Académique Documents
Professionnel Documents
Culture Documents
ANEXO A
Descrio dos termos apresentados em ingls nesta Norma
Prefcio
Esta Norma equivalente ISO/IEC 17799:2000 Esta Norma contm o anexo A, de carter informativo. O anexo A foi incorporado a esta traduo da ISO/IEC 17799:2000, a fim de prestar informaes na descrio de termos na lngua inglesa mantidos nesta Norma por no possurem traduo equivalente para a lngua portuguesa.
Introduo
O que segurana da informao?
A informao um ativo que, como qualquer outro ativo importante para os negcios, tem um valor para a organizao e conseqentemente necessita ser adequadamente protegida. A segurana da informao protege a informao de diversos tipos de ameaas para garantir a continuidade dos negcios, minimizar os danos aos negcios e maximizar o retorno dos investimentos e as oportunidades de negcio. A informao pode existir em muitas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou atravs de meios eletrnicos, mostrada em filmes ou falada em conversas. Seja qual for a forma apresentada ou o meio atravs do qual a informao compartilhada ou armazenada, recomendado que ela seja sempre protegida adequadamente. A segurana da informao aqui caracterizada pela preservao de: a) confidencialidade: garantia de que a informao acessvel somente por pessoas autorizadas a terem acesso; b) integridade: salvaguarda da exatido e completeza da informao e dos mtodos de processamento; c) disponibilidade: garantia de que os usurios autorizados obtenham acesso informao e aos ativos correspondentes sempre que necessrio. Segurana da informao obtida a partir da implementao de uma srie de controles, que podem ser polticas, prticas, procedimentos, estruturas organizacionais e funes de software. Estes controles precisam ser estabelecidos para garantir que os objetivos de segurana especficos da organizao sejam atendidos.
aceitvel para os negcios. As avaliaes de risco so sempre realizadas primeiro em nvel mais geral, como uma forma de priorizar recursos em reas de alto risco, e ento em um nvel mais detalhado, para solucionar riscos especficos.
Seleo de controles
Uma vez tendo sido identificados os requisitos de segurana, convm que os controles sejam selecionados e implementados para assegurar que os riscos so reduzidos a um nvel aceitvel. Os controles podem ser selecionados a partir desta Norma ou de outro conjunto de controles, ou novos controles podem ser desenvolvidos para atender s necessidades especficas, quando apropriado. Existem diversas maneiras de gerenciar os riscos e esta Norma fornece exemplos para as situaes mais comuns. De qualquer forma, necessrio reconhecer que alguns controles no so aplicveis em todos os sistemas de informao ou ambientes e que podem no ser praticveis para todas as organizaes. Como um exemplo, 8.1.4 descreve como as funes podem ser segregadas para prevenir fraudes e erros. Pode no ser possvel para pequenas organizaes segregar todas as funes e uma outra maneira de se alcanar o mesmo objetivo de controle pode ser necessria. Como outro exemplo, 9.7 e 12.1 descrevem como o uso de um sistema pode ser monitorado e como as evidncias podem ser coletadas. Os controles descritos, por exemplo o registro de eventos, podem ser conflitantes com a legislao vigente, como a proteo da privacidade de clientes ou no local de trabalho. Convm que os controles sejam selecionados baseados nos custos de implementao em relao aos riscos que sero reduzidos e as perdas potenciais se as falhas na segurana ocorrerem. Convm que fatores no financeiros, como, por exemplo, prejuzos na reputao da organizao, sejam tambm levados em considerao. Alguns dos controles nesta Norma podem ser considerados como princpios bsicos para a gesto da segurana da informao e podem ser aplicados na maioria das organizaes. Eles so explicados em mais detalhes no item Ponto de partida para a segurana da informao.
g) proporcionar educao e treinamento adequados; h) um abrangente e balanceado sistema de medio, que usado para avaliar o desempenho da gesto de segurana da informao e obteno de sugestes para a melhoria.
1 Objetivo
Esta Norma fornece recomendaes para gesto da segurana da informao para uso por aqueles que so responsveis pela introduo, implementao ou manuteno da segurana em suas organizaes. Tem como propsito prover uma base comum para o desenvolvimento de normas de segurana organizacional e das prticas efetivas de gesto da segurana, e prover confiana nos relacionamentos entre as organizaes. Convm que as recomendaes descritas nesta Norma sejam selecionadas e usadas de acordo com a legislao e as regulamentaes vigentes.
2 Termos e definies
Para os efeitos desta Norma, aplicam-se as seguintes definies:
3 Poltica de segurana
3.1 Poltica de segurana da informao
Objetivo: Prover direo uma orientao e apoio para a segurana da informao. Convm que a direo estabelea uma poltica clara e demonstre apoio e comprometimento com a segurana da informao atravs da emisso e manuteno de uma poltica de segurana da informao para toda a organizao.
c) breve explanao das polticas, princpios, padres e requisitos de conformidade de importncia especfica para a organizao, por exemplo: 1) conformidade com a legislao e clusulas contratuais; 2) requisitos na educao de segurana; 3) preveno e deteco de vrus e software maliciosos; 4) gesto da continuidade do negcio; 5) conseqncias das violaes na poltica de segurana da informao; d) definio das responsabilidades gerais e especficas na gesto da segurana da informao, incluindo o registro dos incidentes de segurana; e) referncias documentao que possam apoiar a poltica, por exemplo, polticas e procedimentos de segurana mais detalhados de sistemas de informao especficos ou regras de segurana que convm que os usurios sigam. Convm que esta poltica seja comunicada atravs de toda a organizao para os usurios na forma que seja relevante, acessvel e compreensvel para o leitor em foco.
