1-NBR-ISO-IEC-17799-2005

ABNT 2005

NORMA BRASILEIRA

ABNT NBRISO/IEC

17799

Segunda edio31.08.2005

Vlida a partir de30.09.2005

Tecnologia da informao Tcnicas de segurana Cdigo de prtica para a gesto da segurana da informao Information technology Security technical Code of pratice for information security management

Palavras-chave: Tecnologia da informao. Segurana. Descriptors: Information technology. Security. ICS 35.040

Nmero de refernciaABNT NBR ISO/IEC 17799:2005

120 pginas

ABNT NBR ISO/IEC 17799:2005

ii ABNT 2005 - Todos os direitos reservados

ABNT 2005 Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta publicao pode ser reproduzida ou por qualquer meio, eletrnico ou mecnico, incluindo fotocpia e microfilme, sem permisso por escrito pela ABNT. Sede da ABNT Av.Treze de Maio, 13 - 28 andar 20031-901 - Rio de Janeiro - RJ Tel.: + 55 21 3974-2300 Fax: + 55 21 2220-1762 [email protected] www.abnt.org.br Impresso no Brasil


ABNT 2005 - Todos os direitos reservados iii

Sumrio Pgina

Prefcio Nacional......................................................................................................................................................vii 0 Introduo...................................................................................................................................................... ix 0.1 O que segurana da informao?............................................................................................................ ix 0.2 Por que a segurana da informao necessria?.................................................................................. ix 0.3 Como estabelecer requisitos de segurana da informao .....................................................................x 0.4 Analisando/avaliando os riscos de segurana da informao.................................................................x 0.5 Seleo de controles.....................................................................................................................................x 0.6 Ponto de partida para a segurana da informao...................................................................................xi 0.7 Fatores crticos de sucesso ........................................................................................................................xi 0.8 Desenvolvendo suas prprias diretrizes ..................................................................................................xii 1 Objetivo ..........................................................................................................................................................1 2 Termos e definies......................................................................................................................................1 3 Estrutura desta Norma..................................................................................................................................4 3.1 Sees ............................................................................................................................................................4 3.2 Principais categorias de segurana da informao ..................................................................................4 4 Anlise/avaliao e tratamento de riscos ...................................................................................................6 4.1 Analisando/avaliando os riscos de segurana da informao.................................................................6 4.2 Tratando os riscos de segurana da informao ......................................................................................6 5 Poltica de segurana da informao..........................................................................................................8 5.1 Poltica de segurana da informao..........................................................................................................8 5.1.1 Documento da poltica de segurana da informao ................................................................................8 5.1.2 Anlise crtica da poltica de segurana da informao ...........................................................................9 6 Organizando a segurana da informao.................................................................................................10 6.1 Infra-estrutura da segurana da informao ............................................................................................10 6.1.1 Comprometimento da direo com a segurana da informao ...........................................................10 6.1.2 Coordenao da segurana da informao..............................................................................................11 6.1.3 Atribuio de responsabilidades para a segurana da informao ......................................................11 6.1.4 Processo de autorizao para os recursos de processamento da informao ...................................12 6.1.5 Acordos de confidencialidade ...................................................................................................................12 6.1.6 Contato com autoridades ...........................................................................................................................13 6.1.7 Contato com grupos especiais ..................................................................................................................14 6.1.8 Anlise crtica independente de segurana da informao....................................................................14 6.2 Partes externas ............................................................................................................................................15 6.2.1 Identificao dos riscos relacionados com partes externas ..................................................................15 6.2.2 Identificando a segurana da informao, quando tratando com os clientes......................................17 6.2.3 Identificando segurana da informao nos acordos com terceiros ....................................................18 7 Gesto de ativos ..........................................................................................................................................21 7.1 Responsabilidade pelos ativos ..................................................................................................................21 7.1.1 Inventrio dos ativos...................................................................................................................................21 7.1.2 Proprietrio dos ativos................................................................................................................................22 7.1.3 Uso aceitvel dos ativos.............................................................................................................................22 7.2 Classificao da informao ......................................................................................................................23 7.2.1 Recomendaes para classificao..........................................................................................................23 7.2.2 Rtulos e tratamento da informao.........................................................................................................24 8 Segurana em recursos humanos.............................................................................................................25 8.1 Antes da contratao ..................................................................................................................................25 8.1.1 Papis e responsabilidades .......................................................................................................................25 8.1.2 Seleo .........................................................................................................................................................26 8.1.3 Termos e condies de contratao .........................................................................................................26


iv ABNT 2005 - Todos os direitos reservados

8.2 Durante a contratao.................................................................................................................................28 8.2.1 Responsabilidades da direo...................................................................................................................28 8.2.2 Conscientizao, educao e treinamento em segurana da informao............................................28 8.2.3 Processo disciplinar....................................................................................................................................29 8.3 Encerramento ou mudana da contratao..............................................................................................29 8.3.1 Encerramento de atividades.......................................................................................................................30 8.3.2 Devoluo de ativos ....................................................................................................................................30 8.3.3 Retirada de direitos de acesso...................................................................................................................30 9 Segurana fsica e do ambiente.................................................................................................................32 9.1 reas seguras ..............................................................................................................................................32 9.1.1 Permetro de segurana fsica ...................................................................................................................32 9.1.2 Controles de entrada fsica ........................................................................................................................33 9.1.3 Segurana em escritrios, salas e instalaes........................................................................................33 9.1.4 Proteo contra ameaas externas e do meio ambiente ........................................................................34 9.1.5 Trabalhando em reas seguras..................................................................................................................34 9.1.6 Acesso do pblico, reas de entrega e de carregamento.......................................................................35 9.2 Segurana de equipamentos......................................................................................................................35 9.2.1 Instalao e proteo do equipamento .....................................................................................................35 9.2.2 Utilidades......................................................................................................................................................36 9.2.3 Segurana do cabeamento.........................................................................................................................37 9.2.4 Manuteno dos equipamentos.................................................................................................................38 9.2.5 Segurana de equipamentos fora das dependncias da organizao ..................................................38 9.2.6 Reutilizao e alienao segura de equipamentos..................................................................................39 9.2.7 Remoo de propriedade............................................................................................................................39 10 Gerenciamento das operaes e comunicaes .....................................................................................40 10.1 Procedimentos e responsabilidades operacionais..................................................................................40 10.1.1 Documentao dos procedimentos de operao ....................................................................................40 10.1.2 Gesto de mudanas...................................................................................................................................41 10.1.3 Segregao de funes ..............................................................................................................................41 10.1.4 Separao dos recursos de desenvolvimento, teste e de produo.....................................................42 10.2 Gerenciamento de servios terceirizados ................................................................................................42 10.2.1 Entrega de servios.....................................................................................................................................43 10.2.2 Monitoramento e anlise crtica de servios terceirizados.....................................................................43 10.2.3 Gerenciamento de mudanas para servios terceirizados.....................................................................44 10.3 Planejamento e aceitao dos sistemas...................................................................................................44 10.3.1 Gesto de capacidade.................................................................................................................................45 10.3.2 Aceitao de sistemas ................................................................................................................................45 10.4 Proteo contra cdigos maliciosos e cdigos mveis .........................................................................46 10.4.1 Controles contra cdigos maliciosos .......................................................................................................46 10.4.2 Controles contra cdigos mveis..............................................................................................................47 10.5 Cpias de segurana...................................................................................................................................48 10.5.1 Cpias de segurana das informaes.....................................................................................................48 10.6 Gerenciamento da segurana em redes ...................................................................................................49 10.6.1 Controles de redes ......................................................................................................................................49 10.6.2 Segurana dos servios de rede ...............................................................................................................50 10.7 Manuseio de mdias.....................................................................................................................................50 10.7.1 Gerenciamento de mdias removveis .......................................................................................................50 10.7.2 Descarte de mdias ......................................................................................................................................51 10.7.3 Procedimentos para tratamento de informao.......................................................................................52 10.7.4 Segurana da documentao dos sistemas.............................................................................................52 10.8 Troca de informaes .................................................................................................................................53 10.8.1 Polticas e procedimentos para troca de informaes............................................................................53 10.8.2 Acordos para a troca de informaes.......................................................................................................55 10.8.3 Mdias em trnsito .......................................................................................................................................56 10.8.4 Mensagens eletrnicas ...............................................................................................................................56 10.8.5 Sistemas de informaes do negcio .......................................................................................................57 10.9 Servios de comrcio eletrnico ...............................................................................................................58 10.9.1 Comrcio eletrnico....................................................................................................................................58 10.9.2 Transaes on-line ......................................................................................................................................59 10.9.3 Informaes publicamente disponveis ....................................................................................................60


