ControlesFonte: ISO 27001

Autor: Uires Tapajós -

CompanyWeb.com.br -versão 1.01

A.5 Política de segurançaA.5.1 Política de segurança da informação

Objetivo: Prover uma orientação e apoio da direção para a segurança da informação deacordo com os requisitos do negócio e com as leis e regulamentações relevantes.

A.5.1.1 - Documento da política de segurança da informaçãoControle

Um documento da política de segurança dainformação deve ser aprovado pela direção,publicado e comunicado para todos osfuncionários e partes externas relevantes.

A.5.1.2 - Análise crítica da política de segurança da informaçãoControle

A política de segurança da informação deve seranalisada criticamente a intervalos planejados ou quandomudanças significativas ocorrerem, para assegurar a suacontínua pertinência, adequação e eficácia.

A.6 Organizando a segurança da informação

A.6.1 Infra-estrutura da segurança da informação

Objetivo: Gerenciar a segurança da informaçãodentro da organização.

A.6.1.1 - Comprometimento da direçãocom a segurança da informação

Controle

A Direção deve apoiar ativamente asegurança da informação dentro daorganização, por meio de um clarodirecionamento, demonstrando o seucomprometimento, definindo atribuiçõesde forma explícita e conhecendo asresponsabilidades pela segurança dainformação.

A.6.1.2 Coordenação da segurança da informação

Controle

As atividades de segurança dainformação devem ser coordenadas porrepresentantes de diferentes partes daorganização, com funções e papéisrelevantes.

A.6.1.3 Atribuição de responsabilidadespara a segurança da informação

Controle

Todas as responsabilidades pelasegurança da informação devem estarclaramente definidas.

A.6.1.4 Processo de autorização para osrecursos de processamento dainformação

Controle

Deve ser definido e implementado umprocesso de gestão de autorização paranovos recursos de processamento dainformação.

A.6.1.5 Acordos de confidencialidade

Controle

Os requisitos para confidencialidade ouacordos de não divulgação que reflitamas necessidades da organização para aproteção da informação devem seridentificados e analisados criticamente,de forma regular.

A.6.1.6 Contato com autoridades Controle

Contatos apropriados com autoridadesrelevantes devem ser mantidos.

A.6.1.7 Contato com grupos especiais

Controle

Contatos apropriados com grupos deinteresses especiais ou outros fórunsespecializados de segurança dainformação e associações profissionaisdevem ser mantidos.

A.6.1.8 Análise crítica independente desegurança da informação

Controle

O enfoque da organização para gerenciara segurança da informação e a suaimplementação (por exemplo, controles,objetivo dos controles, políticas,processos e procedimentos para asegurança da informação) deve seranalisado criticamente, de formaindependente, a intervalos planejados, ouquando ocorrerem mudançassignificativas relativas à implementaçãoda segurança da informação.

A.6.2 Partes externas

Objetivo: Manter a segurança dos recursos de processamento da informação e dainformação da organização, que são acessados, processados, comunicados ougerenciados por partes externas.

A.6.2.1 Identificação dos riscosrelacionados com partes externas

Controle

Os riscos para os recursos deprocessamento da informação e para ainformação da organização oriundos deprocessos do negócio que envolvam aspartes externas devem ser identificados econtroles apropriados devem serimplementados antes de se conceder oacesso.

A.6.2.2 Identificando a segurança dainformação quando tratando com osclientes.

Controle

Todos os requisitos de segurança dainformação identificados devem serconsiderados antes de conceder aosclientes o acesso aos ativos ou àsinformações da organização.

A.6.2.3 Identificando segurança dainformação nos acordos com terceiros

Controle

Os acordos com terceiros envolvendo oacesso, processamento, comunicação ougerenciamento dos recursos deprocessamento da informação ou dainformação da organização, ou oacréscimo de produtos ou serviços aosrecursos de processamento dainformação devem cobrir todos osrequisitos de segurança da informaçãorelevantes.

A.7 Gestão de ativos

A.7.1 Responsabilidade pelos ativos

Objetivo: Alcançar e manter a proteçãoadequada dos ativos da organização.

A.7.1.1 Inventário dos ativosControle

Todos os ativos devem ser claramenteidentificados e um inventário de todos osativos importantes deve ser estruturado emantido.

A.7.1.2 Proprietário dos ativos

Controle

Todas as informações e ativosassociados com os recursos deprocessamento da informação devem terum "proprietário") designado por umaparte definida da organização.

A.7.1.3 Uso aceitável dos ativos

Controle

Devem ser identificadas, documentadase implementadas regras para que sejapermitido o uso de informações e deativos associados aos recursos deprocessamento da informação.

