ABNT NBR 17799 (2005) - Tecnologia Da Informação - Técnicas de Segurança - Código de Prática para A Gestão Da Seguranca Da Informação PDF

ABNT 2005
NORMA
BRASILEIRA

ABNT NBR
ISO/IEC
17799
Segunda edio
31.08.2005
Vlida a partir de
30.09.2005

Tecnologia da informao Tcnicas de
segurana Cdigo de prtica para a
gesto da segurana da informao
Information technology Security technical Code of pratice for
information security management

Palavras-chave: Tecnologia da informao. Segurana.
Descriptors: Information technology. Security.

ICS 35.040

Nmero de referncia
ABNT NBR ISO/IEC 17799:2005
120 pginas
Licena de uso exclusivo para Furnas Centrais Eltricas S.A.
Cpia impressa pelo sistema CENWEB em 20/02/2006

ii ABNT 2005 - Todos os direitos reservados

ABNT 2005
Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicao pode ser reproduzida
ou por qualquer meio, eletrnico ou mecnico, incluindo fotocpia e microfilme, sem permisso por escrito pela ABNT.

Sede da ABNT
Av.Treze de Maio, 13 - 28 andar
20031-901 - Rio de Janeiro - RJ
Tel.: + 55 21 3974-2300
Fax: + 55 21 2220-1762
abnt@abnt.org.br
www.abnt.org.br

Impresso no Brasil


ABNT 2005 - Todos os direitos reservados iii

Sumrio Pgina
Prefcio Nacional...................................................................................................................................................... vii
0 Introduo...................................................................................................................................................... ix
0.1 O que segurana da informao?............................................................................................................ ix
0.2 Por que a segurana da informao necessria?.................................................................................. ix
0.3 Como estabelecer requisitos de segurana da informao .....................................................................x
0.4 Analisando/avaliando os riscos de segurana da informao................................................................. x
0.5 Seleo de controles..................................................................................................................................... x
0.6 Ponto de partida para a segurana da informao................................................................................... xi
0.7 Fatores crticos de sucesso ........................................................................................................................ xi
0.8 Desenvolvendo suas prprias diretrizes .................................................................................................. xii
1 Objetivo .......................................................................................................................................................... 1
2 Termos e definies...................................................................................................................................... 1
3 Estrutura desta Norma.................................................................................................................................. 4
3.1 Sees ............................................................................................................................................................ 4
3.2 Principais categorias de segurana da informao .................................................................................. 4
4 Anlise/avaliao e tratamento de riscos................................................................................................... 6
4.1 Analisando/avaliando os riscos de segurana da informao................................................................. 6
4.2 Tratando os riscos de segurana da informao ...................................................................................... 6
5 Poltica de segurana da informao.......................................................................................................... 8
5.1 Poltica de segurana da informao.......................................................................................................... 8
5.1.1 Documento da poltica de segurana da informao................................................................................ 8
5.1.2 Anlise crtica da poltica de segurana da informao ........................................................................... 9
6 Organizando a segurana da informao.................................................................................................10
6.1 Infra-estrutura da segurana da informao............................................................................................10
6.1.1 Comprometimento da direo com a segurana da informao ...........................................................10
6.1.2 Coordenao da segurana da informao..............................................................................................11
6.1.3 Atribuio de responsabilidades para a segurana da informao ......................................................11
6.1.4 Processo de autorizao para os recursos de processamento da informao ...................................12
6.1.5 Acordos de confidencialidade ...................................................................................................................12
6.1.6 Contato com autoridades ...........................................................................................................................13
6.1.7 Contato com grupos especiais ..................................................................................................................14
6.1.8 Anlise crtica independente de segurana da informao....................................................................14
6.2 Partes externas............................................................................................................................................15
6.2.1 Identificao dos riscos relacionados com partes externas..................................................................15
6.2.2 Identificando a segurana da informao, quando tratando com os clientes......................................17
6.2.3 Identificando segurana da informao nos acordos com terceiros ....................................................18
7 Gesto de ativos..........................................................................................................................................21
7.1 Responsabilidade pelos ativos..................................................................................................................21
7.1.1 Inventrio dos ativos...................................................................................................................................21
7.1.2 Proprietrio dos ativos................................................................................................................................22
7.1.3 Uso aceitvel dos ativos.............................................................................................................................22
7.2 Classificao da informao......................................................................................................................23
7.2.1 Recomendaes para classificao..........................................................................................................23
7.2.2 Rtulos e tratamento da informao.........................................................................................................24
8 Segurana em recursos humanos.............................................................................................................25
8.1 Antes da contratao..................................................................................................................................25
8.1.1 Papis e responsabilidades .......................................................................................................................25
8.1.2 Seleo .........................................................................................................................................................26
8.1.3 Termos e condies de contratao.........................................................................................................26

iv ABNT 2005 - Todos os direitos reservados

8.2 Durante a contratao.................................................................................................................................28
8.2.1 Responsabilidades da direo...................................................................................................................28
8.2.2 Conscientizao, educao e treinamento em segurana da informao............................................28
8.2.3 Processo disciplinar....................................................................................................................................29
8.3 Encerramento ou mudana da contratao..............................................................................................29
8.3.1 Encerramento de atividades.......................................................................................................................30
8.3.2 Devoluo de ativos....................................................................................................................................30
8.3.3 Retirada de direitos de acesso...................................................................................................................30
9 Segurana fsica e do ambiente.................................................................................................................32
9.1 reas seguras..............................................................................................................................................32
9.1.1 Permetro de segurana fsica ...................................................................................................................32
9.1.2 Controles de entrada fsica ........................................................................................................................33
9.1.3 Segurana em escritrios, salas e instalaes........................................................................................33
9.1.4 Proteo contra ameaas externas e do meio ambiente ........................................................................34
9.1.5 Trabalhando em reas seguras..................................................................................................................34
9.1.6 Acesso do pblico, reas de entrega e de carregamento.......................................................................35
9.2 Segurana de equipamentos......................................................................................................................35
9.2.1 Instalao e proteo do equipamento.....................................................................................................35
9.2.2 Utilidades......................................................................................................................................................36
9.2.3 Segurana do cabeamento.........................................................................................................................37
9.2.4 Manuteno dos equipamentos.................................................................................................................38
9.2.5 Segurana de equipamentos fora das dependncias da organizao..................................................38
9.2.6 Reutilizao e alienao segura de equipamentos..................................................................................39
9.2.7 Remoo de propriedade............................................................................................................................39
10 Gerenciamento das operaes e comunicaes.....................................................................................40
10.1 Procedimentos e responsabilidades operacionais..................................................................................40
10.1.1 Documentao dos procedimentos de operao ....................................................................................40
10.1.2 Gesto de mudanas...................................................................................................................................41
10.1.3 Segregao de funes ..............................................................................................................................41
10.1.4 Separao dos recursos de desenvolvimento, teste e de produo.....................................................42
10.2 Gerenciamento de servios terceirizados ................................................................................................42
10.2.1 Entrega de servios.....................................................................................................................................43
10.2.2 Monitoramento e anlise crtica de servios terceirizados.....................................................................43
10.2.3 Gerenciamento de mudanas para servios terceirizados.....................................................................44
10.3 Planejamento e aceitao dos sistemas...................................................................................................44
10.3.1 Gesto de capacidade.................................................................................................................................45
10.3.2 Aceitao de sistemas ................................................................................................................................45
10.4 Proteo contra cdigos maliciosos e cdigos mveis .........................................................................46
10.4.1 Controles contra cdigos maliciosos .......................................................................................................46
10.4.2 Controles contra cdigos mveis..............................................................................................................47
10.5 Cpias de segurana...................................................................................................................................48
10.5.1 Cpias de segurana das informaes.....................................................................................................48
10.6 Gerenciamento da segurana em redes ...................................................................................................49
10.6.1 Controles de redes ......................................................................................................................................49
10.6.2 Segurana dos servios de rede ...............................................................................................................50
10.7 Manuseio de mdias.....................................................................................................................................50
10.7.1 Gerenciamento de mdias removveis.......................................................................................................50
10.7.2 Descarte de mdias......................................................................................................................................51
10.7.3 Procedimentos para tratamento de informao.......................................................................................52
10.7.4 Segurana da documentao dos sistemas.............................................................................................52
10.8 Troca de informaes .................................................................................................................................53
10.8.1 Polticas e procedimentos para troca de informaes............................................................................53
10.8.2 Acordos para a troca de informaes.......................................................................................................55
10.8.3 Mdias em trnsito.......................................................................................................................................56
10.8.4 Mensagens eletrnicas...............................................................................................................................56
10.8.5 Sistemas de informaes do negcio.......................................................................................................57
10.9 Servios de comrcio eletrnico ...............................................................................................................58
10.9.1 Comrcio eletrnico....................................................................................................................................58
10.9.2 Transaes on-line......................................................................................................................................59
10.9.3 Informaes publicamente disponveis ....................................................................................................60


ABNT 2005 - Todos os direitos reservados v

10.10 Monitoramento.............................................................................................................................................60
10.10.1 Registros de auditoria.................................................................................................................................61
10.10.2 Monitoramento do uso do sistema............................................................................................................61
10.10.3 Proteo das informaes dos registros (log).........................................................................................63
10.10.4 Registros (log) de administrador e operador ...........................................................................................63
10.10.5 Registros (log) de falhas.............................................................................................................................64
10.10.6 Sincronizao dos relgios........................................................................................................................64
11 Controle de acessos....................................................................................................................................65
11.1 Requisitos de negcio para controle de acesso......................................................................................65
11.1.1 Poltica de controle de acesso...................................................................................................................65
11.2 Gerenciamento de acesso do usurio.......................................................................................................66
11.2.1 Registro de usurio.....................................................................................................................................66
11.2.2 Gerenciamento de privilgios ....................................................................................................................67
11.2.3 Gerenciamento de senha do usurio ........................................................................................................68
11.2.4 Anlise crtica dos direitos de acesso de usurio...................................................................................68
11.3 Responsabilidades dos usurios ..............................................................................................................69
11.3.1 Uso de senhas .............................................................................................................................................69
11.3.2 Equipamento de usurio sem monitorao..............................................................................................70
11.3.3 Poltica de mesa limpa e tela limpa ...........................................................................................................70
11.4 Controle de acesso rede..........................................................................................................................71
11.4.1 Poltica de uso dos servios de rede ........................................................................................................71
11.4.2 Autenticao para conexo externa do usurio ......................................................................................72
11.4.3 Identificao de equipamento em redes ...................................................................................................73
11.4.4 Proteo e configurao de portas de diagnstico remotas..................................................................73
11.4.5 Segregao de redes...................................................................................................................................73
11.4.6 Controle de conexo de rede .....................................................................................................................74
11.4.7 Controle de roteamento de redes ..............................................................................................................75
11.5 Controle de acesso ao sistema operacional ............................................................................................75
11.5.1 Procedimentos seguros de entrada no sistema (log-on) ........................................................................75
11.5.2 Identificao e autenticao de usurio ...................................................................................................77
11.5.3 Sistema de gerenciamento de senha ........................................................................................................77
11.5.4 Uso de utilitrios de sistema......................................................................................................................78
11.5.5 Desconexo de terminal por inatividade...................................................................................................79
11.5.6 Limitao de horrio de conexo ..............................................................................................................79
11.6 Controle de acesso aplicao e informao ......................................................................................80
11.6.1 Restrio de acesso informao ............................................................................................................80
11.6.2 Isolamento de sistemas sensveis.............................................................................................................80
11.7 Computao mvel e trabalho remoto......................................................................................................81
11.7.1 Computao e comunicao mvel ..........................................................................................................81
11.7.2 Trabalho remoto ..........................................................................................................................................82
12 Aquisio, desenvolvimento e manuteno de sistemas de informao .............................................84
12.1 Requisitos de segurana de sistemas de informao.............................................................................84
12.1.1 Anlise e especificao dos requisitos de segurana ............................................................................84
12.2 Processamento correto nas aplicaes....................................................................................................85
12.2.1 Validao dos dados de entrada................................................................................................................85
12.2.2 Controle do processamento interno..........................................................................................................86
12.2.3 Integridade de mensagens .........................................................................................................................87
12.2.4 Validao de dados de sada......................................................................................................................87
12.3 Controles criptogrficos.............................................................................................................................87
12.3.1 Poltica para o uso de controles criptogrficos.......................................................................................88
12.3.2 Gerenciamento de chaves..........................................................................................................................89
12.4 Segurana dos arquivos do sistema.........................................................................................................90
12.4.1 Controle de software operacional..............................................................................................................90
12.4.2 Proteo dos dados para teste de sistema...............................................................................................92
12.4.3 Controle de acesso ao cdigo-fonte de programa ..................................................................................92
12.5 Segurana em processos de desenvolvimento e de suporte.................................................................93
12.5.1 Procedimentos para controle de mudanas.............................................................................................93
12.5.2 Anlise crtica tcnica das aplicaes aps mudanas no sistema operacional ................................94
12.5.3 Restries sobre mudanas em pacotes de software.............................................................................95

vi ABNT 2005 - Todos os direitos reservados

12.5.4 Vazamento de informaes........................................................................................................................95
12.5.5 Desenvolvimento terceirizado de software...............................................................................................96
12.6 Gesto de vulnerabilidades tcnicas ........................................................................................................96
12.6.1 Controle de vulnerabilidades tcnicas......................................................................................................96
13 Gesto de incidentes de segurana da informao ................................................................................98
13.1 Notificao de fragilidades e eventos de segurana da informao.....................................................98
13.1.1 Notificao de eventos de segurana da informao .............................................................................98
13.1.2 Notificando fragilidades de segurana da informao............................................................................99
13.2 Gesto de incidentes de segurana da informao e melhorias .........................................................100
13.2.1 Responsabilidades e procedimentos......................................................................................................100
13.2.2 Aprendendo com os incidentes de segurana da informao.............................................................101
13.2.3 Coleta de evidncias .................................................................................................................................102
14 Gesto da continuidade do negcio........................................................................................................103
14.1 Aspectos da gesto da continuidade do negcio, relativos segurana da informao.................103
14.1.1 Incluindo segurana da informao no processo de gesto da continuidade de negcio...............103
14.1.2 Continuidade de negcios e anlise/avaliao de riscos .....................................................................104
14.1.3 Desenvolvimento e implementao de planos de continuidade relativos segurana
da informao ............................................................................................................................................104
14.1.4 Estrutura do plano de continuidade do negcio....................................................................................105
14.1.5 Testes, manuteno e reavaliao dos planos de continuidade do negcio.....................................106
15 Conformidade ............................................................................................................................................108
15.1 Conformidade com requisitos legais ......................................................................................................108
15.1.1 Identificao da legislao vigente .........................................................................................................108
15.1.2 Direitos de propriedade intelectual .........................................................................................................108
15.1.3 Proteo de registros organizacionais ...................................................................................................109
15.1.4 Proteo de dados e privacidade de informaes pessoais................................................................110
15.1.5 Preveno de mau uso de recursos de processamento da informao .............................................111
15.1.6 Regulamentao de controles de criptografia .......................................................................................111
15.2 Conformidade com normas e polticas de segurana da informao e conformidade tcnica........112
15.2.1 Conformidade com as polticas e normas de segurana da informao............................................112
15.2.2 Verificao da conformidade tcnica......................................................................................................113
15.3 Consideraes quanto auditoria de sistemas de informao...........................................................113
15.3.1 Controles de auditoria de sistemas de informao...............................................................................113
15.3.2 Proteo de ferramentas de auditoria de sistemas de informao .....................................................114
ndice .....................................................................................................................................................................116


ABNT 2005 - Todos os direitos reservados vii

Prefcio Nacional
A Associao Brasileira de Normas Tcnicas (ABNT) o Frum Nacional de Normalizao.
As Normas Brasileiras, cujo contedo de responsabilidade dos Comits Brasileiros (ABNT/CB), dos Organismos
de Normalizao Setorial (ABNT/ONS) e das Comisses de Estudo Especiais Temporrias (ABNT/CEET), so
elaboradas por Comisses de Estudo (CE), formadas por representantes dos setores envolvidos, delas fazendo
parte: produtores, consumidores e neutros (universidades, laboratrios e outros).
A ABNT NBR ISO/IEC 17799 foi elaborada no Comit Brasileiro de Computadores e Processamento de Dados
(ABNT/CB-21), pela Comisso de Estudo de Segurana Fsica em Instalaes de Informtica (CE-21:204.01).
O Projeto circulou em Consulta Nacional conforme Edital n 03, de 31.03.2005, com o nmero de
Projeto NBR ISO/IEC 17799.
Esta Norma equivalente ISO/IEC 17799:2005.
Uma famlia de normas de sistema de gesto de segurana da informao (SGSI) est sendo desenvolvida no
ISO/IEC JTC 1/SC 27. A famlia inclui normas sobre requisitos de sistema de gesto da segurana da informao,
gesto de riscos, mtricas e medidas, e diretrizes para implementao. Esta famlia adotar um esquema de
numerao usando a srie de nmeros 27000 em seqncia.
A partir de 2007, a nova edio da ISO/IEC 17799 ser incorporada ao novo esquema de numerao como
ISO/IEC 27002.
Os termos relacionados a seguir, com a respectiva descrio, foram mantidos na lngua inglesa, por no
possurem traduo equivalente para a lngua portuguesa:
Back-up - cpias de segurana de arquivos.
BBS (Bulletin Board System) - sistema no qual o computador pode se comunicar com outros computadores
atravs de linha telefnica, como na Internet.
Call forwarding (Retorno de chamada) - procedimento para identificar um terminal remoto.
Covert channel - canal de comunicaes que permite que dois processos cooperativos transfiram a informao de
uma maneira que viole a poltica de segurana do sistema.
Denial of service (negao do servio) - impedimento do acesso autorizado aos recursos ou retardamento de
operaes crticas por um certo perodo de tempo.
Dial up - servio por meio do qual o terminal de computador pode usar o telefone para iniciar e efetuar uma
comunicao com outro computador.
E-business - Forma de uma organizao realizar uma transao comercial.
E-gov - forma de um governo realizar uma transao comercial.
Firewall - sistema ou combinao de sistemas que protege a fronteira entre duas ou mais redes.
Gateway - mquina que funciona como ponto de conexo entre duas redes.
Hackers - pessoa que tenta acessar sistemas sem autorizao, usando tcnicas prprias ou no, no intuito de ter
acesso a determinado ambiente para proveito prprio ou de terceiros. Dependendo dos objetivos da ao, podem
ser chamados de Cracker, Lammer ou BlackHat.
Logging - processo de estocagem de informaes sobre eventos que ocorreram num firewall ou numa rede.

viii ABNT 2005 - Todos os direitos reservados

Middlewae - personalizao de software; software de sistema que foi personalizado por um vendedor para um
usurio particular.
Need to know - conceito que define que uma pessoa s precisa acessar os sistemas necessrios para realizar a
sua atividade.
Patches - correo temporria efetuada em um programa; pequena correo executada pelo usurio no software,
com as instrues do fabricante do software.
Wireless - sistema de comunicao que no requer fios para transportar sinais.
Em 6.1.3, Diretrizes para implementao, primeiro pargrafo, a ISO/IEC 17799:2005 faz uma referncia
equivocada seo 4. Esse equvoco foi corrigido nesta ABNT NBR ISO/IEC 17799 e a notificao deste foi feita
ao ISO/IEC JTC 1 para correo da norma original.
Esta segunda edio cancela e substitui a edio anterior (ABNT NBR ISO/IEC 17799:2001), a qual foi
tecnicamente revisada.

ABNT 2005 - Todos os direitos reservados ix

0 Introduo
0.1 O que segurana da informao?
A informao um ativo que, como qualquer outro ativo importante, essencial para os negcios de uma
organizao e conseqentemente necessita ser adequadamente protegida. Isto especialmente importante no
ambiente dos negcios, cada vez mais interconectado. Como um resultado deste incrvel aumento da
interconectvidade, a informao est agora exposta a um crescente nmero e a uma grande variedade de
ameaas e vulnerabilidades (ver OECD Diretrizes para a Segurana de Sistemas de Informaes e Redes).
A informao pode existir em diversas formas. Ela pode ser impressa ou escrita em papel, armazenada
eletronicamente, transmitida pelo correio ou por meios eletrnicos, apresentada em filmes ou falada em
conversas. Seja qual for a forma apresentada ou o meio atravs do qual a informao compartilhada ou
armazenada, recomendado que ela seja sempre protegida adequadamente.
Segurana da informao a proteo da informao de vrios tipos de ameaas para garantir a continuidade
do negcio, minimizar o risco ao negcio, maximizar o retorno sobre os investimentos e as oportunidades de
negcio.
A segurana da informao obtida a partir da implementao de um conjunto de controles adequados,
incluindo polticas, processos, procedimentos, estruturas organizacionais e funes de software e hardware.
Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e
melhorados, onde necessrio, para garantir que os objetivos do negcio e de segurana da organizao sejam
atendidos. Convm que isto seja feito em conjunto com outros processos de gesto do negcio.
0.2 Por que a segurana da informao necessria?
A informao e os processos de apoio, sistemas e redes so importantes ativos para os negcios.
Definir, alcanar, manter e melhorar a segurana da informao podem ser atividades essenciais para
assegurar a competitividade, o fluxo de caixa, a lucratividade, o atendimento aos requisitos legais e a imagem
da organizao junto ao mercado.
As organizaes, seus sistemas de informao e redes de computadores so expostos a diversos tipos de
ameaas segurana da informao, incluindo fraudes eletrnicas, espionagem, sabotagem, vandalismo,
incndio e inundao. Danos causados por cdigo malicioso, hackers e ataques de denial of service esto se
tornando cada vez mais comuns, mais ambiciosos e incrivelmente mais sofisticados.
A segurana da informao importante para os negcios, tanto do setor pblico como do setor privado, e para
proteger as infra-estruturas crticas. Em ambos os setores, a funo da segurana da informao viabilizar os
negcios como o governo eletrnico (e-gov) ou o comrcio eletrnico (e-business), e evitar ou reduzir os riscos
relevantes. A interconexo de redes pblicas e privadas e o compartilhamento de recursos de informao
aumentam a dificuldade de se controlar o acesso. A tendncia da computao distribuda reduz a eficcia da
implementao de um controle de acesso centralizado.
Muitos sistemas de informao no foram projetados para serem seguros. A segurana da informao que pode
ser alcanada por meios tcnicos limitada e deve ser apoiada por uma gesto e por procedimentos
apropriados. A identificao de controles a serem implantados requer um planejamento cuidadoso e uma
ateno aos detalhes. A gesto da segurana da informao requer pelo menos a participao de todos os
funcionrios da organizao. Pode ser que seja necessria tambm a participao de acionistas, fornecedores,
terceiras partes, clientes ou outras partes externas. Uma consultoria externa especializada pode ser tambm
necessria.

x ABNT 2005 - Todos os direitos reservados

0.3 Como estabelecer requisitos de segurana da informao
essencial que uma organizao identifique os seus requisitos de segurana da informao.
Existem trs fontes principais de requisitos de segurana da informao.
1. Uma fonte obtida a partir da anlise/avaliao de riscos para a organizao, levando-se em conta
os objetivos e as estratgias globais de negcio da organizao. Por meio da anlise/avaliao de
riscos, so identificadas as ameaas aos ativos e as vulnerabilidades destes, e realizada uma
estimativa da probabilidade de ocorrncia das ameaas e do impacto potencial ao negcio.
2. Uma outra fonte a legislao vigente, os estatutos, a regulamentao e as clusulas contratuais
que a organizao, seus parceiros comerciais, contratados e provedores de servio tm que atender,
alm do seu ambiente sociocultural.
3. A terceira fonte um conjunto particular de princpios, objetivos e os requisitos do negcio para o
processamento da informao que uma organizao tem que desenvolver para apoiar suas
operaes.
0.4 Analisando/avaliando os riscos de segurana da informao
Os requisitos de segurana da informao so identificados por meio de uma anlise/avaliao sistemtica dos
riscos de segurana da informao. Os gastos com os controles precisam ser balanceados de acordo com os
danos causados aos negcios gerados pelas potenciais falhas na segurana da informao.
Os resultados da anlise/avaliao de riscos ajudaro a direcionar e a determinar as aes gerenciais
apropriadas e as prioridades para o gerenciamento dos riscos da segurana da informao, e para a
implementao dos controles selecionados para a proteo contra estes riscos.
Convm que a anlise/avaliao de riscos seja repetida periodicamente para contemplar quaisquer mudanas
que possam influenciar os resultados desta anlise/avaliao.
Informaes adicionais sobre a anlise/avaliao de riscos de segurana da informao podem ser encontradas
em 4.1 Analisando/avaliando os riscos de segurana da informao.
0.5 Seleo de controles
Uma vez que os requisitos de segurana da informao e os riscos tenham sido identificados e as decises
para o tratamento dos riscos tenham sido tomadas, convm que controles apropriados sejam selecionados e
implementados para assegurar que os riscos sejam reduzidos a um nvel aceitvel. Os controles podem ser
selecionados a partir desta Norma ou de um outro conjunto de controles ou novos controles podem ser
desenvolvidos para atender s necessidades especficas, conforme apropriado. A seleo de controles de
segurana da informao depende das decises da organizao, baseadas nos critrios para aceitao de
risco, nas opes para tratamento do risco e no enfoque geral da gesto de risco aplicado organizao, e
convm que tambm esteja sujeito a todas as legislaes e regulamentaes nacionais e internacionais,
relevantes.
Alguns dos controles nesta Norma podem ser considerados como princpios bsicos para a gesto da
segurana da informao e podem ser aplicados na maioria das organizaes. Estes controles so explicados
em mais detalhes no item Ponto de partida para a segurana da informao.
Informaes adicionais sobre seleo de controles e outras opes para tratamento de risco podem ser
encontradas em 4.2 Tratamento dos riscos de segurana da informao.

ABNT 2005 - Todos os direitos reservados xi

0.6 Ponto de partida para a segurana da informao
Um certo nmero de controles pode ser considerado um bom ponto de partida para a implementao da
segurana da informao. Estes controles so baseados tanto em requisitos legais como nas melhores prticas
de segurana da informao normalmente usadas.
Os controles considerados essenciais para uma organizao, sob o ponto de vista legal, incluem, dependendo
da legislao aplicvel:
a) proteo de dados e privacidade de informaes pessoais (ver 15.1.4);
b) proteo de registros organizacionais (ver 15.1.3);
c) direitos de propriedade intelectual (ver 15.1.2).
Os controles considerados prticas para a segurana da informao incluem:
a) documento da poltica de segurana da informao (ver 5.1.1);
b) atribuio de responsabilidades para a segurana da informao (ver 6.1.3);
c) conscientizao, educao e treinamento em segurana da informao (ver 8.2.2);
d) processamento correto nas aplicaes (ver 12.2);
e) gesto de vulnerabilidades tcnicas (ver 12.6);
f) gesto da continuidade do negcio (ver seo 14);
g) gesto de incidentes de segurana da informao e melhorias (ver 13.2).
Esses controles se aplicam para a maioria das organizaes e na maioria dos ambientes.
Convm observar que, embora todos os controles nesta Norma sejam importantes e devam ser considerados, a
relevncia de qualquer controle deve ser determinada segundo os riscos especficos a que uma organizao
est exposta. Por isto, embora o enfoque acima seja considerado um bom ponto de partida, ele no substitui a
seleo de controles, baseado na anlise/avaliao de riscos.
0.7 Fatores crticos de sucesso
A experincia tem mostrado que os seguintes fatores so geralmente crticos para o sucesso da implementao
da segurana da informao dentro de uma organizao:
a) poltica de segurana da informao, objetivos e atividades, que reflitam os objetivos do negcio;
b) uma abordagem e uma estrutura para a implementao, manuteno, monitoramento e melhoria da
segurana da informao que seja consistente com a cultura organizacional;
c) comprometimento e apoio visvel de todos os nveis gerenciais;
d) um bom entendimento dos requisitos de segurana da informao, da anlise/avaliao de riscos e da
gesto de risco;
e) divulgao eficiente da segurana da informao para todos os gerentes, funcionrios e outras partes
envolvidas para se alcanar a conscientizao;

xii ABNT 2005 - Todos os direitos reservados

f) distribuio de diretrizes e normas sobre a poltica de segurana da informao para todos os gerentes,
funcionrios e outras partes envolvidas;
g) proviso de recursos financeiros para as atividades da gesto de segurana da informao;
h) proviso de conscientizao, treinamento e educao adequados;
i) estabelecimento de um eficiente processo de gesto de incidentes de segurana da informao;
j) implementao de um sistema de medio
1
, que seja usado para avaliar o desempenho da gesto da
segurana da informao e obteno de sugestes para a melhoria.
0.8 Desenvolvendo suas prprias diretrizes
Esta Norma pode ser considerada como um ponto de partida para o desenvolvimento de diretrizes especficas
para a organizao. Nem todos os controles e diretrizes contidos nesta Norma podem ser aplicados. Alm disto,
controles adicionais e recomendaes no includos nesta Norma podem ser necessrios. Quando os
documentos so desenvolvidos contendo controles ou recomendaes adicionais, pode ser til realizar uma
referncia cruzada para as sees desta Norma, onde aplicvel, para facilitar a verificao da conformidade por
auditores e parceiros do negcio.

1
Deve-se observar que as medies de segurana da informao esto fora do escopo desta Norma.

NORMA BRASILEIRA ABNT NBR ISO/IEC 17799:2005

ABNT 2005 - Todos os direitos reservados 1

Tecnologia da informao Tcnicas de segurana Cdigo de prtica
para a gesto da segurana da informao
1 Objetivo
Esta Norma estabelece diretrizes e princpios gerais para iniciar, implementar, manter e melhorar a gesto de
segurana da informao em uma organizao. Os objetivos definidos nesta Norma provem diretrizes gerais
sobre as metas geralmente aceitas para a gesto da segurana da informao.
Os objetivos de controle e os controles desta Norma tm como finalidade ser implementados para atender aos
requisitos identificados por meio da anlise/avaliao de riscos. Esta Norma pode servir como um guia prtico
para desenvolver os procedimentos de segurana da informao da organizao e as eficientes prticas de
gesto da segurana, e para ajudar a criar confiana nas atividades interorganizacionais.
2 Termos e definies
Para os efeitos desta Norma, aplicam-se os seguintes termos e definies.
2.1
ativo
qualquer coisa que tenha valor para a organizao
[ISO/IEC 13335-1:2004]
2.2
controle
forma de gerenciar o risco, incluindo polticas, procedimentos, diretrizes, prticas ou estruturas organizacionais,
que podem ser de natureza administrativa, tcnica, de gesto ou legal
NOTA Controle tambm usado como um sinmino para proteo ou contramedida.
2.3
diretriz
descrio que orienta o que deve ser feito e como, para se alcanarem os objetivos estabelecidos nas polticas
[ISO/IEC 13335-1:2004]
2.4
recursos de processamento da informao
qualquer sistema de processamento da informao, servio ou infra-estrutura, ou as instalaes fsicas que os
abriguem
2.5
segurana da informao
preservao da confidencialidade, da integridade e da disponibilidade da informao; adicionalmente, outras
propriedades, tais como autenticidade, responsabilidade, no repdio e confiabilidade, podem tambm estar
envolvidas


2 ABNT 2005 - Todos os direitos reservados

2.6
evento de segurana da informao
ocorrncia identificada de um sistema, servio ou rede, que indica uma possvel violao da poltica de
segurana da informao ou falha de controles, ou uma situao previamente desconhecida, que possa ser
relevante para a segurana da informao
[ISO/IEC TR 18044:2004]
2.7
incidente de segurana da informao
um incidente de segurana da informao indicado por um simples ou por uma srie de eventos de
segurana da informao indesejados ou inesperados, que tenham uma grande probabilidade de comprometer
as operaes do negcio e ameaar a segurana da informao
[ISO/IEC TR 18044:2004]
2.8
poltica
intenes e diretrizes globais formalmente expressas pela direo
2.9 risco
combinao da probabilidade de um evento e de suas conseqncias
[ABNT ISO/IEC Guia 73:2005]
2.10
anlise de riscos
uso sistemtico de informaes para identificar fontes e estimar o risco
2.11
anlise/avaliao de riscos
processo completo de anlise e avaliao de riscos
2.12
avaliao de riscos
processo de comparar o risco estimado com critrios de risco pr-definidos para determinar a importncia do
risco
2.13
gesto de riscos
atividades coordenadas para direcionar e controlar uma organizao no que se refere a riscos
NOTA A gesto de riscos geralmente inclui a anlise/avaliao de riscos, o tratamento de riscos, a aceitao de riscos
e a comunicao de riscos.
2.14
tratamento do risco
processo de seleo e implementao de medidas para modificar um risco
2.15
terceira parte
pessoa ou organismo reconhecido como independente das partes envolvidas, no que se refere a um dado
assunto



2.16
ameaa
causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organizao
[ISO/IEC 13335-1:2004]
2.17
vulnerabildade
fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaas



3 Estrutura desta Norma
Esta Norma contm 11 sees de controles de segurana da informao, que juntas totalizam 39 categorias
principais de segurana e uma seo introdutria que aborda a anlise/avaliao e o tratamento de riscos.
3.1 Sees
Cada seo contm um nmero de categorias principais de segurana da informao. As 11 sees
(acompanhadas com o respectivo nmero de categorias) so:
a) Poltica de Segurana da Informao (1);
b) Organizando a Segurana da Informao (2);
c) Gesto de Ativos (2);
d) Segurana em Recursos Humanos (3);
e) Segurana Fsica e do Ambiente (2);
f) Gesto das Operaes e Comunicaes (10);
g) Controle de Acesso (7);
h) Aquisio, Desenvolvimento e Manuteno de Sistemas de Informao (6);
i) Gesto de Incidentes de Segurana da Informao (2);
j) Gesto da Continuidade do Negcio (1);
k) Conformidade (3).
Nota: A ordem das sees nesta Norma no significa o seu grau de importncia. Dependendo das circunstncias,
todas as sees podem ser importantes. Entretanto, cada organizao que utilize esta Norma deve identificar quais as
sees aplicveis, quo importante elas so e a sua aplicao para os processos especficos do negcio. Todas as alneas
nesta Norma tambm no esto ordenadas por prioridade, a menos que explicitado.
3.2 Principais categorias de segurana da informao
Cada categoria principal de segurana da informao contm:
a) um objetivo de controle que define o que deve ser alcanado; e
b) um ou mais controles que podem ser aplicados para se alcanar o objetivo do controle.
As descries dos controles esto estruturadas da seguinte forma:
Controle
Define qual o controle especfico para atender ao objetivo do controle.
Diretrizes para a implementao
Contm informaes mais detalhadas para apoiar a implementao do controle e atender ao objetivo de
controle. Algumas destas diretrizes podem no ser adequadas em todos os casos e assim outras formas de
implementao do controle podem ser mais apropriadas.



Informaes adicionais
Contm informaes adicionais que podem ser consideradas, como, por exemplo, consideraes legais e
referncias a outras normas.



4 Anlise/avaliao e tratamento de riscos
4.1 Analisando/avaliando os riscos de segurana da informao
Convm que as anlises/avaliaes de riscos identifiquem, quantifiquem e priorizem os riscos com base em
critrios para aceitao dos riscos e dos objetivos relevantes para a organizao. Convm que os resultados
orientem e determinem as aes de gesto apropriadas e as prioridades para o gerenciamento dos riscos de
segurana da informao, e para a implementao dos controles selecionados, de maneira a proteger contra
estes riscos. O processo de avaliar os riscos e selecionar os controles pode precisar ser realizado vrias vezes,
de forma a cobrir diferentes partes da organizao ou de sistemas de informao especficos.
Convm que a anlise/avaliao de riscos inclua um enfoque sistemtico de estimar a magnitude do risco
(anlise de riscos) e o processo de comparar os riscos estimados contra os critrios de risco para determinar a
significncia do risco (avaliao do risco).
Convm que as anlises/avaliaes de riscos tambm sejam realizadas periodicamente, para contemplar as
mudanas nos requisitos de segurana da informao e na situao de risco, ou seja, nos ativos, ameaas,
vulnerabilidades, impactos, avaliao do risco e quando uma mudana significativa ocorrer. Essas anlises/
avaliaes de riscos devem ser realizadas de forma metdica, capaz de gerar resultados comparveis e
reproduzveis.
Convm que a anlise/avaliao de riscos de segurana da informao tenha um escopo claramente definido
para ser eficaz e inclua os relacionamentos com as anlises/avaliaes de riscos em outras reas, se
necessrio.
O escopo de uma anlise/avaliao de riscos pode tanto ser em toda a organizao, partes da organizao,
em um sistema de informao especfico, em componentes de um sistema especfico ou em servios onde isto
seja praticvel, realstico e til. Exemplos de metodologias de anlise/avaliao de riscos so discutidas no
ISO/IEC TR 13335-3 (Guidelines for the management of IT security: Techniques for the management of IT
Security).
4.2 Tratando os riscos de segurana da informao
Convm que, antes de considerar o tratamento de um risco, a organizao defina os critrios para determinar
se os riscos podem ser ou no aceitos. Riscos podem ser aceitos se, por exemplo, for avaliado que o risco
baixo ou que o custo do tratamento no economicamente vivel para a organizao. Convm que tais
decises sejam registradas.
Para cada um dos riscos identificados, seguindo a anlise/avaliao de riscos, uma deciso sobre o tratamento
do risco precisa ser tomada. Possveis opes para o tratamento do risco, incluem:
a) aplicar controles apropriados para reduzir os riscos;
b) conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente poltica da
organizao e aos critrios para a aceitao de risco;
c) evitar riscos, no permitindo aes que poderiam causar a ocorrncia de riscos;
d) transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores.



Convm que, para aqueles riscos onde a deciso de tratamento do risco seja a de aplicar os controles
apropriados, esses controles sejam selecionados e implementados para atender aos requisitos identificados
pela anlise/avaliao de riscos. Convm que os controles assegurem que os riscos sejam reduzidos a um
nvel aceitvel, levando-se em conta:
a) os requisitos e restries de legislaes e regulamentaes nacionais e internacionais;
b) os objetivos organizacionais;
c) os requisitos e restries operacionais;
d) custo de implementao e a operao em relao aos riscos que esto sendo reduzidos e que
permanecem proporcionais s restries e requisitos da organizao;
e) a necessidade de balancear o investimento na implementao e operao de controles contra a
probabilidade de danos que resultem em falhas de segurana da informao.
Os controles podem ser selecionados desta Norma ou de outros conjuntos de controles, ou novos controles
podem ser considerados para atender s necessidades especficas da organizao. importante reconhecer
que alguns controles podem no ser aplicveis a todos os sistemas de informao ou ambientes, e podem no
ser praticveis para todas as organizaes. Como um exemplo, 10.1.3 descreve como as responsabilidades
podem ser segregadas para evitar fraudes e erros. Pode no ser possvel para pequenas organizaes
segregar todas as responsabilidades e, portanto, outras formas de atender o mesmo objetivo de controle
podem ser necessrias. Em um outro exemplo, 10.10 descreve como o uso do sistema pode ser monitorado e
as evidncias coletadas. Os controles descritos, como, por exemplo, eventos de logging, podem conflitar com
a legislao aplicvel, tais como a proteo privacidade dos clientes ou a exercida nos locais de trabalho.
Convm que os controles de segurana da informao sejam considerados na especificao dos requisitos e
nos estgios iniciais dos projetos e sistemas. Caso isso no seja realizado, pode acarretar custos adicionais e
solues menos efetivas, ou mesmo, no pior caso, incapacidade de se alcanar a segurana necessria.
Convm que seja lembrado que nenhum conjunto de controles pode conseguir a segurana completa, e que
uma ao gerencial adicional deve ser implementada para monitorar, avaliar e melhorar a eficincia e eficcia
dos controles de segurana da informao, para apoiar as metas da organizao.



