Académique Documents
Professionnel Documents
Culture Documents
AGO 2001
ABNT Associao
Brasileira de
Normas Tcnicas
Sede:
Rio de Janeiro
Av. Treze de Maio, 13 28 andar
CEP 20003-900 Caixa Postal 1680
Rio de Janeiro RJ
Tel.: PABX (021) 210-3122
Fax: (021) 220-1762/220-6436
Endereo eletrnico:
www.abnt.org.br
Copyright 2001,
ABNTAssociao Brasileira
de Normas Tcnicas
Printed in Brazil/
Impresso no Brasil
Todos os direitos reservados
56 pginas
Sumrio
Prefcio
Introduo
1 Objetivo
2 Termos e definies
3 Poltica de segurana
4 Segurana organizacional
5 Classificao e controle dos ativos de informao
6 Segurana em pessoas
7 Segurana fsica e do ambiente
8 Gerenciamento das operaes e comunicaes
9 Controle de acesso
10 Desenvolvimento e manuteno de sistemas
11 Gesto da continuidade do negcio
12 Conformidade
ANEXO
A Descrio dos termos apresentados em ingls nesta Norma
Prefcio
A ABNT - Associao Brasileira de Normas Tcnicas - o Frum Nacional de Normalizao. As Normas Brasileiras, cujo
contedo de responsabilidade dos Comits Brasileiros (ABNT/CB) e dos Organismos de Normalizao Setorial
(ABNT/ONS), so elaboradas por Comisses de Estudo (CE), formadas por representantes dos setores envolvidos, delas
fazendo parte: produtores, consumidores e neutros (universidades, laboratrios e outros).
Os Projetos de Norma Brasileira, elaborados no mbito dos ABNT/CB e ABNT/ONS, circulam para Consulta Pblica entre
os associados da ABNT e demais interessados.
Esta Norma equivalente ISO/IEC 17799:2000
Esta Norma contm o anexo A, de crater informativo.
O anexo A foi incorporado a esta traduo da ISO/IEC 17799:2000, a fim de prestar informaes na descrio de termos
na lngua inglesa mantidos nesta Norma por no possurem traduo equivalente para a lngua portuguesa.
Introduo
O que segurana da informao?
A informao um ativo que, como qualquer outro ativo importante para os negcios, tem um valor para a organizao e
conseqentemente necessita ser adequadamente protegida. A segurana da informao protege a informao de diversos
tipos de ameaas para garantir a continuidade dos negcios, minimizar os danos aos negcios e maximizar o retorno dos
investimentos e as oportunidades de negcio.
A informao pode existir em muitas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente,
transmitida pelo correio ou atravs de meios eletrnicos, mostrada em filmes ou falada em conversas. Seja qual for a forma
apresentada ou o meio atravs do qual a informao compartilhada ou armazenada, recomendado que ela seja sempre
protegida adequadamente.
A segurana da informao aqui caracterizada pela preservao de:
a) confidencialidade: garantia de que a informao acessvel somente por pessoas autorizadas a terem acesso;
b) integridade: salvaguarda da exatido e completeza da informao e dos mtodos de processamento;
c) disponibilidade: garantia de que os usurios autorizados obtenham acesso informao e aos ativos correspondentes sempre que necessrio.
Segurana da informao obtida a partir da implementao de uma srie de controles, que podem ser polticas, prticas,
procedimentos, estruturas organizacionais e funes de software. Estes controles precisam ser estabelecidos para garantir
que os objetivos de segurana especficos da organizao sejam atendidos.
Por que a segurana da informao necessria
A informao e os processos de apoio, sistemas e redes so importantes ativos para os negcios. Confidencialidade,
integridade e disponibilidade da informao podem ser essenciais para preservar a competitividade, o faturamento, a
lucratividade, o atendimento aos requisitos legais e a imagem da organizao no mercado.
Cada vez mais as organizaes, seus sistemas de informao e redes de computadores so colocados prova por
diversos tipos de ameaas segurana da informao de uma variedade de fontes, incluindo fraudes eletrnicas,
espionagem, sabotagem, vandalismo, fogo ou inundao. Problemas causados por vrus, hackers e ataques de denial of
service esto se tornando cada vez mais comuns, mais ambiciosos e incrivelmente mais sofisticados.
A dependncia nos sistemas de informao e servios significa que as organizaes esto mais vulnerveis s ameaas de
segurana. A interconexo de redes pblicas e privadas e o compartilhamento de recursos de informao aumentam a
dificuldade de se controlar o acesso. A tendncia da computao distribuda dificulta a implementao de um controle de
acesso centralizado realmente eficiente.
Muitos sistemas de informao no foram projetados para serem seguros. A segurana que pode ser alcanada por meios
tcnicos limitada e convm que seja apoiada por gesto e procedimentos apropriados. A identificao de quais controles
convm que sejam implantados requer planejamento cuidadoso e ateno aos detalhes. A gesto da segurana da
informao necessita, pelo menos, da participao de todos os funcionrios da organizao. Pode ser que seja necessria
tambm a participao de fornecedores, clientes e acionistas. Consultoria externa especializada pode ser tambm necessria.
Os controles de segurana da informao so consideravelmente mais baratos e mais eficientes se forem incorporados nos
estgios do projeto e da especificao dos requisitos.
Como estabelecer requisitos de segurana
essencial que uma organizao identifique os seus requisitos de segurana. Existem trs fontes principais.
A primeira fonte derivada da avaliao de risco dos ativos da organizao. Atravs da avaliao de risco so identificadas
as ameaas aos ativos, as vulnerabilidades e sua probabilidade de ocorrncia avaliada, bem como o impacto potencial
estimado.
A segunda fonte a legislao vigente, os estatutos, a regulamentao e as clusulas contratuais que a organizao, seus
parceiros, contratados e prestadores de servio tm que atender.
A terceira fonte o conjunto particular de princpios, objetivos e requisitos para o processamento da informao que uma
organizao tem que desenvolver para apoiar suas operaes.
Avaliando os riscos de segurana
Os requisitos de segurana so identificados atravs de uma avaliao sistemtica dos riscos de segurana. Os gastos
com os controles necessitam ser balanceados de acordo com os danos causados aos negcios gerados pelas potenciais
falhas na segurana. As tcnicas de avaliao de risco podem ser aplicadas em toda a organizao ou apenas em parte
dela, assim como em um sistema de informao individual, componentes de um sistema especfico ou servios, quando for
vivel, prtico e til.
A avaliao de risco uma considerao sistemtica:
a) do impacto nos negcios como resultado de uma falha de segurana, levando-se em conta as potenciais conseqncias da perda de confidencialidade, integridade ou disponibilidade da informao ou de outros ativos;
b) da probabilidade de tal falha realmente ocorrer luz das ameaas e vulnerabilidades mais freqentes e nos controles
atualmente implementados.
Os resultados dessa avaliao ajudaro a direcionar e determinar aes gerenciais e prioridades mais adequadas para um
gerenciamento dos riscos da segurana da informao e a selecionar os controles a serem implementados para a proteo
contra estes riscos. Pode ser necessrio que o processo de avaliao de riscos e seleo de controles seja executado um
determinado nmero de vezes para proteger as diferentes partes da organizao ou sistemas de informao isolados.
necessrio realizar anlises crticas peridicas dos riscos de segurana e dos controles implementados para:
a) considerar as mudanas nos requisitos de negcio e suas prioridades;
b) considerar novas ameaas e vulnerabilidades;
c) confirmar que os controles permanecem eficientes e adequados.
Convm que as anlises crticas sejam executadas em diferentes nveis de profundidade, dependendo dos resultados das
avaliaes de risco feitas anteriormente e das mudanas nos nveis de riscos que a direo considera aceitvel para os
negcios. As avaliaes de risco so sempre realizadas primeiro em nvel mais geral, como uma forma de priorizar
recursos em reas de alto risco, e ento em um nvel mais detalhado, para solucionar riscos especficos.
Seleo de controles
Uma vez tendo sido identificados os requisitos de segurana, convm que os controles sejam selecionados e implementados para assegurar que os riscos so reduzidos a um nvel aceitvel. Os controles podem ser selecionados a partir desta
Norma ou de outro conjunto de controles, ou novos controles podem ser desenvolvidos para atender s necessidades
especficas, quando apropriado. Existem diversas maneiras de gerenciar os riscos e esta Norma fornece exemplos para as
situaes mais comuns. De qualquer forma, necessrio reconhecer que alguns controles no so aplicveis em todos os
sistemas de informao ou ambientes e que podem no ser praticveis para todas as organizaes. Como um exemplo,
8.1.4 descreve como as funes podem ser segregadas para prevenir fraudes e erros. Pode no ser possvel para
pequenas organizaes segregar todas as funes e uma outra maneira de se alcanar o mesmo objetivo de controle pode
ser necessria. Como outro exemplo, 9.7 e 12.1 descrevem como o uso de um sistema pode ser monitorado e como as evidncias podem ser coletadas. Os controles descritos, por exemplo o registro de eventos, podem ser conflitantes com a
legislao vigente, como a proteo da privacidade de clientes ou no local de trabalho.
Convm que os controles sejam selecionados baseados nos custos de implementao em relao aos riscos que sero
reduzidos e as perdas potenciais se as falhas na segurana ocorrerem. Convm que fatores no financeiros, como, por
exemplo, prejuzos na reputao da organizao, sejam tambm levados em considerao.
Alguns dos controles nesta Norma podem ser considerados como princpios bsicos para a gesto da segurana da
informao e podem ser aplicados na maioria das organizaes. Eles so explicados em mais detalhes no item Ponto de
partida para a segurana da informao.
Ponto de partida para a segurana da informao
Um nmero de controles pode ser considerado como princpios bsicos, fornecendo um bom ponto de partida para a
implementao da segurana da informao. So baseados tanto em requisitos legais como nas melhores prticas de
segurana da informao normalmente usadas.
Os controles considerados essenciais para uma organizao, sob o ponto de vista legal, incluem:
a) proteo de dados e privacidade de informaes pessoais (ver 12.1.4);
b) salvaguarda de registros organizacionais (ver 12.1.3);
c) direitos de propriedade intelectual (ver 12.1.2).
Os controles considerados como melhores prticas para a segurana da informao incluem:
a) documento da poltica de segurana da informao (ver 3.1);
b) definio das responsabilidades na segurana da informao (ver 4.1.3);
c) educao e treinamento em segurana da informao (ver 6.2.1);
d) relatrio dos incidentes de segurana (ver 6.3.1);
e) gesto da continuidade do negcio (ver 11.1).
Estes controles se aplicam para a maioria das organizaes e na maioria dos ambientes. Convm que seja notado que,
embora todos os controles nesta Norma sejam importantes, a relevncia de qualquer controle seja determinada luz de
riscos especficos que uma organizao est exposta. Por isto, embora o enfoque acima seja considerado um bom ponto
de partida, ele no substitui a seleo de controles, baseada na avaliao de risco.
Fatores crticos de sucesso
A experincia tem mostrado que os seguintes fatores so geralmente crticos para o sucesso da implementao da
segurana da informao dentro de uma organizao:
a) poltica de segurana, objetivos e atividades, que reflitam os objetivos do negcio;
b) um enfoque para a implementao da segurana que seja consistente com a cultura organizacional;
c) comprometimento e apoio visvel da direo;
d) um bom entendimento dos requisitos de segurana, avaliao de risco e gerenciamento de risco;
e) divulgao eficiente da segurana para todos os gestores e funcionrios;
f) distribuio das diretrizes sobre as normas e poltica de segurana da informao para todos os funcionrios e
fornecedores;
g) proporcionar educao e treinamento adequados;
h) um abrangente e balanceado sistema de medio, que usado para avaliar o desempenho da gesto de segurana
da informao e obteno de sugestes para a melhoria.
