domnios e o
acesso permitido atravs dos gateways seja baseado em uma avaliao dos requisitos de segurana da
informao de cada domnio.
Convm que a avaliao seja feita de acordo com a poltica de controle de acesso (ver 9.1.1), os
requisitos de acesso, o valor e a classificao da informao processada, e que leve em conta o
impacto no desempenho e no custo da incorporao da tecnologia gateway, adequada.
Redes wireless requerem tratamento especial devido ao permetro de rede definido ser fraco. Convm
que, para ambientes sensveis, considerao seja dada para tratar todos os acessos wireless como
conexo externa (ver 9.4.2) e segregar esse acesso das redes internas, at que o acesso tenha
passado por um gateway, baseado na poltica de controle de redes (ver 13.1.1), antes de conceder o
acesso aos sistemas internos.
Autenticao, encriptao e as normas modernas de tecnologia de nveis de controle de acesso do
usurio a rede, baseadas nas redes wireless podem ser suficientes para controlar a conexo com a
rede interna da organizao, quando implementado adequadamente.
72/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
Informaes adicionais
Redes esto sendo progressivamente estendidas alm dos limites organizacionais tradicionais, tendo
em vista as parcerias de negcio que so formadas e que podem requerer a interconexo ou
compartilhamento de processamento de informao e recursos de rede. Tais extenses podem
aumentar o risco de acesso no autorizado aos sistemas de informao existentes que usam a rede, e
alguns dos quais podem requerer proteo de outros usurios de rede por causa da sensibilidade ou
criticidade.
73/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
j)
no deixar informaes crticas ou sensveis em secretrias eletrnicas uma vez que elas podem
ser acessadas por pessoas no autorizadas, armazenadas em sistemas comuns ou armazenadas
de forma incorreta, por engano;
2)
3)
envio de documentos e mensagens para nmero errado, seja por falha na discagem ou uso
de nmero armazenado errado.
Adicionalmente, convm que as pessoas sejam lembradas de que no devem manter conversas
confidenciais em locais pblicos, escritrios abertos, canais de comunicao inseguros e locais de
reunio.
Convm que os servios de transferncia de informaes estejam de acordo com os requisitos legais
pertinentes (ver 18.1).
Informaes adicionais
A transferncia de informaes pode ocorrer atravs do uso de vrios tipos diferentes de recursos de
comunicao, incluindo mensagens eletrnicas (e-mails), voz, fax e vdeo.
A transferncia de softwares pode ocorrer de diferentes formas, incluindo a baixa (download) da internet
e a aquisio junto a fornecedores que vendem produtos em srie.
Convm que sejam considerados os controles para os requisitos e as possveis implicaes nos
negcios, nos aspectos legais e na segurana, relacionadas com a troca eletrnica de dados, com o
comrcio eletrnico e com o correio eletrnico.
13.2.2 Acordos para transferncia de informaes
Controle
Convm que sejam estabelecidos acordos para transferncia segura de informaes do negcio entre a
organizao e partes externas.
Diretrizes para implementao
Convm que os acordos de transferncia de informaes incorporem as seguintes condies:
a) responsabilidades do gestor pelo controle e notificao de transmisses, expedies e recepes;
NO TEM VALOR NORMATIVO
74/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
quaisquer controles especiais que possam ser necessrios para proteo de itens sensveis, tais
como chaves criptogrficas (ver 10);
j)
75/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
nveis mais altos de autenticao para controlar o acesso a partir de redes pblicas.
Informaes adicionais
Existem muitos tipos de mensagem eletrnica, como, e-mails, Eletronic Data Interchange (EDI), e redes
sociais que cumprem um papel importante nas comunicaes do negcio.
13.2.4 Acordos de confidencialidade e no divulgao
Controle
Convm que os requisitos para confidencialidade ou acordos de no divulgao que reflitam as
necessidades da organizao para a proteo da informao sejam identificados, analisados
criticamente e documentados.
Diretrizes para implementao
Convm que os acordos de confidencialidade e de no divulgao considerem os requisitos para
proteger as informaes confidenciais, usando termos que so obrigados do ponto de vista legal.
Acordos de confidencialidade ou no divulgao so aplicaveis as partes externas ou aos funcionrios
da organizao.