5 Poltica de segurana da informao
5.1 Poltica de segurana da informao
Objetivo: Prover uma orientao e apoio da direo para a segurana da informao de acordo com os
requisitos do negcio e com as leis e regulamentaes relevantes.
Convm que a direo estabelea uma poltica clara, alinhada com os objetivos do negcio e demonstre apoio
e comprometimento com a segurana da informao por meio da publicao e manuteno de uma poltica de
segurana da informao para toda a organizao.
5.1.1 Documento da poltica de segurana da informao
Controle
Convm que um documento da poltica de segurana da informao seja aprovado pela direo, publicado e
comunicado para todos os funcionrios e partes externas relevantes.
Diretrizes para implementao
Convm que o documento da poltica de segurana da informao declare o comprometimento da direo e
estabelea o enfoque da organizao para gerenciar a segurana da informao. Convm que o documento
da poltica contenha declaraes relativas a:
a) uma definio de segurana da informao, suas metas globais, escopo e importncia da segurana
da informao como um mecanismo que habilita o compartilhamento da informao (ver introduo);
b) uma declarao do comprometimento da direo, apoiando as metas e princpios da segurana da
informao, alinhada com os objetivos e estratgias do negcio;
c) uma estrutura para estabelecer os objetivos de controle e os controles, incluindo a estrutura de
anlise/avaliao e gerenciamento de risco;
d) breve explanao das polticas, princpios, normas e requisitos de conformidade de segurana da
informao especficos para a organizao, incluindo:
1) conformidade com a legislao e com requisitos regulamentares e contratuais;
2) requisitos de conscientizao, treinamento e educao em segurana da informao;
3) gesto da continuidade do negcio;
4) conseqncias das violaes na poltica de segurana da informao;
e) definio das responsabilidades gerais e especficas na gesto da segurana da informao, incluindo
o registro dos incidentes de segurana da informao;
f) referncias documentao que possam apoiar a poltica, por exemplo, polticas e procedimentos de
segurana mais detalhados de sistemas de informao especficos ou regras de segurana que os
usurios devem seguir.
Convm que esta poltica de segurana da informao seja comunicada atravs de toda a organizao para os
usurios de forma que seja relevante, acessvel e compreensvel para o leitor em foco.
A poltica de segurana da informao pode ser uma parte de um documento da poltica geral. Se a poltica de
segurana da informao for distribuda fora da organizao, convm que sejam tomados cuidados para no
revelar informaes sensveis. Informaes adicionais podem ser encontradas na ISO/IEC 13335-1:2004.


5.1.2 Anlise crtica da poltica de segurana da informao
Controle
Convm que a poltica de segurana da informao seja analisada criticamente a intervalos planejados ou
quando mudanas significativas ocorrerem, para assegurar a sua contnua pertinncia, adequao e eficcia.
Convm que a poltica de segurana da informao tenha um gestor que tenha aprovado a responsabilidade
pelo desenvolvimento, anlise crtica e avaliao da poltica de segurana da informao. Convm que a
anlise crtica inclua a avaliao de oportunidades para melhoria da poltica de segurana da informao da
organizao e tenha um enfoque para gerenciar a segurana da informao em resposta s mudanas ao
ambiente organizacional, s circunstncias do negcio, s condies legais, ou ao ambiente tcnico.
Convm que a anlise crtica da poltica de segurana da informao leve em considerao os resultados da
anlise crtica pela direo. Convm que sejam definidos procedimentos para anlise crtica pela direo,
incluindo uma programao ou um perodo para a anlise crtica.
Convm que as entradas para a anlise crtica pela direo incluam informaes sobre:
a) realimentao das partes interessadas;
b) resultados de anlises crticas independentes (ver 6.1.8);
c) situao de aes preventivas e corretivas (ver 6.1.8 e 15.2.1);
d) resultados de anlises crticas anteriores feitas pela direo;
e) desempenho do processo e conformidade com a poltica de segurana da informao;
f) mudanas que possam afetar o enfoque da organizao para gerenciar a segurana da informao,
incluindo mudanas no ambiente organizacional, nas circunstncias do negcio, na disponibilidade dos
recursos, nas questes contratuais, regulamentares e de aspectos legais ou no ambiente tcnico;
g) tendncias relacionadas com as ameaas e vulnerabilidades;
h) relato sobre incidentes de segurana da informao (ver 13.1);
i) recomendaes fornecidas por autoridades relevantes (ver 6.1.6).
Convm que as sadas da anlise crtica pela direo incluam quaisquer decises e aes relacionadas a:
a) melhoria do enfoque da organizao para gerenciar a segurana da informao e seus processos;
b) melhoria dos controles e dos objetivos de controles;
c) melhoria na alocao de recursos e/ou de responsabilidades.
Convm que um registro da anlise crtica pela direo seja mantido.
Convm que a aprovao pela direo da poltica de segurana da informao revisada seja obtida.



6 Organizando a segurana da informao
6.1 Infra-estrutura da segurana da informao
Objetivo: Gerenciar a segurana da informao dentro da organizao.
Convm que uma estrutura de gerenciamento seja estabelecida para iniciar e controlar a implementao da
segurana da informao dentro da organizao.
Convm que a direo aprove a poltica de segurana da informao, atribua as funes da segurana,
coordene e analise criticamente a implementao da segurana da informao por toda a organizao.
Se necessrio, convm que uma consultoria especializada em segurana da informao seja estabelecida e
disponibilizada dentro da organizao. Convm que contatos com especialistas ou grupos de segurana da
informao externos, incluindo autoridades relevantes, sejam feitos para se manter atualizado com as
tendncias do mercado, normas de monitorao e mtodos de avaliao, alm de fornecer apoio adequado,
quando estiver tratando de incidentes de segurana da informao. Convm que um enfoque multidisciplinar
na segurana da informao seja incentivado.
6.1.1 Comprometimento da direo com a segurana da informao
Controle
Convm que a direo apie ativamente a segurana da informao dentro da organizao, por meio de um
claro direcionamento, demonstrando o seu comprometimento, definindo atribuies de forma explcita e
conhecendo as responsabilidades pela segurana da informao.
Convm que a direo:
a) assegure que as metas de segurana da informao esto identificadas, atendem aos requisitos da
organizao e esto integradas nos processos relevantes;
b) formule, analise criticamente e aprove a poltica de segurana da informao;
c) analise criticamente a eficcia da implementao da poltica de segurana da informao;
d) fornea um claro direcionamento e apoio para as iniciativas de segurana da informao;
e) fornea os recursos necessrios para a segurana da informao;
f) aprove as atribuies de tarefas e responsabilidades especficas para a segurana da informao por
toda a organizao;
g) inicie planos e programas para manter a conscientizao da segurana da informao;
h) assegure que a implementao dos controles de segurana da informao tem uma coordenao e
permeia a organizao (ver 6.1.2).
Convm que a direo identifique as necessidades para a consultoria de um especialista interno ou externo em
segurana da informao, analise criticamente e coordene os resultados desta consultoria por toda a
organizao.
Dependendo do tamanho da organizao, tais responsabilidades podem ser conduzidas por um frum de
gesto exclusivo ou por um frum de gesto existente, a exemplo do conselho de diretores.



Outras informaes podem ser obtidas na ISO/IEC 13335-1:2004.
6.1.2 Coordenao da segurana da informao
Controle
Convm que as atividades de segurana da informao sejam coordenadas por representantes de diferentes
partes da organizao, com funes e papis relevantes.
Convm que a coordenao da segurana da informao envolva a cooperao e colaborao de gerentes,
usurios, administradores, desenvolvedores, auditores, pessoal de segurana e especialistas com habilidades
nas reas de seguro, questes legais, recursos humanos, TI e gesto de riscos.
Convm que esta atividade:
a) garanta que as atividades de segurana da informao so executadas em conformidade com a
poltica de segurana da informao;
b) identifique como conduzir as no-conformidades;
c) aprove as metodologias e processos para a segurana da informao, tais como anlise/avaliao de
riscos e classificao da informao;
d) identifique as ameaas significativas e a exposio da informao e dos recursos de processamento
da informao s ameaas;
e) avalie a adequao e coordene a implementao de controles de segurana da informao;
f) promova, de forma eficaz, a educao, o treinamento e a conscientizao pela segurana da
informao por toda a organizao;
g) avalie as informaes recebidas do monitoramento e da anlise crtica dos incidentes de segurana da
informao, e recomende aes apropriadas como resposta para os incidentes de segurana da
informao identificados.
Se a organizao no usa representantes das diferentes reas, por exemplo, porque tal grupo no
apropriado para o tamanho da organizao, as aes descritas acima devem ser conduzidas por um frum de
gesto adequado ou por um gestor individual.
6.1.3 Atribuio de responsabilidades para a segurana da informao
Controle
Convm que todas as responsabilidades pela segurana da informao, estejam claramente definidas.
Convm que a atribuio das responsabilidades pela segurana da informao seja feita em conformidade
com a poltica de segurana da informao (ver seo 5). Convm que as responsabilidades pela proteo de
cada ativo e pelo cumprimento de processos de segurana da informao especficos sejam claramente
definidas. Convm que esta responsabilidade seja complementada, onde for necessrio, com orientaes mais
detalhadas para locais especficos e recursos de processamento de informaes. Convm que sejam
claramente definidas as responsabilidades em cada local para a proteo dos ativos e para realizar processos
de segurana da informao especficos, como, por exemplo, o plano de continuidade de negcios.
Pessoas com responsabilidades definidas pela segurana da informao podem delegar as tarefas de
segurana da informao para outros usurios. Todavia eles continuam responsveis e convm que verifiquem
se as tarefas delegadas esto sendo executadas corretamente.


Convm que as reas pelas quais as pessoas sejam responsveis, estejam claramente definidas; em
particular convm que os seguintes itens sejam cumpridos:
a) os ativos e os processos de segurana da informao associados com cada sistema sejam
identificados e claramente definidos;
b) gestor responsvel por cada ativo ou processo de segurana da informao tenha atribuies
definidas e os detalhes dessa responsabilidade sejam documentados (ver 7.1.2);
c) os nveis de autorizao sejam claramente definidos e documentados.
Em muitas organizaes um gestor de segurana da informao pode ser indicado para assumir a
responsabilidade global pelo desenvolvimento e implementao da segurana da informao e para apoiar a
identificao de controles.
Entretanto, a responsabilidade pela obteno dos recursos e implementao dos controles permanece sempre
com os gestores. Uma prtica comum indicar um responsvel por cada ativo, tornando-o assim responsvel
por sua proteo no dia a dia.
6.1.4 Processo de autorizao para os recursos de processamento da informao
Controle
Convm que seja definido e implementado um processo de gesto de autorizao para novos recursos de
processamento da informao.
Convm que as seguintes diretrizes sejam consideradas no processo de autorizao:
a) os novos recursos tenham a autorizao adequada por parte da administrao de usurios,
autorizando seus propsitos e uso. Convm que a autorizao tambm seja obtida junto ao gestor
responsvel pela manuteno do sistema de segurana da informao, para garantir que todas as
polticas e requisitos de segurana relevantes sejam atendidos;
b) hardware e o software sejam verificados para garantir que so compatveis com outros componentes
do sistema, onde necessrios;
c) uso de recursos de processamento de informao, pessoais ou privados, como, por exemplo, note
books, computadores pessoais ou dispositivos do tipo palm top, para processamento das informaes
do negcio, possa introduzir novas vulnerabilidades, e convm que controles necessrios sejam
identificados e implementados.
6.1.5 Acordos de confidencialidade
Controle
Convm que os requisitos para confidencialidade ou acordos de no divulgao que reflitam as necessidades
da organizao para a proteo da informao sejam identificados e analisados criticamente, de forma regular.
Convm que os acordos de confidencialidade e de no divulgao considerem os requisitos para proteger as
informaes confidenciais, usando termos que so obrigados do ponto de vista legal. Para identificar os
requisitos para os acordos de confidencialidade ou de no divulgao, convm que sejam considerados os
seguintes elementos:
a) uma definio da informao a ser protegida (por exemplo, informao confidencial);


b) tempo de durao esperado de um acordo, incluindo situaes onde a confidencialidade tenha que ser
mantida indefinidamente;
c) aes requeridas quando um acordo est encerrado;
d) responsabilidades e aes dos signatrios para evitar a divulgao no autorizada da informao
(como o conceito need to know);
e) proprietrio da informao, segredos comerciais e de propriedade intelectual, e como isto se relaciona
com a proteo da informao confidencial;
f) uso permitido da informao confidencial e os direitos do signatrio para usar a informao;
g) direito de auditar e monitorar as atividades que envolvem as informaes confidenciais;
h) processo para notificao e relato de divulgao no autorizada ou violao das informaes
confidenciais;
i) termos para a informao ser retornada ou destruda quando da suspenso do acordo; e
j) aes esperadas a serem tomadas no caso de uma violao deste acordo.
Com base nos requisitos de segurana da informao da organizao, outros elementos podem ser
necessrios em um acordo de confidencialidade ou de no divulgao.
Convm que os acordos de confidencialidade e de no divulgao estejam em conformidade com todas as leis
e regulamentaes aplicveis na jurisdio para a qual eles se aplicam (ver 15.1.1)
Convm que os requisitos para os acordos de confidencialidade e de no divulgao sejam analisados
criticamente de forma peridica e quando mudanas ocorrerem que influenciem estes requisitos.
Acordos de confidencialidade e de no divulgao protegem as informaes da organizao e informam aos
signatrios das suas responsabilidades, para proteger, usar e divulgar a informao de maneira responsvel e
autorizada.
Pode haver a necessidade de uma organizao usar diferentes formas de acordos de confidencialidade ou de
no divulgao, em diferentes circunstncias.
6.1.6 Contato com autoridades
Controle
Convm que contatos apropriados com autoridades relevantes sejam mantidos.
Convm que as organizaes tenham procedimentos em funcionamento que especifiquem quando e por quais
autoridades (por exemplo, obrigaes legais, corpo de bombeiros, autoridades fiscalizadoras) devem ser
contatadas e como os incidentes de segurana da informao identificados devem ser notificados em tempo
hbil, no caso de suspeita de que a lei foi violada.
Organizaes que estejam sob ataque da internet podem precisar do apoio de partes externas organizao
(por exemplo, um provedor de servio da internet ou um operador de telecomunicaes), para tomar aes
contra a origem do ataque.



A manuteno de tais contatos pode ser um requisito para apoiar a gesto de incidentes de segurana da
informao (ver 13.2) ou da continuidade dos negcios e do processo de planejamento da contingncia
(ver seo 14). Contatos com organismos reguladores so tambm teis para antecipar e preparar para as
mudanas futuras na lei ou nos regulamentos, os quais tm que ser seguidos pela organizao. Contatos com
outras autoridades incluem utilidades, servios de emergncia, sade e segurana, por exemplo corpo de
bombeiros (em conjunto com a continuidade do negcio), provedores de telecomunicao (em conjunto com
as rotas de linha e disponibilidade), fornecedor de gua (em conjunto com as instalaes de refrigerao para
os equipamentos).
6.1.7 Contato com grupos especiais
Controle
Convm que sejam mantidos contatos apropriados com grupos de interesses especiais ou outros fruns
especializados de segurana da informao e associaes profissionais.
Convm que os membros de grupos de interesses especiais ou fruns sejam considerados como forma de:
a) ampliar o conhecimento sobre as melhores prticas e manter-se atualizado com as informaes
relevantes sobre segurana da informao;
b) ter o entendimento de que o ambiente de segurana da informao est correto e completo;
c) receber previamente advertncias de alertas, aconselhamentos e correes relativos a ataques e
vulnerabilidades;
d) conseguir acesso consultoria especializada em segurana da informao;
e) compartilhar e trocar informaes sobre novas tecnologias, produtos, ameaas ou vulnerabilidades;
f) prover relacionamentos adequados quando tratar com incidentes de segurana da informao (ver
13.2.1).
Acordos de compartilhamento de informaes podem ser estabelecidos para melhorar a cooperao e
coordenao de assuntos de segurana da informao. Convm que tais acordos identifiquem requisitos para
a proteo de informaes sensveis.
6.1.8 Anlise crtica independente de segurana da informao
Controle
Convm que o enfoque da organizao para gerenciar a segurana da informao e a sua implementao (por
exemplo, controles, objetivo dos controles, polticas, processos e procedimentos para a segurana da
informao) seja analisado criticamente, de forma independente, a intervalos planejados, ou quando ocorrerem
mudanas significativas relativas implementao da segurana da informao.
Convm que a anlise crtica independente seja iniciada pela direo. Tal anlise crtica independente
necessria para assegurar a contnua pertinncia, adequao e eficcia do enfoque da organizao para
gerenciar a segurana da informao. Convm que a anlise crtica inclua a avaliao de oportunidades para a
melhoria e a necessidade de mudanas para o enfoque da segurana da informao, incluindo a poltica e os
objetivos de controle.



Convm que a anlise crtica seja executada por pessoas independentes da rea avaliada, como, por exemplo,
uma funo de auditoria interna, um gerente independente ou uma organizao de terceira parte especializada
em tais anlises crticas. Convm que as pessoas que realizem estas anlises crticas possuam habilidade e
experincia apropriadas.
Convm que os resultados da anlise crtica independente sejam registrados e relatados para a direo que
iniciou a anlise crtica. Estes registros devem ser mantidos.
Se a anlise crtica independente identificar que o enfoque da organizao e a implementao para gerenciar a
segurana da informao so inadequados ou no-conformes com as orientaes estabelecidas pela
segurana da informao, no documento da poltica de segurana da informao (ver 5.1.1), convm que a
direo considere a tomada de aes corretivas.
Convm que as reas onde os gerentes regularmente fazem a anlise crtica (ver 15.2.1) possam tambm ser
analisadas criticamente de forma independente. Tcnicas para a anlise crtica podem incluir entrevistas com a
gerncia, verificao de registros ou anlise crtica dos documentos da poltica de segurana da informao.
A ABNT NBR ISO 19011:2002, Diretrizes para auditoria de sistemas de gesto da qualidade e/ou do meio
ambiente, pode tambm fornecer orientaes para se realizar a anlise crtica independente, incluindo o
estabelecimento e a implementao de um programa de anlise crtica. A subseo 15.3 especifica os
controles relevantes para a anlise crtica independente de sistemas de informaes operacionais e o uso de
ferramentas de auditoria de sistemas.
6.2 Partes externas
Objetivo: Manter a segurana dos recursos de processamento da informao e da informao da organizao,
que so acessados, processados, comunicados ou gerenciados por partes externas.
Convm que a segurana dos recursos de processamento da informao e da informao da organizao no
seja reduzida pela introduo de produtos ou servios oriundos de partes externas.
Convm que qualquer acesso aos recursos de processamento da informao da organizao e ao
processamento e comunicao da informao por partes externas seja controlado.
Convm que seja feita uma anlise/avaliao dos riscos envolvidos para determinar as possveis implicaes
na segurana e os controles necessrios, onde existir uma necessidade de negcio para trabalhar com partes
externas, que possa requerer acesso aos recursos de processamento da informao e informao da
organizao, ou na obteno e fornecimento de um produto e servio de uma parte externa ou para ela.
Convm que os controles sejam acordados e definidos por meio de um acordo com a parte externa.
6.2.1 Identificao dos riscos relacionados com partes externas
Controle
Convm que os riscos para os recursos de processamento da informao e da informao da organizao
oriundos de processos do negcio que envolva as partes externas sejam identificados e controles apropriados
implementados antes de se conceder o acesso.
Convm que uma anlise/avaliao de riscos (ver seo 4) seja feita para identificar quaisquer requisitos de
controles especficos, onde existir uma necessidade que permita o acesso de uma parte externa aos recursos
de processamento da informao ou informao de uma organizao. Convm que a identificao de riscos
relativos ao acesso da parte externa leve em considerao os seguintes aspectos:
a) os recursos de processamento da informao que uma parte externa esteja autorizada a acessar;



b) tipo de acesso que a parte externa ter aos recursos de processamento da informao e informao,
como, por exemplo:
1) acesso fsico ao escritrio, sala dos computadores, gabinetes de cabeamento;
2) acesso lgico ao banco de dados da organizao e aos sistemas de informaes;
3) rede de conexo entre a organizao e a rede da parte externa, como, por exemplo, conexo
permanente, acesso remoto;
4) se o acesso vai ser dentro ou fora da organizao;
c) valor e a sensibilidade da informao envolvida, e a sua criticidade para as operaes do negcio;
d) os controles necessrios para proteger a informao que no deva ser acessada pelas partes
externas;
e) as pessoas das partes externas envolvidas no manuseio das informaes da organizao;
f) como a organizao ou o pessoal autorizado a ter acesso pode ser identificado, como a autorizao
verificada e com qual freqncia isto precisa ser reconfirmado;
g) as diferentes formas e controles empregados pela parte externa quando estiver armazenando,
processando, comunicando, compartilhando e repassando informaes;
h) impacto do acesso no estar disponvel para a parte externa, quando requerido, e a entrada ou o
recebimento incorreto ou por engano da informao;
i) prticas e procedimentos para tratar com incidentes de segurana da informao e danos potenciais, e
os termos e condies para que a parte externa continue acessando, no caso que ocorra um incidente
de segurana da informao;
j) que os requisitos legais e regulamentares e outras obrigaes contratuais relevantes para a parte
externa sejam levados em considerao;
k) como os interesses de quaisquer uma das partes interessadas podem ser afetados pelos acordos.
Convm que o acesso s informaes da organizao pelas partes externas no seja fornecido at que os
controles apropriados tenham sido implementados e, onde for vivel, um contrato tenha sido assinado
definindo os termos e condies para a conexo ou o acesso e os preparativos para o trabalho. Convm que,
de uma forma geral, todos os requisitos de segurana da informao resultantes do trabalho com partes
externas ou controles internos estejam refletidos por um acordo com a parte externa (ver 6.2.2 e 6.2.3).
Convm que seja assegurado que a parte externa est consciente de suas obrigaes, e aceita as
responsabilidades e obrigaes envolvendo o acesso, processamento, comunicao ou o gerenciamento dos
recursos do processamento da informao e da informao da organizao.
A informao pode ser colocada em risco por partes externas com uma gesto inadequada da segurana da
informao. Convm que os controles sejam identificados e aplicados para administrar o acesso da parte
externa aos recursos de processamento da informao. Por exemplo, se existir uma necessidade especial
para a confidencialidade da informao, acordos de no divulgao devem ser usados.
As organizaes podem estar sujeitas a riscos associados com processos interorganizacionais, gerenciamento
e comunicao, se um alto grau de terceirizao for realizado, ou onde existirem vrias partes externas
envolvidas.



Os controles de 6.2.2 e 6.2.3 cobrem diferentes situaes para as partes externas, incluindo, por exemplo:
a) provedores de servio, tais como ISP, provedores de rede, servios de telefonia e servios de apoio e
manuteno;
b) gerenciamento dos servios de segurana;
c) clientes;
d) operaes e/ou recursos de terceirizao, como, por exemplo, sistemas de TI, servios de coleta de
dados, operao de call center;
e) consultores em negcios e em gesto, e auditores;
f) desenvolvedores e fornecedores, como, por exemplo, de produtos de software e sistemas de TI;
g) pessoal de limpeza, servios de bufs e outros servios de apoio terceirizados;
h) pessoal temporrio, estagirio e outras contrataes de curta durao.
Tais acordos podem ajudar a reduzir o risco associado com as partes externas.
6.2.2 Identificando a segurana da informao, quando tratando com os clientes
Controle
Convm que todos os requisitos de segurana da informao identificados sejam considerados antes de
conceder aos clientes o acesso aos ativos ou s informaes da organizao.
Convm que os seguintes termos sejam considerados para contemplar a segurana da informao antes de
conceder aos clientes o acesso a quaisquer ativos da organizao (dependendo do tipo e extenso do acesso
concedido, nem todos os itens so aplicveis):
a) proteo dos ativos, incluindo:
1) procedimentos para proteger os ativos da organizao, incluindo informao e software, e a gesto
de vulnerabilidades conhecidas;
2) procedimentos para definir aes quando ocorrer o comprometimento de quaisquer dos ativos, por
exemplo, perda ou modificao de dados;
3) integridade;
4) restries em relao a cpias e divulgao de informaes;
b) descrio do produto ou servio a ser fornecido;
c) as diferentes razes, requisitos e benefcios para o acesso do cliente;
d) polticas de controle de acesso, cobrindo:
1) mtodos de acesso permitido e o controle e uso de identificadores nicos, tais como identificador
de usurio e senhas de acesso;
2) um processo de autorizao para acesso dos usurios e privilgios;
3) uma declarao de que todo o acesso que no seja explicitamente autorizado proibido;


4) um processo para revogar os direitos de acesso ou interromper a conexo entre sistemas;
e) procedimentos para relato, notificao e investigao de informaes imprecisas (por exemplo, sobre
pessoal), incidentes de segurana da informao e violao da segurana da informao;
f) descrio de cada servio que deve estar disponvel;
g) os nveis de servios acordados e os nveis de servios inaceitveis;
h) direito de monitorar e revogar qualquer atividade relacionada com os ativos da organizao;
i) as respectivas responsabilidades civis da organizao e dos clientes;
j) responsabilidades com relao a aspectos legais e como assegurado que os requisitos legais so
atendidos, por exemplo, leis de proteo de dados, especialmente levando-se em considerao os
diferentes sistemas legais nacionais se o acordo envolver a cooperao com clientes em outros pases
(ver 15.1);
k) direitos de propriedade intelectual e direitos autorais (ver 15.1.2) e proteo de qualquer trabalho
colaborativo (ver 6.1.5).
Os requisitos de segurana da informao relacionados com o acesso dos clientes aos ativos da organizao
podem variar consideravelmente, dependendo dos recursos de processamento da informao e das
informaes que esto sendo acessadas. Estes requisitos de segurana da informao podem ser
contemplados, usando-se os acordos com o cliente, os quais contm todos os riscos identificados e os
requisitos de segurana da informao (ver 6.2.1).
Acordos com partes externas podem tambm envolver outras partes. Convm que os acordos que concedam
o acesso a partes externas incluam permisso para designao de outras partes autorizadas e condies para
os seus acessos e envolvimento.
6.2.3 Identificando segurana da informao nos acordos com terceiros
Controle
Convm que os acordos com terceiros envolvendo o acesso, processamento, comunicao ou gerenciamento
dos recursos de processamento da informao ou da informao da organizao, ou o acrscimo de produtos
ou servios aos recursos de processamento da informao cubram todos os requisitos de segurana da
informao relevantes.
Convm que o acordo assegure que no existe mal-entendido entre a organizao e o terceiro. Convm que
as organizaes considerem a possibilidade de indenizao do terceiro.
Convm que os seguintes termos sejam considerados para incluso no acordo, com o objetivo de atender aos
requisitos de segurana da informao identificados (ver 6.2.1):
a) poltica de segurana da informao;
b) controles para assegurar a proteo do ativo, incluindo:
1) procedimentos para proteger os ativos da organizao, incluindo informao, software e hardware;
2) quaisquer mecanismos e controles para a proteo fsica requerida;
3) controles para assegurar proteo contra software malicioso (ver 10.4.1);


4) procedimentos para definir aes quando ocorrer o comprometimento de quaisquer dos ativos, por
exemplo, perda ou modificao de informaes, software e hardware;
5) controles para assegurar o retorno ou a destruio da informao e dos ativos no final do contrato,
ou em um dado momento definido no acordo.
6) confidencialidade, integridade, disponibilidade e qualquer outra propriedade relevante (ver 2.1.5)
dos ativos;
7) restries em relao a cpias e divulgao de informaes, e uso dos acordos de
confidencialidade (ver 6.1.5).
c) treinamento dos usurios e administradores nos mtodos, procedimentos e segurana da informao;
d) assegurar a conscientizao dos usurios nas questes e responsabilidades pela segurana da
informao;
f) proviso para a transferncia de pessoal, onde necessrio;
f) responsabilidades com relao manuteno e instalao de software e hardware;
g) uma estrutura clara de notificao e formatos de relatrios acordados;
h) um processo claro e definido de gesto de mudanas;
i) poltica de controle de acesso, cobrindo:
1) as diferentes razes, requisitos e benefcios que justificam a necessidade do acesso pelo
terceiro;
2) mtodos de acesso permitido e o controle e uso de identificadores nicos, tais como
identificadores de usurios e senhas de acesso;
3) um processo de autorizao de acesso e privilgios para os usurios;
4) um requisito para manter uma lista de pessoas autorizadas a usar os servios que esto sendo
disponibilizados, e quais os seus direitos e privilgios com relao a tal uso;
5) uma declarao de que todo o acesso que no seja explicitamente autorizado proibido;
6) um processo para revogar os direitos de acesso ou interromper a conexo entre sistemas;
j) dispositivos para relato, notificao e investigao de incidentes de segurana da informao e
violao da segurana, bem como as violaes dos requisitos definidos no acordo;
k) uma descrio do produto ou servio que est sendo fornecido e uma descrio da informao que
deve estar disponvel, juntamente com a sua classificao de segurana (ver 7.2.1);
l) nveis de servios acordados e os nveis de servios inaceitveis;
m) definio de critrios de desempenho verificveis, seu monitoramento e relato;
n) direito de monitorar e revogar qualquer atividade relacionada com os ativos da organizao;
o) direito de auditar as responsabilidades definidas do acordo, para ter essas auditorias realizadas por
terceira parte para enumerar os direitos regulamentares dos auditores;


p) estabelecimento de um processo escalonado para resoluo de problemas;
q) requisitos para a continuidade dos servios, incluindo medies para disponibilidade e confiabilidade,
de acordo com as prioridades do negcio da organizao;
r) respectivas obrigaes das partes com o acordo;
s) responsabilidades com relao a aspectos legais e como assegurado que os requisitos legais so
atendidos, por exemplo, leis de proteo de dados, levando-se em considerao especialmente os
diferentes sistemas legais nacionais, se o acordo envolver a cooperao com organizaes em outros
pases (ver 15.1);
t) direitos de propriedade intelectual e direitos autorais (ver 15.1.2) e proteo de qualquer trabalho
colaborativo (ver 6.1.5);
u) envolvimento do terceiro com subfornecedores e os controles de segurana da informao que esses
subfornecedores precisam implementar;
v) condies de renegociao ou encerramento de acordos:
1) um plano de contingncia deve ser elaborado no caso de uma das partes desejar encerrar a
relao antes do final do acordo;
2) renegociao dos acordos se os requisitos de segurana da organizao mudarem;
3) listas atualizadas da documentao dos ativos, licenas, acordos ou direitos relacionados aos
ativos.
Os acordos podem variar consideravelmente para diferentes organizaes e entre os diferentes tipos de
terceiros. Convm, entretanto, que sejam tomados cuidados para incluir nos acordos todos os riscos
identificados e os requisitos de segurana da informao (ver 6.2.1). Onde necessrio, os procedimentos e
controles requeridos podem ser includos em um plano de gesto de segurana da informao.
Se a gesto da segurana da informao for terceirizada, convm que os acordos definam como os terceiros
iro garantir que a segurana da informao, conforme definida na anlise/avaliao de riscos, ser mantida e
como a segurana da informao ser adaptada para identificar e tratar com as mudanas aos riscos.
Algumas das diferenas entre as terceirizaes e as outras formas de proviso de servios de terceiros
incluem a questo das obrigaes legais, o planejamento do perodo de transio e de descontinuidade da
operao durante este perodo, planejamento de contingncias e anlise crtica de investigaes, e coleta e
gesto de incidentes de segurana da informao. Entretanto, importante que a organizao planeje e
gerencie a transio para um terceirizado e tenha processos adequados implantados para gerenciar as
mudanas e renegociar ou encerrar os acordos.
Os procedimentos para continuar processando no caso em que o terceiro se torne incapaz de prestar o servio
precisam ser considerados no acordo para evitar qualquer atraso nos servios de substituio.
Acordos com terceiros podem tambm envolver outras partes. Convm que os acordos que concedam o
acesso a terceiros incluam permisso para designao de outras partes autorizadas e condies para os seus
acessos e envolvimento.
De um modo geral os acordos so geralmente elaborados pela organizao. Podem existir situaes onde, em
algumas circunstncias, um acordo possa ser elaborado e imposto pela organizao para o terceiro.
A organizao precisa assegurar que a sua prpria segurana da informao no afetada
desnecessariamente pelos requisitos do terceiro, estipulados no acordo imposto.



7 Gesto de ativos
7.1 Responsabilidade pelos ativos
Objetivo: Alcanar e manter a proteo adequada dos ativos da organizao.
Convm que todos os ativos sejam inventariados e tenham um proprietrio responsvel.
Convm que os proprietrios dos ativos sejam identificados e a eles seja atribuda a responsabilidade pela
manuteno apropriada dos controles. A implementao de controles especficos pode ser delegada pelo
proprietrio, conforme apropriado, porm o proprietrio permanece responsvel pela proteo adequada dos
ativos.
7.1.1 Inventrio dos ativos
Controle
Convm que todos os ativos sejam claramente identificados e um inventrio de todos os ativos importantes
seja estruturado e mantido.
Convm que a organizao identifique todos os ativos e documente a importncia destes ativos. Convm que
o inventrio do ativo inclua todas as informaes necessrias que permitam recuperar de um desastre,
incluindo o tipo do ativo, formato, localizao, informaes sobre cpias de segurana, informaes sobre
licenas e a importncia do ativo para o negcio. Convm que o inventrio no duplique outros inventrios
desnecessariamente, porm ele deve assegurar que o seu contedo est coerente.
Adicionalmente, convm que o proprietrio (ver 7.1.2) e a classificao da informao (ver 7.2) sejam
acordados e documentados para cada um dos ativos. Convm que, com base na importncia do ativo, seu
valor para o negcio e a sua classificao de segurana, nveis de proteo proporcionais importncia dos
ativos sejam identificados (mais informaes sobre como valorar os ativos para indicar a sua importncia
podem ser encontradas na ISO IEC TR 13335-3).
Existem vrios tipos de ativos, incluindo:
a) ativos de informao: base de dados e arquivos, contratos e acordos, documentao de sistema,
informaes sobre pesquisa, manuais de usurio, material de treinamento, procedimentos de suporte
ou operao, planos de continuidade do negcio, procedimentos de recuperao, trilhas de auditoria e
informaes armazenadas;
b) ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitrios;
c) ativos fsicos: equipamentos computacionais, equipamentos de comunicao, mdias removveis e
outros equipamentos;
d) servios: servios de computao e comunicaes, utilidades gerais, por exemplo aquecimento,
iluminao, eletricidade e refrigerao;
e) pessoas e suas qualificaes, habilidades e experincias;
f) intangveis, tais como a reputao e a imagem da organizao.
Os inventrios de ativos ajudam a assegurar que a proteo efetiva do ativo pode ser feita e tambm pode ser
requerido para outras finalidades do negcio, como sade e segurana, seguro ou financeira (gesto de ativos).
O processo de compilao de um inventrio de ativos um pr-requisito importante no gerenciamento de
riscos (ver seo 4).


7.1.2 Proprietrio dos ativos
Controle
Convm que todas as informaes e ativos associados com os recursos de processamento da informao
tenham um proprietrio
2
designado por uma parte definida da organizao.
Convm que o proprietrio do ativo seja responsvel por:
a) assegurar que as informaes e os ativos associados com os recursos de processamento da
informao estejam adequadamente classificados;
b) definir e periodicamente analisar criticamente as classificaes e restries ao acesso, levando em
conta as polticas de controle de acesso, aplicveis.
O proprietrio pode ser designado para:
a) um processo do negcio;
b) um conjunto de atividades definidas;
c) uma aplicao; ou
d) um conjunto de dados definido.
As tarefas de rotina podem ser delegadas, por exemplo, para um custodiante que cuida do ativo no dia-a-dia,
porm a responsabilidade permanece com o proprietrio.
Em sistemas de informao complexos pode ser til definir grupos de ativos que atuem juntos para fornecer
uma funo particular, como servios. Neste caso, o proprietrio do servio o responsvel pela entrega do
servio, incluindo o funcionamento dos ativos, que prov os servios.
7.1.3 Uso aceitvel dos ativos
Controle
Convm que sejam identificadas, documentadas e implementadas regras para que sejam permitidos o uso de
informaes e de ativos associados aos recursos de processamento da informao.
Convm que todos os funcionrios, fornecedores e terceiros sigam as regras para o uso permitido de
informaes e de ativos associados aos recursos de processamento da informao, incluindo:
a) regras para o uso da internet e do correio eletrnico (ver 10.8);
b) diretrizes para o uso de dispositivos mveis, especialmente para o uso fora das instalaes da
organizao (ver 11.7.1).

2
O termo proprietrio identifica uma pessoa ou organismo que tenha uma responsabilidade autorizada para controlar a
produo, o desenvolvimento, a manuteno, o uso e a segurana dos ativos. O termo "proprietrio" no significa que a
pessoa realmente tenha qualquer direito de propriedade ao ativo.


Convm que regras especficas ou diretrizes sejam fornecidas pelo gestor relevante. Convm que funcionrios,
fornecedores e terceiros que usem ou tenham acesso aos ativos da organizao estejam conscientes dos
limites que existem para os usos das informaes e ativos associados da organizao aos recursos de
processamento da informao. Convm que eles sejam responsveis pelo uso de quaisquer recursos de
processamento da informao e de quaisquer outros usos conduzidos sob a suas responsabilidades.
7.2 Classificao da informao
Objetivo: Assegurar que a informao receba um nvel adequado de proteo.
Convm que a informao seja classificada para indicar a necessidade, prioridades e o nvel esperado de
proteo quando do tratamento da informao.
A informao possui vrios nveis de sensibilidade e criticidade. Alguns itens podem necessitar um nvel
adicional de proteo ou tratamento especial. Convm que um sistema de classificao da informao seja
usado para definir um conjunto apropriado de nveis de proteo e determinar a necessidade de medidas
especiais de tratamento.
7.2.1 Recomendaes para classificao
Controle
Convm que a informao seja classificada em termos do seu valor, requisitos legais, sensibilidade e
criticidade para a organizao.
Convm que a classificao da informao e seus respectivos controles de proteo levem em considerao
as necessidades de compartilhamento ou restrio de informaes e os respectivos impactos nos negcios,
associados com tais necessidades.
Convm que as diretrizes para classificao incluam convenes para classificao inicial e reclassificao ao
longo do tempo, de acordo com algumas polticas de controle de acesso predeterminadas (ver 11.1.1)
Convm que seja de responsabilidade do proprietrio do ativo (ver 7.1.2) definir a classificao de um ativo,
analisando-o criticamente a intervalos regulares, e assegurar que ele est atualizado e no nvel apropriado.
Convm que a classificao leve em considerao a agregao do efeito mencionado em 10.7.2.
Convm que cuidados sejam tomados com a quantidade de categorias de classificao e com os benefcios
obtidos pelo seu uso. Esquemas excessivamente complexos podem tornar o uso incmodo e ser inviveis
economicamente ou impraticveis. Convm que ateno especial seja dada na interpretao dos rtulos de
classificao sobre documentos de outras organizaes, que podem ter definies diferentes para rtulos
iguais ou semelhantes aos usados.
O nvel de proteo pode ser avaliado analisando a confidencialidade, a integridade e a disponibilidade da
informao, bem como quaisquer outros requisitos que sejam considerados.
A informao freqentemente deixa de ser sensvel ou crtica aps um certo perodo de tempo, por exemplo
quando a informao se torna pblica. Convm que estes aspectos sejam levados em considerao, pois uma
classificao superestimada pode levar implementao de custos desnecessrios, resultando em despesas
adicionais.
Considerar, conjuntamente, documentos com requisitos de segurana similares, quando da atribuio dos
nveis de classificao, pode ajudar a simplificar a tarefa de classificao.
Em geral, a classificao dada informao uma maneira de determinar como esta informao vai ser
tratada e protegida.


