ISO/IEC 27002

(Redirecionado de ISO/IEC 17799)

A ISO/IEC 17799 [1] foi atualizada para numeração ISO/IEC 27002 em julho de 2007. É uma norma de Segurança da Informação revisada em 2005 pela ISO e pela IEC. A versão original foi publicada em 2000, que por sua vez era uma cópia fiel do padrão britânico BS 7799-1:1999.

No mundo atual, globalizado e interativo, temos a capacidade de disponibilizar e absorver uma quantidade considerável de informação, principalmente através dos meios de comunicação e da internet. Informação significa, de acordo com os dicionários vigentes, o ‘ato ou o efeito de informar, a transmissão de notícia e/ou conhecimentos, uma instrução’ . Quando levamos em consideração as organizações, a informação toma uma dimensão extremamente importante, pois decisões importantes são tomadas com base na mesma. Assim, neste ambiente de empresas interligadas e extremamente competitivas, a informação se torna um fator essencial para a abertura e manutenção de negócios e como tal, precisa ser protegida.

A segurança da informação é a forma encontrada pelas organizações para proteger os seus dados, através de regras e controles rígidos, estabelecidos, implementados e monitorados constantemente. É sabido que muitos sistemas de informação não foram projetados para protegerem as informações que geram ou recebem, e essa é uma realidade tanto do setor Público como Privado. A interligação de redes públicas e privadas e o compartilhamento de recursos de informação dificultam o controle e a segurança do acesso, isso porque a computação distribuída acaba se tornando um empecilho à implementação eficaz de um controle de acesso centralizado. O sucesso da implementação de regras e controles rígidos de segurança da informação dependem de diversos fatores tais como: comprometimento de todos os níveis gerenciais; requisitos de segurança claros e objetivos; política de segurança que reflita o negócio da organização; processo eficaz de gestão dos incidentes da segurança da informação que possam acontecer, dentre outros.

De acordo com a norma ABNT NBR ISO/IEC 17799:2005, o objetivo da política de segurança da informação é "Prover uma orientação e apoio da direção para a segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações relevantes. Convém que a direção estabeleça uma política clara, alinhada com os objetivos do negócio e demonstre apoio e comprometimento com a segurança da informação por meio da publicação e manutenção de uma política de segurança da informação para toda a organização".

Se a orientação e o apoio aos objetivos da segurança da informação devem partir da direção da organização, fica claro que o profissional de TI é peça chave nesse contexto, já que uma das principais responsabilidades do mesmo é a gerência, manutenção e segurança das informações, dos servidores e dos equipamentos da rede. Este profissional deverá estar comprometido, apoiando ativamente todos os processos e diretrizes implementadas. Caso seja necessário, a direção da organização poderá direcionar e identificar as necessidades para a consultoria de um especialista interno ou externo em segurança da informação, analisando e coordenando os resultados desta consultoria por toda a organização.

O padrão é um conjunto de recomendações para práticas na gestão de Segurança da Informação. Ideal para aqueles que querem criar, implementar e manter um sistema.

A Norma ABNT NBR ISO/IEC-17799 foi elaborada no Comitê Brasileiro de Computadores e Processamento de Dados (ABNT/CB-21) pela Comissão de Estudo de Segurança Física em Instalações de Informática (CE-21:2-4.01) integra uma família de normas de sistema de gestão de segurança da informação SGSI que inclui normas sobre requisitos de sistema de gestão da segurança da informação, gestão de riscos, métricas e medidas, e diretrizes para implementação. Esta família de normas adota um esquema de numeração usando a série de números 27000 em sequência.

A Norma ABNT NBR ISO/IEC-17799 estabelece as diretrizes e princípios gerais para iniciar, implementar, manter e melhorar a gestão de segurança da informação em uma organização. Também pode ser utilizada como um guia prático para desenvolver os procedimentos de segurança da informação da organização.

Seções

editar

A Norma ABNT NBR ISO/IEC-17799 foi elaborada em 11 (a numeração das seções a seguir corresponde à ordem do documento original que possui seções anteriores as 11) seções de controle de segurança da informação, que juntas totalizam 39 categorias principais de segurança e uma seção introdutória que aborda a análise/avaliação e o tratamento de riscos. As 11 seções são:

  • Política de Segurança da Informação;
  • Organizando a Segurança da Informação;
  • Gestão de Ativos;
  • Segurança em Recursos Humanos;
  • Segurança Física e do Ambiente;
  • Gestão das Operações e Comunicações;
  • Controle de Acesso;
  • Aquisição, Desenvolvimento e Manutenção de Sistemas de Informação;
  • Gestão de Incidentes de Segurança da Informação;
  • Gestão da Continuidade do Negócio;
  • Conformidade.