Convm que os elementos sejam selecionados ou acrescentados considerando-se o tipo do acesso
permitido para a outra parte, ou para o tratamento da informao confidencial. Para identificar os
requisitos para os acordos de confidencialidade ou de no divulgao, convm que os seguintes
elementos sejam considerados:
a) uma definio da informao a ser protegida (por exemplo, informao confidencial);
b) o tempo de durao esperado de um acordo, incluindo situaes onde a confidencialidade tenha
que ser mantida indefinidamente;
c) aes requeridas quando um acordo est encerrado;
d) responsabilidades e aes dos signatrios para evitar a divulgao no autorizada da informao;
e) o proprietrio da informao, segredos comerciais e de propriedade intelectual, e como isto se
relaciona com a proteo da informao confidencial;
f)
76/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
j)
Baseado nos requisitos de segurana da informao da organizao, outros elementos podem ser
necessrios em um acordo de confidencialidade ou de no divulgao.
Convm que os acordos de confidencialidade e de no divulgao estejam em conformidade com
todas as leis e regulamentaes aplicveis na jurisdio para a qual eles se aplicam (ver 18.1).
Convm que os requisitos para os acordos de confidencialidade e de no divulgao, sejam analisados
criticamente de forma peridica e quando mudanas ocorrerem que influenciem estes requisitos.
Informaes adicionais
Acordos de confidencialidade e de no divulgao protegem as informaes da organizao e informam
aos signatrios das suas responsabilidades, para proteger, usar e divulgar a informao de maneira
responsvel e autorizada.
Pode haver uma necessidade de uma organizao usar diferentes formas de acordos de
confidencialidade ou de no divulgao, em diferentes circunstncias.
77/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
requisitos mandatrios de outros controles de segurana, por exemplo interfaces para registro e
monitoramento ou sistemas de deteco de vazamento de dados.
Convm que para aplicaes que fornecem servios sobre as redes pblicas ou que implementam
transaes sejam considerados os controles dedicados 14.1.2 e 14.1.3.
Se produtos so adquiridos, convm que um processo formal de aquisio e teste seja seguido.
Convm que os contratos com os fornecedores enderecem os requisitos de segurana identificados.
Onde a funcionalidade segurana em um produto proposto no atenda ao requisito especificado,
convm que o risco introduzido e os controles associados sejam reconsiderados antes da compra do
produto.
Convm que as orientaes para as configuraes de segurana do produto estejam disponveis e o
alinhamento com a o software final seja avaliado e implementado.
Convm que critrios para aceitao de produtos sejam definidos, por exemplo em termos da sua
funcionalidade, o qual dar garantia de que os requisitos de segurana identificados so atendidos.
Convm que os produtos sejam avaliados com base nesses critrios, antes da sua aquisio. Convm
que funcionalidades adicionais sejam analisadas criticamente para assegurar que ela no introduz
riscos adicionais inaceitveis.
Informaes adicionais
A ABNT NBR ISO IEC 27005 e a ABNT NBR ISO 31000 fornecem diretrizes sobre o uso de processos
de gesto de riscos, para identificar controles que atendam os requisitos de segurana da informao.
78/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
seleo das formas mais apropriadas de pagamento para proteo contra fraudes;
j)
79/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
Convm que os acordos de servios de aplicao entre parceiros sejam apoiados por um acordo formal
que comprometa ambas as partes com os termos de servio acordados, incluindo detalhes de
autorizao (ver item b) acima).
Convm que requisitos de resilincia contra ataques sejam considerados, os quais podem incluir
requisitos para a proteo dos servidores da aplicao envolvidos, ou garantir a disponibilidade da
interconexo de redes, necessrias para a entrega do servio.
Informaes adicionais
Aplicaes acessadas atravs de redes pblicas so suscetveis a uma variedade de ameaas de rede,
tais como: atividades fraudulentas, disputas contratuais ou divulgao de informao para o pblico. Por
estes motivos, uma avaliao de riscos detalhada e uma seleo de controles apropriada so
indispensveis. Os controles requeridos sempre incluem: mtodos de criptografia para autenticao e
segurana na transferncia dos dados.
Servios de aplicao podem fazer uso de mtodos de autenticao segura, por exemplo: usando
chave pblica criptografada e assinaturas digitais (veja 10), para reduzir os riscos. Alm disso,
confiana em terceiros pode ser utilizada, onde tais servios so necessrios.
14.1.3 Protegendo as transaes nos aplicativos de servios
Controle
Convm que informaes envolvidas em transaes nos aplicativos de servios sejam protegidas para
prevenir transmisses incompletas, erros de roteamento, alterao no autorizada da mensagem,
divulgao no autorizada, duplicao ou reapresentao da mensagem no autorizada.