A.7.2 Classificação da informação

Objetivo: Assegurar que a informaçãoreceba um nível adequado de proteção.

A.7.2.1 Recomendações paraclassificação

Controle

A informação deve ser classificada emtermos do seu valor, requisitos legais,sensibilidade e criticidade para aorganização.

A.7.2.2 Rótulos e tratamento da informação

Controle

Um conjunto apropriado deprocedimentos para rotular e tratar ainformação deve ser definido eimplementado de acordo com o esquemade classificação adotado pelaorganização.

A.8 Segurança em recursos humanos

A.8.1 Antes da contratação )

Objetivo: Assegurar que os funcionários, fornecedores e terceiros entendam suasresponsabilidades, e estejam de acordo com os seus papéis, e reduzir o risco de roubo,fraude ou mau uso de recursos.

A.8.1.1 Papéis e responsabilidades

Controle

Os papéis e responsabilidades pelasegurança da informação de funcionários,fornecedores e terceiros devem serdefinidos e documentados de acordo coma política de segurança da informação daorganização.

A.8.1.2 Seleção

Controle

Verificações de controle de todos os candidatos a emprego,fornecedores e terceiros devem ser realizadas de acordo com as leisrelevantes, regulamentações e éticas, e proporcionalmente aosrequisitos do negócio, à classificação das informações a seremacessadas e aos riscos percebidos.

A.8.1.3 Termos e condições de contratação

Controle

Como parte das suas obrigaçõescontratuais, os funcionários, fornecedorese terceiros devem concordar e assinar ostermos e condições de sua contrataçãopara o trabalho, os quais devem declararas suas responsabilidade e daorganização para a segurança dainformação.

A.8.2 Durante a contratação

Objetivo: Assegurar que os funcionários, fornecedores e terceiros estão conscientes dasameaças e preocupações relativas à segurança da informação, suas responsabilidades eobrigações, e estão preparados para apoiar a política de segurança da informação daorganização durante os seus trabalhos normais, e para reduzir o risco de erro humano.

A.8.2.1 Responsabilidades da direção

Controle

A direção deve solicitar aos funcionários,fornecedores e terceiros que pratiquem asegurança da informação de acordo como estabelecido nas políticas eprocedimentos da organização.

A.8.2.2 Conscientização, educação etreinamento em segurança da informação

Controle

Todos os funcionários da organização e,onde pertinente, fornecedores e terceirosdevem receber treinamento apropriadoem conscientização, e atualizaçõesregulares nas políticas e procedimentosorganizacionais relevantes para as suasfunções.

A.8.2.3 Processo disciplinarControle

Deve existir um processo disciplinarformal para os funcionários que tenhamcometido uma violação da segurança dainformação.

A.8.3 Encerramento ou mudança da contratação

Objetivo: Assegurar que funcionários, fornecedores e terceiros deixem aorganização ou mudem de trabalho de forma ordenada.

A.8.3.1 Encerramento de atividadesControle

As responsabilidades para realizar oencerramento ou a mudança de umtrabalho devem ser claramente definidase atribuídas.

A.8.3.2 Devolução de ativos

Controle

Todos os funcionários, fornecedores eterceiros devem devolver todos os ativosda organização que estejam em suaposse após o encerramento de suasatividades, do contrato ou acordo.

A.8.3.3 Retirada de direitos de acesso

Controle

Os direitos de acesso de todos osfuncionários, fornecedores e terceiros àsinformações e aos recursos deprocessamento da informação devem serretirados após o encerramento de suasatividades, contratos ou acordos, oudevem ser ajustados após a mudançadestas atividades.

A.9 Segurança física e do ambiente

A.9.1 Áreas seguras

Objetivo: Prevenir o acesso físico não autorizado, danos e interferências com as instalações einformações da organização.

A.9.1.1 Perímetro de segurança física

Controle

Devem ser utilizados perímetros desegurança (barreiras tais como paredes,portões de entrada controlados por cartãoou balcões de recepção comrecepcionistas) para proteger as áreasque contenham informações e recursosde processamento da informação.

A.9.1.2 Controles de entrada físicaControle

As áreas seguras devem ser protegidaspor controles apropriados de entrada paraassegurar que somente pessoasautorizadas tenham acesso.

A.9.1.3 Segurança em escritórios salas e instalaçõesControle

Deve ser projetada e aplicada segurançafísica para escritórios, salas einstalações.

