28:00-ISO/IEC 27002
Año / Ano 2007
ASOCIACIÓN
MERCOSUR DE
NORMALIZACIÓN
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Índice Sumário
Prefacio Prefácio
0 Introducción 0 Introdução
1 Objeto 1 Escopo
15 Cumplimiento 15 Conformidade
ii 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Prefacio Prefácio
Normas MERCOSUR son elaboradas en acuerdo Normas MERCOSUL são elaboradas de acordo
con las reglas dadas en las Directivas AMN, Parte com as regras dadas nas Diretivas AMN, Parte 2.
2.
La aprobación como norma MERCOSUR por A homologação como Norma MERCOSUL por
parte de la AMN requiere la aprobación por parte da AMN requer a aprovação por consenso de
consenso de sus miembros. seus membros.
Esta Norma fue elaborada por el CSM 28 - Esta Norma foi elaborada pelo CSM 28 - Comitê
Comité Sectorial MERCOSUR de Seguridad de la Setorial MERCOSUL de Segurança da Informação.
Información.
Esta Norma es una traducción de la ISO/IEC Esta Norma é uma tradução da ISO/IEC
27002:2005, Information technology - Security 27002:2005, Information technology - Security
techniques - Code of practice for information techniques - Code of practice for information
security management security management
Una familia de normas internacionales sobre Uma família de normas de sistema de gestão de
Sistemas de Gestión de Seguridad de la segurança da informação (SGSI) está sendo
Información (SGSI) está siendo desarrollada por desenvolvida no ISO/IEC JTC 1/SC 27. A família
el ISO/IEC JTC 1/SC 27. La familia de normas inclui normas sobre requisitos de sistema de gestão
internacionales incluye normas de requisitos para da segurança da informação, gestão de riscos,
un sistema de gestión de la seguridad de la métricas e medidas, e diretrizes para
información, gestión de riesgos, medición y implementação. Esta família adotará um esquema
métricas, y directrices de implementación. Esta de numeração usando a série de números 27000
familia adoptaría un esquema numérico basado em seqüência.
en la serie de números 27000 y subsecuentes.
A partir del año 2007, se ha propuesto incorporar A partir de 2007, a nova edição da ISO/IEC 17799
la nueva edición de la norma ISO/IEC 17799 a será incorporada ao novo esquema de numeração
este nuevo esquema numérico bajo la como ISO/IEC 27002.
denominación de ISO/IEC 27002.
Aquellos que tuvieren conocimiento de cualquier Aqueles que tiverem conhecimento de qualquer
derecho de patente deben presentar esta direito de patente devem apresentar esta
información en sus comentarios, con la informação em seus comentários, com
documentación comprobatoria. documentação comprobatória.
iii 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
0 Introducción 0 Introdução
La información es un activo que, como otros A informação é um ativo que, como qualquer outro
activos importantes del negocio, es esencial al ativo importante, é essencial para os negócios de
negocio de una organización y requiere en uma organização e conseqüentemente necessita
consecuencia una protección adecuada. Esto es ser adequadamente protegida. Isto é
especialmente importante en ambientes de especialmente importante no ambiente dos
negocio cada vez más interconectados. Como negócios, cada vez mais interconectado. Como um
consecuencia de esta creciente interconectividad, resultado deste incrível aumento da
la información está ahora expuesta a un número interconectividade, a informação está agora
mayor y a una variedad más amplia de amenazas exposta a um crescente número e a uma grande
y vulnerabilidades (véase también OECD - variedade de ameaças e vulnerabilidades (ver
Guidelines for the Security of Information Systems OECD Diretrizes para a Segurança de Sistemas de
and Networks). Informações e Redes).
La información adopta diversas formas. Puede A informação pode existir em diversas formas. Ela
estar impresa o escrita en papel, almacenada pode ser impressa ou escrita em papel,
electrónicamente, transmitida por correo o por armazenada eletronicamente, transmitida pelo
medios electrónicos, mostrada en filmes o correio ou por meios eletrônicos, apresentada em
hablada en conversación. Cualquiera sea la forma filmes ou falada em conversas. Seja qual for a
que tome la información o los medios por los que forma apresentada ou o meio através do qual a
se comparta o almacene, la misma debería ser informação é compartilhada ou armazenada, é
siempre protegida adecuadamente. recomendado que ela seja sempre protegida
adequadamente.
0.2 ¿Por qué es necesaria la seguridad de la 0.2 Por que a segurança da informação é
información? necessária?
La información y los procesos que la apoyan, los A informação e os processos de apoio, sistemas e
sistemas y las redes son importantes activos del redes são importantes ativos para os negócios.
negocio. Definir, alcanzar, mantener y mejorar la Definir, alcançar, manter e melhorar a segurança
seguridad de la información puede ser esencial da informação podem ser atividades essenciais
para mantener su competitividad, flujo de fondos, para assegurar a competitividade, o fluxo de caixa,
rentabilidad, cumplimiento de leyes e imagen a lucratividade, o atendimento aos requisitos legais
comercial. e a imagem da organização junto ao mercado.
iv 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
0.3 ¿Cómo establecer los requisitos de 0.3 Como estabelecer requisitos de segurança
seguridad? da informação
Es esencial que la organización identifique sus É essencial que uma organização identifique os
requisitos de seguridad. Existen tres fuentes seus requisitos de segurança da informação.
principales. Existem três fontes principais de requisitos de
segurança da informação.
v 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
sociocultural.
3. La tercera fuente está formada por los 3. A terceira fonte é um conjunto particular de
principios, objetivos y requisitos que forman parte princípios, objetivos e os requisitos do negócio para
del procesamiento de la información que la o processamento da informação que uma
organización ha desarrollado para apoyar sus organização tem que desenvolver para apoiar suas
operaciones operações.
La evaluación del riesgo debería repetirse Convém que a análise/avaliação de riscos seja
periódicamente para tratar cualquier cambio que repetida periodicamente para contemplar quaisquer
pudiera influenciar los resultados de la evaluación mudanças que possam influenciar os resultados
del riesgo. desta análise/avaliação.
Una vez que los requisitos y los riesgos de Uma vez que os requisitos de segurança da
seguridad han sido identificados y se han tomado informação e os riscos tenham sido identificados e
las decisiones para el tratamiento de riesgos, as decisões para o tratamento dos riscos tenham
deberían elegirse e implantarse los controles sido tomadas, convém que controles apropriados
apropiados que aseguren la reducción de los sejam selecionados e implementados para
riesgos a un nivel aceptable. Los controles assegurar que os riscos sejam reduzidos a um
pueden elegirse de esta norma o de otro conjunto nível aceitável. Os controles podem ser
de controles, o nuevos controles pueden selecionados a partir desta Norma ou de um outro
diseñarse para cubrir adecuadamente conjunto de controles ou novos controles podem
necesidades específicas. La selección de los ser desenvolvidos para atender às necessidades
controles de seguridad depende de una decisión específicas, conforme apropriado. A seleção de
organizacional basada en los criterios para la controles de segurança da informação depende
aceptación del riesgo, las opciones para el das decisões da organização, baseadas nos
tratamiento del riesgo, y el acercamiento a la critérios para aceitação de risco, nas opções para
gestión general del riesgo aplicado a la tratamento do risco e no enfoque geral da gestão
organización, y debería también estar conforme a de risco aplicado à organização, e convém que
toda la legislación y regulaciones nacionales e também esteja sujeito a todas as legislações e
internacionales relevantes. regulamentações nacionais e internacionais,
relevantes.
Algunos de los controles en esta Norma pueden Alguns dos controles nesta Norma podem ser
considerarse como principios rectores para la considerados como princípios básicos para a
gestión de la seguridad de la información, gestão da segurança da informação e podem ser
aplicables a la mayoría de las organizaciones. Se aplicados na maioria das organizações. Estes
vi 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
explican más detalladamente en el siguiente controles são explicados em mais detalhes no item
Apartado bajo el título "Punto de partida de la “Ponto de partida para a segurança da informação”.
seguridad de la información".
Más información sobre seleccionar controles y Informações adicionais sobre seleção de controles
otras opciones del tratamiento del riesgo se e outras opções para tratamento de risco podem
puede encontrar en el Apartado 4.2 "Tratando ser encontradas em 4.2 “Tratamento dos riscos de
riesgos de seguridad". segurança da informação”.
Un cierto número de controles pueden ser Um certo número de controles pode ser
considerados como un buen punto de partida considerado um bom ponto de partida para a
para implementar la seguridad de la información. implementação da segurança da informação. Estes
Estos están basados en requisitos legislativos controles são baseados tanto em requisitos legais
esenciales o que se consideran práctica habitual como nas melhores práticas de segurança da
de la seguridad de la información. informação normalmente usadas.
Los controles que se consideran esenciales para Os controles considerados essenciais para uma
una organización desde un punto de vista organização, sob o ponto de vista legal, incluem,
legislativo comprenden, dependiendo de la dependendo da legislação aplicável:
legislación aplicable:
c) los derechos de la propiedad intelectual (véase c) direitos de propriedade intelectual (ver 15.1.2).
el Apartado 15.1.2)
Los controles que se consideran práctica habitual Os controles considerados práticas para a
para conseguir la seguridad de la información, segurança da informação incluem:
comprenden:
f) la gestión de la continuidad del negocio (véase f) gestão da continuidade do negócio (ver Seção
el Apartado 14) 14);
Estos controles pueden aplicarse a la mayoría de Esses controles se aplicam para a maioria das
vii 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Es conveniente señalar que pese a la importancia Convém observar que, embora todos os controles
dada a los controles en este documento, la nesta Norma sejam importantes e devam ser
importancia de cualquier control debería considerados, a relevância de qualquer controle
determinarse a la luz de los riesgos específicos deve ser determinada segundo os riscos
que afronta la organización. Por tanto y aunque el específicos a que uma organização está exposta.
enfoque anterior se considere un buen punto de Por isto, embora o enfoque acima seja considerado
partida, no sustituye a la selección de controles um bom ponto de partida, ele não substitui a
basada en una evaluación del riesgo. seleção de controles, baseado na análise/avaliação
de riscos.
La experiencia muestra que los siguientes A experiência tem mostrado que os seguintes
factores suelen ser críticos para el éxito de la fatores são geralmente críticos para o sucesso da
implementación de la seguridad de la información implementação da segurança da informação dentro
en una organización: de uma organização:
b) un enfoque para implantar la seguridad que b) uma abordagem e uma estrutura para a
sea consistente con la cultura de la organización; implementação, manutenção, monitoramento e
melhoria da segurança da informação que seja
consistente com a cultura organizacional;
________________ ____________________
viii 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
1) 1)
Notar que las mediciones de seguridad de la Deve-se observar que as medições de segurança
información están fuera del alcance de esta da informação estão fora do escopo desta Norma.
Norma.
Este código de buenas prácticas puede verse Esta Norma pode ser considerada como um ponto
como punto de partida para desarrollar directrices de partida para o desenvolvimento de diretrizes
específicas de la organización. Pueden no ser específicas para a organização. Nem todos os
aplicables todas las recomendaciones y controles controles e diretrizes contidos nesta Norma podem
de este código. Incluso pueden requerirse ser aplicados. Além disto, controles adicionais e
controles y recomendaciones adicionales que recomendações não incluídos nesta Norma podem
este documento no incluye. Cuando sean ser necessários. Quando os documentos são
desarrollados documentos que contengan desenvolvidos contendo controles ou
controles y recomendaciones adicionales, puede recomendações adicionais, pode ser útil realizar
ser útil, cuando sea aplicable, mantener uma referência cruzada para as Seções desta
referencias cruzadas a los Apartados de esta Norma, onde aplicável, para facilitar a verificação
norma que faciliten la realización de pruebas de da conformidade por auditores e parceiros do
cumplimiento a los auditores y socios del negocio. negócio.
ix 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Tecnología de la información -
Código de buenas prácticas para la gestión de la seguridad de la información
Tecnologia de informação -
Código de boas práticas para a gestão da segurança da informação
1 Objeto 1 Escopo
Los objetivos de control y los controles de esta Os objetivos de controle e os controles desta
Norma están pensados para ser implementados a Norma têm como finalidade ser implementados
fin de alcanzar los requisitos identificados por una para atender aos requisitos identificados por meio
evaluación del riesgo. Esta Norma puede servir da análise/avaliação de riscos. Esta Norma pode
como recomendación práctica para desarrollar servir como um guia prático para desenvolver os
normas de seguridad de la organización y una procedimentos de segurança da informação da
práctica efectiva de la gestión de la misma, así organização e as eficientes práticas de gestão da
como ayudar a construir confianza en las segurança, e para ajudar a criar confiança nas
actividades entre organizaciones. atividades interorganizacionais.
A los efectos de este documento se aplican los Para os efeitos desta Norma, aplicam-se os
siguientes términos y definiciones: seguintes termos e definições:
2.1 2.1
activo ativo
aquello que tenga valor para la organización qualquer coisa que tenha valor para a organização
[ISO/IEC 13335-1:2004] [ISO/IEC 13335-1:2004]
2.2 2.2
control controle
medio de gestionar el riesgo, incluyendo políticas, forma de gerenciar o risco, incluindo políticas,
procedimientos, recomendaciones, prácticas o procedimentos, diretrizes, práticas ou estruturas
estructuras de la organización, que pueden ser de organizacionais, que podem ser de natureza
naturaleza administrativa, técnica, de gestión, o administrativa, técnica, de gestão ou legal
legal
NOTA Control también es usado como sinónimo para NOTA Controle é também usado como um sinômino para
salvaguarda o contramedida. proteção ou contramedida.
2.3 2.3
guía diretriz
una descripción que clarifica qué debería ser descrição que orienta o que deve ser feito e como,
hecho y cómo, para alcanzar los objetivos para se alcançarem os objetivos estabelecidos nas
establecidos en las políticas políticas
[ISO/IEC 13335-1:2004] [ISO/IEC 13335-1:2004]
2.4 2.4
recursos de procesamiento de la información recursos de processamento da informação
1 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
2.5 2.5
seguridad de la información segurança da informação
preservación de la confidencialidad, integridad y preservação da confidencialidade, da integridade e
disponibilidad de la información; además pueden da disponibilidade da informação; adicionalmente,
también estar implicadas otras características, outras propriedades, tais como autenticidade,
tales como autenticidad, responsabilidad, no responsabilidade, não repúdio e confiabilidade,
repudio, y confiabilidad podem também estar envolvidas
2.6 2.6
evento de seguridad de la información evento de segurança da informação
un evento de seguridad de la información es una ocorrência identificada de um sistema, serviço ou
ocurrencia identificada de un estado de un rede, que indica uma possível violação da política
sistema, servicio o red que indica una posible de segurança da informação ou falha de controles,
violación de la política de seguridad de la ou uma situação previamente desconhecida, que
información o la falla de salvaguardas, o una possa ser relevante para a segurança da
situación previamente desconocida que pueda ser informação
relevante para la seguridad [ISO/IEC TR 18044:2004]
[ISO/IEC TR 18044:2004]
2.7 2.7
incidente de seguridad de la información incidente de segurança da informação
un incidente de seguridad de la información es um incidente de segurança da informação é
indicado por un único o una serie de eventos indicado por um simples ou por uma série de
indeseados o inesperados de seguridad de la eventos de segurança da informação indesejados
información que tienen una probabilidad ou inesperados, que tenham uma grande
significativa de comprometer las operaciones de probabilidade de comprometer as operações do
negocio y de amenazar la seguridad de la negócio e ameaçar a segurança da informação
información [ISO/IEC TR 18044:2004]
[ISO/IEC TR 18044:2004]
2.8 2.8
política política
intención y dirección general expresada intenções e diretrizes globais formalmente
formalmente por la dirección expressas pela direção
2.9 2.9
riesgo risco
combinación de la probabilidad de un combinação da probabilidade de um evento e de
acontecimiento y de su consecuencia suas conseqüências
[Guía ISO/IEC 73:2002] [ISO/IEC Guia 73:2005]
2.10 2.10
análisis de riesgos análise de riscos
uso sistemático de la información para identificar uso sistemático de informações para identificar
fuentes y estimar el riesgo fontes e estimar o risco
[Guía ISO/IEC 73:2002] [ISO/IEC Guia 73:2005]
2.11 2.11
evaluación de riesgos análise/avaliação de riscos
proceso completo de análisis de riesgos y processo completo de análise e avaliação de riscos
evaluación de riesgos [ISO/IEC Guia 73:2005]
[Guía ISO/IEC 73:2002]
2.12 2.12
valoración de riesgos avaliação de riscos
2 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
2.13 2.13
gestión de riesgos gestão de riscos
coordinación de actividades para dirigir y controlar atividades coordenadas para direcionar e controlar
una organización respecto del riesgo uma organização no que se refere a riscos
NOTA: la gestión de riesgos incluye generalmente, evaluación NOTA A gestão de riscos geralmente inclui a análise/avaliação
de riesgos, tratamiento de riesgos, aceptación de riesgos y de riscos, o tratamento de riscos, a aceitação de riscos e a
comunicación de riesgos. comunicação de riscos.
2.14 2.14
tratamiento de riesgos tratamento do risco
proceso de selección e implementación de processo de seleção e implementação de medidas
medidas para modificar el riesgo para modificar um risco
[Guía ISO/IEC 73:2002] [ISO/IEC Guia 73:2005]
2.15 2.15
tercera parte terceira parte
persona u organismo reconocido como pessoa ou organismo reconhecido como
independiente de las partes implicadas en lo que independente das partes envolvidas, no que se
se refiere a la materia en cuestión refere a um dado assunto
[Guía ISO/IEC 2:1996] [ISO/IEC Guia 2:1998]
2.16 2.16
amenaza ameaça
una causa potencial de un incidente indeseado, causa potencial de um incidente indesejado, que
que puede dar lugar a daños a un sistema o a pode resultar em dano para um sistema ou
una organización organização
[ISO/IEC 13335-1:2004] [ISO/IEC 13335-1:2004]
2.17 2.17
vulnerabilidad vulnerabildade
una debilidad de un activo o de un grupo de fragilidade de um ativo ou grupo de ativos que pode
activos que puede ser explotada por una o más ser explorada por uma ou mais ameaças
amenazas
[ISO/IEC 13335-1:2004]
Esta Norma contiene 11 Cláusulas de control de Esta Norma contém 11 Seções de controles de
la seguridad que en su conjunto contienen un segurança da informação, que juntas totalizam 39
total de 39 categorías principales de seguridad y categorias principais de segurança e uma Seção
una Cláusula introductoria a la evaluación y introdutória que aborda a análise/avaliação e o
tratamiento de riesgos. tratamento de riscos.
Cada Cláusula contiene un número de categorías Cada Seção contém um número de categorias
principales de seguridad. Estás once Cláusulas principais de segurança da informação. As 11
(acompañadas por el número de categorías Seções (acompanhadas com o respectivo número
principales de seguridad incluidas en cada de categorias) são:
Cláusula) son:
3 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
NOTA El orden de las Cláusulas en esta norma no implica su NOTA A ordem das Seções nesta Norma não significa o seu
importancia. Dependiendo de las circunstancias, todas las grau de importância. Dependendo das circunstâncias, todas as
Cláusulas podrían ser importantes, por lo tanto cada Seções podem ser importantes. Portanto, convém que cada
organización que aplica esta norma debería identificar las organização que utilize esta Norma identifique quais são os
Cláusulas aplicables, que tan importantes son y su aplicación itens aplicáveis, quão importantes eles são e a sua aplicação
a los procesos individuales del negocio. Todas las listas en para os processos específicos do negócio. Todas as alíneas
esta norma tampoco están en orden de prioridad a menos que nesta Norma também não estão ordenadas por prioridade, a
esté precisado. menos que explicitado.
a) una indicación del objetivo de control que a) um objetivo de controle que define o que deve
debería alcanzarse; y ser alcançado; e
b) uno o más controles que se pueden aplicar b) um ou mais controles que podem ser aplicados
para alcanzar el objetivo de control. para se alcançar o objetivo do controle.
Control Controle
define la declaración del control específico para Define qual o controle específico para atender ao
satisfacer el objetivo de control. objetivo do controle.
4 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
El alcance de una evaluación de riesgo puede ser O escopo de uma análise/avaliação de riscos pode
la organización en su conjunto, partes de la tanto ser em toda a organização, partes da
organización, un sistema de información organização, em um sistema de informação
individual, componentes específicos del sistema, específico, em componentes de um sistema
o servicios donde esto sea factible, realista, y específico ou em serviços onde isto seja praticável,
5 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Para cada uno de los riesgos identificados Para cada um dos riscos identificados, seguindo a
siguiendo la evaluación de riesgo una decisión análise/avaliação de riscos, uma decisão sobre o
sobre el tratamiento del riesgo necesita ser tratamento do risco precisa ser tomada. Possíveis
tomada. Las opciones posibles para el opções para o tratamento do risco, incluem:
tratamiento del riesgo incluyen:
a) aplicación de controles apropiados para reducir a) aplicar controles apropriados para reduzir os
los riesgos; riscos;
c) evitando riesgos, no permitiendo las acciones c) evitar riscos, não permitindo ações que poderiam
que harían ocurrir los riesgos; causar a ocorrência de riscos;
d) transfiriendo los riesgos asociados a otras d) transferir os riscos associados para outras
partes, por ejemplo, aseguradores o proveedores. partes, por exemplo, seguradoras ou fornecedores.
Para aquellos riesgos donde la decisión del Convém que, para aqueles riscos onde a decisão
tratamiento del mismo halla sido aplicar controles de tratamento do risco seja a de aplicar os
apropiados, estos deberían seleccionarse e controles apropriados, esses controles sejam
implantarse de manera de alcanzar los requisitos selecionados e implementados para atender aos
identificados por una evaluación de riesgo. Los requisitos identificados pela análise/avaliação de
controles deberían asegurar que los riesgos son riscos. Convém que os controles assegurem que os
reducidos a un nivel aceptable teniendo en riscos sejam reduzidos a um nível aceitável,
cuenta: levando-se em conta:
6 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Los controles pueden seleccionarse de esta Os controles podem ser selecionados desta Norma
norma o de otro conjunto de controles, o nuevos ou de outros conjuntos de controles, ou novos
controles pueden diseñarse para resolver las controles podem ser considerados para atender às
necesidades específicas de la organización. Es necessidades específicas da organização. É
necesario reconocer que algunos controles importante reconhecer que alguns controles podem
pueden no ser aplicables a todos los sistema de não ser aplicáveis a todos os sistemas de
información o ambientes, y puede no ser práctico informação ou ambientes, e podem não ser
para todas las organizaciones. Como ejemplo, en praticáveis para todas as organizações. Como um
10.1.3 describe cómo las tareas pueden exemplo, 10.1.3 descreve como as
segregarse para prevenir fraudes y errores. responsabilidades podem ser segregadas para
Puede que en organizaciones más pequeñas no evitar fraudes e erros. Pode não ser possível para
sea posible segregar todas las tareas y pueden pequenas organizações segregar todas as
ser necesarias otras maneras de alcanzar el responsabilidades e, portanto, outras formas de
mismo objetivo de control. Como otro ejemplo, en atender o mesmo objetivo de controle podem ser
10.10 describe como el uso del sistema puede ser necessárias. Em um outro exemplo, 10.10
supervisado y las evidencia ser recogidas. Los descreve como o uso do sistema pode ser
controles descritos, por ejemplo, el registro de monitorado e as evidências coletadas. Os controles
eventos, puede estar en conflicto con la descritos, como, por exemplo, eventos de “logging”,
legislación aplicable, tal como la protección de la podem conflitar com a legislação aplicável, tais
privacidad de los clientes o el registro del lugar de como a proteção à privacidade dos clientes ou a
trabajo. exercida nos locais de trabalho.
Debería tenerse presente que ningún sistema de Convém que seja lembrado que nenhum conjunto
controles puede alcanzar la seguridad completa, y de controles pode conseguir a segurança completa,
que acciones adicionales de gestión deberían e que uma ação gerencial adicional deve ser
implementarse para supervisar, evaluar, y mejorar implementada para monitorar, avaliar e melhorar a
la eficiencia y la eficacia de los controles de eficiência e eficácia dos controles de segurança da
seguridad para apoyar las metas de la informação, para apoiar as metas da organização.
organización.
OBJETIVO: Proporcionar orientación y apoyo de Objetivo: Prover uma orientação e apoio da direção
la dirección para la seguridad de la información, para a segurança da informação de acordo com os
de acuerdo con los requisitos del negocio y con requisitos do negócio e com as leis e
las regulaciones y leyes pertinentes. regulamentações pertinentes.
La dirección debería establecer una orientación Convém que a direção estabeleça uma clara
clara de la política en línea con los objetivos de orientação da política, alinhada com os objetivos do
negocio y demostrar su apoyo y compromiso a la negócio e demonstre apoio e comprometimento
seguridad de la información, publicando y com a segurança da informação por meio da
manteniendo una política de seguridad en toda la publicação e manutenção de uma política de
organización. segurança da informação para toda a organização.
7 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Control Controle
La dirección debería aprobar, publicar y Convém que um documento da política de
comunicar a todos los empleados y a las partes segurança da informação seja aprovado pela
externas pertinentes, un documento con la direção, publicado e comunicado para todos os
política de seguridad de la información. funcionários e partes externas relevantes.
c) un marco para fijar objetivos de control y c) uma estrutura para estabelecer os objetivos de
controles, incluyendo la estructura de la controle e os controles, incluindo a estrutura de
evaluación del riesgo y gestión del riesgo; análise/avaliação e gerenciamento de risco;
d) una breve explicación de las políticas de d) breve explanação das políticas, princípios,
seguridad, principios, normas y requisitos de normas e requisitos de conformidade de segurança
cumplimiento de particular importancia para la da informação específicos para a organização,
organización, incluyendo: incluindo:
f) las referencias a documentación que pueda f) referências à documentação que possam apoiar
sustentar la política; por ejemplo, políticas y a política, por exemplo, políticas e procedimentos
procedimientos mucho más detallados para de segurança mais detalhados de sistemas de
sistemas de información específicos o las reglas informação específicos ou regras de segurança que
8 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Esta política debería ser comunicada a todos los Convém que esta política de segurança da
usuarios de la organización de manera pertinente, informação seja comunicada através de toda a
accesible y comprensible. organização para os usuários de forma que seja
relevante, acessível e compreensível para o leitor
em foco.