Diretrizes para implementao
Convm que as consideraes de segurana da informao para transaes nos aplicativos de servios
incluam os seguintes itens:
a) o uso de assinaturas eletrnicas para cada uma das partes envolvidas na transao;
b) todos os aspectos da transao, ou seja, garantindo que:
1)
2)
3)
80/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
f)
onde uma autoridade confivel utilizada (como por exemplo, para propsitos de emisso e
manuteno de assinaturas e/ou certificados digitais) a segurana integrada ao longo de todo o
processo de gesto dos certificados/ assinaturas.
Informaes adicionais
A abrangncia dos controles adotados, precisa ser compatvel com o nvel de risco associado a cada
tipo de transao do servio da aplicao.
Transaes podem precisar de conformidade com requisitos legais e regulamentares na jurisdio nas
quais as transaes foram geradas, processadas, finalizadas ou armazenadas.
2)
81/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
Convm que as tcnicas de programao seguras sejam usadas tanto para novos desenvolvimentos
como para cenrios de reuso dos cdigos, onde as normas aplicadas ao desenvolvimento podem no
ser conhecidas ou no estarem consistentes com as melhores prticas atuais. Convm que Normas de
cdigos seguro sejam consideradas e, onde relevante, seja exigido o seu uso.
Convm que os desenvolvedores sejam treinados no uso das tcnicas de programao segura, e os
testes e as anlises crticas de cdigo verifiquem a necessidade de uso dessas tcnicas.
Quando o desenvolvimento terceirizado, convm que a organizao obtenha garantia de que a parte
externa est em conformidade com essas regras para o desenvolvimento seguro (ver 14.2.7).
Informaes adicionais
O desenvolvimento tambm pode ocorrer dentro das aplicaes, como as aplicaes para escritrio,
scripts, navegadores e banco de dados.
82/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
c) a anlise crtica dos procedimentos de controle e integridade para assegurar que as mudanas no
os comprometam;
d) a identificao de todo software, informao, entidades em bancos de dados e hardware que
precisam correes;
e) a identificao e a verificao do cdigo crtico de segurana para minimizar a probabilidade da
ocorrncia de fragilidades de segurana conhecidas;
f)
a obteno de aprovao formal para propostas detalhadas antes do incio dos trabalhos;
j)
k) a garantia de que toda a documentao operacional (ver 12.1.1), e procedimentos dos usurios
sejam alterados conforme necessrio para se manter adequado;
l)
Informaes adicionais
Mudanas em software podem impactar no ambiente operacional e vice versa.
Boas prticas incluem os testes de novo software em um ambiente segregado dos ambientes de
produo e desenvolvimento (ver 12.1.4). Isto proporciona formas de ter controle sobre o novo software
e permite proteo adicional das informaes operacionais que so usadas para fins de teste. Convm
que isto inclua correes, pacotes de servio, entre outras atualizaes.
Onde atualizaes automticas so consideradas, convm que o risco para a integridade e
disponibilidade do sistema seja avaliada contra os benefcios da rpida implantao da atualizao. No
recomendada a utilizao de atualizaes automticas em sistemas crticos visto que algumas
atualizaes podem causar falhas em aplicaes crticas.
14.2.3 Anlise crtica tcnica das aplicaes aps mudanas nas plataformas operacionais
Controle
Quando plataformas operacionais forem modificadas, convm que as aplicaes crticas de negcio
sejam analisadas criticamente e testadas para assegurar que no ocorreu nenhum impacto adverso nas
operaes da organizao ou na segurana.
Diretrizes para implementao
Convm que este processo compreenda:
NO TEM VALOR NORMATIVO
83/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
a) a anlise crtica dos controles da aplicao e dos procedimentos de integridade para assegurar que
eles no foram comprometidos pelas mudanas na plataforma operacional;
b) a garantia de que as mudanas previstas na plataforma operacional sejam comunicadas em tempo
hbil para permitir os testes e anlises crticas antes da implementao;
c) a garantia de que as mudanas necessrias sejam includas nos planos de continuidade de
negcios (ver 17).
Informaes adicionais
Plataformas operacionais incluem sistemas operacionais, banco de dados e plataformas intermedirias.
Convm que os controles tambm sejam aplicados para mudanas em aplicaes.
14.2.4 Restries sobre mudanas em pacotes de Software
Controle
Convm que modificaes em pacotes de software sejam desencorajadas e estejam limitadas s
mudanas necessrias, e todas as mudanas sejam estritamente controladas.