Desenvolvendo suas prprias recomendaes
Esta Norma pode ser considerada como o ponto de partida para o desenvolvimento de recomendaes especficas para a
organizao. Nem todas as recomendaes e os controles nesta Norma podem ser aplicados. Alm disto, controles
adicionais no includos nesta Norma podem ser necessrios. Quando isto acontecer pode ser til manter uma referncia
cruzada para facilitar a verificao da conformidade por auditores e parceiros de negcio.
1 Objetivo
Esta Norma fornece recomendaes para gesto da segurana da informao para uso por aqueles que so responsveis
pela introduo, implementao ou manuteno da segurana em suas organizaes. Tem como propsito prover uma
base comum para o desenvolvimento de normas de segurana organizacional e das prticas efetivas de gesto da
segurana, e prover confiana nos relacionamentos entre as organizaes. Convm que as recomendaes descritas
nesta Norma sejam selecionadas e usadas de acordo com a legislao e as regulamentaes vigentes.
2 Termos e definies
Para os efeitos desta Norma, aplicam-se as seguintes definies:
2.1 segurana da informao: Preservao da confidencialidade, integridade e disponibilidade da informao.
- confidencialidade: Garantia de que o acesso informao seja obtido somente por pessoas autorizadas.
- integridade: Salvaguarda da exatido e completeza da informao e dos mtodos de processamento.
- disponibilidade: Garantia de que os usurios autorizados obtenham acesso informao e aos ativos correspondentes sempre que necessrio.
2.2 avaliao de risco: Avaliao das ameaas, impactos e vulnerabilidades da informao e das instalaes de
processamento da informao e da probabilidade de sua ocorrncia.
2.3 gerenciamento de risco: Processo de identificao, controle e minimizao ou eliminao dos riscos de segurana
que podem afetar os sistemas de informao, a um custo aceitvel.
3 Poltica de segurana
3.1 Poltica de segurana da informao
Objetivo: Prover direo uma orientao e apoio para a segurana da informao.
Convm que a direo estabelea uma poltica clara e demonstre apoio e comprometimento com a segurana da
informao atravs da emisso e manuteno de uma poltica de segurana da informao para toda a organizao.
3.1.1 Documento da poltica de segurana da informao
Convm que um documento da poltica seja aprovado pela direo, publicado e comunicado, de forma adequada, para
todos os funcionrios. Convm que este expresse as preocupaes da direo e estabelea as linhas-mestras para a
gesto da segurana da informao. No mnimo, convm que as seguintes orientaes sejam includas:
a) definio de segurana da informao, resumo das metas e escopo e a importncia da segurana como um
mecanismo que habilita o compartilhamento da informao (ver introduo);
b) declarao do comprometimento da alta direo, apoiando as metas e princpios da segurana da informao;
c) breve explanao das polticas, princpios, padres e requisitos de conformidade de importncia especfica para a
organizao, por exemplo:
1) conformidade com a legislao e clusulas contratuais;
2) requisitos na educao de segurana;
3) preveno e deteco de vrus e software maliciosos;
4) gesto da continuidade do negcio;
5) conseqncias das violaes na poltica de segurana da informao;
d) definio das responsabilidades gerais e especficas na gesto da segurana da informao, incluindo o registro dos
incidentes de segurana;
e) referncias documentao que possam apoiar a poltica, por exemplo, polticas e procedimentos de segurana mais
detalhados de sistemas de informao especficos ou regras de segurana que convm que os usurios sigam.
Convm que esta poltica seja comunicada atravs de toda a organizao para os usurios na forma que seja relevante,
acessvel e compreensvel para o leitor em foco.
Contudo, a responsabilidade pela alocao de recursos e pela implementao dos controles geralmente permanece com os
gestores. Uma prtica comum indicar um proprietrio para cada ativo de informao, tornando responsvel pela sua
segurana do dia-a-dia.
Os proprietrios dos ativos de informao podem delegar suas responsabilidades de segurana a outros gestores ou
prestadores de servio. Todavia o proprietrio continua como responsvel final pela segurana do ativo e convm que seja
capaz de determinar se esto sendo corretamente delegadas as responsabilidades.
essencial que as reas pelas quais cada gestor responsvel estejam claramente estabelecidas; em particular
recomenda-se que os itens seguintes sejam cumpridos.
a) Convm que os vrios ativos e processos de segurana associados com cada sistema sejam identificados e
claramente definidos.
b) Convm que o gestor responsvel por cada ativo ou processo de segurana esteja de acordo e os detalhes dessa
responsabilidade sejam documentados.
c) Convm que os nveis de autorizao sejam claramente definidos e documentados.
4.1.4 Processo de autorizao para as instalaes de processamento da informao
Convm que seja estabelecido um processo de gesto de autorizao para novos recursos de processamento da
informao.
Recomenda-se que os seguintes controles sejam considerados.
a) Convm que novos recursos tenham aprovao adequada por parte da administrao de usurios, autorizando seus
propsitos e uso. Convm que a aprovao tambm seja obtida junto ao gestor responsvel pela manuteno do
sistema de segurana da informao para garantir que todas as polticas e requisitos de segurana relevantes so
atendidos.
b) Convm que o hardware e o software sejam verificados para garantir que so compatveis com outros componentes
do sistema, onde necessrios.
NOTA - Este tipo de aprovao pode ser requerido para certas conexes.
c) Convm que o uso de recursos pessoais de processamento de informao para o processamento de informao de
negcio e para quaisquer controles necessrios seja autorizado.
d) O uso de recursos pessoais de processamento de informao no ambiente de trabalho pode causar novas
vulnerabilidades e, por esta razo, convm que seja avaliado e autorizado.
Estes controles so especialmente importantes em um ambiente de rede de computadores.
4.1.5 Consultoria especializada em segurana da informao
Consultoria especializada em segurana normalmente necessria em diversas organizaes. Em condies ideais,
convm que um consultor de segurana da informao interno e com boa experincia fornea isso. Nem todas as
organizaes desejam empregar um consultor especialista. Nestes casos, recomendvel que seja identificado um
colaborador especfico para coordenar o conhecimento e as experincias internos para garantir consistncia e fornecer
auxlio nas tomadas de deciso sobre segurana. Convm que essas organizaes tambm tenham acesso a consultores
externos para prover consultoria especializada alm da sua prpria experincia.
Convm que consultores em segurana da informao ou contatos equivalentes sejam incumbidos de fornecer apoio em
todos os aspectos da segurana da informao, utilizando suas prprias experincias ou consultoria externa. A qualidade
de suas avaliaes das ameaas segurana e a consultoria nos controles determinaro a eficincia da segurana da
informao da organizao. Para efetividade e impactos mximos convm que eles tenham permisso de acesso direto
administrao em toda a organizao.
Convm que o consultor em segurana da informao ou contato equivalente seja consultado o mais cedo possvel aps
suspeitas de incidente ou violao de segurana para fornecer orientaes especializadas ou recursos para o processo
investigativo. Embora a maioria das investigaes de segurana internas normalmente seja executada sob controle da
administrao, o consultor de segurana da informao pode ser chamado para recomendar, liderar ou conduzir a
investigao.
4.1.6 Cooperao entre organizaes
Convm que sejam mantidos contatos apropriados com autoridades legais, organismos reguladores, provedores de servio
de informao e operadores de telecomunicaes, de forma a garantir que aes adequadas e apoio especializado
possam ser rapidamente acionados na ocorrncia de incidentes de segurana. De forma similar, convm que a filiao a
grupos de segurana e a fruns setoriais seja considerada.
Convm que trocas de informaes de segurana sejam restritas para garantir que informaes confidenciais da
organizao no sejam passadas para pessoas no autorizadas.
4.1.7 Anlise crtica independente de segurana da informao
O documento da poltica de segurana da informao (ver 3.1) estabelece a poltica e as responsabilidades pela
segurana da informao. Convm que a sua implementao seja analisada criticamente, de forma independente, para
fornecer garantia de que as prticas da organizao refletem apropriadamente a poltica, e que esta adequada e eficiente
(ver 12.2).
Tal anlise crtica pode ser executada pela auditoria interna, por um gestor independente ou por uma organizao
prestadora de servios especializada em tais anlises crticas, onde estes possurem habilidade e experincia apropriadas.
4.2 Segurana no acesso de prestadores de servios
Objetivo: Manter a segurana dos recursos de processamento de informao e ativos de informao organizacionais
acessados por prestadores de servios.
Convm que seja controlado o acesso de prestadores de servios aos recursos de processamento da informao da
organizao.
Onde existir uma necessidade de negcio para este acesso de prestadores de servios, convm que seja feita uma
avaliao dos riscos envolvidos para determinar as possveis implicaes na segurana e os controles necessrios.
Convm que os controles sejam acordados e definidos atravs de contrato assinado com os prestadores de servios.
O acesso de prestadores de servios pode tambm envolver outros participantes. Convm que os contratos liberando o
acesso de prestadores de servios incluam a permisso para designao de outros participantes qualificados, assim como
as condies de seus acessos.
Esta Norma pode ser utilizada como base para tais contratos e levada em considerao na terceirizao do
processamento da informao.
4.2.1 Identificao dos riscos no acesso de prestadores de servios
4.2.1.1 Tipos de acesso
O tipo de acesso dado a prestadores de servios de especial importncia. Por exemplo, os riscos no acesso atravs de
uma conexo de rede so diferentes dos riscos resultantes do acesso fsico. Convm que os seguintes tipos de acesso
sejam considerados:
a) acesso fsico, por exemplo a escritrios, sala de computadores, gabinetes de cabeamento;
b) acesso lgico, por exemplo aos bancos de dados da organizao, sistemas de informao.
4.2.1.2 Razes para o acesso
Acessos a prestadores de servios podem ser concedidos por diversas razes. Por exemplo, existem prestadores de
servios que fornecem servios para uma organizao e no esto localizados no mesmo ambiente, mas necessitam de
acessos fsicos e lgicos, tais como:
a) equipes de suporte de hardware e software, que necessitam ter acesso em nvel de sistema ou acesso s
funcionalidades de baixo nvel nas aplicaes;
b) parceiros comerciais ou joint ventures, que podem trocar informaes, acessar sistemas de informao ou
compartilhar bases de dados.
As informaes podem ser colocadas em risco pelo acesso de prestadores de servios com uma administrao
inadequada da segurana. Existindo a necessidade de negcios de conexo com prestadores de servios, convm que
uma avaliao de risco seja feita para se identificar quaisquer necessidades de implementao de controles de segurana.
Convm que sejam levados em conta o tipo de acesso requerido, o valor da informao, os controles empregados por
prestadores de servios e as implicaes deste acesso segurana da informao da organizao.
4.2.1.3 Contratados para servios internos
Prestadores de servios que, por contrato, devem permanecer dentro da organizao por um perodo de tempo
determinado tambm podem aumentar a fragilidade na segurana. Exemplos de prestadores de servio dentro da
organizao incluem:
a) equipes de suporte e manuteno de hardware e software;
b) pessoal da limpeza, servios de buffets, guardas da segurana e outros servios de apoio terceirizados;
c) alocao de estagirios e outras contrataes de curta durao;
d) consultores.
essencial entender quais controles so necessrios para administrar o acesso de prestadores de servios aos recursos
de processamento da informao. Geralmente, convm que todos os requisitos de segurana resultantes do acesso de
prestadores de servios ou dos controles internos sejam refletidos nos contratos firmados com estes (ver tambm 4.2.2).