Control Controle
La política de seguridad de la información debería Convém que a política de segurança da informação
revisarse a intervalos planificados, o si se seja analisada criticamente a intervalos planejados
producen cambios significativos, para asegurar su ou quando mudanças significativas ocorrerem, para
conveniencia, suficiencia, y eficacia continuas. assegurar a sua contínua pertinência, adequação e
eficácia.
La revisión debería incluir la evaluación de las Convém que a análise crítica inclua a avaliação de
oportunidades de mejora de la política de oportunidades para melhoria da política de
seguridad de la información de la organización y segurança da informação da organização e tenha
el enfoque a la gestión de la seguridad de la um enfoque para gerenciar a segurança da
información en respuesta a cambios en el informação em resposta às mudanças ao ambiente
ambiente de la organización, a las circunstancias organizacional, às circunstâncias do negócio, às
del negocio, a las condiciones legales, o al condições legais, ou ao ambiente técnico.
ambiente técnico.
Las entradas para la revisión por la dirección Convém que as entradas para a análise crítica pela
deberían incluir información sobre: direção incluam informações sobre:
9 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
d) resultados de las anteriores revisiones por la d) resultados de análises críticas anteriores feitas
dirección; pela direção;
f) cambios que podrían afectar el enfoque de la f) mudanças que possam afetar o enfoque da
organización a la gestión de la seguridad de la organização para gerenciar a segurança da
información, incluyendo cambios al ambiente de informação, incluindo mudanças no ambiente
la organización, circunstancias del negocio, organizacional, nas circunstâncias do negócio, na
disponibilidad de recursos, condiciones disponibilidade dos recursos, nas questões
contractuales, reguladoras, y legales, o cambios contratuais, regulamentares e de aspectos legais
al ambiente técnico; ou no ambiente técnico;
La salida de la revisión por la dirección debería Convém que as saídas da análise crítica pela
incluir cualquier decisión y acción relacionadas direção incluam quaisquer decisões e ações
con: relacionadas a:
b) mejora de los objetivos de control y de los b) melhoria dos controles e dos objetivos de
controles; controles;
Debería mantenerse un registro de la revisión por Convém que um registro da análise crítica pela
la dirección. direção seja mantido.
Debería obtenerse la aprobación de la dirección Convém que a aprovação pela direção da política
para la política revisada. de segurança da informação revisada seja obtida.
Debería establecerse un marco de gestión para Convém que uma estrutura de gerenciamento seja
iniciar y controlar la implementación de la estabelecida para iniciar e controlar a
seguridad de la información dentro de la implementação da segurança da informação dentro
organización. da organização.
10 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Control Controle
La dirección debería apoyar activamente la Convém que a direção apóie ativamente a
seguridad dentro de la organización a través de segurança da informação dentro da organização,
una orientación clara, compromiso demostrado, y por meio de um claro direcionamento,
la asignación explícita de las responsabilidades demonstrando o seu comprometimento, definindo
de seguridad de la información y su atribuições de forma explícita e reconhecendo as
reconocimiento. responsabilidades pela segurança da informação.
d) proveer una orientación clara y apoyo visible d) forneça um claro direcionamento e apoio para as
hacia las iniciativas de seguridad; iniciativas de segurança da informação;
g) iniciar planes y programas para mantener la g) inicie planos e programas para manter a
concientización en seguridad; conscientização da segurança da informação;
11 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Control Controle
Las actividades referentes a la seguridad de la Convém que as atividades de segurança da
información deberían ser coordinadas por informação sejam coordenadas por representantes
representantes de diferentes partes de la de diferentes partes da organização, com funções e
organización con funciones y roles pertinentes. papéis relevantes.
12 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Control Controle
Deberían definirse claramente todas las Convém que todas as responsabilidades pela
responsabilidades de seguridad de la información. segurança da informação, estejam claramente
definidas.
Deberían establecerse claramente las áreas de Convém que as áreas pelas quais as pessoas
las cuales los individuos son responsables, en sejam responsáveis, estejam claramente definidas;
particular deberían considerarse las siguientes: em particular convém que os seguintes itens sejam
cumpridos:
13 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
los activos y los procesos de seguridad asociados informação associados com cada sistema sejam
con cada sistema específico; identificados e claramente definidos;
b) debería asignarse la entidad responsable de b) gestor responsável por cada ativo ou processo
cada activo o proceso de seguridad y documentar de segurança da informação tenha atribuições
los detalles de dicha responsabilidad (véase el definidas e os detalhes dessa responsabilidade
Apartado 7.1.2); sejam documentados (ver 7.1.2);
Control Controle
Debería definirse e implantarse un proceso de Convém que seja definido e implementado um
autorización por parte de la dirección para nuevas processo de gestão de autorização para novos
instalaciones de procesamiento de información. recursos de processamento da informação.
a) las nuevas instalaciones deberían tener una a) os novos recursos tenham a autorização
autorización de la dirección apropiada para el adequada por parte da administração de usuários,
usuario, autorizando su propósito y uso. También autorizando seus propósitos e uso. Convém que a
debería obtenerse la autorización del directivo autorização também seja obtida junto ao gestor
responsable del mantenimiento del entorno de responsável pela manutenção do sistema de
seguridad del sistema de información local, para segurança da informação, para garantir que todas
asegurar que cumple con todas las políticas y as políticas e requisitos de segurança relevantes
requisitos de seguridad relevantes. sejam atendidos;
b) se debería comprobar donde sea necesario, b) hardware e o software sejam verificados para
que el hardware y el software sean compatibles garantir que são compatíveis com outros
con los demás dispositivos del sistema. componentes do sistema, onde necessários;
14 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Control Controle
Deberían identificarse y revisarse con regularidad Convém que os requisitos para confidencialidade
los requisitos para los acuerdos de ou acordos de não divulgação que reflitam as
confidencialidad o de no-divulgación, que reflejan necessidades da organização para a proteção da
las necesidades de la organización para la informação sejam identificados e analisados
protección de la información. criticamente, de forma regular.
a) una definición de la información a ser protegida a) uma definição da informação a ser protegida (por
(por ejemplo información confidencial); exemplo, informação confidencial);
b) duración prevista del acuerdo, incluyendo los b) tempo de duração esperado de um acordo,
casos en que sea necesario mantener la incluindo situações onde a confidencialidade tenha
confidencialidad indefinidamente; que ser mantida indefinidamente;
j) acciones previstas a tomar en caso de ruptura j) ações esperadas a serem tomadas no caso de
del acuerdo. uma violação deste acordo.
Basándose en los requisitos de seguridad de una Com base nos requisitos de segurança da
organización, puede ser necesario incorporar informação da organização, outros elementos
otros elementos en los acuerdos de podem ser necessários em um acordo de
15 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Puede haber necesidad por parte de una Pode haver a necessidade de uma organização
organización de utilizar diversas formas de usar diferentes formas de acordos de
acuerdos de confidencialidad o no-divulgación en confidencialidade ou de não divulgação, em
diferentes circunstancias. diferentes circunstâncias.
Control Controle
Deberían mantenerse contactos apropiados con Convém que contatos apropriados com autoridades
las autoridades relevantes. pertinentes sejam mantidos.
Las organizaciones que están siendo atacadas Organizações que estejam sob ataque da internet
desde Internet pueden necesitar terceras partes podem precisar do apoio de partes externas à
externas (proveedores de servicios de Internet u organização (por exemplo, um provedor de serviço
operadores de Telecomunicaciones) para tomar da internet ou um operador de telecomunicações),
acciones contra la fuente del ataque. para tomar ações contra a origem do ataque.
16 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
6.1.7 Contacto con grupos de interés especial 6.1.7 Contato com grupos especiais
Control Controle
Deberían mantenerse contactos apropiados con Convém que sejam mantidos contatos apropriados
los grupos de interés especial u otros foros com grupos de interesses especiais ou outros
especializados en seguridad, así como fóruns especializados de segurança da informação
asociaciones de profesionales. e associações profissionais.
f) proveer puntos adecuados de enlace para el f) prover relacionamentos adequados quando tratar
manejo de incidentes de seguridad de la com incidentes de segurança da informação
información (véase el Apartado 13.2.1). (ver 13.2.1).
Control Controle
El enfoque de la organización hacia la gestión de Convém que o enfoque da organização para
la seguridad de la información y su gerenciar a segurança da informação e a sua
implementación (objetivos de control, controles, implementação (por exemplo, controles, objetivo
17 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Dicha revisión debería ser realizada por Convém que a análise crítica seja executada por
individuos independientes del área a revisar, por pessoas independentes da área avaliada, como,
ejemplo por el cargo de auditoría interna, un por exemplo, uma função de auditoria interna, um
gerente independiente o una organización externa gerente independente ou uma organização de
especializada en estas revisiones. Los individuos terceira parte especializada em tais análises
que las llevan a cabo deberían tener la críticas. Convém que as pessoas que realizem
experiencia y habilidades apropiadas. estas análises críticas possuam habilidade e
experiência apropriadas.
El resultado de la revisión debería ser registrado y Convém que os resultados da análise crítica
reportado a la dirección que inició la revisión. independente sejam registrados e relatados para a
Estos registros deberían ser mantenidos. direção que iniciou a análise crítica. Estes registros
devem ser mantidos.
Las técnicas de revisión podrían incluir Técnicas para a análise crítica podem incluir
entrevistas de la dirección, verificación de entrevistas com a gerência, verificação de registros
registros o revisión de los documentos de ou análise crítica dos documentos da política de
seguridad. segurança da informação.
La norma ISO 19011:2002, Directrices para la A ISO 19011:2002, Diretrizes para auditoria de
auditoría de los sistemas de gestión de la calidad sistemas de gestão da qualidade e/ou do meio
y/o ambiental, puede proveer una guía de ayuda ambiente, pode também fornecer orientações para
para realizar la revisión independiente, incluyendo se realizar a análise crítica independente, incluindo
la definición e implementación del programa de o estabelecimento e a implementação de um
revisión. El Apartado 15.3 especifica controles programa de análise crítica. A Subseção 15.3
18 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Debería controlarse cualquier acceso a las Convém que qualquer acesso aos recursos de
instalaciones de procesamiento de información de processamento da informação da organização e ao
la organización y el procesamiento y processamento e comunicação da informação por
comunicación de información por externos. partes externas seja controlado.
Cuando el negocio requiera trabajo con externos Convém que seja feita uma análise/avaliação dos
que pueda implicar acceso a la información de la riscos envolvidos para determinar as possíveis
organización y a las instalaciones de implicações na segurança e os controles
procesamiento de la información, u obtener o necessários, onde existir uma necessidade de
proveer un producto o servicio de o para negócio para trabalhar com partes externas, que
externos, se debería realizar una evaluación de possa requerer acesso aos recursos de
riesgos para determinar implicaciones sobre la processamento da informação e à informação da
seguridad y los controles que requieran. Estos organização, ou na obtenção e fornecimento de um
controles deberían definirse y aceptarse en un produto e serviço de uma parte externa ou para ela.
acuerdo con las partes externas. Convém que os controles sejam acordados e
definidos por meio de um acordo com a parte
externa.
6.2.1 Identificación de los riegos relacionados 6.2.1 Identificação dos riscos relacionados com
con partes externas partes externas
Control Controle
Deberían identificarse los riesgos asociados a la Convém que os riscos para os recursos de
información de la organización y a las processamento da informação e da informação da
instalaciones de procesamiento de la información organização oriundos de processos do negócio que
para los procesos de negocio que involucran envolva as partes externas sejam identificados e
partes externas, y deberían implementarse controles apropriados implementados antes de se
controles apropiados antes de otorgar el acceso. conceder o acesso.
19 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
b) el tipo de acceso que la parte externa tendrá a b) tipo de acesso que a parte externa terá aos
la información y a las instalaciones de recursos de processamento da informação e à
procesamiento de la información, por ejemplo: informação, como, por exemplo:
1) acceso físico, como ser, las oficinas, salas 1) acesso físico ao escritório, sala dos
de computadoras, gabinetes de computadores, arquivos de papéis;
clasificación;
2) acceso lógico, por ejemplo, a las bases de 2) acesso lógico ao banco de dados da
datos de la organización, sistemas de organização e aos sistemas de informações;
información;
h) el impacto del acceso denegado a la parte h) impacto do acesso não estar disponível para a
externa cuando lo requiere, y de que la parte parte externa, quando requerido, e a entrada ou o
externa ingrese o reciba información inexacta o recebimento incorreto ou por engano da
engañosa. informação;
i) practicas y procedimiento para tratar incidentes i) práticas e procedimentos para tratar com
de seguridad de la información y daños incidentes de segurança da informação e danos
potenciales, al igual que los términos y potenciais, e os termos e condições para que a
condiciones para la continuidad del acceso de la parte externa continue acessando, no caso que
parte externa en el caso de un incidente de ocorra um incidente de segurança da informação;
seguridad de la información;
20 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
k) cómo los intereses de cualquier otro k) como os interesses de quaisquer uma das partes
involucrado (stakeholders) pueden ser afectados interessadas podem ser afetados pelos acordos.
por los acuerdos.
Debería asegurarse que la parte externa sea Convém que seja assegurado que a parte externa
consciente de sus obligaciones, y acepte las está consciente de suas obrigações, e aceita as
responsabilidades y deberes involucrados en el responsabilidades e obrigações envolvendo o
acceso, procesamiento, comunicación o gestión acesso, processamento, comunicação ou o
de la información de la organización y de las gerenciamento dos recursos do processamento da
instalaciones de procesamiento de la información. informação e da informação da organização.
Las organizaciones pueden enfrentar riesgos As organizações podem estar sujeitas a riscos
asociados con los procesos, la gestión y la associados com processos interorganizacionais,
comunicación entre las organizaciones si se gerenciamento e comunicação, se um alto grau de
aplica un alto grado de contratación externa, o terceirização for realizado, ou onde existirem várias
cuando hay varias partes externas involucradas. partes externas envolvidas.
Los controles 6.2.2 y 6.2.3 cubren diferentes Os controles de 6.2.2 e 6.2.3 cobrem diferentes
acuerdos con partes externas, incluyendo por situações para as partes externas, incluindo, por
ejemplo: exemplo:
c) clientes; c) clientes;
21 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Dichos acuerdos pueden ayudar a reducir los Tais acordos podem ajudar a reduzir o risco
riesgos asociados con las partes externas. associado com as partes externas.
Control Controle
Todos los requisitos de seguridad identificados Convém que todos os requisitos de segurança da
deberían ser tratados antes de brindarle a los informação identificados sejam considerados antes
clientes acceso a activos o información de la de conceder aos clientes o acesso aos ativos ou às
organización. informações da organização.
3) integridad; 3) integridade;
b) descripción del producto y servicio a ser b) descrição do produto ou serviço a ser fornecido;
provisto;
c) las diferentes razones, requisitos y beneficios c) as diferentes razões, requisitos e benefícios para
22 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
3) una declaración de que todo acceso que no 3) uma declaração de que todo o acesso que
es explícitamente autorizado está não seja explicitamente autorizado é
prohibido; proibido;
f) una descripción de cada servicio que va a estar f) descrição de cada serviço que deve estar
disponible; disponível;
g) el nivel a alcanzar por el servicio y los niveles g) os níveis de serviços acordados e os níveis de
inaceptables del servicio; serviços inaceitáveis;
23 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
pueden tratarse utilizando acuerdos con el cliente, informação podem ser contemplados, usando-se os
que contengan todos los riesgos y requisitos de acordos com o cliente, os quais contêm todos os
seguridad identificados (véase el Apartado 6.2.1). riscos identificados e os requisitos de segurança da
informação (ver 6.2.1).
Los acuerdos con las partes externas también Acordos com partes externas podem também
pueden involucrar a otras partes. Los acuerdos envolver outras partes. Convém que os acordos
que permitan el acceso de una parte externa que concedam o acesso a partes externas incluam
deberían incluir permisos para la designación de permissão para designação de outras partes
otras partes y las condiciones para su acceso y elegíveis e condições para os seus acessos e
participación. envolvimento.
Control Controle
Los acuerdos con terceros que involucren acceso, Convém que os acordos com terceiros envolvendo
procesamiento, comunicación o gestión de la o acesso, processamento, comunicação ou
información de la organización o de las gerenciamento dos recursos de processamento da
instalaciones de procesamiento de información, o informação ou da informação da organização, ou o
el agregado de productos o servicios a las acréscimo de produtos ou serviços aos recursos de
instalaciones de procesamiento de información processamento da informação cubram todos os
deberían cubrir todos los requisitos pertinentes de requisitos de segurança da informação relevantes.
seguridad.
Deberían tenerse en cuenta los siguientes Convém que os seguintes termos sejam
términos para su inclusión en los acuerdos con el considerados para inclusão no acordo, com o
fin de satisfacer los requisitos de seguridad objetivo de atender aos requisitos de segurança da
identificados (véase el Apartado 6.2.1): informação identificados (ver 6.2.1):
b) los controles que aseguren la protección del b) controles para assegurar a proteção do ativo,
activo, incluyendo: incluindo:
3) controles que aseguren la protección contra 3) controles para assegurar proteção contra
software malicioso (véase el Apartado software malicioso (ver 10.4.1);
10.4.1);
24 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
d) asegurar la concientización del usuario sobre d) assegurar a conscientização dos usuários nas
responsabilidades y aspectos de la seguridad de questões e responsabilidades pela segurança da
la información; informação;
g) una estructura de reportes clara y formatos de g) uma estrutura clara de notificação e formatos de
reporte convenidos; relatórios acordados;
5) una declaración de que toda autorización 5) uma declaração de que todo o acesso que
cuyo acceso no está explicitado está não seja explicitamente autorizado é
prohibida; proibido;
25 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
k) una descripción del productos o servicio a ser k) uma descrição do produto ou serviço que está
provisto, y una descripción de la información a sendo fornecido e uma descrição da informação
habilitar con su clasificación de seguridad (véase que deve estar disponível, juntamente com a sua
el Apartado 7.2.1); classificação de segurança (ver 7.2.1);
l) el nivel a alcanzar por el servicio y los niveles l) níveis de serviços acordados e os níveis de
inaceptables del servicio; serviços inaceitáveis;
r) las respectivas responsabilidades de las partes r) respectivas obrigações das partes com o acordo;
en el acuerdo;
26 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Algunas de las diferencias entre la contratación Algumas das diferenças entre as terceirizações e
externa y otras formas de provisión de servicio as outras formas de provisão de serviços de
por terceros incluyen cuestiones de terceiros incluem a questão das obrigações legais,
responsabilidad, planificación de períodos de o planejamento do período de transição e de
transición y potencial interrupción de operaciones descontinuidade da operação durante este período,
durante ese período, acuerdos sobre planificación planejamento de contingências e análise crítica de
de contingencias y las debidas solicitudes de investigações, e coleta e gestão de incidentes de
revisión, así como la recolección y gestión de segurança da informação. Portanto, é importante
información de los incidentes de seguridad. Por lo que a organização planeje e gerencie a transição
tanto, es importante que la organización para um terceirizado e tenha processos adequados
planifique y gestione la transición hacia un implantados para gerenciar as mudanças e
acuerdo contratado externamente y tenga renegociar ou encerrar os acordos.
procesos adecuados establecidos para la gestión
de los cambios y la renegociación / el término de
acuerdos.
Los acuerdos con terceros también pueden Acordos com terceiros podem também envolver
involucrar a otras partes. Los acuerdos que outras partes. Convém que os acordos que
permitan el acceso de terceros deberían incluir concedam o acesso a terceiros incluam permissão
permisos para la designación de otras partes y las para designação de outras partes elegíveis e
condiciones para su acceso y participación. condições para os seus acessos e envolvimento.
27 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Generalmente los acuerdos son desarrollados en De um modo geral os acordos são geralmente
primer término por la organización. Puede haber elaborados pela organização. Podem existir
ocasiones en algunas circunstancias donde un situações onde, em algumas circunstâncias, um
acuerdo puede ser desarrollado e impuesto sobre acordo possa ser elaborado e imposto à
una organización por un tercero. La organización organização pelo terceiro. A organização precisa
necesita asegurarse que su propia seguridad no assegurar que a sua própria segurança da
es impactada innecesariamente por los requisitos informação não é afetada desnecessariamente
del tercero estipulados en los acuerdos pelos requisitos do terceiro, estipulados no acordo
impuestos. imposto.
Todos los activos deberían tener un responsable Convém que todos os ativos sejam inventariados e
y debería asignarse un propietario a cada uno de tenham um proprietário responsável.
ellos.
Deberían identificarse los propietarios para todos Convém que os proprietários dos ativos sejam
los activos y se debería asignar la identificados e a eles seja atribuída a
responsabilidad del mantenimiento de los responsabilidade pela manutenção apropriada dos
controles apropiados. La implementación de controles. A implementação de controles
controles sobre un activo podría ser delegada por específicos pode ser delegada pelo proprietário,
su propietario pero éste continúa manteniendo la conforme apropriado, porém o proprietário
responsabilidad por la protección del mismo. permanece responsável pela proteção adequada
dos ativos.
Control Controle
Todos los activos deberían ser claramente Convém que todos os ativos sejam claramente
identificados y debería realizarse y mantenerse identificados e um inventário de todos os ativos
un inventario de los activos importantes. importantes seja estruturado e mantido.
Asimismo, la propiedad (véase el Apartado 7.1.2) Adicionalmente, convém que o proprietário (ver
y la clasificación (véase el Apartado 7.2) de la 7.1.2) e a classificação da informação (ver 7.2)
información debería ser acordada y documentada sejam acordados e documentados para cada um
para cada uno de los activos. Deberían definirse dos ativos. Convém que, com base na importância
niveles de protección acordes a la importancia del do ativo, seu valor para o negócio e a sua
activo, su relevancia en el negocio y su classificação de segurança, níveis de proteção
28 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
f) intangibles, tales como reputación e imagen de f) intangíveis, tais como a reputação e a imagem da
la organización. organização.
Los inventarios de activos ayudan a garantizar Os inventários de ativos ajudam a assegurar que a
que se logra la protección eficaz de los activos proteção efetiva do ativo pode ser feita e também
pero también pueden ser requeridos para otros pode ser requerido para outras finalidades do
propósitos del negocio, como por ejemplo por negócio, como saúde e segurança, seguro ou
razones de salud y seguridad, financieras o de financeira (gestão de ativos). O processo de
seguros (gestión de activos). El proceso de compilação de um inventário de ativos é um pré-
compilar un inventario de activos es un requisito importante no gerenciamento de riscos
prerrequisito importante de la gestión de riesgos (ver Seção 4).
(véase también Cláusula 4).
Control Controle
Toda la información y los activos asociados con Convém que todas as informações e ativos
las instalaciones de procesamiento de la associados com os recursos de processamento da
información deberían pertenecer a un propietario1) informação tenham um proprietário1) designado por
designado por la organización. uma parte definida da organização.
_______________ __________________
1) 1)
El término propietario identifica un individuo o entidad que ha O termo “proprietário” identifica uma pessoa ou organismo que
probado habilidades de gestión para controlar la producción, tenha uma responsabilidade autorizada para controlar a
desarrollo, mantenimiento, uso y seguridad de un activo. El produção, o desenvolvimento, a manutenção, o uso e a
término propietario no significa que la persona tiene segurança dos ativos. O termo "proprietário" não significa que a
efectivamente derechos de propiedad sobre el activo. pessoa realmente tenha qualquer direito de propriedade ao
ativo.
29 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
7.1.3 Uso aceptable de los activos 7.1.3 Uso aceitável dos ativos
Control Controle
Deberían ser identificadas, documentadas e Convém que sejam identificadas, documentadas e
implementadas reglas para el uso aceptable de la implementadas regras para que sejam permitidos o
información y de los activos asociados con las uso de informações e de ativos associados aos
instalaciones de procesamiento de la información. recursos de processamento da informação.
a) reglas para el uso del correo electrónico e a) regras para o uso da internet e do correio
Internet (véase el Apartado 10.8); eletrônico (ver 10.8);
b) directrices para el uso de dispositivos móviles, b) diretrizes para o uso de dispositivos móveis,
especialmente para el uso fuera del la especialmente para o uso fora das instalações da
30 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
El director correspondiente debería suministrar Convém que regras específicas ou diretrizes sejam
las reglas o directrices específicas. Los fornecidas pelo gestor relevante. Convém que
empleados, contratistas y usuarios de terceras funcionários, fornecedores e terceiros que usem ou
partes que utilicen o tengan acceso a los activos tenham acesso aos ativos da organização estejam
de la organización deberían estar conscientes de conscientes dos limites que existem para os usos
los límites que existen para el uso de la das informações e ativos associados da
información y de los activos de la organización organização aos recursos de processamento da
asociados con las instalaciones de procesamiento informação. Convém que eles sejam responsáveis
de información, así como de los recursos. pelo uso de quaisquer recursos de processamento
Deberían responsabilizarse del uso que hagan de da informação e de quaisquer outros usos
los recursos de procesamiento de información y conduzidos sob a suas responsabilidades.
de cualquier uso efectuado bajo su
responsabilidad.
OBJETIVO: Asegurar que la información recibe el Objetivo: Assegurar que a informação receba um
nivel de protección adecuado. nível adequado de proteção.
La información debería clasificarse para indicar la Convém que a informação seja classificada para
necesidad, prioridades y grado de protección indicar a necessidade, prioridades e o nível
esperado en el manejo de la misma. esperado de proteção quando do tratamento da
informação.
La información tiene grados variables de
sensibilidad y criticidad. Algunos elementos de A informação possui vários níveis de sensibilidade
información pueden requerir un nivel adicional de e criticidade. Alguns itens podem necessitar um
protección o un manejo especial. Debería nível adicional de proteção ou tratamento especial.
utilizarse un sistema de clasificación de la Convém que um sistema de classificação da
información para definir un conjunto de niveles de informação seja usado para definir um conjunto
protección adecuados, y comunicar la necesidad apropriado de níveis de proteção e determinar a
de medidas especiales de manejo. necessidade de medidas especiais de tratamento.
Control Controle
La información debería clasificarse en términos Convém que a informação seja classificada em
de su valor, requisitos legales, sensibilidad y termos do seu valor, requisitos legais, sensibilidade
criticidad para la organización. e criticidade para a organização.