Diretrizes para implementao
Convm que quando possvel e praticvel, os pacotes de softwares providos pelos fornecedores sejam
utilizados sem modificaes. Quando um pacote de software requer modificao, convm que sejam
considerados os seguintes itens:
a) o risco de que controles e processos de integridade embutidos no software sejam comprometidos;
b) a obteno do consentimento do fornecedor;
c) a possibilidade de obteno junto ao fornecedor das mudanas necessrias como atualizao
padro do programa;
d) o impacto resultante quando a organizao passa a ser responsvel para a manuteno futura do
software como resultado das mudanas;
e) a compatibilidade com outros softwares em uso;
Se mudanas forem necessrias, convm que o software original seja retido e as mudanas aplicadas
em uma cpia. Convm que um processo de gesto da atualizao de software seja implementado para
assegurar que as atualizaes das aplicaes e os pacotes mais atualizados sejam instalados para
todos os softwares autorizados (ver 12.6.1). Convm que todas as mudanas sejam totalmente testadas
e documentadas, para que elas possam ser reaplicadas, se necessrio, para futuras atualizaes do
software. Se requerido, convm que as modificaes sejam testadas e validadas por um organismo
independente de avaliao.
84/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
85/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
Uma vez que o nvel de proteo seja determinado para um especifico ambiente de desenvolvimento,
convm que a organizao documente os processos correspondentes em procedimentos de
desenvolvimento seguro, e fornea esses procedimentos a todos os indivduos que deles necessitam.
14.2.7 Desenvolvimento terceirizado
Controle
Convm que a organizao supervisione e monitore as atividades de desenvolvimento de sistemas
terceirizado.
Diretrizes para implementao
Quando o desenvolvimento de sistemas for terceirizado, convm que os seguintes pontos sejam
considerados ao longo de toda a cadeia de suprimento externo da organizao:
a) acordos de licena, propriedade do cdigo e direitos de propriedade intelectual relacionado com o
contedo terceirizado (ver 18.1.2);
b) requisitos contratuais para um projeto seguro, prticas de cdigo e teste (ver 14.2.1);
c) fornecimento de um modelo de ameaa aprovado para o desenvolvedor externo;
d) teste de aceitao relativos qualidade e exatido dos itens entregues;
e) fornecimento de evidncia de que os princpios de segurana foram usados para estabelecer um
nvel mnimo de segurana aceitvel e a qualidade da privacidade;
86/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
f)
fornecimento de evidncias de que testes suficientes foram realizados para proteger contra a
ausncia de contedo malicioso, tanto intencional e no intencional no momento da entrega;
g) fornecimento de evidncias de que testes suficientes foram aplicados para proteger contra a
presena de vulnerabilidades conhecidas;
h) acordos de garantia, por exemplo se o cdigo fonte no est mais disponvel;
i)
j)
87/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
anlise de cdigos ou scanners de vulnerabilidade, para verificar a correo dos defeitos relacionados
segurana.
Convm que os testes sejam realizados em um ambiente de teste realstico para assegurar que o
sistema no introduzir vulnerabilidades ao ambiente da organizao e que os testes so confiveis.
88/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
Convm que a organizao identifique e exija os controles de segurana da informao para tratar,
especificamente, do acesso do fornecedor as informaes da organizao, atravs de uma poltica.
Convm que estes controles considerem os procedimentos e processos a serem implementados
pela organizao, bem como aqueles processos e procedimentos que a organizao requeira do
fornecedor a sua implementao, incluindo:
a) identificao e documentao dos tipos de fornecedores, por exemplo, servios de TI, utilidades,
servios financeiros, componentes de infraestrutura de TI, aos quais a organizao permitir
acessar suas informaes;
b) um processo padronizado e o ciclo de vida para gerenciar as relaes com o fornecedor;
c) definio dos tipos de acesso informao que diferentes tipos de fornecedores tero permisso, o
monitoramento e o controle do acesso;
d) requisitos mnimos de segurana da informao para cada tipo de acesso e tipo de informao,
para servir como base para acordos individuais com o fornecedor, baseados nos perfis de risco,
requisitos e necessidades de negcio;
e) procedimentos e processos para monitorar a aderncia dos requisitos de segurana da informao
estabelecidos para cada tipo de acesso e tipo de fornecedor, incluindo anlise crtica da parte
externa e a validao do produto;
f)
j)
89/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
l)
90/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
f)
j)
k) acordos relevantes com parceiros, incluindo um contato pessoal para as questes de segurana da
informao;
l)
91/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
obteno de garantia de que os componentes crticos e as suas origens podem ser rastreadas ao
longo de toda a cadeia de suprimento;
Informaes adicionais
Prticas de gesto de riscos especficas para a cadeia de suprimento de tecnologia da comunicao e
informao so construdas sobre as prticas de segurana da informao, qualidade, gesto de
projetos e engenharia de sistemas, mas no as substituem.