A.9.1.4 Proteção contra ameaçasexternas e do meio ambiente

Controle

Deve ser projetada e aplicada proteçãofísica contra incêndios, enchentes,terremotos, explosões, perturbações daordem pública e outras formas dedesastres naturais ou causados pelohomem.

A.9.1.5 Trabalhando em áreas segurasControle

Deve ser projetada e aplicada proteçãofísica, bem como diretrizes para otrabalho em áreas seguras.

A.9.1.6 Acesso do público, áreas deentrega e de carregamento

Controle

Pontos de acesso, tais como áreas deentrega e de carregamento e outrospontos em que pessoas não autorizadaspossam entrar nas instalações, devemser controlados e, se possível, isoladosdos recursos de processamento dainformação, para evitar o acesso nãoautorizado.

A.9.2 Segurança de equipamentos

Objetivo: Impedir perdas, danos, furto ou comprometimento de ativos e interrupção dasatividades da organização.

A.9.2.1 Instalação e proteção do equipamento

Controle

Os equipamentos devem ser colocadosno local ou protegidos para reduzir osriscos de ameaças e perigos do meioambiente, bem como as oportunidades deacesso não autorizado.

A.9.2.2 UtilidadesControle

Os equipamentos devem ser protegidoscontra falta de energia elétrica e outrasinterrupções causadas por falhas dasutilidades.

A.9.2.3 Segurança do cabeamento

Controle

O cabeamento de energia e detelecomunicações que transporta dadosou dá suporte aos serviços deinformações deve ser protegido contrainterceptação ou danos.

A.9.2.4 Manutenção dos equipamentosControle

Os equipamentos devem ter manutençãocorreta, para assegurar suadisponibilidade e integridade permanente.

A.9.2.5 Segurança de equipamentos foradas dependências da organização

Controle

Devem ser tomadas medidas desegurança para equipamentos queoperem fora do local, levando em contaos diferentes riscos decorrentes do fatode se trabalhar fora das dependências daorganização.

A.9.2.6 Reutilização e alienação segurade equipamentos

Controle

Todos os equipamentos que contenhammídias de armazenamento de dadosdevem ser examinados antes dodescarte, para assegurar que todos osdados sensíveis e softwares licenciadostenham sido removidos ousobregravados com segurança.

A.9.2.7 Remoção de propriedadeControle

Equipamentos, informações ou softwarenão devem ser retirados do local semautorização prévia.

A.10 Gerenciamento das operações e comunicações

A.10.1 Procedimentos eresponsabilidades operacionais

Objetivo: Garantir a operação segura e correta dos recursos de processamento da informação.

A.10.1.1 Documentação dosprocedimentos de operação

Controle

Os procedimentos de operação devemser documentados, mantidos atualizadose disponíveis a todos os usuários quedeles necessitem.

A.10.1.2 Gestão de mudançasControle

Modificações nos recursos deprocessamento da informação e sistemasdevem ser controladas.

A.10.1.3 Segregação de funções

Controle

Funções e áreas de responsabilidadedevem ser segregadas para reduzir asoportunidades de modificação ou usoindevido não autorizado ou nãointencional dos ativos da organização.

A.10.1.4 Separação dos recursos dedesenvolvimento, teste e de produção

Controle

Recursos de desenvolvimento, teste eprodução devem ser separados parareduzir o risco de acessos oumodificações não autorizadas aossistemas operacionais.

A.10.2 Gerenciamento de serviços terceirizados

Objetivo: Implementar e manter o nível apropriado de segurança da informaçãoe de entrega de serviços em consonância com acordos de entrega de serviçosterceirizados.

A.10.2.1 Entrega de serviços

Controle

Deve ser garantido que os controles desegurança, as definições de serviço e osníveis de entrega incluídos no acordo deentrega de serviços terceirizados sejamimplementados, executados e mantidospelo terceiro.

A.10.2.2 Monitoramento e análise críticade serviços terceirizados

Controle

Os serviços, relatórios e registrosfornecidos por terceiro devem serregularmente monitorados e analisadoscriticamente, e auditorias devem serexecutadas regularmente.

A.10.2.3 Gerenciamento de mudançaspara serviços terceirizados

Controle

Mudanças no provisionamento dosserviços, incluindo manutenção emelhoria da política de segurança dainformação, dos procedimentos econtroles existentes, devem sergerenciadas levando-se em conta acriticidade dos sistemas e processos denegócio envolvidos e areanálise/reavaliação de riscos.

A.10.3 Planejamento e aceitação dos sistemas

Objetivo: Minimizar o risco de falhas nos sistemas.