Las directrices de clasificación deberían incluir Convém que as diretrizes para classificação
convenciones para la clasificación inicial y incluam convenções para classificação inicial e
reclasificación a lo largo del tiempo, de acuerdo reclassificação ao longo do tempo, de acordo com
con políticas predeterminadas de control de algumas políticas de controle de acesso
acceso (véase el Apartado 11.1.1). predeterminadas (ver 11.1.1).
Debería ser responsabilidad del propietario del Convém que seja de responsabilidade do
activo (véase el Apartado 7.2.1) definir la proprietário do ativo (ver 7.1.2) definir a
clasificación del activo, revisarla periódicamente y classificação de um ativo, analisando-o
31 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
asegurar que esté actualizada y en el nivel criticamente a intervalos regulares, e assegurar que
apropiado. La clasificación debería tener en ele está atualizado e no nível apropriado. Convém
cuanta el efecto de acumulación mencionado en que a classificação leve em consideração a
el Apartado 10.7.2. agregação do efeito mencionado em 10.7.2.
Debería considerarse el número de categorías de Convém que cuidados sejam tomados com a
clasificación y los beneficios obtenidos con su quantidade de categorias de classificação e com os
uso. Los esquemas demasiado complejos pueden benefícios obtidos pelo seu uso. Esquemas
volverse engorrosos y de uso costoso o no ser excessivamente complexos podem tornar o uso
prácticos. Debería interpretarse cuidadosamente incômodo e ser inviáveis economicamente ou
las etiquetas de clasificación que aparezcan en impraticáveis. Convém que atenção especial seja
documentos de otras organizaciones que pueden dada na interpretação dos rótulos de classificação
tener distintas definiciones para etiquetas iguales sobre documentos de outras organizações, que
o similares. podem ter definições diferentes para rótulos iguais
ou semelhantes aos usados.
La información suele dejar de tener importancia o A informação freqüentemente deixa de ser sensível
criticidad tras cierto tiempo, por ejemplo, cuando ou crítica após um certo período de tempo, por
se ha hecho pública. Estos aspectos deberían exemplo quando a informação se torna pública.
considerarse, puesto que una sobre-clasificación Convém que estes aspectos sejam levados em
conllevaría un gasto adicional innecesario. consideração, pois uma classificação
superestimada pode levar à implementação de
custos desnecessários, resultando em despesas
adicionais.
Control Controle
Debería desarrollarse e implementarse un Convém que um conjunto apropriado de
conjunto apropiado de procedimientos para el procedimentos para rotulação e tratamento da
etiquetado y manejo de la información de acuerdo informação seja definido e implementado de acordo
al esquema de clasificación adoptado por la com o esquema de classificação adotado pela
organización. organização.
La salida procedente de los sistemas que traten Convém que as saídas de sistemas que contêm
información clasificada como sensible o crítica informações classificadas como sensíveis ou
deberían llevar una etiqueta de clasificación críticas tenham o rótulo apropriado da classificação
adecuada (en la salida). El etiquetado debería da informação (na saída). Convém que o rótulo
32 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
reflejar la clasificación de acuerdo con las reglas reflita a classificação de acordo com as regras
establecidas en el Apartado 7.2.1. Los elementos estabelecidas em 7.2.1. Itens que devem ser
a considerar incluyen informes impresos, considerados incluem relatórios impressos, telas,
presentaciones en pantalla, medios de mídias magnéticas (fitas, discos, CD), mensagens
almacenamiento (cintas, discos, CDs), mensajes eletrônicas e transferências de arquivos.
electrónicos y transferencias de archivos.
Para cada nivel de clasificación deberían definirse Convém que sejam definidos, para cada nível de
procedimientos para el manejo de la información, classificação, procedimentos para o tratamento da
incluyendo procedimientos seguros de, informação que contemplem o processamento
almacenamiento, transmisión, desclasificación y seguro, a armazenagem, a transmissão, a
destrucción. Esto debería incluir los reclassificação e a destruição. Convém que isto
procedimientos para la cadena de custodia y el também inclua os procedimentos para a cadeia de
registro de cualquier evento relevante en cuanto a custódia e registros de qualquer evento de
su seguridad. segurança relevante.
Los acuerdos con otras organizaciones que Convém que acordos com outras organizações,
impliquen compartir información deberían incluir que incluam o compartilhamento de informações,
procedimientos para identificar la clasificación de considerem procedimentos para identificar a
dicha información y para interpretar las etiquetas classificação daquela informação e para interpretar
de clasificación de otras organizaciones. os rótulos de classificação de outras organizacões.
Las responsabilidades de seguridad deberían ser Convém que as responsabilidades pela segurança
tratadas antes de tomar personal en da informação sejam atribuídas antes da
descripciones adecuadas de tareas y en términos contratação, de forma adequada, nas descrições
y condiciones de empleo. de cargos e nos termos e condições de
contratação.
1) Explicación: La palabra "empleo" se utiliza aquí para cubrir 1) Explicação: A palavra “contratação”, neste contexto, visa
todas las diferentes situaciones siguientes: empleo de cobrir todas as seguintes diferentes situações: contratação de
personas (temporales o a largo plazo), nombramiento de roles pessoas (temporárias ou por longa duração), nomeação de
de trabajo, cambio de roles de trabajo, asignaciones de funções, mudança de funções, atribuições de contratos e
contratistas, y la terminación de cualquiera de estos acuerdos. encerramento de quaisquer destas situações.
33 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Todos los candidatos para el empleo, contratistas Convém que todos os candidatos ao emprego,
y usuarios de terceras partes deberían ser fornecedores e terceiros sejam adequadamente
filtrados adecuadamente, especialmente para analisados, especialmente em cargos com acesso
tareas sensibles. a informações sensíveis.
Control Controle
Los roles y responsabilidades de seguridad de Convém que papéis e responsabilidades pela
usuarios empleados, contratistas y de terceras segurança da informação de funcionários,
partes deberían ser definidos y documentados de fornecedores e terceiros sejam definidos e
acuerdo con la política de seguridad de la documentados de acordo com a política de
información de la organización. segurança da informação da organização.
a) implementar y actuar de acuerdo con las a) implementar e agir de acordo com as políticas de
políticas de seguridad de la información de la segurança da informação da organização (ver 5.1);
organización (véase Apartado 5.1);
b) proteger los activos de accesos no autorizados, b) proteger ativos contra acesso não autorizado,
divulgación, modificación, destrucción o divulgação, modificação, destruição ou
interferencia; interferência;
34 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Control Controle
Debería realizarse la verificación de antecedentes Convém que verificações do histórico de todos os
en todos los candidatos al empleo, contratistas, y candidatos a emprego, fornecedores e terceiros
usuarios de terceras partes de acuerdo con las sejam realizadas de acordo com a ética, as leis e
leyes, regulaciones y normas éticas relevantes y as regulamentações pertinentes, e proporcionais
en proporción a los requisitos del negocio, la aos requisitos do negócio, à classificação das
clasificación de la información a ser accedida, y informações a serem acessadas e aos riscos
los riesgos percibidos. percebidos.
b) una comprobación (para integridad y exactitud) b) uma verificação (da exatidão e inteireza) das
del currículum vitae del postulante; informações do curriculum vitae do candidato;
e) comprobaciones más detalladas, tales como e) verificações mais detalhadas, tais como
verificación de crédito o antecedentes criminales. verificações financeiras (de crédito) ou verificações
de registros criminais.
Cuando una tarea, tanto en un nombramiento Convém que a organização também faça
inicial o en un ascenso, involucre que la persona verificações mais detalhadas, onde um trabalho
tenga acceso a instalaciones de procesamiento envolver pessoas, tanto por contratação como por
de información, y en particular si éstas están promoção, que tenham acesso aos recursos de
manejando información sensible, por ejemplo processamento da informação, em particular
información financiera o altamente confidencial, la aquelas que tratam de informações sensíveis, tais
organización debería también considerar como informações financeiras ou informações
comprobaciones adicionales más detalladas. altamente confidenciais.
Los procedimientos deberían definir criterios y Convém que os procedimentos definam critérios e
limitaciones para comprobaciones de verificación, limitações para as verificações de controle, por
por ejemplo, quién es elegible para seleccionar exemplo, quem está qualificado para selecionar as
personal, y cómo, cuándo y por qué se han de pessoas, e como, quando e por que as verificações
realizar las comprobaciones de verificación. de controle são realizadas.
Debería también realizarse un proceso de Convém que um processo de seleção também seja
selección para contratistas, y usuarios de terceras feito para fornecedores e terceiros. Quando essas
partes. Donde los contratistas sean provistos a pessoas vêm por meio de uma agência, convém
través de una agencia, el contrato con la agencia que o contrato especifique claramente as
debería especificar claramente las responsabilidades da agência pela seleção e os
responsabilidades de la agencia para selección y procedimentos de notificação que devem ser
los procedimientos de notificación que ellos seguidos se a seleção não for devidamente
necesitan seguir si la selección no ha sido concluída ou quando os resultados obtidos forem
35 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Debería recopilarse la información de todos los Convém que informações sobre todos os
candidatos a ser considerados para posiciones candidatos que estão sendo considerados para
dentro de la organización y debería ser manejada certas posições dentro da organização sejam
de acuerdo con toda legislación apropiada levantadas e tratadas de acordo com qualquer
existente en la jurisdicción relevante. legislação apropriada existente na jurisdição
Dependiendo de la legislación aplicable, los pertinente. Dependendo da legislação aplicável,
candidatos deberían ser informados con convém que os candidatos sejam previamente
antelación sobre las actividades de selección. informados sobre as atividades de seleção.
Control Controle
Como parte de su obligación contractual, los Como parte das suas obrigações contratuais,
empleados, contratistas y usuarios de terceras convém que os funcionários, fornecedores e
partes deberían acordar y firmar los términos y terceiros concordem e assinem os termos e
condiciones de su contrato de empleo, el cual condições de sua contratação para o trabalho, os
debería declarar las responsabilidades de él y de quais devem declarar as suas responsabilidades e
la organización para la seguridad de la a da organização para a segurança da informação.
información.
36 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
información personal creada como resultado o informações pessoais criadas como resultado de,
durante el contrato laboral con la organización ou em decorrência da, contratação com a
(véase también el Apartado 15.1.4); organização (ver 15.1.4);
h) La organización debería asegurar que los h) Convém que a organização assegure que os
empleados, contratistas y usuarios de terceras funcionários, fornecedores e terceiros concordam
partes acuerden en los términos y condiciones com os termos e condições relativas à segurança
concernientes a la seguridad de la información da informação adequados à natureza e extensão
apropiada a la naturaleza y extensión de acceso do acesso que eles terão aos ativos da
que ellos tendrán a los activos de la organización organização associados com os sistemas e
asociados con los sistemas y servicios de serviços de informação.
información.
Cuando sea apropiado, las responsabilidades Convém que as responsabilidades contidas nos
contenidas dentro de los términos y condiciones termos e condições de contratação continuem por
de empleo deberían continuar por un período um período de tempo definido, após o término da
definido luego de la finalización del empleo contratação (ver 8.3), onde apropriado.
(véase también el Apartado 8.3).
37 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Control Controle
La dirección debería requerir a los empleados, Convém que a direção solicite aos funcionários,
contratistas y usuarios de terceras partes que fornecedores e terceiros que pratiquem a
apliquen la seguridad de acuerdo a las políticas y segurança da informação de acordo com o
los procedimientos establecidos por la estabelecido nas políticas e procedimentos da
organización. organização.
a) sean apropiadamente instruidos sobre sus a) estão adequadamente instruídos sobre as suas
roles y responsabilidades de seguridad antes de responsabilidades e papéis pela segurança da
que se les otorgue acceso a información sensible informação antes de obter acesso às informações
o a sistemas de información; sensíveis ou aos sistemas de informação;
b) se les proporcione orientaciones para hacer b) recebam diretrizes que definam quais as
constar las expectativas sobre la seguridad de su expectativas sobre a segurança da informação de
rol dentro de la organización; suas atividades dentro da organização;
c) sean motivados a cumplir con las políticas de c) estão motivados para cumprir com as políticas
seguridad de la organización; de segurança da informação da organização;
e) convengan con los términos y condiciones del e) atendam aos termos e condições de
empleo, lo cual incluye la política de seguridad de contratação, que incluam a política de segurança
la información de la organización y métodos da informação da organização e métodos
apropiados de trabajo; apropriados de trabalho;
38 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Una gestión pobre puede causar que el personal Uma má gestão pode causar às pessoas o
se sienta subvaluado resultando en un impacto sentimento de sub-valorização, resultando em um
negativo en la seguridad para la organización. Por impacto de segurança da informação negativo para
ejemplo, una gestión pobre puede conducir a a organização. Por exemplo, uma má gestão pode
negligencias en la seguridad o mal uso potencial levar a segurança da informação a ser
de los activos de la organización. negligenciada ou a um potencial mau uso dos
ativos da organização.
Control Controle
Todos los empleados de la organización y, donde Convém que todos os funcionários da organização
sea relevante, contratistas y usuarios de terceras e, onde pertinente, fornecedores e terceiros
partes deberían recibir formación adecuada en recebam treinamento apropriados em
concientización y actualizaciones regulares en conscientização, e atualizações regulares nas
políticas y procedimientos organizacionales, políticas e procedimentos organizacionais,
relevantes para su función laboral. relevantes para as suas funções.
La formación en curso debería incluir requisitos Convém que os treinamentos em curso incluam
de seguridad, responsabilidades legales y requisitos de segurança da informação,
controles del negocio, así como también responsabilidades legais e controles do negócio,
formación en el uso correcto de instalaciones de bem como o treinamento do uso correto dos
procesamiento de información, como por ejemplo recursos de processamento da informação, como,
procedimiento de conexión (log-on), uso de por exemplo, procedimentos de log-on, o uso de
paquetes de software e información sobre el pacotes de software e informações sobre o
proceso disciplinario (véase el Apartado 8.2.3). processo disciplinar (ver 8.2.3).
Control Controle
39 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Debería existir un proceso disciplinario formal Convém que exista um processo disciplinar formal
para empleados que han perpetrado una violación para os funcionários que tenham cometido uma
a la seguridad. violação da segurança da informação.
El proceso disciplinario formal debería asegurar Convém que o processo discipline formal assegure
un tratamiento correcto y justo para los um tratamento justo e correto aos funcionários que
empleados de los cuales se sospecha que han são suspeitos de cometer violações de segurança
violado la seguridad. El proceso disciplinario da informação. O processo disciplinar formal deve
formal debería proveer una respuesta graduada dar uma resposta de forma gradual, que leve em
que tome en consideración factores tales como la consideração fatores como a natureza e a
naturaleza y gravedad de la violación y su gravidade da violação e o seu impacto no negócio,
impacto en el negocio, si es la primera ofensa o se este é ou não o primeiro delito, se o infrator foi
una repetición, si el violador fue apropiadamente ou não adequadamente treinado, as legislações
entrenado, legislación relevante, contratos del relevantes, os contratos do negócio e outros fatores
negocio y otros factores que se requieran. En conforme requerido. Em casos sérios de má
casos serios de mal comportamiento el proceso conduta, convém que o processo permita a
debería permitir remoción instantánea de tareas, imediata remoção das atribuições, direitos de
derechos de acceso y privilegios, e inmediata acesso e privilégios e, dependendo da situação,
escolta fuera del sitio, si es necesario. solicitar à pessoa, a saída imediata das
dependências da organização, escoltando-a.
OBJETIVO: Asegurar que los empleados, Objetivo: Assegurar que funcionários, fornecedores
contratistas o usuarios de terceras partes se e terceiros deixem a organização ou mudem de
desvinculen de una organización o cambien su trabalho de forma ordenada.
relación laboral de una forma ordenada.
Deberían existir responsabilidades para asegurar Convém que responsabilidades sejam definidas
que la desvinculación de la organización por parte para assegurar que a saída de funcionários,
de un empleado, contratista o usuarios de fornecedores e terceiros da organização seja feita
terceras partes sea gestionada, y que sea de modo controlado e que a devolução de todos os
completada la devolución de todo equipamiento y equipamentos e a retirada de todos os direitos de
la remoción de todos los derechos de acceso. acesso estão concluídas.
40 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Control Controle
Las responsabilidades para realizar la Convém que responsabilidades para realizar o
desvinculación o el cambio de la relación laboral encerramento ou a mudança de um trabalho sejam
deberían ser claramente definas y asignadas. claramente definidas e atribuídas.
Puede ser necesario informar a los empleados, Pode ser necessário informar aos funcionários,
clientes, contratistas, o usuarios de terceras clientes, fornecedores ou terceiros sobre as
partes de los cambios en los acuerdos operativos mudanças de pessoal e procedimentos
y de personal. operacionais.
Control Controle
Todos los empleados, contratistas y usuarios de Convém que todos os funcionários, fornecedores e
terceras partes deberían devolver todos los terceiros devolvam todos os ativos da organização
activos pertenecientes a la organización que que estejam em sua posse, após o encerramento
estén en su poder como consecuencia de la de suas atividades, do contrato ou acordo.
finalización de su relación laboral, contrato o
acuerdo.
41 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Control Controle
Los derechos de acceso de todo empleado, Convém que os direitos de acesso de todos os
contratista o usuario de terceras partes a funcionários, fornecedores e terceiros às
información e instalaciones de procesamiento de informações e aos recursos de processamento da
información deberían ser removidos como informação sejam retirados após o encerramento
consecuencia de la desvinculación de su empleo, de suas atividades, contratos ou acordos, ou
contrato o acuerdo, o ajustado cuando cambia. ajustado após a mudança destas atividades.
42 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Los derechos de acceso a activos de información Convém que os direitos de acesso aos ativos de
e instalaciones de procesamiento de información informação e aos recursos de processamento da
deberían ser reducidos o removidos antes de que informação sejam reduzidos ou retirados antes que
el empleo termine o cambie, dependiendo de la a atividade se encerre ou altere, dependendo da
evaluación de los factores de riesgo tales como: avaliação de fatores de risco, tais como:
c) el valor de los activos accesibles actualmente. c) valor dos ativos atualmente acessíveis.
En casos que la desvinculación sea iniciada por la Nos casos em que o encerramento da atividade
dirección, los empleados, contratistas o usuarios seja da iniciativa do gestor, os funcionários,
de terceras partes contrariados pueden fornecedores ou terceiros descontentes podem
deliberadamente dañar información o sabotear deliberadamente corromper a informação ou
equipamiento de procesamiento de información. sabotar os recursos de processamento da
En casos de personas que renuncian, podrían informação. No caso de pessoas demitidas ou
estar tentados a recoger información para uso exoneradas, elas podem ser tentadas a coletar
futuro. informações para uso futuro.
OBJETIVO: Evitar accesos físicos no autorizados, Objetivo: Prevenir o acesso físico não autorizado,
daños e interferencias contra las instalaciones y danos e interferências com as instalações e
la información de la organización. informações da organização.
La protección provista debería ser proporcional a Convém que a proteção oferecida seja compatível
los riesgos identificados. com os riscos identificados.
43 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Control Controle
Deberían utilizarse perímetros de seguridad Convém que sejam utilizados perímetros de
(barreras tales como paredes, puertas de entrada segurança (barreiras tais como paredes, portões de
controladas por tarjeta o recepcionista) para entrada controlados por cartão ou balcões de
proteger las áreas que contienen información e recepção com recepcionistas) para proteger as
instalaciones de procesamiento de información. áreas que contenham informações e instalações de
processamento da informação.
c) debería existir un área de recepción atendida c) seja implantada uma área de recepção, ou um
por personal u otros medios de control de acceso outro meio para controlar o acesso físico ao local
físico al área o edificio; dicho acceso se debería ou ao edifício; o acesso aos locais ou edifícios deve
restringir sólo al personal autorizado; ficar restrito somente ao pessoal autorizado;
d) donde sea aplicable, se deberían construir d) sejam construídas barreiras físicas, onde
barreras físicas para evitar el acceso físico no aplicável, para impedir o acesso físico não
autorizado y la contaminación del entorno; autorizado e a contaminação do meio ambiente;
e) todas las puertas contra incendios del e) todas as portas corta-fogo do perímetro de
perímetro de seguridad deberían tener alarma, segurança sejam providas de alarme, monitoradas
ser supervisadas y probadas conjuntamente con e testadas juntamente com as paredes, para
las paredes para establecer el nivel requerido de estabelecer o nível de resistência exigido, de
resistencia de acuerdo a las normas regionales, acordo com normas regionais, nacionais e
nacionales, e internacionales apropiadas; internacionais aceitáveis; elas devem funcionar de
deberían funcionar de acuerdo con las acordo com os códigos locais de prevenção de
disposiciones locales de protección contra el incêndios e prevenção de falhas;
fuego de modo de garantizar la seguridad;
44 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
intrusos adecuados según las normas nacionales, acordo com normas regionais, nacionais e
regionales o internacionales y probar internacionais, sejam instalados e testados em
regularmente para cubrir todas las puertas intervalos regulares, e cubram todas as portas
externas y ventanas accesibles; las áreas externas e janelas acessíveis; as áreas não
vacantes se deberían alarmar siempre; también ocupadas devem ser protegidas por alarmes o
se debería proporcionar protección para otras tempo todo; também deve ser dada proteção a
áreas, por ejemplo, sala de computadoras o outras áreas, por exemplo, salas de computadores
cuartos de comunicaciones; ou salas de comunicações;
Un área segura puede ser una oficina bloqueable, Uma área segura pode ser um escritório trancável
o varios cuartos rodeados por una barrera física ou um conjunto de salas rodeado por uma barreira
continua interna de seguridad. Las barreras física interna contínua de segurança. Pode haver
adicionales y los perímetros para controlar el necessidade de barreiras e perímetros adicionais
acceso físico pueden ser necesarios entre áreas para o controle do acesso físico, quando existem
con diferentes requisitos de seguridad dentro del áreas com requisitos de segurança diferentes
perímetro de seguridad. dentro do perímetro de segurança.
Se deberían tener consideraciones especiales de Convém que sejam tomadas precauções especiais
seguridad de acceso físico en los edificios donde para a segurança do acesso físico no caso de
funcionan múltiples organizaciones. edifícios que alojam diversas organizações.
Controles Controle
Las áreas de seguridad deberían estar protegidas Convém que as áreas seguras sejam protegidas
por controles de entrada adecuados que por controles apropriados de entrada para
aseguren el acceso sólo al personal autorizado. assegurar que somente pessoas autorizadas
tenham acesso.
a) la fecha y hora de entrada y salida de visitantes a) a data e hora da entrada e saída de visitantes
deberían ser registradas, y todos los visitantes sejam registradas, e todos os visitantes sejam
deberían ser supervisados a menos que su supervisionados, a não ser que o seu acesso tenha
acceso se haya aprobado previamente; el acceso sido previamente aprovado; convém que as
debería ser concedido sólo para propósitos permissões de acesso sejam concedidas somente
especificados y autorizados, proporcionándoles para finalidades específicas e autorizadas, e sejam
instrucciones sobre los requisitos de seguridad emitidas com instruções sobre os requisitos de
del área y los procedimientos de emergencia; segurança da área e os procedimentos de
emergência;
b) el acceso a las áreas donde se procesa o se b) acesso às áreas em que são processadas ou
45 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
c) para todos los empleados, contratistas y c) seja exigido que todos os funcionários,
usuarios de terceras partes así como para todos fornecedores e terceiros, e todos os visitantes,
los visitantes debería requerirse el uso de algún tenham alguma forma visível de identificação, e
tipo de identificación visible y deberían notificar eles devem avisar imediatamente o pessoal de
inmediatamente al personal de seguridad si segurança caso encontrem visitantes não
encuentran a visitantes no acompañados y a acompanhados ou qualquer pessoa que não esteja
cualquier persona que no lleve la identificación usando uma identificação visível;
visible;
d) debería concederse el acceso restringido del d) aos terceiros que realizam serviços de suporte,
personal de soporte de terceras partes a las seja concedido acesso restrito às áreas seguras ou
áreas seguras o a las instalaciones sensibles de às instalações de processamento da informação
procesamiento de la información sólo cuando sea sensível somente quando necessário; este acesso
requerido; este acceso debería ser autorizado y deve ser autorizado e monitorado;
supervisado;
e) los derechos de acceso a las áreas seguras e) os direitos de acesso a áreas seguras sejam
deberían ser regularmente revisados y revistos e atualizados em intervalos regulares, e
actualizados, y revocados cuando sea necesario revogados quando necessário (ver 8.3.3).
(véase el Apartado 8.3.3).
Control Controle
Debería diseñarse y aplicarse la seguridad física Convém que seja projetada e aplicada segurança
para oficinas, despachos e instalaciones. física para escritórios, salas e instalações.
c) los edificios deberían ser discretos y dar el c) os edifícios sejam discretos e dêem a menor
mínimo indicio de su propósito, cuando sea indicação possível da sua finalidade, sem letreiros
posible, sin dar muestras obvias, fuera o dentro evidentes, fora ou dentro do edifício, que
del edificio, que identifiquen la presencia de las identifiquem a presença de atividades de
actividades de procesamiento de la información; processamento de informações, quando for
aplicável;
d) los directorios y libros de teléfonos internos que d) as listas de funcionários e guias telefônicos
identifican ubicaciones de instalaciones sensibles internos que identifiquem a localização das
de procesamiento de la información no deberían instalações que processam informações sensíveis
46 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
ser fácilmente accesibles por el público. não fiquem facilmente acessíveis ao público.
9.1.4 Protección contra amenazas externas y 9.1.4 Proteção contra ameaças externas e do
del ambiente meio ambiente
Control Controle
Debería diseñarse y aplicarse medios de Convém que sejam projetadas e aplicadas
protección física contra daños por incendio, proteção física contra incêndios, enchentes,
inundación, terremoto, explosión, disturbios terremotos, explosões, perturbações da ordem
civiles, y otras formas de desastre natural o pública e outras formas de desastres naturais ou
artificial. causados pelo homem.
Control Controle
Debería diseñarse y aplicarse la protección física Convém que seja projetada e aplicada proteção
y las directrices para trabajar en áreas seguras. física, bem como diretrizes para o trabalho em
áreas seguras.