As organizaes so aconselhadas para trabalhar com fornecedores que entendam da cadeia de
suprimento de tecnologia da comunicao e informao e quaisquer questes que tenham impacto
NO TEM VALOR NORMATIVO
92/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
relevante sobre os produtos e servios que esto sendo fornecidos. As organizaes podem influenciar
as prticas de segurana da informao da cadeia de suprimento da tecnologia da comunicao e
informao, deixando claro nos acordos com seus fornecedores os assuntos que devem ser abordados
por outros fornecedores da cadeia de fornecimento de tecnologia da comunicao e informao.
A cadeia de suprimento de tecnologia da comunicao e informao aqui abordada inclui os servios de
computao na nuvem.
93/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
2)
3)
4)
2)
3)
94/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
4)
5)
6)
mudanas de fornecedores;
7)
2)
3)
4)
5)
6)
95/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
1)
2)
3)
2)
3)
referncia a um processo disciplinar formal estabelecido para tratar com funcionrios que
cometam violaes de segurana da informao;
4)
processo de realimentao adequado para assegurar que aquelas pessoas que notificaram
um evento de segurana da informao so informadas dos resultados aps o assunto ter
sido tratado e encerrado.
Convm que os objetos para a gesto de incidentes de segurana da informao sejam acordados com
a direo e garantam que as pessoas responsveis pela gesto dos incidentes de segurana da
informao entendem as prioridades da organizao para tratar com os incidentes de segurana da
informao.
Informaes adicionais
Incidentes de segurana da informao podem transcender os limites organizacionais e nacionais. Para
responder tais incidentes existe uma crescente necessidade de coordenar resposta e compartilhar
informao sobre esses incidentes com organizaes externas, quando apropriado.
Diretriz detalhada em gesto de incidentes de segurana da informao fornecida em ISO/IEC 27035.
16.1.2 Notificao de eventos de segurana da informao
Controle
Convm que os eventos de segurana da informao sejam relatados atravs dos canais apropriados
da direo, o mais rapidamente possvel.
Diretrizes para implementao
96/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
Convm que todos os funcionrios e partes externas sejam alertados sobre sua responsabilidade de
notificar qualquer evento de segurana da informao o mais rapidamente possvel. Convm que eles
tambm estejam cientes do procedimento para notificar os eventos de segurana da informao e do
ponto de contato, ao qual os eventos devem ser notificados.
Situaes a serem consideradas para notificar um evento de segurana da informao incluem:
a) controle de segurana ineficaz;
b) violao da disponibilidade, confidencialidade e integridade da informao;
c) erros humanos;
d) no-conformidade com polticas ou diretrizes;
e) violaes de procedimentos de segurana fsica;
f)
97/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
g) uma vez que o incidente foi, de forma bem sucedida, formalmente tratado, encerrar o incidente e
registra-lo.
NO TEM VALOR NORMATIVO
98/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
Convm que anlises ps-incidente sejam realizadas, se necessrio, para identificar a fonte do
incidente.
Informaes adicionais
O primeiro objetivo de resposta a incidente voltar ao nvel de segurana normal e ento iniciar a
recuperao necessria.
16.1.6 Aprendendo com os incidentes de segurana da informao
Controle
Convm que os conhecimentos obtidos da anlise e resoluo dos incidentes de segurana da
informao sejam usados para reduzir a probabilidade ou o impacto de incidentes futuros.
Diretrizes para implementao
Convm que haja um mecanismo implementado para permitir monitorar e quantificar os tipo, volumes e
custos de incidentes de segurana da informao. Convm que a informao resultante da anlise de
incidentes de segurana da informao seja usada para identificar incidentes recorrentes ou de alto
impacto.
Informaes adicionais
A avaliao de incidentes de segurana da informao pode indicar a necessidade de melhoria ou
controles adicionais para diminuir a frequncia, dano e custo de futuras ocorrncias ou ser levado em
conta no processo de anlise crtica da poltica de segurana (ver 5.1.2).
Com o devido cuidado aos aspectos de confidencialidade, estrias de incidentes atuais de segurana
da informao podem ser usadas em treinamentos de conscientizaes de usurios (ver 7.2.2) como
exemplos do que pode acontecer, como responder a tais incidentes e como evita-los no futuro.