7.2.2 Rtulos e tratamento da informao
Controle
Convm que um conjunto apropriado de procedimentos para rotulao e tratamento da informao seja
definido e implementado de acordo com o esquema de classificao adotado pela organizao.
Os procedimentos para rotulao da informao precisam abranger tanto os ativos de informao no formato
fsico quanto no eletrnico.
Convm que as sadas de sistemas que contm informaes classificadas como sensveis ou crticas tenham
o rtulo apropriado da classificao da informao (na sada). Convm que o rtulo reflita a classificao de
acordo com as regras estabelecidas em 7.2.1. Itens que devem ser considerados incluem relatrios impressos,
telas, mdias magnticas (fitas, discos, CD), mensagens eletrnicas e transferncias de arquivos.
Convm que sejam definidos, para cada nvel de classificao, procedimentos para o tratamento da
informao que contemplem o processamento seguro, a armazenagem, a transmisso, a reclassificao e a
destruio. Convm que isto tambm inclua os procedimentos para a cadeia de custdia e registros de
qualquer evento de segurana relevante.
Convm que acordos com outras organizaes, que incluam o compartilhamento de informaes, considerem
procedimentos para identificar a classificao daquela informao e para interpretar os rtulos de classificao
de outras organizaces.
A rotulao e o tratamento seguro da classificao da informao um requisito-chave para os procedimentos
de compartilhamento da informao. Os rtulos fsicos so uma forma usual de rotulao. Entretanto, alguns
ativos de informao, como documentos em forma eletrnica, no podem ser fisicamente rotulados, sendo
necessrio usar um rtulo eletrnico. Por exemplo, a notificao do rtulo pode aparecer na tela ou no display.
Onde a aplicao do rtulo no for possvel, outras formas de definir a classificao da informao podem ser
usadas, por exemplo, por meio de procedimentos ou metadados.



8 Segurana em recursos humanos
8.1 Antes da contratao
3

Objetivo: Assegurar que os funcionrios, fornecedores e terceiros entendam suas responsabilidades e estejam
de acordo com os seus papis, e reduzir o risco de roubo, fraude ou mau uso de recursos.
Convm que as responsabilidades pela segurana da informao sejam atribudas antes da contratao, de
forma adequada, nas descries de cargos e nos termos e condies de contratao.
Convm que todos os candidatos ao emprego, fornecedores e terceiros sejam adequadamente analisados,
especialmente em cargos com acesso a informaes sensveis.
Convm que todos os funcionrios, fornecedores e terceiros, usurios dos recursos de processamento da
informao, assinem acordos sobre seus papis e responsabilidades pela segurana da informao.
8.1.1 Papis e responsabilidades
Controle
Convm que papis e responsabilidades pela segurana da informao de funcionrios, fornecedores e
terceiros sejam definidos e documentados de acordo com a poltica de segurana da informao da
organizao.
Convm que os papis e responsabilidades pela segurana da informao incluam requisitos para:
a) implementar e agir de acordo com as polticas de segurana da informao da organizao (ver 5.1);
b) proteger ativos contra acesso no autorizado, divulgao, modificao, destruio ou interferncia;
c) executar processos ou atividades particulares de segurana da informao;
d) assegurar que a responsabilidade atribuda pessoa para tomada de aes;
e) relatar eventos potenciais ou reais de segurana da informao ou outros riscos de segurana para a
organizao.
Convm que papis e responsabilidades de segurana da informao sejam definidos e claramente
comunicados aos candidatos a cargos, durante o processo de pr-contratao.
Descries de cargos podem ser usadas para documentar responsabilidades e papis pela segurana da
informao. Convm que papis e responsabilidades pela segurana da informao para pessoas que no
esto engajadas por meio do processo de contratao da organizao, como, por exemplo, atravs de uma
organizao terceirizada, sejam claramente definidos e comunicados.

3
Explicao: A palavra contratao, neste contexto, visa cobrir todas as seguintes diferentes situaes: contratao de
pessoas (temporrias ou por longa durao), nomeao de funes, mudana de funes, atribuies de contratos e
encerramento de quaisquer destas situaes.


8.1.2 Seleo
Controle
Convm que verificaes de controle de todos os candidatos a emprego, fornecedores e terceiros sejam
realizadas de acordo com as leis relevantes, regulamentaes e ticas, e proporcional aos requisitos do
negcio, classificao das informaes a serem acessadas e aos riscos percebidos.
Convm que as verificaes de controle levem em considerao todos os aspectos relevantes relacionados
com a privacidade, legislao baseada na contratao e/ou proteo de dados pessoais e, onde permitido,
incluam os seguintes itens:
a) disponibilidade de referncias de carter satisfatrias, por exemplo uma profissional e uma pessoal;
b) uma verificao (da exatido e inteireza) das informaes do curriculum vitae do candidato;
c) confirmao das qualificaes acadmicas e profissionais;
d) verificao independente da identidade (passaporte ou documento similar);
e) verificaes mais detalhadas, tais como verificaes financeiras (de crdito) ou verificaes de
registros criminais.
Convm que a organizao tambm faa verificaes mais detalhadas, onde um trabalho envolver pessoas,
tanto por contratao como por promoo, que tenham acesso aos recursos de processamento da informao,
em particular aquelas que tratam de informaes sensveis, tais como informaes financeiras ou informaes
altamente confidenciais.
Convm que os procedimentos definam critrios e limitaes para as verificaes de controle, por exemplo,
quem est qualificado para selecionar as pessoas, e como, quando e por que as verificaes de controle so
realizadas.
Convm que um processo de seleo tambm seja feito para fornecedores e terceiros. Quando essas pessoas
vm por meio de uma agncia, convm que o contrato especifique claramente as responsabilidades da
agncia pela seleo e os procedimentos de notificao que devem ser seguidos se a seleo no for
devidamente concluda ou quando os resultados obtidos forem motivos de dvidas ou preocupaes. Do
mesmo modo, convm que acordos com terceiros (ver 6.2.3) especifiquem claramente todas as
responsabilidades e procedimentos de notificao para a seleo.
Convm que informaes sobre todos os candidatos que esto sendo considerados para certas posies
dentro da organizao sejam levantadas e tratadas de acordo com qualquer legislao apropriada existente na
jurisdio pertinente. Dependendo da legislao aplicvel, convm que os candidatos sejam previamente
informados sobre as atividades de seleo.
8.1.3 Termos e condies de contratao
Controle
Como parte das suas obrigaes contratuais, convm que os funcionrios, fornecedores e terceiros concordem
e assinem os termos e condies de sua contratao para o trabalho, os quais devem declarar as suas
responsabilidades e a da organizao para a segurana da informao.



Convm que os termos e condies de trabalho reflitam a poltica de segurana da organizao, esclarecendo
e declarando:
a) que todos os funcionrios, fornecedores e terceiros que tenham acesso a informaes sensveis
assinem um termo de confidencialidade ou de no divulgao antes de lhes ser dado o acesso aos
recursos de processamento da informao;
b) as responsabilidades legais e direitos dos funcionrios, fornecedores e quaisquer outros usurios, por
exemplo, com relao s leis de direitos autorais ou legislao de proteo de dados (ver 15.1.1 e
15.1.2);
c) as responsabilidades pela classificao da informao e pelo gerenciamento dos ativos da
organizao associados com os sistemas de informao e com os servios conduzidos pelos
funcionrios, fornecedores ou terceiros (ver 7.2.1 e 10.7.3);
d) as responsabilidades dos funcionrios, fornecedores e terceiros pelo tratamento da informao
recebida de outras companhias ou de partes externas;
e) responsabilidades da organizao pelo tratamento das informaes pessoais, incluindo informaes
pessoais criadas como resultado de, ou em decorrncia da, contratao com a organizao (ver
15.1.4);
f) responsabilidades que se estendem para fora das dependncias da organizao e fora dos horrios
normais de trabalho, como, por exemplo, nos casos de execuo de trabalhos em casa (ver 9.2.5 e
11.7.1);
g) aes a serem tomadas no caso de o funcionrio, fornecedor ou terceiro desrespeitar os requisitos de
segurana da informao da organizao (ver 8.2.3).
Convm que a organizao assegure que os funcionrios, fornecedores e terceiros concordam com os termos
e condies relativas segurana da informao adequados natureza e extenso do acesso que eles tero
aos ativos da organizao associados com os sistemas e servios de informao.
Convm que as responsabilidades contidas nos termos e condies de contratao continuem por um perodo
de tempo definido, aps o trmino da contratao (ver 8.3), onde apropriado.
Um cdigo de conduta pode ser usado para contemplar as responsabilidades dos funcionrios, fornecedores
ou terceiros, em relao confidencialidade, proteo de dados, ticas, uso apropriado dos recursos e dos
equipamentos da organizao, bem como prticas de boa conduta esperada pela organizao. O fornecedor
ou o terceiro pode estar associado com uma organizao externa que possa, por sua vez, ser solicitada a
participar de acordos contratuais, em nome do contratado.



8.2 Durante a contratao
Objetivo: Assegurar que os funcionrios, fornecedores e terceiros esto conscientes das ameaas e
preocupaes relativas segurana da informao, suas responsabilidades e obrigaes, e esto preparados
para apoiar a poltica de segurana da informao da organizao durante os seus trabalhos normais, e para
reduzir o risco de erro humano.
Convm que as responsabilidades pela direo sejam definidas para garantir que a segurana da informao
aplicada em todo trabalho individual dentro da organizao.
Convm que um nvel adequado de conscientizao, educao e treinamento nos procedimentos de
segurana da informao e no uso correto dos recursos de processamento da informao seja fornecido para
todos os funcionrios, fornecedores e terceiros, para minimizar possveis riscos de segurana da informao.
Convm que um processo disciplinar formal para tratar das violaes de segurana da informao seja
estabelecido.
8.2.1 Responsabilidades da direo
Controle
Convm que a direo solicite aos funcionrios, fornecedores e terceiros que pratiquem a segurana da
informao de acordo com o estabelecido nas polticas e procedimentos da organizao.
Convm que as responsabilidades da direo assegurem que os funcionrios, fornecedores e terceiros:
a) esto adequadamente instrudos sobre as suas responsabilidades e papis pela segurana da
informao antes de obter acesso s informaes sensveis ou aos sistemas de informao;
b) recebam diretrizes que definam quais as expectativas sobre a segurana da informao de suas
atividades dentro da organizao;
c) esto motivados para cumprir com as polticas de segurana da informao da organizao;
d) atinjam um nvel de conscientizao sobre segurana da informao que seja relevante para os seus
papis e responsabilidades dentro da organizao (ver 8.2.2);
e) atendam aos termos e condies de contratao, que incluam a poltica de segurana da informao
da organizao e mtodos apropriados de trabalho;
f) tenham as habilidades e qualificaes apropriadas.
Se os funcionrios, fornecedores e terceiros no forem conscientizados das suas responsabilidades, eles
podem causar considerveis danos para a organizao. Pessoas motivadas tm uma maior probabilidade de
serem mais confiveis e de causar menos incidentes de segurana da informao.
Uma m gesto pode causar s pessoas o sentimento de sub-valorizao, resultando em um impacto de
segurana da informao negativo para a organizao. Por exemplo, uma m gesto pode levar a segurana
da informao a ser negligenciada ou a um potencial mau uso dos ativos da organizao.
8.2.2 Conscientizao, educao e treinamento em segurana da informao
Controle
Convm que todos os funcionrios da organizao e, onde pertinente, fornecedores e terceiros recebam
treinamento apropriados em conscientizao, e atualizaes regulares nas polticas e procedimentos
organizacionais, relevantes para as suas funes.


Convm que o treinamento em conscientizao comece com um processo formal de induo concebido para
introduzir as polticas e expectativas de segurana da informao da organizao, antes que seja dado o
acesso s informaes ou servios.
Convm que os treinamentos em curso incluam requisitos de segurana da informao, responsabilidades
legais e controles do negcio, bem como o treinamento do uso correto dos recursos de processamento da
informao, como, por exemplo, procedimentos de log-on, o uso de pacotes de software e informaes sobre o
processo disciplinar (ver 8.2.3).
Convm que a conscientizao, educao e treinamento nas atividades de segurana da informao sejam
adequados e relevantes para os papis, responsabilidades e habilidades da pessoa, e que incluam
informaes sobre conhecimento de ameaas, quem deve ser contatado para orientaes sobre segurana da
informao e os canais adequados para relatar os incidentes de segurana da informao (ver 13.1).
O treinamento para aumentar a conscientizao visa permitir que as pessoas reconheam os problemas e
incidentes de segurana da informao, e respondam de acordo com as necessidades do seu trabalho.
8.2.3 Processo disciplinar
Controle
Convm que exista um processo disciplinar formal para os funcionrios que tenham cometido uma violao da
segurana da informao.
Convm que o processo disciplinar no inicie sem uma verificao prvia de que a violao da segurana da
informao realmente ocorreu (ver 13.2.3 em coleta de evidncias).
Convm que o processo disciplinar formal assegure um tratamento justo e correto aos funcionrios que so
suspeitos de cometer violaes de segurana da informao. O processo disciplinar formal deve dar uma
resposta de forma gradual, que leve em considerao fatores como a natureza e a gravidade da violao e o
seu impacto no negcio, se este ou no o primeiro delito, se o infrator foi ou no adequadamente treinado, as
legislaes relevantes, os contratos do negcio e outros fatores conforme requerido. Em casos srios de m
conduta, convm que o processo permita, por um certo perodo, a remoo das responsabilidades, dos direitos
de acesso e privilgios e, dependendo da situao, solicitar pessoa, a sada imediata das dependncias da
organizao, escoltando-a.
Convm que o processo disciplinar tambm seja usado como uma forma de dissuaso, para evitar que os
funcionrios, fornecedores e terceiros violem os procedimentos e as polticas de segurana da informao da
organizao, e quaisquer outras violaes na segurana.
8.3 Encerramento ou mudana da contratao
Objetivo: Assegurar que funcionrios, fornecedores e terceiros deixem a organizao ou mudem de trabalho
de forma ordenada.
Convm que responsabilidades sejam definidas para assegurar que a sada de funcionrios, fornecedores e
terceiros da organizao seja feita de modo controlado e que a devoluo de todos os equipamentos e a
retirada de todos os direitos de acesso esto concludas.
Convm que as mudanas de responsabilidades e de trabalhos dentro de uma organizao sejam gerenciadas
quando do encerramento da respectiva responsabilidade ou trabalho de acordo com esta seo, e quaisquer
novos trabalhos sejam gerenciados conforme descrito em 8.1.


8.3.1 Encerramento de atividades
Controle
Convm que responsabilidades para realizar o encerramento ou a mudana de um trabalho sejam claramente
definidas e atribudas.
Convm que a comunicao de encerramento de atividades inclua requisitos de segurana e
responsabilidades legais existentes e, onde apropriado, responsabilidades contidas em quaisquer acordos de
confidencialidade (ver 6.1.5) e os termos e condies de trabalho (ver 8.1.3) que continuem por um perodo
definido aps o fim do trabalho do funcionrio, do fornecedor ou do terceiro.
Convm que as responsabilidades e obrigaes contidas nos contratos dos funcionrios, fornecedores ou
terceiros permaneam vlidas aps o encerramento das atividades.
Convm que as mudanas de responsabilidades ou do trabalho sejam gerenciadas quando do encerramento
da respectiva responsabilidade ou do trabalho, e que novas responsabilidades ou trabalho sejam controladas
conforme descrito em 8.1.
A funo de Recursos Humanos geralmente responsvel pelo processo global de encerramento e trabalha
em conjunto com o gestor responsvel pela pessoa que est saindo, para gerenciar os aspectos de segurana
da informao dos procedimentos pertinentes. No caso de um fornecedor, o processo de encerramento de
atividades pode ser realizado por uma agncia responsvel pelo fornecedor e, no caso de um outro usurio,
isto pode ser tratado pela sua organizao.
Pode ser necessrio informar aos funcionrios, clientes, fornecedores ou terceiros sobre as mudanas de
pessoal e procedimentos operacionais.
8.3.2 Devoluo de ativos
Controle
Convm que todos os funcionrios, fornecedores e terceiros devolvam todos os ativos da organizao que
estejam em sua posse, aps o encerramento de suas atividades, do contrato ou acordo.
Convm que o processo de encerramento de atividades seja formalizado para contemplar a devoluo de
todos os equipamentos, documentos corporativos e software entregues pessoa. Outros ativos da
organizao, tais como dispositivos de computao mvel, cartes de crditos, cartes de acesso, software,
manuais e informaes armazenadas em mdia eletrnica, tambm precisam ser devolvidos.
No caso em que um funcionrio, fornecedor ou terceiro compre o equipamento da organizao ou use o seu
prprio equipamento pessoal, convm que procedimentos sejam adotados para assegurar que toda a
informao relevante seja transferida para a organizao e que seja apagada de forma segura do equipamento
(ver 10.7.1).
Nos casos em que o funcionrio, fornecedor ou terceiro tenha conhecimento de que seu trabalho importante
para as atividades que so executadas, convm que este conhecimento seja documentado e transferido para a
organizao.
8.3.3 Retirada de direitos de acesso
Controle
Convm que os direitos de acesso de todos os funcionrios, fornecedores e terceiros s informaes e aos
recursos de processamento da informao sejam retirados aps o encerramento de suas atividades, contratos
ou acordos, ou ajustado aps a mudana destas atividades.


Convm que os direitos de acesso da pessoa aos ativos associados com os sistemas de informao e servios
sejam reconsiderados, aps o encerramento das atividades. Isto ir determinar se necessrio retirar os
direitos de acesso. Convm que mudanas de uma atividade sejam refletidas na retirada de todos os direitos
de acesso que no foram aprovados para o novo trabalho. Convm que os direitos de acesso que sejam
retirados ou adaptados incluam o acesso lgico e fsico, chaves, cartes de identificao, recursos de
processamento da informao (ver 11.2.4), subscries e retirada de qualquer documentao que os
identifiquem como um membro atual da organizao. Caso o funcionrio, fornecedor ou terceiro que esteja
saindo tenha conhecimento de senhas de contas que permanecem ativas, convm que estas sejam alteradas
aps um encerramento das atividades, mudana do trabalho, contrato ou acordo.
Convm que os direitos de acesso aos ativos de informao e aos recursos de processamento da informao
sejam reduzidos ou retirados antes que a atividade se encerre ou altere, dependendo da avaliao de fatores
de risco, tais como:
a) se o encerramento da atividade ou a mudana iniciada pelo funcionrio, fornecedor ou terceiro, ou
pelo gestor e a razo do encerramento da atividade;
b) as responsabilidades atuais do funcionrio, fornecedor ou qualquer outro usurio;
c) valor dos ativos atualmente acessveis.
Em certas circunstncias os direitos de acesso podem ser alocados com base no que est sendo
disponibilizado para mais pessoas do que as que esto saindo (funcionrio, fornecedor ou terceiro), como, por
exemplo, grupos de ID. Convm que, em tais casos, as pessoas que esto saindo da organizao sejam
retiradas de quaisquer listas de grupos de acesso e que sejam tomadas providncias para avisar aos outros
funcionrios, fornecedores e terceiros envolvidos para no mais compartilhar estas informaes com a pessoa
que est saindo.
Nos casos em que o encerramento da atividade seja da iniciativa do gestor, os funcionrios, fornecedores ou
terceiros descontentes podem deliberadamente corromper a informao ou sabotar os recursos de
processamento da informao. No caso de pessoas demitidas ou exoneradas, elas podem ser tentadas a
coletar informaes para uso futuro.



9 Segurana fsica e do ambiente
9.1 reas seguras
Objetivo: Prevenir o acesso fsico no autorizado, danos e interferncias com as instalaes e informaes da
organizao.
Convm que as instalaes de processamento da informao crticas ou sensveis sejam mantidas em reas
seguras, protegidas por permetros de segurana definidos, com barreiras de segurana e controles de acesso
apropriados. Convm que sejam fisicamente protegidas contra o acesso no autorizado, danos e
interferncias.
Convm que a proteo oferecida seja compatvel com os riscos identificados.
9.1.1 Permetro de segurana fsica
Controle
Convm que sejam utilizados permetros de segurana (barreiras tais como paredes, portes de entrada
controlados por carto ou balces de recepo com recepcionistas) para proteger as reas que contenham
informaes e instalaes de processamento da informao.
Diretrizes para a implementao
Convm que sejam levadas em considerao e implementadas as seguintes diretrizes para permetros de
segurana fsica, quando apropriado:
a) os permetros de segurana sejam claramente definidos e que a localizao e a capacidade de
resistncia de cada permetro dependam dos requisitos de segurana dos ativos existentes no interior
do permetro, e dos resultados da anlise/avaliao de riscos;
b) os permetros de um edifcio ou de um local que contenha instalaes de processamento da
informao sejam fisicamente slidos (ou seja, o permetro no deve ter brechas nem pontos onde
poderia ocorrer facilmente uma invaso); convm que as paredes externas do local sejam de
construo robusta e todas as portas externas sejam adequadamente protegidas contra acesso no
autorizado por meio de mecanismos de controle, por exemplo, barras, alarmes, fechaduras etc.;
convm que as portas e janelas sejam trancadas quando estiverem sem monitorao, e que uma
proteo externa para as janelas seja considerada, principalmente para as que estiverem situadas no
andar trreo;
c) seja implantada uma rea de recepo, ou um outro meio para controlar o acesso fsico ao local ou ao
edifcio; o acesso aos locais ou edifcios deve ficar restrito somente ao pessoal autorizado;
d) sejam construdas barreiras fsicas, onde aplicvel, para impedir o acesso fsico no autorizado e a
contaminao do meio ambiente;
e) todas as portas corta-fogo do permetro de segurana sejam providas de alarme, monitoradas e
testadas juntamente com as paredes, para estabelecer o nvel de resistncia exigido, de acordo com
normas regionais, nacionais e internacionais aceitveis; elas devem funcionar de acordo com os
cdigos locais de preveno de incndios e preveno de falhas;
f) sistemas adequados de deteco de intrusos, de acordo com normas regionais, nacionais e
internacionais, sejam instalados e testados em intervalos regulares, e cubram todas as portas externas
e janelas acessveis; as reas no ocupadas devem ser protegidas por alarmes o tempo todo; tambm
deve ser dada proteo a outras reas, por exemplo, salas de computadores ou salas de
comunicaes;
g) as instalaes de processamento da informao gerenciadas pela organizao devem ficar
fisicamente separadas daquelas que so gerenciadas por terceiros.


Pode-se obter proteo fsica criando uma ou mais barreiras fsicas ao redor das instalaes e dos recursos de
processamento da informao da organizao. O uso de barreiras mltiplas proporciona uma proteo
adicional, uma vez que neste caso a falha de uma das barreiras no significa que a segurana fique
comprometida imediatamente.
Uma rea segura pode ser um escritrio trancvel ou um conjunto de salas rodeado por uma barreira fsica
interna contnua de segurana. Pode haver necessidade de barreiras e permetros adicionais para o controle
do acesso fsico, quando existem reas com requisitos de segurana diferentes dentro do permetro de
segurana.
Convm que sejam tomadas precaues especiais para a segurana do acesso fsico no caso de edifcios que
alojam diversas organizaes.
9.1.2 Controles de entrada fsica
Controle
Convm que as reas seguras sejam protegidas por controles apropriados de entrada para assegurar que
somente pessoas autorizadas tenham acesso.
Convm que sejam levadas em considerao as seguintes diretrizes:
a) a data e hora da entrada e sada de visitantes sejam registradas, e todos os visitantes sejam
supervisionados, a no ser que o seu acesso tenha sido previamente aprovado; convm que as
permisses de acesso sejam concedidas somente para finalidades especficas e autorizadas, e sejam
emitidas com instrues sobre os requisitos de segurana da rea e os procedimentos de emergncia;
b) acesso s reas em que so processadas ou armazenadas informaes sensveis seja controlado e
restrito s pessoas autorizadas; convm que sejam utilizados controles de autenticao, por exemplo,
carto de controle de acesso mais PIN (personal identification number), para autorizar e validar todos
os acessos; deve ser mantido de forma segura um registro de todos os acessos para fins de auditoria;
c) seja exigido que todos os funcionrios, fornecedores e terceiros, e todos os visitantes, tenham alguma
forma visvel de identificao, e eles devem avisar imediatamente o pessoal de segurana caso
encontrem visitantes no acompanhados ou qualquer pessoa que no esteja usando uma identificao
visvel;
d) aos terceiros que realizam servios de suporte, seja concedido acesso restrito s reas seguras ou s
instalaes de processamento da informao sensvel somente quando necessrio; este acesso deve
ser autorizado e monitorado;
e) os direitos de acesso a reas seguras sejam revistos e atualizados em intervalos regulares, e
revogados quando necessrio (ver 8.3.3).
9.1.3 Segurana em escritrios, salas e instalaes
Controle
Convm que seja projetada e aplicada segurana fsica para escritrios, salas e instalaes.
Convm que sejam levadas em considerao as seguintes diretrizes para proteger escritrios, salas e
instalaes:
a) sejam levados em conta os regulamentos e normas de sade e segurana aplicveis;
b) as instalaes-chave sejam localizadas de maneira a evitar o acesso do pblico;


c) os edifcios sejam discretos e dem a menor indicao possvel da sua finalidade, sem letreiros
evidentes, fora ou dentro do edifcio, que identifiquem a presena de atividades de processamento de
informaes, quando for aplicvel;
d) as listas de funcionrios e guias telefnicos internos que identifiquem a localizao das instalaes
que processam informaes sensveis no fiquem facilmente acessveis ao pblico.
9.1.4 Proteo contra ameaas externas e do meio ambiente
Controle
Convm que sejam projetadas e aplicadas proteo fsica contra incndios, enchentes, terremotos, exploses,
perturbaes da ordem pblica e outras formas de desastres naturais ou causados pelo homem.
Convm que sejam levadas em considerao todas as ameaas segurana representadas por instalaes
vizinhas, por exemplo, um incndio em um edifcio vizinho, vazamento de gua do telhado ou em pisos do
subsolo ou uma exploso na rua.
Convm que sejam levadas em considerao as seguintes diretrizes para evitar danos causados por incndios,
enchentes, terremotos, exploses, perturbaes da ordem pblica e outras formas de desastres naturais ou
causados pelo homem:
a) os materiais perigosos ou combustveis sejam armazenados a uma distncia segura da rea de
segurana. Suprimentos em grande volume, como materiais de papelaria, no devem ser
armazenados dentro de uma rea segura;
b) os equipamentos para contingncia e mdia de backup fiquem a uma distncia segura, para que no
sejam danificados por um desastre que afete o local principal;
c) os equipamentos apropriados de deteco e combate a incndios sejam providenciados e
posicionados corretamente.
9.1.5 Trabalhando em reas seguras
Controle
Convm que seja projetada e aplicada proteo fsica, bem como diretrizes para o trabalho em reas seguras.
a) pessoal s tenha conhecimento da existncia de reas seguras ou das atividades nelas realizadas,
apenas se for necessrio;
b) seja evitado o trabalho no supervisionado em reas seguras, tanto por motivos de segurana como
para prevenir as atividades mal intencionadas;
c) as reas seguras no ocupadas sejam fisicamente trancadas e periodicamente verificadas;
d) no seja permitido o uso de mquinas fotogrficas, gravadores de vdeo ou udio ou de outros
equipamentos de gravao, tais como cmeras em dispositivos mveis, salvo se for autorizado.
As normas para o trabalho em reas seguras incluem o controle dos funcionrios, fornecedores e terceiros que
trabalham em tais reas, bem como o controle de outras atividades de terceiros nestas reas.



9.1.6 Acesso do pblico, reas de entrega e de carregamento
Controle
Convm que os pontos de acesso, tais como reas de entrega e de carregamento e outros pontos em que
pessoas no autorizadas possam entrar nas instalaes, sejam controlados e, se possvel, isolados das
instalaes de processamento da informao, para evitar o acesso no autorizado.
a) acesso a uma rea de entrega e carregamento a partir do exterior do prdio fique restrito ao pessoal
identificado e autorizado;
b) as reas de entrega e carregamento sejam projetadas de tal maneira que seja possvel descarregar
suprimentos sem que os entregadores tenham acesso a outras partes do edifcio;
c) as portas externas de uma rea de entrega e carregamento sejam protegidas enquanto as portas
internas estiverem abertas;
d) os materiais entregues sejam inspecionados para detectar ameaas potenciais (ver 9.2.1d)) antes de
serem transportados da rea de entrega e carregamento para o local de utilizao;
e) os materiais entregues sejam registrados por ocasio de sua entrada no local, usando-se
procedimentos de gerenciamento de ativos (ver 7.1.1);
f) as remessas entregues sejam segregadas fisicamente das remessas que saem, sempre que possvel.
9.2 Segurana de equipamentos
Objetivo: Impedir perdas, danos, furto ou comprometimento de ativos e interrupo das atividades da
organizao.
Convm que os equipamentos sejam protegidos contra ameaas fsicas e do meio ambiente.
A proteo dos equipamentos (incluindo aqueles utilizados fora do local, e a retirada de ativos) necessria
para reduzir o risco de acesso no autorizado s informaes e para proteger contra perdas ou danos.
Convm que tambm seja levado em considerao a introduo de equipamentos no local, bem como sua
remoo. Podem ser necessrios controles especiais para a proteo contra ameaas fsicas e para a
proteo de instalaes de suporte, como a infra-estrutura de suprimento de energia e de cabeamento.
9.2.1 Instalao e proteo do equipamento
Controle
Convm que os equipamentos sejam colocados no local ou protegidos para reduzir os riscos de ameaas e
perigos do meio ambiente, bem como as oportunidades de acesso no autorizado.
Convm que sejam levadas em considerao as seguintes diretrizes para proteger os equipamentos:
a) os equipamentos sejam colocados no local, a fim de minimizar o acesso desnecessrio s reas de
trabalho;
b) as instalaes de processamento da informao que manuseiam dados sensveis sejam posicionadas
de forma que o ngulo de viso seja restrito, de modo a reduzir o risco de que as informaes sejam
vistas por pessoal no autorizado durante a sua utilizao, e os locais de armazenagem sejam
protegidos, a fim de evitar o acesso no autorizado;


c) os itens que exigem proteo especial devem ser isolados para reduzir o nvel geral de proteo
necessrio;
d) sejam adotados controles para minimizar o risco de ameaas fsicas potenciais, tais como furto,
incndio, explosivos, fumaa, gua (ou falha do suprimento de gua), poeira, vibrao, efeitos
qumicos, interferncia com o suprimento de energia eltrica, interferncia com as comunicaes,
radiao eletromagntica e vandalismo;
e) sejam estabelecidas diretrizes quanto a comer, beber e fumar nas proximidades das instalaes de
processamento da informao;
f) as condies ambientais, como temperatura e umidade, sejam monitoradas para a deteco de
condies que possam afetar negativamente os recursos de processamento da informao;
g) todos os edifcios sejam dotados de proteo contra raios e todas as linhas de entrada de fora e de
comunicaes tenham filtros de proteo contra raios;
h) para equipamentos em ambientes industriais, o uso de mtodos especiais de proteo, tais como
membranas para teclados, deve ser considerado;
i) os equipamentos que processam informaes sensveis sejam protegidos, a fim de minimizar o risco
de vazamento de informaes em decorrncia de emanaes.
9.2.2 Utilidades
Controle
Convm que os equipamentos sejam protegidos contra falta de energia eltrica e outras interrupes causadas
por falhas das utilidades.
Convm que todas as utilidades, tais como suprimento de energia eltrica, suprimento de gua, esgotos,
calefao/ventilao e ar-condicionado sejam adequados para os sistemas que eles suportam. Convm que as
utilidades sejam inspecionadas em intervalos regulares e testadas de maneira apropriada para assegurar seu
funcionamento correto e reduzir os riscos de defeitos ou interrupes do funcionamento. Convm que seja
providenciado um suprimento adequado de energia eltrica, de acordo com as especificaes do fabricante
dos equipamentos.
Recomenda-se o uso de UPS para suportar as paradas e desligamento dos equipamentos ou para manter o
funcionamento contnuo dos equipamentos que suportam operaes crticas dos negcios. Convm que hajam
planos de contingncia de energia referentes s providncias a serem tomadas em caso de falha do UPS.
Convm que seja considerado um gerador de emergncia caso seja necessrio que o processamento continue
mesmo se houver uma interrupo prolongada do suprimento de energia. Convm que esteja disponvel um
suprimento adequado de combustvel para garantir a operao prolongada do gerador. Convm que os
equipamentos UPS e os geradores sejam verificados em intervalos regulares para assegurar que eles tenham
capacidade adequada, e sejam testados de acordo com as recomendaes do fabricante. Alm disto, deve ser
considerado o uso de mltiplas fontes de energia ou de uma subestao de fora separada, se o local for
grande.
Convm que as chaves de emergncia para o desligamento da energia fiquem localizadas na proximidade das
sadas de emergncia das salas de equipamentos, para facilitar o desligamento rpido da energia em caso de
uma emergncia. Convm que seja providenciada iluminao de emergncia para o caso de queda da fora.
Convm que o suprimento de gua seja estvel e adequado para abastecer os equipamentos de ar-
condicionado e de umidificao, bem como os sistemas de extino de incndios (quando usados). Falhas de
funcionamento do abastecimento de gua podem danificar o sistema ou impedir uma ao eficaz de extino
de incndios. Convm que seja analisada a necessidade de sistemas de alarme para detectar falhas de
funcionamento das utilidades, instalando os alarmes, se necessrio.


Convm que os equipamentos de telecomunicaes sejam conectados rede pblica de energia eltrica
atravs de pelo menos duas linhas separadas, para evitar que a falha de uma das conexes interrompa os
servios de voz. Convm que os servios de voz sejam adequados para atender s exigncias legais locais
relativas a comunicaes de emergncia.
As opes para assegurar a continuidade do suprimento de energia incluem mltiplas linhas de entrada, para
evitar que uma falha em um nico ponto comprometa o suprimento de energia.
9.2.3 Segurana do cabeamento
Controle
Convm que o cabeamento de energia e de telecomunicaes que transporta dados ou d suporte aos
servios de informaes seja protegido contra interceptao ou danos.
Convm que sejam levadas em considerao as seguintes diretrizes para a segurana do cabeamento:
a) as linhas de energia e de telecomunicaes que entram nas instalaes de processamento da
informao sejam subterrneas (ou fiquem abaixo do piso), sempre que possvel, ou recebam uma
proteo alternativa adequada;
b) cabeamento de redes seja protegido contra interceptao no autorizada ou danos, por exemplo, pelo
uso de condutes ou evitando trajetos que passem por reas pblicas;
c) os cabos de energia sejam segregados dos cabos de comunicaes, para evitar interferncias;
d) nos cabos e nos equipamentos, sejam utilizadas marcaes claramente identificveis, a fim de
minimizar erros de manuseio, como, por exemplo, fazer de forma acidental conexes erradas em
cabos da rede;
e) seja utilizada uma lista de documentao das conexes para reduzir a possibilidade de erros;
f) para sistemas sensveis ou crticos, os seguintes controles adicionais devem ser considerados:
1) instalao de condutes blindados e salas ou caixas trancadas em pontos de inspeo e pontos
terminais;
2) uso de rotas alternativas e/ou meios de transmisso alternativos que proporcionem segurana
adequada;
3) utilizao de cabeamento de fibras pticas;
4) utilizao de blindagem eletromagntica para a proteo dos cabos;
5) realizao de varreduras tcnicas e inspees fsicas para detectar a presena de dispositivos no
autorizados conectados aos cabos;
6) acesso controlado aos painis de conexes e s salas de cabos.



9.2.4 Manuteno dos equipamentos
Controle
Convm que os equipamentos tenham uma manuteno correta para assegurar sua disponibilidade e
integridade permanentes.
Convm que sejam levadas em considerao as seguintes diretrizes para a manuteno dos equipamentos:
a) a manuteno dos equipamentos seja realizada nos intervalos recomendados pelo fornecedor, e de
acordo com as suas especificaes;
b) a manuteno e os consertos dos equipamentos sejam realizados somente por pessoal de
manuteno autorizado;
c) sejam mantidos os registros de todas as falhas, suspeitas ou reais, e de todas as operaes de
manuteno preventiva e corretiva realizadas;
d) sejam implementados controles apropriados, na poca programada para a manuteno do
equipamento, dependendo de a manuteno ser realizada pelo pessoal do local ou por pessoal
externo organizao; onde necessrio, as informaes sensveis sejam eliminadas do equipamento,
ou o pessoal de manuteno seja de absoluta confiana;
e) sejam atendidas todas as exigncias estabelecidas nas aplices de seguro.
9.2.5 Segurana de equipamentos fora das dependncias da organizao
Controle
Convm que sejam tomadas medidas de segurana para equipamentos que operem fora do local, levando em
conta os diferentes riscos decorrentes do fato de se trabalhar fora das dependncias da organizao.
Convm que, independentemente de quem seja o proprietrio, a utilizao de quaisquer equipamentos de
processamento de informaes fora das dependncias da organizao seja autorizada pela gerncia.
Convm que sejam levadas em considerao as seguintes diretrizes para a proteo de equipamentos usados
fora das dependncias da organizao:
a) os equipamentos e suportes fsicos de dados removidos das dependncias da organizao no fiquem
sem superviso em lugares pblicos; os computadores portteis sejam carregados como bagagem de
mo e disfarados, sempre que possvel, quando se viaja;
b) sejam observadas a qualquer tempo as instrues do fabricante para a proteo do equipamento, por
exemplo, proteo contra a exposio a campos eletromagnticos intensos;
c) os controles para o trabalho em casa sejam determinados por uma anlise/avaliao de riscos, sendo
aplicados controles adequados para cada caso, por exemplo, arquivos trancveis, poltica de "mesa
limpa", controles de acesso a computadores, e comunicao segura com o escritrio
(ver ISO/IEC 18028 Network security);
d) haja uma cobertura adequada de seguro para proteger os equipamentos fora das dependncias da
organizao.
Os riscos de segurana, por exemplo, de danos, furto ou espionagem, podem variar consideravelmente de um
local para outro e convm que sejam levados em conta para determinar os controles mais apropriados.



Os equipamentos de armazenagem e processamento de informaes incluem todas as formas de
computadores pessoais, agendas eletrnicas, telefones celulares, cartes inteligentes, papis e outros tipos,
utilizados no trabalho em casa, ou que so removidos do local normal de trabalho.
Mais informaes sobre outros aspectos da proteo de equipamentos mveis podem ser encontradas
em 11.7.1.
9.2.6 Reutilizao e alienao segura de equipamentos
Controle
Convm que todos os equipamentos que contenham mdias de armazenamento de dados sejam examinados
antes do descarte, para assegurar que todos os dados sensveis e softwares licenciados tenham sido
removidos ou sobregravados com segurana.
Convm que os dispositivos que contenham informaes sensveis sejam destrudos fisicamente ou as
informaes sejam destrudas, apagadas ou sobregravadas por meio de tcnicas que tornem as informaes
originais irrecuperveis, em vez de se usarem as funes-padro de apagar ou formatar.
No caso de dispositivos defeituosos que contenham informaes sensveis, pode ser necessria uma
anlise/avaliao de riscos para determinar se convm destruir fisicamente o dispositivo em vez de mand-lo
para o conserto ou descart-lo.
As informaes podem ser comprometidas por um descarte feito sem os devidos cuidados ou pela reutilizao
do equipamento (ver 10.7.2).
9.2.7 Remoo de propriedade
Controle
Convm que equipamentos, informaes ou software no sejam retirados do local sem autorizao prvia.
a) os equipamentos, informaes ou software no sejam retirados do local sem autorizao prvia;
b) os funcionrios, fornecedores e terceiros que tenham autoridade para permitir a remoo de ativos
para fora do local sejam claramente identificados;
c) sejam estabelecidos limites de tempo para a retirada de equipamentos do local, e a devoluo seja
controlada;
d) sempre que necessrio ou apropriado, seja feito um registro da retirada e da devoluo de
equipamentos, quando do seu retorno.
Podem ser feitas inspees aleatrias para detectar a retirada no autorizada de bens e a existncia de
equipamentos de gravao no autorizados, armas etc., e impedir sua entrada no local. Convm que tais
inspees aleatrias sejam feitas de acordo com a legislao e as normas aplicveis. Convm que as pessoas
sejam avisadas da realizao das inspees, e elas s podem ser feitas com a devida autorizao, levando em
conta as exigncias legais e regulamentares.