47 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
maliciosas. intencionadas;
c) Las áreas seguras desocupadas deberían estar c) as áreas seguras não ocupadas sejam
cerradas y controlarse periódicamente. fisicamente trancadas e periodicamente verificadas;
não seja permitido o uso de máquinas fotográficas,
d) No debería permitirse la presencia de equipos gravadores de vídeo ou áudio ou de outros
de fotografía, video, audio u otros formas de equipamentos de gravação, tais como câmeras em
registro, salvo autorización expresa. dispositivos móveis, salvo se for autorizado.
Los acuerdos para trabajar en áreas seguras As normas para o trabalho em áreas seguras
incluyen controles para los empleados, los incluem o controle dos funcionários, fornecedores e
contratistas y los usuarios de terceras partes que terceiros que trabalham em tais áreas, bem como o
trabajan en el área segura, así como otras controle de outras atividades de terceiros nestas
actividades de terceros que ocurren allí. áreas.
9.1.6 Áreas de de acceso público, de entrega y 9.1.6 Acesso do público, áreas de entrega e de
de carga carregamento
Control Controle
Los puntos de acceso tales como áreas de Convém que os pontos de acesso, tais como áreas
entrega y de cargamento y otros puntos donde las de entrega e de carregamento e outros pontos em
personas no autorizadas puedan acceder a las que pessoas não autorizadas possam entrar nas
instalaciones deberían controlarse, y si es instalações, sejam controlados e, se possível,
posible, aislarlos de instalaciones de isolados das instalações de processamento da
procesamiento de la información para evitar el informação, para evitar o acesso não autorizado.
acceso no autorizado.
b) el área debería diseñarse para que los b) as áreas de entrega e carregamento sejam
suministros puedan descargarse sin que el projetadas de tal maneira que seja possível
personal de depósito tenga acceso a otras zonas descarregar suprimentos sem que os entregadores
del edificio; tenham acesso a outras partes do edifício;
c) la puerta externa del área debería estar c) as portas externas de uma área de entrega e
cerrada cuando la interna esté abierta; carregamento sejam protegidas enquanto as portas
internas estiverem abertas;
f) cuando sea posible, los envíos entrantes y f) as remessas entregues sejam segregadas
salientes deberían segregarse físicamente. fisicamente das remessas que saem, sempre que
possível.
48 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
OBJETIVO: Prevenir pérdidas, daños, hurtos o Objetivo: Impedir perdas, danos, furto ou roubo, ou
comprometer los activos así como la interrupción comprometimento de ativos e interrupção das
de las actividades de la organización. atividades da organização.
El equipo debería protegerse contra las Convém que os equipamentos sejam protegidos
amenazas físicas y ambientales. contra ameaças físicas e do meio ambiente.
Control Controle
El equipamiento debería ubicarse o protegerse Convém que os equipamentos sejam colocados no
para reducir los riesgos ocasionados por local ou protegidos para reduzir os riscos de
amenazas y peligros ambientales, y ameaças e perigos do meio ambiente, bem como
oportunidades de acceso no autorizado. as oportunidades de acesso não autorizado.
c) los elementos que requieran protección c) os itens que exigem proteção especial devem
especial deberían aislarse para reducir el nivel ser isolados para reduzir o nível geral de proteção
general de protección requerida; necessário;
d) se deberían adoptar controles para reducir al d) sejam adotados controles para minimizar o risco
mínimo el riesgo de amenazas físicas de ameaças físicas potenciais, tais como furto ou
potenciales, como ser: hurto, fuego, explosivos, roubo, incêndio, explosivos, fumaça, água (ou falha
humo, inundaciones (o falta de suministro de do suprimento de água), poeira, vibração, efeitos
agua), polvo, vibraciones, efectos químicos, químicos, interferência com o suprimento de
interferencias en el suministro eléctrico, energia elétrica, interferência com as
interferencia de las comunicaciones, radiación comunicações, radiação eletromagnética e
electromagnética, y vandalismo; vandalismo;
49 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
e) deberían establecerse pautas para comer, e) sejam estabelecidas diretrizes quanto a comer,
beber, y fumar en proximidad de las instalaciones beber e fumar nas proximidades das instalações de
de procesamiento de la información; processamento da informação;
g) deberían colocarse pararrayos sobre todos los g) todos os edifícios sejam dotados de proteção
edificios y deberían aplicarse filtros de protección contra raios e todas as linhas de entrada de força e
contra rayos a todas las lineas entrantes de de comunicações tenham filtros de proteção contra
energía y de comunicaciones; raios;
Control Controle
Debería protegerse el equipamiento contra Convém que os equipamentos sejam protegidos
posibles fallas en el suministro de energía y otras contra falta de energia elétrica e outras
interrupciones causados por fallas en elementos interrupções causadas por falhas das utilidades.
de soporte.
Se recomienda contar con una fuente de energía Recomenda-se o uso de UPS para suportar as
ininterrumpida (UPS) para asegurar el correcto paradas e desligamento dos equipamentos ou para
apagado o el funcionamiento continuo del manter o funcionamento contínuo dos
equipamiento que soporta las operaciones críticas equipamentos que suportam operações críticas dos
del negocio. Los planes de contingencia negócios. Convém que hajam planos de
energéticos deberían contemplar las acciones a contingência de energia referentes às providências
tomar en caso de falla de la UPS. Debería a serem tomadas em caso de falha do UPS.
tenerse en cuenta el empleo de un generador de Convém que seja considerado um gerador de
reserva si el procesamiento ha de continuar en emergência caso seja necessário que o
caso de una falla prolongada en el suministro processamento continue mesmo se houver uma
eléctrico. Debería disponerse de un adecuado interrupção prolongada do suprimento de energia.
50 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
suministro de combustible para asegurarse que el Convém que esteja disponível um suprimento
generador pueda funcionar por un período adequado de combustível para garantir a operação
prolongado. Los equipos de UPS y los prolongada do gerador. Convém que os
generadores deberían inspeccionarse equipamentos UPS e os geradores sejam
regularmente para asegurar que tienen la verificados em intervalos regulares para assegurar
capacidad requerida y probarlos de acuerdo con que eles tenham capacidade adequada, e sejam
las recomendaciones del fabricante. Además, se testados de acordo com as recomendações do
podría considerar el uso de fuentes de energía fabricante. Além disto, deve ser considerado o uso
múltiples o, si el sitio es grande, una subestación de múltiplas fontes de energia ou de uma
energética separada. subestação de força separada, se o local for
grande.
El suministro de agua debería ser estable y Convém que o suprimento de água seja estável e
adecuado para abastecer los sistemas de aire adequado para abastecer os equipamentos de
acondicionado, de humectación y de supresión ar-condicionado e de umidificação, bem como os
del fuego (cuando sean utilizados). sistemas de extinção de incêndios (quando
usados).
Control Controle
Debería protegerse contra interceptación o daños Convém que o cabeamento de energia e de
el cableado de energía y de telecomunicaciones telecomunicações que transporta dados ou dá
que transporta datos o brinda soporte a servicios suporte aos serviços de informações seja protegido
de información. contra interceptação ou danos.
51 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
b) el cableado de red debería estar protegido b) cabeamento de redes seja protegido contra
contra interceptación no autorizada o daño, por interceptação não autorizada ou danos, por
ejemplo, mediante el uso de conductos o evitando exemplo, pelo uso de conduítes ou evitando
trayectos que atraviesen áreas públicas; trajetos que passem por áreas públicas;
c) los cables de energía deben estar separados c) os cabos de energia sejam segregados dos
de los cables de comunicaciones para evitar cabos de comunicações, para evitar interferências;
interferencias;
d) deberían utilizarse marcas claramente d) nos cabos e nos equipamentos, sejam utilizadas
identificables en cables y equipamiento para marcações claramente identificáveis, a fim de
reducir al mínimo los errores de manejo, tales minimizar erros de manuseio, como, por exemplo,
como conexiones accidentales erróneas de los fazer de forma acidental conexões erradas em
cables de red; cabos da rede;
e) debería utilizarse una lista documentada de las e) seja utilizada uma lista de documentação das
conexiones para reducir la posibilidad de errores; conexões para reduzir a possibilidade de erros;
f) entre los controles adicionales a considerar f) para sistemas sensíveis ou críticos, os seguintes
para los sistemas sensibles o críticos se controles adicionais devem ser considerados:
encuentran los siguientes:
2) uso de rutas y/o medios de transmisión 2) uso de rotas alternativas e/ou meios de
alternativos que proporcionen una transmissão alternativos que proporcionem
adecuada seguridad; segurança adequada;
Control Controle
El equipamiento debería mantenerse Convém que os equipamentos tenham uma
adecuadamente para asegurar su continua manutenção correta para assegurar sua
disponibilidad e integridad. disponibilidade e integridade permanentes.
52 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
c) se deberían mantener registros de todos los c) sejam mantidos os registros de todas as falhas,
fallos, reales o sospechados, así como de todo el suspeitas ou reais, e de todas as operações de
mantenimiento preventivo y correctivo; manutenção preventiva e corretiva realizadas;
e) debería cumplirse con todos los requisitos e) sejam atendidas todas as exigências
impuestos por pólizas de seguros. estabelecidas nas apólices de seguro.
9.2.5 Seguridad del equipamiento fuera de las 9.2.5 Segurança de equipamentos fora das
instalaciones de la organización dependências da organização
Control Controle
Debería asegurarse todo el equipamiento fuera Convém que sejam tomadas medidas de
de los locales de la organización, teniendo en segurança para equipamentos que operem fora do
cuenta los diferentes riesgos de trabajar fuera de local, levando em conta os diferentes riscos
las instalaciones de la organización. decorrentes do fato de se trabalhar fora das
dependências da organização.
a) los equipos y soportes que contengan datos a) os equipamentos e mídias removidos das
con información y sean sacados de su entorno dependências da organização não fiquem sem
habitual no deberían dejarse desatendidos en supervisão em lugares públicos; os computadores
sitios públicos; cuando viajen, las computadoras portáteis sejam carregados como bagagem de mão
portátiles deberían, cuando sea posible, e disfarçados, sempre que possível, quando se
transportarse como equipaje de mano y de forma viaja;
53 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
disimulada;
c) los controles para el trabajo en el domicilio se c) os controles para o trabalho em casa sejam
deberían determinar mediante una evaluación de determinados por uma análise/avaliação de riscos,
los riesgos y aplicarse los controles convenientes sendo aplicados controles adequados para cada
según sea apropiado, por ejemplo, gabinetes para caso, por exemplo, arquivos trancáveis, política de
archivos con cerradura, una política de escritorios "mesa limpa", controles de acesso a computadores,
limpios, controles de acceso a las computadoras e comunicação segura com o escritório
y comunicaciones seguras con la oficina (véase (ver ISO/IEC 18028, Network security);
también ISO/IEC 18028, Network Security);
d) deberían cubrirse con un seguro adecuado los d) haja uma cobertura adequada de seguro para
equipos fuera de su lugar de trabajo. proteger os equipamentos fora das dependências
da organização.
Los riesgos de seguridad, por ejemplo, de daño, Os riscos de segurança, por exemplo, de danos,
robo y escucha, pueden variar mucho según la furto ou espionagem, podem variar
ubicación y esto debería tenerse en cuenta al consideravelmente de um local para outro e
determinar los controles más apropiados. convém que sejam levados em conta para
determinar os controles mais apropriados.
Puede encontrarse en el Apartado 11.7.1 más Mais informações sobre outros aspectos da
información sobre otros aspectos de la protección proteção de equipamentos móveis podem ser
de equipos móviles. encontradas em 11.7.1.
Control Controle
Todos aquel equipamiento que contenga medios Convém que todos os equipamentos que
de almacenamiento debería revisarse para contenham mídias de armazenamento de dados
asegurar que todo los datos sensibles y software sejam examinados antes do descarte, para
licenciado se haya removido o se haya assegurar que todos os dados sensíveis e
sobreescrito con seguridad antes de su softwares licenciados tenham sido removidos ou
disposición. sobregravados com segurança.
54 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Control Controle
El equipamiento, la información o el software no Convém que equipamentos, informações ou
deberían retirarse del local de la organización sin software não sejam retirados do local sem
previa autorización. autorização prévia.
c) debería fijarse un límite de tiempo para el c) sejam estabelecidos limites de tempo para a
equipamiento retirado y verificar el cumplimiento retirada de equipamentos do local, e a devolução
del retorno; seja controlada;
d) cuando sea necesario y procedente, debería d) sempre que necessário ou apropriado, seja feito
registrarse tanto la salida del equipamiento del um registro da retirada e da devolução de
local, como el retorno del mismo. equipamentos, quando do seu retorno.
55 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
OBJETIVO: Asegurar la operación correcta y Objetivo: Garantir a operação segura e correta dos
segura de las instalaciones de procesamiento de recursos de processamento da informação.
información.
Cuando sea conveniente, se debería implementar Convém que seja utilizada a segregação de
la separación de funciones para reducir el riesgo funções quando apropriado, para reduzir o risco de
de uso inadecuado deliberado o negligente del mau uso ou uso doloso dos sistemas.
sistema.
Control Controle
Los procedimientos de operación deberían Convém que os procedimentos de operação sejam
documentarse, mantenerse y ponerse a documentados, mantidos atualizados e disponíveis
disposición de todos los usuarios que los a todos os usuários que deles necessitem.
necesiten.
d) instrucciones para el manejo de errores u otras d) instruções para tratamento de erros ou outras
condiciones excepcionales, que pudieran condições excepcionais, que possam ocorrer
presentarse durante la ejecución de la tarea, durante a execução de uma tarefa, incluindo
incluyendo restricciones en el uso de las restrições de uso dos utilitários do sistema (ver
56 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
e) soporte en caso de inesperadas dificultades e) dados para contatos de suporte para o caso de
operacionales o técnicas; eventos operacionais inesperados ou dificuldades
técnicas;
Control Controle
Deberían controlarse los cambios en los sistemas Convém que modificações nos recursos de
e instalaciones de procesamiento de información. processamento da informação e sistemas sejam
controladas.
e) comunicación de los detalles del cambio a e) comunicação dos detalhes das mudanças para
todas las personas involucradas en los mismos; todas as pessoas envolvidas;
57 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Los cambios a los sistemas operacionales Convém que mudanças em sistemas operacionais
deberían realizarse solamente cuando existe una sejam apenas realizadas quando houver uma razão
razón válida para el negocio, por ejemplo un de negócio válida para tal, como um aumento no
aumento en el riesgo al sistema. La actualización risco do sistema. A atualização de sistemas às
de los sistemas con las últimas versiones del versões mais atuais de sistemas operacionais ou
sistema operativo o de la aplicación no siempre aplicativos nem sempre é do interesse do negócio,
favorece el interés del negocio, pues podría pois pode introduzir mais vulnerabilidades e
introducir más vulnerabilidades e inestabilidad instabilidades ao ambiente do que a versão
que la versión vigente. Puede también haber una corrente. Pode haver ainda a necessidade de
necesidad de capacitación adicional, costos de treinamento adicional, custos de licenciamento,
licencia, soporte, gastos indirectos de suporte, manutenção e sobrecarga de
mantenimiento y de administración, y hardware administração, bem como a necessidade de novos
nuevo, especialmente durante la migración. equipamentos, especialmente durante a fase de
migração.
Control Controle
Deberían segregarse las tareas y las áreas de Convém que funções e áreas de responsabilidade
responsabilidad para reducir las oportunidades de sejam segregadas para reduzir as oportunidades
modificación no autorizada o no intencional, o el de modificação ou uso indevido não autorizado ou
uso inadecuado de los activos de la organización. não intencional dos ativos da organização.
58 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Control Controle
Los recursos para desarrollo, prueba y producción Convém que recursos de desenvolvimento, teste e
deberían separarse para reducir los riesgos de produção sejam separados para reduzir o risco de
acceso no autorizado o los cambios al sistema acessos ou modificações não autorizadas aos
operacional. sistemas operacionais.
Los siguientes puntos deberían ser considerados: Convém que os seguintes itens sejam
considerados:
e) los usuarios deberían emplear perfiles de e) os usuários tenham diferentes perfis para
usuario diferentes para los sistemas en sistemas em testes e em produção, e que os
producción y prueba, y los menús deberían menus mostrem mensagens apropriadas de
exhibir los mensajes de identificación apropiados identificação para reduzir o risco de erro;
para reducir el riesgo a errores;
f) los datos sensibles no deberían utilizarse en el f) os dados sensíveis não sejam copiados para os
ambiente del sistema de prueba (véase el ambientes de testes (ver 12.4.2).
Apartado 12.4.2).
59 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
10.2 Gestión de la entrega del servicio por 10.2 Gerenciamento de serviços terceirizados
terceras partes
Control Controle
Debería asegurarse que los controles de Convém que seja garantido que os controles de
seguridad, las definiciones del servicio y los segurança, as definições de serviço e os níveis de
niveles de entrega incluidos en el acuerdo de entrega incluídos no acordo de entrega de serviços
entrega del servicio por terceras partes son terceirizados sejam implementados, executados e
implementados, operados, y mantenidos por las mantidos pelo terceiro.
60 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
terceras partes.
La organización debería asegurarse que la Convém que a organização garanta que o terceiro
tercera parte conserva una capacidad de servicio mantenha capacidade de serviço suficiente,
suficiente acorde con los planes realizables, juntamente com planos viáveis projetados para
diseñados para asegurarse que los niveles garantir que os níveis de continuidade de serviços
convenidos de la continuidad del servicio están acordados sejam mantidos após falhas de serviços
mantenidos ante fallas del servicio o de desastre severas ou desastres (ver 14.1).
(véase el Apartado 14.1).
Control Controle
Deberían supervisarse y revisarse regularmente Convém que os serviços, relatórios e registros
los servicios, informes y registros proporcionados fornecidos por terceiro sejam regularmente
por las terceras partes, y deberían realizarse monitorados e analisados criticamente, e que
regularmente auditorías. auditorias sejam executadas regularmente.
a) supervisar niveles de desempeño del servicio a) monitorar níveis de desempenho de serviço para
para comprobar adherencia a los acuerdos; verificar aderência aos acordos;
b) revisar los informes del servicio producidos por b) analisar criticamente os relatórios de serviços
las terceras partes y realizar reuniones de produzidos por terceiros e agendamento de
evaluación según los requisitos de los acuerdos; reuniões de progresso conforme requerido pelos
acordos;
61 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
las terceras partes y registros de los incidentes de terceiro e registros de eventos de segurança,
seguridad, de los problemas operacionales, de las problemas operacionais, falhas, investigação de
fallas, y de interrupciones relacionadas con el falhas e interrupções relativas ao serviço entregue;
servicio entregado;
Control Controle
Los cambios a la prestación de los servicios, Convém que mudanças no provisionamento dos
incluyendo mantenimiento y mejora de las serviços, incluindo manutenção e melhoria da
políticas existentes de la seguridad de la política de segurança da informação,
información, procedimientos y controles, deberían procedimentos e controles existentes, sejam
gestionarse tomando en cuenta la importancia de gerenciadas levando-se em conta a criticidade dos
los sistemas y procesos de negocio que impliquen sistemas e processos de negócio envolvidos e a
una nueva valoración de riesgos. reanálise/reavaliação de riscos.
62 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
a) cambios realizados por la organización para a) mudanças feitas pela organização para a
implementar: implementação de:
4) nuevos controles para resolver incidentes 4) novos controles para resolver os incidentes
de la seguridad de la información y para de segurança da informação e para melhorar
mejorar la seguridad; a segurança;
10.3 Planificación y aceptación del sistema 10.3 Planejamento e aceitação dos sistemas
OBJETIVO: Minimizar el riesgo de fallos de los Objetivo: Minimizar o risco de falhas nos sistemas.
sistemas.
Deberían establecerse, documentarse y probarse Convém que os requisitos operacionais dos novos
los requisitos operativos de nuevos sistemas sistemas sejam estabelecidos, documentados e
antes de su aprobación y utilización. testados antes da sua aceitação e uso.
Control Controle
Debería supervisarse y adaptarse el uso de Convém que a utilização dos recursos seja
recursos, así como proyecciones de los futuros monitorada e ajustada, e as projeções feitas para
requisitos de capacidad para asegurar el necessidades de capacidade futura, para garantir o
63 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Debería supervisarse y adaptarse el sistema para Convém que o ajuste e o monitoramento dos
asegurar, y cuando sea necesario, mejorar la sistemas sejam aplicados para garantir e, quando
disponibilidad y la eficacia de los sistemas. necessário, melhorar a disponibilidade e eficiência
Deberían ejecutarse controles exhaustivos para dos sistemas. Convém que controles detectivos
indicar problemas a su debido tiempo. Las sejam implantados para identificar problemas em
proyecciones de los requisitos de capacidad tempo hábil. Convém que projeções de capacidade
futura deberían tomar en cuenta los nuevos futura levem em consideração os requisitos de
requisitos del negocio y del sistema, así como novos negócios e sistemas e as tendências atuais
tendencias actuales y proyectadas en la e projetadas de capacidade de processamento de
capacidad de procesamiento de la información de informação da organização.
la organización.
Es necesario poner atención a los recursos cuya Atenção particular precisa ser dada a qualquer
adquisición toma mucho tiempo o requiere costos recurso que possua um ciclo de renovação ou
elevados; por lo tanto los responsables deberían custo maior, sendo responsabilidade dos gestores
supervisar la utilización de los recursos clave del monitorar a utilização dos recursos-chave dos
sistema. Deberían identificar tendencias en uso, sistemas. Convém que eles identifiquem as
particularmente en lo referente a las aplicaciones tendências de utilização, particularmente em
del negocio o herramientas de administración de relação às aplicações do negócio ou às
sistemas de información. ferramentas de gestão de sistemas de informação.
Los responsables deberían utilizar esta Convém que os gestores utilizem essas
información para identificar y evitar posibles informações para identificar e evitar os potenciais
embotellamientos, así como dependencia de gargalos e a dependência em pessoas-chave que
personal clave que pudiera presentar una possam representar ameaças à segurança dos
amenaza a la seguridad o a los servicios del sistemas ou aos serviços, e planejar ação corretiva
sistema, y planificar la acción apropiada. apropriada.
Control Controle
Deberían establecerse criterios de aceptación Convém que sejam estabelecidos critérios de
para sistemas de información nuevos, aceitação para novos sistemas, atualizações e
actualizaciones y nuevas versiones y llevar a novas versões, e que sejam efetuados testes
cabo las pruebas adecuadas del sistema durante apropriados do(s) sistema(s) durante seu
el desarrollo y antes de la aceptación. desenvolvimento e antes da sua aceitação.
64 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
g) evidencia de que la instalación del nuevo g) evidência de que a instalação do novo sistema
sistema no producirá repercusiones negativas não afetará de forma adversa os sistemas
sobre los existentes, particularmente en los existentes, particularmente nos períodos de pico de
períodos picos de proceso como a fin de mes; processamento, como, por exemplo, em final de
mês;
j) facilidad de empleo, y como esto afecta el j) facilidade de uso, uma vez que afeta o
funcionamiento del usuario y evita el error desempenho do usuário e evita falhas humanas.
humano.
10.4 Protección contra código malicioso y 10.4 Proteção contra códigos maliciosos e
código móvil códigos móveis
Se requieren ciertas precauciones para prevenir y Precauções são requeridas para prevenir e
detectar la introducción de código malicioso y detectar a introdução de códigos maliciosos e
código móvil no autorizado. códigos móveis não autorizados.
65 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
10.4.1 Controles contra código malicioso 10.4.1 Controles contra códigos maliciosos
Control Controle
Deberían implantarse controles de detección, Convém que sejam implantados controles de
prevención y recuperación para protegerse contra detecção, prevenção e recuperação para proteger
códigos maliciosos, junto a procedimientos contra códigos maliciosos, assim como
adecuados para concientizar a los usuarios. procedimentos para a devida conscientização dos
usuários.
a) establecimiento de una política formal que a) estabelecer uma política formal proibindo o uso
establezca la prohibición del uso de software no de softwares não autorizados (ver 15.1.2);
autorizado (véase el Apartado 15.1.2);
b) establecimiento de una política formal de b) estabelecer uma política formal para proteção
protección contra los riesgos asociados a la contra os riscos associados com a importação de
obtención de archivos y software por redes arquivos e softwares, seja de redes externas, ou
externas o cualquier otro medio, indicando las por qualquer outro meio, indicando quais medidas
medidas protectoras a adoptar; preventivas devem ser adotadas;
c) revisiones regulares del contenido de datos y c) conduzir análises críticas regulares dos
software que soportan los procesos del negocio; softwares e dados dos sistemas que suportam
la presencia de archivos no aprobados o arreglos processos críticos de negócio; convém que a
no autorizados debería investigarse formalmente; presença de quaisquer arquivos não aprovados ou
atualização não autorizada seja formalmente
investigada;
66 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
El software a proteger contra código malicioso se Softwares de proteção contra código malicioso
puede instalar para obtener actualizaciones podem ser instalados para prover atualizações
automáticas de los archivos y los motores de automáticas dos arquivos de definição e
búsqueda para asegurar la actualización de la mecanismos de varredura, para garantir que a
protección. Además, este software se puede proteção esteja atualizada. Adicionalmente, estes
instalar en cada escritorio para realizar softwares podem ser instalados em todas as
verificaciones automáticas. estações de trabalho para a realização de
67 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
verificações automáticas.
Debería tenerse especial cuidado para protegerse Convém que seja tomado cuidado quanto a
contra la introducción de código malicioso durante possível introdução de códigos maliciosos durante
los procedimientos de mantenimiento y de manutenções e quando estão sendo realizados
emergencia, evitando que códigos maliciosos procedimentos de emergência. Tais procedimentos
puedan saltear los controles. podem ignorar controles normais de proteção
contra códigos maliciosos.
10.4.2 Controles contra código móvil 10.4.2 Controles contra códigos móveis
Control Controle
Donde el uso de código móvil está autorizado, la Onde o uso de códigos móveis é autorizado,
configuración debería asegurar que el código convém que a configuração garanta que o código
móvil autorizado opera de acuerdo con una móvel autorizado opere de acordo com uma política
política de seguridad definida, y debería evitarse de segurança da informação claramente definida e
la ejecución de código móvil no autorizado. códigos móveis não autorizados tenham sua
execução impedida.
b) bloqueo de cualquier utilización de código b) bloquear qualquer tipo de uso de código móvel;
móvil;
d) activación de medidas técnicas disponibles en d) ativar medidas técnicas disponíveis nos sistemas
sistemas específicos para asegurar el control del específicos para garantir que o código móvel esteja
código móvil; sendo administrado;
e) control de recursos disponibles sobre el acceso e) controlar os recursos disponíveis para acesso ao
del código móvil; código móvel;
Además para asegurar que el código móvil no Além de garantir que os códigos móveis não
contiene otro código malicioso, el control del carreguem códigos maliciosos, manter o controle
código móvil es esencial para evitar su uso no deles é essencial na prevenção contra o uso não
autorizado o la interrupción del sistema, red o autorizado ou interrupção de sistemas, redes ou
recursos de la aplicación y otras brechas de la aplicativos, e na prevenção contra violações de
seguridad de la información. segurança da informação.