4 Segurana organizacional
4.1 Infra-estrutura da segurana da informao
Objetivo: Gerenciar a segurana da informao na organizao. Convm que uma estrutura de gerenciamento seja estabelecida para iniciar e controlar a implementao da segurana da informao dentro da organizao. Convm que fruns apropriados de gerenciamento com liderana da direo sejam estabelecidos para aprovar a poltica de segurana da informao, atribuir as funes da segurana e coordenar a implementao da segurana atravs da organizao. Se necessrio, convm que uma fonte especializada em segurana da informao seja estabelecida e disponibilizada dentro da organizao. Convm que contatos com especialistas de segurana externos sejam feitos para se manter atualizado com as tendncias do mercado, monitorar normas e mtodos de avaliao, alm de fornecer o principal apoio durante os incidentes de segurana. Convm que um enfoque multidisciplinar na segurana da informao seja incentivado, tais como o envolvimento, cooperao e colaborao de gestores, usurios, administradores, projetistas de aplicaes, auditores, equipes de segurana e especialistas em reas como seguro e gerenciamento de risco.
4.2.1 Identificao dos riscos no acesso de prestadores de servios 4.2.1.1 Tipos de acesso
O tipo de acesso dado a prestadores de servios de especial importncia. Por exemplo, os riscos no acesso atravs de uma conexo de rede so diferentes dos riscos resultantes do acesso fsico. Convm que os seguintes tipos de acesso sejam considerados: a) acesso fsico, por exemplo a escritrios, sala de computadores, gabinetes de cabeamento; b) acesso lgico, por exemplo aos bancos de dados da organizao, sistemas de informao.
2) procedimentos para determinar se houve algum comprometimento destes ativos, por exemplo se houve perda ou modificao de dados; 3) controles para garantir a devoluo ou destruio das informaes e ativos em um determinado momento durante ou no final do contrato; 4) integridade e disponibilidade; 5) restries relacionadas com a cpia e divulgao da informao; c) descrio de cada servio que deve estar disponvel; d) nveis de servio desejados e no aceitveis; e) condies para transferncia da equipe de trabalho, onde for apropriado; f) as respectivas obrigaes dos envolvidos no acordo; g) responsabilidades com aspectos legais, por exemplo leis de proteo de dados, especialmente levando em considerao diferenas nas legislaes vigentes se o contrato envolver a cooperao com organizaes de outros pases (ver tambm 12.1); h) direitos de propriedade intelectual e direitos autorais (ver 12.1.2) e proteo de qualquer trabalho colaborativo (ver tambm 6.1.3); i) acordos de controle de acesso, abrangendo: 1) mtodos de acesso permitidos e controle e uso de identificadores nicos como ID e senhas de acesso; 2) processo de autorizao para acesso e privilgios para os usurios; 3) requisitos para manter uma lista de usurios autorizados a usar os servios disponibilizados e quais so seus direitos e privilgios; j) definio de critrios de verificao do desempenho, sua monitorao e registro; k) direito de monitorar e revogar as atividades de usurios; l) direito de auditar as responsabilidades contratuais ou ter a auditoria executada por prestadores de servio; m) estabelecimento de um processo escalonvel para a resoluo de problemas; convm que tambm sejam considerados procedimentos de contingncia, onde apropriados; n) responsabilidades envolvendo a instalao e manuteno de hardware e software; o) registros com estrutura clara e formato preestabelecido; p) procedimentos claros e especficos para gerenciamento de mudanas; q) quaisquer controles de proteo fsica e mecanismos necessrios para garantir que tais controles esto sendo seguidos; r) treinamento de administradores e usurios em mtodos, procedimentos e segurana; s) controles que garantam proteo contra software malicioso (ver 8.3); t) requisitos para registro, notificao e investigao de incidentes e violaes da segurana; u) envolvimento de prestadores de servios com subcontratados.
4.3 Terceirizao
Objetivo: Manter a segurana da informao quando a responsabilidade pelo processamento da informao terceirizada para uma outra organizao. Convm que o acordo de terceirizao considere riscos, controles de segurana e procedimentos para os sistemas de informao, rede de computadores e/ou estaes de trabalho no contrato entre as partes.
g) o direito de auditar. Convm que os termos descritos em 4.2.2 tambm faam parte deste contrato. Convm que o contrato permita que os requisitos e procedimentos de segurana possam ser expandidos em um plano de gesto da segurana em comum acordo entre as duas partes. Embora os contratos de terceirizao possam levantar algumas questes complexas de segurana, os controles includos nesta Norma podem servir como um ponto de partida para contratos que envolvam a estrutura e o contedo do plano de gesto da segurana.