ABNT 2005 - Todos os direitos reservados v

10.10 Monitoramento.............................................................................................................................................60 10.10.1 Registros de auditoria.................................................................................................................................61 10.10.2 Monitoramento do uso do sistema............................................................................................................61 10.10.3 Proteo das informaes dos registros (log) .........................................................................................63 10.10.4 Registros (log) de administrador e operador ...........................................................................................63 10.10.5 Registros (log) de falhas.............................................................................................................................64 10.10.6 Sincronizao dos relgios........................................................................................................................64 11 Controle de acessos....................................................................................................................................65 11.1 Requisitos de negcio para controle de acesso......................................................................................65 11.1.1 Poltica de controle de acesso ...................................................................................................................65 11.2 Gerenciamento de acesso do usurio.......................................................................................................66 11.2.1 Registro de usurio .....................................................................................................................................66 11.2.2 Gerenciamento de privilgios ....................................................................................................................67 11.2.3 Gerenciamento de senha do usurio ........................................................................................................68 11.2.4 Anlise crtica dos direitos de acesso de usurio ...................................................................................68 11.3 Responsabilidades dos usurios ..............................................................................................................69 11.3.1 Uso de senhas .............................................................................................................................................69 11.3.2 Equipamento de usurio sem monitorao..............................................................................................70 11.3.3 Poltica de mesa limpa e tela limpa ...........................................................................................................70 11.4 Controle de acesso rede..........................................................................................................................71 11.4.1 Poltica de uso dos servios de rede ........................................................................................................71 11.4.2 Autenticao para conexo externa do usurio ......................................................................................72 11.4.3 Identificao de equipamento em redes ...................................................................................................73 11.4.4 Proteo e configurao de portas de diagnstico remotas..................................................................73 11.4.5 Segregao de redes...................................................................................................................................73 11.4.6 Controle de conexo de rede .....................................................................................................................74 11.4.7 Controle de roteamento de redes ..............................................................................................................75 11.5 Controle de acesso ao sistema operacional ............................................................................................75 11.5.1 Procedimentos seguros de entrada no sistema (log-on) ........................................................................75 11.5.2 Identificao e autenticao de usurio ...................................................................................................77 11.5.3 Sistema de gerenciamento de senha ........................................................................................................77 11.5.4 Uso de utilitrios de sistema......................................................................................................................78 11.5.5 Desconexo de terminal por inatividade...................................................................................................79 11.5.6 Limitao de horrio de conexo ..............................................................................................................79 11.6 Controle de acesso aplicao e informao ......................................................................................80 11.6.1 Restrio de acesso informao ............................................................................................................80 11.6.2 Isolamento de sistemas sensveis.............................................................................................................80 11.7 Computao mvel e trabalho remoto ......................................................................................................81 11.7.1 Computao e comunicao mvel ..........................................................................................................81 11.7.2 Trabalho remoto ..........................................................................................................................................82 12 Aquisio, desenvolvimento e manuteno de sistemas de informao .............................................84 12.1 Requisitos de segurana de sistemas de informao.............................................................................84 12.1.1 Anlise e especificao dos requisitos de segurana ............................................................................84 12.2 Processamento correto nas aplicaes....................................................................................................85 12.2.1 Validao dos dados de entrada................................................................................................................85 12.2.2 Controle do processamento interno..........................................................................................................86 12.2.3 Integridade de mensagens .........................................................................................................................87 12.2.4 Validao de dados de sada......................................................................................................................87 12.3 Controles criptogrficos.............................................................................................................................87 12.3.1 Poltica para o uso de controles criptogrficos .......................................................................................88 12.3.2 Gerenciamento de chaves ..........................................................................................................................89 12.4 Segurana dos arquivos do sistema.........................................................................................................90 12.4.1 Controle de software operacional..............................................................................................................90 12.4.2 Proteo dos dados para teste de sistema...............................................................................................92 12.4.3 Controle de acesso ao cdigo-fonte de programa ..................................................................................92 12.5 Segurana em processos de desenvolvimento e de suporte.................................................................93 12.5.1 Procedimentos para controle de mudanas.............................................................................................93 12.5.2 Anlise crtica tcnica das aplicaes aps mudanas no sistema operacional ................................94 12.5.3 Restries sobre mudanas em pacotes de software.............................................................................95


vi ABNT 2005 - Todos os direitos reservados

12.5.4 Vazamento de informaes ........................................................................................................................95 12.5.5 Desenvolvimento terceirizado de software...............................................................................................96 12.6 Gesto de vulnerabilidades tcnicas ........................................................................................................96 12.6.1 Controle de vulnerabilidades tcnicas......................................................................................................96 13 Gesto de incidentes de segurana da informao ................................................................................98 13.1 Notificao de fragilidades e eventos de segurana da informao .....................................................98 13.1.1 Notificao de eventos de segurana da informao .............................................................................98 13.1.2 Notificando fragilidades de segurana da informao............................................................................99 13.2 Gesto de incidentes de segurana da informao e melhorias .........................................................100 13.2.1 Responsabilidades e procedimentos......................................................................................................100 13.2.2 Aprendendo com os incidentes de segurana da informao.............................................................101 13.2.3 Coleta de evidncias .................................................................................................................................102 14 Gesto da continuidade do negcio........................................................................................................103 14.1 Aspectos da gesto da continuidade do negcio, relativos segurana da informao.................103 14.1.1 Incluindo segurana da informao no processo de gesto da continuidade de negcio...............103 14.1.2 Continuidade de negcios e anlise/avaliao de riscos .....................................................................104 14.1.3 Desenvolvimento e implementao de planos de continuidade relativos segurana

da informao ............................................................................................................................................104 14.1.4 Estrutura do plano de continuidade do negcio....................................................................................105 14.1.5 Testes, manuteno e reavaliao dos planos de continuidade do negcio .....................................106 15 Conformidade ............................................................................................................................................108 15.1 Conformidade com requisitos legais ......................................................................................................108 15.1.1 Identificao da legislao vigente .........................................................................................................108 15.1.2 Direitos de propriedade intelectual .........................................................................................................108 15.1.3 Proteo de registros organizacionais ...................................................................................................109 15.1.4 Proteo de dados e privacidade de informaes pessoais ................................................................110 15.1.5 Preveno de mau uso de recursos de processamento da informao .............................................111 15.1.6 Regulamentao de controles de criptografia .......................................................................................111 15.2 Conformidade com normas e polticas de segurana da informao e conformidade tcnica........112 15.2.1 Conformidade com as polticas e normas de segurana da informao............................................112 15.2.2 Verificao da conformidade tcnica......................................................................................................113 15.3 Consideraes quanto auditoria de sistemas de informao ...........................................................113 15.3.1 Controles de auditoria de sistemas de informao ...............................................................................113 15.3.2 Proteo de ferramentas de auditoria de sistemas de informao .....................................................114

ndice .....................................................................................................................................................................116


ABNT 2005 - Todos os direitos reservados vii

Prefcio Nacional

A Associao Brasileira de Normas Tcnicas (ABNT) o Frum Nacional de Normalizao. As Normas Brasileiras, cujo contedo de responsabilidade dos Comits Brasileiros (ABNT/CB), dos Organismos de Normalizao Setorial (ABNT/ONS) e das Comisses de Estudo Especiais Temporrias (ABNT/CEET), so elaboradas por Comisses de Estudo (CE), formadas por representantes dos setores envolvidos, delas fazendo parte: produtores, consumidores e neutros (universidades, laboratrios e outros).

A ABNT NBR ISO/IEC 17799 foi elaborada no Comit Brasileiro de Computadores e Processamento de Dados (ABNT/CB-21), pela Comisso de Estudo de Segurana Fsica em Instalaes de Informtica (CE-21:204.01). O Projeto circulou em Consulta Nacional conforme Edital n 03, de 31.03.2005, com o nmero de Projeto NBR ISO/IEC 17799.

Esta Norma equivalente ISO/IEC 17799:2005.

Uma famlia de normas de sistema de gesto de segurana da informao (SGSI) est sendo desenvolvida no ISO/IEC JTC 1/SC 27. A famlia inclui normas sobre requisitos de sistema de gesto da segurana da informao, gesto de riscos, mtricas e medidas, e diretrizes para implementao. Esta famlia adotar um esquema de numerao usando a srie de nmeros 27000 em seqncia.