16.1.7 Coleta de evidncias
Controle
Convm que a organizao defina e aplique procedimentos para a identificao, coleta, aquisio e
preservao das informaes, as quais podem servir como evidncias.
Diretrizes para implementao
Convm que procedimentos internos sejam desenvolvidos e seguidos quando tratando de obter
evidncias para os propsitos de aes legais ou disciplinares.
Geralmente os procedimentos para evidncia fornecem processos de identificao, coleta, aquisio e
preservao de evidncias, de acordo com diferentes tipos de mdia, dispositivos e situao dos
dispositivos, por exemplo, se esto ligados ou desligados. Convm que os procedimentos levem em
conta:
a) a cadeia de custodia;
b) a segurana da evidncia;
NO TEM VALOR NORMATIVO
99/11
0
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
documentao;
g) resumo do incidente.
Quando disponvel, certificaes ou outros meios de qualificao de pessoal e ferramentas
buscados, para aumentar o valor da evidncia preservada.
so
Evidncia forense pode ir alm dos limites da organizao ou da jurisdio. Em tais casos, convm que
seja assegurado que a organizao tem direito de coletar as informaes requeridas como evidncia
forense. Os requisitos de diferentes jurisdies podem ser considerados para maxmizar as chances de
admisso ao longo das jurisdies relevantes.
Informaes adicionais
Identificao o processo envolvendo a busca, reconhecimento e documentao de potencial
evidncia. Coleta o processo de levantamento de itens fsicos que podem conter potencial evidncia.
Aquisio o processo de criao de uma cpia dos dados dentro de um cenrio definido. Preservao
o processo para manter e proteger a integridade e condio original da potencial evidncia.
Logo quando um evento de segurana da informao detectado pode no ser bvio se o evento
resultar em uma ao judicial ou no. Portanto, existe o perigo que esta evidncia necessria seja
destruda intencionalmente ou acidentalmente antes que a gravidade do incidente seja percebida.
aconselhvel envolver um advogado ou a polcia o quanto antes em qualquer ao legal e receber
aconselhamento sobre a evidncia requerida.
A ABNT NBR ISO/IEC 27037 fornece diretrizes para identificao, coleta, aquisio e preservao de
evidncias digitais.
100/1
10
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
Convm que uma organizao avalie se a continuidade da segurana da informao est contida dentro
do processo de gesto da continuidade do negcio ou no processo de gesto de recuperao de
desastre. Requisitos de segurana da informao podem ser determinados quando do planejamento da
continuidade do negcio e da recuperao de desastre.
Na ausncia de um planejamento formal de continuidade do negcio e de recuperao de desastre,
convm que a gesto da segurana da informao assuma que os requisitos de segurana da
informao permanecem os mesmos, em situaes adversas, comparadas com as condies de
operao normal. Alternativamente, uma organizao pode realizar uma anlise de impacto do negcio
relativa aos aspectos de segurana da informao, para determinar os requisitos de segurana da
informao que so aplicveis nas situaes adversas.
Informaes adicionais
Para reduzir o tempo e o esforo de uma anlise de impacto do negcio adicional, da segurana da
informao, recomendado capturar os aspectos da segurana da informao no gerenciamento da
continuidade normal dos negcios ou na anlise do impacto ao negcio no gerenciamento da
recuperao de um desastre. Isto implica que os requisitos de continuidade da segurana da
informao esto explicitamente contemplados na gesto da continuidade do negcio ou nos processos
de gerenciamento da recuperao de desastre.
Informaes sobre gesto da continuidade do negcio podem ser encontrada na ISO/IEC 27031,
ISO 22313 e ABNT NBR ISO 22301.
17.1.2 Implementando a continuidade da segurana da informao
Controle
Convm que a organizao estabelea, documente, implemente e mantenha processos, procedimentos
e controles para assegurar o nvel requerido de continuidade para a segurana da informao, durante
uma situao adversa.
Diretrizes para implementao
Convm que uma organizao assegure-se de que:
a) uma estrutura de gerenciamento adequada est implementada para mitigar e responder a um
evento de interrupo, usando pessoal com a necessria autoridade, experincia e competncia;
b) o pessoal de resposta a incidente com a necessria responsabilidade, autoridade e competncia
para gerenciar um incidente e garantir a segurana da informao, est designado;
c) planos documentados, procedimentos de recuperao e resposta estejam desenvolvidos e
aprovados, detalhando como a organizao ir gerenciar um evento de interrupo e como
manter a sua segurana da informao em um nvel pr-determinado, com base nos objetivos de
continuidade da segurana da informao aprovado pela direo (ver 17.1.1).