caminho mais curto para determinar como ela tratada e protegida. Convm que informaes e resultados de sistemas que processam dados classificados sejam rotulados de acordo com seu valor e sua sensibilidade para a organizao. Tambm pode ser apropriado rotular a informao em termos de quo crtica ela para a organizao como, por exemplo, em termos de integridade e disponibilidade. A informao freqentemente deixa de ser sensvel ou crtica aps um certo perodo de tempo, por exemplo quando a informao se torna pblica. Convm que estes aspectos sejam levados em considerao, pois uma classificao superestimada pode levar a custos adicionais desnecessrios. Convm que as regras de classificao previnam e alertem para o fato de que um determinado item de informao no tem necessariamente uma classificao fixa, podendo sofrer modificao de acordo com alguma poltica predeterminada (ver 9.1). Convm que cuidados sejam tomados com a quantidade de categorias de classificao e com os benefcios obtidos pelo seu uso. Esquemas excessivamente complexos podem tornar o uso incmodo, invivel economicamente ou impraticvel. Convm que ateno especial seja dada na interpretao dos rtulos de classificao sobre documentos de outras organizaes, que podem ter definies diferentes para rtulos iguais ou semelhantes aos usados. Convm que a responsabilidade pela definio da classificao de um item de informao, tais como um documento, registro de dado, arquivo de dados ou disquete, e a anlise crtica peridica desta classificao fiquem com o autor ou com o proprietrio responsvel pela informao.
6 Segurana em pessoas
6.1 Segurana na definio e nos recursos de trabalho
Objetivo: Reduzir os riscos de erro humano, roubo, fraude ou uso indevido das instalaes. Convm que responsabilidades de segurana sejam atribudas na fase de recrutamento, includas em contratos e monitoradas durante a vigncia de cada contrato de trabalho. Convm que candidatos potenciais sejam devidamente analisados (ver 6.1.2), especialmente para trabalhos sensveis. Convm que todos os funcionrios e prestadores de servio, usurios das instalaes de processamento da informao, assinem um acordo de sigilo.
especficas, com propsitos autorizados e que esses acessos sigam instrues baseadas nos requisitos de segurana e procedimentos de emergncia prprios da rea considerada. b) Convm que o acesso s informaes sensveis, instalaes e recursos de processamento de informaes seja controlado e restrito apenas ao pessoal autorizado. Convm que os controles de autenticao, como, por exemplo, cartes com PIN (nmero de identificao individual ou personal identification number), sejam usados para autorizar e validar qualquer acesso. Convm que, ainda, seja mantida em segurana uma trilha de auditoria contendo todos os acessos ocorridos. c) Convm que todos os funcionrios utilizem alguma forma visvel de identificao e sejam incentivados a informar segurana sobre a presena de qualquer pessoa no identificada ou de qualquer estranho no acompanhado. d) Convm que os direitos de acesso s reas de segurana sejam regularmente revistos e atualizados.
e) Convm que no se permitam o uso de equipamentos fotogrficos, de vdeo, de udio ou de outro equipamento de gravao, a menos que seja autorizado.
g) Convm que uso de mtodos de proteo especial, como capas para teclados, seja considerado para equipamentos em ambiente industrial. h) Convm que o impacto de um desastre que possa ocorrer nas proximidades da instalao, como, por exemplo, um incndio em um prdio vizinho, vazamentos de gua no telhado ou em andares abaixo do nvel do cho ou exploses na rua, tambm seja considerado.
b) Informaes sensveis ou crticas ao negcio, quando no forem requeridas, devem ser guardadas, em local distante, de forma segura e fechada (de preferncia em um cofre ou arquivo resistente a fogo), especialmente quando o escritrio estiver vazio. c) Computadores pessoais, terminais de computador e impressoras no devem ser deixados ligados quando no assistidos e devem ser protegidos por senhas, chaves ou outros controles quando no estiverem em uso. d) Pontos de recepo e envio de correspondncias e mquinas de fax e telex no assistidas devem ser protegidos. e) Copiadoras devem ser travadas (ou de alguma forma protegidas contra o uso no autorizado) fora do horrio normal de trabalho. f) Informaes sensveis e classificadas, quando impressas, devem ser imediatamente retiradas da impressora.
da mudana de programas, convm que seja realizada e mantida uma trilha de auditoria (registro) com todas as informaes relevantes. Modificaes no ambiente operacional podem causar impacto em aplicaes. Sempre que possvel, convm que os procedimentos de controle operacional e de aplicaes sejam integrados (ver tambm 10.5.1). Em particular, recomenda-se que os seguintes controles sejam considerados: a) identificao e registro das modificaes significativas; b) avaliao de impacto potencial de tais mudanas; c) procedimento formal de aprovao das mudanas propostas; d) comunicao dos detalhes das modificaes para todas as pessoas com envolvimento relevante; e) procedimentos que identifiquem os responsveis para a suspenso e recuperao de mudanas no caso de insucesso.
b) Se existir o perigo de conluios, ento necessrio o planejamento de controles de modo que duas ou mais pessoas necessitem estar envolvidas, diminuindo dessa forma a possibilidade de conspiraes.