A.10.3.1 Gestão de capacidade

Controle

A utilização dos recursos deve sermonitorada e sincronizada e as projeçõesdevem ser feitas para necessidades decapacidade futura, para garantir odesempenho requerido do sistema.

A.10.3.2 Aceitação de sistemas

Controle

Devem ser estabelecidos critérios deaceitação para novos sistemas,atualizações e novas versões e quesejam efetuados testes apropriados do(s)sistema(s) durante seu desenvolvimentoe antes da sua aceitação.

A.10.4 Proteção contra códigosmaliciosos e códigos móveis

Objetivo: Proteger a integridade do software e da informação.

A.10.4.1 Controle contra códigos maliciosos

Controle

Devem ser implantados controles dedetecção, prevenção e recuperação paraproteger contra códigos maliciosos,assim como procedimentos para a devidaconscientização dos usuários.

A.10.4.2 Controles contra códigos móveis

Controle

Onde o uso de códigos móveis éautorizado, a configuração deve garantirque o código móvel autorizado opere deacordo com uma política de segurança dainformação claramente definida e quecódigos móveis não autorizados tenhamsua execução impedida.

A.10.5 Cópias de segurança

Objetivo: Manter a integridade e disponibilidade da informação e dos recursos deprocessamento de informação.

A.10.5.1 Cópias de segurança das informaçõesControle

Cópias de segurança das informações e dos softwares devem serefetuadas e testadas regularmente, conforme a política de geraçãode cópias de segurança definida.

A.10.6 Gerenciamento da segurança em redes

Objetivo: Garantir a proteção das informações em redes e a proteçãoda infra-estrutura de suporte.

A.10.6.1 Controles de redes

Controle

Redes devem ser adequadamentegerenciadas e controladas, de forma aprotegê-las contra ameaças e manter asegurança de sistemas e aplicações queutilizam estas redes, incluindo ainformação em trânsito.

A.10.6.2 Segurança dos serviços de rede

Controle

Características de segurança, níveis deserviço e requisitos de gerenciamentodos serviços de rede devem seridentificados e incluídos em qualqueracordo de serviços de rede, tanto paraserviços de rede providos internamentecomo para terceirizados.

A.10.7 Manuseio de mídias

Objetivo: Prevenir contra divulgação não autorizada, modificação, remoção ou destruiçãoaos ativos e interrupções das atividades do negócio.

A.10.7.1 Gerenciamento de mídias removíveisControle

Devem existir procedimentosimplementados para o gerenciamento demídias removíveis.

A.10.7.2 Descarte de mídiasControle

As mídias devem ser descartadas de forma segura eprotegida quando não forem mais necessárias, por meio deprocedimentos formais.

A.10.7.3 Procedimentos para tratamento de informação

Controle

Devem ser estabelecidos procedimentospara o tratamento e o armazenamento deinformações, para proteger taisinformações contra a divulgação nãoautorizada ou uso indevido.

A.10.7.4 Segurança da documentação dos sistemasControle

A documentação dos sistemas deve serprotegida contra acessos nãoautorizados.

A.10.8 Troca de informações

Objetivo: Manter a segurança na troca de informações e softwares internamente àorganização e com quaisquer entidades externas.

A.10.8.1 Políticas e procedimentos paratroca de informações

Controle

Políticas, procedimentos e controlesdevem ser estabelecidos e formalizadospara proteger a troca de informações emtodos os tipos de recursos decomunicação.

A.10.8.2 Acordos para a troca de informaçõesControle

Devem ser estabelecidos acordos para atroca de informações e softwares entre aorganização e entidades externas.

A.10.8.3 Mídias em trânsito

Controle

Mídias contendo informações devem serprotegidas contra acesso não autorizado,uso impróprio ou alteração indevidadurante o transporte externo aos limitesfísicos da organização.

A.10.8.4 Mensagens eletrônicasControle

As informações que trafegam emmensagens eletrônicas devem seradequadamente protegidas.

A.10.8.5 Sistemas de informações do negócio

Controle

Políticas e procedimentos devem serdesenvolvidos e implementados paraproteger as informações associadas coma interconexão de sistemas deinformações do negócio.

A.10.9 Serviços de comércio eletrônico

Objetivo: Garantir a segurança de serviços de comércio eletrônico esua utilização segura.

A.10.9.1 Comércio eletrônico

Controle

As informações envolvidas em comércioeletrônico transitando sobre redespúblicas devem ser protegidas deatividades fraudulentas, disputascontratuais, divulgação e modificaçõesnão autorizadas.