Por exemplo, caso exista uma necessidade especial por confidencialidade da informao, um acordo de sigilo pode ser
utilizado (ver 6.1.3).
Convm que o acesso de prestadores de servios informao e aos recursos de processamento da informao no seja
permitido at que os controles apropriados sejam implementados e um contrato definindo os termos para a conexo ou
acesso seja assinado.
4.2.2 Requisitos de segurana nos contratos com prestadores de servios
Convm que acordos envolvendo o acesso de prestadores de servios aos recursos de processamento da informao da
organizao sejam baseados em contratos formais que contenham, ou faam referncia a, todos os requisitos de
segurana, de forma a garantir a conformidade com as normas e polticas de segurana da organizao. Convm que o
contrato garanta que no existam mal-entendidos entre a organizao e prestadores de servios. Convm que as
organizaes considerem a indenizao a ser paga por seus fornecedores em situaes de violaes de contrato. Convm
que os seguintes termos sejam considerados e includos nos contratos:
a) a poltica geral sobre segurana da informao;
b) proteo de ativos, incluindo:
1) procedimentos para proteo dos ativos da organizao, incluindo informao e software;
2) procedimentos para determinar se houve algum comprometimento destes ativos, por exemplo se houve perda
ou modificao de dados;
3) controles para garantir a devoluo ou destruio das informaes e ativos em um determinado momento
durante ou no final do contrato;
4) integridade e disponibilidade;
5) restries relacionadas com a cpia e divulgao da informao;
c) descrio de cada servio que deve estar disponvel;
d) nveis de servio desejados e no aceitveis;
e) condies para transferncia da equipe de trabalho, onde for apropriado;
f) as respectivas obrigaes dos envolvidos no acordo;
g) responsabilidades com aspectos legais, por exemplo leis de proteo de dados, especialmente levando em
considerao diferenas nas legislaes vigentes se o contrato envolver a cooperao com organizaes de outros
pases (ver tambm 12.1);
h) direitos de propriedade intelectual e direitos autorais (ver 12.1.2) e proteo de qualquer trabalho colaborativo (ver
tambm 6.1.3);
i) acordos de controle de acesso, abrangendo:
1) mtodos de acesso permitidos e controle e uso de identificadores nicos como ID e senhas de acesso;
2) processo de autorizao para acesso e privilgios para os usurios;
3) requisitos para manter uma lista de usurios autorizados a usar os servios disponibilizados e quais so seus
direitos e privilgios;
j) definio de critrios de verificao do desempenho, sua monitorao e registro;
k) direito de monitorar e revogar as atividades de usurios;
l) direito de auditar as responsabilidades contratuais ou ter a auditoria executada por prestadores de servio;
m) estabelecimento de um processo escalonvel para a resoluo de problemas; convm que tambm sejam
considerados procedimentos de contingncia, onde apropriados;
n) responsabilidades envolvendo a instalao e manuteno de hardware e software;
o) registros com estrutura clara e formato preestabelecido;
p) procedimentos claros e especficos para gerenciamento de mudanas;
q) quaisquer controles de proteo fsica e mecanismos necessrios para garantir que tais controles esto sendo
seguidos;
r) treinamento de administradores e usurios em mtodos, procedimentos e segurana;
s) controles que garantam proteo contra software malicioso (ver 8.3);
t) requisitos para registro, notificao e investigao de incidentes e violaes da segurana;
u) envolvimento de prestadores de servios com subcontratados.
4.3 Terceirizao
Objetivo: Manter a segurana da informao quando a responsabilidade pelo processamento da informao terceirizada
para uma outra organizao.
Convm que o acordo de terceirizao considere riscos, controles de segurana e procedimentos para os sistemas de
informao, rede de computadores e/ou estaes de trabalho no contrato entre as partes.
4.3.1 Requisitos de segurana dos contratos de terceirizao
Convm que os requisitos de segurana com prestadores de servios para gerenciamento e controle de todos ou alguns
dos sistemas de informao, redes de computadores e/ou estaes de trabalho constem no contrato entre as partes.
Por exemplo, convm que o contrato considere:
a) como os requisitos legais devem ser atendidos, por exemplo a legislao de proteo de dados;
b) quais acordos devem ser estabelecidos para garantir que todas as partes envolvidas na terceirizao, incluindo
subcontratados, estejam cientes das suas responsabilidades de segurana;
c) como a integridade e a confidencialidade dos ativos organizacionais devem ser mantidas e testadas;
d) quais controles fsicos e lgicos sero utilizados para restringir e limitar o acesso de usurios autorizados s
informaes sensveis da organizao;
e) como a disponibilidade dos servios ser mantida em caso de desastre;
f) quais nveis de segurana fsica esto sendo fornecidos para equipamentos terceirizados;
g) o direito de auditar.
Convm que os termos descritos em 4.2.2 tambm faam parte deste contrato. Convm que o contrato permita que os
requisitos e procedimentos de segurana possam ser expandidos em um plano de gesto da segurana em comum acordo
entre as duas partes.
Embora os contratos de terceirizao possam levantar algumas questes complexas de segurana, os controles includos
nesta Norma podem servir como um ponto de partida para contratos que envolvam a estrutura e o contedo do plano de
gesto da segurana.
5 Classificao e controle dos ativos de informao
5.1 Contabilizao dos ativos
Objetivo: Manter a proteo adequada dos ativos da organizao.
Convm que todos os principais ativos de informao sejam inventariados e tenham um proprietrio responsvel.
O inventrio dos ativos ajuda a assegurar que a proteo est sendo mantida de forma adequada. Convm que os proprietrios dos principais ativos sejam identificados e a eles seja atribuda a responsabilidade pela manuteno apropriada
dos controles. A responsabilidade pela implementao dos controles pode ser delegada. Convm que a responsabilidade
pela prestao de contas fique com o proprietrio nomeado do ativo.
5.1.1 Inventrio dos ativos de informao
O inventrio dos ativos ajuda a assegurar que as protees esto sendo feitas de forma efetiva e tambm pode ser
requerido para outras finalidades de negcio, como sade e segurana, seguro ou financeira (gerenciamento patrimonial).
O processo de compilao de um inventrio de ativos um aspecto importante no gerenciamento de risco. Uma organizao precisa ser capaz de identificar seus ativos e seus respectivos valores e importncia. Baseada nesta informao,
uma organizao pode ento fornecer nveis de proteo proporcionais ao valor e importncia desses ativos. Convm que
um inventrio dos principais ativos associados com cada sistema de informao seja estruturado e mantido. Convm que
cada ativo e seu respectivo proprietrio sejam claramente identificados e a classificao de segurana (ver 5.2) seja
acordada e documentada, juntamente com a sua localizao atual (importante quando se tenta recuperar perdas ou
danos). Exemplos de ativos associados com sistemas de informao so:
a) ativos de informao: base de dados e arquivos, documentao de sistema, manuais de usurio, material de
treinamento, procedimentos de suporte ou operao, planos de continuidade, procedimentos de recuperao,
informaes armazenadas;
b) ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitrios;
c) ativos fsicos: equipamentos computacionais (processadores, monitores, laptops, modems), equipamentos de
comunicao (roteadores, PABXs, fax, secretrias eletrnicas), mdia magntica (fitas e discos), outros equipamentos
tcnicos (no-breaks, ar-condicionado), moblia, acomodaes;
d) servios: computao e servios de comunicao, utilidades gerais, por exemplo aquecimento, iluminao,
eletricidade, refrigerao.
10
11
12
13
14
15
c) Convm que a(s) porta(s) externa(s) destas reas seja(m) mantida(s) protegida(s) quando as portas internas
estiverem abertas.
d) Convm que o material de entrada seja inspecionado contra potenciais perigos [ver 7.2.1 d)], antes de ser
transportado dessa rea para a rea na qual ser utilizado.
e) Convm que o material recebido seja registrado, se apropriado (ver 5.1), quando da sua recepo.
7.2 Segurana dos equipamentos
Objetivo: Prevenir perda, dano ou comprometimento dos ativos, e a interrupo das atividades do negcio.
Convm que os equipamentos sejam fisicamente protegidos contra ameaas sua segurana e perigos ambientais.
A proteo dos equipamentos (incluindo aqueles utilizados fora das instalaes fsicas da organizao) necessria para
reduzir o risco de acessos no autorizados a dados e para proteo contra perda ou dano. Convm que esta proteo
considere os equipamentos instalados e os em alienao. Controles especiais podem ser exigidos para proteo contra
perigos ou acessos no autorizados e para salvaguardar as instalaes de suporte, como o fornecimento de energia
eltrica e cabeamento.
7.2.1 Instalao e proteo de equipamentos
Convm que os equipamentos sejam instalados ou protegidos para reduzir o risco de ameaas ambientais, perigos e
oportunidades de acesso no autorizado. Recomenda-se que os seguintes itens sejam considerados.
a) Convm que os equipamentos sejam instalados de forma a reduzir acessos desnecessrios rea de trabalho.
b) Convm que as instalaes de processamento e armazenamento de informao que tratam de informaes
sensveis sejam posicionadas de maneira a reduzir riscos de espionagem de informaes durante o seu uso.
c) Convm que os itens que necessitem de proteo especial sejam isolados para reduzir o nvel geral de proteo
exigida.
d) Convm que sejam adotados controles, de forma a minimizar ameaas potenciais, incluindo:
1)
roubo;
2)
fogo;
3)
explosivos;
4)
fumaa;
5)
6)
poeira;
7)
vibrao;
8)
efeitos qumicos;
9)
16
recomendado o uso de no-break em equipamentos que suportem atividades crticas para permitir o encerramento
ordenado ou a continuidade do processamento. Convm que os planos de contingncia contenham aes a serem
tomadas em casos de falha no no-break. Convm que esse tipo de equipamento seja periodicamente verificado, de forma
a garantir que ele esteja com a capacidade adequada, e testado de acordo com as recomendaes do fabricante.
Convm que um gerador de reserva seja considerado se o processamento requer continuidade, em caso de uma falha
eltrica prolongada. Se instalados, convm que os geradores sejam testados regularmente de acordo com as instrues do
fabricante. Convm que um fornecimento adequado de leo esteja disponvel para assegurar que o gerador possa ser
utilizado por um perodo prolongado.
Adicionalmente, convm que se tenham interruptores eltricos de emergncia localizados prximo s sadas de emergncia das salas de equipamentos para facilitar o desligamento em caso de emergncia. Convm que iluminao de
emergncia esteja disponvel em casos de falha da fonte eltrica primria. Convm que proteo contra relmpagos seja
usada em todos os prdios e que filtros de proteo contra raios sejam instalados para todas as linhas de comunicao
externas.