8.4 Housekeeping
Objetivo: Manter a integridade e disponibilidade dos servios de comunicao e processamento da informao. Convm que sejam estabelecidos procedimentos de rotina para a execuo das cpias de segurana e para a disponibilizao dos recursos de reserva, conforme definido na estratgia de contingncia (ver 11.1), de forma a viabilizar a restaurao em tempo hbil, controlando e registrando eventos e falhas e, quando necessrio, monitorando o ambiente operacional.
c) Convm que as mdias utilizadas para cpias sejam periodicamente testadas, quando possvel, de modo a garantir sua confiabilidade, quando necessrio. d) Convm que os procedimentos de recuperao sejam verificados e testados periodicamente para assegurar que sejam efetivos e que possam ser aplicados integralmente dentro dos prazos alocados para estes procedimentos operacionais de recuperao. Convm que sejam especificados o perodo de reteno para informaes essenciais ao negcio e tambm qualquer requerimento para o arquivamento de cpias de segurana com reteno permanente (ver 12.1.3).
g) responsabilidades e propriedade das informaes e software pela proteo dos dados, em conformidade com os direitos de propriedade de software e consideraes afins (ver 12.1.2 e 12.1.4); h) normas tcnicas para a gravao e leitura de informaes e software; i) quaisquer controles especiais que possam ser necessrios para proteo de itens sensveis, tais como chaves criptogrficas (ver 10.3.5).
a implicaes na segurana de qualquer conexo que seja necessria na rede de telecomunicaes para sua implementao (ver 9.4.7).
h) identificao da categoria dos usurios, como, por exemplo, listas dos funcionrios da organizao ou prestadores de servio, em benefcio de outros usurios; i) reteno e cpia de segurana das informaes mantidas no sistema (ver 12.1.3 e 8.4.1); j) requisitos e acordos de recuperao e contingncia (ver 11.1).
9 Controle de acesso
9.1 Requisitos do negcio para controle de acesso
Objetivo: Controlar o acesso informao. Convm que o acesso informao e processos do negcio seja controlado na base dos requisitos de segurana e do negcio. Convm que isto leve em considerao as polticas de autorizao e disseminao da informao.
o recebimento das senhas. No convm que senhas sejam armazenadas em sistemas de computador de forma desprotegida (ver 9.5.4). Outras tecnologias para a identificao e autenticao de usurios, tais como reconhecimento biomtrico, por exemplo verificao de impresso digital, verificao de assinatura e utilizao de tokens, como smart cards, j esto disponveis e convm que sejam consideradas, se apropriado.
procedimentos para a proteo de equipamentos no monitorados, bem como suas responsabilidades para implementao de tais protees. Convm que os usurios sejam informados para: a) encerrar as sesses ativas, a menos que elas possam ser protegidas atravs de um mecanismo de bloqueio, por exemplo tela de proteo com senha; b) efetuar a desconexo com o computador de grande porte quando a sesso for finalizada (no apenas desligar o microcomputador ou terminal, mas utilizar o procedimento para desconexo); c) proteger microcomputadores ou terminais contra o uso no autorizado atravs de tecla de bloqueio ou outro controle equivalente, por exemplo senha de acesso, quando no estiverem em uso.
9.4.4 Autenticao de n
A facilidade de conexo automtica para um computador remoto pode proporcionar uma forma de se ganhar acesso no autorizado a uma aplicao do negcio. Portanto, convm que as conexes a sistemas remotos de computadores sejam autenticadas. Isto especialmente importante se a conexo usar uma rede que est fora do controle do gerenciamento de segurana da organizao. Alguns exemplos de autenticao e como eles podem ser alcanados so fornecidos em 9.4.3 acima. A autenticao de n pode servir como um meio alternativo de autenticao de grupos de usurios remotos, onde eles so conectados a um recurso computacional seguro e compartilhado (ver 9.4.3).
requisitos de acesso (ver 9.1), e tambm leve em considerao o custo relativo e o impacto no desempenho pela incorporao de roteamento adequado para a rede ou de tecnologia baseada em gateway (ver 9.4.7 e 9.4.8).
indicar se o terminal, em particular, possui permisso para iniciar ou receber transaes especficas. Pode ser necessrio aplicar proteo fsica para o terminal, para manter a segurana do identificador. Outras tcnicas tambm podem ser utilizadas para autenticar usurios (ver 9.4.3).
sejam atribudas por uma autoridade independente. Na maioria dos casos as senhas so selecionadas e mantidas pelos usurios. Convm que um bom sistema de gerenciamento de senhas: a) obrigue o uso de senhas individuais para manter responsabilidades; b) onde apropriado, permita que os usurios selecionem e modifiquem suas prprias senhas, incluindo um procedimento de confirmao para evitar erros; c) obrigue a escolha de senhas de qualidade como descrito em 9.3.1; d) onde os usurios mantm suas prprias senhas, obrigue a troca como descrito em 9.3.1; e) onde os usurios selecionam senhas, obrigue a troca da senha temporria no primeiro acesso (ver 9.2.3); f) mantenha registro das senhas anteriores utilizadas, por exemplo para os 12 meses passados, e bloqueie a reutilizao de senhas; g) no mostre as senhas na tela quando forem digitadas; h) armazene os arquivos de senha separadamente dos dados de sistemas e de aplicao; i) armazene as senhas na forma cifrada, usando um algoritmo de criptografia unidirecional; j) altere senhas-padro fornecidas pelo fabricante, aps a instalao do software.
a) utilizao de blocos de tempo predeterminados, por exemplo para transmisso de arquivos em lote ou sesses regulares interativas de curta durao; b) restrio dos horrios de conexo s horas normais de expediente, se no houver necessidades para horas extras ou trabalhos fora do horrio normal.