Cada seção apresenta o seu objetivo. A seção se subdivide em categorias, e estas apresentam Controle, Diretrizes para implementação e Informações adicionais. A ordem das seções não significa seu grau de importância. Cada organização que utiliza essa norma deve identificar quais seções são necessárias e sua respectiva ordem de prioridade.

Seção Introdutória: Análise/avaliação e tratamento de riscos

editar

A análise/avaliação de riscos deve incluir um enfoque sistemático de estimar a magnitude do risco (análise de riscos) e o processo de comprar os riscos estimados contra os critérios de risco para determinar a significância do risco (avaliação do risco). Quando se diz respeito ao tratamento dos riscos, convém que antes de qualquer coisa, a organização defina os critérios para determinar se os riscos podem ser ou não aceitos. Riscos podem ser aceitos se, por exemplo, for avaliado que o risco é baixo ou que o custo do tratamento não é economicamente viável para a organização. Convém que tais decisões sejam registradas. A seção ainda discorre sobre possíveis opções a serem tomadas para o tratamento de riscos e o que deve ser levado em conta pelos controles, ao diminuir os riscos a um certo nível.

Seção 6: Organizando a segurança da informação

editar

6.1 Infra estrutura da segurança da informação. É necessário uma estrutura de gerenciamento para controlar a segurança dentro da organização. E que a direção coordene e analise criticamente toda implementação da segurança da informação.

6.1.1 Comprometimento da direção com a segurança da informação.
A direção precisa demonstrar total apoio a segurança da informação dentro da organização, definindo atribuições de forma clara e reconhecendo as responsabilidades da segurança da informação.

6.1.2 Coordenação da segurança da informação.
As atividades de segurança da informação devem ser coordenadas por representantes de diferentes partes da organização. A participação e cooperação de gerentes, usuários, administradores, desenvolvedores, auditores, pessoal de segurança é essencial.

6.1.3 Atribuição de responsabilidades para a segurança da informação.
Todas as responsabilidades envolvendo esse papel devem ser explícitas. A atribuição da segurança da informação deve estar em conformidade com a política de segurança da informação (Ver seção 5). Convém que estas responsabilidades sejam mais detalhadas para diferentes locais e recursos de processamentos. Pessoas com responsabilidades definidas podem delegar as tarefas de segurança da informação para outros usuários assim como verificar se as tarefas delegadas estão sendo executadas corretamente.

6.1.4 Processo de autorização para os recursos de processamento da informação.
A gestão de autorização para novos recursos de processamento da informação deve ser implementada. Diretrizes consideradas no processo de autorização:
a) Os novos recursos devem ter a autorização pela parte administrativa e que essa autorização seja feita juntamente ao gestor responsável pela segurança da informação.
b) Hardware e software sejam verificados afim de garantir compatibilidade com o sistema.
c) O uso de novos recursos de informação, pessoais ou privados, exemplos: notebooks, palmtop e etc. podem inserir vulnerabilidades, sendo necessário a identificação e controle dos mesmos. <

6.1.5 Acordos de confidencialidade. Convém que acordos de não divulgação que assegurem a proteção da organização sejam identificados e analisados criticamente. Tais acordos de confidencialidade e de não divulgação devem estar em conformidade com as leis e regulamentações para a qual se aplicam (Ver 15.1.1) Requisitos para esses acordos de confidencialidade e de não divulgação devem ser analisados criticamente e periodicamente. Existem possibilidades de uma organização usar diferentes formas de acordos de confidencialidade irá depender das circunstâncias.