7.2.3 Segurana do cabeamento
Convm que o cabeamento eltrico e de telecomunicao que transmite dados ou suporta os servios de informao seja
protegido contra interceptao ou dano. Recomenda-se que os seguintes controles sejam considerados.
a) Convm que as linhas eltricas e de telecomunicaes das instalaes de processamento da informao sejam
subterrneas, onde possvel, ou sejam submetidas proteo alternativa adequada.
b) Convm que o cabeamento da rede seja protegido contra interceptaes no autorizadas ou danos, por exemplo
pelo uso de condutes ou evitando a sua instalao atravs de reas pblicas.
c) Convm que os cabos eltricos fiquem separados dos cabos de comunicao para prevenir interferncias.
d) Convm que para sistemas crticos ou sensveis sejam utilizados alguns controles adicionais, tais como:
1)
instalao de condutes blindados e salas ou gabinetes trancados nos pontos de inspeo e terminais;
2)
3)
4)
17
18
c) instrues para tratamento de erros ou outras condies excepcionais, que possam ocorrer durante a execuo de
uma determinada tarefa, incluindo restries de uso dos recursos do sistema (ver 9.5.5);
d) contato com os tcnicos do suporte para o caso de eventos operacionais no esperados ou dificuldades tcnicas;
e) instrues para movimentao de sadas de produtos especiais, tais como o uso de formulrios especiais ou o
tratamento de produtos confidenciais, incluindo procedimentos para a alienao segura de resultados provenientes de
rotinas com falhas;
f) procedimento para o reincio e recuperao para o caso de falha do sistema.
Convm que procedimentos documentados sejam tambm preparados para as atividades de housekeeping associadas
com os recursos de comunicao e de processamento das informaes, tais como procedimentos de inicializao e
encerramento de atividades de computadores, gerao de cpias de segurana (back-up), manuteno de equipamentos,
segurana e gesto do tratamento das correspondncias e sala de computadores.
8.1.2 Controle de mudanas operacionais
Convm que modificaes nos sistemas e recursos de processamento da informao sejam controladas. O controle inadequado de modificaes nos sistemas e nos recursos de processamento da informao uma causa comum de falha de
segurana ou de sistema. Convm que exista uma formalizao dos procedimentos e das responsabilidades para garantir
que haja um controle satisfatrio de todas as mudanas de equipamentos, software ou procedimentos. Convm que
programas que estejam em produo sejam submetidos a um controle especfico de modificaes. Quando da mudana de
programas, convm que seja realizada e mantida uma trilha de auditoria (registro) com todas as informaes relevantes.
Modificaes no ambiente operacional podem causar impacto em aplicaes. Sempre que possvel, convm que os
procedimentos de controle operacional e de aplicaes sejam integrados (ver tambm 10.5.1). Em particular, recomenda-se
que os seguintes controles sejam considerados:
a) identificao e registro das modificaes significativas;
b) avaliao de impacto potencial de tais mudanas;
c) procedimento formal de aprovao das mudanas propostas;
d) comunicao dos detalhes das modificaes para todas as pessoas com envolvimento relevante;
e) procedimentos que identifiquem os responsveis para a suspenso e recuperao de mudanas no caso de
insucesso.
8.1.3 Procedimentos para o gerenciamento de incidentes
Convm que as responsabilidades e procedimentos de gerenciamento de incidentes sejam definidos para garantir uma
resposta rpida, efetiva e ordenada aos incidentes de segurana (ver tambm 6.3.1). Recomenda-se que os seguintes
controles sejam considerados:
a) Convm que sejam estabelecidos procedimentos que cubram todos os tipos potenciais de incidentes de segurana,
incluindo:
1)
2)
no obteno de servio;
3)
4)
violao de confidencialidade.
b) Alm dos planos de contingncia (projetados para recuperao de sistemas ou servios com a maior rapidez
possvel), convm que os procedimentos tambm contemplem (ver tambm 6.3.4):
1)
2)
3)
4)
5)
c) Convm que trilhas de auditoria e evidncias similares sejam coletadas (ver 12.1.7) e mantidas com a devida
segurana, para:
1) anlise de problemas internos;
2) uso como evidncia para o caso de uma potencial violao de contrato ou de normas reguladoras ou em caso de
delitos civis ou criminais, por exemplo relacionados ao uso doloso de computadores ou legislao de proteo dos
dados;
3) negociao para compensao ou ressarcimento por parte de fornecedores de software e servios.
19
d) Recomenda-se que as aes para recuperao de violaes de segurana e correo de falhas do sistema sejam
cuidadosa e formalmente controladas. Recomenda-se que os procedimentos garantam que:
1) apenas pessoal explicitamente identificado e autorizado esteja liberado para acessar sistemas e dados em produo (ver tambm 4.2.2 para acesso de prestadores de servios);
2) todas as aes de emergncia adotadas sejam documentadas em detalhe;
3) as aes de emergncia sejam relatadas para a direo e analisadas criticamente de maneira ordenada;
4) a integridade dos sistemas do negcio e seus controles sejam validados na maior brevidade.
8.1.4 Segregao de funes
A segregao de funes um mtodo para reduo do risco de mau uso acidental ou deliberado dos sistemas. Convm
que a separao da administrao ou execuo de certas funes, ou reas de responsabilidade, a fim de reduzir oportunidades para modificao no autorizada ou mau uso das informaes ou dos servios, seja considerada.
As pequenas organizaes podem considerar esse mtodo de controle difcil de ser implantado, mas o seu princpio deve
ser aplicado to logo quanto possvel e praticvel. Onde for difcil a segregao, convm que outros controles, como a
monitorao das atividades, trilhas de auditoria e o acompanhamento gerencial, sejam considerados. importante que a
auditoria da segurana permanea como uma atividade independente.
Convm que sejam tomados certos cuidados para que as reas nas quais a responsabilidade seja apenas de uma pessoa
no venham a ser alvo de fraudes que no possam ser detectadas. Recomenda-se que o incio de um evento seja
separado de sua autorizao. Recomenda-se que os seguintes controles sejam considerados.
a) importante segregar atividades que requeiram cumplicidade para a concretizao de uma fraude, por exemplo a
emisso de um pedido de compra e a confirmao do recebimento da compra.
b) Se existir o perigo de conluios, ento necessrio o planejamento de controles de modo que duas ou mais pessoas
necessitem estar envolvidas, diminuindo dessa forma a possibilidade de conspiraes.
8.1.5 Separao dos ambientes de desenvolvimento e de produo
A separao dos ambientes de desenvolvimento, teste e produo importante para se alcanar a segregao de funes
envolvidas. Convm que as regras para a transferncia de software em desenvolvimento para produo sejam bem
definidas e documentadas.
As atividades de desenvolvimento e teste podem causar srios problemas, como, por exemplo, modificaes no autorizadas total ou parcialmente de arquivos ou do sistema. Convm que seja avaliado o nvel de separao necessrio entre
o ambiente de produo e os ambientes de teste e de desenvolvimento, para prevenir problemas operacionais.
Convm que uma separao semelhante tambm seja implementada entre as funes de desenvolvimento e de teste.
Nesse caso, necessria a existncia de um ambiente confivel e estvel, no qual possam ser executados os testes e que
seja capaz de prevenir o acesso indevido do pessoal de desenvolvimento.
Quando o pessoal de desenvolvimento e teste possui acesso ao ambiente de produo, eles podem introduzir cdigos no
testados ou autorizados, ou mesmo alterar os dados reais do sistema. Em alguns sistemas essa capacidade pode ser mal
utilizada para a execuo de fraudes, ou introduo de cdigos maliciosos ou no testados. Esse tipo de cdigo pode
causar srios problemas operacionais. O pessoal de desenvolvimento e os encarregados dos testes tambm representam
uma ameaa confidencialidade das informaes de produo.
As atividades de desenvolvimento e teste podem causar modificaes no intencionais no software e a informao se eles
compartilham o mesmo ambiente computacional. A separao dos recursos de desenvolvimento, de teste e operacionais
dessa forma bastante desejvel para a reduo do risco de modificao acidental ou acesso no autorizado ao software
operacional e dados dos negcios. Recomenda-se que os seguintes controles sejam considerados.
a) Convm que o software em desenvolvimento e o software em produo sejam, sempre que possvel, executados em
diferentes processadores, ou diferentes domnios ou diretrios.
b) Convm que as atividades de desenvolvimento e teste ocorram de forma separada, tanto quanto possvel.
c) Convm que compiladores, editores e outros programas utilitrios no sejam acessveis a partir do ambiente de
produo, quando isso no for uma necessidade.
d) Convm que o processo de acesso ao ambiente de produo seja diferente do acesso de desenvolvimento para
reduzir a possibilidade de erro. Convm que os usurios sejam incentivados a usar diferentes senhas para esses
ambientes e as telas de abertura exibam mensagens de identificao apropriadas.
e) Convm que o pessoal de desenvolvimento receba senhas para acesso ao ambiente de produo, de forma
controlada e apenas para suporte a sistemas no ambiente de produo. Convm que sejam utilizados controles que
garantam que tais senhas sejam alteradas aps o uso.
20
21
22
b) Convm que seja dado s cpias de segurana um nvel adequado de proteo fsica e ambiental (ver seo 7),
compatvel com os padres utilizados no ambiente principal. Convm que os controles adotados para as mdias no
ambiente principal sejam estendidos para o ambiente de backup.
c) Convm que as mdias utilizadas para cpias sejam periodicamente testadas, quando possvel, de modo a garantir
sua confiabilidade, quando necessrio.
d) Convm que os procedimentos de recuperao sejam verificados e testados periodicamente para assegurar que
sejam efetivos e que possam ser aplicados integralmente dentro dos prazos alocados para estes procedimentos
operacionais de recuperao.
Convm que sejam especificados o perodo de reteno para informaes essenciais ao negcio e tambm qualquer
requerimento para o arquivamento de cpias de segurana com reteno permanente (ver 12.1.3).
8.4.2 Registros de operao
Convm que seja mantido registro das atividades do pessoal de operao. Convm que esses registros incluam, conforme
apropriado:
a) horrio de incio e fim dos processamentos;
b) erros e aes corretivas adotadas nos processamentos;
c) confirmao do correto tratamento dos arquivos de dados e dos resultados gerados nos processamentos;
d) identificao de quem est efetuando a operao.
Convm que os registros de atividades dos operadores sejam submetidos a checagem regular e independente, em
conformidade com os procedimentos operacionais.
8.4.3 Registro de falhas
Convm que qualquer tipo de falha seja relatada e que sejam tomadas aes corretivas. Convm que falhas informadas
por usurios relativas a problemas com processamento de informao ou sistemas de comunicao sejam registradas.
Convm que existam regras claras para o tratamento das falhas informadas, incluindo:
a) anlise crtica sobre os registros de falha para assegurar que as falhas foram satisfatoriamente resolvidas;
b) anlise crtica sobre as medidas corretivas aplicadas para se assegurar de que elas no tenham comprometido os
controles e que as aes adotadas tenham sido devidamente autorizadas.
8.5 Gerenciamento da rede
Objetivo: Garantir a salvaguarda das informaes na rede e a proteo da infra-estrutura de suporte.
O gerenciamento da segurana de redes que se estendam alm dos limites fsicos da organizao requer particular
ateno.
Tambm pode ser necessria a utilizao de controles adicionais para proteo de dados sensveis que transitam por
redes pblicas.
8.5.1 Controles da rede
necessria a utilizao de um conjunto de controles, de forma a obter e preservar a segurana nas redes de
computadores. Convm que os gestores implementem controles para garantir a segurana de dados nas redes, assim
como a proteo dos servios disponibilizados contra acessos no autorizados. Particularmente, recomenda-se que os
seguintes itens sejam considerados.
a) Convm que a responsabilidade operacional sobre a rede seja segregada da operao dos computadores, onde for
apropriado (ver 8.1.4).
b) Convm que sejam estabelecidos procedimentos e responsabilidades para o gerenciamento de equipamentos
remotos, incluindo equipamentos nas instalaes dos usurios.
c) Quando necessrio, convm que sejam estabelecidos controles especiais para salvaguardar a confidencialidade e a
integridade dos dados que trafegam por redes pblicas, e para proteger os respectivos sistemas (ver 9.4 e 10.3).