significativos para propsito de monitorao de segurana, convm que a cpia automtica dos tipos de mensagens apropriadas para um segundo registro (log) e/ou o uso de utilitrios de sistema apropriados ou ferramentas de auditoria para a execuo de consulta sejam considerados. Quando forem alocadas as responsabilidades pela anlise crtica dos registros (logs), convm que seja considerada uma separao entre as funes da(s) pessoa(s) que conduz(em) a anlise crtica daquelas cujas atividades esto sendo monitoradas. Convm que ateno especial seja dada segurana dos recursos do registro (log) porque, se adulterados, podem prover uma falsa impresso de segurana. Convm que os controles objetivem a proteo contra modificaes no autorizadas e problemas operacionais, incluindo: a) desativao das facilidades de registro (log); b) alteraes dos tipos de mensagens que so gravadas; c) arquivos de registros (logs) sendo editados ou excludos; d) esgotamento do meio magntico do arquivo de registros (logs), falhas no registro de eventos ou sobreposio do prprio arquivo.
observao e, quando possvel, sejam fisicamente trancados, ou convm que travas especiais sejam utilizadas de forma a manter o equipamento seguro. Maiores informaes sobre a proteo fsica de equipamentos mveis podem ser encontradas em 7.2.5. Convm que seja preparado treinamento para o grupo de trabalho que utiliza a computao mvel, para aumentar o nvel de conscientizao a respeito dos riscos adicionais resultantes desta forma de trabalho e dos controles que devem ser implementados.
consideraes semelhantes sejam aplicadas quando se avaliam pacotes de software para as aplicaes do negcio. Se considerado apropriado, a direo pode desejar fazer uso de produtos com avaliao e certificao independentes. Convm que os requisitos e controles de segurana reflitam o valor, para o negcio, dos ativos de informao envolvidos e o dano potencial ao negcio, que pode resultar da falha ou ausncia de segurana. A estrutura para analisar os requisitos de segurana e identificar os controles que os satisfazem est na avaliao de riscos e no gerenciamento de riscos. Os controles introduzidos no desenvolvimento do projeto so significativamente mais baratos para implementar e manter do que aqueles includos durante ou aps a implementao.
a) controles de sesso ou processamento em lote, para reconciliar o balano dos arquivos de dados, aps transaes de atualizao; b) controles de balanceamento, para checagem dos balanos de abertura contra os balanos de fechamento anteriores, tais como: 1) controles entre execuo; 2) totalizadores de atualizao de arquivo; 3) controle de programa a programa; c) validao de dados gerados pelo sistema (ver 10.2.1); d) checagem da integridade de dados ou de software trazidos ou enviados entre computador central e remoto (ver 10.3.3); e) totais de registros e arquivos; f) checagem para garantir que os programas de aplicao so executados no horrio correto; g) checagem para garantir que os programas esto executando na ordem correta e terminando em caso de uma falha, e que o processamento subseqente ficar suspenso at que o problema seja solucionado.
utilizao das tcnicas criptogrficas e para se evitar o uso imprprio ou incorreto. Quando do desenvolvimento de uma poltica, recomenda-se considerar o seguinte: a) enfoque da direo frente ao uso dos controles de criptografia atravs da organizao, incluindo os princpios gerais sob os quais as informaes do negcio devem ser protegidas; b) enfoque utilizado para o gerenciamento de chaves, incluindo mtodos para tratar a recuperao de informaes criptografadas em casos de chaves perdidas, expostas ou danificadas; c) regras e responsabilidades, por exemplo quem responsvel por: d) implementao da poltica; e) gerenciamento das chaves; f) como deve ser determinado o nvel apropriado de proteo criptogrfica; g) as normas a serem adotadas para a efetiva implementao atravs da organizao (qual soluo utilizada para qual processo do negcio).
10.3.2 Criptografia
A codificao uma tcnica criptogrfica que pode ser usada para proteger a confidencialidade da informao. Convm que seja considerada para a proteo de informaes crticas ou sensveis. Baseado na avaliao de risco, convm que o nvel apropriado de proteo seja identificado levando-se em conta o tipo e a qualidade do algoritmo de codificao usado e o tamanho das chaves criptogrficas a serem utilizadas. Quando se implementa a poltica de criptografia na organizao, convm que se tenha ateno com as regulamentaes e restries nacionais que possam ter implicaes no uso das tcnicas criptogrficas em diferentes partes do mundo e com o fluxo de informaes codificadas alm das fronteiras. Em adio, convm que tambm se considerem os controles aplicados para a exportao e importao de tecnologias de criptografia (ver tambm 12.1.6). Convm que assessoria especializada seja procurada para a identificao do nvel de proteo apropriado, para seleo dos produtos mais adequados que fornecero a proteo necessria e a implementao de um sistema seguro de gerenciamento de chaves (ver tambm 10.3.5). Adicionalmente, assessoria legal pode ser necessria com respeito s leis e regulamentaes aplicveis organizao que pretende usar criptografia.
evento ou ao em particular ocorreu, por exemplo, negao do envio de uma instruo assinada digitalmente usando-se o correio eletrnico. Estes servios so baseados no uso de criptografia e tcnicas de assinatura digital (ver tambm 10.3.2 e 10.3.3).
que o contedo do acordo do nvel de servio ou contrato com fornecedores externos de servios de criptografia, por exemplo com uma autoridade certificadora, cubra questes relacionadas com a responsabilidade cvel, a confiabilidade dos servios e o tempo de resposta para o fornecimento dos servios contratados (ver 4.2.2).