10 Gerenciamento das operaes e comunicaes
10.1 Procedimentos e responsabilidades operacionais
Objetivo: Garantir a operao segura e correta dos recursos de processamento da informao.
Convm que os procedimentos e responsabilidades pela gesto e operao de todos os recursos de
processamento das informaes sejam definidos. Isto abrange o desenvolvimento de procedimentos
operacionais apropriados.
Convm que seja utilizada a segregao de funes quando apropriado, para reduzir o risco de mau uso ou
uso doloso dos sistemas.
10.1.1 Documentao dos procedimentos de operao
Controle
Convm que os procedimentos de operao sejam documentados, mantidos atualizados e disponveis a todos
os usurios que deles necessitem.
Convm que procedimentos documentados sejam preparados para as atividades de sistemas associadas a
recursos de processamento e comunicao de informaes, tais como procedimentos de inicializao e
desligamento de computadores, gerao de cpias de segurana (backup), manuteno de equipamentos,
tratamento de mdias, segurana e gesto do tratamento das correspondncias e das salas de computadores.
Convm que os procedimentos de operao especifiquem as instrues para a execuo detalhada de cada
tarefa, incluindo:
a) processamento e tratamento da informao;
b) backup (ver 10.5);
c) requisitos de agendamento, incluindo interdependncias com outros sistemas, a primeira hora para
incio da tarefa e a ltima hora para o trmino da tarefa;
d) instrues para tratamento de erros ou outras condies excepcionais, que possam ocorrer durante a
execuo de uma tarefa, incluindo restries de uso dos utilitrios do sistema (ver 11.5.4);
e) dados para contatos de suporte para o caso de eventos operacionais inesperados ou dificuldades
tcnicas;
f) instrues para tratamento de resultados especiais e mdias, tais como o uso de formulrios especiais
ou o gerenciamento de resultados confidenciais, incluindo procedimentos para a alienao segura de
resultados provenientes de rotinas com falhas (ver 10.7.2 e 10.7.3);
g) procedimento para o reincio e recuperao em caso de falha do sistema;
h) gerenciamento de trilhas de auditoria e informaes de registros (log) de sistemas (ver 10.10).
Convm que procedimentos operacionais e os procedimentos documentados para atividades de sistemas
sejam tratados como documentos formais e as mudanas sejam autorizadas pela direo. Quando
tecnicamente possvel, convm que os sistemas de informao sejam gerenciados uniformemente, usando os
mesmos procedimentos, ferramentas e utilitrios.


10.1.2 Gesto de mudanas
Controle
Convm que modificaes nos recursos de processamento da informao e sistemas sejam controladas.
Convm que sistemas operacionais e aplicativos estejam sujeitos a rgido controle de gesto de mudanas.
Em particular, convm que os seguintes itens sejam considerados:
a) identificao e registro das mudanas significativas;
b) planejamento e testes das mudanas;
c) avaliao de impactos potenciais, incluindo impactos de segurana, de tais mudanas;
d) procedimento formal de aprovao das mudanas propostas;
e) comunicao dos detalhes das mudanas para todas as pessoas envolvidas;
f) procedimentos de recuperao, incluindo procedimentos e responsabilidades pela interrupo e
recuperao de mudanas em caso de insucesso ou na ocorrncia de eventos inesperados.
Convm que sejam estabelecidos os procedimentos e responsabilidades gerenciais formais para garantir que
haja um controle satisfatrio de todas as mudanas em equipamentos, software ou procedimentos. Quando
mudanas forem realizadas, convm que seja mantido um registro de auditoria contendo todas as informaes
relevantes.
O controle inadequado de modificaes nos sistemas e nos recursos de processamento da informao uma
causa comum de falhas de segurana ou de sistema. Mudanas a ambientes operacionais, especialmente
quando da transferncia de um sistema em desenvolvimento para o estgio operacional, podem trazer
impactos confiabilidade de aplicaes (ver 12.5.1).
Convm que mudanas em sistemas operacionais sejam apenas realizadas quando houver uma razo de
negcio vlida para tal, como um aumento no risco do sistema. A atualizao de sistemas s verses mais
atuais de sistemas operacionais ou aplicativos nem sempre do interesse do negcio, pois pode introduzir
mais vulnerabilidades e instabilidades ao ambiente do que a verso corrente. Pode haver ainda a necessidade
de treinamento adicional, custos de licenciamento, suporte, manuteno e sobrecarga de administrao, bem
como a necessidade de novos equipamentos, especialmente durante a fase de migrao.
10.1.3 Segregao de funes
Controle
Convm que funes e reas de responsabilidade sejam segregadas para reduzir as oportunidades de
modificao ou uso indevido no autorizado ou no intencional dos ativos da organizao.
A segregao de funes um mtodo para reduo do risco de uso indevido acidental ou deliberado dos
sistemas. Convm que sejam tomados certos cuidados para impedir que uma nica pessoa possa acessar,
modificar ou usar ativos sem a devida autorizao ou deteco. Convm que o incio de um evento seja
separado de sua autorizao. Convm que a possibilidade de existncia de conluios seja considerada no
projeto dos controles.
As pequenas organizaes podem considerar a segregao de funes difcil de ser implantada, mas convm
que o seu princpio seja aplicado sempre que possvel e praticvel. Onde for difcil a segregao, convm que
outros controles, como a monitorao das atividades, trilhas de auditoria e o acompanhamento gerencial,
sejam considerados. importante que a auditoria da segurana permanea como uma atividade independente.


10.1.4 Separao dos recursos de desenvolvimento, teste e de produo
Controle
Convm que recursos de desenvolvimento, teste e produo sejam separados para reduzir o risco de acessos
ou modificaes no autorizadas aos sistemas operacionais.
Convm que o nvel de separao dos ambientes de produo, testes e desenvolvimento que necessrio
para prevenir problemas operacionais seja identificado e os controles apropriados sejam implementados.
Convm que os seguintes itens sejam considerados:
a) as regras para a transferncia de software da situao de desenvolvimento para a de produo sejam
definidas e documentadas;
b) software em desenvolvimento e o software em produo sejam, sempre que possvel, executados em
diferentes sistemas ou processadores e em diferentes domnios ou diretrios;
c) os compiladores, editores e outras ferramentas de desenvolvimento ou utilitrios de sistemas no
sejam acessveis aos sistemas operacionais, quando no for necessrio;
d) os ambientes de testes emulem o ambiente de produo o mais prximo possvel;
e) os usurios tenham diferentes perfis para sistemas em testes e em produo, e que os menus
mostrem mensagens apropriadas de identificao para reduzir o risco de erro;
f) os dados sensveis no sejam copiados para os ambientes de testes (ver 12.4.2).
As atividades de desenvolvimento e teste podem causar srios problemas, como, por exemplo, modificaes
inesperadas em arquivos ou sistemas ou falhas de sistemas. Nesse caso, necessria a manuteno de um
ambiente conhecido e estvel, no qual possam ser executados testes significativos e que seja capaz de
prevenir o acesso indevido do pessoal de desenvolvimento.
Quando o pessoal de desenvolvimento e teste possui acesso ao ambiente de produo e suas informaes,
eles podem introduzir cdigos no testados e no autorizados, ou mesmo alterar os dados do sistema. Em
alguns sistemas essa capacidade pode ser mal utilizada para a execuo de fraudes, ou introduo de cdigos
maliciosos ou no testados, que podem causar srios problemas operacionais.
O pessoal de desenvolvimento e testes tambm representa uma ameaa confidencialidade das informaes
de produo. As atividades de desenvolvimento e teste podem causar modificaes no intencionais no
software e informaes se eles compartilharem o mesmo ambiente computacional. A separao dos ambientes
de desenvolvimento, teste e produo so, portanto, desejvel para reduzir o risco de modificaes acidentais
ou acessos no autorizados aos sistemas operacionais e aos dados do negcio (ver 12.4.2 para a proteo de
dados de teste).
10.2 Gerenciamento de servios terceirizados
Objetivo: Implementar e manter o nvel apropriado de segurana da informao e de entrega de servios em
consonncia com acordos de entrega de servios terceirizados.
Convm que a organizao verifique a implementao dos acordos, monitore a conformidade com tais acordos
e gerencie as mudanas para garantir que os servios entregues atendem a todos os requisitos acordados
com os terceiros.



10.2.1 Entrega de servios
Controle
Convm que seja garantido que os controles de segurana, as definies de servio e os nveis de entrega
includos no acordo de entrega de servios terceirizados sejam implementados, executados e mantidos pelo
terceiro.
Convm que a entrega de servios por um terceiro inclua os arranjos de segurana acordados, definies de
servio e aspectos de gerenciamento de servios. No caso de acordos de terceirizao, convm que a
organizao planeje as transies necessrias (de informao, recursos de processamento de informaes e
quaisquer outros que necessitem de movimentao) e garanta que a segurana seja mantida durante todo o
perodo de transio.
Convm que a organizao garanta que o terceiro mantenha capacidade de servio suficiente, juntamente com
planos viveis projetados para garantir que os nveis de continuidade de servios acordados sejam mantidos
aps falhas de servios severas ou desastres (ver 14.1).
10.2.2 Monitoramento e anlise crtica de servios terceirizados
Controle
Convm que os servios, relatrios e registros fornecidos por terceiro sejam regularmente monitorados e
analisados criticamente, e que auditorias sejam executadas regularmente.
Convm que a monitorao e anlise crtica dos servios terceirizados garantam a aderncia entre os termos
de segurana de informao e as condies dos acordos, e que problemas e incidentes de segurana da
informao sejam gerenciados adequadamente. Convm que isto envolva processos e relaes de
gerenciamento de servio entre a organizao e o terceiro para:
a) monitorar nveis de desempenho de servio para verificar aderncia aos acordos;
b) analisar criticamente os relatrios de servios produzidos por terceiros e agendamento de reunies de
progresso conforme requerido pelos acordos;
c) fornecer informaes acerca de incidentes de segurana da informao e anlise crtica de tais
informaes tanto pelo terceiro quanto pela organizao, como requerido pelos acordos e por
quaisquer procedimentos e diretrizes que os apiem;
d) analisar criticamente as trilhas de auditoria do terceiro e registros de eventos de segurana, problemas
operacionais, falhas, investigao de falhas e interrupes relativas ao servio entregue;
e) resolver e gerenciar quaisquer problemas identificados.
Convm que a responsabilidade do gerenciamento de relacionamento com o terceiro seja atribuda a um
indivduo designado ou equipe de gerenciamento de servio. Adicionalmente, convm que a organizao
garanta que o terceiro atribua responsabilidades pela verificao de conformidade e reforo aos requisitos dos
acordos. Convm que habilidades tcnicas suficientes e recursos sejam disponibilizados para monitorar se os
requisitos dos acordos (ver 6.2.3), em particular os requisitos de segurana da informao, esto sendo
atendidos. Convm que aes apropriadas sejam tomadas quando deficincias na entrega dos servios forem
observadas.
Convm que a organizao mantenha suficiente controle geral e visibilidade em todos os aspectos de
segurana para as informaes sensveis ou crticas ou para os recursos de processamento da informao
acessados, processados ou gerenciados por um terceiro. Convm que a organizao garanta a reteno da
visibilidade nas atividades de segurana como gerenciamento de mudanas, identificao de vulnerabilidades
e relatrio/resposta de incidentes de segurana da informao atravs de um processo de notificao,
formatao e estruturao claramente definido.


Em caso de terceirizao, a organizao precisa estar ciente de que a responsabilidade final pela informao
processada por um parceiro de terceirizao permanece com a organizao.
10.2.3 Gerenciamento de mudanas para servios terceirizados
Controle
Convm que mudanas no provisionamento dos servios, incluindo manuteno e melhoria da poltica de
segurana da informao, procedimentos e controles existentes, sejam gerenciadas levando-se em conta a
criticidade dos sistemas e processos de negcio envolvidos e a reanlise/reavaliao de riscos.
O processo de gerenciamento de mudanas para servios terceirizados precisa levar em conta:
a) mudanas feitas pela organizao para a implementao de:
1) melhorias dos servios correntemente oferecidos;
2) desenvolvimento de quaisquer novas aplicaes ou sistemas;
3) modificaes ou atualizaes das polticas e procedimentos da organizao;
4) novos controles para resolver os incidentes de segurana da informao e para melhorar a
segurana;
b) mudanas em servios de terceiros para implementao de:
1) mudanas e melhorias em redes;
2) uso de novas tecnologias;
3) adoo de novos produtos ou novas verses;
4) novas ferramentas e ambientes de desenvolvimento;
5) mudanas de localizao fsica dos recursos de servios;
6) mudanas de fornecedores.
10.3 Planejamento e aceitao dos sistemas
Objetivo: Minimizar o risco de falhas nos sistemas.
O planejamento e a preparao prvios so requeridos para garantir a disponibilidade adequada de
capacidade e recursos para entrega do desempenho desejado ao sistema.
Convm que projees de requisitos de capacidade futura sejam feitas para reduzir o risco de sobrecarga dos
sistemas.
Convm que os requisitos operacionais dos novos sistemas sejam estabelecidos, documentados e testados
antes da sua aceitao e uso.



10.3.1 Gesto de capacidade
Controle
Convm que utilizao dos recursos seja monitorada e sincronizada e as projees feitas para necessidades
de capacidade futura, para garantir o desempenho requerido do sistema.
Convm que requisitos de capacidade sejam identificados para cada atividade nova ou em andamento.
Convm que a sincronizao e monitoramento dos sistemas sejam aplicados para garantir e, quando
necessrio, melhorar a disponibilidade e eficincia dos sistemas. Convm que controles detectivos sejam
implantados para identificar problemas em tempo hbil. Convm que projees de capacidade futura levem em
considerao os requisitos de novos negcios e sistemas e as tendncias atuais e projetadas de capacidade
de processamento de informao da organizao.
Ateno particular precisa ser dada a qualquer recurso que possua um ciclo de renovao ou custo maior,
sendo responsabilidade dos gestores monitorar a utilizao dos recursos-chave dos sistemas. Convm que
eles identifiquem as tendncias de utilizao, particularmente em relao s aplicaes do negcio ou
gesto das ferramentas de sistemas de informao.
Convm que os gestores utilizem essas informaes para identificar e evitar os potenciais gargalos e a
dependncia em pessoas-chave que possam representar ameaas segurana dos sistemas ou aos servios,
e planejar ao corretiva apropriada.
10.3.2 Aceitao de sistemas
Controle
Convm que sejam estabelecidos critrios de aceitao para novos sistemas, atualizaes e novas verses, e
que sejam efetuados testes apropriados do(s) sistema(s) durante seu desenvolvimento e antes da sua
aceitao.
Convm que os gestores garantam que os requisitos e critrios para aceitao de novos sistemas estejam
claramente definidos, acordados, documentados e testados. Convm que novos sistemas de informao,
atualizaes e novas verses s sejam migrados para produo aps a obteno de aceitao formal.
Convm que os seguintes itens sejam considerados antes que a aceitao formal seja emitida:
a) requisitos de desempenho e de capacidade computacional;
b) recuperao de erros, procedimentos de reinicializao e planos de contingncia;
c) preparao e teste de procedimentos operacionais de rotina para o estabelecimento de padres;
d) concordncia sobre o conjunto de controles de segurana utilizados;
e) manuais eficazes;
f) requisitos de continuidade dos negcios (ver 14.1);
g) evidncia de que a instalao do novo sistema no afetar de forma adversa os sistemas existentes,
particularmente nos perodos de pico de processamento, como, por exemplo, em final de ms;
h) evidncia de que tenha sido considerado o impacto do novo sistema na segurana da organizao
como um todo;
i) treinamento na operao ou uso de novos sistemas;
j) facilidade de uso, uma vez que afeta o desempenho do usurio e evita falhas humanas.


Para os principais novos desenvolvimentos, convm que os usurios e as funes de operao sejam
consultados em todos os estgios do processo de desenvolvimento, de forma a garantir a eficincia
operacional do projeto de sistema proposto. Convm que os devidos testes sejam executados para garantir
que todos os critrios de aceitao tenham sido plenamente satisfeitos.
A aceitao pode incluir um processo formal de certificao e reconhecimento para garantir que os requisitos
de segurana tenham sido devidamente endereados.
10.4 Proteo contra cdigos maliciosos e cdigos mveis
Objetivo: Proteger a integridade do software e da informao.
Precaues so requeridas para prevenir e detectar a introduo de cdigos maliciosos e cdigos mveis no
autorizados.
Os recursos de processamento da informao e os softwares so vulnerveis introduo de cdigo
malicioso, tais como vrus de computador, worms de rede, cavalos de Tria e bombas lgicas. Convm que os
usurios estejam conscientes dos perigos do cdigo malicioso. Convm que os gestores, onde apropriado,
implantem controles para prevenir, detectar e remover cdigo malicioso e controlar cdigos mveis.
10.4.1 Controles contra cdigos maliciosos
Controle
Convm que sejam implantados controles de deteco, preveno e recuperao para proteger contra cdigos
maliciosos, assim como procedimentos para a devida conscientizao dos usurios.
Convm que a proteo contra cdigos maliciosos seja baseada em softwares de deteco de cdigos
maliciosos e reparo, na conscientizao da segurana da informao, no controle de acesso adequado e nos
controles de gerenciamento de mudanas. Convm que as seguintes diretrizes sejam consideradas:
a) estabelecer uma poltica formal proibindo o uso de softwares no autorizados (ver 15.1.2);
b) estabelecer uma poltica formal para proteo contra os riscos associados com a importao de
arquivos e softwares, seja de redes externas, ou por qualquer outro meio, indicando quais medidas
preventivas devem ser adotadas;
c) conduzir anlises crticas regulares dos softwares e dados dos sistemas que suportam processos
crticos de negcio; convm que a presena de quaisquer arquivos no aprovados ou atualizao no
autorizada seja formalmente investigada;
d) instalar e atualizar regularmente softwares de deteco e remoo de cdigos maliciosos para o exame
de computadores e mdias magnticas, de forma preventiva ou de forma rotineira; convm que as
verificaes realizadas incluam:
1) verificao, antes do uso, da existncia de cdigos maliciosos nos arquivos em mdias ticas ou
eletrnicas, bem como nos arquivos transmitidos atravs de redes;
2) verificao, antes do uso, da existncia de software malicioso em qualquer arquivo recebido atravs
de correio eletrnico ou importado (download). Convm que essa avaliao seja feita em diversos
locais, como, por exemplo, nos servidores de correio eletrnico, nos computadores pessoais ou
quando da sua entrada na rede da organizao;
3) verificao da existncia de cdigos maliciosos em pginas web;


e) definir procedimentos de gerenciamento e respectivas responsabilidades para tratar da proteo de
cdigo malicioso nos sistemas, treinamento nesses procedimentos, reporte e recuperao de
ataques de cdigos maliciosos (ver 13.1 e 13.2);
f) preparar planos de continuidade do negcio adequados para a recuperao em caso de ataques
por cdigos maliciosos, incluindo todos os procedimentos necessrios para a cpia e recuperao
dos dados e softwares (ver seo 14);
g) implementar procedimentos para regularmente coletar informaes, tais como, assinaturas de
listas de discusso e visitas a sites informativos sobre novos cdigos maliciosos;
h) implementar procedimentos para a verificao de informao relacionada a cdigos maliciosos e
garantia de que os boletins com alertas sejam precisos e informativos; convm que os gestores
garantam que fontes qualificadas, como, por exemplo, jornais com reputao idnea, sites
confiveis ou fornecedores de software de proteo contra cdigos maliciosos, sejam utilizadas
para diferenciar boatos de notcias reais sobre cdigos maliciosos; convm que todos os usurios
estejam cientes dos problemas decorrentes de boatos e capacitados a lidar com eles.
A utilizao de dois ou mais tipos de software de controle contra cdigos maliciosos de diferentes fornecedores
no ambiente de processamento da informao pode aumentar a eficcia na proteo contra cdigos maliciosos.
Softwares de proteo contra cdigo malicioso podem ser instalados para prover atualizaes automticas dos
arquivos e mecanismos de busca, para garantir que a proteo esteja atualizada. Adicionalmente, estes
softwares podem ser instalados em todas as estaes de trabalho para a realizao de verificaes
automticas.
Convm que seja tomado cuidado quanto a possvel introduo de cdigos maliciosos durante manutenes e
quando esto sendo realizados procedimentos de emergncia. Tais procedimentos podem ignorar controles
normais de proteo contra cdigos maliciosos.
10.4.2 Controles contra cdigos mveis
Controle
Onde o uso de cdigos mveis autorizado, convm que a configurao garanta que o cdigo mvel
autorizado opere de acordo com uma poltica de segurana da informao claramente definida e cdigos
mveis no autorizados tenham sua execuo impedida.
Convm que as seguintes aes sejam consideradas para proteger contra aes no autorizadas realizadas
por cdigos mveis:
a) executar cdigos mveis em ambientes isolados logicamente;
b) bloquear qualquer tipo de uso de cdigo mvel;
c) bloquear o recebimento de cdigos mveis;
d) ativar medidas tcnicas disponveis nos sistemas especficos para garantir que o cdigo mvel esteja
sendo administrado;
e) controlar os recursos disponveis para acesso ao cdigo mvel;
f) estabelecer controles criptogrficos de autenticao exclusiva do cdigo mvel.



Cdigo mvel um cdigo transferido de um computador a outro executando automaticamente e realizando
funes especficas com pequena ou nenhuma interao por parte do usurio. Cdigos mveis so associados
a uma variedade de servios middleware.
Alm de garantir que os cdigos mveis no carreguem cdigos maliciosos, manter o controle deles
essencial na preveno contra o uso no autorizado ou interrupo de sistemas, redes ou aplicativos, e na
preveno contra violaes de segurana da informao.
10.5 Cpias de segurana
Objetivo: Manter a integridade e disponibilidade da informao e dos recursos de processamento de
informao.
Convm que procedimentos de rotina sejam estabelecidos para implementar as polticas de estratgias para a
gerao de cpias de segurana (ver 14.1) e possibilitar a gerao das cpias de segurana dos dados e sua
recuperao em um tempo aceitvel.
10.5.1 Cpias de segurana das informaes
Controle
Convm que as cpias de segurana das informaes e dos softwares sejam efetuadas e testadas
regularmente conforme a poltica de gerao de cpias de segurana definida.
Convm que recursos adequados para a gerao de cpias de segurana sejam disponibilizados para garantir
que toda informao e software essenciais possam ser recuperados aps um desastre ou a falha de uma
mdia.
Convm que os seguintes itens para a gerao das cpias de segurana sejam considerados:
a) definio do nvel necessrio das cpias de segurana das informaes;
b) produo de registros completos e exatos das cpias de segurana e documentao apropriada sobre
os procedimentos de restaurao da informao;
c) a extenso (por exemplo, completa ou diferencial) e a freqncia da gerao das cpias de segurana
reflita os requisitos de negcio da organizao, alm dos requisitos de segurana da informao
envolvidos e a criticidade da informao para a continuidade da operao da organizao;
d) as cpias de segurana sejam armazenadas em uma localidade remota, a uma distncia suficiente
para escapar dos danos de um desastre ocorrido no local principal;
e) deve ser dado um nvel apropriado de proteo fsica e ambiental das informaes das cpias de
segurana (ver seo 9), consistente com as normas aplicadas na instalao principal; os controles
aplicados s mdias na instalao principal sejam usados no local das cpias de segurana;
f) as mdias de cpias de segurana sejam testadas regularmente para garantir que elas so
suficientemente confiveis para uso de emergncia, quando necessrio;
g) os procedimentos de recuperao sejam verificados e testados regularmente, de forma a garantir que
estes so efetivos e que podem ser concludos dentro dos prazos definidos nos procedimentos
operacionais de recuperao;
h) em situaes onde a confidencialidade importante, cpias de segurana sejam protegidas atravs de
encriptao.


Convm que as cpias de segurana de sistemas especficos sejam testadas regularmente para garantir que
elas esto aderentes aos requisitos definidos nos planos de continuidade do negcio (ver seo 14).
Para sistemas crticos, convm que os mecanismos de gerao de cpias de segurana abranjam todos os
sistemas de informao, aplicaes e dados necessrios para a completa recuperao do sistema em um
evento de desastre.
Convm que o perodo de reteno para informaes essenciais ao negcio e tambm qualquer requisito para
que cpias de arquivo sejam permanentemente retidas seja determinado (ver 15.1.3).
Os mecanismos de cpias de segurana podem ser automatizados para facilitar os processos de gerao e
recuperao das cpias de segurana. Convm que tais solues automatizadas sejam suficientemente
testadas antes da implementao e verificadas em intervalos regulares.
10.6 Gerenciamento da segurana em redes
Objetivo: Garantir a proteo das informaes em redes e a proteo da infra-estrutura de suporte.
O gerenciamento seguro de redes, que pode ir alm dos limites da organizao, requer cuidadosas
consideraes relacionadas ao fluxo de dados, implicaes legais, monitoramento e proteo.
Controles adicionais podem ser necessrios para proteger informaes sensveis trafegando sobre redes
pblicas.
10.6.1 Controles de redes
Controle
Convm que as redes sejam adequadamente gerenciadas e controladas, de forma a proteg-las contra
ameaas e manter a segurana de sistemas e aplicaes que utilizam estas redes, incluindo a informao em
trnsito.
Convm que gestores de redes implementem controles para garantir a segurana da informao nestas redes
e a proteo dos servios a elas conectadas, de acesso no autorizado. Em particular, convm que os
seguintes itens sejam considerados:
a) a responsabilidade operacional pelas redes seja separada da operao dos recursos computacionais
onde for apropriado (ver 10.1.3);
b) as responsabilidades e procedimentos sobre o gerenciamento de equipamentos remotos, incluindo
equipamentos em reas de usurios, sejam estabelecidos;
c) os controles especiais sejam estabelecidos para proteo da confidencialidade e integridade dos dados
trafegando sobre redes pblicas ou sobre as redes sem fio (wireless) e para proteger os sistemas e
aplicaes a elas conectadas (ver 11.4 e 12.3); controles especiais podem tambm ser requeridos para
manter a disponibilidade dos servios de rede e computadores conectados;
d) os mecanismos apropriados de registro e monitorao sejam aplicados para habilitar a gravao das
aes relevantes de segurana;
e) as atividades de gerenciamento sejam coordenadas para otimizar os servios para a organizao e
assegurar que os controles estejam aplicados de forma consistente sobre toda a infra-estrutura de
processamento da informao.
Informaes adicionais sobre segurana de redes podem ser encontradas na ISO/IEC 18028, Information
technology Security techniques IT network security.


10.6.2 Segurana dos servios de rede
Controle
Convm que as caractersticas de segurana, nveis de servio e requisitos de gerenciamento dos servios de
rede sejam identificados e includos em qualquer acordo de servios de rede, tanto para servios de rede
providos internamente ou terceirizados.
Convm que a capacidade do provedor dos servios de rede de gerenciar os servios acordados de maneira
segura seja determinada e monitorada regularmente, bem como que o direito de audit-los seja acordado.
Convm que as definies de segurana necessrias para servios especficos, como caractersticas de
segurana, nveis de servio e requisitos de gerenciamento, sejam identificadas. Convm que a organizao
assegure que os provedores dos servios de rede implementam estas medidas.
Servios de rede incluem o fornecimento de conexes, servios de rede privados, redes de valor agregado e
solues de segurana de rede gerenciadas como firewalls e sistemas de deteco de intrusos. Estes servios
podem abranger desde o simples fornecimento de banda de rede no gerenciada at complexas ofertas de
solues de valor agregado.
Funcionalidades de segurana de servios de rede podem ser:
a) tecnologias aplicadas para segurana de servios de redes como autenticao, encriptao e controles
de conexes de rede;
b) parmetro tcnico requerido para uma conexo segura com os servios de rede de acordo com a
segurana e regras de conexo de redes;
c) procedimentos para o uso de servios de rede para restringir o acesso a servios de rede ou aplicaes,
onde for necessrio.
10.7 Manuseio de mdias
Objetivo: Prevenir contra divulgao no autorizada, modificao, remoo ou destruio aos ativos, e
interrupes das atividades do negcio.
Convm que as mdias sejam controladas e fisicamente protegidas.
Convm que procedimentos operacionais apropriados sejam estabelecidos para proteger documentos, mdias
magnticas de computadores (fitas, discos), dados de entrada e sada e documentao dos sistemas contra
divulgao no autorizada, modificao, remoo e destruio.
10.7.1 Gerenciamento de mdias removveis
Controle
Convm que existam procedimentos implementados para o gerenciamento de mdias removveis.
Convm que as seguintes diretrizes para o gerenciamento de mdias removveis sejam consideradas:
a) quando no for mais necessrio, o contedo de qualquer meio magntico reutilizvel seja destrudo,
caso venha a ser retirado da organizao;
b) quando necessrio e prtico, seja requerida a autorizao para remoo de qualquer mdia da
organizao e mantido o registro dessa remoo como trilha de auditoria;


c) toda mdia seja guardada de forma segura em um ambiente protegido, de acordo com as
especificaes do fabricante;
d) informaes armazenadas em mdias que precisam estar disponveis por muito tempo (em
conformidade com as especificaes dos fabricantes) sejam tambm armazenadas em outro local para
evitar perda de informaes devido deteriorao das mdias;
e) as mdias removveis sejam registradas para limitar a oportunidade de perda de dados;
f) as unidades de mdias removveis estejam habilitadas somente se houver uma necessidade do negcio.
Convm que todos os procedimentos e os nveis de autorizao sejam explicitamente documentados.
Mdia removvel inclui fitas, discos, flash disks, discos removveis, CD, DVD e mdia impressa.
10.7.2 Descarte de mdias
Controle
Convm que as mdias sejam descartadas de forma segura e protegida quando no forem mais necessrias,
por meio de procedimentos formais.
Convm que procedimentos formais para o descarte seguro das mdias sejam definidos para minimizar o risco
de vazamento de informaes sensveis para pessoas no autorizadas. Convm que os procedimentos para o
descarte seguro das mdias, contendo informaes sensveis, sejam relativos sensibilidade das informaes.
Convm que os seguintes itens sejam considerados:
a) mdias contendo informaes sensveis sejam guardadas e destrudas de forma segura e protegida,
como, por exemplo, atravs de incinerao ou triturao, ou da remoo dos dados para uso por uma
outra aplicao dentro da organizao;
b) procedimentos sejam implementados para identificar os itens que requerem descarte seguro;
c) pode ser mais fcil implementar a coleta e descarte seguro de todas as mdias a serem inutilizadas do
que tentar separar apenas aquelas contendo informaes sensveis;
d) muitas organizaes oferecem servios de coleta e descarte de papel, de equipamentos e de mdias
magnticas; convm que se tenha o cuidado na seleo de um fornecedor com experincia e controles
adequados;
e) descarte de itens sensveis seja registrado em controles sempre que possvel para se manter uma trilha
de auditoria.
Quando da acumulao de mdias para descarte, convm que se leve em considerao o efeito proveniente do
acmulo, o que pode fazer com que uma grande quantidade de informao no sensvel torne-se sensvel.
Informaes sensveis podem ser divulgadas atravs do descarte negligente das mdias (ver 9.2.6 para
informaes de descarte de equipamentos).



10.7.3 Procedimentos para tratamento de informao
Controle
Convm que sejam estabelecidos procedimentos para o tratamento e o armazenamento de informaes, para
proteger tais informaes contra a divulgao no autorizada ou uso indevido.
Convm que procedimentos sejam estabelecidos para o tratamento, processamento, armazenamento e
transmisso da informao, de acordo com a sua classificao (ver 7.2). Convm que os seguintes itens sejam
considerados:
a) tratamento e identificao de todos os meios magnticos indicando o nvel de classificao;
b) restries de acesso para prevenir o acesso de pessoas no autorizadas;
c) manuteno de um registro formal dos destinatrios de dados autorizados;
d) garantia de que a entrada de dados seja completa, de que o processamento esteja devidamente
concludo e de que a validao das sadas seja aplicada;
e) proteo dos dados preparados para expedio ou impresso de forma consistente com a sua
criticidade;
f) armazenamento das mdias em conformidade com as especificaes dos fabricantes;
g) manuteno da distribuio de dados no menor nvel possvel;
h) identificao eficaz de todas as cpias das mdias, para chamar a ateno dos destinatrios
autorizados;
i) anlise crtica das listas de distribuio e das listas de destinatrios autorizados em intervalos regulares.
Estes procedimentos so aplicados para informaes em documentos, sistemas de computadores, redes de
computadores, computao mvel, comunicao mvel, correio eletrnico, correio de voz, comunicao de voz
em geral, multimdia, servios postais, uso de mquinas de fax e qualquer outro item sensvel, como, por
exemplo, cheques em branco e faturas.
10.7.4 Segurana da documentao dos sistemas
Controle
Convm que a documentao dos sistemas seja protegida contra acessos no autorizados.
Para proteger a documentao dos sistemas, convm que os seguintes itens sejam considerados:
a) a documentao dos sistemas seja guardada de forma segura;
b) a relao de pessoas com acesso autorizado documentao de sistemas seja a menor possvel e
autorizada pelo proprietrio do sistema;
c) a documentao de sistema mantida em uma rede pblica, ou fornecida atravs de uma rede pblica,
seja protegida de forma apropriada.
A documentao dos sistemas pode conter uma srie de informaes sensveis, como, por exemplo,
descries de processos da aplicao, procedimentos, estruturas de dados e processos de autorizao.


10.8 Troca de informaes
Objetivo: Manter a segurana na troca de informaes e softwares internamente organizao e com
quaisquer entidades externas.
Convm que as trocas de informaes e softwares entre organizaes estejam baseadas numa poltica formal
especfica, sejam efetuadas a partir de acordos entre as partes e estejam em conformidade com toda a
legislao pertinente (ver seo 15).
Convm que sejam estabelecidos procedimentos e normas para proteger a informao e a mdia fsica que
contm informao em trnsito.
10.8.1 Polticas e procedimentos para troca de informaes
Controle
Convm que polticas, procedimentos e controles sejam estabelecidos e formalizados para proteger a troca de
informaes em todos os tipos de recursos de comunicao.
Convm que os procedimentos e controles estabelecidos para a troca de informaes em recursos eletrnicos
de comunicao considerem os tpicos a seguir:
a) procedimentos formulados para proteger a informao em trnsito contra interceptao, cpia,
modificao, desvio e destruio;
b) procedimentos para deteco e proteo contra cdigo malicioso que pode ser transmitido atravs do
uso de recursos eletrnicos de comunicao (ver 10.4.1);
c) procedimentos para proteo de informaes eletrnicas sensveis que sejam transmitidas na forma de
anexos;
d) poltica ou diretrizes que especifiquem o uso aceitvel dos recursos eletrnicos de comunicao (ver
7.1.3);
e) procedimentos para o uso de comunicao sem fio (wireless), levando em conta os riscos particulares
envolvidos;
f) as responsabilidades de funcionrios, fornecedores e quaisquer outros usurios no devem
comprometer a organizao atravs de, por exemplo, difamao, assdio, falsa identidade,
retransmisso de "correntes", compras no autorizadas etc.;
g) uso de tcnicas de criptografia para, por exemplo, proteger a confidencialidade, a integridade e a
autenticidade das informaes (ver 12.3);
h) diretrizes de reteno e descarte para toda a correspondncia de negcios, incluindo mensagens, de
acordo com regulamentaes e legislao locais e nacionais relevantes;
i) no deixar informaes crticas ou sensveis em equipamentos de impresso, tais como copiadoras,
impressoras e aparelhos de fax, de tal forma que pessoas no autorizadas tenham acesso a elas;
j) controles e restries associados retransmisso em recursos de comunicao como, por exemplo, a
retransmisso automtica de correios eletrnicos para endereos externos;



k) lembrar s pessoas que elas devem tomar precaues adequadas como, por exemplo, no revelar
informaes sensveis, para evitar que sejam escutadas ou interceptadas durante uma ligao
telefnica por:
1) pessoas em sua vizinhana, especialmente quando estiver usando telefone celular;
2) grampo telefnico e outras formas de escuta clandestina atravs do acesso fsico ao aparelho
telefnico ou linha, ou, ainda, pelo uso de rastreadores;
3) pessoas ao lado do interlocutor;
l) no deixar mensagens contendo informaes sensveis em secretrias eletrnicas, uma vez que as
mensagens podem ser reproduzidas por pessoas no autorizadas, gravadas em sistemas pblicos ou
gravadas indevidamente por erro de discagem;
m) lembrar as pessoas sobre os problemas do uso de aparelhos de fax, tais como:
1) acesso no autorizado a dispositivos para recuperao de mensagens;
2) programao de aparelhos, deliberada ou acidental, para enviar mensagens para nmeros
especficos determinados;
3) envio de documentos e mensagens para nmero errado, seja por falha na discagem ou uso de
nmero armazenado errado;
n) lembrar as pessoas para que evitem o armazenamento de dados pessoais, como endereos de
correios eletrnicos ou informaes adicionais particulares, em qualquer software, impedindo que
sejam capturados para uso no autorizado;
o) lembrar as pessoas sobre a existncia de aparelhos de fax e copiadoras que tm dispositivos de
armazenamento temporrio de pginas para o caso de falha no papel ou na transmisso, as quais
sero impressas aps a correo da falha.
Adicionalmente, convm que as pessoas sejam lembradas de que no devem manter conversas confidenciais
em locais pblicos, escritrios abertos ou locais de reunio que no disponham de paredes prova de som.
Convm que os recursos utilizados para a troca de informaes estejam de acordo com os requisitos legais
pertinentes (ver seo 15).
A troca de informaes pode ocorrer atravs do uso de vrios tipos diferentes de recursos de comunicao,
incluindo correios eletrnicos, voz, fax e vdeo.
A troca de softwares pode ocorrer de diferentes formas, incluindo a baixa (download) da internet ou a aquisio
junto a fornecedores que vendem produtos em srie.
Convm que sejam consideradas as possveis implicaes nos negcios, nos aspectos legais e na segurana,
relacionadas com a troca eletrnica de dados, com o comrcio eletrnico, comunicao eletrnica e com os
requisitos para controles.
As informaes podem ser comprometidas devido falta de conscientizao, de polticas ou de procedimentos
no uso de recursos de troca de informaes, como, por exemplo, a escuta de conversas ao telefone celular em
locais pblicos, erro de endereamento de mensagens de correio eletrnico, escuta no autorizada de
mensagens gravadas em secretrias eletrnicas, acesso no autorizado a sistemas de correio de voz ou o
envio acidental de faxes para aparelhos errados.


As operaes do negcio podem ser prejudicadas e as informaes podem ser comprometidas se os recursos
de comunicao falharem, forem sobrecarregados ou interrompidos (ver 10.3 e seo 14). As informaes
podem ser comprometidas se acessadas por usurios no autorizados (ver seo 11).
10.8.2 Acordos para a troca de informaes
Controle
Convm que sejam estabelecidos acordos para a troca de informaes e softwares entre a organizao e
entidades externas.
Convm que os acordos de troca de informaes considerem as seguintes condies de segurana da
informao:
a) responsabilidades do gestor pelo controle e notificao de transmisses, expedies e recepes;
b) procedimentos para notificar o emissor da transmisso, expedio e recepo;
c) procedimentos para assegurar a rastreabilidade dos eventos e o no-repdio;
d) padres tcnicos mnimos para embalagem e transmisso;
e) acordos para procedimentos de custdia;
f) normas para identificao de portadores;
g) responsabilidades e obrigaes na ocorrncia de incidentes de segurana da informao, como perda
de dados;
h) utilizao de um sistema acordado de identificao para informaes crticas e sensveis, garantindo
que o significado dos rtulos seja imediatamente entendido e que a informao esteja devidamente
protegida;
i) propriedade e responsabilidades sobre a proteo dos dados, direitos de propriedade, conformidade
com as licenas dos softwares e consideraes afins (ver 15.1.2 e 15.1.4);
j) normas tcnicas para a gravao e leitura de informaes e softwares;
k) quaisquer controles especiais que possam ser necessrios para proteo de itens sensveis, tais como
chaves criptogrficas (ver 12.3).
Convm que polticas, procedimentos e normas para proteger as informaes e as mdias em trnsito
(ver tambm 10.8.3) sejam estabelecidos e mantidos, alm de serem referenciados nos mencionados acordos
para a troca de informaes.
Convm que os aspectos de segurana contidos nos acordos reflitam a sensibilidade das informaes
envolvidas no negcio.
Os acordos podem ser eletrnicos ou manuais, e podem estar no formato de contratos formais ou condies
de contratao. Para informaes sensveis, convm que os mecanismos especficos usados para a troca de
tais informaes sejam consistentes com todas as organizaes e tipos de acordos.