68 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Control Controle
Deberían hacerse regularmente copias de Convém que as cópias de segurança das
seguridad de la información y del software y informações e dos softwares sejam efetuadas e
probarse regularmente acorde con la política de testadas regularmente conforme a política de
respaldo. geração de cópias de segurança definida.
Deberían considerarse los siguientes elementos Convém que os seguintes itens para a geração das
para el respaldo de la información: cópias de segurança sejam considerados:
e) la información de respaldo debería tener un e) deve ser dado um nível apropriado de proteção
nivel apropiado de protección ambiental y físico física e ambiental das informações das cópias de
(véase la Cláusula 9) consistente con las normas segurança (ver Seção 9), consistente com as
aplicadas en el sitio principal; los controles normas aplicadas na instalação principal; os
aplicados a los soportes en el sitio principal se controles aplicados às mídias na instalação
deben ampliar para cubrir el sitio de respaldo; principal sejam usados no local das cópias de
segurança;
69 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Las disposiciones de respaldo para los sistemas Convém que as cópias de segurança de sistemas
individuales deberían verificarse regularmente específicos sejam testadas regularmente para
para asegurar que resuelven los requisitos de los garantir que elas estão aderentes aos requisitos
planes para la continuidad del negocio (véase la definidos nos planos de continuidade do negócio
Cláusula 14). Para los sistemas críticos, las (ver Seção 14). Para sistemas críticos, convém que
disposiciones de respaldo deberían cubrir toda la os mecanismos de geração de cópias de
información, usos, y datos de los sistemas segurança abranjam todos os sistemas de
necesarios para recuperar el sistema completo en informação, aplicações e dados necessários para a
caso de un desastre. completa recuperação do sistema em um evento de
desastre.
Debería determinarse el periodo de validez para Convém que o período de retenção para
la información esencial de la organización, y informações essenciais ao negócio e também
también cualquier requisito para las copias de qualquer requisito para que cópias de arquivo
archivo. (véase el Apartado 15.1.3). sejam permanentemente retidas seja determinado
(ver 15.1.3).
La gestión segura de las redes, las cuales pueden O gerenciamento seguro de redes, que pode ir
sobrepasar las fronteras de la organización, além dos limites da organização, requer
requiere la consideración cuidadosa del flujo de cuidadosas considerações relacionadas ao fluxo de
datos, las implicaciones legales, el seguimiento y dados, implicações legais, monitoramento e
la protección. proteção.
También pueden ser necesarios los controles Controles adicionais podem ser necessários para
adicionales para proteger la información sensible proteger informações sensíveis trafegando sobre
que pasa por las redes públicas. redes públicas.
70 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Control Controle
Las redes deberían gestionarse y controlarse Convém que as redes sejam adequadamente
adecuadamente, para protegerlas contra gerenciadas e controladas, de forma a protegê-las
amenazas, y mantener la seguridad de los contra ameaças e manter a segurança de sistemas
sistemas, incluyendo la información en tránsito. e aplicações que utilizam estas redes, incluindo a
informação em trânsito.
a) la responsabilidad operativa por las redes a) a responsabilidade operacional pelas redes seja
debería separarse de las operaciones del separada da operação dos recursos
computador, según sea apropiado (véase el computacionais onde for apropriado (ver 10.1.3);
Apartado 10.1.3);
Informações adicionais
Informações adicionais sobre segurança de redes
podem ser encontradas na ISO/IEC 18028,
Information technology - Security techniques - IT
network security.
10.6.2 Seguridad de los servicios de red 10.6.2 Segurança dos serviços de rede
Control Controle
Las características de la seguridad, los niveles del Convém que as características de segurança,
servicio, y los requisitos de la gestión de todos los níveis de serviço e requisitos de gerenciamento dos
servicios de red se deberían identificar e incluir en serviços de rede sejam identificados e incluídos em
71 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
cualquier acuerdo de servicios de red. qualquer acordo de serviços de rede, tanto para
serviços de rede providos internamente ou
terceirizados.
b) parámetros técnicos requeridos para la b) parâmetro técnico requerido para uma conexão
conexión segura con los servicios de red de segura com os serviços de rede de acordo com a
acuerdo con las reglas de la seguridad y de la segurança e regras de conexão de redes;
conexión de red;
c) procedimientos para la utilización del servicio c) procedimentos para o uso de serviços de rede
de red para restringir el acceso a los servicios o a para restringir o acesso a serviços de rede ou
los usos de red, cuando sea necesario. aplicações, onde for necessário.
Los medios deberían controlarse y protegerse Convém que as mídias sejam controladas e
físicamente. fisicamente protegidas.
72 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
del sistema contra daño, borrado y acceso no documentação dos sistemas contra divulgação não
autorizado. autorizada, modificação, remoção e destruição.
Control Controle
Debería haber implementados procedimientos Convém que existam procedimentos
para la gestión de los medios removibles. implementados para o gerenciamento de mídias
removíveis.
a) deberían borrarse en forma irrecuperable, a) quando não for mais necessário, o conteúdo de
cuando no se necesiten más, los contenidos qualquer meio magnético reutilizável seja
previos de todo medio reutilizable del que se destruído, caso venha a ser retirado da
desprenda la organización; organização;
b) cuando sea necesario y práctico, debería b) quando necessário e prático, seja requerida a
requerirse autorización para liberar medios de la autorização para remoção de qualquer mídia da
organización y deberían registrarse las organização e mantido o registro dessa remoção
remociones para mantener la pista de auditoría; como trilha de auditoria;
c) todos los medios deberían almacenarse a salvo c) toda mídia seja guardada de forma segura em
en un entorno seguro, de acuerdo con las um ambiente protegido, de acordo com as
especificaciones de los fabricantes; especificações do fabricante;
e) debería considerarse el registro de los medios e) as mídias removíveis sejam registradas para
removibles para minimizar la oportunidad de limitar a oportunidade de perda de dados;
pérdida de datos;
Deberían documentarse claramente todos los Convém que todos os procedimentos e os níveis de
procedimientos y niveles de autorización. autorização sejam explicitamente documentados.
Control Controle
Deberían eliminarse los medios de forma segura Convém que as mídias sejam descartadas de
y sin peligro cuando no se necesiten más, usando forma segura e protegida quando não forem mais
procedimientos formales. necessárias, por meio de procedimentos formais.
73 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
a) los medios que contengan información sensible a) mídias contendo informações sensíveis sejam
deberían almacenarse y eliminarse de forma guardadas e destruídas de forma segura e
segura, por ejemplo, incinerándolos o protegida, como, por exemplo, através de
triturándolos, o borrando sus datos para evitar el incineração ou trituração, ou da remoção dos
uso en otra aplicación dentro de la organización; dados para uso por uma outra aplicação dentro da
organização;
c) puede ser más fácil que todos los medios sean c) pode ser mais fácil implementar a coleta e
recogidos y removidos con seguridad, que descarte seguro de todas as mídias a serem
intentar separar los elementos sensibles; inutilizadas do que tentar separar apenas aquelas
contendo informações sensíveis;
Control Controle
Deberían establecerse procedimientos de Convém que sejam estabelecidos procedimentos
utilización y almacenamiento de la información para o tratamento e o armazenamento de
para protegerla de su mal uso o divulgación no informações, para proteger tais informações contra
autorizada. a divulgação não autorizada ou uso indevido.
74 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
b) restricciones de acceso para evitar el acceso b) restrições de acesso para prevenir o acesso de
de personal no autorizado; pessoas não autorizadas;
d) asegurar que los datos de entrada estén d) garantia de que a entrada de dados seja
completos, que el procesamiento se completa completa, de que o processamento esteja
adecuadamente y que se valide su salida; devidamente concluído e de que a validação das
saídas seja aplicada;
e) protección de los datos que están en cola para e) proteção dos dados preparados para expedição
su salida en un nivel coherente con su ou impressão de forma consistente com a sua
sensibilidad; criticidade;
h) rotulado claro de todas las copias de los h) identificação eficaz de todas as cópias das
medios para cuidado de los receptores mídias, para chamar a atenção dos destinatários
autorizados; autorizados;
i) revisión de las listas de distribución y de i) análise crítica das listas de distribuição e das
receptores autorizados a intervalos regulares. listas de destinatários autorizados em intervalos
regulares.
Control Controle
La documentación de sistemas debería Convém que a documentação dos sistemas seja
protegerse contra el acceso no autorizado. protegida contra acessos não autorizados.
Guía de implementación
Para asegurar la documentación de sistemas, Diretrizes para implementação
deberían considerarse los siguientes elementos: Para proteger a documentação dos sistemas,
convém que os seguintes itens sejam
a) la documentación de sistemas debería considerados:
75 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Guía de implementación
Los procedimientos y controles a ser seguidos al Diretrizes para implementação
utilizar medios de comunicación electrónica para Convém que os procedimentos e controles
el intercambio de información deberían de estabelecidos para a troca de informações em
considerar los siguientes elementos: recursos eletrônicos de comunicação considerem
os tópicos a seguir:
a) procedimientos diseñados para proteger el
intercambio de información de la intercepción, a) procedimentos formulados para proteger a
copiado, modificación, desviación, y destrucción; informação em trânsito contra interceptação, cópia,
modificação, desvio e destruição;
b) procedimientos para la detección de y
protección contra código malicioso que pueda ser b) procedimentos para detecção e proteção contra
transmitido por medio del uso de comunicaciones código malicioso que pode ser transmitido através
electrónicas. (véase el Apartado 10.4.1); do uso de recursos eletrônicos de comunicação
76 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
(ver 10.4.1);
c) procedimientos para proteger la comunicación
de información electrónica sensible que se c) procedimentos para proteção de informações
encuentra en la forma de un adjunto; eletrônicas sensíveis que sejam transmitidas na
forma de anexos;
d) políticas o directrices delineando el uso
aceptable de medios de comunicación electrónica d) política ou diretrizes que especifiquem o uso
(véase el Apartado 7.1.3); aceitável dos recursos eletrônicos de comunicação
(ver 7.1.3);
e) procedimientos para el uso de comunicaciones
inalámbricas, tomando en consideración los e) procedimentos para o uso de comunicação sem
riesgos particulares involucrados; fio (wireless), levando em conta os riscos
particulares envolvidos;
f) responsabilidades de empleados, contratistas y
cualquier otro usuario de no comprometer a la f) as responsabilidades de funcionários,
organización, por ejemplo, por medio de la fornecedores e quaisquer outros usuários não
difamación, acoso, engaño, reenvió de cadenas devem comprometer a organização através de, por
de cartas, compra no autorizada, etc.; exemplo, difamação, assédio, falsa identidade,
retransmissão de "correntes", compras não
autorizadas etc.;
g) uso de técnicas criptográficas, por ejemplo,
para proteger la confidencialidad, integridad y g) uso de técnicas de criptografia para, por
autenticidad de la información (véase el Apartado exemplo, proteger a confidencialidade, a
12.3); integridade e a autenticidade das informações (ver
12.3);
h) directrices de retención y eliminación para toda
la correspondencia del negocio, incluyendo h) diretrizes de retenção e descarte para toda a
mensajes, de acuerdo con la legislación y correspondência de negócios, incluindo
regulaciones nacionales y locales relevantes; mensagens, de acordo com regulamentações e
legislação locais e nacionais relevantes;
i) no dejar información sensible o critica en el
equipamiento de impresión, por ejemplo, i) não deixar informações críticas ou sensíveis em
fotocopiadoras, impresoras, facsímiles, en la equipamentos de impressão, tais como copiadoras,
medida que estas pueden ser accedidas por impressoras e aparelhos de fax, de tal forma que
personal no autorizado; pessoas não autorizadas tenham acesso a elas;
77 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
que pueden ser escuchadas por personas no sensíveis em secretárias eletrônicas, uma vez que
autorizadas, almacenadas incorrectamente como as mensagens podem ser reproduzidas por
resultado de un error de discado; pessoas não autorizadas, gravadas em sistemas
públicos ou gravadas indevidamente por erro de
discagem;
m) recordarle al personal sobre los problemas de
utilizar máquinas de facsímil, llámese: m) lembrar as pessoas sobre os problemas do uso
de aparelhos de fax, tais como:
1) acceso no autorizado al almacenamiento de
mensajes para retirarlos; 1) acesso não autorizado a dispositivos para
recuperação de mensagens;
2) programación deliberada o accidental de las
máquinas para enviar mensajes a números 2) programação de aparelhos, deliberada ou
específicos; acidental, para enviar mensagens para
números específicos determinados;
3) enviar documentos o mensajes a números
incorrectos, ya sea por discar 3) envio de documentos e mensagens para
incorrectamente o utilizar un numero número errado, seja por falha na discagem
almacenado incorrecto; ou uso de número armazenado errado;
78 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
79 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
devidamente protegida;
i) propiedad y responsabilidad por la protección
de datos, derechos de copia, cumplimiento con i) propriedade e responsabilidades sobre a
licencias de software y consideraciones similares proteção dos dados, direitos de propriedade,
(véase los Apartados 15.1.2 y 15.1.4); conformidade com as licenças dos softwares e
considerações afins (ver 15.1.2 e 15.1.4);
j) normas técnicas para la grabación y lectura de
información y software; j) normas técnicas para a gravação e leitura de
informações e softwares;
k) cualquier control especial que puede ser
requerido para proteger elementos sensibles, k) quaisquer controles especiais que possam ser
tales como claves criptográficas (véase el necessários para proteção de itens sensíveis, tais
Apartado 12.3). como chaves criptográficas (ver 12.3).
80 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
de acuerdo con cualquier especificación del podem ocorrer durante o transporte, e que seja
fabricante (por ejemplo para el software), por feita de acordo com as especificações dos
ejemplo protegiendo contra cualquier factor fabricantes (como no caso de softwares), por
ambiental que pueda afectar a los medios, tales exemplo, protegendo contra fatores ambientais que
como exceso de calor, humedad o campos possam reduzir a possibilidade de restauração dos
electromagnéticos; dados como a exposição ao calor, umidade ou
campos eletromagnéticos;
e) donde sea necesario, deberían ser adoptados
controles para proteger información sensible de e) sejam adotados controles, onde necessário, para
su divulgación o modificación no autorizada; proteger informações sensíveis contra divulgação
ejemplos: não autorizada ou modificação; como exemplo,
pode-se incluir o seguinte:
1) uso de contenedores sellados;
1) utilização de recipientes lacrados;
2) entrega en mano;
2) entrega em mãos;
3) paquetes que evidencian violaciones (que
revelan cualquier intento de obtener acceso 3) lacre explícito de pacotes (que revele
al contenido); qualquer tentativa de acesso);
81 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
arquivos;
f) fuertes niveles de autenticación controlando el
acceso desde redes de acceso público. f) níveis mais altos de autenticação para controlar o
acesso a partir de redes públicas.
Información adicional
La mensajería electrónica, como el correo Informações adicionais
electrónico, intercambio electrónico de datos Mensagens eletrônicas como correio eletrônico,
(EDI), y mensajería instantánea juegue un rol Eletronic Data Interchange (EDI) e sistemas de
cada vez más importante en las comunicaciones mensagens instantâneas cumprem um papel cada
del negocio. La mensajería electrónica tiene vez mais importante nas comunicações do negócio.
diferentes riesgos que las comunicaciones en A mensagem eletrônica tem riscos diferentes, se
base a papel. comparada com a comunicação em documentos
impressos.
10.8.5 Sistemas de Información de negocio
10.8.5 Sistemas de informações do negócio
Control
Deberían desarrollarse y ponerse en práctica una Controle
política de control y procedimientos para proteger Convém que políticas e procedimentos sejam
la información asociada con la interconexión de desenvolvidos e implementados para proteger as
sistemas de información de negocio. informações associadas com a interconexão de
sistemas de informações do negócio.
Guía de implementación
Las consideraciones de las implicaciones que Diretrizes para implementação
tiene la interconexión de tales recursos para la Convém que as considerações sobre segurança da
seguridad y para el negocio deberían incluir: informação e implicações no negócio das
interconexões de sistemas incluam o seguinte:
a) vulnerabilidades conocidas en los sistemas
administrativos y de la contabilidad donde la a) vulnerabilidades conhecidas nos sistemas
información es compartida entre partes diferentes administrativos e contábeis onde as informações
de la organización; são compartilhadas com diferentes áreas da
organização;
b) las vulnerabilidades de información en
sistemas de comunicación de negocio, por b) vulnerabilidades da informação nos sistemas de
ejemplo registrando llamadas telefónicas o comunicação do negócio, como, por exemplo,
teleconferencias, confidencialidad de llamadas, gravação de chamadas telefônicas ou
almacenaje de facsímiles, abriendo correo, teleconferências, confidencialidade das chamadas,
distribución de correo; armazenamento de faxes, abertura de correio e
distribuição de correspondência;
c) política y controles apropiados para poder
gestionar la información compartida; c) política e controles apropriados para gerenciar o
compartilhamento de informações;
d) excluir las categorías de información sensibles
del negocio y documentos clasificados si el d) exclusão de categorias de informações sensíveis
sistema no provee un nivel apropiado de e documentos confidenciais, caso o sistema não
protección (véase el Apartado 7.2); forneça o nível de proteção apropriado (ver 7.2);
82 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
83 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
chave de negociação;
c) asegurar que los socios de negocios son
completamente informados sobre sus c) garantia de que parceiros comerciais estão
autorizaciones; completamente informados de suas autorizações;
84 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
publicar los términos de negocios a sus clientes. Convém que sistemas comerciais públicos
divulguem seus termos comerciais a seus clientes.
También debería considerarse la resistencia al
ataque del servidor central (host) utilizado para el Convém que sejam consideradas a capacidade de
comercio electrónico, y las implicaciones de resiliência dos servidores utilizados para comércio
seguridad de cualquier interconexión de redes eletrônico contra ataques e as implicações de
requerido para la implementación de los servicios segurança de qualquer interconexão que seja
de comercio electrónico (véase el Apartado necessária na rede de telecomunicações para a
11.4.6). sua implementação (ver 11.4.6).
Información adicional
El comercio electrónico es vulnerable a un Informações adicionais
número de amenazas de red que pueden resultar Comércio eletrônico é vulnerável a inúmeras
en actividad fraudulenta, disputas de contratos, y ameaças de rede que podem resultar em
divulgación o modificación de la información. atividades fraudulentas, disputas contratuais, e
divulgação ou modificação de informação.
El comercio electrónico puede hacer uso de
métodos de autenticación seguros, por ejemplo, Comércio eletrônico pode utilizar métodos seguros
utilizando criptografía de clave publica y firmas de autenticação, como, por exemplo, criptografia de
digitales (véase el Apartado 12.3) para reducir el chave pública e assinaturas digitais (ver 12.3) para
riesgo. También pueden ser utilizadas terceras reduzir os riscos. Ainda, terceiros confiáveis podem
partes de confianza, donde sus servicios sean ser utilizados onde tais serviços forem necessários.
necesarios.
85 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Información adicional
El grado de los controles adoptados tendría que Informações adicionais
ser proporcional con el nivel del riesgo asociado A extensão dos controles adotados precisará ser
con cada tipo de transacción en línea. proporcional ao nível de risco associado a cada
forma de transação on-line.
Las transacciones pueden tener que cumplir con
leyes, reglas, y regulaciones en la jurisdicción en Transações podem precisar estar de acordo com
la cual la transacción es generada, procesada, leis, regras e regulamentações na jurisdição em
completada, y/o almacenada. que a transação é gerada, processada, completa
ou armazenada.
Existen muchos tipos de transacciones que
pueden ser realizadas en línea, por ejemplo, Existem muitas formas de transações que podem
contractuales, financieras, etc. ser executadas de forma on-line, como, por
exemplo, contratuais, financeiras etc.
10.9.3 Información accesible públicamente
10.9.3 Informações publicamente disponíveis
Control
Debería protegerse la integridad de la información Controle
de un sistema accesible públicamente, para Convém que a integridade das informações
prevenir la modificación no autorizada. disponibilizadas em sistemas publicamente
acessíveis seja protegida para prevenir
modificações não autorizadas.
Guía de implementación
El software, datos y otra información que requiera Diretrizes para implementação
un alto nivel de integridad y que estén accesibles Convém que aplicações, dados e informações
públicamente deberían protegerse por adicionais que requeiram um alto nível de
mecanismos adecuados, por ejemplo, firmas integridade e que sejam disponibilizados em
digitales (véase el Apartado 10.3.3). Los sistemas sistemas publicamente acessíveis sejam protegidos
accesibles públicamente, deberían probarse por mecanismos apropriados, como, por exemplo,
contra debilidades y fallas antes que la assinaturas digitais (ver 12.3). Convém que os
información este disponible. sistemas acessíveis publicamente sejam testados
contra fragilidades e falhas antes da informação
estar disponível.
Debería haber un proceso de aprobación formal
antes de que la información este accesible Convém que haja um processo formal de
públicamente. Además, toda la entrada aprovação antes que uma informação seja
proveniente del exterior al sistema debería ser publicada. Adicionalmente, convém que todo dado
verificada y aprobada. de entrada fornecido por fontes externas ao
sistema seja verificado e aprovado.
Los sistemas electrónicos de edición, sobre todo
aquellos que permiten la retroalimentación y el Convém que sistemas de publicação eletrônica,
ingreso directo de información, deberían especialmente os que permitem realimentação e
controlarse con cuidado de modo que: entrada direta de informação, sejam
cuidadosamente controlados, de forma que:
86 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
87 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
acordado para ayudar en futuras investigaciones mantidos por um período de tempo acordado para
y en la supervisión del control de acceso. auxiliar em futuras investigações e monitoramento
de controle de acesso.
Guía de implementación
Los registros de auditoría deberían incluir, cuando Diretrizes para implementação
sea relevante: Convém que os registros (log) de auditoria incluam,
quando relevante:
a) identificación (ID) de usuario;
a) identificação dos usuários;
b) fechas, horas, y los detalles de
acontecimientos claves, por ejemplo inicio y fin de b) datas, horários e detalhes de eventos-chave,
una sesión; como, por exemplo, horário de entrada (log-on) e
saída (log-off) no sistema;
c) identidad de la terminal y ubicación, si es
posible; c) identidade do terminal ou, quando possível, a
sua localização;
d) registros de los intentos aceptados y
rechazados de acceso al sistema; d) registros das tentativas de acesso ao sistema
aceitas e rejeitadas;
e) registros de los intentos aceptados y
rechazados de acceso a los datos y otros e) registros das tentativas de acesso a outros
recursos; recursos e dados aceitos e rejeitados;
88 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
89 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
90 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Información adicional
Los registros del sistema a menudo contienen un Informações adicionais
vasto volumen de información, mucha de la cual Registros (log) de sistema normalmente contêm um
no tiene relación con la supervisión de seguridad. grande volume de informações e muitos dos quais
Para ayudar a la identificación de eventos não dizem respeito ao monitoramento da
significativos para la supervisión de seguridad, segurança. Para ajudar a identificar eventos
debería considerarse el copiado automático de significativos para propósito de monitoramento de
los tipos de mensajes apropiados a un registros segurança, convém que a cópia automática dos
secundario, y/o el uso de herramientas del tipos de mensagens para a execução de consulta
sistema adecuadas o herramientas de auditoría seja considerada e/ou o uso de sistemas utilitários
para realizar la interrogación y racionalización de adequados ou ferramentas de auditoria para
los archivos. realizar a racionalização e investigação do arquivo
seja considerado.
Los registros del sistema necesitan ser
protegidos, debido a que si la información puede Registros (log) de sistema precisam ser protegidos,
ser modificada o eliminada, su existencia puede pois os dados podem ser modificados e excluídos e
crear una falsa sensación de seguridad. suas ocorrências podem causar falsa impressão de
segurança.
10.10.4 Registros del administrador y
operador 10.10.4 Registros (log) de administrador e
operador
Control
Las actividades del administrador y operador del Controle
sistema deberían de ser registradas. Convém que as atividades dos administradores e
operadores do sistema sejam registradas.
Guía de implementación
Los registros deberían de incluir: Diretrizes para implementação
Convém que esses registros (log) incluam:
a) la hora en la cual un evento (exitoso o fallido)
ocurre; a) a hora em que o evento ocorreu (sucesso ou
falha);
b) información sobre el evento (por ejemplo,
archivos manejados) o falla (por ejemplo, errores b) informações sobre o evento (exemplo: arquivos
ocurridos y acciones correctivas emprendidas); manuseados) ou falha (exemplo: erros ocorridos e
ações corretivas adotadas);
c) que cuenta y que administrador u operador fue
involucrado; c) que conta e que administrador ou operador
estava envolvido;
d) que procesos fueron involucrados.
d) que processos estavam envolvidos.
Los registros del administrador y operador
deberían de ser revisados de forma regular. Convém que os registros (log) de atividades dos
operadores e administradores dos sistemas sejam
analisados criticamente em intervalos regulares.
Información adicional
Un sistema de detección de intrusión, gestionado Informações adicionais
fuera del control de los administradores de Um sistema de detecção de intrusos gerenciado
sistema y de red, puede ser utilizado para fora do controle dos administradores de rede e de
supervisar el cumplimiento de actividades de los sistemas pode ser utilizado para monitorar a
administradores de sistema y de red. conformidade das atividades dos administradores
91 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
do sistema e da rede.
10.10.5 Registro de fallas
10.10.5 Registros (log) de falhas
Control
Las fallas deberían de ser registradas, analizadas Controle
y tomadas las acciones apropiadas. Convém que as falhas ocorridas sejam registradas
e analisadas, e que sejam adotadas ações
apropriadas.