c) Convm que a equipe de suporte de tecnologia da informao no possua acesso ilimitado s bibliotecas de cdigo fonte. d) Convm que os programas em desenvolvimento ou manuteno no sejam mantidos nas bibliotecas de programa fonte que estiverem em produo. e) Convm que a atualizao das bibliotecas de programa-fonte e a distribuio de programas-fonte para os programadores somente sejam efetuadas pelo responsvel designado em manter a biblioteca e sob autorizao do gestor de suporte de tecnologia da informao da aplicao. f) Convm que listas de programa somente sejam mantidas em um ambiente seguro (ver 8.6.4). g) Convm que seja mantido um registro de auditoria contendo todos os acessos s bibliotecas de programa-fonte. h) Convm que as verses antigas de programas-fonte sejam arquivadas, com uma indicao clara e precisa da data e perodo no qual estiveram em produo, junto com todo o respectivo software de suporte, controle de tarefa, definies de dados e procedimentos. i) Convm que a manuteno e a cpia de bibliotecas de programa-fonte estejam sujeitas a procedimentos rgidos de controle de mudana (ver 10.4.1).
d) treinamento adequado do pessoal nos procedimentos e processos de emergncia definidos, incluindo o gerenciamento de crise; e) teste e atualizao dos planos. Convm que o processo de planejamento foque os objetivos requeridos do negcio, por exemplo recuperao de determinados servios especficos para os clientes, em um perodo de tempo aceitvel. Convm que os servios e recursos que possibilitaro isto ocorrer sejam previstos contemplando pessoal, recursos em geral, alm dos de tecnologia de informao, assim como itens de reposio dos recursos e instalaes de processamento da informao.
11.1.5 Testes, manuteno e reavaliao dos planos de continuidade do negcio 11.1.5.1 Teste dos planos
Os planos de continuidade do negcio podem apresentar falhas quando testados, geralmente devido a pressupostos incorretos, omisses ou mudanas de equipamentos e de pessoal. Por isto convm que eles sejam testados regularmente, de forma a garantir sua permanente atualizao e efetividade. importante que tais testes tambm assegurem que todos os membros da equipe de recuperao e outras pessoas de relevncia esto conscientes sobre os planos. importante que o planejamento e a programao dos testes do(s) plano(s) de continuidade do negcio indiquem como e quando cada elemento deve ser testado. recomendvel que os componentes isolados do(s) plano(s) sejam freqentemente testados. Convm que vrias tcnicas sejam utilizadas, de modo a garantir a confiana de que o(s) plano(s) ir(o) operar consistentemente em casos reais. Convm que sejam considerados: a) testes de mesa simulando diferentes cenrios (verbalizando os procedimentos de recuperao para diferentes formas de interrupo); b) simulaes (particularmente til para o treinamento do pessoal nas suas atividades gerenciais ps-crise); c) testes de recuperao tcnica (garantindo que os sistemas de informao possam ser efetivamente recuperados);
d) testes de recuperao em um local alternativo (executando os processos de negcio em paralelo com a recuperao das operaes); e) testes dos recursos, servios e instalaes de fornecedores (garantindo que os servios e produtos fornecidos atendam aos requisitos contratados); f) ensaio geral (testando se a organizao, o pessoal, os equipamentos, os recursos e os processos podem enfrentar interrupes). Estas tcnicas podem ser utilizadas por qualquer organizao e convm que elas reflitam a natureza do plano de recuperao especfico.
12 Conformidade
12.1 Conformidade com requisitos legais
Objetivo: Evitar violao de qualquer lei criminal ou civil, estatutos, regulamentaes ou obrigaes contratuais e de quaisquer requisitos de segurana. O projeto, a operao, o uso e a gesto de sistemas de informao podem estar sujeitos a requisitos de segurana contratuais, regulamentares ou estatutrios. Convm que consultoria em requisitos legais especficos seja procurada em organizaes de consultoria jurdica ou em profissionais liberais, adequadamente qualificados nos aspectos legais. Os requisitos legislativos variam de pas para pas e tambm para a informao criada em um pas e transmitida para outro (isto , fluxo de dados internacional).
b) importncia da evidncia: qualidade e inteireza da evidncia; c) evidncia adequada de que controles estavam operando correta e consistentemente (isto , processo de controle de evidncias) durante todo o perodo que a evidncia recuperada foi armazenada e processada pelo sistema.
Verificao de conformidade tambm engloba, por exemplo, testes de invaso, que podem ser executados por especialistas independentes contratados especificamente para este fim. Isto pode ser til na deteco de vulnerabilidades do sistema e na verificao do quanto os controles so eficientes na preveno de acessos no autorizados devido a estas vulnerabilidades. Convm que cuidados sejam tomados em testes de invaso cujo sucesso pode levar ao comprometimento da segurana do sistema e inadvertidamente explorar outras vulnerabilidades. Convm que qualquer verificao de conformidade tcnica somente seja executada por, ou sob superviso de, pessoas competentes e autorizadas.