Controles especiais tambm podem ser necessrios para manter a disponibilidade dos servios de rede e dos
computadores conectados.
d) Convm que as atividades de gerenciamento sejam cuidadosamente coordenadas, de forma a otimizarem o servio
prestado e garantirem que os controles utilizados sejam aplicados de forma consistente por toda a infra-estrutura de
processamento da informao.
23
24
25
2)
entrega em mos;
3)
4)
em casos excepcionais, diviso do contedo para mais de uma entrega e expedio por rotas distintas;
5)
26
27
28
29
f) garantia de que o provedor de servio no fornecer direitos de acesso at que os procedimentos de autorizao
sejam concludos;
g) manuteno de um registro formal de todas as pessoas cadastradas para usar o servio;
h) remoo imediata dos direitos de acesso de usurios que tenham mudado de funo ou sado da organizao;
i) verificao peridica para remoo de usurios (ID) e contas redundantes;
j) garantia de que identificadores de usurios (ID) redundantes no sejam atribudos para outros usurios.
Convm que seja considerada a incluso de clusulas nos contratos de funcionrios e de servios que especifiquem as
sanes em caso de tentativa de acesso no autorizado por funcionrio ou prestador de servio (ver tambm 6.1.4 e
6.3.5).
9.2.2 Gerenciamento de privilgios
Convm que a concesso e o uso de privilgios (qualquer caracterstica ou facilidade de um sistema de informao
multiusurio que permita ao usurio sobrepor controles do sistema ou aplicao) sejam restritos e controlados. O uso
inadequado de privilgios em sistemas freqentemente apontado como o maior fator de vulnerabilidade de sistemas.
Convm que sistemas multiusurio que necessitam de proteo contra acesso no autorizado tenham a concesso de
privilgios controlada atravs de um processo de autorizao formal. Recomenda-se que os seguintes passos sejam
considerados.
a) Convm que os privilgios associados a cada produto do sistema, por exemplo sistema operacional, sistema de
gerenciamento de banco de dados e cada aplicao, e as categorias dos funcionrios para os quais estes necessitam
ser concedidos sejam identificados.
b) Convm que os privilgios sejam concedidos a indivduos conforme a necessidade de uso ou determinao por
eventos, por exemplo os requisitos mnimos para sua funo somente quando necessrio.
c) Convm que um processo de autorizao e um registro de todos os privilgios concedidos sejam mantidos.
Convm que os privilgios no sejam fornecidos at que todo o processo de autorizao esteja finalizado.
d) Convm que o desenvolvimento e o uso de rotinas do sistema sejam incentivados de forma a evitar a necessidade
de fornecer privilgios aos usurios.
e) Convm que privilgios sejam estabelecidos para uma identidade de usurio diferente daquelas usadas
normalmente para os negcios.
9.2.3 Gerenciamento de senha dos usurios
Senhas so um meio comum de validao da identidade do usurio para obteno de acesso a um sistema de informao
ou servio. Convm que a concesso de senhas seja controlada atravs de um processo de gerenciamento formal, que
recomenda-se que considere o seguinte:
a) solicitar aos usurios a assinatura de uma declarao, a fim de manter a confidencialidade de sua senha pessoal e
das senhas de grupos de trabalho (isto pode estar incluso nos termos e condies do contrato de trabalho, ver 6.1.4);
b) garantir, onde os usurios necessitam manter suas prprias senhas, que esto sendo fornecidas senhas iniciais
seguras e temporrias, o que obriga o usurio a alter-la imediatamente. Convm que o fornecimento de senhas
temporrias para o caso de os usurios esquecerem sua senha seja efetuado somente aps a sua identificao
positiva;
c) requerer que senhas temporrias sejam dadas aos usurios de forma segura. Convm que o uso de prestadores de
servio ou de mensagens de correio eletrnico desprotegidas (texto claro) seja evitado. Convm que os usurios
acusem o recebimento das senhas.
No convm que senhas sejam armazenadas em sistemas de computador de forma desprotegida (ver 9.5.4). Outras
tecnologias para a identificao e autenticao de usurios, tais como reconhecimento biomtrico, por exemplo verificao
de impresso digital, verificao de assinatura e utilizao de tokens, como smart cards, j esto disponveis e convm que
sejam consideradas, se apropriado.
9.2.4 Anlise crtica dos direitos de acesso do usurio
Para manter controle efetivo sobre o acesso aos dados e servios de informao, convm que o gestor conduza em
intervalos regulares de tempo um processo formal de anlise crtica dos direitos de acesso dos usurios, de forma que:
a) os direitos de acesso dos usurios sejam analisados criticamente a intervalos regulares (um perodo de seis meses
recomendado) e aps quaisquer mudanas (ver 9.2.1);
b) as autorizaes para direitos de acesso privilegiados (ver 9.2.2) sejam analisadas criticamente em intervalos mais
freqentes, sendo recomendado um perodo de trs meses;
c) as concesses de privilgios sejam verificadas em intervalos regulares para garantir que privilgios no autorizados
no sejam obtidos.
30
31
32
9.4.4 Autenticao de n
A facilidade de conexo automtica para um computador remoto pode proporcionar uma forma de se ganhar acesso no
autorizado a uma aplicao do negcio. Portanto, convm que as conexes a sistemas remotos de computadores sejam
autenticadas. Isto especialmente importante se a conexo usar uma rede que est fora do controle do gerenciamento de
segurana da organizao. Alguns exemplos de autenticao e como eles podem ser alcanados so fornecidos em 9.4.3
acima.
A autenticao de n pode servir como um meio alternativo de autenticao de grupos de usurios remotos, onde eles so
conectados a um recurso computacional seguro e compartilhado (ver 9.4.3).
9.4.5 Proteo de portas de diagnstico remotas
Convm que o acesso s portas de diagnstico seja seguramente controlado. Muitos computadores e sistemas de
comunicao esto instalados com recursos que permitem o diagnstico remoto por dial-up para uso dos engenheiros de
manuteno. Se desprotegidas, essas portas de diagnstico proporcionam um meio de acesso no autorizado. Convm
que elas, portanto, sejam protegidas por um mecanismo de segurana apropriado, por exemplo uma chave de bloqueio e
um procedimento para garantir que elas sejam acessveis somente atravs de um acordo entre o gestor dos servios
computadorizados e o pessoal de suporte de hardware/software que solicitou o acesso.
9.4.6 Segregao de redes
As redes se estendem cada vez mais alm dos limites tradicionais da organizao, medida que as parcerias de negcio
so formadas, e podem requerer a interligao ou compartilhamento dos recursos de rede e de processamento de
informaes. Esta extenso pode aumentar o risco de acessos no autorizados aos sistemas de informao j existentes e
que utilizam a rede, e alguns dos quais podem necessitar proteo contra os usurios de uma outra rede por conta de sua
criticidade e sensitividade. Nestas circunstncias, convm que seja considerada a introduo de controles na rede, para
segregao de grupos de servios de informao, de usurios e de sistemas de informao.
Um dos mtodos de controlar a segurana de grandes redes dividi-las em domnios lgicos de rede separados, por
exemplo domnios internos e domnios externos, cada um dos quais protegidos por um permetro de segurana definido.
Tal permetro pode ser implementado com a instalao de um gateway seguro entre as duas redes que sero interligadas
para controlar o acesso e o fluxo de informaes entre os dois domnios. Convm que este gateway seja configurado para
filtrar o trfego entre estes dois domnios (ver 9.4.7 e 9.4.8) e para bloquear acessos no autorizados de acordo com a
poltica de controle de acesso da organizao (ver 9.1). Um exemplo deste tipo de gateway freqentemente referenciado
como firewall.
Convm que o critrio para segregao da rede em domnios seja baseado na poltica de controle de acesso e nos
requisitos de acesso (ver 9.1), e tambm leve em considerao o custo relativo e o impacto no desempenho pela
incorporao de roteamento adequado para a rede ou de tecnologia baseada em gateway (ver 9.4.7 e 9.4.8).
9.4.7 Controle de conexes de rede
Os requisitos da poltica de controle de acesso para redes compartilhadas, especialmente aquelas que se estendem alm
dos limites da organizao, podem requerer a incorporao de controles que limitem a capacidade de conexo dos
usurios. Tais controles podem ser implementados atravs de gateways de rede que filtram o trfego por meio de tabelas
ou regras predefinidas. Convm que as restries aplicadas sejam baseadas na poltica de controle de acesso e nos
requisitos das aplicaes do negcio (ver 9.1), e sejam mantidas e atualizadas adequadamente.
Exemplos de aplicaes nas quais convm que estas restries sejam aplicadas so:
a) correio eletrnico;
b) transferncia unidirecional de arquivos;
c) transferncia bidirecional de arquivos;
d) acesso interativo;
e) acesso rede associado hora do dia ou data.
9.4.8 Controle do roteamento de rede
Redes compartilhadas, especialmente aquelas que se estendem atravs dos limites organizacionais, podem necessitar a
incorporao de controles de roteamento que garantam que as conexes de computador e o fluxo de informaes no
violam a poltica de controle de acesso das aplicaes do negcio (ver 9.1). Este controle geralmente essencial para
redes compartilhadas com prestadores de servios (usurios que no pertencem ao quadro da organizao).
Convm que controles de roteamento sejam baseados em fontes confiveis e mecanismos de checagem de endereo de
destino. A traduo dos endereos de rede tambm um mecanismo muito til para isolar redes e prevenir a utilizao de
rotas da rede de uma organizao para redes de uma outra organizao. Eles podem ser implementados em software ou
hardware. Convm que os implementadores estejam cientes do poder de qualquer mecanismo usado.
9.4.9 Segurana dos servios de rede
Uma ampla variedade de servios pblicos ou privados de rede est disponvel, alguns dos quais oferecendo servios de
valor agregado. Os servios de rede podem ter caractersticas de segurana nicas ou complexas. Convm que as
organizaes que usam servios de rede se assegurem de que ser fornecida uma descrio clara dos atributos de
segurana de todos os servios usados.
33
34
Em circunstncias excepcionais, onde exista um claro benefcio ao negcio, pode ocorrer a utilizao de um ID
compartilhado por um grupo de usurios ou para um trabalho especfico. Convm que a aprovao pelo gestor esteja
documentada nestes casos. Controles adicionais podem ser necessrios para manuteno das responsabilidades.
Existem vrios procedimentos de autenticao, que podem ser usados para confirmar a identidade alegada por um
usurio. Senhas (ver tambm 9.3.1 e itens abaixo) so uma maneira muito comum de se prover identificao e
autenticao (I&A), baseadas em um segredo que apenas o usurio conhece. O mesmo pode ser obtido com meios
criptogrficos e protocolos de autenticao.
Objetos como tokens de memria ou smart card (cartes inteligentes) que os usurios possuem tambm podem ser
usados para identificao e autenticao. As tecnologias de autenticao biomtrica que usam caractersticas ou atributos
nicos de cada indivduo tambm podem ser usadas para autenticar a identidade de uma pessoa. Uma combinao de
tecnologias e mecanismos seguramente relacionados resultar em uma autenticao forte.
9.5.4 Sistema de gerenciamento de senhas
A senha um dos principais meios de validar a autoridade de um usurio para obter acesso a um servio de computador.
Convm que sistemas de gerenciamento de senhas proporcionem facilidade interativa e eficaz que assegure senhas de
qualidade (ver 9.3.1 para guiar-se no uso de senhas).