Guía de implementación
Las fallas reportadas por los usuarios o Diretrizes para implementação
programas relativos a problemas con el Convém que falhas informadas pelos usuários ou
procesamiento de información o sistemas de pelos programas de sistema relacionado a
comunicaciones deberían ser registradas. problemas com processamento da informação ou
Deberían existir reglas claras para manejar las sistemas de comunicação sejam registradas.
fallas reportadas, incluyendo: Convém que existam regras claras para o
tratamento das falhas informadas, incluindo:
a) revisión de registros de fallas para asegurar
que han sido satisfactoriamente resueltas; a) análise crítica dos registros (log) de falha para
assegurar que as falhas foram satisfatoriamente
resolvidas;
b) revisión de medidas correctivas para asegurar
que los controles no se han visto comprometidos, b) análise crítica das medidas corretivas para
y que la acción emprendida ha sido autorizada. assegurar que os controles não foram
comprometidos e que a ação tomada é
completamente autorizada.
Se debería asegurar que el registro de errores
esta habilitado, si esta funcionalidad del sistema Convém que seja assegurado que o registro de
se encuentra disponible. erros esteja habilitado, caso essa função do
sistema esteja disponível.
Información adicional
El registro de errores y fallas puede impactar en Informações adicionais
el desempeño de un sistema. Estos registros Registros de falhas e erros podem impactar o
deberían de ser establecidos por personal desempenho do sistema. Convém que cada tipo de
competente, y el nivel de registro requerido para registro a ser coletado seja habilitado por pessoas
los sistemas individuales debería de ser competentes e que o nível de registro requerido
determinado por un análisis de riesgos, que tenga para cada sistema individual seja determinado por
en cuenta la degradación del sistema. uma análise/avaliação de riscos, levando em
consideração a degradação do desempenho do
sistema.
10.10.6 Sincronización de relojes
10.10.6 Sincronização dos relógios
Control
Los relojes de todos los sistemas de Controle
procesamiento de información relevantes dentro Convém que os relógios de todos os sistemas de
de la organización o dominio de seguridad processamento de informações relevantes, dentro
deberían estar sincronizados con una fuente de da organização ou do domínio de segurança, sejam
horario confiable acordada. sincronizados com uma fonte de tempo precisa,
acordada.
Guía de implementación
Cuando una computadora o dispositivo de Diretrizes para implementação
comunicaciones tiene la capacidad de operar un Onde um computador ou dispositivo de
reloj de tiempo real, este reloj debería comunicação tiver a capacidade para operar um
establecerse como el estándar acordado, por relógio (clock) de tempo real, convém que o relógio
ejemplo el tiempo coordinado universal (UTC) o el seja ajustado conforme o padrão acordado, por
horario estándar local. Dado que ciertos relojes exemplo o tempo coordenado universal
atrasan con el tiempo, debería existir un (Coordinated Universal Time - UTC) ou um padrão
procedimiento que chequea y corrija cualquier de tempo local. Como alguns relógios são
variación significativa. conhecidos pela sua variação durante o tempo,
convém que exista um procedimento que verifique
92 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Información adicional
La configuración correcta de relojes de los Informações adicionais
ordenadores es importante para asegurar la O estabelecimento correto dos relógios dos
exactitud de los registros de auditoría, que computadores é importante para assegurar a
pueden requerirse para investigaciones o como exatidão dos registros (log) de auditoria, que
pruebas en casos legales o disciplinarios. Los podem ser requeridos por investigações ou como
registros inexactos de auditoría pueden dificultar evidências em casos legais ou disciplinares.
tales investigaciones y restar credibilidad a tales Registros (log) de auditoria incorretos podem
pruebas. Un reloj vinculado a una difusión de impedir tais investigações e causar danos à
tiempo de un reloj nacional atómico puede ser credibilidade das evidências. Um relógio interno
usado como el reloj maestro para registrar ligado ao relógio atômico nacional via transmissão
sistemas. Un protocolo de tiempo de red puede de rádio pode ser utilizado como relógio principal
utilizarse para mantener a todos los servidores en para os sistemas de registros (logging). O protocolo
sincronización con el reloj maestro. de hora da rede pode ser utilizado para sincronizar
todos os relógios dos servidores com o relógio
principal.
11 Control de Acceso
11 Controle de acessos
11.1 Requisitos de negocio para el control de
acceso 11.1 Requisitos de negócio para controle de
acesso
OBJETIVO: Controlar el acceso a la información.
Objetivo: Controlar acesso à informação.
Los accesos a la información, a las instalaciones
de procesamiento de la información y a procesos Convém que o acesso à informação, recursos de
del negocio deberían ser controlados sobre la processamento das informações e processos de
base de requisitos de negocio y seguridad. negócios sejam controlados com base nos
requisitos de negócio e segurança da informação.
Las reglas para el control del acceso deberían
tener en cuenta las políticas de distribución y Convém que as regras de controle de acesso
autorización de la información. levem em consideração as políticas para
autorização e disseminação da informação.
11.1.1 Política de Control de Acceso
11.1.1 Política de controle de acesso
Control
Debería establecerse, documentarse y revisarse Controle
una política de control de acceso, basada en Convém que a política de controle de acesso seja
requisitos de negocio y seguridad para el acceso. estabelecida documentada e analisada
criticamente, tomando-se como base os requisitos
de acesso dos negócios e segurança da
informação.
Guía de implementación
Las reglas de control de acceso y derechos para Diretrizes para implementação
cada usuario o grupo de usuarios deberían estar Convém que as regras de controle de acesso e
claramente establecidas en una política de control direitos para cada usuário ou grupos de usuários
de acceso. Los controles de acceso son tanto sejam expressas claramente na política de controle
lógicos como físicos (véase también la Cláusula de acesso. Convém considerar os controles de
9), y éstos deberían considerarse en forma acesso lógico e físico (ver Seção 9) de forma
conjunta. Los usuarios y los proveedores de conjunta. Convém fornecer aos usuários e
93 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
servicio deberían ser provistos de una declaración provedores de serviços uma declaração nítida dos
clara de los requisitos de negocio que deberían requisitos do negócio a serem atendidos pelos
cumplir para los controles de acceso. controles de acessos.
Información adicional
Debería tenerse cuidado cuando se están Informações adicionais
especificando las reglas de control de acceso en Convém que sejam tomados cuidados na
considerar: especificação de regras de controle de acesso
quando se considerar o seguinte:
a) diferenciación entre reglas que siempre deben
ser acatadas y directrices que son opcionales o a) diferenciar entre regras que devem ser
condicionales; obrigatórias e forçadas, e diretrizes que são
opcionais ou condicionais;
b) establecimiento de reglas basadas sobre la
94 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
premisa “Todo está generalmente prohibido salvo estabelecer regra baseada na premissa “Tudo é b)
que expresamente sea permitido” mas que sobre proibido, a menos que expressamente permitido"
la regla mas débil “Todo esta generalmente em lugar da regra mais fraca "Tudo é permitido, a
permitido salvo que sea expresamente prohibido”; menos que expressamente proibido";
95 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
96 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
particulares. particulares.
97 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
información que habilite al usuario a hacer caso sistemas de informação que habilitam usuários a
omiso de los controles del sistema o de la exceder o controle de sistemas ou aplicações)
aplicación) puede ser un factor importante de pode ser um grande fator de contribuição para
contribución a las fallas o brechas de los falhas ou violações de sistemas.
sistemas.
Información adicional
Las contraseñas son un medio común de Informações adicionais
verificación de la identidad del usuario antes de Senhas são um meio comum de verificar a
98 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
que se les otorguen accesos a los sistemas de identidade de um usuário antes que acessos sejam
información o a los servicios de acuerdo a la concedidos a um sistema de informação ou serviço
autorización que tenga el usuario. Si es de acordo com a autorização do usuário. Outras
apropiado, deberían considerarse otras tecnologias para identificação de usuário e
tecnologías disponibles para la identificación y autenticação, como biométrica, por exemplo,
autenticación del usuario, tales como biometría, verificação de digitais, verificação de assinatura, e
por ejemplo, verificación de huella digital, uso de tokens, por exemplo, e cartões inteligentes,
verificación de firma, y uso de señales de estão disponíveis, e convém que sejam
hardware (hardware tokens), por ejemplo tarjetas consideradas, se apropriado.
inteligentes.
99 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
informação.
La cooperación de usuarios autorizados es
esencial para una seguridad efectiva. A cooperação de usuários autorizados é essencial
para uma efetiva segurança.
Los usuarios deben ser enterados de sus
responsabilidades para mantener los controles de Convém que os usuários estejam conscientes de
acceso, particularmente teniendo en cuenta el suas responsabilidades para manter efetivo
uso de contraseñas y la seguridad del controle de acesso, particularmente em relação ao
equipamiento del usuario. uso de senhas e de segurança dos equipamentos
de usuários.
Una política de escritorio y pantallas limpios,
debería ser implementada para reducir el riesgo Convém que uma política de mesa e tela limpa seja
de acceso no autorizado o daño a papeles, implementada para reduzir o risco de acessos não
medios, e instalaciones de procesamiento de la autorizados ou danos a documentos/papéis, mídias
información. e recursos de processamento da informação.
100 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
101 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
senha;
Información adicional
Equipamiento instalado en áreas usuarias, por Informações adicionais
ejemplo estaciones de trabajo o servidores de Equipamentos instalados em áreas de usuários,
archivo, pueden requerir protección específica por exemplo, estações de trabalho ou servidores de
frente a acceso no autorizado cuando se deja arquivos, podem requerer proteção especial contra
desatendido por un periodo largo. acesso não autorizado, quando deixados sem
monitoração por um período extenso.
11.3.3 Política de escritorio y pantalla limpios
11.3.3 Política de mesa limpa e tela limpa
Control
Se debería adoptar una política de escritorio Controle
limpio para papeles y medios de almacenamiento Convém que seja adotada uma política de mesa
removibles y una política de pantalla limpia para limpa de papéis e mídias de armazenamento
las instalaciones de procesamiento de removível e política de tela limpa para os recursos
información. de processamento da informação.
Guía de implementación
Una política de escritorio limpio debería tener en Diretrizes para implementação
cuenta la clasificación de la información (véase el Convém que uma política de mesa limpa e tela
Apartado 7.2), requisitos legales y contractuales limpa leve em consideração a classificação da
(véase el Apartado 15.1), y los aspectos informação (ver 7.2), requisitos contratuais e legais
culturales y de riesgo de la organización (ver 15.1), e o risco correspondente e aspectos
correspondientes. Deberían considerarse las culturais da organização. Convém que as seguintes
siguientes recomendaciones: diretrizes sejam consideradas:
102 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Control
103 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
104 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
105 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
importante si la conexión usa una red que está de negócio. Isto é particularmente importante se a
fuera del control de la gestión de seguridad de la conexão usar uma rede que está fora do controle
organización. do gerenciamento de segurança da informação da
organização.
11.4.3 Identificación de equipamiento en la red
11.4.3 Identificação de equipamento em redes
Control
La identificación automática del equipamiento Controle
debería ser considerada como medio de Convém que sejam consideradas as identificações
autenticar conexiones desde equipos y automáticas de equipamentos como um meio de
ubicaciones específicas. autenticar conexões vindas de localizações e
equipamentos específicos.
Guía de implementación
La identificación del equipamiento puede ser Diretrizes para implementação
usada si es importante que la comunicación sea Uma identificação de equipamentos pode ser
sólo iniciada desde un equipo o ubicación usada se for importante que a comunicação possa
específica. Un identificador en o conectado al somente ser iniciada de um local ou equipamento
equipamiento puede ser utilizada para indicar si a específico. Um identificador no equipamento pode
ese equipamiento le es permitido conectarse a la ser usado para indicar se este equipamento possui
red. Estos identificadores deben indicar permissão para conectar-se à rede. Convém que
claramente a que red le es permitido conectarse, estes identificadores indiquem claramente para
si existe mas de una red y particularmente si qual rede o equipamento possui permissão para
estas redes son de distinta sensibilidad. Puede conectar-se, se existe mais de uma rede e
ser necesario considerar protección física del particularmente se estas redes são de sensibilidade
equipamiento para mantener la seguridad del diferente. Pode ser necessário considerar proteção
identificador del equipo. física do equipamento para manter a segurança do
identificador do equipamento.
Información adicional
Este control puede ser completado con otras Informações adicionais
técnicas para autenticar el usuario del Este controle pode ser complementado com outras
equipamiento (véase el Apartado 11.4.2). La técnicas para autenticar o usuário do equipamento
identificación del equipamiento puede ser (ver 11.4.2). Pode ser aplicada identificação de
aplicada adicionalmente a la autenticación del equipamento adicionalmente à autenticação de
usuario. usuário.
Guía de implementación
Los controles potenciales para el acceso a los Diretrizes para implementação
puertos de diagnóstico y configuración incluyen el Os controles potenciais para o acesso às portas de
uso de un bloqueo de clave y procedimientos de diagnóstico e configuração incluem o uso de uma
soporte para controlar el acceso físico al puerto. tecla de bloqueio e procedimentos de suporte para
Un ejemplo de un procedimiento de soporte es controlar o acesso físico às portas. Um exemplo
garantizar que los puertos de diagnóstico y para tal procedimento é assegurar que as portas de
configuración sólo sean accesibles mediante diagnóstico e configuração são apenas acessíveis
acuerdo entre el administrador del servicio de pela combinação do acesso requerido entre o
computación y el personal de soporte de gestor dos serviços do computador e pelo pessoal
hardware/software que requiere el acceso. de suporte do hardware/software.
106 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
107 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
separados pueden luego ser implementados IP switching. Os domínios separados podem ser
controlando el flujo de datos de red utilizando implementados controlando os fluxos de dados de
capacidades de conmutación y enrutamiento tales rede, usando as capacidades de
como listas de control de acceso. roteamento/chaveamento (routing/switching), do
mesmo modo que listas de controle de acesso.
Los criterio de separación de redes en dominios
debería basarse en la política de control de Convém que critérios para segregação de redes
acceso y en los requisitos de acceso (véase el em domínios estejam baseados na política de
Apartado 10.1) y también debería tenerse en controle de acesso e requisitos de acesso (ver
cuenta el costo relativo y el impacto en el 10.1), e também levem em conta os custos
desempeño por la incorporación de tecnologías relativos e impactos de desempenho em incorporar
adecuadas de puertas de enlace (gateway) o de roteamento adequado à rede ou tecnologia de
enrutamiento (véase los Apartados 11.4.6 y gateway (ver 11.4.6 e 11.4.7).
11.4.7).
Información adicional
Las redes están siendo extendidas en forma Informações adicionais
incremental más allá de las tradicionales fronteras As redes estão sendo progressivamente estendidas
organizacionales, puesto que asociaciones de além dos limites organizacionais tradicionais, tendo
negocios pueden requerir la interconexión o em vista as parcerias de negócio que são formadas
compartir procesamiento de la información y e que podem requerer a interconexão ou
recursos de redes. Tales extensiones pueden compartilhamento de processamento de
incrementar el riesgo de acceso no autorizado a informação e recursos de rede. Tais extensões
los sistemas de información existentes que usan podem aumentar o risco de acesso não autorizado
la red, alguno de los cuales puede requerir a sistemas de informação existentes que usam a
protección de otros usuarios de red por su rede e alguns dos quais podem requerer proteção
sensibilidad o criticidad. de outros usuários de rede devido a sensibilidade
ou criticidade.
11.4.6 Control de conexión de red
11.4.6 Controle de conexão de rede
Control
Para redes compartidas, especialmente aquellas Controle
que se extienden mas allá de las fronteras de la Para redes compartilhadas, especialmente essas
organización, la capacidad de los usuarios de que se estendem pelos limites da organização,
conectarse a la red, debería ser restringida, en convém que a capacidade dos usuários para
línea con la política de control de acceso y conectar-se à rede seja restrita, alinhada com a
requisitos de las aplicaciones de negocio (véase política de controle de acesso e os requisitos das
el Apartado 11.1). aplicações do negócio (ver 11.1).
Guía de implementación
Los derechos de acceso a la red de los usuarios Diretrizes para implementação
debería mantenerse y actualizarse según esté Convêm que os direitos de acesso dos usuários a
108 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
requerida por la política de control de acceso rede sejam mantidos e atualizados conforme
(véase el Apartado 11.1.1). requerido pela política de controle de acesso (ver
11.1.1).
La capacidad de conexión de usuarios puede ser
restringida a través de las puertas de enlace A capacidade de conexão de usuários pode ser
(gateways) que filtran el tráfico por medio de restrita através dos gateways que filtram tráfico por
tablas o reglas predefinidas. Ejemplos de meio de tabelas ou regras predefinidas. Convém
aplicaciones para las cuales deberían aplicarse que sejam aplicadas restrições nos seguintes
restricciones son: exemplos de aplicações:
Información adicional
Las redes compartidas, especialmente aquellas Informações adicionais
que se extienden mas allá de las fronteras As redes compartilhadas, especialmente as que
109 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
110 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
el sistema debería ser accedido solamente por b) mostre um aviso geral informando que o
usuarios autorizados; computador seja acessado somente por usuários
autorizados;
c) no ofrecer mensajes de ayuda durante el
proceso de conexión (log -on) que puedan guiar a c) não forneça mensagens de ajuda durante o
usuarios no autorizados; procedimento de entrada (log-on) que poderiam
auxiliar um usuário não autorizado;
d) validar la información de conexión (log-on) sólo
tras rellenar todos sus datos de entrada. Si se d) valide informações de entrada no sistema
produce una condición de error, el sistema no somente quando todos os dados de entrada
debería indicar qué parte de esos datos es estiverem completos. Caso ocorra uma condição
correcta o no; de erro, convém que o sistema não indique qual
parte do dado de entrada está correta ou incorreta;
e) limitar el número de intentos fallidos de
conexión (se recomienda tres) y considerar: e) limite o número permitido de tentativas de
entradas no sistema (log-on) sem sucesso, por
exemplo, três tentativas, e considere:
1) registrar los intentos fallidos de conexión;
1) registro das tentativas com sucesso ou com
falha;
2) un tiempo forzoso de espera antes de
permitir un nuevo intento de conexión o su 2) imposição do tempo de espera antes de
rechazo sin una autorización específica; permitir novas tentativas de entrada no
sistema (log-on) ou rejeição de qualquer
tentativa posterior de acesso sem
autorização específica;
3) la desconexión de la comunicación de
datos; 3) encerramento das conexões por data link;
111 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Información adicional
Si las contraseñas son transmitidas por una red Informações adicionais
en texto limpio durante la sesión de conexión (log- Se as senhas forem transmitidas em texto claro
on), pueden ser capturadas por un programa durante o procedimento de entrada no sistema (log-
“husmeador” de red (“sniffer”). on) pela rede, elas podem ser capturadas por um
programa de sniffer de rede, instalado nela.
11.5.2 Identificación y autenticación del
usuario 11.5.2 Identificação e autenticação de usuário
Control
Todos los usuarios deberían tener un identificador Controle
único (ID de usuario) para su uso personal Convém que todos os usuários tenham um
exclusivo, y debería elegirse una técnica de identificador único (ID de usuário) para uso pessoal
autenticación adecuada para sustentar la e exclusivo, e convém que uma técnica adequada
identidad alegada por un usuario. de autenticação seja escolhida para validar a
identidade alegada por um usuário.
Guía de implementación
Este control debería ser aplicado a todo tipo de Diretrizes para implementação
usuarios(incluyendo personal de soporte técnico, Convém que este controle seja aplicado para todos
operadores, administradores de red, os tipos de usuários (incluindo o pessoal de suporte
programadores de sistemas, y administradores de técnico, operadores, administradores de rede,
bases de datos). programadores de sistema e administradores de
banco de dados).
Los identificadores de usuario (IDs) deberían
usarse para rastrear actividades hacia el individuo Convém que os identificadores de usuários (ID de
responsable. Las actividades regulares de usuários) possam ser utilizados para rastrear
usuarios no deberían realizarse desde cuentas atividades ao indivíduo responsável. Convém que
con privilegios. atividades regulares de usuários não sejam
executadas através de contas privilegiadas.
En circunstancias excepcionales, donde hay un
claro beneficio para el negocio, puede emplearse Em circunstâncias excepcionais, onde exista um
el uso de un identificador de usuario (ID) claro benefício ao negócio, pode ocorrer a
compartido para un grupo de usuarios o para un utilização de um identificador de usuário (ID de
trabajo específico. La aprobación por la dirección usuário) compartilhado por um grupo de usuários
debería ser documentada para tales casos. ou para um trabalho específico. Convém que a
Podrían ser necesarios controles adicionales para aprovação pelo gestor esteja documentada nestes
mantener las responsabilidades. casos. Controles adicionais podem ser necessários
para manter as responsabilidades.
El uso de identificadores de usuario (IDs)
genéricos por parte de un individuo debería Convém que identificadores de usuários (ID de
permitirse sólo donde las funciones accesibles o usuários) genéricos para uso de um indivíduo
acciones llevadas a cabo por el ID no necesitan somente sejam permitidos onde as funções
ser rastreadas (por ejemplo, acceso sólo de acessíveis ou as ações executadas pelo usuário
lectura), o donde hay otros controles instalados não precisam ser rastreadas (por exemplo, acesso
(por ejemplo, contraseña para un ID genérico somente leitura), ou quando existem outros
emitida solo a una persona por vez y registro de controles implementados (por exemplo, senha para
tal instancia). identificador de usuário genérico somente fornecida
para um indivíduo por vez e registrada).
Donde se requiere autenticación fuerte y
verificación de identidad, deberían usarse Convém que onde autenticação forte e verificação
métodos de autenticación alternativos a las de identidade é requerida, métodos alternativos de
contraseñas, tales como medios criptográficos, autenticação de senhas, como meios criptográficos,
tarjetas inteligentes (smart cards), señales cartões inteligentes (smart card), tokens e meios
(tokens) o medios biométricos. biométricos sejam utilizados.
Información adicional
112 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
113 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Información adicional
Las contraseñas son una de las principales Informações adicionais
formas de validar la autorización de un usuario A senha é um dos principais meios de validar a
para acceder a un servicio de la computadora. autoridade de um usuário para acessar um serviço
de computador.
Algunas aplicaciones requieren que una autoridad
independiente asigne contraseñas de usuario; en Algumas aplicações requerem que senhas de
tales casos, los puntos b), d) y e) de la guía de usuário sejam atribuídas por uma autoridade
arriba no se aplican. En la mayoría de los casos independente. Em alguns casos, as alíneas b), d) e
las contraseñas son seleccionadas y mantenidas e) das diretrizes acima não se aplicam. Na maioria
por usuarios. Véase el Apartado 11.3.1 para guía dos casos, as senhas são selecionadas e mantidas
sobre el uso de contraseñas. pelos usuários. Ver 11.3.1 para diretrizes do uso de
senhas.
11.5.4 Utilización de las prestaciones del
sistema 11.5.4 Uso de utilitários de sistema
Control
El uso de programas utilitarios que podrían ser Controle
capaces de pasar por encima de los controles del Convém que o uso de programas utilitários que
sistema y de la aplicación debería ser restringido podem ser capazes de sobrepor os controles dos
y controlado estrechamente. sistemas e aplicações seja restrito e estritamente
controlado.
Guía de implementación
Deberían considerarse las siguientes Diretrizes para implementação
orientaciones para el uso de prestaciones de Convém que as seguintes diretrizes para o uso de
sistema: utilitários de sistema sejam consideradas:
114 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Información adicional
La mayoría de las instalaciones de computadora Informações adicionais
tienen uno o más programas utilitarios de A maioria das instalações de computadores tem um
sistemas que podrían ser capaces de pasar por ou mais programas utilitários de sistema que
encima los controles de sistema y aplicación. podem ser capazes de sobrepor os controles dos
sistemas e aplicações.
11.5.5 Desconexión automática de sesiones
11.5.5 Limite de tempo de sessão
Control
Las sesiones inactivas deberían cerrarse luego de Controle
un período definido de inactividad. Convém que sessões inativas sejam encerradas
após um período definido de inatividade.
Guía de implementación
Un recurso de desconexión debería borrar la Diretrizes para implementação
pantalla de sesión y también posiblemente más Convém que o recurso de limitação de tempo limpe
tarde, cerrar tanto la sesión de aplicación como la a tela da sessão e também, possivelmente mais
de red luego de un período definido de tarde, feche tanto a aplicação quanto as sessões
inactividad. La demora en la desconexión debería de rede após um período definido de inatividade.
reflejar los riesgos de seguridad del área, la Convém que o prazo de tempo para a desconexão
clasificación de la información manejada y las reflita os riscos de segurança da área, a
aplicaciones utilizadas, y los riesgos relativos a classificação da informação que está sendo
los usuarios del equipo. manuseada, as aplicações que estão sendo
utilizadas e os riscos relacionados para os usuários
do terminal do equipamento.
Puede proveerse una forma limitada de
desconexión para algunos sistemas, que borran Uma forma limitada para o recurso de limitação de
la pantalla y previenen acceso no autorizado pero tempo pode ser provida por alguns sistemas, os
no cierra la sesión de aplicación ni la de red. quais limpam a tela e previnem acesso não
autorizado, mas não fecham as sessões das
aplicações ou da rede.
Información adicional
Este control es particularmente importante en Informações adicionais
lugares con alto riesgo, que incluye áreas Este controle é particularmente importante em
públicas o externas fuera de la gestión de locais de alto risco, os quais incluem áreas públicas
seguridad de la organización. Las sesiones ou externas fora dos limites do gerenciamento de
deberían cerrarse para prevenir acceso por parte segurança da organização. Convém que estas
de personas no autorizadas y ataques de sessões sejam encerradas para prevenir o acesso
denegación de servicio. por pessoas não autorizadas e ataques de negação
de serviço.
11.5.6 Limitación del tiempo de conexión
11.5.6 Limitação de horário de conexão
Control
Deberían utilizarse restricciones en los tiempos Controle
de conexión para brindar seguridad adicional para Convém que restrições nos horários de conexão
las aplicaciones de alto riego. sejam utilizadas para proporcionar segurança
adicional para aplicações de alto risco.