A.10.9.2 Transações on-line

Controle

Informações envolvidas em transaçõeson-line devem ser protegidas paraprevenir transmissões incompletas, errosde roteamento, alterações nãoautorizadas de mensagens, divulgaçãonão autorizada, duplicação oureapresentação de mensagem nãoautorizada.

A.10.9.3 Informações publicamente disponíveis

Controle

A integridade das informaçõesdisponibilizadas em sistemaspublicamente acessíveis deve serprotegida, para prevenir modificaçõesnão autorizadas.

A.10.10 Monitoramento

Objetivo: Detectar atividades nãoautorizadas de processamento dainformação.

A.10.10.1 Registros de auditoria

Controle

Registros ( log) de auditoria contendo atividades dos usuários,exceções e outros eventos de segurança da informação devem serproduzidos e mantidos por um período de tempo acordado paraauxiliar em futuras investigações e monitoramento de controle deacesso.

A.10.10.2 Monitoramento do uso do sistema

Controle

Devem ser estabelecidos procedimentospara o monitoramento do uso dosrecursos de processamento dainformação e os resultados dasatividades de monitoramento devem seranalisados criticamente, de forma regular.

A.10.10.3 Proteção das informações dos registros ( logs)Controle

Os recursos e informações de registros(log) devem ser protegidos contrafalsificação e acesso não autorizado.

A.10.10.4 Registros ( log) deadministrador e operador

Controle

As atividades dos administradores eoperadores do sistema devem serregistradas.

A.10.10.5 Registros ( logs) de falhasControle

As falhas ocorridas devem serregistradas e analisadas, e devem seradotadas as ações apropriadas.

A.10.10.6 Sincronização dos relógiosControle

Os relógios de todos os sistemas de processamento deinformações relevantes, dentro da organização ou do domíniode segurança, devem ser sincronizados de acordo com umahora oficial.

A.11 Controle de acessos

A.11.1 Requisitos de negócio paracontrole de acesso

Objetivo: Controlar o acesso à informação.

A.11.1.1 Política de controle de acesso

Controle

A política de controle de acesso deve serestabelecida, documentada e analisadacriticamente, tomando-se como base osrequisitos de acesso dos negócios e dasegurança da informação.

A.11.2 Gerenciamento de acesso do usuário

Objetivo: Assegurar acesso de usuário autorizado e prevenir acessonão autorizado a sistemas de informação.

A.11.2.1 Registro de usuárioControle

Deve existir um procedimento formal deregistro e cancelamento de usuário paragarantir e revogar acessos em todos ossistemas de informação e serviços.

A.11.2.2 Gerenciamento de privilégiosControle

A concessão e o uso de privilégiosdevem ser restritos e controlados.

A.11.2.3 Gerenciamento de senha do usuárioControle

A concessão de senhas deve sercontrolada por meio de um processo degerenciamento formal.

A.11.2.4 Análise crítica dos direitos deacesso de usuário

Controle

O gestor deve conduzir a intervalosregulares a análise crítica dos direitos deacesso dos usuários, por meio de umprocesso formal.

A.11.3 Responsabilidades dos usuários

Objetivo: Prevenir o acesso não autorizado dos usuários e evitar o comprometimento ouroubo da informação e dos recursos de processamento da informação.

A.11.3.1 Uso de senhasControle

Os usuários devem ser orientados aseguir boas práticas de segurança dainformação na seleção e uso de senhas.

A.11.3.2 Equipamento de usuário sem monitoraçãoControle

Os usuários devem assegurar que osequipamentos não monitorados tenhamproteção adequada.

A.11.3.3 Política de mesa limpa e tela limpa

Controle

Deve ser adotada uma política de mesalimpa de papéis e mídias dearmazenamento removíveis e umapolítica de tela limpa para os recursos deprocessamento da informação.

A.11.4 Controle de acesso à rede

Objetivo: Prevenir acesso não autorizadoaos serviços de rede.

A.11.4.1 Política de uso dos serviços de redeControle

Os usuários devem receber acessosomente aos serviços que tenham sidoespecificamente autorizados a usar.

A.11.4.2 Autenticação para conexãoexterna do usuário

Controle

Métodos apropriados de autenticaçãodevem ser usados para controlar oacesso de usuários remotos.

A.11.4.3 Identificação de equipamento em redesControle

Devem ser consideradas as identificações automáticas deequipamentos como um meio de autenticar conexões vindas delocalizações e equipamentos específicos.

A.11.4.4 Proteção e configuração deportas de diagnóstico remotas

Controle

Deve ser controlado o acesso físico elógico para diagnosticar e configurarportas.