A partir de 2007, a nova edio da ISO/IEC 17799 ser incorporada ao novo esquema de numerao como ISO/IEC 27002.

Os termos relacionados a seguir, com a respectiva descrio, foram mantidos na lngua inglesa, por no possurem traduo equivalente para a lngua portuguesa:

Back-up - cpias de segurana de arquivos.

BBS (Bulletin Board System) - sistema no qual o computador pode se comunicar com outros computadores atravs de linha telefnica, como na Internet.

Call forwarding (Retorno de chamada) - procedimento para identificar um terminal remoto.

Covert channel - canal de comunicaes que permite que dois processos cooperativos transfiram a informao de uma maneira que viole a poltica de segurana do sistema.

Denial of service (negao do servio) - impedimento do acesso autorizado aos recursos ou retardamento de operaes crticas por um certo perodo de tempo.

Dial up - servio por meio do qual o terminal de computador pode usar o telefone para iniciar e efetuar uma comunicao com outro computador.

E-business - Forma de uma organizao realizar uma transao comercial.

E-gov - forma de um governo realizar uma transao comercial.

Firewall - sistema ou combinao de sistemas que protege a fronteira entre duas ou mais redes.

Gateway - mquina que funciona como ponto de conexo entre duas redes.

Hackers - pessoa que tenta acessar sistemas sem autorizao, usando tcnicas prprias ou no, no intuito de ter acesso a determinado ambiente para proveito prprio ou de terceiros. Dependendo dos objetivos da ao, podem ser chamados de Cracker, Lammer ou BlackHat.

Logging - processo de estocagem de informaes sobre eventos que ocorreram num firewall ou numa rede.


viii ABNT 2005 - Todos os direitos reservados

Middlewae - personalizao de software; software de sistema que foi personalizado por um vendedor para um usurio particular.

Need to know - conceito que define que uma pessoa s precisa acessar os sistemas necessrios para realizar a sua atividade.

Patches - correo temporria efetuada em um programa; pequena correo executada pelo usurio no software, com as instrues do fabricante do software.

Wireless - sistema de comunicao que no requer fios para transportar sinais.

Em 6.1.3, Diretrizes para implementao, primeiro pargrafo, a ISO/IEC 17799:2005 faz uma referncia equivocada seo 4. Esse equvoco foi corrigido nesta ABNT NBR ISO/IEC 17799 e a notificao deste foi feita ao ISO/IEC JTC 1 para correo da norma original.

Esta segunda edio cancela e substitui a edio anterior (ABNT NBR ISO/IEC 17799:2001), a qual foi tecnicamente revisada.


ABNT 2005 - Todos os direitos reservados ix

0 Introduo

0.1 O que segurana da informao?

A informao um ativo que, como qualquer outro ativo importante, essencial para os negcios de uma organizao e conseqentemente necessita ser adequadamente protegida. Isto especialmente importante no ambiente dos negcios, cada vez mais interconectado. Como um resultado deste incrvel aumento da interconectvidade, a informao est agora exposta a um crescente nmero e a uma grande variedade de ameaas e vulnerabilidades (ver OECD Diretrizes para a Segurana de Sistemas de Informaes e Redes).

A informao pode existir em diversas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente, transmitida pelo correio ou por meios eletrnicos, apresentada em filmes ou falada em conversas. Seja qual for a forma apresentada ou o meio atravs do qual a informao compartilhada ou armazenada, recomendado que ela seja sempre protegida adequadamente.

Segurana da informao a proteo da informao de vrios tipos de ameaas para garantir a continuidade do negcio, minimizar o risco ao negcio, maximizar o retorno sobre os investimentos e as oportunidades de negcio.

A segurana da informao obtida a partir da implementao de um conjunto de controles adequados, incluindo polticas, processos, procedimentos, estruturas organizacionais e funes de software e hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados criticamente e melhorados, onde necessrio, para garantir que os objetivos do negcio e de segurana da organizao sejam atendidos. Convm que isto seja feito em conjunto com outros processos de gesto do negcio.

0.2 Por que a segurana da informao necessria?

A informao e os processos de apoio, sistemas e redes so importantes ativos para os negcios. Definir, alcanar, manter e melhorar a segurana da informao podem ser atividades essenciais para assegurar a competitividade, o fluxo de caixa, a lucratividade, o atendimento aos requisitos legais e a imagem da organizao junto ao mercado.

As organizaes, seus sistemas de informao e redes de computadores so expostos a diversos tipos de ameaas segurana da informao, incluindo fraudes eletrnicas, espionagem, sabotagem, vandalismo, incndio e inundao. Danos causados por cdigo malicioso, hackers e ataques de denial of service esto se tornando cada vez mais comuns, mais ambiciosos e incrivelmente mais sofisticados.

A segurana da informao importante para os negcios, tanto do setor pblico como do setor privado, e para proteger as infra-estruturas crticas. Em ambos os setores, a funo da segurana da informao viabilizar os negcios como o governo eletrnico (e-gov) ou o comrcio eletrnico (e-business), e evitar ou reduzir os riscos relevantes. A interconexo de redes pblicas e privadas e o compartilhamento de recursos de informao aumentam a dificuldade de se controlar o acesso. A tendncia da computao distribuda reduz a eficcia da implementao de um controle de acesso centralizado.

Muitos sistemas de informao no foram projetados para serem seguros. A segurana da informao que pode ser alcanada por meios tcnicos limitada e deve ser apoiada por uma gesto e por procedimentos apropriados. A identificao de controles a serem implantados requer um planejamento cuidadoso e uma ateno aos detalhes. A gesto da segurana da informao requer pelo menos a participao de todos os funcionrios da organizao. Pode ser que seja necessria tambm a participao de acionistas, fornecedores, terceiras partes, clientes ou outras partes externas. Uma consultoria externa especializada pode ser tambm necessria.


x ABNT 2005 - Todos os direitos reservados

0.3 Como estabelecer requisitos de segurana da informao

essencial que uma organizao identifique os seus requisitos de segurana da informao. Existem trs fontes principais de requisitos de segurana da informao.

1. Uma fonte obtida a partir da anlise/avaliao de riscos para a organizao, levando-se em conta os objetivos e as estratgias globais de negcio da organizao. Por meio da anlise/avaliao de riscos, so identificadas as ameaas aos ativos e as vulnerabilidades destes, e realizada uma estimativa da probabilidade de ocorrncia das ameaas e do impacto potencial ao negcio.

2. Uma outra fonte a legislao vigente, os estatutos, a regulamentao e as clusulas contratuais que a organizao, seus parceiros comerciais, contratados e provedores de servio tm que atender, alm do seu ambiente sociocultural.

3. A terceira fonte um conjunto particular de princpios, objetivos e os requisitos do negcio para o processamento da informao que uma organizao tem que desenvolver para apoiar suas operaes.

0.4 Analisando/avaliando os riscos de segurana da informao

Os requisitos de segurana da informao so identificados por meio de uma anlise/avaliao sistemtica dos riscos de segurana da informao. Os gastos com os controles precisam ser balanceados de acordo com os danos causados aos negcios gerados pelas potenciais falhas na segurana da informao.

Os resultados da anlise/avaliao de riscos ajudaro a direcionar e a determinar as aes gerenciais apropriadas e as prioridades para o gerenciamento dos riscos da segurana da informao, e para a implementao dos controles selecionados para a proteo contra estes riscos.

Convm que a anlise/avaliao de riscos seja repetida periodicamente para contemplar quaisquer mudanas que possam influenciar os resultados desta anlise/avaliao.

Informaes adicionais sobre a anlise/avaliao de riscos de segurana da informao podem ser encontradas em 4.1 Analisando/avaliando os riscos de segurana da informao.

0.5 Seleo de controles

Uma vez que os requisitos de segurana da informao e os riscos tenham sido identificados e as decises para o tratamento dos riscos tenham sido tomadas, convm que controles apropriados sejam selecionados e implementados para assegurar que os riscos sejam reduzidos a um nvel aceitvel. Os controles podem ser selecionados a partir desta Norma ou de um outro conjunto de controles ou novos controles podem ser desenvolvidos para atender s necessidades especficas, conforme apropriado. A seleo de controles de segurana da informao depende das decises da organizao, baseadas nos critrios para aceitao de risco, nas opes para tratamento do risco e no enfoque geral da gesto de risco aplicado organizao, e convm que tambm esteja sujeito a todas as legislaes e regulamentaes nacionais e internacionais, relevantes.