6.1.6 Contato com autoridades.
Controle – Contactar com as autoridades
Diretrizes para implementação – Saber quando e quais autoridades devem ser contatadas e como os incidentes de segurança da informação identificados devem ser notificados em tempo hábil, no caso de suspeita que a lei foi violada. Avisar as organizações que estão sofrendo ataque (provedor de internet, operador de telecomunicações).
Informações adicionais - Objetivo: Assegurar que um enfoque consistente e efetivo seja aplicado à gestão de incidentes de segurança da informação. Convém que responsabilidades e procedimentos estejam definidos para o manuseio efetivo de eventos de segurança da informação e fragilidades, uma vez que estes tenham sido notificados. Convém que um processo de melhoria contínua seja aplicado às respostas, monitoramento, avaliação e gestão total de incidentes de segurança da informação. Convém que onde evidências sejam exigidas, estas sejam coletadas para assegurar a conformidade com as exigências legais.

6.1.7 Contato com grupos especiais.
Controle - Convém que sejam mantidos contatos apropriados com grupos de interesses especiais ou outros fóruns especializados de segurança da informação e associações profissionais. Informações adicionais - Acordos de compartilhamento de informações podem ser estabelecidos para melhorar a cooperação e coordenação de assuntos de segurança da informação. Convém que tais acordos identifiquem requisitos para a proteção de informações sensíveis.

6.1.8 Análise crítica independente de segurança da informação.
Controle - Convém que o enfoque da organização para gerenciar a segurança da informação e a sua implementação seja analisado criticamente, de forma independente, a intervalos planejados,ou quando ocorrerem mudanças significativas relativas à implementação da segurança da informação.
Diretrizes para implementação - Convém que a análise crítica independente seja iniciada pela direção. E que a análise crítica seja executada por pessoas independentes da área avaliada. Os resultados tem que ser registrados e relatados para a direção que iniciou a análise e que esses registros fiquem mantidos. Tomar ações corretivas, se a análise crítica entender que sim. Informações adicionais - Convém que as áreas onde os gerentes regularmente fazem a análise crítica possam também ser analisadas criticamente de forma independente.

6.2 Partes externas.
Objetivos: Manter a segurança dos recursos de processamento da informação e da informação da organização, que são acessados,processados, comunicados ou gerenciados por partes externa.

6.2.1 Identificação dos riscos relacionados com partes externas.
Controle - Convém que os riscos para os recursos de processamento da informação e da informação da organização oriundos de processos do negócio que envolva as partes externas sejam identificados e controles apropriados implementados antes de se conceder o acesso.
Diretrizes para implementação - Análise e avaliação de riscos sejam feitas para identificar quaisquer requisitos de controles específicos.

6.2.2 Identificando a segurança da informação, quando tratando com os clientes.
Controle - Convém que todos os requisitos de segurança da informação identificados sejam considerados antes de conceder aos clientes o acesso aos ativos ou às informações da organização.

6.2.3 Identificando segurança da informação nos acordos com terceiros.
Controle - Cobertura de todos os requisitos de segurança da informação relevantes.
Diretrizes para implementação - Convém que o acordo assegure que não existe mal-entendido entre a organização e o terceiro. Convém que as organizações considerem a possibilidade de indenização de terceiros. Entretanto, é importante que a organização planeje e gerencie a transição para um terceirizado e tenha processos adequados implantados para gerenciar as mudanças e renegociar ou encerrar os acordos. Acordos com terceiros podem também envolver outras partes.De um modo geral os acordos são geralmente elaborados pela organização. A organização precisa assegurar que a sua própria segurança da informação não é afetada desnecessariamente pelos requisitos do terceiro, estipulados no acordo imposto.

Seção 7: Gestão de Ativos

editar

Responsabilidade pelos ativos. O objetivo e alcançar e manter a proteção adequada dos ativos da organização. Convém que todos os ativos sejam inventariados e tenham um proprietário responsável. Convém que os proprietários dos ativos sejam identificados e a eles seja atribuída a responsabilidade pela manutenção apropriada dos controles.

Proprietário dos ativos. Convém que todas as informações e ativos associados com os recursos de processamento da informação tenham um proprietário designado por uma parte definida da organização. As tarefas de rotina podem ser delegadas, por exemplo, para um custo diante que cuida do ativo no dia-a-dia, porém a responsabilidade permanece com o proprietário. Em sistemas de informação complexos pode ser útil definir grupos de ativos que atuem juntos para fornecer uma função particular, como serviços. Neste caso, o proprietário do serviço é o responsável pela entrega do serviço, incluindo o funcionamento dos ativos, que provê os serviços.