10.8.3 Mdias em trnsito
Controle
Convm que mdias contendo informaes sejam protegidas contra acesso no autorizado, uso imprprio ou
alterao indevida durante o transporte externo aos limites fsicos da organizao.
Convm que as seguintes recomendaes sejam consideradas, para proteger as mdias que so
transportadas entre localidades:
a) meio de transporte ou o servio de mensageiros sejam confiveis;
b) seja definida uma relao de portadores autorizados em concordncia com o gestor;
c) sejam estabelecidos procedimentos para a verificao da identificao dos transportadores;
d) a embalagem seja suficiente para proteger o contedo contra qualquer dano fsico, como os que podem
ocorrer durante o transporte, e que seja feita de acordo com as especificaes dos fabricantes (como
no caso de softwares), por exemplo, protegendo contra fatores ambientais que possam reduzir a
possibilidade de restaurao dos dados como a exposio ao calor, umidade ou campos
eletromagnticos;
e) sejam adotados controles, onde necessrio, para proteger informaes sensveis contra divulgao no
autorizada ou modificao; como exemplo, pode-se incluir o seguinte:
1) utilizao de recipientes lacrados;
2) entrega em mos;
3) lacre explcito de pacotes (que revele qualquer tentativa de acesso);
4) em casos excepcionais, diviso do contedo em mais de uma remessa e expedio por rotas
distintas.
As informaes podem estar vulnerveis a acesso no autorizado, uso imprprio ou alterao indevida durante
o transporte fsico, por exemplo quando a mdia enviada por via postal ou sistema de mensageiros.
10.8.4 Mensagens eletrnicas
Controle
Convm que as informaes que trafegam em mensagens eletrnicas sejam adequadamente protegidas.
Convm que as consideraes de segurana da informao sobre as mensagens eletrnicas incluam o
seguinte:
a) proteo das mensagens contra acesso no autorizado, modificao ou negao de servio;
b) assegurar que o endereamento e o transporte da mensagem estejam corretos;
c) confiabilidade e disponibilidade geral do servio;
d) aspectos legais, como, por exemplo, requisitos de assinaturas eletrnicas;
e) aprovao prvia para o uso de servios pblicos externos, tais como sistemas de mensagens
instantneas e compartilhamento de arquivos;


f) nveis mais altos de autenticao para controlar o acesso a partir de redes pblicas.
Mensagens eletrnicas como correio eletrnico, Eletronic Data Interchange (EDI) e sistemas de mensagens
instantneas cumprem um papel cada vez mais importante nas comunicaes do negcio. A mensagem
eletrnica tem riscos diferentes, se comparada com a comunicao em documentos impressos.
10.8.5 Sistemas de informaes do negcio
Controle
Convm que polticas e procedimentos sejam desenvolvidos e implementados para proteger as informaes
associadas com a interconexo de sistemas de informaes do negcio.
Convm que as consideraes sobre segurana da informao e implicaes no negcio das interconexes de
sistemas incluam o seguinte:
a) vulnerabilidades conhecidas nos sistemas administrativos e contbeis onde as informaes so
compartilhadas com diferentes reas da organizao;
b) vulnerabilidades da informao nos sistemas de comunicao do negcio, como, por exemplo,
gravao de chamadas telefnicas ou teleconferncias, confidencialidade das chamadas,
armazenamento de faxes, abertura de correio e distribuio de correspondncia;
c) poltica e controles apropriados para gerenciar o compartilhamento de informaes;
d) excluso de categorias de informaes sensveis e documentos confidenciais, caso o sistema no
fornea o nvel de proteo apropriado (ver 7.2);
e) restrio do acesso a informaes de trabalho relacionado com indivduos especficos, como, por
exemplo, um grupo que trabalha com projetos sensveis;
f) categorias de pessoas, fornecedores ou parceiros nos negcios autorizados a usar o sistema e as
localidades a partir das quais pode-se obter acesso ao sistema (ver 6.2 e 6.3);
g) restrio aos recursos selecionados para categorias especficas de usurios;
h) identificao da condio do usurio, como, por exemplo,funcionrios da organizao ou fornecedores
na lista de catlogo de usurios em benefcio de outros usurios;
i) reteno e cpias de segurana das informaes mantidas no sistema (ver 10.5.1);
j) requisitos e procedimentos para recuperao e contingncia (ver seo 14).
Os sistemas de informao de escritrio representam uma oportunidade de rpida disseminao e
compartilhamento de informaes do negcio atravs do uso de uma combinao de: documentos,
computadores, dispositivos mveis, comunicao sem fio, correio, correio de voz, comunicao de voz em
geral, multimdia, servios postais e aparelhos de fax.



10.9 Servios de comrcio eletrnico
Objetivo: Garantir a segurana de servios de comrcio eletrnico e sua utilizao segura.
Convm que as implicaes de segurana da informao associadas com o uso de servios de comrcio
eletrnico, incluindo transaes on-line e os requisitos de controle, sejam consideradas. Convm que a
integridade e a disponibilidade da informao publicada eletronicamente por sistemas publicamente
disponveis sejam tambm consideradas.
10.9.1 Comrcio eletrnico
Controle
Convm que as informaes envolvidas em comrcio eletrnico transitando sobre redes pblicas sejam
protegidas de atividades fraudulentas, disputas contratuais e divulgao e modificaes no autorizadas.
Convm que as consideraes de segurana da informao para comrcio eletrnico incluam os seguintes
itens:
a) nvel de confiana que cada parte requer na suposta identidade de outros, como, por exemplo, por
meio de mecanismos de autenticao;
b) processos de autorizao com quem pode determinar preos, emitir ou assinar documentos-chave de
negociao;
c) garantia de que parceiros comerciais esto completamente informados de suas autorizaes;
d) determinar e atender requisitos de confidencialidade, integridade, evidncias de emisso e
recebimento de documentos-chave, e a no-repudiao de contratos, como, por exemplo, os
associados aos processos de licitaes e contrataes;
e) nvel de confiana requerido na integridade das listas de preos anunciadas;
f) a confidencialidade de quaisquer dados ou informaes sensveis;
g) a confidencialidade e integridade de quaisquer transaes de pedidos, informaes de pagamento,
detalhes de endereo de entrega e confirmaes de recebimentos;
h) grau de investigao apropriado para a verificao de informaes de pagamento fornecidas por um
cliente;
i) seleo das formas mais apropriadas de pagamento para proteo contra fraudes;
j) nvel de proteo requerida para manter a confidencialidade e integridade das informaes de pedidos;
k) preveno contra perda ou duplicao de informao de transao;
l) responsabilidades associados com quaisquer transaes fraudulentas;
m) requisitos de seguro.
Muitas das consideraes acima podem ser endereadas pela aplicao de controles criptogrficos (ver 12.3),
levando-se em conta a conformidade com os requisitos legais (ver 15.1, especialmente 15.1.6 para legislao
sobre criptografia).



Convm que os procedimentos para comrcio eletrnico entre parceiros comerciais sejam apoiados por um
acordo formal que comprometa ambas as partes aos termos da transao, incluindo detalhes de autorizao
(ver b) acima). Outros acordos com fornecedores de servios de informao e redes de valor agregado podem
ser necessrios.
Convm que sistemas comerciais pblicos divulguem seus termos comerciais a seus clientes.
Convm que sejam consideradas a capacidade de resilincia dos servidores utilizados para comrcio
eletrnico contra ataques e as implicaes de segurana de qualquer interconexo que seja necessria na
rede de telecomunicaes para a sua implementao (ver 11.4.6).
Comrcio eletrnico vulnervel a inmeras ameaas de rede que podem resultar em atividades fraudulentas,
disputas contratuais, e divulgao ou modificao de informao.
Comrcio eletrnico pode utilizar mtodos seguros de autenticao, como, por exemplo, criptografia de chave
pblica e assinaturas digitais (ver 12.3) para reduzir os riscos. Ainda, terceiros confiveis podem ser utilizados
onde tais servios forem necessrios.
10.9.2 Transaes on-line
Controle
Convm que informaes envolvidas em transaes on-line sejam protegidas para prevenir transmisses
incompletas, erros de roteamento, alteraes no autorizadas de mensagens, divulgao no autorizada,
duplicao ou reapresentao de mensagem no autorizada.
Convm que as consideraes de segurana para transaes on-line incluam os seguintes itens:
a) uso de assinaturas eletrnicas para cada uma das partes envolvidas na transao;
b) todos os aspectos da transao, ou seja, garantindo que:
1) credenciais de usurio para todas as partes so vlidas e verificadas;
2) a transao permanea confidencial; e
3) a privacidade de todas as partes envolvidas seja mantida;
c) caminho de comunicao entre todas as partes envolvidas criptografado;
d) protocolos usados para comunicaes entre todas as partes envolvidas seguro;
e) garantir que o armazenamento dos detalhes da transao est localizado fora de qualquer ambiente
publicamente acessvel, como por exemplo, numa plataforma de armazenamento na intranet da
organizao, e no retida e exposta em um dispositivo de armazenamento diretamente acessvel pela
internet;
f) onde uma autoridade confivel utilizada (como, por exemplo, para propsitos de emisso e
manuteno de assinaturas e/ou certificados digitais), segurana integrada a todo o processo de
gerenciamento de certificados/assinaturas.
A extenso dos controles adotados precisar ser proporcional ao nvel de risco associado a cada forma de
transao on-line.


Transaes podem precisar estar de acordo com leis, regras e regulamentaes na jurisdio em que a
transao gerada, processada, completa ou armazenada.
Existem muitas formas de transaes que podem ser executadas de forma on-line, como, por exemplo,
contratuais, financeiras etc.
10.9.3 Informaes publicamente disponveis
Controle
Convm que a integridade das informaes disponibilizadas em sistemas publicamente acessveis seja
protegida para prevenir modificaes no autorizadas.
Convm que aplicaes, dados e informaes adicionais que requeiram um alto nvel de integridade e que
sejam disponibilizados em sistemas publicamente acessveis sejam protegidos por mecanismos apropriados,
como, por exemplo, assinaturas digitais (ver 12.3). Convm que os sistemas acessveis publicamente sejam
testados contra fragilidades e falhas antes da informao estar disponvel.
Convm que haja um processo formal de aprovao antes que uma informao seja publicada. Adicionalmente,
convm que todo dado de entrada fornecido por fontes externas ao sistema seja verificado e aprovado.
Convm que sistemas de publicao eletrnica, especialmente os que permitem realimentao e entrada
direta de informao, sejam cuidadosamente controlados, de forma que:
a) informaes sejam obtidas em conformidade com qualquer legislao de proteo de dados (ver
15.1.4);
b) informaes que sejam entradas e processadas por um sistema de publicao sejam processadas
completa e corretamente em um tempo adequado;
c) informaes sensveis sejam protegidas durante a coleta, processamento e armazenamento;
d) acesso a sistemas de publicao no permita acesso no intencional a redes s quais tal sistema est
conectado.
Informaes em sistemas publicamente disponveis, como, por exemplo, informaes em servidores web
acessveis por meio da internet, podem necessitar estar de acordo com leis, regras e regulamentaes na
jurisdio em que o sistema est localizado, onde a transao est ocorrendo ou onde o proprietrio reside.
Modificaes no autorizadas de informaes publicadas podem trazer prejuzos reputao da organizao
que a publica.
10.10 Monitoramento
Objetivo: Detectar atividades no autorizadas de processamento da informao.
Convm que os sistemas sejam monitorados e eventos de segurana da informao sejam registrados.
Convm que registros (log) de operador e registros (log) de falhas sejam utilizados para assegurar que os
problemas de sistemas de informao so identificados.
Convm que as organizaes estejam de acordo com todos os requisitos legais relevantes aplicveis para
suas atividades de registro e monitoramento.
Convm que o monitoramento do sistema seja utilizado para checar a eficcia dos controles adotados e para
verificar a conformidade com o modelo de poltica de acesso.


10.10.1 Registros de auditoria
Controle
Convm que registros (log) de auditoria contendo atividades dos usurios, excees e outros eventos de
segurana da informao sejam produzidos e mantidos por um perodo de tempo acordado para auxiliar em
futuras investigaes e monitoramento de controle de acesso.
Convm que os registros (log) de auditoria incluam, quando relevante:
a) identificao dos usurios;
b) datas, horrios e detalhes de eventos-chave, como, por exemplo, horrio de entrada (log-on) e sada
(log-off) no sistema;
c) identidade do terminal ou, quando possvel, a sua localizao;
d) registros das tentativas de acesso ao sistema aceitas e rejeitadas;
e) registros das tentativas de acesso a outros recursos e dados aceitos e rejeitados;
f) alteraes na configurao do sistema;
g) uso de privilgios;
h) uso de aplicaes e utilitrios do sistema;
i) arquivos acessados e tipo de acesso;
j) endereos e protocolos de rede;
k) alarmes provocados pelo sistema de controle de acesso;
l) ativao e desativao dos sistemas de proteo, tais como sistemas de antivrus e sistemas de
deteco de intrusos.
Os registros (log) de auditoria podem conter dados pessoais confidenciais e de intrusos. Convm que medidas
apropriadas de proteo de privacidade sejam tomadas (ver 15.1.4). Quando possvel, convm que
administradores de sistemas no tenham permisso de excluso ou desativao dos registros (log) de suas
prprias atividades (ver 10.1.3).
10.10.2 Monitoramento do uso do sistema
Controle
Convm que sejam estabelecidos procedimentos para o monitoramento do uso dos recursos de
processamento da informao e os resultados das atividades de monitoramento sejam analisados criticamente,
de forma regular.



Convm que o nvel de monitoramento requerido para os recursos individuais seja determinado atravs de
uma anlise/avaliao de riscos. Convm que a organizao esteja de acordo com todos os requisitos legais
relevantes, aplicveis para suas atividades de monitoramento. Convm que as seguintes reas sejam
consideradas:
a) acessos autorizados, incluindo detalhes do tipo:
1) o identificador do usurio (ID de usurio);
2) a data e o horrio dos eventos-chave;
3) tipo do evento;
4) os arquivos acessados;
5) os programas ou utilitrios utilizados;
b) todas as operaes privilegiadas, tais como:
1) uso de contas privilegiadas, por exemplo: supervisor, root, administrador;
2) inicializao e finalizao do sistema;
3) a conexo e a desconexo de dispositivos de entrada e sada;
c) tentativas de acesso no autorizadas, tais como:
1) aes de usurios com falhas ou rejeitados;
2) aes envolvendo dados ou outros recursos com falhas ou rejeitadas;
3) violao de polticas de acesso e notificaes para gateways de rede e firewalls;
4) alertas dos sistemas proprietrios de deteco de intrusos;
d) alertas e falhas do sistema, tais como:
1) alertas ou mensagens do console;
2) registro das excees do sistema;
3) alarmes do gerenciamento da rede;
4) alarmes disparados pelo sistema de controle de acesso;
e) alteraes ou tentativas de alteraes nos controles e parmetros dos sistemas de segurana.
Convm que a freqncia da anlise crtica dos resultados das atividades de monitaramento dependa dos
riscos envolvidos. Convm que os seguintes fatores de risco sejam considerados:
a) criticidade dos processos de aplicao;
b) valor, sensibilidade e criticidade da informao envolvida;
c) experincia anterior com infiltraes e uso imprprio do sistema e da freqncia das vulnerabilidades
sendo exploradas;


d) extenso da interconexo dos sistemas (particularmente com redes pblicas);
e) desativao da gravao dos registros (logs).
O uso de procedimentos de monitoramento necessrio para assegurar que os usurios esto executando
somente as atividades que foram explicitamente autorizadas.
A anlise crtica dos registros (log) envolve a compreenso das ameaas encontradas no sistema e a maneira
pela qual isto pode acontecer. Exemplos de eventos que podem requerer uma maior investigao em casos de
incidentes de segurana da informao so comentados em 13.1.1.
10.10.3 Proteo das informaes dos registros (log)
Controle
Convm que os recursos e informaes de registros (log) sejam protegidos contra falsificao e acesso no
autorizado.
Convm que os controles implementados objetivem a proteo contra modificaes no autorizadas e
problemas operacionais com os recursos dos registros (log), tais como:
a) alteraes dos tipos de mensagens que so gravadas;
b) arquivos de registros (log) sendo editados ou excludos;
c) capacidade de armazenamento da mdia magntica do arquivo de registros (log) excedida, resultando
em falhas no registro de eventos ou sobreposio do registro de evento anterior.
Alguns registros (log) de auditoria podem ser guardados como parte da poltica de reteno de registros ou
devido aos requisitos para a coleta e reteno de evidncia (ver 13.2.3).
Registros (log) de sistema normalmente contm um grande volume de informaes e muitos dos quais no
dizem respeito ao monitoramento da segurana. Para ajudar a identificar eventos significativos para propsito
de monitoramento de segurana, convm que a cpia automtica dos tipos de mensagens para a execuo de
consulta seja considerada e/ou o uso de sistemas utilitrios adequados ou ferramentas de auditoria para
realizar a racionalizao e investigao do arquivo seja considerado.
Registros (log) de sistema precisam ser protegidos, pois os dados podem ser modificados e excludos e suas
ocorrncias podem causar falsa impresso de segurana.
10.10.4 Registros (log) de administrador e operador
Controle
Convm que as atividades dos administradores e operadores do sistema sejam registradas.
Convm que esses registros (log) incluam:
a) a hora em que o evento ocorreu (sucesso ou falha);
b) informaes sobre o evento (exemplo: arquivos manuseados) ou falha (exemplo: erros ocorridos e
aes corretivas adotadas);
c) que conta e que administrador ou operador estava envolvido;


d) que processos estavam envolvidos.
Convm que os registros (log) de atividades dos operadores e administradores dos sistemas sejam analisados
criticamente em intervalos regulares.
Um sistema de deteco de intrusos gerenciado fora do controle dos administradores de rede e de sistemas
pode ser utilizado para monitorar a conformidade das atividades dos administradores do sistema e da rede.
10.10.5 Registros (log) de falhas
Controle
Convm que as falhas ocorridas sejam registradas e analisadas, e que sejam adotadas aes apropriadas.
Convm que falhas informadas pelos usurios ou pelos programas de sistema relacionado a problemas com
processamento da informao ou sistemas de comunicao sejam registradas. Convm que existam regras
claras para o tratamento das falhas informadas, incluindo:
a) anlise crtica dos registros (log) de falha para assegurar que as falhas foram satisfatoriamente
resolvidas;
b) anlise crtica das medidas corretivas para assegurar que os controles no foram comprometidos e
que a ao tomada completamente autorizada.
Convm que seja assegurada que a coleta dos registros de erros permitida, caso essa funo do sistema
esteja disponvel.
Registros de falhas e erros podem impactar o desempenho do sistema. Convm que cada tipo de registro a
ser coletado seja permitido por pessoas competentes e que o nvel de registro requerido para cada sistema
individual seja determinado por uma anlise/avaliao de riscos, levando em considerao a degradao do
desempenho do sistema.
10.10.6 Sincronizao dos relgios
Controle
Convm que os relgios de todos os sistemas de processamento da informao relevantes, dentro da
organizao ou do domnio de segurana, sejam sincronizados de acordo com uma hora oficial.
Onde um computador ou dispositivo de comunicao tiver a capacidade para operar um relgio (clock) de
tempo real, convm que o relgio seja ajustado conforme o padro acordado, por exemplo o tempo
coordenado universal (Coordinated Universal Time - UTC) ou um padro de tempo local. Como alguns relgios
so conhecidos pela sua variao durante o tempo, convm que exista um procedimento que verifique esses
tipos de inconsistncias e corrija qualquer variao significativa.
A interpretao correta do formato data/hora importante para assegurar que o timestamp reflete a data/hora
real. Convm que se levem em conta especificaes locais (por exemplo, horrio de vero).
O estabelecimento correto dos relgios dos computadores importante para assegurar a exatido dos
registros (log) de auditoria, que podem ser requeridos por investigaes ou como evidncias em casos legais
ou disciplinares. Registros (log) de auditoria incorretos podem impedir tais investigaes e causar danos
credibilidade das evidncias. Um relgio interno ligado ao relgio atmico nacional via transmisso de rdio
pode ser utilizado como relgio principal para os sistemas de registros (logging). O protocolo de hora da rede
pode ser utilizado para sincronizar todos os relgios dos servidores com o relgio principal.


11 Controle de acessos
11.1 Requisitos de negcio para controle de acesso
Objetivo: Controlar acesso informao.
Convm que o acesso informao, recursos de processamento das informaes e processos de negcios
sejam controlados com base nos requisitos de negcio e segurana da informao.
Convm que as regras de controle de acesso levem em considerao as polticas para autorizao e
disseminao da informao.
11.1.1 Poltica de controle de acesso
Controle
Convm que a poltica de controle de acesso seja estabelecida documentada e analisada criticamente,
tomando-se como base os requisitos de acesso dos negcios e segurana da informao.
Convm que as regras de controle de acesso e direitos para cada usurio ou grupos de usurios sejam
expressas claramente na poltica de controle de acesso. Convm considerar os controles de acesso lgico e
fsico (ver seo 9) de forma conjunta. Convm fornecer aos usurios e provedores de servios uma
declarao ntida dos requisitos do negcio a serem atendidos pelos controles de acessos.
Convm que a poltica leve em considerao os seguintes itens:
a) requisitos de segurana de aplicaes de negcios individuais;
b) identificao de todas as informaes relacionadas s aplicaes de negcios e os riscos a que as
informaes esto expostas;
c) poltica para disseminao e autorizao da informao, por exemplo, a necessidade de conhecer
princpios e nveis de segurana e a classificao das informaes (ver 7.2);
d) consistncia entre controle de acesso e polticas de classificao da informao em diferentes
sistemas e redes;
e) legislao pertinente e qualquer obrigao contratual relativa proteo de acesso para dados ou
servios (ver 15.1);
f) perfis de acesso de usurio-padro para trabalhos comuns na organizao;
g) administrao de direitos de acesso em um ambiente distribudo e conectado rede que reconhece
todos os tipos de conexes disponveis;
h) segregao de regras de controle de acesso, por exemplo, pedido de acesso, autorizao de acesso,
administrao de acesso;
i) requisitos para autorizao formal de pedidos de acesso (ver 11.2.1);
j) requisitos para anlise crtica peridica de controles de acesso (ver 11.2.4);
k) remoo de direitos de acesso (ver 8.3.3).



Convm que sejam tomados cuidados na especificao de regras de controle de acesso quando se considerar
o seguinte:
a) diferenciar entre regras que devem ser obrigatrias e foradas, e diretrizes que so opcionais ou
condicionais;
b) estabelecer regra baseada na premissa Tudo proibido, a menos que expressamente permitido" em
lugar da regra mais fraca "Tudo permitido, a menos que expressamente proibido";
c) mudanas em rtulos de informao (ver 7.2) que so iniciadas automaticamente atravs de recursos
de processamento da informao e os que iniciaram pela ponderao de um usurio;
d) mudanas em permisses de usurio que so iniciadas automaticamente pelo sistema de informao e
aqueles iniciados por um administrador;
e) regras que requerem aprovao especfica antes de um decreto ou lei e as que no necessitam.
Convm que as regras para controle de acesso sejam apoiadas por procedimentos formais e
responsabilidades claramente definidas (ver 6.1.3, 11.3, 10.4.1 e 11.6).
11.2 Gerenciamento de acesso do usurio
Objetivo: Assegurar acesso de usurio autorizado e prevenir acesso no autorizado a sistemas de informao.
Convm que procedimentos formais sejam implementados para controlar a distribuio de direitos de acesso a
sistemas de informao e servios.
Convm que os procedimentos cubram todas as fases do ciclo de vida de acesso do usurio, da inscrio
inicial como novos usurios at o cancelamento final do registro de usurios que j no requerem acesso a
sistemas de informao e servios. Convm que ateno especial seja dada, onde apropriado, para a
necessidade de controlar a distribuio de direitos de acesso privilegiado que permitem os usurios mudar
controles de sistemas.
11.2.1 Registro de usurio
Controle
Convm que exista um procedimento formal de registro e cancelamento de usurio para garantir e revogar
acessos em todos os sistemas de informao e servios.
Convm que os procedimentos de controle de acesso para registro e cancelamento de usurios incluam:
a) utilizar identificador de usurio (ID de usurio) nico para assegurar a responsabilidade de cada
usurio por suas aes; convm que o uso de grupos de ID somente seja permitido onde existe a
necessidade para o negcio ou por razes operacionais, e isso seja aprovado e documentado;
b) verificar se o usurio tem autorizao do proprietrio do sistema para o uso do sistema de informao
ou servio; aprovao separada para direitos de acesso do gestor tambm pode ser apropriada;
c) verificar se o nvel de acesso concedido apropriado ao propsito do negcio (ver 11.1) e
consistente com a poltica de segurana da organizao, por exemplo, no compromete a segregao
de funo (ver 10.1.3);
d) dar para os usurios uma declarao por escrito dos seus direitos de acesso;


e) requerer aos usurios a assinatura de uma declarao indicando que eles entendem as condies de
acesso;
f) assegurar aos provedores de servios que no sero dados acessos at que os procedimentos de
autorizao tenham sido concludos;
g) manter um registro formal de todas as pessoas registradas para usar o servio;
h) remover imediatamente ou bloquear direitos de acesso de usurios que mudaram de cargos ou
funes, ou deixaram a organizao;
i) verificar periodicamente e remover ou bloquear identificadores (ID) e contas de usurio redundantes
(ver 11.2.4);
j) assegurar que identificadores de usurio (ID de usurio) redundantes no sejam atribudos para outros
usurios.
Convm que seja considerado estabelecer perfis de acesso do usurio baseados nos requisitos dos negcios
que resumam um nmero de direitos de acessos dentro de um perfil de acesso tpico de usurio. Solicitaes
de acessos e anlises crticas (ver 11.2.4) so mais fceis de gerenciar ao nvel de tais perfis do que ao nvel
de direitos particulares.
Convm que seja considerada a incluso de clusulas nos contratos de usurios e de servios que
especifiquem as sanes em caso de tentativa de acesso no autorizado pelos usurios ou por terceiros
(ver 6.1.5, 8.1.3 e 8.2.3).
11.2.2 Gerenciamento de privilgios
Controle
Convm que a concesso e o uso de privilgios sejam restritos e controlados.
Convm que os sistemas de multiusurios que necessitam de proteo contra acesso no autorizado tenham
a concesso de privilgios controlada por um processo de autorizao formal. Convm que os seguintes
passos sejam considerados:
a) privilgio de acesso de cada produto de sistema, por exemplo, sistema operacional, sistemas de
gerenciamento de banco de dados e cada aplicao, e de categorias de usurios para os quais estes
necessitam ser concedido, seja identificado;
b) os privilgios sejam concedidos a usurios conforme a necessidade de uso e com base em eventos
alinhados com a poltica de controle de acesso (ver 11.1.1), por exemplo, requisitos mnimos para sua
funo somente quando necessrio;
c) um processo de autorizao e um registro de todos os privilgios concedidos sejam mantidos. Convm
que os privilgios no sejam fornecidos at que todo o processo de autorizao esteja finalizado;
d) desenvolvimento e uso de rotinas de sistemas sejam incentivados de forma a evitar a necessidade de
fornecer privilgios aos usurios;
e) desenvolvimento e uso de programas que no necessitam funcionar com privilgios sejam
estimulados;
f) os privilgios sejam atribudos para um identificador de usurio (ID de usurio) diferente daqueles
usados normalmente para os negcios.


O uso inapropriado de privilgios de administrador de sistemas (qualquer caracterstica ou recursos de
sistemas de informao que habilitam usurios a exceder o controle de sistemas ou aplicaes) pode ser um
grande fator de contribuio para falhas ou violaes de sistemas.
11.2.3 Gerenciamento de senha do usurio
Controle
Convm que a concesso de senhas seja controlada atravs de um processo de gerenciamento formal.
Convm que o processo considere os seguintes requisitos:
a) solicitar aos usurios a assinatura de uma declarao, para manter a confidencialidade de sua senha
pessoal e das senhas de grupos de trabalho, exclusivamente com os membros do grupo; esta
declarao assinada pode ser includa nos termos e condies da contratao (ver 8.1.3);
b) garantir, onde os usurios necessitam manter suas prprias senhas, que sejam fornecidas inicialmente
senhas seguras e temporrias (ver 11.3.1), o que obriga o usurio a alter-la imediatamente;
c) estabelecer procedimentos para verificar a identidade de um usurio antes de fornecer uma senha
temporria, de substituio ou nova;
d) fornecer senhas temporrias aos usurios de maneira segura; convm que o uso de mensagens de
correio eletrnico de terceiros ou desprotegido (texto claro) seja evitado;
e) senhas temporrias sejam nicas para uma pessoa e no sejam de fcil memorizao;
f) usurios acusem o recebimento de senhas;
g) as senhas nunca sejam armazenadas nos sistemas de um computador de forma desprotegida;
h) as senhas padro sejam alteradas logo aps a instalao de sistemas ou software.
Senhas so um meio comum de verificar a identidade de um usurio antes que acessos sejam concedidos a
um sistema de informao ou servio de acordo com a autorizao do usurio. Outras tecnologias para
identificao de usurio e autenticao, como biomtrica, por exemplo, verificao de digitais, verificao de
assinatura, e uso de tokens, por exemplo, e cartes inteligentes, esto disponveis, e convm que sejam
consideradas, se apropriado.
11.2.4 Anlise crtica dos direitos de acesso de usurio
Controle
Convm que o gestor conduza a intervalos regulares a anlise crtica dos direitos de acesso dos usurios, por
meio de um processo formal.
Convm que a anlise crtica dos direitos de acesso considere as seguintes orientaes:
a) os direitos de acesso de usurios sejam revisados em intervalos regulares, por exemplo, um perodo
de seis meses e depois de qualquer mudana, como promoo, rebaixamento ou encerramento do
contrato (ver 11.2.1);
b) os direitos de acesso de usurios sejam analisados criticamente e realocados quando movidos de um
tipo de atividade para outra na mesma organizao;


c) autorizaes para direitos de acesso privilegiado especial (ver 11.2.2) sejam analisadas criticamente
em intervalos mais freqentes, por exemplo, em um perodo de trs meses;
d) as alocaes de privilgios sejam verificadas em intervalo de tempo regular para garantir que
privilgios no autorizados no foram obtidos;
e) as modificaes para contas de privilgios sejam registradas para anlise crtica peridica.
necessrio analisar criticamente, a intervalos regulares, os direitos de acesso de usurios para manter o
controle efetivo sobre os acessos de dados e servios de informao.
11.3 Responsabilidades dos usurios
Objetivo: Prevenir o acesso no autorizado dos usurios e evitar o comprometimento ou roubo da informao e
dos recursos de processamento da informao.
A cooperao de usurios autorizados essencial para uma efetiva segurana.
Convm que os usurios estejam conscientes de suas responsabilidades para manter efetivo controle de
acesso, particularmente em relao ao uso de senhas e de segurana dos equipamentos de usurios.
Convm que uma poltica de mesa e tela limpa seja implementada para reduzir o risco de acessos no
autorizados ou danos a documentos/papis, mdias e recursos de processamento da informao.
11.3.1 Uso de senhas
Controle
Convm que os usurios sejam solicitados a seguir as boas prticas de segurana da informao na seleo e
uso de senhas.
Convm que todos os usurios sejam informados para:
a) manter a confidencialidade das senhas;
b) evitar manter anotadas senhas (por exemplo, papel, arquivos ou dispositivos mveis), a menos que
elas possam ser armazenadas de forma segura e o mtodo de armazenamento esteja aprovado;
c) alterar senha sempre que existir qualquer indicao de possvel comprometimento do sistema ou da
prpria senha;
d) selecionar senhas de qualidade com um tamanho mnimo que sejam:
1) fceis de lembrar;
2) no baseadas em nada que algum facilmente possa adivinhar ou obter usando informaes
relativas pessoa, por exemplo, nomes, nmeros de telefone e datas de aniversrio;
3) no vulnerveis a ataque de dicionrio (por exemplo, no consistir em palavras inclusas no
dicionrio);
4) isentas de caracteres idnticos consecutivos, todos numricos ou todos alfabticos sucessivos;
e) modificar senhas regularmente ou com base no nmero de acessos (convm que senhas de acesso a
contas privilegiadas sejam modificadas mais freqentemente que senhas normais) e evitar a
reutilizao ou reutilizao do ciclo de senhas antigas;


f) modificar senhas temporrias no primeiro acesso ao sistema;
g) no incluir senhas em nenhum processo automtico de acesso ao sistema, por exemplo, armazenadas
em um macro ou funes-chave;
h) no compartilhar senhas de usurios individuais;
i) no utilizar a mesma senha para uso com finalidades profissionais e pessoais.
Se os usurios necessitam acessar mltiplos servios, sistemas ou plataformas, e forem requeridos para
manter separadamente mltiplas senhas, convm que eles sejam alertados para usar uma nica senha de
qualidade (ver d) acima) para todos os servios, j que o usurio estar assegurado de que um razovel nvel
de proteo foi estabelecido para o armazenamento da senha em cada servio, sistema ou plataforma.
A gesto do sistema de help desk que trata de senhas perdidas ou esquecidas necessita de cuidado especial,
pois este caminho pode ser tambm um dos meios de ataque ao sistema de senha.
11.3.2 Equipamento de usurio sem monitorao
Controle
Convm que os usurios assegurem que os equipamentos no monitorados tenham proteo adequada.
Convm que todos os usurios estejam cientes dos requisitos de segurana da informao e procedimentos
para proteger equipamentos desacompanhados, assim como suas responsabilidades por implementar estas
protees. Convm que os usurios sejam informados para:
a) encerrar as sesses ativas,a menos que elas possam ser protegidas por meio de um mecanismo de
bloqueio, por exemplo tela de proteo com senha;
b) efetuar a desconexo com o computador de grande porte, servidores e computadores pessoais do
escritrio, quando a sesso for finalizada (por exemplo: no apenas desligar a tela do computador ou o
terminal);
c) proteger os microcomputadores ou terminais contra uso no autorizado atravs de tecla de bloqueio
ou outro controle equivalente, por exemplo, senha de acesso, quando no estiver em uso (ver 11.3.3).
Equipamentos instalados em reas de usurios, por exemplo, estaes de trabalho ou servidores de arquivos,
podem requerer proteo especial contra acesso no autorizado, quando deixados sem monitorao por um
perodo extenso.
11.3.3 Poltica de mesa limpa e tela limpa
Controle
Convm que seja adotada uma poltica de mesa limpa de papis e mdias de armazenamento removvel e
poltica de tela limpa para os recursos de processamento da informao.
Convm que uma poltica de mesa limpa e tela limpa leve em considerao a classificao da informao
(ver 7.2), requisitos contratuais e legais (ver 15.1), e o risco correspondente e aspectos culturais da
organizao. Convm que as seguintes diretrizes sejam consideradas:
a) informaes do negcio sensveis ou crticas, por exemplo, em papel ou em mdia de armazenamento
eletrnicas, sejam guardadas em lugar seguro (idealmente em um cofre, armrio ou outras formas de
moblia de segurana) quando no em uso, especialmente quando o escritrio est desocupado;


b) computadores e terminais sejam mantidos desligados ou protegidos com mecanismo de travamento de
tela e teclados controlados por senha, token ou mecanismo de autenticao similar quando sem
monitorao e protegidos por tecla de bloqueio, senhas ou outros controles, quando no usados;
c) pontos de entrada e sada de correspondncias e mquinas de fac-smile sem monitorao sejam
protegidos;
d) sejam evitados o uso no autorizado de fotocopiadoras e outra tecnologia de reproduo (por exemplo,
scanners, mquinas fotogrficas digitais);
e) documentos que contm informao sensvel ou classificada sejam removidos de impressoras
imediatamente.
Uma poltica de mesa limpa e tela limpa reduz o risco de acesso no autorizado, perda e dano da informao
durante e fora do horrio normal de trabalho. Cofres e outras formas de instalaes de armazenamento seguro
tambm podem proteger informaes armazenadas contra desastres como incndio, terremotos, enchentes ou
exploso.
Considerar o uso de impressoras com funo de cdigo PIN, permitindo desta forma que os requerentes sejam
os nicos que possam pegar suas impresses, e apenas quando estiverem prximos s impressoras.
11.4 Controle de acesso rede
Objetivo: Prevenir acesso no autorizado aos servios de rede.
Convm que o acesso aos servios de rede internos e externos seja controlado.
Convm que os usurios com acesso s redes e aos servios de rede no comprometam a segurana desses
servios, assegurando:
a) uso de interfaces apropriadas entre a rede da organizao e as redes de outras organizaes e redes
pblicas;
b) uso de mecanismos de autenticao apropriados para os usurios e equipamentos;
c) reforo do controle de acesso de usurios aos servios de informao.
11.4.1 Poltica de uso dos servios de rede
Controle
Convm que usurios somente recebam acesso para os servios que tenham sido especificamente
autorizados a usar.
Convm que uma poltica seja formulada relativamente ao uso de redes e servios de rede. Convm que esta
poltica cubra:
a) redes e servios de redes que so permitidos de serem acessados;
b) procedimentos de autorizao para determinar quem tem permisso para acessar em quais redes e
servios de redes;
c) gerenciamento dos controles e procedimentos para proteger acesso a conexes e servios de redes;


d) os meios usados para acessar redes e servios de rede (por exemplo, as condies por permitir
acesso discado para acessar o provedor de servio internet ou sistema remoto).
Convm que a poltica no uso de servios de rede seja consistente com a poltica de controle de acesso do
negcio (ver 11.1).
Conexes sem autorizao e inseguras nos servios de rede podem afetar toda organizao. Este controle
particularmente importante para conexes de redes sensveis ou aplicaes de negcios crticos ou para
usurios em locais de alto risco, por exemplo, reas pblicas ou externas que esto fora da administrao e
controle da segurana da organizao.
11.4.2 Autenticao para conexo externa do usurio
Controle
Convm que mtodos apropriados de autenticaes sejam usados para controlar acesso de usurios remotos.
A autenticao de usurios remotos pode ser alcanada usando, por exemplo, tcnica baseada em criptografia,
hardware tokens ou um protocolo de desafio/resposta. Podem ser achadas possveis implementaes de tais
tcnicas em vrias solues de redes privadas virtuais (VPN). Tambm podem ser usadas linhas privadas
dedicadas para prover garantia da origem de conexes.
Os procedimentos e controles de discagem reversa (dial-back), por exemplo, usando modens com discagem
reversa, podem prover proteo contra conexes no autorizadas e no desejadas nos recursos de
processamento da informao de uma organizao. Este tipo de controle autentica usurios que tentam
estabelecer conexes com a rede de uma organizaes de localidades remotas. Ao usar este controle,
convm que uma organizao no use servios de rede que incluem transferncia de chamadas (forward) ou,
se eles fizerem, convm que seja desabilitado o uso de tais facilidades para evitar exposio a fragilidades
associadas ao call forward. Convm que o processo de discagem reversa assegure que uma desconexo atual
no lado da organizao acontea. Caso contrrio, o usurio remoto poderia reter aberta a linha simulando que
a verificao do retorno da chamada (call back) ocorreu. Convm que os procedimentos e controles da
discagem reversa sejam testados completamente para esta possibilidade.
Autenticao de um n pode servir como meio alternativo de autenticar grupos de usurios remotos onde eles
so conectados a recursos de computador seguros e compartilhados. Tcnicas criptogrficas, por exemplo,
com base em certificados de mquina, podem ser usadas para autenticao de n. Isto parte de vrias
solues baseado em VPN.
Convm que seja implementado controle de autenticao adicional para controlar acesso a redes sem fios.
Em particular, cuidado especial necessrio na seleo de controles para redes sem fios devido s
numerosas oportunidades de no deteco de interceptao e insero de trfico de rede.
As conexes externas proporcionam um potencial de acessos no autorizados para as informaes de negcio,
por exemplo, acesso por mtodos discados (dial-up). Existem diferentes tipos de mtodos de autenticao,
alguns deles proporcionam um maior nvel de proteo que outros, por exemplo, mtodos baseados em
tcnicas de criptografia que podem proporcionar autenticao forte. importante determinar o nvel de
proteo requerido a partir de uma anlise/avaliao de riscos. Isto necessrio para selecionar
apropriadamente um mtodo de autenticao.
Os recursos de conexo automtica para computadores remotos podem prover um caminho para ganhar
acesso no autorizado nas aplicaes de negcio. Isto particularmente importante se a conexo usar uma
rede que est fora do controle do gerenciamento de segurana da informao da organizao.