Alguns dos controles nesta Norma podem ser considerados como princpios bsicos para a gesto da segurana da informao e podem ser aplicados na maioria das organizaes. Estes controles so explicados em mais detalhes no item Ponto de partida para a segurana da informao.

Informaes adicionais sobre seleo de controles e outras opes para tratamento de risco podem ser encontradas em 4.2 Tratamento dos riscos de segurana da informao.


ABNT 2005 - Todos os direitos reservados xi

0.6 Ponto de partida para a segurana da informao

Um certo nmero de controles pode ser considerado um bom ponto de partida para a implementao da segurana da informao. Estes controles so baseados tanto em requisitos legais como nas melhores prticas de segurana da informao normalmente usadas.

Os controles considerados essenciais para uma organizao, sob o ponto de vista legal, incluem, dependendo da legislao aplicvel:

a) proteo de dados e privacidade de informaes pessoais (ver 15.1.4);

b) proteo de registros organizacionais (ver 15.1.3);

c) direitos de propriedade intelectual (ver 15.1.2).

Os controles considerados prticas para a segurana da informao incluem:

a) documento da poltica de segurana da informao (ver 5.1.1);

b) atribuio de responsabilidades para a segurana da informao (ver 6.1.3);

c) conscientizao, educao e treinamento em segurana da informao (ver 8.2.2);

d) processamento correto nas aplicaes (ver 12.2);

e) gesto de vulnerabilidades tcnicas (ver 12.6);

f) gesto da continuidade do negcio (ver seo 14);

g) gesto de incidentes de segurana da informao e melhorias (ver 13.2).

Esses controles se aplicam para a maioria das organizaes e na maioria dos ambientes.

Convm observar que, embora todos os controles nesta Norma sejam importantes e devam ser considerados, a relevncia de qualquer controle deve ser determinada segundo os riscos especficos a que uma organizao est exposta. Por isto, embora o enfoque acima seja considerado um bom ponto de partida, ele no substitui a seleo de controles, baseado na anlise/avaliao de riscos.

0.7 Fatores crticos de sucesso

A experincia tem mostrado que os seguintes fatores so geralmente crticos para o sucesso da implementao da segurana da informao dentro de uma organizao:

a) poltica de segurana da informao, objetivos e atividades, que reflitam os objetivos do negcio;

b) uma abordagem e uma estrutura para a implementao, manuteno, monitoramento e melhoria da segurana da informao que seja consistente com a cultura organizacional;

c) comprometimento e apoio visvel de todos os nveis gerenciais;

d) um bom entendimento dos requisitos de segurana da informao, da anlise/avaliao de riscos e da gesto de risco;

e) divulgao eficiente da segurana da informao para todos os gerentes, funcionrios e outras partes envolvidas para se alcanar a conscientizao;


xii ABNT 2005 - Todos os direitos reservados

f) distribuio de diretrizes e normas sobre a poltica de segurana da informao para todos os gerentes, funcionrios e outras partes envolvidas;

g) proviso de recursos financeiros para as atividades da gesto de segurana da informao;

h) proviso de conscientizao, treinamento e educao adequados;

i) estabelecimento de um eficiente processo de gesto de incidentes de segurana da informao;

j) implementao de um sistema de medio1, que seja usado para avaliar o desempenho da gesto da segurana da informao e obteno de sugestes para a melhoria.

0.8 Desenvolvendo suas prprias diretrizes

Esta Norma pode ser considerada como um ponto de partida para o desenvolvimento de diretrizes especficas para a organizao. Nem todos os controles e diretrizes contidos nesta Norma podem ser aplicados. Alm disto, controles adicionais e recomendaes no includos nesta Norma podem ser necessrios. Quando os documentos so desenvolvidos contendo controles ou recomendaes adicionais, pode ser til realizar uma referncia cruzada para as sees desta Norma, onde aplicvel, para facilitar a verificao da conformidade por auditores e parceiros do negcio.

1 Deve-se observar que as medies de segurana da informao esto fora do escopo desta Norma.

NORMA BRASILEIRA ABNT NBR ISO/IEC 17799:2005

ABNT 2005 - Todos os direitos reservados 1

Tecnologia da informao Tcnicas de segurana Cdigo de prtica para a gesto da segurana da informao

1 Objetivo

Esta Norma estabelece diretrizes e princpios gerais para iniciar, implementar, manter e melhorar a gesto de segurana da informao em uma organizao. Os objetivos definidos nesta Norma provem diretrizes gerais sobre as metas geralmente aceitas para a gesto da segurana da informao.

Os objetivos de controle e os controles desta Norma tm como finalidade ser implementados para atender aos requisitos identificados por meio da anlise/avaliao de riscos. Esta Norma pode servir como um guia prtico para desenvolver os procedimentos de segurana da informao da organizao e as eficientes prticas de gesto da segurana, e para ajudar a criar confiana nas atividades interorganizacionais.

2 Termos e definies

Para os efeitos desta Norma, aplicam-se os seguintes termos e definies.

2.1 ativo qualquer coisa que tenha valor para a organizao [ISO/IEC 13335-1:2004]

2.2 controle forma de gerenciar o risco, incluindo polticas, procedimentos, diretrizes, prticas ou estruturas organizacionais, que podem ser de natureza administrativa, tcnica, de gesto ou legal NOTA Controle tambm usado como um sinmino para proteo ou contramedida.

2.3 diretriz descrio que orienta o que deve ser feito e como, para se alcanarem os objetivos estabelecidos nas polticas [ISO/IEC 13335-1:2004]

2.4 recursos de processamento da informao qualquer sistema de processamento da informao, servio ou infra-estrutura, ou as instalaes fsicas que os abriguem

2.5 segurana da informao preservao da confidencialidade, da integridade e da disponibilidade da informao; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, no repdio e confiabilidade, podem tambm estar envolvidas


2 ABNT 2005 - Todos os direitos reservados

2.6 evento de segurana da informao ocorrncia identificada de um sistema, servio ou rede, que indica uma possvel violao da poltica de segurana da informao ou falha de controles, ou uma situao previamente desconhecida, que possa ser relevante para a segurana da informao [ISO/IEC TR 18044:2004]

2.7 incidente de segurana da informao um incidente de segurana da informao indicado por um simples ou por uma srie de eventos de segurana da informao indesejados ou inesperados, que tenham uma grande probabilidade de comprometer as operaes do negcio e ameaar a segurana da informao [ISO/IEC TR 18044:2004]

2.8 poltica intenes e diretrizes globais formalmente expressas pela direo

2.9 risco combinao da probabilidade de um evento e de suas conseqncias [ABNT ISO/IEC Guia 73:2005]

2.10 anlise de riscos uso sistemtico de informaes para identificar fontes e estimar o risco [ABNT ISO/IEC Guia 73:2005]

2.11 anlise/avaliao de riscos processo completo de anlise e avaliao de riscos [ABNT ISO/IEC Guia 73:2005]

2.12 avaliao de riscos processo de comparar o risco estimado com critrios de risco pr-definidos para determinar a importncia do risco [ABNT ISO/IEC Guia 73:2005]

2.13 gesto de riscos atividades coordenadas para direcionar e controlar uma organizao no que se refere a riscos NOTA A gesto de riscos geralmente inclui a anlise/avaliao de riscos, o tratamento de riscos, a aceitao de riscos e a comunicao de riscos. [ABNT ISO/IEC Guia 73:2005]

2.14 tratamento do risco processo de seleo e implementao de medidas para modificar um risco [ABNT ISO/IEC Guia 73:2005]

2.15 terceira parte pessoa ou organismo reconhecido como independente das partes envolvidas, no que se refere a um dado assunto [ABNT ISO/IEC Guia 2:1998]



2.16 ameaa causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organizao [ISO/IEC 13335-1:2004]

2.17 vulnerabildade fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaas



3 Estrutura desta Norma

Esta Norma contm 11 sees de controles de segurana da informao, que juntas totalizam 39 categorias principais de segurana e uma seo introdutria que aborda a anlise/avaliao e o tratamento de riscos.

3.1 Sees

Cada seo contm um nmero de categorias principais de segurana da informao. As 11 sees (acompanhadas com o respectivo nmero de categorias) so:

a) Poltica de Segurana da Informao (1);

b) Organizando a Segurana da Informao (2);

c) Gesto de Ativos (2);

d) Segurana em Recursos Humanos (3);

e) Segurana Fsica e do Ambiente (2);

f) Gesto das Operaes e Comunicaes (10);

g) Controle de Acesso (7);

h) Aquisio, Desenvolvimento e Manuteno de Sistemas de Informao (6);

i) Gesto de Incidentes de Segurana da Informao (2);

j) Gesto da Continuidade do Negcio (1);

k) Conformidade (3).