Classificação da informação. Objetivo: Assegurar que a informação receba um nível adequado de proteção. Convém que a informação seja classificada para indicar a necessidade, prioridades e o nível esperado de proteção quando do tratamento da informação. A informação possui vários níveis de sensibilidade e criticidade. Alguns itens podem necessitar um nível adicional de proteção ou tratamento especial. Convém que um sistema de classificação da informação seja usado para definir um conjunto apropriado de níveis de proteção e determinar a necessidade de medidas especiais de tratamento.

Recomendações para classificação. Que a informação seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organização. E seus respectivos controles de proteção levem em consideração as necessidades de compartilhamento ou restrição de informações e os respectivos impactos nos negócios, associados com tais necessidades. Cuidados sejam tomados com a quantidade de categorias de classificação e com os benefícios obtidos pelo seu uso. Esquemas excessivamente complexos podem tornar o uso incômodo e ser inviáveis economicamente ou impraticáveis. O nível de proteção pode ser avaliado analisando a confidencialidade, a integridade e a disponibilidade da informação, Em geral, a classificação dada à informação é uma maneira de determinar como esta informação vai ser tratada e protegida.

Seção 10: Gerenciamento das operações e comunicações

editar

Documentação dos procedimentos de operação

Convém que os procedimentos de operação sejam documentados, mantidos atualizados e disponíveis a todos os usuários que deles necessitem.

Gestão de mudanças

Convém que modificações nos recursos de processamento da informação e sistemas sejam controladas. como:

a) identificação e registro de mudanças significativas; b) planejamento e testes das mudanças; c) avaliação de impactos potenciais, incluindo impactos de segurança, de tais mudanças; d) procedimento formal de aprovação das mudanças propostas; e) comunicação dos detalhes das mudanças para todas as pessoas envolvidas; f) procedimentos de recuperação, incluindo procedimentos e responsabilidades pela interrupção e recuperação de mudanças em caso de insucesso ou na ocorrência de eventos inesperados.

Entrega de serviços

Convém que seja garantido que os controles de segurança, as definições de serviços e os níveis de entrega incluídos no acordo de entrega de serviços terceirizados sejam implementados, executados e mantidos pelo terceiro.

Mídias em Trânsito

Temos que proteger melhor as Mídias contra acesso de pessoas não autorizadas , para que não façam uso impróprio ou que não mudem ou façam alterações durante o transporte de alguma informação.

• Métodos de proteção: • Meio de transporte que sejam confiáveis; • Definir seus gestores; • Estabelecer procedimentos para verificação; • Adotar controles para proteger o conteúdo entre outros.

Mensagens eletrônicas

Colocar uma segurança boa no seu computador ou dispositivo móvel para que não acha problemas com hackers .

São consideradas de segurança da informação as seguintes:

• Proteção contra acesso não permitido; • Verificar endereço da mensagem; • Confiar no serviço geral; • Aprovação para o uso de serviços públicos e etc.

Mensagens eletrônicas como correio eletrônico cumpre um papel cada vez mais importante nas comunicações do negócio. Tem seus riscos, mas não se compara com a comunicação de documentos.

Sistemas de informações do negócio

Temos que desenvolver e implantar para proteger as informações associadas com a conexão de dados sobre os negócios sócios ou organizacionais.

A segurança e implementação das conexões de sistemas tem os seguintes:

• Facilidades de acesso das informações de sistemas administrativos, pois são compartilhados em diferentes setores; • Política e controles apropriados para gerenciar o compartilhamento de informações; • Restrição de categorias e documentos secretos; • Restrição ao relacionamento com indivíduos específicos; • Restrição aos recursos selecionados para cada categoria ou usuário; • Identificação das permissões dos usuários; • Proibição de copias de qualquer arquivo de segurança entre outros.

Esse sistema de escritório traz uma oportunidade de rápida disseminação para compartilha informações, documentos, computadores, celulares, redes sem fio, entre outros.

Serviços de comércio eletrônico

Papel: Garantir a segurança de serviços de comércio eletrônico e sua utilização segura.

As implicações de segurança associadas ao uso do comercio eletrônico, tem transições.

On-line, ela tem que ter controles e que sejam bem controladas.

Comércio eletrônico

As informações envolvidas no comercio eletrônico , sendo usadas em conexões publicas , disputam problemas e modificações não autorizadas.