11.4.3 Identificao de equipamento em redes
Controle
Convm que sejam consideradas as identificaes automticas de equipamentos como um meio de autenticar
conexes vindas de localizaes e equipamentos especficos.
Uma identificao de equipamentos pode ser usada se for importante que a comunicao possa somente ser
iniciada de um local ou equipamento especfico. Um identificador no equipamento pode ser usado para indicar
se este equipamento possui permisso para conectar-se rede. Convm que estes identificadores indiquem
claramente para qual rede o equipamento possui permisso para conectar-se, se existe mais de uma rede e
particularmente se estas redes so de sensibilidade diferente. Pode ser necessrio considerar proteo fsica
do equipamento para manter a segurana do identificador do equipamento.
Este controle pode ser complementado com outras tcnicas para autenticar o usurio do equipamento
(ver 11.4.2). Pode ser aplicada identificao de equipamento adicionalmente autenticao de usurio.
11.4.4 Proteo e configurao de portas de diagnstico remotas
Controle
Convm que seja controlado o acesso fsico e lgico das portas de diagnstico e configurao.
Os controles potenciais para o acesso s portas de diagnstico e configurao incluem o uso de uma tecla de
bloqueio e procedimentos de suporte para controlar o acesso fsico s portas. Um exemplo para tal
procedimento assegurar que as portas de diagnstico e configurao so apenas acessveis pela
combinao do acesso requerido entre o gestor dos servios do computador e pelo pessoal de suporte do
hardware/software.
Convm que portas, servios e recursos similares instalados em um computador ou recurso de rede que no
so especificamente requeridos para a funcionalidade do negcio sejam desabilitados ou removidos.
Muitos sistemas de computadores, sistemas de rede e sistemas de comunicao so instalados com os
recursos de diagnstico ou configurao remota para uso pelos engenheiros de manuteno.
Se desprotegidas, estas portas de diagnstico proporcionam meios de acesso no autorizado.
11.4.5 Segregao de redes
Controle
Convm que grupos de servios de informao, usurios e sistemas de informao sejam segredados em
redes.
Um mtodo de controlar a segurana da informao em grandes redes dividir em diferentes domnios de
redes lgicas, por exemplo, os domnios de redes internas de uma organizao e domnios externos de uma
rede, cada um protegido por um permetro de segurana definido. Um conjunto de controles regulveis pode
ser aplicado em domnios de redes lgicas diferentes para adicionar mais segurana aos ambientes de
segurana de rede, por exemplo, sistemas publicamente acessveis, redes internas e ativos crticos.
Convm que os domnios sejam definidos com base em uma anlise/avaliao de riscos e os requisitos de
segurana diferentes dentro de cada um dos domnios.



Tal permetro de rede pode ser implementado instalando um gateway seguro entre as duas redes a serem
interconectadas para controlar o acesso e o fluxo de informao entre os dois domnios. Convm que este
gateway seja configurado para filtrar trfico entre estes domnios (ver 11.4.6 e 11.4.7) e bloquear acesso no
autorizado conforme a poltica de controle de acesso da organizao (ver 11.1). Um exemplo deste tipo de
gateway o que geralmente chamado de firewall. Outro mtodo de segregar domnios lgicos restringir
acesso de rede usando redes privadas virtuais para grupos de usurio dentro da organizao.
Podem tambm ser segregadas redes usando a funcionalidade de dispositivo de rede, por exemplo,
IP switching. Os domnios separados podem ser implementados controlando os fluxos de dados de rede,
usando as capacidades de routing/switching, do mesmo modo que listas de controle de acesso.
Convm que critrios para segregao de redes em domnios estejam baseados na poltica de controle de
acesso e requisitos de acesso (ver 10.1), e tambm levem em conta os custos relativos e impactos de
desempenho em incorporar roteamento adequado rede ou tecnologia de gateway (ver 11.4.6 e 11.4.7).
Alm disso, convm que segregao de redes esteja baseada no valor e classificao de informaes
armazenadas ou processadas na rede, nveis de confiana ou linhas de negcio para reduzir o impacto total de
uma interrupo de servio.
Convm considerar segregao de redes sem fios de redes internas e privadas. Como os permetros de
redes sem fios no so bem definidos, convm que uma anlise/avaliao de riscos seja realizada em tais
casos para identificar os controles (por exemplo, autenticao forte, mtodos criptogrficos e seleo de
freqncia) para manter segregao de rede.
As redes esto sendo progressivamente estendidas alm dos limites organizacionais tradicionais, tendo em
vista as parcerias de negcio que so formadas e que podem requerer a interconexo ou compartilhamento de
processamento de informao e recursos de rede. Tais extenses podem aumentar o risco de acesso no
autorizado a sistemas de informao existentes que usam a rede e alguns dos quais podem requerer proteo
de outros usurios de rede devido a sensibilidade ou criticidade.
11.4.6 Controle de conexo de rede
Controle
Para redes compartilhadas, especialmente essas que se estendem pelos limites da organizao, convm que
a capacidade dos usurios para conectar-se rede seja restrita, alinhada com a poltica de controle de acesso
e os requisitos das aplicaes do negcio (ver 11.1).
Convm que os direitos de acesso dos usurios a rede sejam mantidos e atualizados conforme requerido pela
poltica de controle de acesso (ver 11.1.1).
A capacidade de conexo de usurios pode ser restrita atravs dos gateways que filtram trfico por meio de
tabelas ou regras predefinidas. Convm que sejam aplicadas restries nos seguintes exemplos de aplicaes:
a) mensagens, por exemplo, correio eletrnico;
b) transferncia de arquivo;
c) acesso interativo;
d) acesso aplicao.
Convm que sejam considerados direitos de acesso entre redes para certo perodo do dia ou datas.



A incorporao de controles para restringir a capacidade de conexo dos usurios pode ser requerida pela
poltica de controle de acesso para redes compartilhadas, especialmente aquelas que estendam os limites
organizacionais.
11.4.7 Controle de roteamento de redes
Controle
Convm que seja implementado controle de roteamento na rede, para assegurar que as conexes de
computador e fluxos de informao no violem a poltica de controle de acesso das aplicaes do negcio.
Convm que os controles de roteamento sejam baseados no mecanismo de verificao positiva do endereo
de origem e destinos.
Os gateways de segurana podem ser usados para validar endereos de origem e destino nos pontos de
controle de rede interna ou externa se o proxy e/ou a tecnologia de traduo de endereo forem empregados.
Convm que os implementadores estejam conscientes da fora e deficincias de qualquer mecanismo
implementado. Convm que os requisitos de controles de roteamento das redes sejam baseados na poltica de
controle de acesso (ver 11.1).
As redes compartilhadas, especialmente as que estendem os limites organizacionais, podem requerer
controles adicionais de roteamento. Isto se aplica particularmente onde so compartilhadas redes com
terceiros (usurios que no pertencem a organizao).
11.5 Controle de acesso ao sistema operacional
Objetivo: Prevenir acesso no autorizado aos sistemas operacionais.
Convm que recursos de segurana da informao sejam usados para restringir o acesso aos sistemas
operacionais para usurios autorizados. Convm que estes recursos permitam:
a) autenticao de usurios autorizados, conforme a poltica de controle de acesso definida;
b) registro das tentativas de autenticao no sistema com sucesso ou falha;
c) registro do uso de privilgios especiais do sistema;
d) disparo de alarmes quando as polticas de segurana do sistema so violadas;
e) fornecer meios apropriados de autenticao;
f) restrio do tempo de conexo dos usurios, quando apropriado.
11.5.1 Procedimentos seguros de entrada no sistema (log-on)
Controle
Convm que o acesso aos sistemas operacionais seja controlado por um procedimento seguro de entrada no
sistema (log-on).



Convm que o procedimento para entrada no sistema operacional seja configurado para minimizar a
oportunidade de acessos no autorizados. Convm que o procedimento de entrada (log-on) divulgue o mnimo
de informaes sobre o sistema, de forma a evitar o fornecimento de informaes desnecessrias a um
usurio no autorizado. Convm que um bom procedimento de entrada no sistema (log-on):
a) no mostre identificadores de sistema ou de aplicao at que o processo tenha sido concludo com
sucesso;
b) mostre um aviso geral informando que o computador seja acessado somente por usurios autorizados;
c) no fornea mensagens de ajuda durante o procedimento de entrada (log-on) que poderiam auxiliar
um usurio no autorizado;
d) valide informaes de entrada no sistema somente quando todos os dados de entrada estiverem
completos. Caso ocorra uma condio de erro, convm que o sistema no indique qual parte do dado
de entrada est correta ou incorreta;
e) limite o nmero permitido de tentativas de entradas no sistema (log-on) sem sucesso, por exemplo,
trs tentativas, e considere:
1) registro das tentativas com sucesso ou com falha;
2) imposio do tempo de espera antes de permitir novas tentativas de entrada no sistema (log-on)
ou rejeio de qualquer tentativa posterior de acesso sem autorizao especfica;
3) encerramento das conexes por data link;
4) envio de uma mensagem de alerta para o console do sistema, se o nmero mximo de tentativas
de entrada no sistema (log-on) for alcanado;
5) configurao do nmero de reutilizao de senhas alinhado com o tamanho mnimo da senha e o
valor do sistema que est sendo protegido;
f) limite o tempo mximo e mnimo permitido para o procedimento de entrada no sistema (log-on).
Se excedido, convm que o sistema encerre o procedimento;
g) mostre as seguintes informaes, quando o procedimento de entrada no sistema (log-on) finalizar com
sucesso:
1) data e hora da ltima entrada no sistema (log-on) com sucesso;
2) detalhes de qualquer tentativa sem sucesso de entrada no sistema (log-on) desde o ltimo
acesso com sucesso;
h) no mostre a senha que est sendo informada ou considere ocultar os caracteres da senha por
smbolos;
i) no transmita senhas em texto claro pela rede.
Se as senhas forem transmitidas em texto claro durante o procedimento de entrada no sistema (log-on) pela
rede, elas podem ser capturadas por um programa de sniffer de rede, instalado nela.



11.5.2 Identificao e autenticao de usurio
Controle
Convm que todos os usurios tenham um identificador nico (ID de usurio) para uso pessoal e exclusivo, e
convm que uma tcnica adequada de autenticao seja escolhida para validar a identidade alegada por um
usurio.
Convm que este controle seja aplicado para todos os tipos de usurios (incluindo o pessoal de suporte
tcnico, operadores, administradores de rede, programadores de sistema e administradores de banco de
dados).
Convm que os identificadores de usurios (ID de usurios) possam ser utilizados para rastrear atividades ao
indivduo responsvel. Convm que atividades regulares de usurios no sejam executadas atravs de contas
privilegiadas.
Em circunstncias excepcionais, onde exista um claro benefcio ao negcio, pode ocorrer a utilizao de um
identificador de usurio (ID de usurio) compartilhado por um grupo de usurios ou para um trabalho
especfico. Convm que a aprovao pelo gestor esteja documentada nestes casos. Controles adicionais
podem ser necessrios para manter as responsabilidades.
Convm que identificadores de usurios (ID de usurios) genricos para uso de um indivduo somente sejam
permitidos onde as funes acessveis ou as aes executadas pelo usurio no precisam ser rastreadas
(por exemplo, acesso somente leitura), ou quando existem outros controles implementados (por exemplo,
senha para identificador de usurio genrico somente fornecida para um indivduo por vez e registrada).
Convm que onde autenticao forte e verificao de identidade requerida, mtodos alternativos de
autenticao de senhas, como meios criptogrficos, cartes inteligentes (smart card), tokens e meios
biomtricos sejam utilizados.
As senhas (ver 11.3.1 e 11.5.3) so uma maneira muito comum de se prover identificao e autenticao com
base em um segredo que apenas o usurio conhece. O mesmo pode ser obtido com meios criptogrficos e
protocolos de autenticao. Convm que a fora da identificao e autenticao de usurio seja adequada
com a sensibilidade da informao a ser acessada.
Objetos como tokens de memria ou cartes inteligentes (smart card) que os usurios possuem tambm
podem ser usados para identificao e autenticao. As tecnologias de autenticao biomtrica que usam
caractersticas ou atributos nicos de um indivduo tambm podem ser usadas para autenticar a identidade de
uma pessoa. Uma combinao de tecnologias e mecanismos seguramente relacionados resultar em uma
autenticao forte.
11.5.3 Sistema de gerenciamento de senha
Controle
Convm que sistemas para gerenciamento de senhas sejam interativos e assegurem senhas de qualidade.
Convm que o sistema de gerenciamento de senha:
a) obrigue o uso de identificador de usurio (ID de usurio) e senha individual para manter
responsabilidades;
b) permita que os usurios selecionem e modifiquem suas prprias senhas, incluindo um procedimento
de confirmao para evitar erros;
c) obrigue a escolha de senhas de qualidade (ver 11.3.1);


d) obrigue a troca de senhas (ver 11.3.1);
e) obrigue os usurios a trocar a senha temporria no primeiro acesso (ver 11.2.3);
f) mantenha um registro das senhas anteriores utilizadas e bloqueie a reutilizao;
g) no mostre as senhas na tela quando forem digitadas;
h) armazene os arquivos de senha separadamente dos dados do sistema da aplicao;
i) armazene e transmita as senhas de forma protegida (por exemplo, criptografada ou hashed).
A senha um dos principais meios de validar a autoridade de um usurio para acessar um servio de
computador.
Algumas aplicaes requerem que senhas de usurio sejam atribudas por uma autoridade independente.
Em alguns casos, as alneas b), d) e e) das diretrizes acima no se aplicam. Na maioria dos casos, as senhas
so selecionadas e mantidas pelos usurios. Ver 11.3.1 para diretrizes do uso de senhas.
11.5.4 Uso de utilitrios de sistema
Controle
Convm que o uso de programas utilitrios que podem ser capazes de sobrepor os controles dos sistemas e
aplicaes seja restrito e estritamente controlado.
Convm que as seguintes diretrizes para o uso de utilitrios de sistema sejam consideradas:
a) uso de procedimentos de identificao, autenticao e autorizao para utilitrios de sistema;
b) segregao dos utilitrios de sistema dos softwares de aplicao;
c) limitao do uso dos utilitrios de sistema a um nmero mnimo de usurios confiveis e autorizados
(ver 11.2.2);
d) autorizao para uso de utilitrios de sistema no previstos;
e) limitao da disponibilidade dos utilitrios de sistema, por exemplo para a durao de uma modificao
autorizada;
f) registro de todo o uso de utilitrios de sistemas;
g) definio e documentao dos nveis de autorizao para os utilitrios de sistema;
h) remoo ou desabilitao de todos os softwares utilitrios e de sistema desnecessrios;
i) no deixar utilitrios de sistema disponveis para usurios que tm acesso s aplicaes nos sistemas
onde segregao de funes requerida.
A maioria das instalaes de computadores tem um ou mais programas utilitrios de sistema que podem ser
capazes de sobrepor os controles dos sistemas e aplicaes.



11.5.5 Desconexo de terminal por inatividade
Controle
Convm que terminais inativos sejam desconectados aps um perodo definido de inatividade.
Convm que esta facilidade de desconexo por tempo preveja a limpeza da tela do terminal e o encerramento
das sees do aplicativo e da rede aps um perodo definido de inatividade. Convm que o prazo de tempo
para a desconexo reflita os riscos de segurana da rea, a classificao da informao que est sendo
manuseada, as aplicaes que esto sendo utilizadas e os riscos relacionados para os usurios do terminal do
equipamento.
Uma forma limitada para o recurso de desconexo de terminal pode ser provida por alguns sistemas, os quais
limpam a tela e previnem acesso no autorizado, mas no fecham as sees das aplicaes ou da rede.
Este controle particularmente importante em locais de alto risco, os quais incluem reas pblicas ou externas
fora dos limites do gerenciamento de segurana da organizao. Convm que estas sees sejam desligadas
para prevenir o acesso por pessoas no autorizadas e ataques de negao de servio.
11.5.6 Limitao de horrio de conexo
Controle
Convm que restries nos horrios de conexo sejam utilizadas para proporcionar segurana adicional para
aplicaes de alto risco.
Convm que controles de horrio de conexo sejam considerados para aplicaes computacionais sensveis,
especialmente aquelas com terminais instalados em locais de alto risco, por exemplo em reas pblicas ou
externas fora dos limites do gerenciamento de segurana da organizao. Exemplos deste tipo de restrio
incluem:
a) utilizao de blocos de horrios predeterminados, por exemplo para lotes de transmisso de arquivos
ou sees regulares interativas de curta durao;
b) restrio dos horrios de conexo s horas normais de expediente se no houver necessidades para
horas extras ou trabalhos fora do horrio normal;
c) considerar a reautenticao em intervalos de tempo.
Limitar o perodo durante o qual as conexes de terminal para os servios computadorizados so permitidas
reduz a janela de oportunidade para acessos no autorizados. Limitar a durao de sees ativas inibe os
usurios a manter sees abertas, para evitar reautenticao.



11.6 Controle de acesso aplicao e informao
Objetivo: Prevenir acesso no autorizado informao contida nos sistemas de aplicao.
Convm que os recursos de segurana da informao sejam utilizados para restringir o acesso aos sistemas
de aplicao.
Convm que o acesso lgico aplicao e informao seja restrito a usurios autorizados. Convm que os
sistemas de aplicao:
a) controlem o acesso dos usurios informao e s funes dos sistemas de aplicao, de acordo
com uma poltica de controle de acesso definida;
b) proporcionem proteo contra acesso no autorizado para qualquer software utilitrio, sistema
operacional e software malicioso que seja capaz de sobrepor ou contornar os controles da aplicao
ou do sistema;
c) no comprometam outros sistemas com os quais os recursos de informao so compartilhados.
11.6.1 Restrio de acesso informao
Controle
Convm que o acesso informao e s funes dos sistemas de aplicaes por usurios e pessoal de
suporte seja restrito de acordo com o definido na poltica de controle de acesso.
Convm que restries para acesso sejam baseadas nos requisitos das aplicaes individuais do negcio.
Convm que a poltica de controle de acesso seja consistente com a poltica de acesso organizacional
(ver 11.1).
Convm que a aplicao dos seguintes controles seja considerada de forma a suportar os requisitos de
restrio de acesso:
a) fornecer menus para controlar o acesso s funes dos sistemas de aplicao;
b) controlar os direitos de acesso dos usurios, por exemplo, ler, escrever, excluir e executar;
c) controlar os direitos de acesso de outras aplicaes;
d) assegurar que as sadas dos sistemas de aplicao que tratam informaes sensveis contenham
apenas a informao relevante ao uso de tais sadas e so enviadas apenas para os terminais e locais
autorizados; convm incluir uma anlise crtica peridica de tais sadas, para assegurar que
informao desnecessria removida.
11.6.2 Isolamento de sistemas sensveis
Controle
Convm que sistemas sensveis tenham um ambiente computacional dedicado (isolado).
Convm que os seguintes pontos sejam considerados para o isolamento de um sistema sensvel:
a) a sensibilidade de um sistema de aplicao seja explicitamente identificada e documentada pelo
proprietrio da aplicao (ver 7.1.2);


b) quando uma aplicao sensvel executada em um ambiente compartilhado, convm que se
identifiquem os sistemas de aplicao com os quais ela compartilhar recursos e os correspondentes
riscos, e que se obtenha a concordncia do proprietrio da aplicao sensvel.
Alguns sistemas de aplicao so suficientemente sensveis a perdas potenciais, requerendo tratamento
especial. A sensibilidade pode indicar que o sistema de aplicao:
a) seja executado a partir de um computador dedicado; ou
b) compartilha recursos somente com sistemas de aplicao confiveis.
O isolamento pode ser obtido utilizando-se mtodos fsicos ou lgicos (ver 11.4.5).
11.7 Computao mvel e trabalho remoto
Objetivo: Garantir a segurana da informao quando se utilizam a computao mvel e recursos de trabalho
remoto.
Convm que a proteo requerida seja proporcional com o risco desta forma especfica de trabalho. Quando
se utiliza a computao mvel, convm que os riscos de trabalhar em um ambiente desprotegido sejam
considerados e a proteo adequada seja aplicada. No caso de trabalho remoto, convm que a organizao
aplique proteo ao local do trabalho remoto e assegure que as providncias adequadas esto implementadas
para este tipo de trabalho.
11.7.1 Computao e comunicao mvel
Controle
Convm que uma poltica formal seja estabelecida e que medidas de segurana apropriadas sejam adotadas
para a proteo contra os riscos do uso de recursos de computao e comunicao mveis.
Quando se utilizam recursos de computao e comunicao mveis, como, por exemplo, notebooks, palmtops,
laptops, cartes inteligentes (smart cards) e telefones celulares, convm que cuidados especiais sejam
tomados para assegurar que as informaes do negcio no sejam comprometidas. A poltica de computao
mvel deve levar em considerao os riscos de se trabalhar com equipamentos de computao mvel em
ambientes desprotegidos.
Convm que a poltica de computao mvel inclua os requisitos de proteo fsica, controles de acesso,
tcnicas criptogrficas, cpias de segurana e proteo contra vrus. Convm que esta poltica inclua tambm
regras e recomendaes sobre a conexo de recursos mveis rede e diretrizes sobre o uso destes recursos
em locais pblicos.
Convm que sejam tomadas certas precaues ao se utilizarem os recursos de computao mvel em locais
pblicos, salas de reunies e outras reas desprotegidas fora dos limites da organizao. Convm que sejam
estabelecidas protees para evitar o acesso no autorizado ou a divulgao de informaes armazenadas e
processadas nestes recursos, por exemplo atravs da utilizao de tcnicas de criptografia (ver 12.3).
Convm que usurios de recursos de computao mvel em locais pblicos tomem cuidado para evitar o risco
de captao por pessoas no autorizadas. Convm que procedimentos contra softwares maliciosos sejam
estabelecidos e mantidos sempre atualizados (ver 10.4).
Convm que cpias de segurana das informaes crticas de negcio sejam feitas regularmente. Convm que
equipamentos estejam disponveis para possibilitar a realizao de cpias de segurana das informaes de
forma rpida e fcil. Para essas cpias de segurana, convm que sejam adotadas protees adequadas
contra, por exemplo, roubo ou perda de informao.


Convm que proteo adequada seja dada para o uso dos recursos de computao mvel conectados em
rede. Convm que o acesso remoto s informaes do negcio atravs de redes pblicas, usando os recursos
de computao mvel, ocorra apenas aps o sucesso da identificao e da autenticao, e com os
apropriados mecanismos de controle de acesso implantados (ver 11.4).
Convm que os recursos de computao mvel tambm estejam protegidos fisicamente contra roubo,
especialmente quando deixados, por exemplo, em carros ou em outros meios de transporte, quartos de hotis,
centros de conferncia e locais de reunio. Convm que esteja estabelecido um procedimento especfico que
leve em considerao requisitos legais, securitrios e outros requisitos de segurana da organizao para
casos de roubo ou perda de recursos de computao mvel. Convm que os equipamentos que contm
informaes importantes, sensveis e/ou crticas para o negcio no sejam deixados sem observao e,
quando possvel, estejam fisicamente trancados, ou convm que travas especiais sejam utilizadas para
proteger o equipamento. (ver 9.2.5).
Convm que seja providenciado treinamento para os usurios de computao mvel, para aumentar o nvel de
conscientizao a respeito dos riscos adicionais resultantes desta forma de trabalho e dos controles que
devem ser implementados.
As redes de conexo sem fio so similares a outros tipos de redes, mas possuem diferenas importantes que
convm que sejam consideradas quando da identificao de contoles. As diferenas tpicas so:
a) alguns protocolos de segurana de redes sem fio so imaturos e possuem fragilidades conhecidas;
b) pode no ser possvel efetuar cpias de segurana das informaes armazenadas em computadores
mveis devido largura de banda limitada e/ou devido ao equipamento mvel no estar conectado no
momento em que as cpias de segurana esto programadas.
11.7.2 Trabalho remoto
Controle
Convm que uma poltica, planos operacionais e procedimentos sejam desenvolvidos e implementados para
atividades de trabalho remoto.
Convm que as organizaes somente autorizem atividades de trabalho remotas apenas se elas estiverem
certas de que as providncias apropriadas e controles de segurana esto implementados e que estes esto
de acordo com a poltica de segurana da organizao.
Convm que a proteo apropriada ao local do trabalho remoto seja implantada para evitar, por exemplo, o
roubo do equipamento e de informaes, a divulgao no autorizada de informao, o acesso remoto no
autorizado aos sistemas internos da organizao ou mau uso de recursos. Convm que o trabalho remoto seja
autorizado e controlado pelo gestor e convm que sejam asseguradas as providncias adequadas a esta
forma de trabalho.
Convm que os seguintes pontos sejam considerados:
a) a segurana fsica existente no local do trabalho remoto, levando-se em considerao a segurana
fsica do prdio e o ambiente local;
b) o ambiente fsico proposto para o trabalho remoto;
c) os requisitos de segurana nas comunicaes, levando em considerao a necessidade do acesso
remoto aos sistemas internos da organizao, a sensibilidade da informao que ser acessada e
trafegada na linha de comunicao e a sensibilidade do sistema interno;
d) a ameaa de acesso no autorizado informao ou aos recursos por outras pessoas que utilizam o
local, por exemplo familiares e amigos;


e) o uso de redes domsticas e requisitos ou restries na configurao de servios de rede sem fio;
f) polticas e procedimentos para evitar disputas relativas a direitos de propriedade intelectual
desenvolvidas em equipamentos de propriedade particular;
g) acesso a equipamentos de propriedade particular (para verificar a segurana da mquina ou durante
uma investigao), que pode ser proibido legalmente;
h) acordos de licenciamento de software que podem tornar as organizaes responsveis pelo
licenciamento do software cliente em estaes de trabalho particulares de propriedade de funcionrios,
fornecedores ou terceiros;
i) requisitos de proteo contra vrus e requisitos de firewall.
Convm que as diretrizes e providncias a serem consideradas incluam:
a) a proviso de equipamento e moblia apropriados s atividade de trabalho remoto, onde o uso de
equipamentos de propriedade particular que no esteja sob controle da organizao no permitido;
b) uma definio do trabalho permitido, o perodo de trabalho, a classificao da informao que pode ser
tratada e os sistemas internos e servios que o usurio do trabalho remoto est autorizado a acessar;
c) a proviso de equipamento de comunicao apropriado, incluindo mtodos para acesso remoto
seguro;
d) segurana fsica;
e) regras e diretrizes sobre o acesso de familiares e visitantes ao equipamento e informao;
f) a proviso de suporte e manuteno de hardware e software;
g) a proviso de seguro;
h) os procedimentos para cpias de segurana e continuidade do negcio;
i) auditoria e monitoramento da segurana;
j) revogao de autoridade e direitos de acesso, e devoluo do equipamento quando as atividades de
trabalho remoto cessarem.
As atividades de trabalho remoto utilizam tecnologias de comunicao que permitem que as pessoas
trabalhem remotamente de uma localidade fixa externa sua organizao.



12 Aquisio, desenvolvimento e manuteno de sistemas de informao
12.1 Requisitos de segurana de sistemas de informao
Objetivo: Garantir que segurana parte integrante de sistemas de informao.
Sistemas de informao incluem sistemas operacionais, infra-estrutura, aplicaes de negcios, produtos de
prateleira, servios e aplicaes desenvolvidas pelo usurio. O projeto e a implementao de sistemas de
informao destinados a apoiar o processo de negcios podem ser cruciais para a segurana. Convm que os
requisitos de segurana sejam identificados e acordados antes do desenvolvimento e/ou implementao de
sistemas de informao.
Convm que todos os requisitos de segurana sejam identificados na fase de definio de requisitos de um
projeto e justificados, acordados e documentados como parte do caso geral de negcios para um sistema de
informaes.
12.1.1 Anlise e especificao dos requisitos de segurana
Controle
Convm que sejam especificados os requisitos para controles de segurana nas especificaes de requisitos
de negcios, para novos sistemas de informao ou melhorias em sistemas existentes.
Convm que as especificaes para os requisitos de controles, nos sistemas de informao, considerem os
controles automticos a serem incorporados, assim como a necessidade de apoiar controles manuais. Convm
que consideraes similares sejam aplicadas quando da avaliao de pacotes de softwares, desenvolvidos
internamente ou comprados, para as aplicaes de negcios.
Convm que requisitos de segurana e controles reflitam o valor para o negcio dos ativos de informao
envolvidos (ver 7.2), e os danos potenciais ao negcio que poderiam resultar de uma falha ou ausncia de
segurana.
Convm que os requisitos de sistemas para a segurana da informao, bem como os processos para
implement-la sejam integrados aos estgios iniciais dos projetos dos sistemas de informao. Controles
introduzidos no estgio de projeto so significativamente mais baratos para implementar e manter do que
aqueles includos durante ou aps a implementao.
Convm que, no caso de produtos comprados, um processo formal de aquisio e testes seja seguido.
Convm que contratos com fornecedores levem em considerao os requisitos de segurana identificados.
Nas situaes em que funcionalidades de segurana de um produto proposto no satisfaam requisitos
especificados, convm que o risco introduzido, assim como os controles associados, sejam reconsiderados
antes da compra do produto. Nas situaes em que as funcionalidades adicionais incorporadas acarretem
riscos segurana, convm que estas sejam desativadas ou a estrutura de controles proposta seja analisada
criticamente para determinar se h vantagem na utilizao das funcionalidades em questo.
Se considerado apropriado, por exemplo, por razes de custos, o gestor pode considerar o uso de produtos
avaliados e certificados por entidade independente. Informao adicional sobre critrios de avaliao de
produtos pode ser encontrada na ISO/IEC 15408 ou em outras normas de avaliao ou certificao
apropriadas.
A ISO/IEC 13335-3 possui orientao sobre o uso de processos de gerenciamento de riscos para a
identificao de requisitos de controles de segurana.


12.2 Processamento correto nas aplicaes
Objetivo: Prevenir a ocorrncia de erros, perdas, modificao no autorizada ou mau uso de informaes em
aplicaes.
Convm que controles apropriados sejam incorporados no projeto das aplicaes, inclusive aquelas
desenvolvidas pelos usurios, para assegurar o processamento correto. Convm que esses controles incluam
a validao dos dados de entrada, do processamento interno e dos dados de sada.
Controles adicionais podem ser necessrios para sistemas que processem informaes sensveis, valiosas ou
crticas, ou que nestas exeram algum impacto. Convm que tais controles sejam determinados com base em
requisitos de segurana e a anlise/avaliao de riscos.
12.2.1 Validao dos dados de entrada
Controle
Convm que os dados de entrada de aplicaes sejam validados para garantir que so corretos e apropriados.
Convm que sejam aplicadas checagens na entrada de transaes de negcios, em dados permanentes
(por exemplo, nomes e endereos, limites de crdito, nmeros de referncia de clientes) e em, parmetros de
tabelas (por exemplo, preos de venda, taxas de converso de moedas, tarifas de impostos). Convm que as
seguintes diretrizes sejam consideradas:
a) entrada duplicada ou outros tipos de verificao, tais como checagem de limites ou campos limitando
as faixas especficas de dados de entrada, para detectar os seguintes erros:
1) valores fora de faixa;
2) caracteres invlidos em campos de dados;
3) dados incompletos ou faltantes;
4) volumes de dados excedendo limites superiores ou inferiores;
5) dados de controle inconsistentes ou no autorizados;
b) verificao peridica do contedo de campos-chave ou arquivos de dados para confirmar a sua
validade e integridade;
c) inspeo de cpias impressas de documentos de entrada para detectar quaisquer alteraes no
autorizadas (convm que todas as mudanas em documentos de entrada sejam autorizadas);
d) procedimentos para tratar erros de validao;
e) procedimentos para testar a plausibilidade dos dados de entrada;
f) definio da responsabilidade de todo o pessoal envolvido no processo de entrada de dados;
g) criao de um registro de atividades envolvendo o processo de entrada de dados (ver 10.10.1).
A verificao e validao automtica de dados de entrada podem ser consideradas, onde aplicveis, para
reduzir o risco de erros e prevenir ataques conhecidos como buffer overflow e injeo de cdigo.



12.2.2 Controle do processamento interno
Controle
Convm que sejam incorporadas, nas aplicaes, checagens de validao com o objetivo de detectar qualquer
corrupo de informaes, por erros ou por aes deliberadas.
Convm que o projeto e a implementao das aplicaes garantam que os riscos de falhas de processamento
que levem perda de integridade sejam minimizados. reas especficas a serem consideradas incluem:
a) o uso das funes, como incluir, modificar e remover para implementao de alteraes nos dados;
b) procedimentos para evitar que programas rodem na ordem errada ou continuem rodando aps uma
falha de processamento (ver 10.1.1);
c) o uso de programas apropriados para recuperao de falhas, para assegurar o processamento correto
dos dados;
d) proteo contra ataques usando buffer overrun/overflow;
Convm que seja preparada uma lista de verificao apropriada, as atividades sejam documentadas e os
resultados sejam mantidos em segurana. Exemplos de verificaes que podem ser incorporadas incluem:
a) controles de sees ou de lotes, para reconciliar saldos de arquivos aps as atualizaes de
transaes;
b) controles de saldos, para verificao de saldos abertos comparando com saldos previamente
encerrados o batimento de saldos de abertura contra saldos de fechamento, utilizando:
1) controles run-to-run;
2) totalizaes na atualizao de arquivos;
3) controles program-to-program;
c) validao de dados de entrada gerados pelo sistema (ver 12.2.1);
d) verificaes de integridade, autenticidade ou qualquer outra caracterstica de segurana, de dados ou
softwares transferidos, ou atualizados entre computadores centrais e remotos;
e) implementao de tcnicas de consistncia (hash) para registros e arquivos;
f) verificaes para garantir que os programas sejam rodados no tempo correto;
g) verificaes para garantir que os programas sejam rodados na ordem correta e terminem em caso de
falha, e que qualquer processamento adicional seja estancado, at que o problema seja resolvido;
h) criao de um registro das atividades envolvidas no processamento (ver 10.10.1).
Os dados que tenham sido corretamente alimentados podem ser corrompidos por falhas de hardware, erros de
processamento ou por atos deliberados. As verificaes de validao requeridas dependem da natureza das
aplicaes e do impacto, no negcio, de qualquer corrupo de dados.



12.2.3 Integridade de mensagens
Controle
Convm que requisitos para garantir a autenticidade e proteger a integridade das mensagens em aplicaes
sejam identificados e os controles apropriados sejam identificados e implementados.
Convm que seja efetuada uma anlise/avaliao dos riscos de segurana para determinar se a integridade
das mensagens requerida e para identificar o mtodo mais apropriado de implementao.
As tcnicas criptogrficas (ver 12.3) podem ser usadas como um meio apropriado para a implementao da
autenticao de mensagens.
12.2.4 Validao de dados de sada
Controle
Convm que os dados de sada das aplicaes sejam validados para assegurar que o processamento das
informaes armazenadas est correto e apropriado s circunstncias.
A validao de dados de sada pode incluir:
a) verificaes de plausibilidade para testar se os dados de sada so razoveis;
b) controles envolvendo contagens de reconciliao para garantir o processamento de todos os dados;
c) fornecimento de informao suficiente para que um leitor ou um sistema de processamento
subseqente possa determinar a exatido, completeza, preciso e classificao das informaes;
d) procedimentos para responder aos testes de validao dos dados de sada;
e) definio das responsabilidades de todo o pessoal envolvido no processo de dados de sada;
f) criao de um registro de atividades do processo de validao dos dados de sada.
Tipicamente, sistemas e aplicaes so construdos no pressuposto de que, tendo sido efetuadas as
validaes apropriadas, verificaes e testes, as sadas estaro sempre corretas. Contudo, este pressuposto
nem sempre vlido, isto , sistemas que tenham sido testados podem ainda produzir dados de sada
incorretos sob certas circunstncias.
12.3 Controles criptogrficos
Objetivo: Proteger a confidencialidade, a autenticidade ou a integridade das informaes por meios
criptogrficos.
Convm que uma poltica seja desenvolvida para o uso de controles criptogrficos. Convm que o
gerenciamento de chaves seja implementado para apoiar o uso de tcnicas criptogrficas.



12.3.1 Poltica para o uso de controles criptogrficos
Controle
Convm que seja desenvolvida e implementada uma poltica para o uso de controles criptogrficos para a
proteo da informao.
Convm que, quando do desenvolvimento de uma poltica para criptografia, sejam considerados:
a) a abordagem gerencial quanto ao uso de controles criptogrficos em toda a organizao, incluindo os
princpios gerais sob os quais as informaes de negcio sejam protegidas (ver 5.1.1);
b) a identificao do nvel requerido de proteo com base em uma anlise/avaliao de riscos, levando
em considerao o tipo, a fora e a qualidade do algoritmo de criptografia requerido;
c) o uso de criptografia para a proteo de informaes sensveis transportadas em celulares e PDA,
mdias removveis ou mveis, dispositivos ou linhas de comunicao;
d) a abordagem do gerenciamento de chaves, incluindo mtodos para lidar com a proteo das chaves
criptogrficas e a recuperao de informaes cifradas, no caso de chaves perdidas, comprometidas
ou danificadas;
e) papis e responsabilidades, por exemplo, de quem for responsvel:
1) pela implementao da poltica;
2) pelo gerenciamento de chaves, incluindo sua gerao (ver 12.3.2);
f) os padres a serem adotados para a efetiva implementao ao longo de toda a organizao (qual
soluo usada para quais processos de negcios);
g) o impacto do uso de informaes cifradas em controles que dependem da inspeo de contedos (por
exemplo, deteco de vrus).
Convm que sejam consideradas, na implementao da poltica criptogrfica da organizao, as leis ou
regulamentaes e restries nacionais aplicveis ao uso de tcnicas criptogrficas, nas diferentes partes do
mundo, e das questes relativas ao fluxo transfronteiras de informaes cifradas (ver 15.1.6).
Controles criptogrficos podem ser usados para alcanar diversos objetivos de segurana, como, por exemplo:
a) confidencialidade: usando a criptografia da informao para proteger informaes sensveis ou crticas,
armazenadas ou transmitidas;
b) integridade/autenticidade: usando assinaturas digitais ou cdigos de autenticao de mensagens
(MAC) para proteger a autenticidade e integridade de informaes sensveis ou crticas, armazenadas
ou transmitidas;
c) no-repdio: usando tcnicas de criptografia para obter prova da ocorrncia ou no ocorrncia de um
evento ou ao.
Convm que a tomada de deciso para verificar se uma soluo de criptografia apropriada seja vista como
parte de um processo de anlise/avaliao de riscos e seleo de controles mais amplos. Essa avaliao pode,
ento, ser usada para determinar se um controle criptogrfico apropriado, que tipo de controle seja usado e
para que propsito e processos de negcios.