Algumas aplicaes requerem que senhas de usurio sejam atribudas por uma autoridade independente. Na maioria dos
casos as senhas so selecionadas e mantidas pelos usurios.
Convm que um bom sistema de gerenciamento de senhas:
a) obrigue o uso de senhas individuais para manter responsabilidades;
b) onde apropriado, permita que os usurios selecionem e modifiquem suas prprias senhas, incluindo um procedimento de confirmao para evitar erros;
c) obrigue a escolha de senhas de qualidade como descrito em 9.3.1;
d) onde os usurios mantm suas prprias senhas, obrigue a troca como descrito em 9.3.1;
e) onde os usurios selecionam senhas, obrigue a troca da senha temporria no primeiro acesso (ver 9.2.3);
f) mantenha registro das senhas anteriores utilizadas, por exemplo para os 12 meses passados, e bloqueie a
reutilizao de senhas;
g) no mostre as senhas na tela quando forem digitadas;
h) armazene os arquivos de senha separadamente dos dados de sistemas e de aplicao;
i) armazene as senhas na forma cifrada, usando um algoritmo de criptografia unidirecional;
j) altere senhas-padro fornecidas pelo fabricante, aps a instalao do software.
9.5.5 Uso de programas utilitrios
A maioria das instalaes possui um ou mais programas utilitrios de sistema que podem ser capazes de sobrepor os
controles dos sistemas e aplicaes. essencial que o uso destes programas seja restrito e estritamente controlado.
Convm que os seguintes controles sejam considerados:
a) uso de procedimentos de autenticao para utilitrios de sistema;
b) segregao dos utilitrios de sistema do software de aplicao;
c) limitao do uso dos utilitrios de sistema a um nmero mnimo de usurios confiveis e autorizados;
d) autorizao para uso particular dos utilitrios de sistema;
e) limitao da disponibilidade dos utilitrios de sistema, por exemplo para a durao de uma modificao autorizada;
f) registro de todo o uso de utilitrios de sistemas;
g) definio e documentao dos nveis de autorizao necessrios para os utilitrios de sistema;
h) remoo de todo software utilitrio e de sistemas desnecessrios.
9.5.6 Alarme de intimidao para a salvaguarda de usurios
Convm que a proviso de um alarme de intimidao seja considerada para usurios que podem ser alvo de coao.
Convm que a deciso de implantar tal alarme seja baseada na avaliao de riscos. Convm que sejam definidos as
responsabilidades e os procedimentos para responder a um alarme de intimidao.
35
36
2)
3)
tipo do evento;
4)
5)
2)
3)
2)
3)
2)
3)
37
38
Convm que proteo adequada seja dada para o uso dos recursos de computao mvel conectados em rede. Convm
que o acesso remoto s informaes do negcio atravs de redes pblicas, usando os recursos de computao mvel,
ocorra apenas aps o sucesso da identificao e da autenticao, e com os mecanismos de controle de acesso
apropriados implantados (ver 9.4).
Convm que os recursos de computao mvel tambm estejam protegidos fisicamente contra roubo, especialmente
quando deixados, por exemplo, em carros ou em outros meios de transporte, quartos de hotis, centros de conferncia e
locais de reunio. Convm que os equipamentos que contm informaes importantes, sensveis e/ou crticas para o
negcio nunca sejam deixados sem observao e, quando possvel, sejam fisicamente trancados, ou convm que travas
especiais sejam utilizadas de forma a manter o equipamento seguro. Maiores informaes sobre a proteo fsica de
equipamentos mveis podem ser encontradas em 7.2.5.
Convm que seja preparado treinamento para o grupo de trabalho que utiliza a computao mvel, para aumentar o nvel
de conscientizao a respeito dos riscos adicionais resultantes desta forma de trabalho e dos controles que devem ser
implementados.
9.8.2 Trabalho remoto
O trabalho remoto utiliza tecnologia de comunicao para permitir que funcionrios trabalhem remotamente a partir de uma
localizao fsica fora da sua organizao. Convm que a proteo apropriada do local do trabalho remoto seja implantada
para evitar, por exemplo, o roubo do equipamento e de informaes, a divulgao no autorizada de informao, o acesso
remoto no autorizado aos sistemas internos da organizao ou o uso imprprio destes recursos. importante que o
trabalho remoto seja tanto autorizado quanto controlado pelo gestor e que as providncias adequadas a esta forma de
trabalho tenham sido tomadas.
Convm que as organizaes considerem o desenvolvimento de polticas, procedimentos e normas para controlar as
atividades do trabalho remoto. Convm que as organizaes somente autorizem as atividades de trabalho remoto se
existirem controles e acordos de segurana apropriados e em vigor e que estejam em conformidade com a poltica de
segurana da organizao. Recomenda-se considerar o seguinte:
a) a segurana fsica existente no local do trabalho remoto, levando-se em conta a segurana fsica do prdio e o
ambiente local;
b) o ambiente proposto de trabalho remoto;
c) os requisitos de segurana nas comunicaes, levando em conta a necessidade do acesso remoto para os sistemas
internos da organizao, a sensibilidade das informaes que sero acessadas e que sero trafegadas na linha de
comunicao e a sensibilidade do sistema interno;
d) a ameaa de acesso no autorizado informao ou aos recursos por outras pessoas que utilizam o local, por
exemplo familiares e amigos.
Os controles e providncias que devem ser considerados incluem:
a) a proviso de equipamento e moblia apropriados s atividade de trabalho remoto;
b) uma definio do trabalho permitido, as horas de trabalho, a classificao da informao que pode ser tratada e os
sistemas internos e servios que o funcionrio autorizado a obter acesso;
c) a proviso de equipamento de comunicao apropriado, incluindo mtodos para acesso remoto seguro;
d) segurana fsica;
e) regras e orientaes sobre o acesso de familiares e visitantes ao equipamento e informao;
f) a proviso de suporte e manuteno de hardware e software;
g) os procedimentos para cpias de segurana e continuidade do negcio;
h) auditoria e monitorao da segurana;
i) revogao de autoridade, direitos de acesso e devoluo do equipamento quando as atividades de trabalho remoto
cessarem.
10 Desenvolvimento e manuteno de sistemas
10.1 Requisitos de segurana de sistemas
Objetivos: Garantir que a segurana seja parte integrante dos sistemas de informao.
Isto incluir infra-estrutura, aplicaes do negcio e aplicaes desenvolvidas pelo usurio. O projeto e a implementao
dos processos do negcio que do suporte s aplicaes e aos servios podem ser cruciais para segurana. Convm que
requisitos de segurana sejam identificados e acordados antes do desenvolvimento dos sistemas de informao.
Convm que todos os requisitos de segurana, incluindo a necessidade de acordos de contingncia, sejam identificados na
fase de levantamento de requisitos de um projeto e justificados, acordados e documentados como parte do estudo de caso
de um negcio para um sistema de informao.
39
40
41
Convm que uma organizao desenvolva uma poltica do uso de controles de criptografia para a proteo das suas
informaes. Tal poltica necessria para se maximizar os benefcios e minimizar os riscos da utilizao das tcnicas
criptogrficas e para se evitar o uso imprprio ou incorreto. Quando do desenvolvimento de uma poltica, recomenda-se
considerar o seguinte:
a) enfoque da direo frente ao uso dos controles de criptografia atravs da organizao, incluindo os princpios gerais
sob os quais as informaes do negcio devem ser protegidas;
b) enfoque utilizado para o gerenciamento de chaves, incluindo mtodos para tratar a recuperao de informaes
criptografadas em casos de chaves perdidas, expostas ou danificadas;
c) regras e responsabilidades, por exemplo quem responsvel por:
d) implementao da poltica;
e) gerenciamento das chaves;
f) como deve ser determinado o nvel apropriado de proteo criptogrfica;
g) as normas a serem adotadas para a efetiva implementao atravs da organizao (qual soluo utilizada para
qual processo do negcio).
10.3.2 Criptografia
A codificao uma tcnica criptogrfica que pode ser usada para proteger a confidencialidade da informao.
Convm que seja considerada para a proteo de informaes crticas ou sensveis.
Baseado na avaliao de risco, convm que o nvel apropriado de proteo seja identificado levando-se em conta o tipo e a
qualidade do algoritmo de codificao usado e o tamanho das chaves criptogrficas a serem utilizadas.
Quando se implementa a poltica de criptografia na organizao, convm que se tenha ateno com as regulamentaes e
restries nacionais que possam ter implicaes no uso das tcnicas criptogrficas em diferentes partes do mundo e com o
fluxo de informaes codificadas alm das fronteiras. Em adio, convm que tambm se considerem os controles
aplicados para a exportao e importao de tecnologias de criptografia (ver tambm 12.1.6).
Convm que assessoria especializada seja procurada para a identificao do nvel de proteo apropriado, para seleo
dos produtos mais adequados que fornecero a proteo necessria e a implementao de um sistema seguro de
gerenciamento de chaves (ver tambm 10.3.5). Adicionalmente, assessoria legal pode ser necessria com respeito s leis e
regulamentaes aplicveis organizao que pretende usar criptografia.
10.3.3 Assinatura digital
As assinaturas digitais fornecem os meios para proteo da autenticidade e integridade de documentos eletrnicos.
Por exemplo, elas podem ser utilizadas no comrcio eletrnico onde existe a necessidade de verificar quem assinou o
documento eletrnico e checar se o contedo do documento eletrnico assinado foi modificado.
Assinaturas digitais podem ser aplicadas a qualquer forma de documento que processado eletronicamente, por exemplo
elas podem ser usadas para assinar pagamentos eletrnicos, transferncias de fundos, contratos e acordos. Assinaturas
digitais podem ser implementadas utilizando as tcnicas criptogrficas baseadas em um nico par de chaves relacionadas,
em que uma das chaves utilizada para criar uma assinatura (a chave privada) e a outra para verificar a assinatura (chave
pblica).
Convm que cuidados sejam tomados para proteger a confidencialidade da chave privada. Convm que esta chave seja
mantida em segredo, uma vez que qualquer pessoa que tiver acesso a esta chave pode assinar documentos, por exemplo
pagamentos e contratos, falsificando a assinatura do proprietrio da chave. Adicionalmente, importante a proteo da
integridade da chave pblica. Esta proteo fornecida pelo uso de certificados de chave pblica (ver 10.3.5).
Deve-se considerar o tipo e a qualidade do algoritmo de assinatura digital usado e o tamanho da chave. Convm que as
chaves criptogrficas usadas para assinaturas digitais sejam diferentes daquelas usadas para criptografia (ver 10.3.2).
Quando se utilizam assinaturas digitais, convm que se considere qualquer legislao relacionada que descreva as
condies sob as quais uma assinatura digital possui valor legal. Por exemplo, no caso do comrcio eletrnico importante
saber a sustentao legal das assinaturas digitais. Pode ser necessrio, onde a estrutura legal for inadequada, ter contratos
de obrigaes ou outro tipo de acordo para suportar o uso de assinaturas digitais. Convm que se procure um
aconselhamento legal considerando as leis e regulamentaes que podem ser aplicadas organizao que pretende usar
assinaturas digitais.
10.3.4 Servios de no repdio
Convm que os servios de no repdio sejam usados nos casos em que seja necessrio resolver disputas sobre
ocorrncia ou no ocorrncia de um evento ou ao, por exemplo uma disputa envolvendo o uso de uma assinatura digital
em um contrato ou pagamento eletrnico. Eles podem ajudar a estabelecer evidncias para substanciar se um evento ou
ao em particular ocorreu, por exemplo, negao do envio de uma instruo assinada digitalmente usando-se o correio
eletrnico. Estes servios so baseados no uso de criptografia e tcnicas de assinatura digital (ver tambm 10.3.2 e
10.3.3).