• Comércio eletrônico é vulnerável a inúmeras ameaças de rede que podem resultar em atividades fraudulentas, disputas contratuais, e divulgação ou modificação de informação. • Comércio eletrônico pode utilizar métodos seguros de autenticação, como, por exemplo, criptografia de chave pública e assinaturas digitais para reduzir os riscos. Ainda, terceiros confiáveis podem ser utilizados onde tais serviços forem necessários.

Transações on-line

Elas tem que ser protegidas para prevenir roubo de dados ou perda, que por algum motivo venha a ser alterada prejudicado seus usuários.

Considerações seguintes são:

• Uso de assinaturas eletrônicas; • Credenciais dos usuários; • Transação confidencial; • Privacidade dos envolvidos sobre os dados; • Protocolos para comunicação entre usuários entre outros.

A extensão dos controles adotados precisará ser proporcional ao nível de risco associado a cada forma de Transação on-line pode ser: Transações podem precisar estar de acordo com leis, regras e regulamentações na jurisdição em que a Transação é gerada, processada, completa ou armazenada.

Monitoramento


• Detectar atividades não autorizadas.

• Os sistemas devem ser monitorados e que sejam registrados se houver alguma mudança.

• As organizações estejam de acordo com todos os requisitos legais relevantes aplicáveis para suas atividades de registro e monitoramento.

O monitoramento do sistema seja utilizado para checar a eficácia dos controles adotados e para verificar a conformidade com o modelo de política de acesso.

Proteção das informações dos registros

Os recursos e informações de registros sejam protegidos contra falsificação e acesso não autorizado.

Os controles implementados objetivem a proteção contra modificações não autorizadas e problemas operacionais com os recursos dos registros, tais como: • Alterações dos tipos de mensagens que são gravadas; • Arquivos de registros sendo editados ou excluídos; • Capacidade de armazenamento da mídia magnética do arquivo de registros excedida, resultando em falhas no registro de eventos ou sobreposição do registro de evento anterior.

• De sistema normalmente contêm um grande volume de informações e muitos dos quais não dizem respeito ao monitoramento da segurança

• Ajudar a identificar eventos significativos para propósito de monitoramento de segurança convém que a cópia automática dos tipos de mensagens para a execução de consulta seja considerada e/ou o uso de sistemas utilitários adequados ou ferramentas de auditoria para realizar a racionalização e investigação do arquivo seja considerado.

Controles contra códigos móveis

   Controla a autorização de códigos móveis para que os não autorizados sejam impedidos.

Adicional: Código móvel é um código transferido de um computador a outro executando automaticamente e realizando funções específicas com pequena ou nenhuma interação por parte do usuário.

 Para proteger contra ação não autorizada são adotadas algumas ações como, a execução de códigos móveis em locais isolados logicamente, e bloqueios de recebimento de códigos móveis;
É importante notar que é sempre recomendável ter cópias de segurança de todo conteúdo;
E que a gerencia tenha total controle sob mídias removíveis e rede, para protege-la de ameaças, e impedir a divulgação não autorizada, ou para usos indevidos;
Também convém que as mídias ao serem descartadas, estejam devidamente protegidas;
Mantendo também total controle nas trocas de informações;

Sincronização dos relógios

Os relógios de todos os sistemas de processamento da informação relevantes, dentro da organização ou do domínio de segurança.

Um computador ou dispositivo de comunicação tiver a capacidade para operar um relógio de tempo real, convém que o relógio seja ajustado conforme o padrão acordado. A interpretação correta do formato data/hora é importante para assegurar que o timestamp reflete a data/hora real. O estabelecimento correto dos relógios dos computadores é importante para assegurar a exatidão dos Registros de auditoria, que podem ser requeridos por investigações ou como evidências em casos legais ou disciplinares. Registros de auditoria incorretos podem impedir tais investigações e causar danos à credibilidade das evidências. Um relógio interno ligado ao relógio atômico nacional via transmissão de rádio pode ser utilizado como relógio principal para os sistemas de registros.

Seção 12: Aquisição, desenvolvimento e manutenção de sistema de informação

editar

Análise e especificação dos requisitos de segurança. Convém que sejam especificados os requisitos para controles de segurança nas especificações de requisitos de negócios, para novos sistemas de informação ou melhorias em sistemas existentes.