A.11.4.5 Segregação de redesControle

Grupos de serviços de informação, usuários e sistemas deinformação devem ser segregados em redes.

A.11.4.6 Controle de conexão de redeControle

Para redes compartilhadas, especialmente as que se estendem peloslimites da organização, a capacidade de usuários para conectar-se àrede deve ser restrita, de acordo com a política de controle de acessoe os requisitos das aplicações do negócio (ver 11.1).

A.11.4.7 Controle de roteamento de redes

Controle

Deve ser implementado controle deroteamento na rede para assegurar queas conexões de computador e fluxos deinformação não violem a política decontrole de acesso das aplicações donegócio.

A.11.5 Controle de acesso ao sistema operacional

Objetivo: Prevenir acesso não autorizadoaos sistemas operacionais.

A.11.5.1 Procedimentos seguros deentrada no sistema ( log-on)

Controle

O acesso aos sistemas operacionaisdeve ser controlado por um procedimentoseguro de entrada no sistema ( log-on).

A.11.5.2 Identificação e autenticação de usuário

Controle

Todos os usuários devem ter umidentificador único (ID de usuário), parauso pessoal e exclusivo, e uma técnicaadequada de autenticação deve serescolhida para validar a identidadealegada por um usuário.

A.11.5.3 Sistema de gerenciamento de senhaControle

Sistemas para gerenciamento de senhasdevem ser interativos e assegurar senhasde qualidade.

A.11.5.4 Uso de utilitários de sistemaControle

O uso de programas utilitários quepodem ser capazes de sobrepor oscontroles dos sistemas e aplicações deveser restrito e estritamente controlado.

A.11.5.5 Desconexão de terminal por inatividadeControle

Terminais inativos devem serdesconectados após um período definidode inatividade.

A.11.5.6 Limitação de horário de conexãoControle

Restrições nos horários de conexãodevem ser utilizadas para proporcionarsegurança adicional para aplicações dealto risco.

A.11.6 Controle de acesso à aplicação e à informação

Objetivo: Prevenir acesso não autorizado àinformação contida nos sistemas de aplicação.

A.11.6.1 Restrição de acesso à informação

Controle

O acesso à informação e às funções dossistemas de aplicações por usuários epessoal de suporte deve ser restrito deacordo com o definido na política decontrole de acesso.

A.11.6.2 Isolamento de sistemas sensíveisControle

Sistemas sensíveis devem ter umambiente computacional dedicado(isolado).

A.11.7 Computação móvel e trabalho remoto

Objetivo: Garantir a segurança da informação quando se utilizam acomputação móvel e recursos de trabalho remoto.

A.11.7.1 Computação e comunicação móvel

Controle

Uma política formal deve serestabelecida e medidas de segurançaapropriadas devem ser adotadas para aproteção contra os riscos do uso derecursos de computação e comunicaçãomóveis.

A.11.7.2 Trabalho remotoControle

Uma política, planos operacionais eprocedimentos devem ser desenvolvidose implementados para atividades detrabalho remoto.

A.12 Aquisição, desenvolvimento e manutenção de sistemas de informação

A.12.1 Requisitos de segurança desistemas de informação

Objetivo: Garantir que segurança é parteintegrante de sistemas de informação.

A.12.1.1 Análise e especificação dosrequisitos de segurança

Controle

Devem ser especificados os requisitospara controles de segurança nasespecificações de requisitos de negócios,para novos sistemas de informação oumelhorias em sistemas existentes.

A.12.2 Processamento correto de aplicações

Objetivo: Prevenir a ocorrência de erros,perdas, modificação não autorizada oumau uso de informações em aplicações.

A.12.2.1 Validação dos dados de entradaControle

Os dados de entrada de aplicaçõesdevem ser validados para garantir quesão corretos e apropriados.

A.12.2.2 Controle do processamento interno

Controle

Devem ser incorporadas, nas aplicações,checagens de validação com o objetivode detectar qualquer corrupção deinformações, por erros ou por açõesdeliberadas.

A.12.2.3 Integridade de mensagens

Controle

Requisitos para garantir a autenticidade eproteger a integridade das mensagensem aplicações devem ser identificados eos controles apropriados devem seridentificados e implementados.

A.12.2.4 Validação de dados de saída

Controle

Os dados de saída das aplicações devemser validados para assegurar que oprocessamento das informaçõesarmazenadas está correto e é apropriadoàs circunstâncias.

A.12.3 Controles criptográficos

Objetivo: Proteger a confidencialidade, aautenticidade ou a integridade dasinformações por meios criptográficos.