Uma poltica sobre o uso de controles criptogrficos necessria para maximizar os benefcios e minimizar os
riscos do uso de tcnicas criptogrficas para evitar o uso incorreto ou inapropriado. Quanto ao uso de
assinaturas digitais, convm que seja considerada toda a legislao relevante, em particular aquela que
descreve as condies sob as quais uma assinatura digital legalmente aceita (ver 15.1).
Convm que seja buscada a opinio de um especialista para identificar o nvel apropriado de proteo e definir
as especificaes aplicveis que proporcionaro o nvel requerido de proteo e o apoio implementao de
um sistema seguro de gerenciamento de chaves (ver 12.3.2).
O ISO/IEC JTC1 SC27 desenvolveu diversas normas relacionadas com controles criptogrficos. Informaes
adicionais podem tambm ser encontradas na IEEE P1363 e no OECD Guidelines on Cryptography.
12.3.2 Gerenciamento de chaves
Controle
Convm que um processo de gerenciamento de chaves seja implantado para apoiar o uso de tcnicas
criptogrficas pela organizao.
Convm que todas as chaves criptogrficas sejam protegidas contra modificao, perda e destruio.
Adicionalmente, chaves secretas e privadas necessitam de proteo contra a divulgao no autorizada.
Convm que os equipamentos utilizados para gerar, armazenar e guardar as chaves sejam fisicamente
protegidos.
Convm que um sistema de gerenciamento de chaves seja baseado em um conjunto estabelecido de normas,
procedimentos e mtodos de segurana para:
a) gerar chaves para diferentes sistemas criptogrficos e diferentes aplicaes;
b) gerar e obter certificados de chaves pblicas;
c) distribuir chaves para os usurios devidos, incluindo a forma como as chaves devem ser ativadas,
quando recebidas;
d) armazenar chaves, incluindo a forma como os usurios autorizados obtm acesso a elas;
e) mudar ou atualizar chaves, incluindo regras relativas a quando as chaves devem ser mudadas e como
isto ser feito;
f) lidar com chaves comprometidas;
g) revogar chaves, incluindo regras de como elas devem ser retiradas ou desativadas, por exemplo
quando chaves tiverem sido comprometidas ou quando um usurio deixa a organizao (convm que,
tambm neste caso, que as chaves sejam guardadas);
h) recuperar chaves perdidas ou corrompidas, como parte da gesto da continuidade do negcio, por
exemplo para recuperao de informaes cifradas;
i) guardar chaves, por exemplo para informaes guardadas ou armazenadas em cpias de segurana;
j) destruir chaves;
k) manter registro e auditoria das atividades relacionadas com o gerenciamento de chaves.



Convm, para reduzir a possibilidade de comprometimento, que datas de ativao e desativao de chaves
sejam definidas de forma que possam ser utilizadas apenas por um perodo de tempo limitado. Convm que
este perodo de tempo seja dependente das circunstncias sob as quais o controle criptogrfico est sendo
usado, assim como do risco percebido.
Alm do gerenciamento seguro de chaves secretas e privadas, convm que a autenticidade de chaves
pblicas seja tambm considerada. Este processo de autenticao pode ser conduzido utilizando-se
certificados de chaves pblicas que so normalmente emitidos por uma autoridade certificadora, a qual
convm que seja uma organizao reconhecida, com controles adequados e procedimentos implantados com
o objetivo de garantir o requerido nvel de confiana.
Convm que o contedo dos termos dos acordos de nvel de servio ou contratos com fornecedores externos
de servios criptogrficos, por exemplo com uma autoridade certificadora, cubram aspectos como
responsabilidades, confiabilidade dos servios e tempos de resposta para a execuo dos servios
contratados (ver 6.2.3).
O gerenciamento de chaves criptogrficas essencial para o uso efetivo de tcnicas criptogrficas.
A ISO/IEC 11770 fornece informao adicional sobre gerenciamento de chaves. Os dois tipos de tcnicas
criptogrficas so:
a) tcnicas de chaves secretas, onde duas ou mais partes compartilham a mesma chave, a qual
utilizado tanto para cifrar quanto para decifrar a informao; esta chave deve ser mantida secreta, uma
vez que qualquer um que tenha acesso a ela ser capaz de decifrar todas as informaes que tenham
sido cifradas com essa chave ou dela se utilizando para introduzir informao no autorizada;
b) tcnicas de chaves pblicas, onde cada usurio possui um par de chaves; uma chave pblica
(que pode ser revelada para qualquer um) e uma chave privada (que deve ser mantida secreta);
tcnicas de chaves pblicas podem ser utilizadas para cifrar e para produzir assinaturas digitais
(ver tambm ISO/IEC 9796 e ISO/IEC 14888).
Existe a ameaa de que seja forjada uma assinatura digital pela substituio da chave pblica do usurio. Este
problema resolvido pelo uso de um certificado de chave pblica.
Tcnicas criptogrficas podem ser tambm utilizadas para proteger chaves criptogrficas. Pode ser necessrio
o estabelecimento de procedimentos para a manipulao de solicitaes legais para acesso a chaves
criptogrficas, por exemplo, informao cifrada pode ser requerida em sua forma decifrada para uso como
evidncia em um processo judicial.
12.4 Segurana dos arquivos do sistema
Objetivo: Garantir a segurana de arquivos de sistema.
Convm que o acesso aos arquivos de sistema e aos programas de cdigo fonte seja controlado e que
atividades de projeto de tecnologia da informao e de suporte sejam conduzidas de forma segura.
Convm que cuidados sejam tomados para evitar a exposio de dados sensveis em ambientes de teste.
12.4.1 Controle de software operacional
Controle
Convm que procedimentos para controlar a instalao de software em sistemas operacionais sejam
implementados.



Para minimizar o risco de corrupo aos sistemas operacionais, convm que as seguintes diretrizes sejam
consideradas para controlar mudanas:
a) a atualizao do software operacional, de aplicativos e de bibliotecas de programas seja executada
somente por administradores treinados e com autorizao gerencial (ver 12.4.3);
b) sistemas operacionais somente contenham cdigo executvel e aprovado, e no contenham cdigos
em desenvolvimento ou compiladores;
c) sistemas operacionais e aplicativos somente sejam implementados aps testes extensivos e bem-
sucedidos; recomendvel que os testes incluam testes sobre uso, segurana, efeitos sobre outros
sistemas, como tambm sobre uso amigvel, e sejam realizados em sistemas separados (ver 10.1.4);
convm que seja assegurado que todas as bibliotecas de programa-fonte correspondentes tenham
sido atualizadas;
d) um sistema de controle de configurao seja utilizado para manter controle da implementao do
software assim como da documentao do sistema;
e) uma estratgia de retorno s condies anteriores seja disponibilizada antes que mudanas sejam
implementadas no sistema;
f) um registro de auditoria seja mantido para todas as atualizaes das bibliotecas dos programas
operacionais;
g) verses anteriores dos softwares aplicativos sejam mantidas como medida de contingncia;
h) verses antigas de software sejam arquivadas, junto com todas as informaes e parmetros
requeridos, procedimentos, detalhes de configuraes e software de suporte durante um prazo igual
ao prazo de reteno dos dados.
Convm que software adquirido de fornecedores e utilizado em sistemas operacionais seja mantido num nvel
apoiado pelo fornecedor. Ao transcorrer do tempo, fornecedores de software cessam o apoio s verses
antigas do software. Convm que a organizao considere os riscos associados dependncia de software
sem suporte.
Convm que qualquer deciso de atualizao para uma nova verso considere os requisitos do negcio para a
mudana e da segurana associada, por exemplo, a introduo de uma nova funcionalidade de segurana ou
a quantidade e a gravidade dos problemas de segurana associados a esta verso. Convm que pacotes de
correes de software sejam aplicados quando puderem remover ou reduzir as vulnerabilidades de segurana
(ver 12.6.1).
Convm que acessos fsicos e lgicos sejam concedidos a fornecedores, quando necessrio, para a finalidade
de suporte e com aprovao gerencial. Convm que as atividades do fornecedor sejam monitoradas.
Os softwares para computadores podem depender de outros softwares e mdulos fornecidos externamente, os
quais convm ser monitorados e controlados para evitar mudanas no autorizadas, que podem introduzir
fragilidades na segurana.
Convm que sistemas operacionais sejam atualizados quando existir um requisito para tal, por exemplo, se a
verso atual do sistema operacional no suportar mais os requisitos do negcio. Convm que as atualizaes
no sejam efetivadas pela mera disponibilidade de uma verso nova do sistema operacional. Novas verses
de sistemas operacionais podem ser menos seguras, com menor estabilidade, e ser menos entendidas do que
os sistemas atuais.



12.4.2 Proteo dos dados para teste de sistema
Controle
Convm que os dados de teste sejam selecionados com cuidado, protegidos e controlados.
Para propsitos de teste, convm que seja evitado o uso de bancos de dados operacionais que contenham
informaes de natureza pessoal ou qualquer outra informao considerada sensvel. Se informao de
natureza pessoal ou outras informaes sensveis forem utilizadas com o propsito de teste, convm que
todos os detalhes e contedo sensvel sejam removidos ou modificados de forma a evitar reconhecimento
antes do seu uso. Convm que sejam aplicadas as seguintes diretrizes para a proteo de dados operacionais,
quando utilizados para fins de teste:
a) os procedimentos de controle de acesso, aplicveis aos aplicativos de sistema em ambiente
operacional, sejam tambm aplicados aos aplicativos de sistema em ambiente de teste;
b) seja obtida autorizao cada vez que for utilizada uma cpia da informao operacional para uso de
um aplicativo em teste;
c) a informao operacional seja apagada do aplicativo em teste imediatamente aps completar o teste;
d) a cpia e o uso de informao operacional sejam registrados de forma a prover uma trilha para
auditoria.
Testes de sistema e testes de aceitao requerem normalmente volumes significativos de dados de teste que
sejam o mais prximo possvel aos dados utilizados no ambiente operacional.
12.4.3 Controle de acesso ao cdigo-fonte de programa
Controle
Convm que o acesso ao cdigo-fonte de programa seja restrito.
Convm que o acesso ao cdigo-fonte de programa e de itens associados (como desenhos, especificaes,
planos de verificao e de validao) seja estritamente controlado, com a finalidade de prevenir a introduo
de funcionalidade no autorizada e para evitar mudanas no intencionais. Para os cdigos-fonte de
programas, este controle pode ser obtido com a guarda centralizada do cdigo, de preferncia utilizando
bibliotecas de programa-fonte. Convm que as seguintes orientaes sejam consideradas (ver seo 11) para
o controle de acesso s bibliotecas de programa-fonte, com a finalidade de reduzir o risco de corrupo de
programas de computador:
a) quando possvel, seja evitado manter as bibliotecas de programa-fonte no mesmo ambiente dos
sistemas operacionais;
b) seja implementado o controle do cdigo-fonte de programa e das bibliotecas de programa-fonte,
conforme procedimentos estabelecidos;
c) o pessoal de suporte no tenha acesso irrestrito s bibliotecas de programa-fonte;
d) a atualizao das bibliotecas de programa-fonte e itens associados e a entrega de fontes de
programas a programadores seja apenas efetuada aps o recebimento da autorizao pertinente;
e) as listagens dos programas sejam mantidas num ambiente seguro (ver 10.7.4);
f) seja mantido um registro de auditoria de todos os acessos a cdigo-fonte de programa;


g) a manuteno e a cpia das bibliotecas de programa-fonte estejam sujeitas a procedimentos estritos
de controles de mudanas (ver 12.5.1);
Os cdigos-fonte de programas so cdigos escritos por programadores, que so compilados (e ligados) para
criar programas executveis. Algumas linguagens de programao no fazem uma distino formal entre
cdigo-fonte e executvel, pois os executveis so criados no momento da sua ativao.
As ABNT NBR ISO 10007 e ABNT NBR ISO/IEC 12207 possuem mais informaes sobre a gesto de
configurao e o processo de ciclo de vida de software.
12.5 Segurana em processos de desenvolvimento e de suporte
Objetivo: Manter a segurana de sistemas aplicativos e da informao.
Convm que os ambientes de projeto e de suporte sejam estritamente controlados.
Convm que os gerentes responsveis pelos sistemas aplicativos sejam tambm responsveis pela segurana
dos ambientes de projeto ou de suporte. Convm que eles assegurem que mudanas propostas sejam
analisadas criticamente para verificar que no comprometam a segurana do sistema ou do ambiente
operacional.
12.5.1 Procedimentos para controle de mudanas
Controle
Convm que a implementao de mudanas seja controlada utilizando procedimentos formais de controle de
mudanas.
Convm que os procedimentos de controle de mudanas sejam documentados e reforados com a finalidade
de minimizar a corrupo dos sistemas da informao. Convm que a introduo de novos sistemas e
mudanas maiores em sistemas existentes sigam um processo formal de documentao, especificao, teste,
controle da qualidade e gesto da implementao.
Convm que o processo inclua uma anlise/avaliao de riscos, anlise do impacto das mudanas e a
especificao dos controles de segurana requeridos. Convm que o processo garanta que a segurana e os
procedimentos de controle atuais no sejam comprometidos, que os programadores de suporte tenham acesso
somente s partes do sistema necessrias para o cumprimento das tarefas e que sejam obtidas concordncia
e aprovao formal para qualquer mudana obtida.
Convm que, quando praticvel, os procedimentos de controle de mudanas sejam integrados (ver 10.1.2).
Convm que os procedimentos de mudanas incluam:
a) a manuteno de um registro dos nveis acordados de autorizao;
b) a garantia de que as mudanas sejam submetidas por usurios autorizados;
c) a anlise crtica dos procedimentos de controle e integridade para assegurar que as mudanas no os
comprometam;
d) a identificao de todo software, informao, entidades em bancos de dados e hardware que precisam
de emendas;
e) a obteno de aprovao formal para propostas detalhadas antes da implementao;
f) a garantia da aceitao das mudanas por usurios autorizados, antes da implementao;


g) a garantia da atualizao da documentao do sistema aps concluso de cada mudana e de que a
documentao antiga seja arquivada ou descartada;
h) a manuteno de um controle de verso de todas as atualizaes de softwares;
i) a manuteno de uma trilha para auditoria de todas as mudanas solicitadas;
j) a garantia de que toda a documentao operacional (ver 10.1.1) e procedimentos dos usurios sejam
alterados conforme necessrio e que se mantenham apropriados;
k) a garantia de que as mudanas sejam implementadas em horrios apropriados, sem a perturbao
dos processos de negcios cabveis.
A mudana de software pode ter impacto no ambiente operacional.
As boas prticas incluem o teste de novos softwares em um ambiente segregado dos ambientes de produo
e de desenvolvimento (ver 10.1.4). Isto fornece um meio de controle sobre o novo software e permite uma
proteo adicional informao operacional que utilizada para propsitos de teste. Aplica-se tambm s
correes, pacotes de servio e outras atualizaes. Convm que atualizaes automticas no sejam
utilizadas em sistemas crticos, pois algumas atualizaes podem causar falhas em aplicaes crticas
(ver 12.6).
12.5.2 Anlise crtica tcnica das aplicaes aps mudanas no sistema operacional
Controle
Convm que aplicaes crticas de negcios sejam analisadas criticamente e testadas quando sistemas
operacionais so mudados, para garantir que no haver nenhum impacto adverso na operao da
organizao ou na segurana.
Convm que o processo compreenda:
a) uma anlise crtica dos procedimentos de controle e integridade dos controles para assegurar que no
foram comprometidos pelas mudanas no sistema operacional;
b) a garantia de que o plano anual de suporte e o oramento iro cobrir as anlises e testes do sistema
devido s mudanas no sistema operacional;
c) a garantia de que as mudanas pretendidas sejam comunicadas em tempo hbil para permitir os
testes e anlises crticas antes da implementao das mudanas;
d) a garantia de que as mudanas necessrias sejam executadas nos planos de continuidade de
negcios (ver seo 14).
Convm que seja dada responsabilidade a um grupo especfico ou a um indivduo para monitoramento das
vulnerabilidades e divulgao de emendas e correes dos fornecedores de software (ver 12.6).



12.5.3 Restries sobre mudanas em pacotes de software
Controle
Convm que modificaes em pacotes de software no sejam incentivadas e limitadas s mudanas
necessrias e que todas as mudanas sejam estritamente controladas.
Quando possvel e praticvel, convm que pacotes de softwares providos pelos fornecedores sejam utilizados
sem modificaes. Quando um pacote de software requer modificao, convm que sejam considerados os
seguintes itens:
a) o risco de que controles e processos de integridade embutidos no software sejam comprometidos;
b) a obteno do consentimento do fornecedor;
c) a possibilidade de obteno junto ao fornecedor das mudanas necessrias como atualizao padro
do programa;
d) o impacto resultante quando a organizao passa a ser responsvel para a manuteno futura do
software como resultado das mudanas.
Se mudanas forem necessrias, convm que o software original seja mantido e as mudanas aplicadas numa
cpia claramente identificada. Convm que um processo de gesto de atualizaes seja implementado para
assegurar a instalao das mais recentes correes e atualizaes para todos os softwares autorizados
(ver 12.6). Convm que todas as mudanas sejam completamente testadas e documentadas para que possam
ser reaplicadas, se necessrio, em atualizaes futuras do software. Se requerido, convm que as
modificaes sejam testadas e validadas por um grupo de avaliao independente.
12.5.4 Vazamento de informaes
Controle
Convm que oportunidades para vazamento de informaes sejam prevenidas.
Convm que os seguintes itens sejam considerados, para limitar o risco de vazamento de informaes, por
exemplo atravs do uso e explorao de covert channels:
a) a varredura do envio de mdia e comunicaes para verificar a presena de informao oculta;
b) o mascaramento e a modulao do comportamento dos sistemas e das comunicaes para reduzir a
possibilidade de terceiros deduzirem informaes a partir do comportamento dos sistemas;
c) a utilizao de sistemas e software reconhecidos como de alta integridade, por exemplo utilizando
produtos avaliados (ver ISO/IEC 15408);
d) o monitoramento regular das atividades do pessoal e do sistema, quando permitido pela legislao ou
regulamentao vigente;
e) o monitoramento do uso de recursos de sistemas de computao.
Os covert channels so caminhos no previstos para conduzir fluxo de informaes, mas que no entanto
podem existir num sistema ou rede. Por exemplo, a manipulao de bits no protocolo de pacotes de
comunicao poderia ser utilizada como um mtodo oculto de sinalizao. Devido sua natureza, seria difcil,
se no impossvel, precaver-se contra a existncia de todos os possveis covert channels. No entanto, a
explorao destes canais freqentemente realizada por cdigo troiano (ver 10.4.1). A adoo de medidas de
proteo contra cdigo troiano reduz, conseqentemente, o risco de explorao de covert channels.


A precauo contra acesso no autorizado rede (ver 11.4), como tambm polticas e procedimentos para
dissuadir o mau uso de servios de informao pelo pessoal (ver 15.1.5), pode ajudar a proteger contra covert
channels.
12.5.5 Desenvolvimento terceirizado de software
Controle
Convm que a organizao supervisione e monitore o desenvolvimento terceirizado de software.
Convm que sejam considerados os seguintes itens quando do desenvolvimento de software terceirizado:
a) acordos de licenciamento, propriedade do cdigo e direitos de propriedade intelectual (ver 15.1.2);
b) certificao da qualidade e exatido do servio realizado;
c) provises para custdia no caso de falha da terceira parte;
d) direitos de acesso para auditorias de qualidade e exatido do servio realizado;
e) requisitos contratuais para a qualidade e funcionalidade da segurana do cdigo;
f) testes antes da instalao para detectar a presena de cdigo malicioso e troiano.
12.6 Gesto de vulnerabilidades tcnicas
Objetivo: Reduzir riscos resultantes da explorao de vulnerabilidades tcnicas conhecidas.
Convm que a implementao da gesto de vulnerabilidades tcnicas seja implementada de forma efetiva,
sistemtica e de forma repetvel com medies de confirmao da efetividade. Convm que estas
consideraes incluam sistemas operacionais e quaisquer outras aplicaes em uso.
12.6.1 Controle de vulnerabilidades tcnicas
Controle
Convm que seja obtida informao em tempo hbil sobre vulnerabilidades tcnicas dos sistemas de
informao em uso, avaliada a exposio da organizao a estas vulnerabilidades e tomadas as medidas
apropriadas para lidar com os riscos associados.
Um inventrio completo e atualizado dos ativos de informao (ver 7.1) um pr-requisito para uma gesto
efetiva de vulnerabilidade tcnica. Informao especfica para o apoio gesto de vulnerabilidade tcnica
inclui o fornecedor de software, o nmero de verso, o status atual de uso e distribuio (por exemplo, que
softwares esto instalados e em quais sistemas) e a(s) pessoa(s) na organizao responsvel(is) pelos
softwares.
Convm que a ao apropriada seja tomada, no devido tempo, como resposta s potenciais vulnerabilidades
tcnicas identificadas. Convm que as seguintes diretrizes sejam seguidas para o estabelecimento de um
processo de gesto efetivo de vulnerabilidades tcnicas:
a) a organizao defina e estabelea as funes e responsabilidades associadas na gesto de
vulnerabilidades tcnicas, incluindo o monitoramento de vulnerabilidades, a anlise/avaliao de riscos
de vulnerabilidades, patches, acompanhamento dos ativos e qualquer coordenao de
responsabilidades requerida;


b) os recursos de informao a serem usados para a identificar vulnerabilidades tcnicas relevantes e
para manter a conscientizao sobre eles sejam identificados para softwares e outras tecnologias
(com base na lista de inventrio dos ativos, ver 7.1.1); convm que esses recursos de informao
sejam mantidos atualizados com base nas mudanas no inventrio de ativos, ou quando outros
recursos novos ou teis forem encontrados;
c) seja definido um prazo para a reao a notificaes de potenciais vulnerabilidades tcnicas relevantes;
d) uma vez que uma vulnerabilidade tcnica potencial tenha sido identificada, convm que a organizao
avalie os riscos associados e as aes a serem tomadas; tais aes podem requerer o uso de patches
nos sistemas vulnerveis e/ou a aplicao de outros controles;
e) dependendo da urgncia exigida para tratar uma vulnerabilidade tcnica, convm que a ao tomada
esteja de acordo com os controles relacionados com a gesto de mudanas (ver 12.5.1) ou que sejam
seguidos os procedimentos de resposta a incidentes de segurana da informao (ver 13.2);
f) se um patch for disponibilizado, convm que sejam avaliados os riscos associados sua instalao
(convm que os riscos associados vulnerabilidade sejam comparados com os riscos de instalao do
patch);
g) patches sejam testados e avaliados antes de serem instaladas para assegurar a efetividade e que no
tragam efeitos que no possam ser tolerados; quando no existir a disponibilidade de um patch,
convm considerar o uso de outros controles, tais como:
1) a desativao de servios ou potencialidades relacionadas vulnerabilidade;
2) a adaptao ou agregao de controles de acesso, por exemplo firewalls nas fronteiras da rede
(ver 11.4.5);
3) o aumento do monitoramento para detectar ou prevenir ataques reais;
4) o aumento da conscientizao sobre a vulnerabilidade;
h) seja mantido um registro de auditoria de todos os procedimentos realizados;
i) com a finalidade de assegurar a eficcia e a eficincia, convm que seja monitorado e avaliado
regularmente o processo de gesto de vulnerabilidades tcnicas;
j) convm abordar em primeiro lugar os sistemas com altos riscos.
O correto funcionamento do processo de gesto de vulnerabilidades tcnicas crtico para muitas
organizaes e, portanto, convm que seja monitorado regularmente. Um inventrio de ativos preciso
essencial para assegurar que vulnerabilidades potenciais relevantes sejam identificadas.
A gesto de vulnerabilidades tcnicas pode ser vista como uma subfuno da gesto de mudanas e, como tal,
pode aproveitar os procedimentos e processos da gesto de mudanas (ver 10.1.2 e 12.5.1).
Os fornecedores esto sempre sob grande presso para liberar patches to logo quanto possvel. Portanto, um
patch pode no abordar o problema adequadamente e pode causar efeitos colaterais negativos. Tambm, em
alguns casos, a desinstalao de um patch pode no ser facilmente realizvel aps sua instalao.
Quando testes adequados de patch no forem possveis, por exemplo, devido a custos ou falta de recursos,
um atraso no uso do patch pode ser considerado para avaliar os riscos associados, baseado nas experincias
relatadas por outros usurios.



13 Gesto de incidentes de segurana da informao
13.1 Notificao de fragilidades e eventos de segurana da informao
Objetivo: Assegurar que fragilidades e eventos de segurana da informao associados com sistemas de
informao sejam comunicados, permitindo a tomada de ao corretiva em tempo hbil.
Convm que sejam estabelecidos procedimentos formais de registro e escalonamento. Convm que todos os
funcionrios, fornecedores e terceiros estejam conscientes sobre os procedimentos para notificao dos
diferentes tipos de eventos e fragilidades que possam ter impactos na segurana dos ativos da organizao.
Convm que seja requerido que os eventos de segurana da informao e fragilidades sejam notificados, to
logo quanto possvel, ao ponto de contato designado.
13.1.1 Notificao de eventos de segurana da informao
Controle
Convm que os eventos de segurana da informao sejam relatados atravs dos canais apropriados da
direo, o mais rapidamente possvel.
Diretrizes para Implementao
Convm que um procedimento de notificao formal seja estabelecido para relatar os eventos de segurana da
informao, junto com um procedimento de resposta a incidente e escalonamento, estabelecendo a ao a ser
tomada ao se receber a notificao de um evento de segurana da informao. Convm que um ponto de
contato seja estabelecido para receber as notificaes dos eventos de segurana da informao. Convm que
este ponto de contato seja de conhecimento de toda a organizao e esteja sempre disponvel e em condies
de assegurar uma resposta adequada e oportuna.
Convm que todos os funcionrios, fornecedores e terceiros sejam alertados sobre sua responsabilidade de
notificar qualquer evento de segurana da informao o mais rapidamente possvel. Convm que eles tambm
estejam cientes do procedimento para notificar os eventos de segurana da informao e do ponto de contato
designado para este fim. Convm que os procedimentos incluam:
a) processos adequados de realimentao para assegurar que os eventos de segurana da informao
relatados sejam notificados dos resultados aps a questo ter sido conduzida e concluda;
b) formulrio para apoiar a ao de notificar um evento de segurana da informao e ajudar as pessoas
a lembrar as aes necessrias para a notificao do evento;
c) o comportamento correto a ser tomado no caso de um evento de segurana da informao, como, por
exemplo:
1) anotar todos os detalhes importantes imediatamente (por exemplo, tipo de no-conformidade ou
violao, mau funcionamento, mensagens na tela, comportamento estranho);
2) no tomar nenhuma ao prpria, mas informar imediatamente o evento ao ponto de contato;
d) referncia para um processo disciplinar formal estabelecido para lidar com funcionrios, fornecedores
ou terceiros que cometam violaes de segurana da informao.
Em ambientes de alto risco, podem ser fornecidos alarmes de coao
4
atravs do qual a pessoa que est
sendo coagida possa sinalizar o que est ocorrendo. Convm que os procedimentos para responder a alarmes
de coao reflitam o alto risco que a situao exige.

4
Alarme de coao um mtodo usado para indicar, de forma secreta, que uma ao est acontecendo sob coao.



Exemplos de eventos e incidentes de segurana da informao so:
a) perda de servio, equipamento ou recursos;
b) mau funcionamento ou sobrecarga de sistema;
c) erros humanos;
d) no-conformidade com polticas ou diretrizes;
e) violaes de procedimentos de segurana fsica;
f) mudanas descontroladas de sistemas;
g) mau funcionamento de software ou hardware;
h) violao de acesso.
Considerando os cuidados com os aspectos de confidencialidade, os incidentes de segurana da informao
podem ser utilizados em treinamento de conscientizao (ver 8.2.2) como exemplos do que poderia ocorrer,
como responder a tais incidentes e como evit-los futuramente. Para ser capaz de destinar os eventos e
incidentes de segurana da informao adequadamente, pode ser necessrio coletar evidncias to logo
quanto possvel depois da ocorrncia (ver 13.2.3).
Um mau funcionamento ou outras anomalias de comportamento de sistemas podem ser um indicador de um
ataque de segurana ou violao de segurana e, portanto, convm que sempre sejam notificados como um
evento de segurana da informao.
Mais informaes sobre notificao de eventos de segurana da informao e gesto de incidentes de
segurana da informao podem ser encontradas na ISO/IEC TR 18044.
13.1.2 Notificando fragilidades de segurana da informao
Controle
Convm que os funcionrios, fornecedores e terceiros de sistemas e servios de informao sejam instrudos a
registrar e notificar qualquer observao ou suspeita de fragilidade em sistemas ou servios.
Convm que os funcionrios, fornecedores e terceiros notifiquem esse assunto o mais rpido possvel para
sua direo ou diretamente ao seu provedor de servios, de forma a prevenir incidentes de segurana da
informao. Convm que o mecanismo de notificao seja fcil, acessvel e disponvel sempre que possvel.
Convm que os usurios sejam informados que no podem, sob nenhuma circunstncia, tentar averiguar
fragilidade suspeita.
Convm que os funcionrios, fornecedores e terceiros sejam alertados para no tentarem averiguar uma
fragilidade de segurana da informao suspeita. Testar fragilidades pode ser interpretado como um uso
imprprio potencial do sistema e tambm pode causar danos ao sistema ou servio de informao, resultando
em responsabilidade legal ao indivduo que efetuar o teste.



13.2 Gesto de incidentes de segurana da informao e melhorias
Objetivo: Assegurar que um enfoque consistente e efetivo seja aplicado gesto de incidentes de segurana
da informao.
Convm que responsabilidades e procedimentos estejam definidos para o manuseio efetivo de eventos de
segurana da informao e fragilidades, uma vez que estes tenham sido notificados. Convm que um
processo de melhoria contnua seja aplicado s respostas, monitoramento, avaliao e gesto total de
incidentes de segurana da informao.
Convm que onde evidncias sejam exigidas, estas sejam coletadas para assegurar a conformidade com as
exigncias legais.
13.2.1 Responsabilidades e procedimentos
Controle
Convm que responsabilidades e procedimentos de gesto sejam estabelecidos para assegurar respostas
rpidas, efetivas e ordenadas a incidentes de segurana da informao.
Convm que, adicionalmente notificao de eventos de segurana da informao e fragilidades (ver 13.1), o
monitoramento de sistemas, alertas e vulnerabilidades (10.10.2) seja utilizado para a deteco de incidentes
de segurana da informao. Convm que as seguintes diretrizes para procedimentos de gesto de incidentes
de segurana da informao sejam consideradas:
a) procedimentos sejam estabelecidos para manusear diferentes tipos de incidentes de segurana da
informao, incluindo:
1) falhas de sistemas de informaes e perda de servios;
2) cdigo malicioso (ver 10.4.1);
3) denial of service (negao de servio);
4) erros resultantes de dados incompletos ou inconsistentes;
5) violaes de confidencialidade e integridade;
6) uso imprprio de sistemas de informao;
b) alm dos planos de contingncia (ver 14.1.3), convm que os procedimentos tambm considerem
(ver 13.2.2):
1) anlise e identificao da causa do incidente;
2) reteno;
3) planejamento e implementao de ao corretiva para prevenir a sua repetio, se necessrio;
4) comunicao com aqueles afetados ou envolvidos com a recuperao do incidente;
5) notificao da ao para a autoridade apropriada;



c) convm que trilhas de auditoria e evidncias similares sejam coletadas (ver 13.2.3) e protegidas, como
apropriado, para:
1) anlise de problemas internos;
2) uso como evidncia forense para o caso de uma potencial violao de contrato ou de normas
reguladoras ou em caso de delitos civis ou criminais, por exemplo relacionados ao uso imprprio
de computadores ou legislao de proteo dos dados;
3) negociao para compensao ou ressarcimento por parte de fornecedores de software e
servios;
d) convm que as aes para recuperao de violaes de segurana e correo de falhas do sistema
sejam cuidadosa e formalmente controladas; convm que os procedimentos assegurem que:
1) apenas funcionrios explicitamente identificados e autorizados estejam liberados para acessar
sistemas e dados em produo (ver 6.2 para acesso externo);
2) todas as aes de emergncia sejam documentadas em detalhe;
3) as aes de emergncia sejam relatadas para a direo e analisadas criticamente de maneira
ordenada;
4) a integridade dos sistemas do negcio e seus controles sejam validados na maior brevidade.
Convm que os objetivos da gesto de incidentes de segurana da informao estejam em concordncia com
a direo e que seja assegurado que os responsveis pela gesto de incidentes de segurana da informao
entendem as prioridades da organizao no manuseio de incidentes de segurana da informao.
Os incidentes de segurana da informao podem transcender fronteiras organizacionais e nacionais.
Para responder a estes incidentes, cada vez mais h a necessidade de resposta coordenada e troca de
informaes sobre eles com organizaes externas, quando apropriado.
13.2.2 Aprendendo com os incidentes de segurana da informao
Controle
Convm que sejam estabelecidos mecanismos para permitir que tipos, quantidades e custos dos incidentes de
segurana da informao sejam quantificados e monitorados.
Convm que a informao resultante da anlise de incidentes de segurana da informao seja usada para
identificar incidentes recorrentes ou de alto impacto.
A anlise de incidentes de segurana da informao pode indicar a necessidade de melhorias ou controles
adicionais para limitar a freqncia, danos e custos de ocorrncias futuras ou para ser levada em conta
quando for realizado o processo de anlise crtica da poltica de segurana da informao (ver 5.1.2).



13.2.3 Coleta de evidncias
Controle
Nos casos em que uma ao de acompanhamento contra uma pessoa ou organizao, aps um incidente de
segurana da informao, envolver uma ao legal (civil ou criminal), convm que evidncias sejam coletadas,
armazenadas e apresentadas em conformidade com as normas de armazenamento de evidncias da
jurisdio(es) pertinente(s).
Convm que procedimentos internos sejam elaborados e respeitados para as atividades de coleta e
apresentao de evidncias com o propsito de ao disciplinar movida em uma organizao.
Em geral, as normas para evidncias abrangem:
a) admissibilidade da evidncia: se a evidncia pode ser ou no utilizada na corte;
b) importncia da evidncia: qualidade e inteireza da evidncia.
Para obter a admissibilidade da evidncia, convm que a organizao assegure que seus sistemas de
informao estejam de acordo com qualquer norma ou cdigo de prtica publicado para produo de evidncia
admissvel.
Convm que o valor da evidncia esteja de acordo com algum requisito aplicvel. Para obter o valor da
evidncia, convm que a qualidade e a inteireza dos controles usados para proteger as evidncias de forma
correta e consistente (ou seja, o processo de controle de evidncias) durante todo o perodo de
armazenamento e processamento da evidncia sejam demonstradas por uma trilha forte de evidncia.
Em geral, essa trilha forte de evidncia pode ser estabelecida sob as seguintes condies:
a) para documentos em papel: o original mantido de forma segura, com um registro da pessoa que o
encontrou, do local e data em que foi encontrado e quem testemunhou a descoberta; convm que
qualquer investigao assegure que os originais no foram adulterados;
b) para informao em mdia eletrnica: convm que imagens espelho ou cpias (dependendo de
requisitos aplicveis) de quaisquer mdias removveis, discos rgidos ou em memrias sejam
providenciadas para assegurar disponibilidade; convm que o registro de todas as aes tomadas
durante o processo de cpia seja guardado e que o processo seja testemunhado; convm que a mdia
original que contm a informao e o registro (ou, caso isso no seja possvel, pelo menos uma imagem
espelho ou cpia) seja mantido de forma segura e intocvel.
Convm que qualquer trabalho forense seja somente realizado em cpias do material de evidncia. Convm
que a integridade de todo material de evidncia seja preservada. Convm que o processo de cpia de todo
material de evidncia seja supervisionado por pessoas confiveis e que as informaes sobre a data, local,
pessoas, ferramentas e programas envolvidos no processo de cpia sejam registradas.
Quando um evento de segurana da informao detectado, pode no ser bvio que ele resultar num
possvel processo jurdico. Entretanto, existe o perigo de que a evidncia seja destruda intencional ou
acidentalmente antes que seja percebida a seriedade do incidente. conveniente envolver um advogado ou a
polcia to logo seja constatada a possibilidade de processo jurdico e obter consultoria sobre as evidncias
necessrias.
As evidncias podem ultrapassar limites organizacionais e/ou de jurisdies. Nesses casos, convm assegurar
que a organizao seja devidamente autorizada para coletar as informaes requeridas como evidncias.
Convm que os requisitos de diferentes jurisdies sejam tambm considerados para maximizar as
possibilidades de admisso da evidncia em todas as jurisdies relevantes.