Nota: A ordem das sees nesta Norma no significa o seu grau de importncia. Dependendo das circunstncias, todas as sees podem ser importantes. Entretanto, cada organizao que utilize esta Norma deve identificar quais as sees aplicveis, quo importante elas so e a sua aplicao para os processos especficos do negcio. Todas as alneas nesta Norma tambm no esto ordenadas por prioridade, a menos que explicitado.

3.2 Principais categorias de segurana da informao

Cada categoria principal de segurana da informao contm:

a) um objetivo de controle que define o que deve ser alcanado; e

b) um ou mais controles que podem ser aplicados para se alcanar o objetivo do controle.

As descries dos controles esto estruturadas da seguinte forma:

Controle Define qual o controle especfico para atender ao objetivo do controle.

Diretrizes para a implementao Contm informaes mais detalhadas para apoiar a implementao do controle e atender ao objetivo de controle. Algumas destas diretrizes podem no ser adequadas em todos os casos e assim outras formas de implementao do controle podem ser mais apropriadas.



Informaes adicionais Contm informaes adicionais que podem ser consideradas, como, por exemplo, consideraes legais e referncias a outras normas.



4 Anlise/avaliao e tratamento de riscos

4.1 Analisando/avaliando os riscos de segurana da informao

Convm que as anlises/avaliaes de riscos identifiquem, quantifiquem e priorizem os riscos com base em critrios para aceitao dos riscos e dos objetivos relevantes para a organizao. Convm que os resultados orientem e determinem as aes de gesto apropriadas e as prioridades para o gerenciamento dos riscos de segurana da informao, e para a implementao dos controles selecionados, de maneira a proteger contra estes riscos. O processo de avaliar os riscos e selecionar os controles pode precisar ser realizado vrias vezes, de forma a cobrir diferentes partes da organizao ou de sistemas de informao especficos.

Convm que a anlise/avaliao de riscos inclua um enfoque sistemtico de estimar a magnitude do risco (anlise de riscos) e o processo de comparar os riscos estimados contra os critrios de risco para determinar a significncia do risco (avaliao do risco).

Convm que as anlises/avaliaes de riscos tambm sejam realizadas periodicamente, para contemplar as mudanas nos requisitos de segurana da informao e na situao de risco, ou seja, nos ativos, ameaas, vulnerabilidades, impactos, avaliao do risco e quando uma mudana significativa ocorrer. Essas anlises/ avaliaes de riscos devem ser realizadas de forma metdica, capaz de gerar resultados comparveis e reproduzveis.

Convm que a anlise/avaliao de riscos de segurana da informao tenha um escopo claramente definido para ser eficaz e inclua os relacionamentos com as anlises/avaliaes de riscos em outras reas, se necessrio.

O escopo de uma anlise/avaliao de riscos pode tanto ser em toda a organizao, partes da organizao, em um sistema de informao especfico, em componentes de um sistema especfico ou em servios onde isto seja praticvel, realstico e til. Exemplos de metodologias de anlise/avaliao de riscos so discutidas no ISO/IEC TR 13335-3 (Guidelines for the management of IT security: Techniques for the management of IT Security).

4.2 Tratando os riscos de segurana da informao

Convm que, antes de considerar o tratamento de um risco, a organizao defina os critrios para determinar se os riscos podem ser ou no aceitos. Riscos podem ser aceitos se, por exemplo, for avaliado que o risco baixo ou que o custo do tratamento no economicamente vivel para a organizao. Convm que tais decises sejam registradas.

Para cada um dos riscos identificados, seguindo a anlise/avaliao de riscos, uma deciso sobre o tratamento do risco precisa ser tomada. Possveis opes para o tratamento do risco, incluem:

a) aplicar controles apropriados para reduzir os riscos;

b) conhecer e objetivamente aceitar os riscos, sabendo que eles atendem claramente poltica da organizao e aos critrios para a aceitao de risco;

c) evitar riscos, no permitindo aes que poderiam causar a ocorrncia de riscos;

d) transferir os riscos associados para outras partes, por exemplo, seguradoras ou fornecedores.



Convm que, para aqueles riscos onde a deciso de tratamento do risco seja a de aplicar os controles apropriados, esses controles sejam selecionados e implementados para atender aos requisitos identificados pela anlise/avaliao de riscos. Convm que os controles assegurem que os riscos sejam reduzidos a um nvel aceitvel, levando-se em conta:

a) os requisitos e restries de legislaes e regulamentaes nacionais e internacionais;

b) os objetivos organizacionais;

c) os requisitos e restries operacionais;

d) custo de implementao e a operao em relao aos riscos que esto sendo reduzidos e que permanecem proporcionais s restries e requisitos da organizao;

e) a necessidade de balancear o investimento na implementao e operao de controles contra a probabilidade de danos que resultem em falhas de segurana da informao.

Os controles podem ser selecionados desta Norma ou de outros conjuntos de controles, ou novos controles podem ser considerados para atender s necessidades especficas da organizao. importante reconhecer que alguns controles podem no ser aplicveis a todos os sistemas de informao ou ambientes, e podem no ser praticveis para todas as organizaes. Como um exemplo, 10.1.3 descreve como as responsabilidades podem ser segregadas para evitar fraudes e erros. Pode no ser possvel para pequenas organizaes segregar todas as responsabilidades e, portanto, outras formas de atender o mesmo objetivo de controle podem ser necessrias. Em um outro exemplo, 10.10 descreve como o uso do sistema pode ser monitorado e as evidncias coletadas. Os controles descritos, como, por exemplo, eventos de logging, podem conflitar com a legislao aplicvel, tais como a proteo privacidade dos clientes ou a exercida nos locais de trabalho.

Convm que os controles de segurana da informao sejam considerados na especificao dos requisitos e nos estgios iniciais dos projetos e sistemas. Caso isso no seja realizado, pode acarretar custos adicionais e solues menos efetivas, ou mesmo, no pior caso, incapacidade de se alcanar a segurana necessria.

Convm que seja lembrado que nenhum conjunto de controles pode conseguir a segurana completa, e que uma ao gerencial adicional deve ser implementada para monitorar, avaliar e melhorar a eficincia e eficcia dos controles de segurana da informao, para apoiar as metas da organizao.



5 Poltica de segurana da informao

5.1 Poltica de segurana da informao

Objetivo: Prover uma orientao e apoio da direo para a segurana da informao de acordo com os requisitos do negcio e com as leis e regulamentaes relevantes.

Convm que a direo estabelea uma poltica clara, alinhada com os objetivos do negcio e demonstre apoio e comprometimento com a segurana da informao por meio da publicao e manuteno de uma poltica de segurana da informao para toda a organizao.

5.1.1 Documento da poltica de segurana da informao

Controle Convm que um documento da poltica de segurana da informao seja aprovado pela direo, publicado e comunicado para todos os funcionrios e partes externas relevantes.

Diretrizes para implementao Convm que o documento da poltica de segurana da informao declare o comprometimento da direo e estabelea o enfoque da organizao para gerenciar a segurana da informao. Convm que o documento da poltica contenha declaraes relativas a:

a) uma definio de segurana da informao, suas metas globais, escopo e importncia da segurana da informao como um mecanismo que habilita o compartilhamento da informao (ver introduo);

b) uma declarao do comprometimento da direo, apoiando as metas e princpios da segurana da informao, alinhada com os objetivos e estratgias do negcio;

c) uma estrutura para estabelecer os objetivos de controle e os controles, incluindo a estrutura de anlise/avaliao e gerenciamento de risco;

d) breve explanao das polticas, princpios, normas e requisitos de conformidade de segurana da informao especficos para a organizao, incluindo:

1) conformidade com a legislao e com requisitos regulamentares e contratuais;

2) requisitos de conscientizao, treinamento e educao em segurana da informao;

3) gesto da continuidade do negcio;

4) conseqncias das violaes na poltica de segurana da informao;

e) definio das responsabilidades gerais e especficas na gesto da segurana da informao, incluindo o registro dos incidentes de segurana da informao;

f) referncias documentao que possam apoiar a poltica, por exemplo, polticas e procedimentos de segurana mais detalhados de sistemas de informao especficos ou regras de segurana que os usurios devem seguir.

Convm que esta poltica de segurana da informao seja comunicada atravs de toda a organizao para os usurios de forma que seja relevante, acessvel e compreensvel para o leitor em foco.