Anexo A (informativo)
Descrio dos termos apresentados em ingls nesta Norma
BBS (Bulletin Board System) - sistema no qual um computador pode se comunicar com outros computadores atravs de linha telefnica, como na Internet Call forwarding (Retorno de chamada) - procedimento para identificar um terminal remoto Covert channel - canal de comunicaes que permite que dois processos cooperativos transfiram a informao de uma maneira que viole a poltica de segurana do sistema Denial of service (negao do servio) - impedimento do acesso autorizado aos recursos ou retardamento de operaes crticas por um certo perodo de tempo Dial up - servio por meio do qual um terminal de computador pode usar o telefone para iniciar e efetuar uma comunicao com outro computador Firewall - sistema ou combinao de sistemas que protege a fronteira entre duas ou mais redes Gateway - mquina que funciona como ponto de conexo entre duas redes Hacker - pessoa que tenta obter acesso a sistemas sem autorizao, usando tcnicas prprias ou no, com o intuito de acesso a determinado ambiente para proveito prprio ou de terceiros. Dependendo dos objetivos da ao, podem ser chamados de Cracker, Lammer ou BlackHat Housekeeping - processo que visa a manuteno da ordem, limpeza, organizao e segurana nas empresas
ID identificador de usurio para obteno de acesso aos recursos do sistema I&A (Integrity and Availability) integridade e disponibilidade Log registro de eventos de um sistema. Trilhas de auditoria Log-on processo de entrada de um usurio no sistema Log-off processo de encerramento de uma sesso de usurio no sistema Smartcard - carto plstico que contm um microchip que inclui um microprocessador e uma memria. Do mesmo tamanho que um carto de crdito, tem contatos que permitem que outros dispositivos se comuniquem com o carto. Pode conter mais dados do que uma tarja magntica e pode ser programado para revelar somente a informao relevante Trojan horse - programa de computador com funo aparentemente ou realmente til, que contm as funes (escondidas) adicionais e que explora secretamente as autorizaes legtimas do processo, provocando perda da segurana Tokens - mensagem que consiste em dados relevantes para uma comunicao especfica e que contm informaes que podem ser transformadas, usando uma tcnica de criptografia
ndice alfabtico
Aceitao de sistemas 8.2.2 Acordos de confidencialidade 6.1.3 Acordos para a troca de informaes e software 8.7.1 Alarme de intimidao para a salvaguarda de usurios 9.5.6 Anlise crtica da poltica de segurana e da conformidade tcnica 12.2 Anlise crtica das mudanas tcnicas do sistema operacional da produo 10.5.2 Anlise crtica dos direitos de acesso do usurio 9.2.4 Anlise crtica e avaliao 3.1.2 Anlise crtica independente de segurana da informao 4.1.7 Anlise e especificao dos requisitos de segurana 10.1.1 Aprendendo com os incidentes 6.3.4 reas de segurana 7.1 Aspectos da gesto da continuidade do negcio 11.1 Assinatura digital 10.3.3 Atribuio das responsabilidades em segurana da informao 4.1.3 Autenticao de mensagem 10.2.3 Autenticao de n 9.4.4 Autenticao para conexo externa do usurio 9.4.3 Avaliao de risco 2.2 Classificao da informao 5.2 Classificao e controle dos ativos de informao 5 Coleta de evidncias 12.1.7 Computao mvel 9.8.1 Computao mvel e trabalho remoto 9.8 Confidencialidade 2.1 Conformidade 12 Conformidade com a poltica de segurana 12.2.1 Conformidade com requisitos legais 12.1 Consideraes quanto auditoria de sistemas 12.3 Consultoria especializada em segurana da informao 4.1.5 Contabilizao dos ativos 5.1 Continuidade do negcio e anlise de impacto 11.1.2 Controle de acesso 9 Controle de acesso a bibliotecas de programa-fonte 10.4.3 Controle de acesso rede 9.4 Controle de acesso ao sistema operacional 9.5 Controle de acesso s aplicaes 9.6 Controle de conexes de rede 9.4.7 Controle de mudanas operacionais 8.1.2
Controle de software em produo 10.4.1 Controle do processamento interno 10.2.2 Controle do roteamento de rede 9.4.8 Controles contra software malicioso 8.3.1 Controles da rede 8.5.1 Controles de auditoria de sistema 12.3.1 Controles de criptografia 10.3 Controles de entrada fsica 7.1.2 Controles gerais 7.3 Cooperao entre organizaes 4.1.6 Coordenao da segurana da informao 4.1.2 Cpias de segurana 8.4.1 Covert channels e cavalo de Tria 10.5.4 Criptografia 10.3.2 Descarte de mdias 8.6.2 Desconexo de terminal por inatividade 9.5.7 Desenvolvimento e manuteno de sistemas 10 Desenvolvimento terceirizado de software 10.5.5 Direitos de propriedade intelectual 12.1.2 Disponibilidade 2.1 Documentao dos procedimentos de operao 8.1.1 Documentando e implementando planos de continuidade 11.1.3 Documento da poltica de segurana da informao 3.1.1 Educao