14 Gesto da continuidade do negcio
14.1 Aspectos da gesto da continuidade do negcio, relativos segurana da informao
Objetivo: No permitir a interrupo das atividades do negcio e proteger os processos crticos contra efeitos
de falhas ou desastres significativos, e assegurar a sua retomada em tempo hbil, se for o caso.
Convm que o processo de gesto da continuidade do negcio seja implementado para minimizar um impacto
sobre a organizao e recuperar perdas de ativos da informao (que pode ser resultante de, por exemplo,
desastres naturais, acidentes, falhas de equipamentos e aes intencionais) a um nvel aceitvel atravs da
combinao de aes de preveno e recuperao. Convm que este processo identifique os processos
crticos e integre a gesto da segurana da informao com as exigncias da gesto da continuidade do
negcio com outros requisitos de continuidade relativo a tais aspectos como operaes, funcionrios,
materiais, transporte e instalaes.
Convm que as conseqncias de desastres, falhas de segurana, perda de servios e disponibilidade de
servios estejam sujeitas a uma anlise de impacto nos negcios. Convm que os planos de continuidade do
negcio sejam desenvolvidos e implementados para assegurar que as operaes essenciais sejam
recuperadas dentro da requerida escala de tempo. Convm que a segurana da informao seja uma parte
integrante do processo global de continuidade de negcios e a gesto de outros processos dentro da
organizao.
Convm que a gesto da continuidade do negcio inclua controles para identificar e reduzir riscos, em
complementao ao processo de anlise/avaliao de riscos global, limite as conseqncias aos danos do
incidente e garanta que as informaes requeridas para os processos do negcio estejam prontamente
disponveis.
14.1.1 Incluindo segurana da informao no processo de gesto da continuidade de negcio
Controle
Convm que um processo de gesto seja desenvolvido e mantido para assegurar a continuidade do negcio
por toda a organizao e que contemple os requisitos de segurana da informao necessrios para a
continuidade do negcio da organizao.
Convm que este processo agregue os seguintes elementos-chave da gesto da continuidade do negcio:
a) entendimento dos riscos a que a organizao est exposta, no que diz respeito sua probabilidade e
impacto no tempo, incluindo a identificao e priorizao dos processos crticos do negcio
(ver 14.1.2);
b) identificao de todos os ativos envolvidos em processos crticos de negcio (ver 7.1.1);
c) entendimento do impacto que incidentes de segurana da informao provavelmente tero sobre os
negcios ( importante que as solues encontradas possam tratar tanto os pequenos incidentes,
como os mais srios, que poderiam colocar em risco a continuidade da organizao) e
estabelecimento dos objetivos do negcio dos recursos de processamento da informao;
d) considerao de contratao de seguro compatvel que possa ser parte integrante do processo de
continuidade do negcio, bem como a parte de gesto de risco operacional;
e) identificao e considerao da implementao de controles preventivos e de mitigao;
f) identificao de recursos financeiros, organizacionais, tcnicos e ambientais suficientes para identificar
os requisitos de segurana da informao;


g) garantia da segurana de pessoal e proteo de recursos de processamento das informaes e bens
organizacionais;
h) detalhamento e documentao de planos de continuidade de negcio que contemplem os requisitos de
segurana da informao alinhados com a estratgia da continuidade do negcio estabelecida
(ver 14.1.3);
i) testes e atualizaes regulares dos planos e processos implantados (ver 14.1.5);
j) garantia de que a gesto da continuidade do negcio esteja incorporada aos processos e estrutura da
organizao. Convm que a responsabilidade pela coordenao do processo de gesto de
continuidade de negcios seja atribuda a um nvel adequado dentro da organizao (ver 6.1.1).
14.1.2 Continuidade de negcios e anlise/avaliao de riscos
Controle
Convm identificar os eventos que podem causar interrupes aos processos de negcio, junto a
probabilidade e impacto de tais interrupes e as conseqncias para a segurana de informao.
Convm que os aspectos da continuidade do negcios relativos segurana da informao sejam baseados
na identificao de eventos (ou sucesso de eventos) que possam causar interrupes aos processos de
negcios das organizaes, por exemplo falha de equipamento, erros humanos, roubo, incndio, desastres
naturais e atos terroristas. Em seguida, convm que seja feita uma anlise/avaliao de riscos para a
determinao da probabilidade e impacto de tais interrupes, tanto em termos de escala de dano quanto em
relao ao perodo de recuperao.
Convm que as anlises/avaliaes de riscos da continuidade do negcio sejam realizadas com total
envolvimento dos responsveis pelos processos e recursos do negcio. Convm que a anlise/avaliao
considere todos os processos do negcio e no esteja limitada aos recursos de processamento das
informaes, mas inclua os resultados especficos da segurana da informao. importante a juno de
aspectos de riscos diferentes, para obter um quadro completo dos requisitos de continuidade de negcios da
organizao. Convm que a anlise/avaliao identifique, quantifique e priorize os critrios baseados nos
riscos e os objetivos pertinentes organizao, incluindo recursos crticos, impactos de interrupo,
possibilidade de ausncia de tempo e prioridades de recuperao.
Em funo dos resultados da anlise/avaliao de riscos, convm que um plano estratgico seja desenvolvido
para se determinar a abordagem mais abrangente a ser adotada para a continuidade dos negcios.
Uma vez criada a estratgia, convm que ela seja validada pela direo e que um plano seja elaborado e
validado para implementar tal estratgia.
14.1.3 Desenvolvimento e implementao de planos de continuidade relativos segurana da
informao
Controle
Convm que os planos sejam desenvolvidos e implementados para a manuteno ou recuperao das
operaes e para assegurar a disponibilidade da informao no nvel requerido e na escala de tempo
requerida, aps a ocorrncia de interrupes ou falhas dos processos crticos do negcio.
Convm que o processo de planejamento da continuidade de negcios considere os seguintes itens:
a) identificao e concordncia de todas as responsabilidades e procedimentos da continuidade do
negcio;


b) identificao da perda aceitvel de informaes e servios;
c) implementao dos procedimentos que permitam a recuperao e restaurao das operaes do
negcio e da disponibilidade da informao nos prazos necessrios; ateno especial precisa ser dada
avaliao de dependncias externas ao negcio e de contratos existentes;
d) procedimentos operacionais que permitam a concluso de restaurao e recuperao que estejam
pendentes;
e) documentao dos processos e procedimentos acordados;
f) educao adequada de pessoas nos procedimentos e processos definidos, incluindo o gerenciamento
de crise;
g) teste e atualizao dos planos.
Convm que o processo de planejamento foque os objetivos requeridos do negcio, por exemplo recuperao
de determinados servios especficos para os clientes, em um perodo de tempo aceitvel. Convm identificar
os servios e recursos que facilitam isso, prevendo a contemplao de pessoal e recursos em geral, alm da
tecnologia de informao, assim como o procedimento de recuperao dos recursos de processamento das
informaes. Tais procedimentos de recuperao podem incluir procedimentos com terceiros na forma de um
acordo de reciprocidade, ou um contrato de prestao de servios.
Convm que o plano de continuidade do negcio trate as vulnerabilidades da organizao, que pode conter
informaes sensveis e que necessitem de proteo adequada. Convm que cpias do plano de continuidade
do negcio sejam guardadas em um ambiente remoto, a uma distncia suficiente para escapar de qualquer
dano de um desastre no local principal. Convm que o gestor garanta que as cpias dos planos de
continuidade do negcio estejam atualizadas e protegidas no mesmo nvel de segurana como aplicado no
ambiente principal. Convm que outros materiais necessrios para a execuo do plano de continuidade do
negcio tambm sejam armazenados em local remoto.
Convm que, se os ambientes alternativos temporrios forem usados, o nvel de controles de segurana
implementados nestes locais seja equivalente ao ambiente principal.
Convm que seja destacado que as atividades e os planos de gerenciamento de crise (ver 14.1.3 f)) possam
ser diferentes de gesto de continuidade de negcios, isto , uma crise pode acontecer e ser suprida atravs
dos procedimentos normais de gesto.
14.1.4 Estrutura do plano de continuidade do negcio
Controle
Convm que uma estrutura bsica dos planos de continuidade do negcio seja mantida para assegurar que
todos os planos so consistentes, para contemplar os requisitos de segurana da informao e para identificar
prioridades para testes e manuteno.
Convm que cada plano de continuidade do negcio descreva o enfoque para continuidade, por exemplo, o
enfoque para assegurar a disponibilidade e segurana do sistema de informao ou da informao. Convm
que cada plano tambm especifique o plano de escalonamento e as condies para sua ativao, assim como
as responsabilidades individuais para execuo de cada uma das atividades do plano. Quando novos
requisitos so identificados, importante que os procedimentos de emergncia relacionados sejam ajustados
de forma apropriada, por exemplo o plano de abandono ou o procedimento de recuperao. Convm que os
procedimentos do programa de gesto de mudana da organizao sejam includos para assegurar que os
assuntos de continuidade de negcios estejam sempre direcionados adequadamente.



Convm que cada plano tenha um gestor especfico. Convm que procedimentos de emergncia, de
recuperao, manual de planejamento e planos de reativao sejam de responsabilidade dos gestores dos
recursos de negcios ou dos processos envolvidos. Convm que procedimentos de recuperao para servios
tcnicos alternativos, como processamento de informao e meios de comunicao, sejam normalmente de
responsabilidade dos provedores de servios.
Convm que uma estrutura de planejamento para continuidade de negcios contemple os requisitos de
segurana da informao identificados e considere os seguintes itens:
a) condies para ativao dos planos, os quais descrevem os processos a serem seguidos (como se
avaliar a situao, quem deve ser acionado etc.) antes de cada plano ser ativado;
b) procedimentos de emergncia que descrevam as aes a serem tomadas aps a ocorrncia de um
incidente que coloque em risco as operaes do negcio;
c) procedimentos de recuperao que descrevam as aes necessrias para a transferncia das
atividades essenciais do negcio ou os servios de infra-estrutura para localidades alternativas
temporrias e para a reativao dos processos do negcio no prazo necessrio;
d) procedimentos operacionais temporrios para seguir durante a concluso de recuperao e
restaurao;
e) procedimentos de recuperao que descrevam as aes a serem adotadas quando do
restabelecimento das operaes;
f) uma programao de manuteno que especifique quando e como o plano dever ser testado e a
forma de se proceder manuteno deste plano;
g) atividades de treinamento, conscientizao e educao com o propsito de criar o entendimento do
processo de continuidade de negcios e de assegurar que os processos continuem a ser efetivo;
h) designao das responsabilidades individuais, descrevendo quem responsvel pela execuo de
que item do plano. Convm que suplentes sejam definidos quando necessrio;
i) os ativos e recursos crticos precisam estar aptos a desempenhar os procedimentos de emergncia,
recuperao e reativao.
14.1.5 Testes, manuteno e reavaliao dos planos de continuidade do negcio
Controle
Convm que os planos de continuidade do negcio sejam testados e atualizados regularmente, de forma a
assegurar sua permanente atualizao e efetividade.
Convm que os testes do plano de continuidade do negcio assegurem que todos os membros da equipe de
recuperao e outras pessoas relevantes estejam conscientes dos planos e de suas responsabilidades para a
continuidade do negcio e a segurana da informao, e conheam as suas atividades quando um plano for
acionado.
Convm que o planejamento e a programao dos testes do(s) plano(s) de continuidade de negcios indiquem
como e quando cada elemento do plano seja testado. Convm que os componentes isolados do(s) plano(s)
sejam freqentemente testados.



Convm que vrias tcnicas sejam utilizadas, de modo a assegurar a confiana de que o(s) plano(s) ir(o)
operar consistentemente em casos reais. Convm que sejam considerados:
a) testes de mesa simulando diferentes cenrios (verbalizando os procedimentos de recuperao para
diferentes formas de interrupo);
b) simulaes (particularmente til para o treinamento do pessoal nas suas atividades gerenciais aps o
incidente);
c) testes de recuperao tcnica (garantindo que os sistemas de informao possam ser efetivamente
recuperados);
d) testes de recuperao em um local alternativo (executando os processos de negcios em paralelo com
a recuperao das operaes distantes do local principal);
e) testes dos recursos, servios e instalaes de fornecedores (assegurando que os servios e produtos
fornecidos por terceiros atendem aos requisitos contratados);
f) ensaio geral (testando se a organizao, o pessoal, os equipamentos, os recursos e os processos
podem enfrentar interrupes).
Estas tcnicas podem ser utilizadas por qualquer organizao. Convm que elas reflitam a natureza do plano
de recuperao especfico. Convm que os resultados dos testes sejam registrados e aes tomadas para a
melhoria dos planos, onde necessrio.
Convm que a responsabilidade pelas anlises crticas peridicas de cada parte do plano seja definida e
estabelecida. Convm que a identificao de mudanas nas atividades do negcio que ainda no tenham sido
contempladas nos planos de continuidade de negcio seja seguida por uma apropriada atualizao do plano.
Convm que um controle formal de mudanas assegure que os planos atualizados so distribudos e
reforados por anlises crticas peridicas do plano como um todo.
Os exemplos de mudanas onde convm que a atualizao dos planos de continuidade do negcio seja
considerada so a aquisio de novos equipamentos, atualizao de sistemas e mudanas de:
a) pessoal;
b) endereos ou nmeros telefnicos;
c) estratgia de negcio;
d) localizao, instalaes e recursos;
e) legislao;
f) prestadores de servios, fornecedores e clientes-chave;
g) processos (incluses e excluses);
h) risco (operacional e financeiro).



15 Conformidade
15.1 Conformidade com requisitos legais
Objetivo: Evitar violao de qualquer lei criminal ou civil, estatutos, regulamentaes ou obrigaes contratuais
e de quaisquer requisitos de segurana da informao.
O projeto, a operao, o uso e a gesto de sistemas de informao podem estar sujeitos a requisitos de
segurana contratuais, regulamentares ou estatutrios.
Convm que consultoria em requisitos legais especficos seja procurada em organizaes de consultoria
jurdica ou em profissionais liberais, adequadamente qualificados nos aspectos legais. Os requisitos
legislativos variam de pas para pas e tambm para a informao criada em um pas e transmitida para outro
(isto , fluxo de dados transfronteira).
15.1.1 Identificao da legislao vigente
Controle
Convm que todos os requisitos estatutrios, regulamentares e contratuais relevantes, e o enfoque da
organizao para atender a esses requisitos, sejam explicitamente definidos, documentados e mantidos
atualizados para cada sistema de informao da organizao
Convm que os controles especficos e as responsabilidades individuais para atender a estes requisitos sejam
definidos e documentados de forma similar.
15.1.2 Direitos de propriedade intelectual
Controle
Convm que procedimentos apropriados sejam implementados para garantir a conformidade com os requisitos
legislativos, regulamentares e contratuais no uso de material, em relao aos quais pode haver direitos de
propriedade intelectual e sobre o uso de produtos de software proprietrios.
Convm que as seguintes diretrizes sejam consideradas para proteger qualquer material que possa ser
considerado como propriedade intelectual:
a) divulgar uma poltica de conformidade com os direitos de propriedade intelectual que defina o uso legal
de produtos de software e de informao;
b) adquirir software somente por meio de fontes conhecidas e de reputao, para assegurar que o direito
autoral no est sendo violado;
c) manter conscientizao das polticas para proteger os direitos de propriedade intelectual e notificar a
inteno de tomar aes disciplinares contra pessoas que violarem essas polticas;
d) manter de forma adequada os registros de ativos e identificar todos os ativos com requisitos para
proteger os direitos de propriedade intelectual;
e) manter provas e evidncias da propriedade de licenas, discos-mestre, manuais etc.;
f) implementar controles para assegurar que o nmero mximo de usurios permitidos no excede o
nmero de licenas adquiridas;
g) conduzir verificaes para que somente produtos de software autorizados e licenciados sejam
instalados;


h) estabelecer uma poltica para a manuteno das condies adequadas de licenas;
i) estabelecer uma poltica para disposio ou transferncia de software para outros;
j) utilizar ferramentas de auditoria apropriadas;
k) cumprir termos e condies para software e informao obtidos a partir de redes pblicas;
l) no duplicar, converter para outro formato ou extrair de registros comerciais (filme, udio) outros que
no os permitidos pela lei de direito autoral;
m) no copiar, no todo ou em partes, livros, artigos, relatrios ou outros documentos, alm daqueles
permitidos pela lei de direito autoral.
Direitos de propriedade intelectual incluem direitos de software ou documento, direitos de projeto, marcas,
patentes e licenas de cdigos-fonte.
Produtos de software proprietrios so normalmente fornecidos sob um contrato de licenciamento que
especifica os termos e condies da licena, por exemplo, restringe o uso dos produtos em mquinas
especificadas ou limita a cpia apenas para criao de uma cpia de segurana. A questo relativa aos
direitos de propriedade intelectual de software desenvolvido pela organizao precisa ser esclarecida com as
pessoas.
Legislao, regulamentao e requisitos contratuais podem estabelecer restries para cpia de material que
tenha direitos autorais. Em particular, pode ser requerido que somente material que seja desenvolvido pela
organizao ou que foi licenciado ou fornecido pelos desenvolvedores para a organizao seja utilizado.
Violaes aos direitos de propriedade intelectual podem conduzir a aes legais, que podem envolver
processos criminais.
15.1.3 Proteo de registros organizacionais
Controle
Convm que registros importantes sejam protegidos contra perda, destruio e falsificao, de acordo com os
requisitos regulamentares, estatutrios, contratuais e do negcio.
Convm que registros sejam categorizados em tipos de registros, tais como registros contbeis, registros de
base de dados, registros de transaes, registros de auditoria e procedimentos operacionais, cada qual com
detalhes do perodo de reteno e do tipo de mdia de armazenamento, como, por exemplo, papel, microficha,
meio magntico ou tico. Convm que quaisquer chaves de criptografia relacionadas com arquivos cifrados ou
assinaturas digitais (ver 12.3) sejam tambm armazenadas para permitir a decifrao de registros pelo perodo
de tempo que os registros so mantidos.
Convm que cuidados sejam tomados a respeito da possibilidade de deteriorao das mdias usadas no
armazenamento dos registros. Convm que os procedimentos de armazenamento e manuseio sejam
implementados de acordo com as recomendaes dos fabricantes. Convm que, para o armazenamento de
longo tempo, o uso de papel e microficha seja considerado.
Onde mdias eletrnicas armazenadas forem escolhidas, convm que sejam includos procedimentos para
assegurar a capacidade de acesso aos dados (leitura tanto na mdia como no formato utilizado) durante o
perodo de reteno, para proteger contra perdas ocasionadas pelas futuras mudanas na tecnologia.
Convm que sistemas de armazenamento de dados sejam escolhidos de modo que o dado solicitado possa
ser recuperado de forma aceitvel, dependendo dos requisitos a serem atendidos.


Convm que o sistema de armazenamento e manuseio assegure a clara identificao dos registros e dos seus
perodos de reteno, conforme definido pela legislao nacional ou regional ou por regulamentaes, se
aplicvel. Convm que seja permitida a destruio apropriada dos registros aps esse perodo, caso no
sejam mais necessrios organizao.
Para atender aos objetivos de proteo dos registros, convm que os seguintes passos sejam tomados dentro
da organizao:
a) emitir diretrizes gerais para reteno, armazenamento, tratamento e disposio de registros e
informaes;
b) elaborar uma programao para reteno, identificando os registros essenciais e o perodo que cada
um deve ser mantido;
c) manter um inventrio das fontes de informaes-chave;
d) implementar controles apropriados para proteger registros e informaes contra perda, destruio e
falsificao.
Alguns registros podem precisar ser retidos de forma segura para atender a requisitos estatutrios, contratuais
ou regulamentares, assim como para apoiar as atividades essenciais do negcio. Exemplo disso so os
registros que podem ser exigidos como evidncia de que uma organizao opera de acordo com as regras
estatutrias e regulamentares, para assegurar a defesa adequada contra potenciais processos civis ou
criminais ou confirmar a situao financeira de uma organizao perante os acionistas, partes externas e
auditores. O perodo de tempo e o contedo da informao retida podem estar definidos atravs de leis ou
regulamentaes nacionais.
Outras informaes sobre como gerenciar os registros organizacionais, podem ser encontradas
na ISO 15489-1.
15.1.4 Proteo de dados e privacidade de informaes pessoais
Controle
Convm que a privacidade e proteo de dados sejam asseguradas conforme exigido nas legislaes
relevantes, regulamentaes e, se aplicvel, nas clusulas contratuais.
Convm que uma poltica de privacidade e proteo de dados da organizao seja desenvolvida e
implementada. Convm que esta poltica seja comunicada a todas as pessoas envolvidas no processamento
de informaes pessoais.
A conformidade com esta poltica e todas as legislaes e regulamentaes relevantes de proteo de dados
necessita de uma estrutura de gesto e de controles apropriados. Geralmente isto melhor alcanado atravs
de uma pessoa responsvel, como, por exemplo, um gestor de proteo de dados, que deve fornecer
orientaes gerais para gerentes, usurios e provedores de servio sobre as responsabilidades de cada um e
sobre quais procedimentos especficos recomenda-se seguir. Convm que a responsabilidade pelo tratamento
das informaes pessoais e a garantia da conscientizao dos princpios de proteo dos dados sejam
tratadas de acordo com as legislaes e regulamentaes relevantes. Convm que medidas organizacionais e
tcnicas apropriadas para proteger as informaes pessoais sejam implementadas.
Alguns pases tm promulgado leis que estabelecem controles na coleta, no processamento e na transmisso
de dados pessoais (geralmente informao sobre indivduos vivos que podem ser identificados a partir de tais
informaes). Dependendo da respectiva legislao nacional, tais controles podem impor responsabilidades
sobre aqueles que coletam, processam e disseminam informao pessoal, e podem restringir a capacidade de
transferncia desses dados para outros pases.


15.1.5 Preveno de mau uso de recursos de processamento da informao
Controle
Convm que os usurios sejam dissuadidos de usar os recursos de processamento da informao para
propsitos no autorizados.
Diretrizes para implementao:
Convm que a direo aprove o uso de recursos de processamento da informao. Convm que qualquer uso
destes recursos para propsitos no relacionados ao negcio ou no autorizados, sem a aprovao da direo
(ver 6.1.4), ou para quaisquer propsitos no autorizados, seja considerado como uso imprprio desses
recursos. Se qualquer atividade no autorizada for identificada por processo de monitorao ou outros meios,
convm que esta atividade seja levada ao conhecimento do gestor responsvel para que sejam aplicadas as
aes disciplinares e/ou legais pertinentes.
Convm que se busque uma assessoria legal antes da implementao dos procedimentos de monitorao.
Convm que todos os usurios estejam conscientes do escopo preciso de suas permisses de acesso e da
monitorao realizada para detectar o uso no autorizado. Isto pode ser alcanado pelo registro das
autorizaes dos usurios por escrito, convm que a cpia seja assinada pelo usurio e armazenada de forma
segura pela organizao. Convm que os funcionrios de uma organizao, fornecedores e terceiros sejam
informados de que nenhum acesso permitido com exceo daqueles que foram autorizados.
No momento da conexo inicial, convm que seja apresentada uma mensagem de advertncia para indicar
que o recurso de processamento da informao que est sendo usado de propriedade da organizao e que
no so permitidos acessos no autorizados. O usurio tem que confirmar e reagir adequadamente
mensagem na tela para continuar com o processo de conexo (ver 11.5.1).
Os recursos de processamento da informao de uma organizao so destinados bsica ou exclusivamente
para atender aos propsitos do negcio.
Ferramentas do tipo deteco de intrusos, inspeo de contedo e outras formas de monitorao podem
ajudar a prevenir e detectar o mau uso dos recursos de processamento da informao.
Muitos pases tm legislao para proteger contra o mau uso do computador. Pode ser crime usar um
computador para propsitos no autorizados.
A legalidade do processo de monitorao do uso do computador varia de pas para pas e pode requerer que a
direo avise a todos os usurios dessa monitorao e/ou que concordem formalmente com este processo.
Quando o sistema estiver sendo usado para acesso pblico (por exemplo, um servidor pblico web) e sujeito a
uma monitorao de segurana, convm que uma mensagem seja exibida na tela informando deste processo.
15.1.6 Regulamentao de controles de criptografia
Controle
Convm que controles de criptografia sejam usados em conformidade com todas as leis, acordos e
regulamentaes relevantes.
Convm que os seguintes itens sejam considerados para conformidade com leis, acordos e regulamentaes
relevantes:
a) restries importao e/ou exportao de hardware e software de computador para execuo de
funes criptogrficas;
b) restries importao e/ou exportao de hardware e software de computador que foi projetado para
ter funes criptogrficas embutidas;


c) restries no uso de criptografia;
d) mtodos mandatrios ou discricionrios de acesso pelas autoridades dos pases informao cifrada
por hardware ou software para fornecer confidencialidade ao contedo.
Convm que assessoria jurdica seja obtida para garantir a conformidade com as legislaes e leis nacionais
vigentes. Tambm convm que seja obtida assessoria jurdica antes de se transferirem informaes cifradas
ou controles de criptografia para outros pases.
15.2 Conformidade com normas e polticas de segurana da informao e conformidade
tcnica
Objetivo: Garantir conformidade dos sistemas com as polticas e normas organizacionais de segurana da
informao.
Convm que a segurana dos sistemas de informao seja analisada criticamente a intervalos regulares.
Convm que tais anlises crticas sejam executadas com base nas polticas de segurana da informao
apropriadas e que as plataformas tcnicas e sistemas de informao sejam auditados em conformidade com
as normas de segurana da informao implementadas pertinentes e com os controles de segurana
documentados.
15.2.1 Conformidade com as polticas e normas de segurana da informao
Controle
Convm que gestores garantam que todos os procedimentos de segurana da informao dentro da sua rea
de responsabilidade esto sendo executados corretamente para atender conformidade com as normas e
polticas de segurana da informao.
Convm que os gestores analisem criticamente, a intervalos regulares, a conformidade do processamento da
informao dentro da sua rea de responsabilidade com as polticas de segurana da informao, normas e
quaisquer outros requisitos de segurana.
Se qualquer no-conformidade for encontrada como um resultado da anlise crtica, convm que os gestores:
a) determinem as causas da no-conformidade;
b) avaliem a necessidade de aes para assegurar que a no-conformidade no se repita;
c) determinem e implementem ao corretiva apropriada;
d) analisem criticamente a ao corretiva tomada.
Convm que os resultados das anlises crticas e das aes corretivas realizadas pelos gestores sejam
registrados e que esses registros sejam mantidos. Convm que os gestores relatem os resultados para as
pessoas que esto realizando a anlise crtica independente (ver 6.1.8), quando a anlise crtica independente
for realizada na rea de sua responsabilidade.
A monitorao operacional de sistemas em uso apresentada em 10.10.



15.2.2 Verificao da conformidade tcnica
Controle
Convm que sistemas de informao sejam periodicamente verificados em sua conformidade com as normas
de segurana da informao implementadas.
Convm que a verificao de conformidade tcnica seja executada manualmente (auxiliada por ferramentas de
software apropriadas, se necessrio) por um engenheiro de sistemas experiente, e/ou com a assistncia de
ferramentas automatizadas que gerem relatrio tcnico para interpretao subseqente por um tcnico
especialista.
Se o teste de invaso ou avaliaes de vulnerabilidades forem usados, convm que sejam tomadas
precaues, uma vez que tais atividades podem conduzir a um comprometimento da segurana do sistema.
Convm que tais testes sejam planejados, documentados e repetidos.
Convm que qualquer verificao de conformidade tcnica somente seja executada por pessoas autorizadas e
competentes, ou sob a superviso de tais pessoas.
A verificao da conformidade tcnica envolve a anlise dos sistemas operacionais para garantir que controles
de hardware e software foram corretamente implementados. Este tipo de verificao de conformidade requer a
assistncia de tcnicos especializados.
A verificao de conformidade tambm engloba, por exemplo, testes de invaso e avaliaes de
vulnerabilidades, que podem ser executados por especialistas independentes contratados especificamente
para este fim. Isto pode ser til na deteco de vulnerabilidades do sistema e na verificao do quanto os
controles so eficientes na preveno de acessos no autorizados devido a estas vulnerabilidades.
Teste de invaso e avaliao de vulnerabilidades fornece um snapshot de um sistema em um estgio
especfico para um tempo especfico. O snapshot est limitado para aquelas partes do sistema realmente
testadas durante a etapa da invaso. O teste de invaso e as avaliaes de vulnerabilidades no so um
substituto da anlise/avaliao de riscos.
15.3 Consideraes quanto auditoria de sistemas de informao
Objetivo: Maximizar a eficcia e minimizar a interferncia no processo de auditoria dos sistemas de
informao.
Convm que existam controles para a proteo dos sistemas operacionais e ferramentas de auditoria durante
as auditorias de sistema de informao.
Proteo tambm necessria para proteger a integridade e prevenir o uso indevido das ferramentas de
auditoria.
15.3.1 Controles de auditoria de sistemas de informao
Controle
Convm que requisitos e atividades de auditoria envolvendo verificao nos sistemas operacionais sejam
cuidadosamente planejados e acordados para minimizar os riscos de interrupo dos processos do negcio.
Convm que as seguintes diretrizes sejam observadas:
a) requisitos de auditoria sejam acordados com o nvel apropriado da administrao;
b) escopo da verificao seja acordado e controlado;


c) a verificao esteja limitada ao acesso somente para leitura de software e dados;
d) outros acessos diferentes de apenas leitura sejam permitidos somente atravs de cpias isoladas dos
arquivos do sistema, e sejam apagados ao final da auditoria, ou dada proteo apropriada quando
existir uma obrigao para guardar tais arquivos como requisitos da documentao da auditoria;
e) recursos para execuo da verificao sejam identificados explicitamente e tornados disponveis;
f) requisitos para processamento adicional ou especial sejam identificados e acordados;
g) todo acesso seja monitorado e registrado de forma a produzir uma trilha de referncia; convm que o
uso de trilhas de referncia (time stamped) seja considerado para os sistemas ou dados crticos;
h) todos os procedimentos, requisitos e responsabilidades sejam documentados;
i) as pessoas que executem a auditoria sejam independentes das atividades auditadas.
15.3.2 Proteo de ferramentas de auditoria de sistemas de informao
Controle
Convm que o acesso s ferramentas de auditoria de sistema de informao seja protegido, para prevenir
qualquer possibilidade de uso imprprio ou comprometimento.
Convm que acessos s ferramentas de auditoria de sistemas de informao, por exemplo, software ou
arquivos de dados, sejam separados de sistemas em desenvolvimento e em operao e no sejam mantidos
em fitas de biblioteca ou reas de usurios, a menos que seja dado um nvel apropriado de proteo adicional.
Quando terceiros esto envolvidos em uma auditoria, existe um risco de mau uso de ferramentas de auditoria
por esses terceiros e da informao que est sendo acessada por este terceiro. Controles, tais como em 6.2.1
(para avaliar os riscos) e 9.1.2 (para restringir o acesso fsico), podem ser considerados para contemplar este
risco, e convm que quaisquer conseqncias, tais como trocar imediatamente as senhas reveladas para os
auditores, sejam tomadas.



Bibliografia
ABNT NBR ISO 10007:2005 Sistemas de gesto da qualidade - Diretrizes para a gesto de configurao
ABNT NBR ISO 19011:2002 Diretrizes para auditorias de sistema de gesto da qualidade e/ou ambiental
ABNT NBR ISO/IEC 12207:1998 Tecnologia de informao - Processos de ciclo de vida de software
ABNT ISO/IEC Guia 2:1998 Normalizao e atividades relacionadas Vocabulrio geral
ABNT ISO/IEC Guia 73:2005 Gesto de riscos Vocabulrio Recomendaes para uso em normas
ISO 15489-1:2001 Information and documentation Records management Part 1: General
ISO/IEC 9796-2:2002 Information technology Security techniques Digital signature schemes giving
message recovery Part 2: Integer factorization based mechanisms
ISO/IEC 9796-3:2000 Information technology Security techniques Digital signature schemes giving
message recovery Part 3: Discrete logarithm based mechanisms
ISO/IEC 11770-1:1996 Information technology Security techniques Key management
Part 1: Framework
ISO/IEC 13335-1:2004 Information technology Security techniques Management of information and
communications technology security Part 1: Concepts and models for information and communications
technology security management
ISO/IEC 13888-1: 1997 Information technology Security techniques Non-repudiation Part 1: General
ISO/IEC 14516:2002 Information technology Security techniques Guidelines for the use and management
of Trusted Third Party services
ISO/IEC 14888-1:1998 Information technology Security techniques Digital signatures with appendix
Part 1: General
ISO/IEC 15408-1:1999 Information technology Security techniques Evaluation Criteria for IT security
Part 1: Introduction and general model
ISO/IEC 18028-4 Information technology Security techniques IT Network security Part 4: Securing
remote access
ISO/IEC TR 13335-3:1998 Information technology Guidelines for the Management of IT Security
Part 3: Techniques for the management of IT Security
ISO/IEC TR 18044 Information technology Security techniques Information security incident
IEEE P1363-2000: Standard Specifications for Public-Key Cryptography
OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security, 2002
OECD Guidelines for Cryptography Policy, 1997



ndice
A
aceitao de sistemas 10.3.2
acesso do pblico, reas de entrega e de carregamento 9.1.6
acordos de confidencialidade 6.1.5
acordos para a troca de informaes 10.8.2
ameaa 2.16
anlise/avaliao de riscos 2.11, 4.1
anlise crtica da poltica de segurana da informao 5.1.2
anlise crtica das aplicaes aps mudanas no sistema operacional 12.5.2
anlise crtica dos direitos de acesso de usurio 11.2.4
anlise crtica independente de segurana da informao 6.1.8
anlise de riscos 2.10
anlise e especificao dos requisitos de segurana 12.1.1
antes da contratao 8.1
aprendendo com os incidentes de segurana da informao 13.2.2
aquisio, desenvolvimento e manuteno de sistemas de informao 12
reas de entrega e de carregamento 9.1.6
reas seguras 9.1
aspectos da gesto da continuidade do negcio, relativos segurana da informao 14.1
ativo 2.1
atribuio das responsabilidades para a segurana da informao 6.1.3
autenticao para conexo externa do usurio 11.4.2
avaliao de riscos 2.12
C
classificao da informao 7.2
coleta de evidncias 13.2.3
comrcio eletrnico 10.9.1
comprometimento da direo com a segurana da informao 6.1.1
computao e comunicao mvel 11.7.1
computao mvel e trabalho remoto 11.7, 11.7.2
conformidade 15
conformidade com normas e polticas de segurana da informao e conformidade tcnica 15.2, 15.2.1
conformidade com requisitos legais 15.1
conformidades com as polticas e normas de segurana da informao 15.2.1
conscientizao, educao e treinamento em segurana da informao 8.2.2
consideraes quanto auditoria de sistemas de informao 15.3
contato com autoridades 6.1.6
contato com grupos especiais 6.1.7
continuidade de negcios e anlise/avaliao de risco 14.1.2
controle 2.2, 3.2
controles contra cdigos mveis 10.4.2
controle de acessos 11
controle de acesso aplicao e informao 11.6
controle de acesso rede 11.4
controle de acesso ao cdigo-fonte de programas 12.4.3
controle de acesso ao sistema operacional 11.5
controles de auditoria de sistemas de informao 15.3.1
controle de conexo de rede 11.4.6
controle de entrada fsica 9.1.2
controle de processamento interno 12.2.2
controle de roteamento de redes 11.4.7


controle de software operacional 12.4.1
controle de vulnerabilidades tcnicas 12.6.1
controle do processamento interno 12.2.2
controles contra cdigos maliciosos 10.4.1
controles contra cdigos mveis 10.4.2
controles criptogrficos 12.3
controles de auditoria de sistemas de informao 15.3.1
controles de entrada fsica 9.1.2
controles de redes 10.6.1
coordenao da segurana da informao 6.1.2
cpias de segurana 10.5
cpias de segurana das informaes 10.5.1
D
descarte de mdias 10.7.2
desconexo de terminal por inatividade 11.5.5
desenvolvimento e implementao de planos de continuidade relativos segurana da informao 14.1.3
desenvolvimento terceirizado de software 12.5.5
devoluo de ativos 8.3.2
direitos de propriedade intelectual 15.1.2
diretriz 2.3
documentao dos procedimentos de operao 10.1.1
documento da poltica de segurana da informao 5.1.1
durante a contratao 8.2
E
encerramento de atividades 8.3.1
encerramento ou mudana da contratao 8.3
entrega de servios 10.2.1
equipamento de usurio sem monitorao 11.3.2
estrutura do plano de continuidade do negcio 14.1.4
evento de segurana da informao 2.6, 13.1
G
gerenciamento da segurana em redes 10.6
gerenciamento das operaes e comunicaes 10
gerenciamento de acesso do usurio 11.2
gerenciamento de chaves 12.3.2
gerenciamento de mdias removveis 10.7.1
gerenciamento de mudanas para servios terceirizados 10.2.3
gerenciamento de privilgios 11.2.2
gerenciamento de senha do usurio 11.2.3
gerenciamento de servios terceirizados 10.2
gesto da continuidade do negcio 14
gesto de ativos 7
gesto de capacidade 10.3.1
gesto de incidentes de segurana da informao 13, 13.2
gesto de mudanas 10.1.2
gesto de riscos 2.13
gesto de vulnerabilidades tcnicas 12.6



I
identificao da legislao vigente 15.1.1
identificao de equipamento em redes 11.4.3
identificao dos riscos relacionados com partes externas 6.2.1
identificao e autenticao de usurio 11.5.2
identificando a segurana da informao, quando tratando com os clientes 6.2.2
identificando segurana da informao nos acordos com terceiros 6.2.3
incidente de segurana da informao 2.7, 13.2
incluindo segurana da informao no processo de gesto da continuidade do negcio 14.1.1
informaes publicamente disponveis 10.9.3
infra-estrutura da segurana da informao 6.1
instalao e proteo do equipamento 9.2.1
integridade de mensagens 12.2.3
inventrio dos ativos 7.1.1
isolamento de sistemas sensveis 11.6.2
L
limitao de horrio de conexo 11.5.6
M
manuseio de mdias 10.7
manuteno dos equipamentos 9.2.4
mensagens eletrnicas 10.8.4
mdias em trnsito 10.8.3
monitoramento 10.10
monitoramento do uso do sistema 10.10.2
monitoramento e anlise crtica de servios terceirizados 10.2.2
N
notificao de eventos de segurana da informao 13.1.1
notificao de fragilidades e eventos de segurana da informao 13.1, 13.1.2
notificando fragilidades de segurana da informao 13.1.2
O
organizando a segurana da informao 6
P
papis e responsabilidades 8.1.1
partes externas 6.2
permetro de segurana fsica 9.1.1
planejamento e aceitao dos sistemas 10.3
poltica 2.8
poltica de controle de acesso 11.1.1
poltica de mesa limpa e tela limpa 11.3.3
poltica de segurana da informao 5, 5.1
poltica de uso dos servios de rede 11.4.1


poltica e procedimentos para troca de informaes 10.8.1
poltica para o uso de controles criptogrficos 12.3.1
polticas e procedimentos para troca de informaes 10.8.1
preveno de mau uso de recursos de processamento da informao 15.1.5
principais categorias de segurana da informao 3.2
procedimentos e responsabilidades operacionais 10.1, 10.1.1
procedimentos para controle de mudanas 12.5.1
procedimentos para tratamento de informao 10.7.3
procedimentos seguros de entrada no sistema (log-on) 11.5.1
processamento correto nas aplicaes 12.2
processo de autorizao para os recursos de processamento da informao 6.1.4
processo disciplinar 8.2.3
proprietrio dos ativos 7.1.2
proteo contra ameaas externas e do meio ambiente 9.1.4
proteo contra cdigos maliciosos e cdigos mveis 10.4
proteo das informaes dos registros (log) 10.10.3
proteo de dados e privacidade de informao pessoal 15.1.4
proteo de ferramentas de auditoria de sistemas de informao 15.3.2
proteo de registros organizacionais 15.1.3
proteo dos dados para teste de sistema 12.4.2
proteo e configurao de portas de diagnstico remotas 11.4.4
R
recomendaes para classificao 7.2.1
recursos de processamento da informao 2.4
registros (log) de administrador e operador 10.10.4
registros (log) de falhas 10.10.5
registros de auditoria 10.10.1
regulamentao de controles de criptografia 15.1.6
requisitos de negcio para controle de acesso 11.1
responsabilidade pelos ativos 7.1
responsabilidades da direo 8.2.1
responsabilidades dos usurios 11.3
responsabilidades e procedimentos 13.2.1
restrio de acesso informao 11.6, 11.6.1
restries sobre mudanas em pacotes de software 12.5.3
remoo de propriedade 9.2.7
retirada de direitos de acesso 8.3.3
reutilizao e alienao segura de equipamentos 9.2.6
risco 2.9
rtulos e tratamento da informao 7.2.2
S
segregao de funes 10.1.3
segregao de redes 11.4.5
segurana da documentao dos sistemas 10.7.4
segurana da informao 2.5
segurana de equipamentos 9.2
segurana de equipamento fora das dependncias da organizao 9.2.5
segurana do cabeamento 9.2.3
segurana dos arquivos do sistema 12.4
segurana dos servios de rede 10.6.2
segurana em escritrios, salas e instalaes 9.1.3
segurana em processos de desenvolvimento e de suporte 12.5


segurana fsica e do ambiente 9
segurana em recursos humanos 8
seguranas de equipamentos 9.2
seleo 8.1.2
separao dos recursos de desenvolvimento, teste e de produo 10.1.4
servios de comrcio eletrnico 10.9
sincronizao dos relgios 10.10.6
sistema de gerenciamento de senha 11.5.3
sistemas de informaes do negcio 10.8.5
T
terceiros 2.15
termos e condies de contratao 8.1.3
testes, manuteno e reavaliao dos planos de continuidade do negcio 14.1.5
trabalho em reas seguras 9.1.5
trabalho remoto 11.7.2
transaes on-line 10.9.2
tratamento de risco 2.14, 4.2
troca de informaes 10.8
U
uso aceitvel dos ativos 7.1.3
uso de senhas 11.3.1
uso de utilitrios de sistema 11.5.4
utilidades 9.2.2
V
validao de dados de sada 12.2.4
validao dos dados de entrada 12.2.1
vazamento de informaes 12.5.4
verificao da conformidade tcnica 15.2.2
vulnerabilidades 2.17


ABNT NBR 17799 (2005) - Tecnologia Da Informação - Técnicas de Segurança - Código de Prática para A Gestão Da Seguranca Da Informação PDF

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

ABNT NBR 17799 (2005) - Tecnologia Da Informação - Técnicas de Segurança - Código de Prática para A Gestão Da Seguranca Da Informação PDF

Diunggah oleh

Hak Cipta:

Format Tersedia

ABNT 2005

Anda mungkin juga menyukai