Em funo dos requisitos de continuidade de segurana da informao, convm que a organizao
estabelea, documente, implemente e mantenha:
101/1
10
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
102/1
10
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
17.2 Redundncias
Objetivo: Assegurar a disponibilidade dos recursos de processamento da informao.
17.2.1 Disponibilidade dos recursos de processamento da informao
Controle
Convm que os recursos de processamento da informao sejam implementados com redundncia
suficiente para atender aos requisitos de disponibilidade.
Diretrizes para implementao
Convm que a organizao identifique os requisitos do negcio quanto disponibilidade de sistemas de
informao. Quando a disponibilidade no puder ser assegurada usando a arquitetura de sistemas
existentes, componentes redundantes ou arquiteturas sejam considerados.
Onde aplicvel, convm que sistemas de informao redundantes sejam testados para assegurar que a
transferncia de um componente para outro componente, quando existe falha do primeiro componente,
este funciona conforme esperado.
Informaes adicionais
A implementao de redundncias pode introduzir riscos a integridade ou confidencialidade da
informao e dos sistemas de informao, os quais precisam ser considerados quando do projeto dos
sistemas de informao.
18 Conformidade
18.1 Conformidade com requisitos legais e contratuais
Objetivo: Evitar violao de quaisquer obrigaes legais, estatutrias, regulamentares ou contratuais
relacionadas segurana da informao e de quaisquer requisitos de segurana.
103/1
10
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
implementar controles para assegurar que o nmero mximo de usurios permitidos, dentro da
licena concedida, no est excedido;
g) conduzir verificaes para que somente produtos de software autorizados e licenciados sejam
instalados;
h) estabelecer uma poltica para a manuteno das condies adequadas de licenas;
NO TEM VALOR NORMATIVO
104/1
10
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
i)
j)
cumprir termos e condies para software e informao obtidos a partir de redes pblicas;
k) no duplicar, converter para outro formato ou extrair de registros comerciais (filme, udio) outros
que no os permitidos pela lei de direito autoral;
l)
no copiar no todo ou em partes, livros, artigos, relatrios ou outros documentos, alm daqueles
permitidos pela lei de direito autoral.
Informaes adicionais
Direitos de propriedade intelectual incluem direitos autorais de software ou documento, direitos de
projetos, marcas, patentes e licenas de cdigo fonte.
Produtos de software proprietrios so normalmente fornecidos sob um contrato de licenciamento que
especifica os termos e condies da licena, por exemplo, limitar o uso dos produtos em mquinas
especificadas ou limita a reproduo apenas para a criao de cpias de backup. Convm que a
importncia e a conscientizao dos direitos de propriedade intelectual de software sejam comunicados
aos responsveis pelo desenvolvimento de software na organizao.
Requisitos legais, regulamentares e contratuais podem colocar restries sobre a cpia de material
proprietrio. Em particular, eles podem exigir que apenas o material que desenvolvido pela
organizao ou que est licenciado ou fornecido pelo desenvolvedor para a organizao, pode ser
utilizado. Violao de direitos autorais pode levar a ao judicial e pode envolver multas e processos
criminais.
18.1.3 Proteo de registros
Controle
Convm que registros sejam protegidos contra perda, destruio, falsificao, acesso no autorizado e
liberao no autorizada, de acordo com os requisitos regulamentares, estatutrios, contratuais e do
negcio.
Diretrizes para implementao
Convm que quando a organizao decida proteger os registros especficos, a classificao
correspondente seja baseada no esquema classificao da organizao. Convm que os registros
sejam categorizados em tipos de registros, tais como registros contbeis, registros de base de dados,
registros de transaes, registros de auditoria e procedimentos operacionais, cada qual com detalhes
do perodo de reteno e do tipo de mdia de armazenamento como, por exemplo, papel, microficha,
meio magntico ou tico. Convm que quaisquer chaves de criptografia relacionadas com arquivos
cifrados ou assinaturas digitais (ver 10) sejam armazenadas para permitir a decifrao de registros pelo
perodo de tempo que os registros so mantidos.
Convm que cuidados sejam tomados a respeito da possibilidade de deteriorao das mdias usadas
no armazenamento dos registros. Convm que os procedimentos de armazenamento e manuseio
sejam implementados de acordo com as recomendaes dos fabricantes.