42
43
44
h) Convm que as verses antigas de programas-fonte sejam arquivadas, com uma indicao clara e precisa da data e
perodo no qual estiveram em produo, junto com todo o respectivo software de suporte, controle de tarefa, definies
de dados e procedimentos.
i) Convm que a manuteno e a cpia de bibliotecas de programa-fonte estejam sujeitas a procedimentos rgidos de
controle de mudana (ver 10.4.1).
10.5 Segurana nos processos de desenvolvimento e suporte
Objetivo: Manter a segurana do software e da informao do sistema de aplicao.
Convm que os ambientes de desenvolvimento e suporte sejam rigidamente controlados.
Convm que os gestores responsveis pelos sistemas de aplicao tambm sejam responsveis pela segurana do
ambiente de desenvolvimento ou suporte. Convm que eles garantam que todas as modificaes de sistemas propostas
sejam analisadas criticamente, a fim de verificar que elas no comprometem a segurana do sistema ou do ambiente de
produo.
10.5.1 Procedimentos de controle de mudanas
Para minimizar a corrupo dos sistemas de informao, convm que exista um controle rgido sobre a implementao de
mudanas. Convm que seja exigida a existncia de procedimentos formais de controle de mudanas. Convm que eles
garantam que os procedimentos de segurana e controle no sero comprometidos, que os programadores de suporte s
tero acesso quelas partes do sistema que sero necessrias ao seu trabalho e acordos formais e que qualquer mudana
somente ser implementada aps aprovao. Mudanas nos sistemas aplicativos podem trazer impacto ao ambiente
operacional. Sempre que for possvel, convm que os procedimentos de controle de mudana na produo sejam
integrados com a de aplicao (ver 8.1.2). Convm que este processo inclua:
a) manter um registro dos nveis de autorizao estabelecidos;
b) garantir que as mudanas sero implementadas por usurios autorizados;
c) analisar criticamente controles e a integridade dos procedimentos, de forma a garantir que os mesmos no sero
comprometidos pelas mudanas;
d) identificar todo software de computadores, informao, entidades de base de dados e hardware que necessitam de
correo;
e) obter aprovao formal para proposta detalhada antes do incio dos trabalhos;
f) garantir que o usurio autorizado aceite as modificaes antes de qualquer implementao;
g) garantir que a implementao ocorrer com o mnimo de transtorno para o negcio;
h) garantir que a documentao do sistema seja atualizada ao final de cada modificao e que a documentao antiga
seja arquivada ou destruda;
i) manter o controle da verso para todas as atualizaes de software;
j) manter uma trilha de auditoria para toda modificao requerida;
k) garantir que a documentao de operao (ver 8.1.1) e os procedimentos de usurio sero modificados conforme
necessrio, de forma a adequar as mudanas implementadas;
l) garantir que a implementao de mudanas ocorrer no tempo certo e no atrapalhar os processos do negcio
envolvidos.
Muitas organizaes mantm um ambiente no qual os usurios testam novos softwares segregados dos ambientes de
desenvolvimento e de produo. Esta estratgia favorece o controle sobre novo software, permitindo ainda a proteo
adicional da informao de produo que usada para a finalidade de teste.
10.5.2 Anlise crtica das mudanas tcnicas do sistema operacional da produo
Periodicamente necessrio modificar o sistema operacional, por exemplo para instalar uma correo (patch) ou uma nova
verso de software enviada pelo fornecedor. Quando as modificaes ocorrerem, convm que os sistemas de aplicao
sejam analisados criticamente e testados para garantir que no ocorrer nenhum impacto adverso na produo ou na
segurana. Recomenda-se que este processo cubra:
a) anlise crtica dos procedimentos de controle e integridade da aplicao, para garantir que eles no foram
comprometidos pelas mudanas efetuadas no sistema operacional;
b) garantia de que o planejamento e o oramento anual para suporte cobriro revises e testes de sistemas resultantes
das modificaes do sistema operacional;
c) garantia de que a notificao da modificao do sistema operacional feita de modo a permitir que as anlises
crticas apropriadas ocorram antes de qualquer implementao;
d) garantia de que as modificaes sejam feitas no plano de continuidade dos negcios (ver seo 11).
45
46
47
c) procedimentos de recuperao que descrevam as aes necessrias para a transferncia das atividades essenciais
do negcio ou os servios de infra-estrutura para localidades alternativas temporrias e para a reativao dos processos
do negcio no prazo necessrio;
d) procedimentos de recuperao que descrevam as aes a serem adotadas quando do restabelecimento das
operaes;
e) uma programao de manuteno que especifique quando e como o plano dever ser testado e a forma de se
proceder manuteno deste plano;
f) desenvolvimento de atividades educativas e de conscientizao com o propsito de criar o entendimento do processo
de continuidade do negcio e de assegurar que os processos continuem a serem efetivos;
g) designao das responsabilidades individuais, descrevendo quem responsvel pela execuo de que item do
plano. Convm que suplentes sejam definidos quando necessrio.
importante que cada plano possua um responsvel. Convm que os procedimentos de emergncia, planos de retomada
manual e os planos de recuperao fiquem sob a guarda do respectivo responsvel pelos processos e recursos envolvidos.
Convm que atividades de recuperao de servios tcnicos, tais como processamento da informao e instalaes de
comunicao, sejam usualmente de responsabilidade dos fornecedores destes servios.
11.1.5 Testes, manuteno e reavaliao dos planos de continuidade do negcio
11.1.5.1 Teste dos planos
Os planos de continuidade do negcio podem apresentar falhas quando testados, geralmente devido a pressupostos
incorretos, omisses ou mudanas de equipamentos e de pessoal. Por isto convm que eles sejam testados regularmente,
de forma a garantir sua permanente atualizao e efetividade. importante que tais testes tambm assegurem que todos
os membros da equipe de recuperao e outras pessoas de relevncia esto conscientes sobre os planos.
importante que o planejamento e a programao dos testes do(s) plano(s) de continuidade do negcio indiquem como e
quando cada elemento deve ser testado. recomendvel que os componentes isolados do(s) plano(s) sejam
freqentemente testados. Convm que vrias tcnicas sejam utilizadas, de modo a garantir a confiana de que o(s)
plano(s) ir(o) operar consistentemente em casos reais. Convm que sejam considerados:
a) testes de mesa simulando diferentes cenrios (verbalizando os procedimentos de recuperao para diferentes formas
de interrupo);
b) simulaes (particularmente til para o treinamento do pessoal nas suas atividades gerenciais ps-crise);
c) testes de recuperao tcnica (garantindo que os sistemas de informao possam ser efetivamente recuperados);
d) testes de recuperao em um local alternativo (executando os processos de negcio em paralelo com a recuperao
das operaes);
e) testes dos recursos, servios e instalaes de fornecedores (garantindo que os servios e produtos fornecidos
atendam aos requisitos contratados);
f) ensaio geral (testando se a organizao, o pessoal, os equipamentos, os recursos e os processos podem enfrentar
interrupes).
Estas tcnicas podem ser utilizadas por qualquer organizao e convm que elas reflitam a natureza do plano de
recuperao especfico.
11.1.5.2 Manuteno e reavaliao dos planos
importante que os planos de continuidade do negcio sejam mantidos por meio de anlises crticas regulares e
atualizaes, de forma a assegurar a sua contnua efetividade (ver 11.1.5.1). Convm que procedimentos sejam includos
no programa de gerenciamento de mudanas da organizao, de forma a garantir que as questes relativas continuidade
de negcios esto devidamente tratadas.
Convm que a responsabilidade pelas anlises crticas peridicas de cada parte do plano seja definida e estabelecida;
convm que a identificao de mudanas nas atividades do negcio que ainda no tenham sido contempladas nos planos
de continuidade de negcio seja seguida da apropriada atualizao. Convm que um controle formal de mudanas
assegure que os planos atualizados so distribudos e reforados por anlises crticas peridicas do plano como um todo.
Exemplos de situaes que podem demandar atualizaes nos planos incluem a aquisio de novo equipamento, ou
atualizao dos sistemas operacionais e alteraes:
a) de pessoal;
b) de endereos ou nmeros telefnicos;
c) de estratgia de negcio;
d) na localizao, instalaes e recursos;
48
e) na legislao;
f) em prestadores de servio, fornecedores e clientes-chave;
g) de processos (incluses e excluses);
h) no risco (operacional e financeiro).
12 Conformidade
12.1 Conformidade com requisitos legais
Objetivo: Evitar violao de qualquer lei criminal ou civil, estatutos, regulamentaes ou obrigaes contratuais e de
quaisquer requisitos de segurana.
O projeto, a operao, o uso e a gesto de sistemas de informao podem estar sujeitos a requisitos de segurana
contratuais, regulamentares ou estatutrios.
Convm que consultoria em requisitos legais especficos seja procurada em organizaes de consultoria jurdica ou em
profissionais liberais, adequadamente qualificados nos aspectos legais. Os requisitos legislativos variam de pas para pas e
tambm para a informao criada em um pas e transmitida para outro (isto , fluxo de dados internacional).
12.1.1 Identificao da legislao vigente
Convm que estatutos, regulamentaes ou clusulas contratuais relevantes sejam explicitamente definidos e documentados para cada sistema de informao. Convm que os controles e as responsabilidades especficos para atender a
estes requisitos sejam, de forma similar, definidos e documentados.
12.1.2 Direitos de propriedade intelectual
12.1.2.1 Direitos autorais
Convm que procedimentos apropriados sejam implementados para garantir a conformidade com as restries legais no
uso de material de acordo com leis de propriedade intelectual, como as de direitos autorais, patentes ou marcas registradas. A violao do direito autoral pode levar a uma ao legal envolvendo processos criminais.
Legislao, regulamentao e clusulas contratuais podem estabelecer restries para cpia de material que tenha direitos
autorais. Em particular, pode ser requerido que somente material que seja desenvolvido pela organizao ou que foi
licenciado ou fornecido pelos desenvolvedores para a organizao seja utilizado.
12.1.2.2 Direitos autorais de software
Produtos de software proprietrios so normalmente fornecidos sob um contrato de licenciamento que restringe o uso dos
produtos em mquinas especificadas e que pode limitar a cpia apenas para criao de uma cpia de segurana.
Convm que os seguintes controles sejam considerados:
a) divulgar uma poltica de conformidade de direito autoral de software que defina o uso legal de produtos de software e
de informao;
b) emitir padres para procedimentos de aquisio de produtos de software;
c) manter ateno sobre a poltica de aquisio e de direitos autorais de software e notificar a inteno de tomar aes
disciplinares contra colaboradores que violarem essas polticas;
d) manter adequadamente os registros de ativos;
e) manter provas e evidncias da propriedade de licenas, discos-mestres, manuais, etc.;
f) implementar controles para assegurar que o nmero mximo de usurios permitidos no excede o nmero de
licenas adquiridas;
g) conduzir verificaes para que somente produtos de software autorizados e licenciados sejam instalados;
h) estabelecer poltica para a manuteno das condies adequadas de licenas;
i) estabelecer uma poltica para disposio ou transferncia de software para outros;
j) utilizar ferramentas de auditoria apropriadas;
k) cumprir termos e condies para software e informao obtidos a partir de redes pblicas (ver tambm 8.7.6).