A.12.3.1 Política para o uso de controles criptográficosControle

Deve ser desenvolvida e implementadauma política para o uso de controlescriptográficos para a proteção dainformação.

A.12.3.2 Gerenciamento de chavesControle

Um processo de gerenciamento dechaves deve ser implantado para apoiar ouso de técnicas criptográficas pelaorganização.

A.12.4 Segurança dos arquivos do sistema

Objetivo: Garantir a segurança dearquivos de sistema.

A.12.4.1 Controle de software operacionalControle

Procedimentos para controlar ainstalação de software em sistemasoperacionais devem ser implementados.

A.12.4.2 Proteção dos dados para teste de sistemaControle

Os dados de teste devem serselecionados com cuidado, protegidos econtrolados.

A.12.4.3 Controle de acesso ao código-fonte de programaControle

O acesso ao código-fonte de programadeve ser restrito.

A.12.5 Segurança em processos dedesenvolvimento e de suporte

Objetivo: Manter a segurança desistemas aplicativos e da informação.

A.12.5.1 Procedimentos para controle de mudançasControle

A implementação de mudanças deve sercontrolada utilizando procedimentosformais de controle de mudanças.

A.12.5.2 Análise crítica técnica dasaplicações após mudanças no sistemaoperacional

Controle

Aplicações críticas de negócios devemser analisadas criticamente e testadasquando sistemas operacionais sãomudados, para garantir que não haveránenhum impacto adverso na operação daorganização ou na segurança.

A.12.5.3 Restrições sobre mudanças empacotes de software

Controle

Modificações em pacotes de softwarenão devem ser incentivadas e devemestar limitadas às mudanças necessárias,e todas as mudanças devem serestritamente controladas.

A.12.5.4 Vazamento de informaçõesControle

Oportunidades para vazamento deinformações devem ser prevenidas.

A.12.5.5 Desenvolvimento terceirizado de softwareControle

A organização deve supervisionar emonitorar o desenvolvimento terceirizadode software .

A.12.6 Gestão de vulnerabilidades técnicas

Objetivo: Reduzir riscos resultantes da exploração devulnerabilidades técnicas conhecidas.

A.12.6.1 Controle de vulnerabilidades técnicas

Controle

Deve ser obtida informação em tempohábil sobre vulnerabilidades técnicas dossistemas de informação em uso, avaliadaa exposição da organização a estasvulnerabilidades e tomadas as medidasapropriadas para lidar com os riscosassociados.

A.13 Gestão de incidentes de segurança da informação

A.13.1 Notificação de fragilidades eeventos de segurança da informação

Objetivo: Assegurar que fragilidades e eventos de segurança da informação associadoscom sistemas de informação sejam comunicados, permitindo a tomada de ação corretivaem tempo hábil.

A.13.1.1 Notificação de eventos desegurança da informação

Controle

Os eventos de segurança da informaçãodevem ser relatados através dos canaisapropriados da direção, o maisrapidamente possível.

A.13.1.2 Notificando fragilidades desegurança da informação

Controle

Os funcionários, fornecedores e terceirosde sistemas e serviços de informaçãodevem ser instruídos a registrar e notificarqualquer observação ou suspeita defragilidade em sistemas ou serviços.

A.13.2 Gestão de incidentes desegurança da informação e melhorias

Objetivo: Assegurar que um enfoque consistente e efetivo seja aplicado à gestão deincidentes de segurança da informação.

A.13.2.1 Responsabilidades eprocedimentos

Controle

Responsabilidades e procedimentos degestão devem ser estabelecidos paraassegurar respostas rápidas, efetivas eordenadas a incidentes de segurança dainformação.

A.13.2.2 Aprendendo com os incidentesde segurança da informação

Controle

Devem ser estabelecidos mecanismospara permitir que tipos, quantidades ecustos dos incidentes de segurança dainformação sejam quantificados emonitorados.

A.13.2.3 Coleta de evidências

Controle

Nos casos em que uma ação deacompanhamento contra uma pessoa ouorganização, após um incidente desegurança da informação, envolver umaação legal (civil ou criminal), evidênciasdevem ser coletadas, armazenadas eapresentadas em conformidade com asnormas de armazenamento de evidênciasda jurisdição ou jurisdições pertinentes.

A.14 Gestão da continuidade do negócioA.14.1 Aspectos da gestão dacontinuidade do negócio, relativos àsegurança da informação

Objetivo: Não permitir a interrupção das atividades do negócio e proteger os processoscríticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada emtempo hábil, se for o caso.