105/1
10
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
Onde mdias eletrnicas armazenadas forem escolhidas, convm que sejam includos procedimentos
para assegurar a capacidade de acesso aos dados (leitura tanto na mdia como no formato utilizado)
durante o perodo de reteno, para proteger contra perdas ocasionadas pelas futuras mudanas na
tecnologia.
Sistemas de armazenamento de dados sejam escolhidos de modo que o dado solicitado possa ser
recuperado de forma aceitvel, dependendo dos requisitos a serem atendidos.
Convm que o sistema de armazenamento e manuseio assegure a clara identificao dos registros e
dos seus perodos de reteno, conforme definido pela legislao nacional ou regional ou por
regulamentaes, se aplicvel. Convm que este sistema permita a destruio apropriada dos
registros aps esse perodo, caso no sejam mais necessrios organizao.
Para atender aos objetivos de proteo dos registros, convm que os seguintes passos sejam tomados
pela organizao:
a) emitir diretrizes gerais para reteno, armazenamento, tratamento e disposio de registros e
informaes;
b) elaborar uma programao para reteno, identificando os registros essenciais e o perodo
recomendado para que cada um seja mantido;
c) manter um inventrio das fontes de informaes-chave.
Informaes adicionais
Alguns registros podem precisar ser retidos de forma segura para atender a requisitos estatutrios,
regulamentares ou contratuais, bem como para apoiar as atividades essenciais do negcio. Exemplos
incluem os registros que podem ser exigidos como prova de que uma organizao opera dentro de
normas estatutrias ou regulamentares, para assegurar a defesa contra potencial ao civil ou criminal,
ou para confirmar a situao financeira de uma organizao perante os acionistas, partes externas e
auditores. A legislao nacional ou a regulamentao pode definir contedo de dados e o perodo de
tempo para a reteno de informaes.
Outras informaes sobre o gerenciamento de registros organizacionais podem ser encontrados na
ISO 15489-1.
18.1.4 Proteo e privacidade de informaes de identificao pessoal
Controle
Convm que a privacidade e proteo das informaes de identificao pessoal sejam asseguradas
conforme requerido por legislao e regulamentao pertinente, quando aplicvel.
Diretrizes para implementao
Convm que uma poltica de dados da organizao para proteo e privacidade da informao de
identificao pessoal, seja desenvolvida e implementada. Esta poltica deve ser comunicada a todas as
pessoas envolvidas no processamento de informao de identificao pessoal.
106/1
10
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
107/1
10
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
108/1
10
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
109/1
10
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
A verificao da conformidade tcnica envolve a anlise dos sistemas operacionais para garantir que
controles de hardware e software foram corretamente implementados. Este tipo anlise critica de
conformidade exige conhecimentos tcnicos especializados.
Anlise de conformidade tambm engloba, por exemplo, testes de invaso e avaliaes de
vulnerabilidades, que podem ser realizadas por peritos independentes contratados especificamente
para esta finalidade. Isto pode ser til na deteco de vulnerabilidades no sistema e na verificao do
quanto os controles so eficientes na preveno de acessos no autorizados devido a estas
vulnerabilidades.
Os testes de invaso e avaliao de vulnerabilidades fornecem um snapshot de um sistema em um
estado especfico para um tempo especfico. O snapshot est limitado para aquelas partes do sistema
realmente testadas durante a etapa da invaso. O teste de invaso e as avaliaes de vulnerabilidades
no so um substituto da avaliao de risco.
A ISO/IEC TR 27008 fornece orientaes especficas sobre as anlises criticas de conformidade
tcnica.
110/1
10
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
Bibliografia
[1]
Diretiva ABNT, Parte 2, Regras para estrutura e redao de Documentos Tcnicos ABNT
[2]
[3]
[4]
[5]
[6]
[7]
ABNT NBR ISO/IEC 200002:2013, Tecnologia da informao Gerenciamento de servios Parte 2: Guia de aplicao do sistema de gesto de servios
[8]
[9]
[10] ABNT NBR ISO/IEC 27001, Tecnologia da informao - Tcnicas de segurana - Sistemas de
informao
[13] ISO/IEC TR 27008, Information technology Security techniques Guidelines for auditors on
111/1
11
ABNT/CB-21
PROJETO ABNT NBR ISO/IEC 27002
SET 2013
[17] ISO/IEC 270333, Information technology Security techniques Network security Part 3:
management
[21] ISO/IEC 270361, Information technology Security techniques Information security for supplier
112/1
12