Informaes adicionais A poltica de segurana da informao pode ser uma parte de um documento da poltica geral. Se a poltica de segurana da informao for distribuda fora da organizao, convm que sejam tomados cuidados para no revelar informaes sensveis. Informaes adicionais podem ser encontradas na ISO/IEC 13335-1:2004.



5.1.2 Anlise crtica da poltica de segurana da informao

Controle Convm que a poltica de segurana da informao seja analisada criticamente a intervalos planejados ou quando mudanas significativas ocorrerem, para assegurar a sua contnua pertinncia, adequao e eficcia.

Diretrizes para implementao Convm que a poltica de segurana da informao tenha um gestor que tenha aprovado a responsabilidade pelo desenvolvimento, anlise crtica e avaliao da poltica de segurana da informao. Convm que a anlise crtica inclua a avaliao de oportunidades para melhoria da poltica de segurana da informao da organizao e tenha um enfoque para gerenciar a segurana da informao em resposta s mudanas ao ambiente organizacional, s circunstncias do negcio, s condies legais, ou ao ambiente tcnico.

Convm que a anlise crtica da poltica de segurana da informao leve em considerao os resultados da anlise crtica pela direo. Convm que sejam definidos procedimentos para anlise crtica pela direo, incluindo uma programao ou um perodo para a anlise crtica.

Convm que as entradas para a anlise crtica pela direo incluam informaes sobre:

a) realimentao das partes interessadas;

b) resultados de anlises crticas independentes (ver 6.1.8);

c) situao de aes preventivas e corretivas (ver 6.1.8 e 15.2.1);

d) resultados de anlises crticas anteriores feitas pela direo;

e) desempenho do processo e conformidade com a poltica de segurana da informao;

f) mudanas que possam afetar o enfoque da organizao para gerenciar a segurana da informao, incluindo mudanas no ambiente organizacional, nas circunstncias do negcio, na disponibilidade dos recursos, nas questes contratuais, regulamentares e de aspectos legais ou no ambiente tcnico;

g) tendncias relacionadas com as ameaas e vulnerabilidades;

h) relato sobre incidentes de segurana da informao (ver 13.1);

i) recomendaes fornecidas por autoridades relevantes (ver 6.1.6).

Convm que as sadas da anlise crtica pela direo incluam quaisquer decises e aes relacionadas a:

a) melhoria do enfoque da organizao para gerenciar a segurana da informao e seus processos;

b) melhoria dos controles e dos objetivos de controles;

c) melhoria na alocao de recursos e/ou de responsabilidades.

Convm que um registro da anlise crtica pela direo seja mantido.

Convm que a aprovao pela direo da poltica de segurana da informao revisada seja obtida.



6 Organizando a segurana da informao

6.1 Infra-estrutura da segurana da informao

Objetivo: Gerenciar a segurana da informao dentro da organizao.

Convm que uma estrutura de gerenciamento seja estabelecida para iniciar e controlar a implementao da segurana da informao dentro da organizao.

Convm que a direo aprove a poltica de segurana da informao, atribua as funes da segurana, coordene e analise criticamente a implementao da segurana da informao por toda a organizao.

Se necessrio, convm que uma consultoria especializada em segurana da informao seja estabelecida e disponibilizada dentro da organizao. Convm que contatos com especialistas ou grupos de segurana da informao externos, incluindo autoridades relevantes, sejam feitos para se manter atualizado com as tendncias do mercado, normas de monitorao e mtodos de avaliao, alm de fornecer apoio adequado, quando estiver tratando de incidentes de segurana da informao. Convm que um enfoque multidisciplinar na segurana da informao seja incentivado.

6.1.1 Comprometimento da direo com a segurana da informao

Controle Convm que a direo apie ativamente a segurana da informao dentro da organizao, por meio de um claro direcionamento, demonstrando o seu comprometimento, definindo atribuies de forma explcita e conhecendo as responsabilidades pela segurana da informao.

Diretrizes para implementao Convm que a direo:

a) assegure que as metas de segurana da informao esto identificadas, atendem aos requisitos da organizao e esto integradas nos processos relevantes;

b) formule, analise criticamente e aprove a poltica de segurana da informao;

c) analise criticamente a eficcia da implementao da poltica de segurana da informao;

d) fornea um claro direcionamento e apoio para as iniciativas de segurana da informao;

e) fornea os recursos necessrios para a segurana da informao;

f) aprove as atribuies de tarefas e responsabilidades especficas para a segurana da informao por toda a organizao;

g) inicie planos e programas para manter a conscientizao da segurana da informao;

h) assegure que a implementao dos controles de segurana da informao tem uma coordenao e permeia a organizao (ver 6.1.2).

Convm que a direo identifique as necessidades para a consultoria de um especialista interno ou externo em segurana da informao, analise criticamente e coordene os resultados desta consultoria por toda a organizao.

Dependendo do tamanho da organizao, tais responsabilidades podem ser conduzidas por um frum de gesto exclusivo ou por um frum de gesto existente, a exemplo do conselho de diretores.



Informaes adicionais Outras informaes podem ser obtidas na ISO/IEC 13335-1:2004.

6.1.2 Coordenao da segurana da informao

Controle Convm que as atividades de segurana da informao sejam coordenadas por representantes de diferentes partes da organizao, com funes e papis relevantes.

Diretrizes para implementao Convm que a coordenao da segurana da informao envolva a cooperao e colaborao de gerentes, usurios, administradores, desenvolvedores, auditores, pessoal de segurana e especialistas com habilidades nas reas de seguro, questes legais, recursos humanos, TI e gesto de riscos.

Convm que esta atividade:

a) garanta que as atividades de segurana da informao so executadas em conformidade com a poltica de segurana da informao;

b) identifique como conduzir as no-conformidades;

c) aprove as metodologias e processos para a segurana da informao, tais como anlise/avaliao de riscos e classificao da informao;

d) identifique as ameaas significativas e a exposio da informao e dos recursos de processamento da informao s ameaas;

e) avalie a adequao e coordene a implementao de controles de segurana da informao;

f) promova, de forma eficaz, a educao, o treinamento e a conscientizao pela segurana da informao por toda a organizao;

g) avalie as informaes recebidas do monitoramento e da anlise crtica dos incidentes de segurana da informao, e recomende aes apropriadas como resposta para os incidentes de segurana da informao identificados.

Se a organizao no usa representantes das diferentes reas, por exemplo, porque tal grupo no apropriado para o tamanho da organizao, as aes descritas acima devem ser conduzidas por um frum de gesto adequado ou por um gestor individual.

6.1.3 Atribuio de responsabilidades para a segurana da informao

Controle Convm que todas as responsabilidades pela segurana da informao, estejam claramente definidas.

Diretrizes para implementao Convm que a atribuio das responsabilidades pela segurana da informao seja feita em conformidade com a poltica de segurana da informao (ver seo 5). Convm que as responsabilidades pela proteo de cada ativo e pelo cumprimento de processos de segurana da informao especficos sejam claramente definidas. Convm que esta responsabilidade seja complementada, onde for necessrio, com orientaes mais detalhadas para locais especficos e recursos de processamento de informaes. Convm que sejam claramente definidas as responsabilidades em cada local para a proteo dos ativos e para realizar processos de segurana da informao especficos, como, por exemplo, o plano de continuidade de negcios.

Pessoas com responsabilidades definidas pela segurana da informao podem delegar as tarefas de segurana da informao para outros usurios. Todavia eles continuam responsveis e convm que verifiquem se as tarefas delegadas esto sendo executadas corretamente.



Convm que as reas pelas quais as pessoas sejam responsveis, estejam claramente definidas; em particular convm que os seguintes itens sejam cumpridos:

a) os ativos e os processos de segurana da informao associados com cada sistema sejam identificados e claramente definidos;

b) gestor responsvel por cada ativo ou processo de segurana da informao tenha atribuies definidas e os detalhes dessa responsabilidade sejam documentados (ver 7.1.2);

c) os nveis de autorizao sejam claramente definidos e documentados.

Informaes adicionais Em muitas organizaes um gestor de segurana da informao pode ser indicado para assumir a responsabilidade global pelo desenvolvimento e implementao da segurana da informao e para apoiar a identificao de controles.

Entretanto, a responsabilidade pela obteno dos recursos e implementao dos controles permanece sempre com os gestores. Uma prtica comum indicar um responsvel por cada ativo, tornando-o assim responsvel por sua proteo no dia a dia.

6.1.4 Processo de autorizao para os recursos de processamento da informao

Controle Convm que seja definido e implementado um processo de gesto de autorizao para novos recursos de processamento da informao.