Processamento correto nas aplicações. Objetivo: Prevenir a ocorrência de erros, perdas, modificação não autorizada ou mau uso de informações em aplicações.

Convém que requisitos para garantir a autenticidade e proteger a integridade das mensagens em aplicações sejam identificados e os controles apropriados sejam identificados e implementados.

Diretrizes para implementação. Convém que seja efetuada uma análise/avaliação dos riscos de segurança para determinar se a integridade das mensagens é requerida e para identificar o método mais apropriado de implementação.

Controles criptográficos. Objetivo: Proteger a confidencialidade, a autenticidade ou a integridade das informações por meios criptográficos. Convém que uma política seja desenvolvida para o uso de controles criptográficos. Convém que o

Controle de software operacional. Convém que procedimentos para controlar a instalação de software em sistemas operacionais sejam implementados. Convém que acessos físicos e lógicos sejam concedidos a fornecedores, quando necessário, para a finalidade de suporte e com aprovação gerencial. Convém que as atividades do fornecedor sejam monitoradas. Os softwares para computadores podem depender de outros softwares e módulos fornecidos externamente, os quais convém ser monitorados e controlados para evitar mudanças não autorizadas, que podem introduzir fragilidades na segurança.

Informações adicionais. Convém que sistemas operacionais sejam atualizados quando existir um requisito para tal, por exemplo, se a versão atual do sistema operacional não suportar mais os requisitos do negócio. Convém que as atualizações não sejam efetivadas pela mera disponibilidade de uma versão nova do sistema operacional. Novas versões de sistemas operacionais podem ser menos seguras, com menor estabilidade, e ser menos entendidas do que os sistemas atuais.


Seção 13: Gestão de incidentes de segurança da informação

editar

Notificação de eventos de segurança da informação. Trabalha com ações preventivas.

Controle - Qualquer incidente deve ser relatado imediatamente aos responsáveis capacitados por interceptá-los através de canais confiáveis e de integridade inquestionável.

Diretrizes para implementação - Consiste na elaboração de ferramentas para tornar qualquer incidente visível às pessoas responsáveis por resolvê-los; - É criado um padrão de notificações de modo que nenhuma pessoa tome uma decisão precipitada ou por si só, mas que todos estejam cientes e preparados para resolver o problema de acordo com duas funcionalidades.

Gestão de incidentes de sistema de informação e melhorias. Foco numa precisa e consistente gestão de incidentes. Gerir com base em melhorias requer atenção total.

Controle - Com precisão detalhada e ordenada devem ser estabelecidas responsabilidades e procedimentos.

Diretrizes para implementação - Se faz necessária aplicação de ferramentas de verificação de vulnerabilidade tanto dos dados quando da parte física (hardware e meios de transmissão).

Seção 14: Gestão da Continuidade do Negócio

editar

14.1 Aspectos da Gestão da continuidade do negócio, relativos a segurança da informação.

Objetivo: Não permitir a interrupção das atividades do negócio e proteger os processos críticos contra efeitos de falhas ou desastres significativos , e assegurar a sua retomada em tempo hábil , se for o caso . Este processo deve identificar os processos críticos e que integre a gestão da segurança da informação com as exigências da gestão da continuidade do negócio com outros requisitos de continuidade relativo e tais aspectos como operações , funcionários , materiais , transporte e instalações , todas as partes de uma empresa .

14.1.1 Incluindo Segurança da Informação no Processo de gestão da continuidade de negócio.

Desenvolver e manter um processo de gestão para assegurar a continuidade do negócio por toda a organização e que contemple os requisitos de segurança da informação necessários para a continuidade do negócio da organização .

14.1.2 Continuidade de negócios e análise/avaliação de riscos.

Identificar os eventos que podem causar interrupções aos processos de negócio, junto a probabilidade e impacto de tais interrupções e as consequências para a segurança de informação.

14.1.3 Desenvolvimento e implementação de planos de continuidade relativos à segurança da informação .

Os planos devem ser desenvolvidos e implementados para a manutenção ou recuperação das operações e para assegurar a disponibilidade da informação no nível requerido e na escala de tempo requerida, após a ocorrência de interrupções ou falhas dos processos críticos do negócio.

14.1.4 Estrutura do plano de continuidade do negócio.

Manter uma estrutura básica dos planos de continuidade do negócio para assegurar que todos os planos são consistentes, para alcançar os requisitos de segurança da informação e para identificar as prioridades para testes e manutenção.