e treinamento em segurana da informao 6.2.1 Equipamento de usurio sem monitorao 9.3.2 Estrutura do plano de continuidade do negcio 11.1.4 Fornecimento de energia 7.2.2 Gerenciamento da rede 8.5 Gerenciamento das operaes e comunicaes 8 Gerenciamento de acessos do usurio 9.2 Gerenciamento de chaves 10.3.5 Gerenciamento de mdias removveis 8.6.1 Gerenciamento de privilgios 9.2.2 Gerenciamento de risco 2.3 Gerenciamento de senha dos usurios 9.2.3 Gesto da continuidade do negcio 11 Gesto de recursos terceirizados 8.1.6 Gesto do frum de segurana da informao 4.1.1 Housekeeping 8.4 Identificao automtica de terminal 9.5.1 Identificao da legislao vigente 12.1.1 Identificao dos riscos no acesso de prestadores de servios 4.2.1 Identificao e autenticao de usurio 9.5.3 Incluindo segurana nas responsabilidades do trabalho 6.1.1 Infra-estrutura da segurana da informao 4.1 Instalao e proteo de equipamentos 7.2.1 integridade 2.1 Inventrio dos ativos de informao 5.1.1 Isolamento das reas de expedio e carga 7.1.5 Isolamento de sistemas sensveis 9.6.2 Limitao do tempo de conexo 9.5.8 Manuteno de equipamentos 7.2.4 Monitorao do uso do sistema 9.7.2 Monitorao do uso e acesso ao sistema 9.7 Notificao dos incidentes de segurana 6.3.1 Notificando falhas na segurana 6.3.2
Notificando mau funcionamento de software 6.3.3 Objetivo 1 Outras formas de troca de informao 8.7.7 Permetro da segurana fsica 7.1.1 Planejamento de capacidade 8.2.1 Planejamento e aceitao dos sistemas 8.2 Poltica de controle de acesso 9.1.1 Poltica de mesa limpa e tela limpa 7.3.1 Poltica de segurana 3 Poltica de segurana da informao 3.1 Poltica de utilizao dos servios de rede 9.4.1 Poltica para o uso de controles de criptografia 10.3.1 Preveno contra uso indevido de recursos de processamento da informao 12.1.5 Procedimentos de controle de mudanas 10.5.1 Procedimentos de entrada no sistema (log-on) 9.5.2 Procedimentos e responsabilidades operacionais 8.1 Procedimentos para o gerenciamento de incidentes 8.1.3 Procedimentos para tratamento de informao 8.6.3 Processo de autorizao para as instalaes de processamento da informao 4.1.4 Processo de gesto da continuidade do negcio 11.1.1 Processo disciplinar 6.3.5 Proteo contra software malicioso 8.3 Proteo das ferramentas de auditoria de sistemas 12.3.2 Proteo de dados de teste do sistema 10.4.2 Proteo de dados e privacidade da informao pessoal 12.1.4 Proteo de portas de diagnstico remotas 9.4.5 Recomendaes para classificao 5.2.1 Registro (log) de eventos 9.7.1 Registro de falhas 8.4.3 Registro de usurio 9.2.1 Registros de operao 8.4.2 Regulamentao de controles de criptografia 12.1.6 Remoo de propriedade 7.3.2 Requisitos de segurana de sistemas 10.1 Requisitos de segurana dos contratos de terceirizao 4.3.1 Requisitos de segurana nos contratos com prestadores de servios 4.2.2 Requisitos do negcio para controle de acesso 9.1 Respondendo aos incidentes de segurana e ao mau funcionamento 6.3 Responsabilidades do usurio 9.3 Restrio de acesso informao 9.6.1 Restries nas mudanas dos pacotes de software 10.5.3 Reutilizao e alienao segura de equipamentos 7.2.6 Rota de rede obrigatria 9.4.2 Rtulos e tratamento da informao 5.2.2 Salvaguarda de registros organizacionais 12.1.3 Segregao de funes 8.1.4 Segregao de redes 9.4.6 Segurana da documentao dos sistemas 8.6.4 segurana da informao 2.1 Segurana de arquivos do sistema 10.4 Segurana de equipamentos fora das instalaes 7.2.5 Segurana de mdias em trnsito 8.7.2 Segurana do cabeamento 7.2.3 Segurana do comrcio eletrnico 8.7.3 Segurana do correio eletrnico 8.7.4 Segurana dos equipamentos 7.2
Segurana dos servios de rede 9.4.9 Segurana dos sistemas eletrnicos de escritrio 8.7.5 Segurana e tratamento de mdias 8.6 Segurana em escritrios, salas e instalaes de processamento 7.1.3 Segurana em pessoas 6 Segurana fsica e do ambiente 7 Segurana na definio e nos recursos de trabalho 6.1 Segurana no acesso de prestadores de servios 4.2 Segurana nos processos de desenvolvimento e suporte 10.5 Segurana nos sistemas de aplicao 10.2 Segurana organizacional 4 Seleo e poltica de pessoal 6.1.2 Separao dos ambientes de desenvolvimento e de produo 8.1.5 Servios de no repdio 10.3.4 Sincronizao dos relgios 9.7.3 Sistema de gerenciamento de senhas 9.5.4 Sistemas disponveis publicamente 8.7.6 Terceirizao 4.3 Termos e condies de trabalho 6.1.4 Termos e definies 2 Testes, manuteno e reavaliao dos planos de continuidade do negcio 11.1.5 Trabalhando em reas de segurana 7.1.4 Trabalho remoto 9.8.2 Treinamento dos usurios 6.2 Troca de informaes e software 8.7 Uso de programas utilitrios 9.5.5 Uso de senhas 9.3.1 Validao de dados de entrada 10.2.1 Validao dos dados de sada 10.2.4 Verificao da conformidade tcnica 12.2.2