A.14.1.1 Incluindo segurança dainformação no processo de gestão dacontinuidade de negócio

Controle

Um processo de gestão deve serdesenvolvido e mantido para assegurar acontinuidade do negócio por toda aorganização e que contemple osrequisitos de segurança da informaçãonecessários para a continuidade donegócio da organização.

A.14.1.2 Continuidade de negócios eanálise/avaliação de risco

Controle

Devem ser identificados os eventos quepodem causar interrupções aosprocessos de negócio, junto àprobabilidade e impacto de taisinterrupções e as conseqüências para asegurança de informação.

A.14.1.3 Desenvolvimento eimplementação de planos decontinuidade relativos à segurança dainformação

Controle

Os planos devem ser desenvolvidos eimplementados para a manutenção ourecuperação das operações e paraassegurar a disponibilidade dainformação no nível requerido e na escalade tempo requerida, após a ocorrência deinterrupções ou falhas dos processoscríticos do negócio.

A.14.1.4 Estrutura do plano decontinuidade do negócio

Controle

Uma estrutura básica dos planos decontinuidade do negócio deve sermantida para assegurar que todos osplanos são consistentes, para contemplaros requisitos de segurança da informaçãoe para identificar prioridades para testese manutenção.

A.14.1.5 Testes, manutenção ereavaliação dos planos de continuidadedo negócio

Controle

Os planos de continuidade do negóciodevem ser testados e atualizadosregularmente, de forma a assegurar suapermanente atualização e efetividade.

A.15 Conformidade

A.15.1 Conformidade com requisitos legais

Objetivo: Evitar violação de qualquer lei criminal ou civil, estatutos, regulamentações ou obrigaçõescontratuais e de quaisquer requisitos de segurança da informação

A.15.1.1 Identificação da legislação vigente

Controle

Todos os requisitos estatutários,regulamentares e contratuais relevantes,e o enfoque da organização para atendera estes requisitos devem serexplicitamente definidos, documentadose mantidos atualizados para cadasistema de informação da organização.

A.15.1.2 Direitos de propriedade intelectual

Controle

Procedimentos apropriados devem serimplementados para garantir aconformidade com os requisitoslegislativos, regulamentares e contratuaisno uso de material, em relação aos quaispode haver direitos de propriedadeintelectual e sobre o uso de produtos desoftware proprietários.

A.15.1.3 Proteção de registrosorganizacionais

Controle

Registros importantes devem serprotegidos contra perda, destruição efalsificação, de acordo com os requisitosregulamentares, estatutários, contratuaise do negócio.

A.15.1.4 Proteção de dados e privacidadeda informação pessoal

Controle

A privacidade e a proteção de dadosdevem ser asseguradas conforme exigidonas legislações relevantes,regulamentações e, se aplicável, nascláusulas contratuais.

A.15.1.5 Prevenção de mau uso derecursos de processamento dainformação

Controle

Os usuários devem ser dissuadidos deusar os recursos de processamento dainformação para propósitos nãoautorizados.

A.15.1.6 Regulamentação de controles de criptografiaControle

Controles de criptografia devem serusados em conformidade com leis,acordos e regulamentações relevantes.

A.15.2 Conformidade com normas epolíticas de segurança da informaçãoe conformidade técnica

Objetivo: Garantir conformidade dos sistemas com as políticas enormas organizacionais de segurança da informação.

A.15.2.1 Conformidade com as políticas enormas de segurança da informação

Controle

Os gestores devem garantir que todos osprocedimentos de segurança dentro dasua área de responsabilidade sejamexecutados corretamente para atender àconformidade com as normas e políticasde segurança da informação.

A.15.2.2 Verificação da conformidade técnicaControle

Os sistemas de informação devem serperiodicamente verificados quanto à suaconformidade com as normas desegurança da informação implementadas.

A.15.3 Considerações quanto àauditoria de sistemas de informação

Objetivo: Maximizar a eficácia e minimizar a interferência no processo deauditoria dos sistemas de informação.

A.15.3.1 Controles de auditoria desistemas de informação

Controle

Os requisitos e atividades de auditoria envolvendo verificação nossistemas operacionais devem ser cuidadosamente planejados eacordados para minimizar os riscos de interrupção dos processos donegócio.

A.15.3.2 Proteção de ferramentas deauditoria de sistemas de informação

Controle

O acesso às ferramentas de auditoria de sistema de informação deveser protegido para prevenir qualquer possibilidade de uso impróprioou comprometimento.

ISO-27001-CONTROLES-v1.00.mmap - 29/09/2013 -