14.1.5 Testes , manutenção e reavaliação dos planos de continuidade do negócio.

Os Planos de continuidade do negócio devem ser testados e atualizados regulamente , de forma a assegurar sua permanente atualização e efetividade .



Seção 15: Conformidade

editar

15.1 Conformidade e seus requisitos legais. Tem como objetivo principal: evitar a violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigações contratuais e de quaisquer requisitos de segurança da informação.

15.1.1 Identificação da legislação vigente. Convém que todos os requisitos estatuários, regulamentares e contratuais relevantes, e o enfoque da organização para atender a esses requisitos, sejam explicitamente definidos, documentados e mantidos atualizados para cada sistema de informação da organização.

15.1.2 Direitos de propriedade intelectual. Convém que as seguintes diretrizes sejam consideradas para proteger qualquer material que possa ser considerado como propriedade intelectual:

  • divulgar uma política de conformidade como os direitos de propriedade intelectual que defina o uso legal de produtos de software e de informação;
  • Adquirir software somente por meio de fonte conhecidas e de reputação, para assegurar que o direito autoral não está sendo violado;
  • Manter conscientização das políticas para proteger os direitos de propriedades intelectual e notificar a intenção de tomar ações disciplinares contra pessoas que violarem essas políticas;
  • Manter de forma adequada os registros ativos e identificar todos os ativos com requisitos para proteger os direitos de propriedade intelectual;
  • Manter provas e evidencias da propriedade de licenças, discos-mestre, manuais etc.;
  • Implementar controles para assegurar que o número máximo de usuários permitidos não excede o número de licenças adquiridas;
  • Não duplicar, converter para outro formato ou extrair de registros comercias (filmes, áudios) outros que não os permitidos pela lei de direito autoral;
  • Não copiar, no todo ou em partes, livros, artigos, relatórios ou outros documentos, além daqueles permitidos pela lei de direito autoral.

Direitos de propriedade intelectual incluem direito de software ou documento, direito de projeto, marcas, patentes e licenças de código-fonte.

15.1.3 Proteção de registros organizacionais. Para atender aos objetivos de proteção de registros, convém que os seguintes passos sejam tomados dentro da organização:

  • Emitir diretrizes gerais para retenção, armazenamento, tratamento e disposição de registros e informações;
  • Elaborar uma programação para retenção, identificando os registros essenciais e o período que cada um deve ser mantido;
  • Manter um inventario das fontes de informação-chave;
  • Implementar controles apropriados para proteger registros e informações contra perda, destruição e falsificação.

15.1.4 Proteção de dados e privacidade de informações pessoais. A conformidade com esta política e todas as legislação e regulamentações relevantes de produtos de dados necessita de uma estrutura de gestão e de controles apropriados. Geralmente isto é melhor alcançado através de uma pessoa responsável, como por exemplo, um gestor de proteção de dados, que deve fornecer orientações gerais para gerentes, usuários e provedores de serviço sobre as responsabilidades de cada um e sobre quais procedimentos específicos recomenda-se seguir. Convém que a responsabilidade pelo tratamento das informações pessoais e a garantia da conscientização dos princípios de proteção dos dados sejam tratados de acordo com as legislações e regulamentações relevantes. Convém que medidas organizacionais e técnicas apropriadas para proteger as informações pessoais sejam implementadas.

15.1.5 Prevenção de mau uso de recursos de procedimentos da informação. Convém que todos os usuários estejam conscientes de escopo preciso de suas permissões de acesso e da monitoração realizada para detectar o uso não autorizado. Isto pode ser alcançado pelo registro das autorizações dos usuários por escrito, convém que a cópia seja assinada pelo usuário e armazenada de forma segura pela organização. Convém que os funcionários de uma organização, fornecedores e terceiros sejam informados de que nenhum acesso é permitido com exceção daqueles que foram autorizados.

15.1.6 Regulamentação de controles de criptografia. Convém que os seguintes itens sejam considerados para conformidade com leis, acordos e regulamentações relevantes:

  • Restrições à importação e/ou exportação de hardware e software de computador para execução de funções criptográficas;
  • Restrições à importação e/ou exportação de hardware ou software de computador que foi projetado para ter funções criptográficas embutidas;
  • Restrições no uso de criptografia;
  • Métodos mandatários ou discricionários de acesso pela autoridades dos países à informação cifrada por hardware ou software para fornecer confidencialidade ao conteúdo.