Guía de implementación
Controles de tiempo de conexión deberían ser Diretrizes para implementação
consideradas en aplicaciones sensibles, Convém que controles de horário de conexão
especialmente desde ubicaciones de alto riesgo, sejam considerados para aplicações
por ejemplo, áreas públicas o externas fuera de la computacionais sensíveis, especialmente aquelas
gestión de seguridad de la organización. com terminais instalados em locais de alto risco,
Ejemplos de tales restricciones incluyen: por exemplo em áreas públicas ou externas fora
115 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
116 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Control
El acceso a información y funciones de sistema Controle
de aplicación por parte de usuarios y personal de Convém que o acesso à informação e às funções
soporte debería estar restringido de acuerdo a la dos sistemas de aplicações por usuários e pessoal
política definida de control de acceso. de suporte seja restrito de acordo com o definido
na política de controle de acesso.
Guía de implementación
Las restricciones al acceso deberían estar Diretrizes para implementação
basadas en los requisitos de la aplicación de Convém que restrições para acesso sejam
negocios individual. La política de control de baseadas nos requisitos das aplicações individuais
acceso debería también ser consistente con la do negócio. Convém que a política de controle de
política de acceso organizacional (véase el acesso seja consistente com a política de acesso
Apartado 11.1). organizacional (ver 11.1).
117 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Información adicional
Algunos sistemas de aplicaciones son lo Informações adicionais
suficientemente sensibles a pérdida potencial por Alguns sistemas de aplicação são suficientemente
lo que ellos requieren un tratamiento especial. La sensíveis a perdas potenciais, requerendo
sensibilidad puede indicar que el sistema de tratamento especial. A sensibilidade pode indicar
aplicación: que o sistema de aplicação:
118 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
requisitos de protección física, controles de Convém que a política de computação móvel inclua
acceso, técnicas de criptografía, respaldos, y os requisitos de proteção física, controles de
protección contra virus. Esta política debería acesso, técnicas criptográficas, cópias de
también incluir reglas y consejo sobre conexión segurança e proteção contra vírus. Convém que
de recursos móviles a redes y orientación sobre el esta política inclua também regras e
uso de estos recursos en lugares públicos. recomendações sobre a conexão de recursos
móveis à rede e diretrizes sobre o uso destes
recursos em locais públicos.
Debería tenerse cuidado cuando se usan recusos
de informática móvil en lugares públicos tales Convém que sejam tomadas certas precauções ao
como salas de reuniones y otras áreas se utilizarem os recursos de computação móvel em
desprotegidas fuera de las instalaciones de la locais públicos, salas de reuniões e outras áreas
organización. Debería adoptarse protección para desprotegidas fora dos limites da organização.
evitar el acceso no autorizado o la divulgación de Convém que sejam estabelecidas proteções para
la información almacenada y procesada por estos evitar o acesso não autorizado ou a divulgação de
dispositivos, por ejemplo, usando técnicas informações armazenadas e processadas nestes
criptográficas (véase el Apartado 12.3). recursos, por exemplo através da utilização de
técnicas de criptografia (ver 12.3).
Los usuarios de estos recursos de informática
móvil en lugares públicos deberían ser Convém que usuários de recursos de computação
cuidadosos para evitar el riesgo de ser móvel em locais públicos tomem cuidado para
observados por personas no autorizadas. Se evitar o risco de captação por pessoas não
deberían instalar y mantener al día autorizadas. Convém que procedimentos contra
procedimientos contra el software malicioso softwares maliciosos sejam estabelecidos e
(véase el Apartado 10.4). mantidos sempre atualizados (ver 10.4).
119 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
para asegurar el equipo (véase el Apartado sem observação e, quando possível, estejam
9.2.5). fisicamente trancados, ou convém que travas
especiais sejam utilizadas para proteger o
equipamento. (ver 9.2.5).
Debería organizarse entrenamiento para personal
que utiliza dispositivos móviles para cultivar su Convém que seja providenciado treinamento para
conciencia de los riesgos adicionales resultantes os usuários de computação móvel, para aumentar
de esta forma de trabajo y los controles que o nível de conscientização a respeito dos riscos
deberían implementarse. adicionais resultantes desta forma de trabalho e
dos controles que devem ser implementados.
Información adicional
Las conexiones inalámbricas a la red desde Informações adicionais
dispositivos móviles son similares a otros tipos de As redes de conexão sem fio são similares a outros
conexión de red, pero tiene diferencias tipos de redes, mas possuem diferenças
importantes que deberían ser consideradas importantes que convém que sejam consideradas
cuando se identifican los controles. Las quando da identificação de controles. As diferenças
diferencias típicas son: típicas são:
120 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
trabajo remoto, teniendo en cuenta la seguridad a) a segurança física existente no local do trabalho
física del edificio y el ambiente local; remoto, levando-se em consideração a segurança
física do prédio e o ambiente local;
b) el ambiente físico de trabajo remoto propuesto;
b) o ambiente físico proposto para o trabalho
remoto;
c) los requisitos de seguridad de las
comunicaciones, teniendo en cuenta la necesidad c) os requisitos de segurança nas comunicações,
de acceso remoto a los sistemas internos de la levando em consideração a necessidade do acesso
organización, la sensibilidad de la información remoto aos sistemas internos da organização, a
que será accedida y el paso sobre el enlace de sensibilidade da informação que será acessada e
comunicación y la sensibilidad del sistema trafegada na linha de comunicação e a
interno; sensibilidade do sistema interno;
121 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
122 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Control
Las declaraciones de requisitos de negocio para Controle
nuevos sistemas de información, o mejoras a Convém que sejam especificados os requisitos
sistemas de información existentes deberían para controles de segurança nas especificações de
especificar los requisitos para controles de requisitos de negócios, para novos sistemas de
seguridad. informação ou melhorias em sistemas existentes.
Guía de implementación
Las especificaciones de los requisitos de control Diretrizes para implementação
deberían considerar los controles automatizados Convém que as especificações para os requisitos
a ser incorporados al sistema de información, y la de controles, nos sistemas de informação,
necesidad de controles manuales de apoyo. considerem os controles automáticos a serem
Consideraciones similares deberían ser aplicadas incorporados, assim como a necessidade de apoiar
evaluando paquetes de software, desarrollados o controles manuais. Convém que considerações
comprados, para aplicaciones de gestión. similares sejam aplicadas quando da avaliação de
pacotes de softwares, desenvolvidos internamente
ou comprados, para as aplicações de negócios.
Los requisitos de seguridad y control deberían
reflejar el valor de negocio del activo de la Convém que requisitos de segurança e controles
información involucrado (véase también el reflitam o valor para o negócio dos ativos de
Apartado 7.2), y el daño potencial de negocio, informação envolvidos (ver 7.2), e os danos
que podría ser resultado de una falla o ausencia potenciais ao negócio que poderiam resultar de
de seguridad. uma falha ou ausência de segurança.
123 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
124 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Información adicional
La examinación automática y la validación de Informações adicionais
datos de entrada pueden ser considerados, como A verificação e validação automática de dados de
aplicables, para reducir el riesgo de errores y entrada podem ser consideradas, onde aplicáveis,
prevenir ataques estándar incluyendo para reduzir o risco de erros e prevenir ataques
desbordamiento de buffer (buffer overflow) e conhecidos como buffer overflow e injeção de
inyección de códigos (code injection). código.
125 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
un proceso previo (véase también el Apartado na ordem errada ou continuem rodando após uma
10.1.1); falha de processamento (ver 10.1.1);
Información adicional
Los datos que han sido ingresados correctamente Informações adicionais
pueden ser corrompidos por errores de hardware, Os dados que tenham sido corretamente
126 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
errores de procesamiento o por actos alimentados podem ser corrompidos por falhas de
deliberados. Las comprobaciones de validación hardware, erros de processamento ou por atos
requeridas dependerán de la naturaleza de la deliberados. As verificações de validação
aplicación y el impacto al negocio de cualquier requeridas dependem da natureza das aplicações e
corrupción de datos. do impacto, no negócio, de qualquer corrupção de
dados.
12.2.3 Integridad del mensaje
12.2.3 Integridade de mensagens
Control
Deberían identificarse los requisitos para Controle
asegurar la autenticidad y proteger la integridad Convém que requisitos para garantir a
del mensaje en las aplicaciones, así como autenticidade e proteger a integridade das
identificar e implementar los controles apropiados. mensagens em aplicações sejam identificados e os
controles apropriados sejam identificados e
implementados.
Guía de implementación
Una evaluación de riesgos de seguridad debería Diretrizes para implementação
ser realizada para determinar si requiere la Convém que seja efetuada uma análise/avaliação
integridad del mensaje e identificar el método más dos riscos de segurança para determinar se a
apropiado de implementación. integridade das mensagens é requerida e para
identificar o método mais apropriado de
implementação.
Información adicional
Técnicas criptográficas (véase el Apartado 12.3) Informações adicionais
pueden ser utilizadas como un medio apropiado As técnicas criptográficas (ver 12.3) podem ser
de implementar la autenticación del mensaje. usadas como um meio apropriado para a
implementação da autenticação de mensagens.
12.2.4 Validación de los datos de salida
12.2.4 Validação de dados de saída
Control
La salida de datos de una aplicación debería ser Controle
validada para asegurar que el procesamiento de Convém que os dados de saída das aplicações
la información almacenada es correcto y sejam validados para assegurar que o
apropiado a las circunstancias. processamento das informações armazenadas está
correto e é apropriado às circunstâncias.
Guía de implementación
La validación de salida puede incluir: Diretrizes para implementação
A validação de dados de saída pode incluir:
a) validaciones de verosimilitud para comprobar si
los datos de salida son razonables; a) verificações de plausibilidade para testar se os
dados de saída são razoáveis;
b) cuentas de control de reconciliación para
asegurar el tratamiento de todos los datos; b) controles envolvendo contagens de reconciliação
para garantir o processamento de todos os dados;
c) suministro de información suficiente para un
lector o sistema de procesamiento subsecuente c) fornecimento de informação suficiente para que
para determinar la exactitud, entereza, precisión, um leitor ou um sistema de processamento
y clasificación de la información; subseqüente possa determinar a exatidão,
completeza, precisão e classificação das
informações;
d) procedimientos para responder a pruebas de
validación de salida; d) procedimentos para responder aos testes de
validação dos dados de saída;
e) definición de las responsabilidades de todo el
personal implicado en el proceso de salida de e) definição das responsabilidades de todo o
datos; pessoal envolvido no processo de dados de saída;
127 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
128 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
129 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
inadecuado o incorrecto. Usando firmas digitales, criptográficas para evitar o uso incorreto ou
deberían dar consideración a cualquier legislación inapropriado. Quanto ao uso de assinaturas
relevante, en particular la legislación que describe digitais, convém que seja considerada toda a
las condiciones en las cuales una firma digital legislação relevante, em particular aquela que
obliga legalmente (véase el Apartado 15.1). descreve as condições sob as quais uma
assinatura digital é legalmente aceita (ver 15.1).
Debería buscarse la asesoría de un especialista
para identificar el nivel apropiado de protección y Convém que seja buscada a opinião de um
definir las especificaciones convenientes que especialista para identificar o nível apropriado de
proporcionarán la protección requerida y proteção e definir as especificações aplicáveis que
apoyarán la implementación de un sistema de proporcionarão o nível requerido de proteção e o
gestión de clave seguro (véase también el apoio à implementação de um sistema seguro de
Apartado 12.3.2). gerenciamento de chaves (ver 12.3.2).
130 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
131 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
132 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
sistemas en producción, las directrices siguientes, Para minimizar o risco de corrupção aos sistemas
deberían ser consideradas en el control de operacionais, convém que as seguintes diretrizes
cambio: sejam consideradas para controlar mudanças:
133 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
nueva versión, por ejemplo la introducción de una negócio para a mudança e da segurança
nueva funcionalidad de seguridad o el número y associada, por exemplo, a introdução de uma nova
la severidad de problemas de seguridad que funcionalidade de segurança ou a quantidade e a
afectan esta versión. Los parches de software gravidade dos problemas de segurança associados
deberían aplicarse cuando puedan ayudar a a esta versão. Convém que pacotes de correções
quitar o reducir debilidades de seguridad (véase de software sejam aplicados quando puderem
también el Apartado 12.6.1). remover ou reduzir as vulnerabilidades de
segurança (ver 12.6.1).
El acceso físico o lógico únicamente se debería
dar a los proveedores para propósitos de soporte, Convém que acessos físicos e lógicos sejam
cuando sea necesario, y con aprobación de la concedidos a fornecedores, quando necessário,
dirección. Las actividades del proveedor deberían para a finalidade de suporte e com aprovação
ser supervisadas. gerencial. Convém que as atividades do fornecedor
sejam monitoradas.
El software de computador puede depender de
software y módulos suministrados externamente, Os softwares para computadores podem depender
lo cual se debería supervisar y controlar para de outros softwares e módulos fornecidos
evitar cambios no autorizados que puedan externamente, os quais convém ser monitorados e
introducir debilidades de seguridad. controlados para evitar mudanças não autorizadas,
que podem introduzir fragilidades na segurança.
Información adicional
Sólo deberían cambiarse los sistemas operativos Informações adicionais
cuando hay un requisito para hacer, por ejemplo, Convém que sistemas operacionais sejam
si la versión actual del sistema operativo no atualizados quando existir um requisito para tal, por
soporta las exigencias de negocio. Las mejoras exemplo, se a versão atual do sistema operacional
no deberían ocurrir solamente porque una nueva não suportar mais os requisitos do negócio.
versión del sistema operativo está disponible. Las Convém que as atualizações não sejam efetivadas
nuevas versiones de sistemas operativos pueden pela mera disponibilidade de uma versão nova do
ser menos seguras, menos estables, y menos sistema operacional. Novas versões de sistemas
entendidas que los sistemas actuales. operacionais podem ser menos seguras, com
menor estabilidade, e ser menos entendidas do que
os sistemas atuais.
12.4.2 Protección de datos de prueba del
sistema 12.4.2 Proteção dos dados para teste de
sistema
Control
Los datos de prueba deberían ser seleccionados Controle
cuidadosamente, protegidos y controlados. Convém que os dados de teste sejam selecionados
com cuidado, protegidos e controlados.
Guía de implementación
Para hacer pruebas debería ser evitado el empleo Diretrizes para implementação
de bases de datos de producción que contienen Para propósitos de teste, convém que seja evitado
información personal o cualquier otra información o uso de bancos de dados operacionais que
sensible. Si se utiliza información personal o contenham informações de natureza pessoal ou
cualquier otra información sensible para hacer qualquer outra informação considerada sensível.
pruebas, todos los detalles y el contenido sensible Se informação de natureza pessoal ou outras
deberían ser eliminados o modificados, más allá informações sensíveis forem utilizadas com o
del reconocimiento, antes del empleo. Las propósito de teste, convém que todos os detalhes e
directrices siguientes deberían ser aplicadas para conteúdo sensível sejam removidos ou modificados
proteger datos de producción cuando son de forma a evitar reconhecimento antes do seu
utilizados para hacer pruebas: uso. Convém que sejam aplicadas as seguintes
diretrizes para a proteção de dados operacionais,
quando utilizados para fins de teste:
a) los procedimientos de control de acceso, que
se aplican a sistemas de aplicaciones en a) os procedimentos de controle de acesso,
producción, deberían aplicarse también a los aplicáveis aos aplicativos de sistema em ambiente
sistemas de prueba de aplicaciones; operacional, sejam também aplicados aos
aplicativos de sistema em ambiente de teste;
b) debería autorizarse por separado, cada vez
134 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
que se copie la información de producción a un b) seja obtida autorização cada vez que for
sistema de prueba de aplicación; utilizada uma cópia da informação operacional para
uso de um aplicativo em teste;
c) debería borrarse, la información de producción
de un sistema de prueba de aplicación c) a informação operacional seja apagada do
inmediatamente después de que las pruebas son aplicativo em teste imediatamente após completar
completadas; o teste;
135 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Información adicional
El código de programas fuente es el código Informações adicionais
escrito por programadores, que son compilados (y Os códigos-fonte de programas são códigos
enlazados) para crear ejecutables. Ciertos escritos por programadores, que são compilados (e
lenguajes de programación, como el ejecutable es ligados) para criar programas executáveis.
creado en el tiempo en que es activado no Algumas linguagens de programação não fazem
distinguen formalmente entre el código fuente y uma distinção formal entre código-fonte e
ejecutable. executável, pois os executáveis são criados no
momento da sua ativação.
Las normas ISO 10007 e ISO/IEC 12207
proporcionan información adicional sobre los As ISO 10007 e ISO/IEC 12207 possuem mais
procesos de gestión de configuración y el proceso informações sobre a gestão de configuração e o
de ciclo de vida del software. processo de ciclo de vida de software.
136 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
cambios mayores a sistemas existentes debería da informação. Convém que a introdução de novos
seguir un proceso formal de documentación, sistemas e mudanças maiores em sistemas
especificación, pruebas, control de calidad, y existentes sigam um processo formal de
gestión de implementación. documentação, especificação, teste, controle da
qualidade e gestão da implementação.
Este proceso debería incluir una evaluación de
riesgo, el análisis de los impactos de cambios, y Convém que o processo inclua uma
la especificación de los controles de seguridad análise/avaliação de riscos, análise do impacto das
necesarios. Este proceso también debería mudanças e a especificação dos controles de
asegurar que los procedimientos existentes de segurança requeridos. Convém que o processo
seguridad y control no son comprometidos, que a garanta que a segurança e os procedimentos de
los programadores de apoyo se les da el acceso controle atuais não sejam comprometidos, que os
sólo a aquellas partes del sistema necesario para programadores de suporte tenham acesso somente
su trabajo, y que el acuerdo formal y la às partes do sistema necessárias para o
aprobación para cualquier cambio son obtenidos. cumprimento das tarefas e que sejam obtidas
concordância e aprovação formal para qualquer
mudança obtida.
De ser practicable, los procedimientos de control
de cambio de aplicación y operacionales deberían Convém que, quando praticável, os procedimentos
integrarse (véase también el Apartado 10.1.2). de controle de mudanças sejam integrados (ver
Los procedimientos de cambio deberían incluir: 10.1.2). Convém que os procedimentos de
mudanças incluam:
a) el mantenimiento de un registro de niveles de
autorización acordados; a) a manutenção de um registro dos níveis
acordados de autorização;
b) asegurar que los cambios son efectuados por
usuarios autorizados; b) a garantia de que as mudanças sejam
submetidas por usuários autorizados;
c) revisar los controles y procedimientos de
integridad para asegurar que no serán c) a análise crítica dos procedimentos de controle e
comprometidos por los cambios; integridade para assegurar que as mudanças não
os comprometam;
d) identificar todo el software, la información,
entidades de base de datos, y el hardware que d) a identificação de todo software, informação,
requieran enmienda; entidades em bancos de dados e hardware que
precisam de emendas;
e) obtener la aprobación formal para propuestas
detalladas antes de que comience el trabajo; e) a obtenção de aprovação formal para propostas
detalhadas antes da implementação;
f) asegurar que los usuarios autorizados acepten
los cambios antes de la implementación; f) a garantia da aceitação das mudanças por
usuários autorizados, antes da implementação;
g) asegurar que al terminar cada cambio la
documentación de sistema es actualizada y que g) a garantia da atualização da documentação do
la vieja documentación es archivada o eliminada; sistema após conclusão de cada mudança e de
que a documentação antiga seja arquivada ou
descartada;
h) el mantenimiento de una versión controlada de
todas las actualizaciones de software; h) a manutenção de um controle de versão de
todas as atualizações de softwares;
i) el mantenimiento de una pista de auditoría de
todo el cambio solicitado; i) a manutenção de uma trilha para auditoria de
todas as mudanças solicitadas;
j) asegurar que la documentación de operaciones
(véase el Apartado 10.1.1) y los procedimientos j) a garantia de que toda a documentação
de usuario son cambiados según es necesario operacional (ver 10.1.1) e procedimentos dos
para permanecer adecuada; usuários sejam alterados conforme necessário e
que se mantenham apropriados;
k) asegurar que la implementación de cambios
137 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
138 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
139 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
140 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
141 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
142 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
143 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
segurança da informação
OBJETIVO: Asegurar que las debilidades y
eventos de seguridad de la información asociados Objetivo: Assegurar que fragilidades e eventos de
a sistemas de información son comunicados de segurança da informação associados com sistemas
manera de permitir tomar acciones correctivas a de informação sejam comunicados, permitindo a
tiempo. tomada de ação corretiva em tempo hábil.
144 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
concluída;
b) formatos para el reporte de eventos de
seguridad de la información como forma de b) formulário para apoiar a ação de notificar um
soporte a la acción de generación de reportes, y evento de segurança da informação e ajudar as
para ayudar a la persona que reporta a recordar pessoas a lembrar as ações necessárias para a
todas las acciones necesarias en caso de un notificação do evento;
evento de seguridad de la información;
_______________
1)
Una alarma de coerción es un método para secretamente _______________
indicar que una acción está ocurriendo bajo coerción. 1)
Alarme de coação é um método usado para indicar, de forma
secreta, que uma ação está acontecendo sob coação.
Información adicional
Ejemplos de eventos e incidentes de seguridad Informações adicionais
de la información son: Exemplos de eventos e incidentes de segurança da
informação são:
a) pérdida de servicio, de equipos o de
instalaciones; a) perda de serviço, equipamento ou recursos;
145 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
h) violaciones de acceso.
h) violação de acesso.
Con el debido cuidado de los aspectos de
confidencialidad, los incidentes de seguridad de la Considerando os cuidados com os aspectos de
información se pueden utilizar en la formación de confidencialidade, os incidentes de segurança da
conciencia del usuario (véase el Apartado 8.2.2) informação podem ser utilizados em treinamento de
como ejemplos de lo que podría suceder, cómo conscientização (ver 8.2.2) como exemplos do que
responder a tales incidentes, y cómo evitarlos en poderia ocorrer, como responder a tais incidentes e
el futuro. Para poder atender eventos e incidentes como evitá-los futuramente. Para ser capaz de
de seguridad de la información podría ser destinar os eventos e incidentes de segurança da
necesario recoger evidencia cuanto antes informação adequadamente, pode ser necessário
después de la ocurrencia (véase el Apartado coletar evidências tão logo quanto possível depois
13.2.3). da ocorrência (ver 13.2.3).
146 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
147 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
2) contención;
2) retenção;
3) la planificación e implementación de la
acción correctiva para prevenir la 3) planejamento e implementação de ação
repetición, en caso de necesidad; corretiva para prevenir a sua repetição, se
necessário;
4) comunicación con aquellos afectados por o
implicados en la recuperación del incidente; 4) comunicação com aqueles afetados ou
envolvidos com a recuperação do incidente;
5) reporte del evento a la autoridad apropiada;
5) notificação da ação para a autoridade
apropriada;
c) pistas de auditoría y evidencia similar deberían
recogerse (véase el Apartado 13.2.3) y c) convém que trilhas de auditoria e evidências
asegurarse, como sea apropiado, para: similares sejam coletadas (ver 13.2.3) e protegidas,
como apropriado, para:
1) análisis interno del problema;
1) análise de problemas internos;
2) uso como evidencia forense en lo referente
a una violación potencial de un contrato o 2) uso como evidência forense para o caso de
de un requisito regulador o en la uma potencial violação de contrato ou de
eventualidad de procesos civiles o normas
criminales, por ejemplo, bajo legislación de reguladoras ou em caso de delitos civis ou
abuso de sistemas o de protección de los criminais, por exemplo relacionados ao uso
datos; impróprio de computadores ou legislação de
proteção dos dados;
3) negociar una compensación por parte de
proveedores de software y de servicio; 3) negociação para compensação ou
ressarcimento por parte de fornecedores de
software e
serviços;
d) la acción para la recuperación de las
violaciones de la seguridad y la corrección de las d) convém que as ações para recuperação de
fallas del sistema debería estar cuidadosa y violações de segurança e correção de falhas do
formalmente controlada; los procedimientos sistema sejam cuidadosa e formalmente
deberían asegurar que: controladas; convém que os procedimentos
assegurem que:
1) solamente al personal claramente
identificado y autorizado se le permite el 1) apenas funcionários explicitamente
acceso a los sistemas en producción y a identificados e autorizados estejam liberados
sus datos (véase también el Apartado 6.2 para acessar sistemas e dados em produção
para el acceso externo); (ver 6.2 para acesso externo);
148 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
149 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
150 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
evidencia debería supervisarse por personal evidência seja preservada. Convém que o processo
digno de confianza y debería registrarse de cópia de todo material de evidência seja
información sobre cuándo y dónde el proceso de supervisionado por pessoas confiáveis e que as
copiado fue ejecutado, quién realizó las informações sobre a data, local, pessoas,
actividades de copiado y qué herramientas y ferramentas e programas envolvidos no processo
programas se han utilizado. de cópia sejam registradas.
Información adicional
Cuando un acontecimiento de seguridad de la Informações adicionais
información se detecta por primera vez, puede no Quando um evento de segurança da informação é
ser obvio si el acontecimiento dará lugar a una detectado, pode não ser óbvio que ele resultará
acción legal o no. Por lo tanto, existe el peligro num possível processo jurídico. Entretanto, existe o
que evidencia necesaria sea destruida perigo de que a evidência seja destruída
intencionalmente o accidentalmente antes que la intencional ou acidentalmente antes que seja
seriedad del incidente se observe. Es percebida a seriedade do incidente. É conveniente
recomendable implicar a un abogado o a la envolver um advogado ou a polícia tão logo seja
policía temprano en cualquier demanda legal constatada a possibilidade de processo jurídico e
contemplada y asesorarse sobre la evidencia obter consultoria sobre as evidências necessárias.
requerida.
151 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Control
Se debería desarrollar y mantener un proceso de Controle
gestión para la continuidad del negocio en toda la Convém que um processo de gestão seja
organización el cual trate los requisitos de desenvolvido e mantido para assegurar a
seguridad de la información necesarios para la continuidade do negócio por toda a organização e
continuidad del negocio de la organización. que contemple os requisitos de segurança da
informação necessários para a continuidade do
negócio da organização.