Diretrizes para implementao Convm que as seguintes diretrizes sejam consideradas no processo de autorizao:

a) os novos recursos tenham a autorizao adequada por parte da administrao de usurios, autorizando seus propsitos e uso. Convm que a autorizao tambm seja obtida junto ao gestor responsvel pela manuteno do sistema de segurana da informao, para garantir que todas as polticas e requisitos de segurana relevantes sejam atendidos;

b) hardware e o software sejam verificados para garantir que so compatveis com outros componentes do sistema, onde necessrios;

c) uso de recursos de processamento de informao, pessoais ou privados, como, por exemplo, note books, computadores pessoais ou dispositivos do tipo palm top, para processamento das informaes do negcio, possa introduzir novas vulnerabilidades, e convm que controles necessrios sejam identificados e implementados.

6.1.5 Acordos de confidencialidade

Controle Convm que os requisitos para confidencialidade ou acordos de no divulgao que reflitam as necessidades da organizao para a proteo da informao sejam identificados e analisados criticamente, de forma regular.

Diretrizes para implementao Convm que os acordos de confidencialidade e de no divulgao considerem os requisitos para proteger as informaes confidenciais, usando termos que so obrigados do ponto de vista legal. Para identificar os requisitos para os acordos de confidencialidade ou de no divulgao, convm que sejam considerados os seguintes elementos:

a) uma definio da informao a ser protegida (por exemplo, informao confidencial);



b) tempo de durao esperado de um acordo, incluindo situaes onde a confidencialidade tenha que ser mantida indefinidamente;

c) aes requeridas quando um acordo est encerrado;

d) responsabilidades e aes dos signatrios para evitar a divulgao no autorizada da informao (como o conceito need to know);

e) proprietrio da informao, segredos comerciais e de propriedade intelectual, e como isto se relaciona com a proteo da informao confidencial;

f) uso permitido da informao confidencial e os direitos do signatrio para usar a informao;

g) direito de auditar e monitorar as atividades que envolvem as informaes confidenciais;

h) processo para notificao e relato de divulgao no autorizada ou violao das informaes confidenciais;

i) termos para a informao ser retornada ou destruda quando da suspenso do acordo; e

j) aes esperadas a serem tomadas no caso de uma violao deste acordo.

Com base nos requisitos de segurana da informao da organizao, outros elementos podem ser necessrios em um acordo de confidencialidade ou de no divulgao.

Convm que os acordos de confidencialidade e de no divulgao estejam em conformidade com todas as leis e regulamentaes aplicveis na jurisdio para a qual eles se aplicam (ver 15.1.1)

Convm que os requisitos para os acordos de confidencialidade e de no divulgao sejam analisados criticamente de forma peridica e quando mudanas ocorrerem que influenciem estes requisitos.

Informaes adicionais Acordos de confidencialidade e de no divulgao protegem as informaes da organizao e informam aos signatrios das suas responsabilidades, para proteger, usar e divulgar a informao de maneira responsvel e autorizada.

Pode haver a necessidade de uma organizao usar diferentes formas de acordos de confidencialidade ou de no divulgao, em diferentes circunstncias.

6.1.6 Contato com autoridades

Controle Convm que contatos apropriados com autoridades relevantes sejam mantidos.

Diretrizes para implementao Convm que as organizaes tenham procedimentos em funcionamento que especifiquem quando e por quais autoridades (por exemplo, obrigaes legais, corpo de bombeiros, autoridades fiscalizadoras) devem ser contatadas e como os incidentes de segurana da informao identificados devem ser notificados em tempo hbil, no caso de suspeita de que a lei foi violada.

Organizaes que estejam sob ataque da internet podem precisar do apoio de partes externas organizao (por exemplo, um provedor de servio da internet ou um operador de telecomunicaes), para tomar aes contra a origem do ataque.



Informaes adicionais A manuteno de tais contatos pode ser um requisito para apoiar a gesto de incidentes de segurana da informao (ver 13.2) ou da continuidade dos negcios e do processo de planejamento da contingncia (ver seo 14). Contatos com organismos reguladores so tambm teis para antecipar e preparar para as mudanas futuras na lei ou nos regulamentos, os quais tm que ser seguidos pela organizao. Contatos com outras autoridades incluem utilidades, servios de emergncia, sade e segurana, por exemplo corpo de bombeiros (em conjunto com a continuidade do negcio), provedores de telecomunicao (em conjunto com as rotas de linha e disponibilidade), fornecedor de gua (em conjunto com as instalaes de refrigerao para os equipamentos).

6.1.7 Contato com grupos especiais

Controle Convm que sejam mantidos contatos apropriados com grupos de interesses especiais ou outros fruns especializados de segurana da informao e associaes profissionais.

Diretrizes para implementao Convm que os membros de grupos de interesses especiais ou fruns sejam considerados como forma de:

a) ampliar o conhecimento sobre as melhores prticas e manter-se atualizado com as informaes relevantes sobre segurana da informao;

b) ter o entendimento de que o ambiente de segurana da informao est correto e completo;

c) receber previamente advertncias de alertas, aconselhamentos e correes relativos a ataques e vulnerabilidades;

d) conseguir acesso consultoria especializada em segurana da informao;

e) compartilhar e trocar informaes sobre novas tecnologias, produtos, ameaas ou vulnerabilidades;

f) prover relacionamentos adequados quando tratar com incidentes de segurana da informao (ver 13.2.1).

Informaes adicionais Acordos de compartilhamento de informaes podem ser estabelecidos para melhorar a cooperao e coordenao de assuntos de segurana da informao. Convm que tais acordos identifiquem requisitos para a proteo de informaes sensveis.

6.1.8 Anlise crtica independente de segurana da informao

Controle Convm que o enfoque da organizao para gerenciar a segurana da informao e a sua implementao (por exemplo, controles, objetivo dos controles, polticas, processos e procedimentos para a segurana da informao) seja analisado criticamente, de forma independente, a intervalos planejados, ou quando ocorrerem mudanas significativas relativas implementao da segurana da informao.

Diretrizes para implementao Convm que a anlise crtica independente seja iniciada pela direo. Tal anlise crtica independente necessria para assegurar a contnua pertinncia, adequao e eficcia do enfoque da organizao para gerenciar a segurana da informao. Convm que a anlise crtica inclua a avaliao de oportunidades para a melhoria e a necessidade de mudanas para o enfoque da segurana da informao, incluindo a poltica e os objetivos de controle.



Convm que a anlise crtica seja executada por pessoas independentes da rea avaliada, como, por exemplo, uma funo de auditoria interna, um gerente independente ou uma organizao de terceira parte especializada em tais anlises crticas. Convm que as pessoas que realizem estas anlises crticas possuam habilidade e experincia apropriadas.

Convm que os resultados da anlise crtica independente sejam registrados e relatados para a direo que iniciou a anlise crtica. Estes registros devem ser mantidos.

Se a anlise crtica independente identificar que o enfoque da organizao e a implementao para gerenciar a segurana da informao so inadequados ou no-conformes com as orientaes estabelecidas pela segurana da informao, no documento da poltica de segurana da informao (ver 5.1.1), convm que a direo considere a tomada de aes corretivas.

Informaes adicionais Convm que as reas onde os gerentes regularmente fazem a anlise crtica (ver 15.2.1) possam tambm ser analisadas criticamente de forma independente. Tcnicas para a anlise crtica podem incluir entrevistas com a gerncia, verificao de registros ou anlise crtica dos documentos da poltica de segurana da informao. A ABNT NBR ISO 19011:2002, Diretrizes para auditoria de sistemas de gesto da qualidade e/ou do meio ambiente, pode tambm fornecer orientaes para se realizar a anlise crtica independente, incluindo o estabelecimento e a implementao de um programa de anlise crtica. A subseo 15.3 especifica os controles relevantes para a anlise crtica independente de sistemas de informaes operacionais e o uso de ferramentas de auditoria de sistemas.

6.2 Partes externas

Objetivo: Manter a segurana dos recursos de processamento da informao e da informao da organizao, que so acessados, processados, comunicados ou gerenciados por partes externas.

Convm que a segurana dos recursos de processamento da informao e da informao da organizao no seja reduzida pela introduo de produtos ou servios oriundos de partes externas.

Convm que qualquer acesso aos recursos de processamento da informao da organizao e ao processamento e comunicao da informao por partes externas seja controlado.