15.2 Conformidade com normas e políticas de segurança da informação e conformidade técnica. Convém que tais analises críticas sejam executadas com base na políticas de segurança da informação apropriadas e que as plataformas técnicas e sistemas de informação sejam auditados em conformidade com as normas de segurança da informação implementadas pertinentes e com os controles de segurança documentados.

15.2.1 Conformidade com as políticas e normas de segurança da informação. Controla que os gestores garantam que todos os procedimentos de segurança da informação dentro da sua área de responsabilidade estão senso executados corretamente para atender à conformidade com as normas e políticas de segurança da informação.

15.2.2 Verificação da conformidade técnica. Se o teste de invasão ou avaliações de vulnerabilidades forem usados, convém que sejam tomadas precauções, um vez que tais atividade podem conduzir a um comprometimento da segurança do sistema. Convém que tais testes sejam planejados, documentados e repetidos, convém que qualquer verificação de conformidade técnica somente seja executada por pessoas autorizadas e competentes, ou sob a supervisão de tais pessoas.

15.3 Considerações quanto à auditoria de sistemas de informação. Tem como objetivo maximizar a eficácia e minimizar a interferência no processo de auditoria dos sistemas de informação, convém que existam controles para a proteção dos sistemas operacionais e ferramentas de auditoria durante as auditorias de sistemas de informação.

15.3.1 Controle de auditoria de sistema de informação. Convém que requisitos e atividade de auditoria envolvendo verificação nos sistemas operacionais sejam cuidadosamente planejados e acordados para minimizar os riscos de interrupção dos processos de negócio. Convém que as seguintes diretrizes sejam verificadas:

  • Requisitos de auditoria sejam acordados com o nível apropriado da administração;
  • A verificação esteja limitada ao acesso somente para leitura de software e dados;
  • Outros acesso diferentes de apenas leitura sejam permitidos somente através de copias isoladas dos arquivos do sistema, e sejam apagados ao final da auditoria, ou dada proteção apropriada quando existir uma obrigação para guarda tais arquivos como requisitos da documentação da auditoria;
  • Todos os procedimentos, requisitos e responsabilidade sejam documentados.

15.3.2 Proteção de ferramentas de auditoria de sistema de informação. Convém que o acesso às ferramentas de auditoria de sistema de informação seja protegido, para prevenir qualquer possibilidade de uso improprio ou comprometimento, as ferramentas de auditoria de sistemas de informação, por exemplo, software ou arquivos de dados, sejam separados de sistemas em desenvolvimento e em operação e não sejam mantidos em fitas de biblioteca ou áreas de usuários, a menos que seja dado um nível apropriado de proteção adicional.

Equivalência com Padrões Nacionais

editar

A norma ISO/IEC 27002 tem correspondência direta com padrões nacionais de vários países. A tradução e a publicação local geralmente ocorre com vários meses de atraso em relação a data de publicação da norma publicada originalmente pelo ISO/IEC. Entretanto, os comitês regionais empregam grande esforço para garantir que o conteúdo traduzido corresponde com precisão a norma ISO/IEC 27002.

Países Padrão Equivalente
  Australia

  New Zealand

AS/NZS ISO/IEC 27002:2006
  Brazil ABNT NBR ISO/IEC 27002:2013
  Czech Republic ČSN ISO/IEC 27002:2006
  Denmark DS484:2005
  Estonia EVS-ISO/IEC 17799:2003, 2005 tradução em andamento
  Japan JIS Q 27002
  Lithuania LST ISO/IEC 17799:2005
  Netherlands NEN-ISO/IEC 17799:2002 nl, 2005 tradução em andamento
  Poland PN-ISO/IEC 17799:2007, baseada na ISO/IEC 17799:2005
  Peru NTP-ISO/IEC 17799:2007
  South Africa SANS 17799:2005
  Spain UNE 71501
  Sweden SS 627799
  Turkey TS ISO/IEC 27002
  United Kingdom BS ISO/IEC 27002:2005
  Uruguay UNIT/ISO 17799:2005
  Russia ГОСТ/Р ИСО МЭК 17799-2005
  China GB/T 22081-2008

Referências