Guía de implementación
El proceso debería reunir los siguientes Diretrizes para implementação
elementos clave para la gestión de la continuidad Convém que este processo agregue os seguintes
del negocio: elementos-chave da gestão da continuidade do
negócio:
a) comprensión de los riesgos que enfrenta la
organización en términos de la probabilidad y el a) entendimento dos riscos a que a organização
impacto en el tiempo, incluyendo la identificación está exposta, no que diz respeito à sua
y la determinación de la prioridad de los procesos probabilidade e impacto no tempo, incluindo a
críticos del negocio (véase el Apartado 14.1.2); identificação e priorização dos processos críticos
do negócio (ver 14.1.2);
b) identificación de todos los activos involucrados
en los procesos críticos del negocio (véase el b) identificação de todos os ativos envolvidos em
Apartado 7.1.1); processos críticos de negócio (ver 7.1.1);
152 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Guía de implementación
Los aspectos de seguridad de la información en la Diretrizes para implementação
continuidad del negocio se deberían basar en la Convém que os aspectos da continuidade do
identificación de los eventos (o secuencia de negócios relativos à segurança da informação
eventos) que pueden causar interrupciones en los sejam baseados na identificação de eventos (ou
procesos del negocio de la organización, por sucessão de eventos) que possam causar
ejemplo fallas de los equipos, errores humanos, interrupções aos processos de negócios das
robo, desastres naturales y actos terroristas. Se organizações, por exemplo, falha de equipamento,
debería continuar con una evaluación de riesgos erros humanos, furto ou roubo, incêndio, desastres
para determinar la probabilidad y el impacto de naturais e atos terroristas. Em seguida, convém
tales interrupciones, en términos de tiempo, que seja feita uma análise/avaliação de riscos para
escala de daño y periodo de recuperación. a determinação da probabilidade e impacto de tais
interrupções, tanto em termos de escala de dano
153 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
154 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
155 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
156 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
actividades esenciales del negocio o los servicios as ações necessárias para a transferência das
de soporte a lugares temporales alternos y para atividades essenciais do negócio ou os serviços de
devolver la operatividad de los procesos del infra-estrutura para localidades alternativas
negocio en los plazos requeridos; temporárias e para a reativação dos processos do
negócio no prazo necessário;
d) los procedimientos operativos temporales por
seguir mientras se terminan la recuperación y la d) procedimentos operacionais temporários para
restauración; seguir durante a conclusão de recuperação e
restauração;
e) los procedimientos de reanudación que
describen las acciones por realizar para que las e) procedimentos de recuperação que descrevam
operaciones del negocio vuelvan a la normalidad; as ações a serem adotadas quando do
restabelecimento das operações;
f) una programación de mantenimiento que
especifique cómo y cuándo se realizarán pruebas f) uma programação de manutenção que
al plan y el proceso para el mantenimiento del especifique quando e como o plano deverá ser
plan; testado e a forma de se proceder à manutenção
deste plano;
g) actividades de concientización, educación y
formación diseñadas para comprender los g) atividades de treinamento, conscientização e
procesos de continuidad del negocio y garantizar educação com o propósito de criar o entendimento
que los procesos siguen siendo eficaces; do processo de continuidade de negócios e de
assegurar que os processos continuem a ser
efetivo;
h) las responsabilidades de las personas, que
describan quién es responsable de la ejecución h) designação das responsabilidades individuais,
de cada componente del plan. Si se requiere, se descrevendo quem é responsável pela execução
deberían nombrar suplentes; de que item do plano. Convém que suplentes
sejam definidos quando necessário;
i) los activos y recursos críticos necesarios para
ejecutar los procedimientos de emergencia, i) os ativos e recursos críticos precisam estar aptos
respaldo y reanudación. a desempenhar os procedimentos de emergência,
recuperação e reativação.
14.1.5 Pruebas, mantenimiento y
reevaluación de los planes de continuidad del 14.1.5 Testes, manutenção e reavaliação dos
negocio planos de continuidade do negócio
Control
Los planes de continuidad del negocio se Controle
deberían someter a pruebas y actualizar Convém que os planos de continuidade do negócio
regularmente para asegurar su actualización y su sejam testados e atualizados regularmente, de
eficacia. forma a assegurar sua permanente atualização e
efetividade.
Guía de implementación
Las pruebas del plan de continuidad del negocio Diretrizes para implementação
deberían asegurar que todos los miembros del Convém que os testes do plano de continuidade do
equipo de recuperación y otro personal pertinente negócio assegurem que todos os membros da
son conscientes de los planes y sus equipe de recuperação e outras pessoas relevantes
responsabilidades para la continuidad del negocio estejam conscientes dos planos e de suas
y la seguridad de la información, y conocen su responsabilidades para a continuidade do negócio
función cuando se ejecuta un plan. e a segurança da informação, e conheçam as suas
atividades quando um plano for acionado.
La programación de las pruebas para los planes
de continuidad del negocio debería indicar cómo y Convém que o planejamento e a programação dos
cuándo se va a probar cada elemento del plan. testes do(s) plano(s) de continuidade de negócios
Cada uno de los elementos se debería probar con indiquem como e quando cada elemento do plano
frecuencia. seja testado. Convém que os componentes
isolados do(s) plano(s) sejam freqüentemente
testados.
157 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
158 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
159 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
apropiados para asegurar el cumplimiento de los Convém que procedimentos apropriados sejam
requisitos legales, reguladores y contractuales implementados para garantir a conformidade com
sobre el uso del material protegido por derechos os requisitos legislativos, regulamentares e
de propiedad intelectual, y sobre el uso de los contratuais no uso de material, em relação aos
productos de software propietario. quais pode haver direitos de propriedade intelectual
e sobre o uso de produtos de software
proprietários.
Guía de implementación
Deberían considerarse las siguientes Diretrizes para implementação
recomendaciones para proteger cualquier Convém que as seguintes diretrizes sejam
material que pueda ser considerado propiedad consideradas para proteger qualquer material que
intelectual: possa ser considerado como propriedade
intelectual:
a) publicar una política de cumplimiento de los
derechos de propiedad intelectual que defina el a) divulgar uma política de conformidade com os
uso legal de los productos de software e direitos de propriedade intelectual que defina o uso
información; legal de produtos de software e de informação;
160 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
(película, audio) con excepción de lo permitido extrair de registros comerciais (filme, áudio) outros
por los derechos de copia; que não os permitidos pela lei de direito autoral;
Control
Se deberían proteger los registros importantes de Controle
la organización frente a su pérdida, destrucción y Convém que registros importantes sejam
falsificación en acuerdo con los requisitos protegidos contra perda, destruição e falsificação,
estatutarios, reguladores, contractuales y del de acordo com os requisitos regulamentares,
negocio. estatutários, contratuais e do negócio.
Guía de implementación
Los registros se deberían categorizar según el Diretrizes para implementação
tipo, como por ejemplo: registros contables, Convém que registros sejam categorizados em
registros de bases de datos, registros de tipos de registros, tais como registros contábeis,
transacciones, registros de auditoría y registros de base de dados, registros de
procedimientos operativos, cada uno de los transações, registros de auditoria e procedimentos
cuales con los detalles de plazos de retención y operacionais, cada qual com detalhes do período
medios de almacenamiento como papel, de retenção e do tipo de mídia de armazenamento,
microfichas, medios magnéticos u ópticos). como, por exemplo, papel, microficha, meio
Cualquier material relacionado con claves magnético ou ótico. Convém que quaisquer chaves
criptográficas y programas asociados con de criptografia relacionadas com arquivos cifrados
archivos cifrados o firmas digitales (véase el ou assinaturas digitais (ver 12.3) sejam também
Apartado 12.3), se debería guardar para permitir armazenadas para permitir a decifração de
el descifrado de los registros durante el tiempo registros pelo período de tempo que os registros
que los mismos son retenidos. são mantidos.
161 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Información adicional
Algunos registros podrían requerir ser Informações adicionais
almacenados de manera segura tanto para Alguns registros podem precisar ser retidos de
cumplir con requisitos estatutarios, reguladores o forma segura para atender a requisitos estatutários,
contractuales, como para soportar actividades contratuais ou regulamentares, assim como para
162 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
esenciales del negocio. Por ejemplo, los registros apoiar as atividades essenciais do negócio.
que puedan requerirse para acreditar que la Exemplo disso são os registros que podem ser
organización opera dentro de las reglas exigidos como evidência de que uma organização
estatutarias o reguladoras, para asegurar una opera de acordo com as regras estatutárias e
defensa adecuada contra una posible acción civil regulamentares, para assegurar a defesa
o penal, o bien para confirmar el estado financiero adequada contra potenciais processos civis ou
de la organización respecto a los accionistas, criminais ou confirmar a situação financeira de uma
partes externas y auditores. La legislación organização perante os acionistas, partes externas
nacional u otras regulaciones podrían establecer e auditores. O período de tempo e o conteúdo da
el plazo y contenido de la información a retener. informação retida podem estar definidos através de
leis ou regulamentações nacionais.
Información adicional sobre la gestión de registros
de una organización se puede encontrar en la Outras informações sobre como gerenciar os
norma ISO 15489-1. registros organizacionais, podem ser encontradas
na ISO 15489-1.
15.1.4 Protección de los datos y privacidad de
la información personal 15.1.4 Proteção de dados e privacidade de
informações pessoais
Control
Debería asegurarse la protección y la privacidad Controle
de los datos, de acuerdo con la legislación y las Convém que a privacidade e a proteção de dados
regulaciones pertinentes, y si es aplicables, con sejam asseguradas conforme exigido nas
las Cláusulas contractuales. legislações, regulamentações e, se aplicável, nas
Cláusulas contratuais pertinentes.
Guía de implementación
Una política de protección y de privacidad de los Diretrizes para implementação
datos de la organización debería ser desarrollada Convém que uma política de privacidade e
e implementada. Esta política se debería proteção de dados da organização seja
comunicar a todas las personas implicadas en el desenvolvida e implementada. Convém que esta
procesamiento de información personal. política seja comunicada a todas as pessoas
envolvidas no processamento de informações
pessoais.
El cumplimiento de esta política y de toda la
legislación y regulaciones relevantes a la A conformidade com esta política e todas as
protección de los datos requiere una apropiada legislações e regulamentações relevantes de
estructura de gestión y control. Este objetivo proteção de dados necessita de uma estrutura de
suele alcanzarse con mayor facilidad designando gestão e de controles apropriados. Geralmente isto
una persona responsable, por ejemplo un oficial é melhor alcançado através de uma pessoa
de protección de datos, que oriente a los responsável, como, por exemplo, um gestor de
directores, usuarios y proveedores de servicios proteção de dados, que deve fornecer orientações
sobre sus responsabilidades individuales y sobre gerais para gerentes, usuários e provedores de
los procedimientos específicos que deberían serviço sobre as responsabilidades de cada um e
seguirse. La responsabilidad de manejar la sobre quais procedimentos específicos recomenda-
información personal y de asegurar el se seguir. Convém que a responsabilidade pelo
conocimiento de los principios de la protección de tratamento das informações pessoais e a garantia
los datos se debería establecer de acuerdo con la da conscientização dos princípios de proteção dos
legislación y las regulaciones relevantes. Se dados sejam tratadas de acordo com as legislações
deberían implementar medidas técnicas y e regulamentações relevantes. Convém que
organizacionales apropiadas para proteger la medidas organizacionais e técnicas apropriadas
información personal. para proteger as informações pessoais sejam
implementadas.
Información adicional
Cierto número de países han introducido Informações adicionais
legislación colocando controles en la recolección, Alguns países têm promulgado leis que
el procesamiento y transmisión de datos estabelecem controles na coleta, no
personales (en general información de personas processamento e na transmissão de dados
vivas que pueden ser identificadas a raíz de dicha pessoais (geralmente informação sobre indivíduos
información). Dependiendo de la respectiva vivos que podem ser identificados a partir de tais
legislación nacional, estos controles pueden informações). Dependendo da respectiva legislação
163 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
imponer obligaciones a quien recoja, procese y nacional, tais controles podem impor
transmita información personal, y pueden responsabilidades sobre aqueles que coletam,
restringir la posibilidad de transferir estos datos a processam e disseminam informação pessoal, e
otros países. podem restringir a capacidade de transferência
desses dados para outros países.
15.1.5 Prevención del uso inadecuado de las
instalaciones de procesamiento de la 15.1.5 Prevenção de mau uso de recursos de
información processamento da informação
Control
Los usuarios deberían ser disuadidos de usar las Controle
instalaciones de procesamiento de la información Convém que os usuários sejam dissuadidos de
para propósitos no autorizados. usar os recursos de processamento da informação
para propósitos não autorizados.
Guía de implementación
La dirección debería aprobar el uso de Diretrizes para implementação
instalaciones de procesamiento de la información. Convém que a direção aprove o uso de recursos de
Cualquier uso de estas instalaciones para processamento da informação. Convém que
propósitos ajenos al negocio o no autorizados, sin qualquer uso destes recursos para propósitos não
la aprobación de la dirección (véase el Apartado relacionados ao negócio ou não autorizados, sem a
6.1.4), debería ser visto como uso impropio de los aprovação da direção (ver 6.1.4), ou para
recursos. Si cualquier actividad no autorizada se quaisquer propósitos não autorizados, seja
identifica mediante supervisión u otros medios, se considerado como uso impróprio desses recursos.
debería poner en conocimiento del director Se qualquer atividade não autorizada for
responsable para la consideración de la acción identificada por processo de monitoração ou outros
disciplinaria y/o legal apropiada. meios, convém que esta atividade seja levada ao
conhecimento do gestor responsável para que
sejam aplicadas as ações disciplinares e/ou legais
pertinentes.
Debería solicitarse asesoría legal antes de la
implantación de procedimientos de supervisión. Convém que se busque uma assessoria legal antes
da implementação dos procedimentos de
monitoração.
Todos los usuarios deberían conocer el alcance
preciso de su acceso permitido y de los lugares Convém que todos os usuários estejam
que son supervisados para detectar usos no conscientes do escopo preciso de suas permissões
autorizados. Esto puede conseguirse mediante la de acesso e da monitoração realizada para
entrega a los usuarios de una autorización escrita detectar o uso não autorizado. Isto pode ser
cuya copia debería firmar el usuario y ser retenida alcançado pelo registro das autorizações dos
en forma segura por parte de la organización. usuários por escrito, convém que a cópia seja
Debería informarse a los empleados de la assinada pelo usuário e armazenada de forma
organización, a los contratistas y a los usuarios segura pela organização. Convém que os
de terceras partes que no se permitirá otro funcionários de uma organização, fornecedores e
acceso que no sea el autorizado. terceiros sejam informados de que nenhum acesso
é permitido com exceção daqueles que foram
autorizados.
Al conectarse (log-on) en su puesto de trabajo, un
mensaje de advertencia debería indicar en la No momento da conexão inicial, convém que seja
pantalla que el sistema al que se entra es privado apresentada uma mensagem de advertência para
y que no se permite el acceso no autorizado. El indicar que o recurso de processamento da
usuario tiene que darse por enterado y reaccionar informação que está sendo usado é de propriedade
de forma apropiada al mensaje para poder da organização e que não são permitidos acessos
continuar el proceso de conexión (véase el não autorizados. O usuário tem que confirmar e
Apartado 11.5.1). reagir adequadamente à mensagem na tela para
continuar com o processo de conexão (ver 11.5.1).
Información adicional
Las instalaciones de procesamiento de la Informações adicionais
información de una organización son Os recursos de processamento da informação de
consideradas principalmente o exclusivamente uma organização são destinados básica ou
164 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
para los propósitos del negocio. exclusivamente para atender aos propósitos do
negócio.
La detección de intrusos, la inspección de
contenidos, y otras herramientas de supervisión Ferramentas do tipo detecção de intrusos, inspeção
pueden ayudar a prevenir y a detectar el uso de conteúdo e outras formas de monitoração
inadecuado de las instalaciones de podem ajudar a prevenir e detectar o mau uso dos
procesamiento de la información. recursos de processamento da informação.
165 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
166 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
revisiones independientes (véase el Apartado resultados para as pessoas que estão realizando a
6.1.8), cuando la revisión independiente se realice análise crítica independente (ver 6.1.8), quando a
en el área de su responsabilidad. análise crítica independente for realizada na área
de sua responsabilidade.
Información adicional
El seguimiento operacional del uso del sistema se Informações adicionais
cubre en el Apartado 10.10. A monitoração operacional de sistemas em uso é
apresentada em 10.10.
15.2.2 Verificación del cumplimiento técnico
15.2.2 Verificação da conformidade técnica
Control
Los sistemas de información deberían ser Controle
revisados regularmente para verificar el Convém que sistemas de informação sejam
cumplimiento con las normas de implementación periodicamente verificados em sua conformidade
de la seguridad. com as normas de segurança da informação
implementadas.
Guía de implementación
La verificación del cumplimiento técnico debería Diretrizes para implementação
realizarse manualmente por un ingeniero de Convém que a verificação de conformidade técnica
sistemas experimentado (con apoyo de seja executada manualmente (auxiliada por
herramientas de software apropiadas si es ferramentas de software apropriadas, se
necesario), y/o con la ayuda de herramientas necessário) por um engenheiro de sistemas
automatizadas que generen un informe técnico experiente, e/ou com a assistência de ferramentas
para su posterior interpretación por parte de un automatizadas que gerem relatório técnico para
especialista técnico. interpretação subseqüente por um técnico
especialista.
Si se utilizan pruebas de intrusión o evaluaciones
de vulnerabilidad, se debería tener cuidado pues Se o teste de invasão ou avaliações de
estas actividades podrían comprometer la vulnerabilidades forem usados, convém que sejam
seguridad del sistema. Tales pruebas deberían tomadas precauções, uma vez que tais atividades
ser planificadas, documentadas y repetibles. podem conduzir a um comprometimento da
segurança do sistema. Convém que tais testes
sejam planejados, documentados e repetidos.
Cualquier verificación del cumplimiento técnico
debería realizarse solamente por las personas Convém que qualquer verificação de conformidade
competentes, autorizadas, o bajo supervisión de técnica somente seja executada por pessoas
tales personas. autorizadas e competentes, ou sob a supervisão de
tais pessoas.
Información adicional
La verificación del cumplimiento técnico Informações adicionais
comprende la revisión de los sistemas A verificação da conformidade técnica envolve a
operacionales a fin de garantizar que los análise dos sistemas operacionais para garantir
controles de hardware y software hayan sido que controles de hardware e software foram
correctamente implementados. Este tipo de corretamente implementados. Este tipo de
verificación de la conformidad requiere asistencia verificação de conformidade requer a assistência
técnica especializada. de técnicos especializados.
167 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
168 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Anexo A
169 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
(informativo)
Batch - Un conjunto de datos o tareas ha ser procesadas en una única ejecución de un programa.
Bombas lógicas - Programas que provocan la ejecución de una serie de acciones, por lo general malignas,
cuando se cumple una determinada condición. Una fecha determinada, la pulsación de una serie de teclas o
un contador interno, son algunos de los disparadores más utilizados en este tipo de programas.
Buffer overflow - Un desbordamiento de búfer (buffer overflow) es un error de software que se produce
cuando se copia una cantidad más grande de datos sobre un área más pequeña sin interrumpir la operación,
sobreescribiendo otras zonas de memoria.
Caballos de Troya - Los caballos de Troya o troyanos son programas que, bajo una apariencia inofensiva,
esconden una acción dañina, como la destrucción de la información del computador atacado; el cambio de
permisos o derechos, y el robo de todo tipo de información (como direcciones de correo electrónico, claves,
etc.)
Code injection - Técnica mediante la cual se introduce código arbitrariamente en un proceso computacional
en ejecución.
Contrato o arreglo de escrow - Es aquel por el cual una empresa desarrolladora de software se
compromete a entregar el código fuente de un programa informático a un tercero, que se constituye en
depositario, que se obliga a conservarlo y proporcionárselo al contratista del programa solo en el caso de
que se den determinadas circunstancias.
e-business - Negocio electrónico, (e-negocio), es cualquier proceso del negocio que sea brindado por un
sistema de información.
Fallback - Metodología de emergencia ante fallas que posibilitan la recuperación de información perdida.
Firewall - Dispositivo que se coloca entre dos redes. Controla todas las conexiones de entrada y salida,
evitando transmisiones no deseadas.
Función hash o algoritmo hash - En informática, una función hash o algoritmo hash es una función o
método para generar claves o llaves que representen de manera unívoca a un documento, registro, archivo,
etc.
Gateway - Punto de una red que actúa como punto de entrada a otra red.
Gusanos (worms) - Los gusanos son programas que tienen como fin último propagarse mediante la
replicación de sí mismos, bien en la memoria de los sistemas o bien de computador en computador a través
de redes como Internet.
170 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Hand-held device - Un dispositivo informático que se puede mantener fácilmente en una mano mientras
que la otra mano se utiliza para operarlo. Los dispositivos Palm son un ejemplo popular.
Log off - Procedimiento de desconexión o salida del sistema por parte de un usuario.
Middleware - En sistemas computacionales distribuidos, middleware se define como la capa del software
entre el sistema operacional y las aplicaciones.
PIN - Número de identificación personal (Personal Identification Number). Número secreto asociado a una
persona o usuario de un servicio mediante el cual se accede al mismo.
Service packs - Parche (patch) o actualización de un programa cuyo fin es solucionar problemas o mejorar
la usabilidad de una versión previa de la aplicación.
Smart card - Una tarjeta inteligente (smart card), o tarjeta con circuito integrado (TCI), se define a cualquier
tarjeta del tamaño de un bolsillo con circuitos integrados incluidos. Aunque existe un diverso rango de
aplicaciones, hay dos categorías principales de TCI, las tarjetas de memoria que contienen sólo
componentes de memoria no volátil y posiblemente alguna lógica de seguridad; y las tarjetas
microprocesadoras que contienen memoria y microprocesadores.
Sniffer - Un packet sniffer es un programa de captura de las tramas de red .Generalmente se usa para
gestionar la red con una finalidad docente, aunque también puede ser utilizado con fines maliciosos.
Stakeholder - Un stakeholder hace referencia a los involucrados en un proyecto de alguna forma. Por
ejemplo: cliente, equipo de proyecto, accionistas, funcionarios, etc. Se utiliza también para referirse a la
"parte interesada".
Virus - Programas capaces de autoreproducirse copiándose en otro programa al que infectan, todo ello sin
conocimiento del usuario. Tienen la misión que les ha encomendado su programador, con lo que seria difícil
decir que los virus tienen una misión común. Lo único que tienen de parecido es que deben pasar
desapercibidos el máximo tiempo posible para poder cumplir su misión. Si es detectado, el usuario puede
eliminar el virus y controlar el contagio.
VPN - Red privada virtual, una tecnología de red que permite una extensión de la red local sobre una red
pública o no controlada, como por ejemplo Internet. (Virtual Private Networks).
171 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Anexo B
(informativo)
Os termos relacionados a seguir, com a respectiva descrição, foram mantidos na língua inglesa, por não
possuírem tradução equivalente para a língua portuguesa:
BBS (Bulletin Board System) – sistema no qual um computador pode se comunicar com outros
computadores por meio de linha telefônica, como na Internet.
Buffer overflow/overrun – transbordamento de dados. Situação que ocorre quando dados em demasia são
aceitos na entrada de uma aplicação ou durante o processamento interno do sistema, ultrapassando a sua
capacidade de armazenamento.
Covert channel – canal de comunicações que permite o fluxo de informações de uma maneira que viole a
política de segurança do sistema.
Denial of service (negação do serviço) – impedimento do acesso autorizado aos recursos ou retardamento
de operações críticas por um certo período de tempo.
Dial up – serviço por meio do qual um computador pode usar a linha telefônica para iniciar e efetuar uma
comunicação com outro computador.
Download – descarregamento, transferência de arquivos entre computadores por meio de uma rede.
Firewall – sistema ou combinação de sistemas que protege a fronteira entre duas ou mais redes.
Flash Disks – dispositivos de armazenamento de dados que utiliza circuitos integrados de memória não
volátil.
Gateway – equipamento que funciona como ponto de conexão entre duas redes.
Hacker – pessoa que tenta acessar sistemas sem autorização, usando técnicas próprias ou não, no intuito
de ter acesso a determinado ambiente para proveito próprio ou de terceiros. Dependendo dos objetivos da
ação, podem ser chamados de Cracker, Lammer ou BlackHat.
172 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Log-On – processo de identificação e autenticação de um usuário para permitir o seu acesso a um sistema.
Middleware – personalização de software; software de sistema que foi personalizado por um vendedor para
um usuário particular.
Need to know – conceito que define que uma só pessoa precisa acessar os sistemas necessários para
realizar a sua atividade.
Network worms (vermes de rede) – código malicioso autopropagável que pode ser distribuído
automaticamente de um computador para outro por meio de conexões de rede local ou pela Internet.
Um worm pode realizar ações perigosas, como consumir banda de rede e recursos locais.
Patch – correção temporária efetuada em um programa; pequena correção executada pelo usuário no
software, com as instruções do fabricante do software.
Tokens – Dispositivo físico para autenticação. Exemplos: token criptográfico, token de senha dinâmica,
token de memória, entre outros.
Wireless – sistema de comunicação que não requer fios para transportar sinais.
173 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
Bibliografía / Bibliografia
ISO/IEC Guide 73:2002, Risk Management - Vocabulary - Guidance for Use in Standards
ISO/IEC TR 13335-3:1998, Information Technology Guidelines for the Management of IT Security - Part 3:
Techniques for the Management of IT security
ISO/IEC 9796-2:2002, Information Technology - Security techniques - Digital Signatures Schemes Giving
Message Recovery - Part 2: Integer Factorization Based Mechanisms
ISO/IEC 9796-3:2000, Information Technology - Security Techniques - Digital Signatures Schemes Giving
Message Recovery - Part 3: Discrete Logarithm Based Mechanisms
ISO/IEC 14888-1:1998, Information technology - Security Techniques - Digital Signatures with Appendix -
Part 1: General
ISO/IEC 15408-1:1999, Information Technology - Security Techniques - Evaluation Criteria for IT Security -
Part 1: Introduction and General Model
ISO/IEC 14516:2002, Information Technology - Security Techniques - Guidelines for the use and
Management of Trusted Third Party Services
ISO 19011:2002, Guidelines for Quality and/or Environmental Management System Auditing
OECD Guidelines for the Security of Information Systems and Networks: "Towards a Culture of Security",
2002
ISO/IEC 18028-4, Information Technology - Security Techniques - IT Network Security - Part 4: Securing
Remote Access
174 10.09.2007
Proyecto de Norma MERCOSUR/Projeto de Norma MERCOSUL 28:00-ISO/IEC 27002
ICS 35.040
Descriptores:
Palavras chave:
Número de páginas: 173
175 10.09.2007