Convm que seja feita uma anlise/avaliao dos riscos envolvidos para determinar as possveis implicaes na segurana e os controles necessrios, onde existir uma necessidade de negcio para trabalhar com partes externas, que possa requerer acesso aos recursos de processamento da informao e informao da organizao, ou na obteno e fornecimento de um produto e servio de uma parte externa ou para ela. Convm que os controles sejam acordados e definidos por meio de um acordo com a parte externa.

6.2.1 Identificao dos riscos relacionados com partes externas

Controle Convm que os riscos para os recursos de processamento da informao e da informao da organizao oriundos de processos do negcio que envolva as partes externas sejam identificados e controles apropriados implementados antes de se conceder o acesso.

Diretrizes para implementao Convm que uma anlise/avaliao de riscos (ver seo 4) seja feita para identificar quaisquer requisitos de controles especficos, onde existir uma necessidade que permita o acesso de uma parte externa aos recursos de processamento da informao ou informao de uma organizao. Convm que a identificao de riscos relativos ao acesso da parte externa leve em considerao os seguintes aspectos:

a) os recursos de processamento da informao que uma parte externa esteja autorizada a acessar;



b) tipo de acesso que a parte externa ter aos recursos de processamento da informao e informao, como, por exemplo:

1) acesso fsico ao escritrio, sala dos computadores, gabinetes de cabeamento;

2) acesso lgico ao banco de dados da organizao e aos sistemas de informaes;

3) rede de conexo entre a organizao e a rede da parte externa, como, por exemplo, conexo permanente, acesso remoto;

4) se o acesso vai ser dentro ou fora da organizao;

c) valor e a sensibilidade da informao envolvida, e a sua criticidade para as operaes do negcio;

d) os controles necessrios para proteger a informao que no deva ser acessada pelas partes externas;

e) as pessoas das partes externas envolvidas no manuseio das informaes da organizao;

f) como a organizao ou o pessoal autorizado a ter acesso pode ser identificado, como a autorizao verificada e com qual freqncia isto precisa ser reconfirmado;

g) as diferentes formas e controles empregados pela parte externa quando estiver armazenando, processando, comunicando, compartilhando e repassando informaes;

h) impacto do acesso no estar disponvel para a parte externa, quando requerido, e a entrada ou o recebimento incorreto ou por engano da informao;

i) prticas e procedimentos para tratar com incidentes de segurana da informao e danos potenciais, e os termos e condies para que a parte externa continue acessando, no caso que ocorra um incidente de segurana da informao;

j) que os requisitos legais e regulamentares e outras obrigaes contratuais relevantes para a parte externa sejam levados em considerao;

k) como os interesses de quaisquer uma das partes interessadas podem ser afetados pelos acordos.

Convm que o acesso s informaes da organizao pelas partes externas no seja fornecido at que os controles apropriados tenham sido implementados e, onde for vivel, um contrato tenha sido assinado definindo os termos e condies para a conexo ou o acesso e os preparativos para o trabalho. Convm que, de uma forma geral, todos os requisitos de segurana da informao resultantes do trabalho com partes externas ou controles internos estejam refletidos por um acordo com a parte externa (ver 6.2.2 e 6.2.3).

Convm que seja assegurado que a parte externa est consciente de suas obrigaes, e aceita as responsabilidades e obrigaes envolvendo o acesso, processamento, comunicao ou o gerenciamento dos recursos do processamento da informao e da informao da organizao.

Informaes adicionais A informao pode ser colocada em risco por partes externas com uma gesto inadequada da segurana da informao. Convm que os controles sejam identificados e aplicados para administrar o acesso da parte externa aos recursos de processamento da informao. Por exemplo, se existir uma necessidade especial para a confidencialidade da informao, acordos de no divulgao devem ser usados.

As organizaes podem estar sujeitas a riscos associados com processos interorganizacionais, gerenciamento e comunicao, se um alto grau de terceirizao for realizado, ou onde existirem vrias partes externas envolvidas.



Os controles de 6.2.2 e 6.2.3 cobrem diferentes situaes para as partes externas, incluindo, por exemplo:

a) provedores de servio, tais como ISP, provedores de rede, servios de telefonia e servios de apoio e manuteno;

b) gerenciamento dos servios de segurana;

c) clientes;

d) operaes e/ou recursos de terceirizao, como, por exemplo, sistemas de TI, servios de coleta de dados, operao de call center;

e) consultores em negcios e em gesto, e auditores;

f) desenvolvedores e fornecedores, como, por exemplo, de produtos de software e sistemas de TI;

g) pessoal de limpeza, servios de bufs e outros servios de apoio terceirizados;

h) pessoal temporrio, estagirio e outras contrataes de curta durao.

Tais acordos podem ajudar a reduzir o risco associado com as partes externas.

6.2.2 Identificando a segurana da informao, quando tratando com os clientes

Controle Convm que todos os requisitos de segurana da informao identificados sejam considerados antes de conceder aos clientes o acesso aos ativos ou s informaes da organizao.

Diretrizes para implementao Convm que os seguintes termos sejam considerados para contemplar a segurana da informao antes de conceder aos clientes o acesso a quaisquer ativos da organizao (dependendo do tipo e extenso do acesso concedido, nem todos os itens so aplicveis):

a) proteo dos ativos, incluindo:

1) procedimentos para proteger os ativos da organizao, incluindo informao e software, e a gesto de vulnerabilidades conhecidas;

2) procedimentos para definir aes quando ocorrer o comprometimento de quaisquer dos ativos, por exemplo, perda ou modificao de dados;

3) integridade;

4) restries em relao a cpias e divulgao de informaes;

b) descrio do produto ou servio a ser fornecido;

c) as diferentes razes, requisitos e benefcios para o acesso do cliente;

d) polticas de controle de acesso, cobrindo:

1) mtodos de acesso permitido e o controle e uso de identificadores nicos, tais como identificador de usurio e senhas de acesso;

2) um processo de autorizao para acesso dos usurios e privilgios;

3) uma declarao de que todo o acesso que no seja explicitamente autorizado proibido;



4) um processo para revogar os direitos de acesso ou interromper a conexo entre sistemas;

e) procedimentos para relato, notificao e investigao de informaes imprecisas (por exemplo, sobre pessoal), incidentes de segurana da informao e violao da segurana da informao;

f) descrio de cada servio que deve estar disponvel;

g) os nveis de servios acordados e os nveis de servios inaceitveis;

h) direito de monitorar e revogar qualquer atividade relacionada com os ativos da organizao;

i) as respectivas responsabilidades civis da organizao e dos clientes;

j) responsabilidades com relao a aspectos legais e como assegurado que os requisitos legais so atendidos, por exemplo, leis de proteo de dados, especialmente levando-se em considerao os diferentes sistemas legais nacionais se o acordo envolver a cooperao com clientes em outros pases (ver 15.1);

k) direitos de propriedade intelectual e direitos autorais (ver 15.1.2) e proteo de qualquer trabalho colaborativo (ver 6.1.5).

Informaes adicionais Os requisitos de segurana da informao relacionados com o acesso dos clientes aos ativos da organizao podem variar consideravelmente, dependendo dos recursos de processamento da informao e das informaes que esto sendo acessadas. Estes requisitos de segurana da informao podem ser contemplados, usando-se os acordos com o cliente, os quais contm todos os riscos identificados e os requisitos de segurana da informao (ver 6.2.1).

Acordos com partes externas podem tambm envolver outras partes. Convm que os acordos que concedam o acesso a partes externas incluam permisso para designao de outras partes autorizadas e condies para os seus acessos e envolvimento.

6.2.3 Identificando segurana da informao nos acordos com terceiros

Controle Convm que os acordos com terceiros envolvendo o acesso, processamento, comunicao ou gerenciamento dos recursos de processamento da informao ou da informao da organizao, ou o acrscimo de produtos ou servios aos recursos de processamento da informao cubram todos os requisitos de segurana da informao relevantes.

Diretrizes para implementao Convm que o acordo assegure que no existe mal-entendido entre a organizao e o terceiro. Convm que as organizaes considerem a possibilidade de indenizao do terceiro.

Convm que os seguintes termos sejam considerados para incluso no acordo, com o objetivo de atender aos requisitos de segurana da informao identificados (ver 6.2.1):

a) poltica de segurana da informao;

b) controles para assegurar a proteo do ativo, incluindo:

1) procedimentos para proteger os ativos da organizao, incluindo informao, software e hardware;

2) quaisquer mecanismos e controles para a proteo fsica requerida;

3) controles para assegurar proteo contra software malicioso (ver 10.4.1);


ABNT 2005 - To

Documents

1-NBR-ISO-IEC-17799-2005