49
50
Muitos pases possuem, ou tm em processo de promulgao, leis de proteo contra o uso imprprio de computadores.
Pode ser crime o uso de um computador para fins no autorizados. Desta forma, essencial que os usurios estejam
conscientes do escopo exato de suas permisses de acesso. Isto pode, por exemplo, ser alcanado pelo registro das
autorizaes dos usurios por escrito, recomendando-se que a cpia seja assinada pelo usurio e armazenada de forma
segura pela organizao. Convm que os funcionrios de uma organizao e prestadores de servio sejam informados de
que nenhum acesso permitido, com exceo daqueles que foram autorizados.
No momento da conexo inicial convm que seja apresentada uma mensagem de advertncia na tela do computador,
indicando que o sistema que est sendo acessado privado e que no so permitidos acessos no autorizados. O usurio
tem que confirmar e reagir adequadamente mensagem na tela para continuar com o processo de conexo.
12.1.6 Regulamentao de controles de criptografia
Alguns pases tm estabelecido acordos, leis, regulamentaes ou outros instrumentos para controlar o acesso ou uso de
controles de criptografia. Tais controles podem incluir:
a) importao e/ou exportao de hardware e software de computador para execuo de funes criptogrficas;
b) importao e/ou exportao de hardware e software de computador que foi projetado para ter funes criptogrficas
embutidas;
c) mtodos mandatrios ou discricionrios de acesso dos pases informao cifrada por hardware ou software para
fornecer confidencialidade ao contedo.
Convm que assessoria jurdica seja obtida para garantir a conformidade com a legislao nacional vigente. Tambm
convm que seja obtida assessoria jurdica antes de se transferirem informaes cifradas ou controles de criptografia para
outros pases.
12.1.7 Coleta de evidncias
12.1.7.1 Regras para evidncias
necessrio ter evidncias adequadas para apoiar um processo jurdico contra uma pessoa ou organizao. Sempre que
este processo for uma questo disciplinar interna, as evidncias necessrias estaro descritas nos procedimentos internos.
Quando o processo envolver a lei, civil ou criminal, convm que as evidncias apresentadas estejam de acordo com as
regras para evidncias estabelecidas pela lei ou pelo tribunal de justia especfico onde o caso ser julgado. Em geral,
estas regras abrangem:
a) admissibilidade da evidncia: se a evidncia pode ser ou no utilizada pela corte;
b) importncia da evidncia: qualidade e inteireza da evidncia;
c) evidncia adequada de que controles estavam operando correta e consistentemente (isto , processo de controle de
evidncias) durante todo o perodo que a evidncia recuperada foi armazenada e processada pelo sistema.
12.1.7.2 Admissibilidade da evidncia
Para obter admissibilidade da evidncia, recomenda-se que as organizaes garantam que seus sistemas de informao
esto em conformidade com qualquer norma ou cdigo de prtica publicado para produo de evidncia admissvel.
12.1.7.3 Qualidade e inteireza da evidncia
Para obter qualidade e inteireza da evidncia, uma boa trilha de evidncia necessria. Em geral, tal trilha pode ser
estabelecida sob as seguintes condies.
a) Para documentos em papel: o original mantido de forma segura e so mantidos registros sobre quem encontrou,
onde foi encontrado, quando foi encontrado e quem testemunhou a descoberta. Convm que qualquer investigao
garanta que os originais no foram adulterados.
b) Para informaes em mdia eletrnica: convm que cpias de qualquer mdia removvel, informaes em disco rgido
ou em memria sejam obtidas para garantir a disponibilidade. Convm que o registro de todas as aes durante o
processo de cpia seja mantido e o processo seja testemunhado. Convm que uma cpia da mdia magntica e um dos
registros sejam mantidos de forma segura.
Quando um incidente detectado, pode no ser bvio que resultar num possvel processo jurdico. Entretanto, existe o
perigo de que a evidncia necessria seja destruda acidentalmente antes que seja percebida a seriedade do incidente.
conveniente envolver um advogado ou a polcia to logo seja constatada a possibilidade de processos jurdicos e obter
consultoria sobre as evidncias necessrias.
12.2 Anlise crtica da poltica de segurana e da conformidade tcnica
Objetivo: Garantir conformidade dos sistemas com as polticas e normas organizacionais de segurana.
Convm que a segurana dos sistemas de informao seja analisada criticamente a intervalos regulares.
Convm que tais anlises crticas sejam executadas com base nas polticas de segurana apropriadas e que as
plataformas tcnicas e sistemas de informao sejam auditados na conformidade com as normas de segurana
implementadas.
51
52
Anexo A (informativo)
Descrio dos termos apresentados em ingls nesta Norma
BBS (Bulletin Board System) - sistema no qual um computador pode se comunicar com outros computadores atravs de
linha telefnica, como na Internet
Call forwarding (Retorno de chamada) - procedimento para identificar um terminal remoto
Covert channel - canal de comunicaes que permite que dois processos cooperativos transfiram a informao de uma
maneira que viole a poltica de segurana do sistema
Denial of service (negao do servio) - impedimento do acesso autorizado aos recursos ou retardamento de operaes
crticas por um certo perodo de tempo
Dial up - servio por meio do qual um terminal de computador pode usar o telefone para iniciar e efetuar uma comunicao
com outro computador
Firewall - sistema ou combinao de sistemas que protege a fronteira entre duas ou mais redes
Gateway - mquina que funciona como ponto de conexo entre duas redes
Hacker - pessoa que tenta obter acesso a sistemas sem autorizao, usando tcnicas prprias ou no, com o intuito de
acesso a determinado ambiente para proveito prprio ou de terceiros. Dependendo dos objetivos da ao, podem ser
chamados de Cracker, Lammer ou BlackHat
Housekeeping - processo que visa a manuteno da ordem, limpeza, organizao e segurana nas empresas
ID identificador de usurio para obteno de acesso aos recursos do sistema
I&A (Integrity and Availability) integridade e disponibilidade
Log registro de eventos de um sistema. Trilhas de auditoria
Log-on processo de entrada de um usurio no sistema
Log-off processo de encerramento de uma sesso de usurio no sistema
Smartcard - carto plstico que contm um microchip que inclui um microprocessador e uma memria. Do mesmo tamanho
que um carto de crdito, tem contatos que permitem que outros dispositivos se comuniquem com o carto. Pode conter
mais dados do que uma tarja magntica e pode ser programado para revelar somente a informao relevante
Trojan horse - programa de computador com funo aparentemente ou realmente til, que contm as funes (escondidas)
adicionais e que explora secretamente as autorizaes legtimas do processo, provocando perda da segurana
Tokens - mensagem que consiste em dados relevantes para uma comunicao especfica e que contm informaes que
podem ser transformadas, usando uma tcnica de criptografia
________________
ndice alfabtico
Aceitao de sistemas 8.2.2
Acordos de confidencialidade 6.1.3
Acordos para a troca de informaes e software 8.7.1
Alarme de intimidao para a salvaguarda de usurios 9.5.6
Anlise crtica da poltica de segurana e da conformidade tcnica 12.2
Anlise crtica das mudanas tcnicas do sistema operacional da produo 10.5.2
Anlise crtica dos direitos de acesso do usurio 9.2.4
Anlise crtica e avaliao 3.1.2
Anlise crtica independente de segurana da informao 4.1.7
Anlise e especificao dos requisitos de segurana 10.1.1
Aprendendo com os incidentes 6.3.4
reas de segurana 7.1
Aspectos da gesto da continuidade do negcio 11.1
Assinatura digital 10.3.3
Atribuio das responsabilidades em segurana da informao 4.1.3
Autenticao de mensagem 10.2.3
Autenticao de n 9.4.4
Autenticao para conexo externa do usurio 9.4.3
Avaliao de risco 2.2
Classificao da informao 5.2
Classificao e controle dos ativos de informao 5
Coleta de evidncias 12.1.7
Computao mvel 9.8.1
Computao mvel e trabalho remoto 9.8
Confidencialidade 2.1
Conformidade 12
Conformidade com a poltica de segurana 12.2.1
Conformidade com requisitos legais 12.1
Consideraes quanto auditoria de sistemas 12.3
Consultoria especializada em segurana da informao 4.1.5
Contabilizao dos ativos 5.1
Continuidade do negcio e anlise de impacto 11.1.2
Controle de acesso 9
Controle de acesso a bibliotecas de programa-fonte 10.4.3
Controle de acesso rede 9.4
Controle de acesso ao sistema operacional 9.5
Controle de acesso s aplicaes 9.6
Controle de conexes de rede 9.4.7
Controle de mudanas operacionais 8.1.2
Controle de software em produo 10.4.1
Controle do processamento interno 10.2.2
Controle do roteamento de rede 9.4.8
Controles contra software malicioso 8.3.1
Controles da rede 8.5.1
Controles de auditoria de sistema 12.3.1
Controles de criptografia 10.3
Controles de entrada fsica 7.1.2
Controles gerais 7.3
Cooperao entre organizaes 4.1.6
Coordenao da segurana da informao 4.1.2
Cpias de segurana 8.4.1
Covert channels e cavalo de Tria 10.5.4
53
54
Criptografia 10.3.2
Descarte de mdias 8.6.2
Desconexo de terminal por inatividade 9.5.7
Desenvolvimento e manuteno de sistemas 10
Desenvolvimento terceirizado de software 10.5.5
Direitos de propriedade intelectual 12.1.2
Disponibilidade 2.1
Documentao dos procedimentos de operao 8.1.1
Documentando e implementando planos de continuidade 11.1.3
Documento da poltica de segurana da informao 3.1.1
Educao e treinamento em segurana da informao 6.2.1
Equipamento de usurio sem monitorao 9.3.2
Estrutura do plano de continuidade do negcio 11.1.4
Fornecimento de energia 7.2.2
Gerenciamento da rede 8.5
Gerenciamento das operaes e comunicaes 8
Gerenciamento de acessos do usurio 9.2
Gerenciamento de chaves 10.3.5
Gerenciamento de mdias removveis 8.6.1
Gerenciamento de privilgios 9.2.2
Gerenciamento de risco 2.3
Gerenciamento de senha dos usurios 9.2.3
Gesto da continuidade do negcio 11
Gesto de recursos terceirizados 8.1.6
Gesto do frum de segurana da informao 4.1.1
Housekeeping 8.4
Identificao automtica de terminal 9.5.1
Identificao da legislao vigente 12.1.1
Identificao dos riscos no acesso de prestadores de servios 4.2.1
Identificao e autenticao de usurio 9.5.3
Incluindo segurana nas responsabilidades do trabalho 6.1.1
Infra-estrutura da segurana da informao 4.1
Instalao e proteo de equipamentos 7.2.1
integridade 2.1
Inventrio dos ativos de informao 5.1.1
Isolamento das reas de expedio e carga 7.1.5
Isolamento de sistemas sensveis 9.6.2
Limitao do tempo de conexo 9.5.8
Manuteno de equipamentos 7.2.4
Monitorao do uso do sistema 9.7.2
Monitorao do uso e acesso ao sistema 9.7
Notificao dos incidentes de segurana 6.3.1
Notificando falhas na segurana 6.3.2
Notificando mau funcionamento de software 6.3.3
Objetivo 1
Outras formas de troca de informao 8.7.7
Permetro da segurana fsica 7.1.1
Planejamento de capacidade 8.2.1
Planejamento e aceitao dos sistemas 8.2
Poltica de controle de acesso 9.1.1
Poltica de mesa limpa e tela limpa 7.3.1
Poltica de segurana 3
Poltica de segurana da informao 3.1
55
56