Nbr Iso 17799 - Gestão Da Segurança Da Informação

8/4/2019 Nbr Iso 17799 - Gesto Da Segurana Da Informao

1/56

Sede:Rio de JaneiroAv. Treze de Maio, 13 28 andarCEP 20003-900 Caixa Postal 1680Rio de Janeiro RJTel.: PABX (021) 210-3122Fax: (021) 220-1762/220-6436Endereo eletrnico:www.abnt.org.br

ABNT AssociaoBrasileira deNormas Tcnicas

Copyright 2001,ABNTAssociao Brasileirade Normas TcnicasPrinted in Brazil/Impresso no BrasilTodos os direitos reservados

AGO 2001 NBR ISO/IEC 17799

Tecnologia da informao - Cdigo deprtica para a gesto da segurana dainformao

Origem: Projeto 21:204.01-010:2001ABNT/CB-21 - Comit Brasileiro de Computadores e Processamento deDadosCE-21:204.01 - Comisso de Estudo de Segurana Fsica em Instalaes deInformticaNBR ISO/IEC 17799 - Information technology - Code of practice forinformation security managementDescriptors: Information technology. Security

Esta Norma equivalente ISO/IEC 17799:2000Vlida a partir de 30.09.2001

Palavras-chave: Tecnologia da informao. Segurana 56 pginas

SumrioPrefcioIntroduo1 Objetivo2 Termos e definies3 Poltica de segurana4 Segurana organizacional5 Classificao e controle dos ativos de informao6 Segurana em pessoas7 Segurana fsica e do ambiente8 Gerenciamento das operaes e comunicaes9 Controle de acesso10 Desenvolvimento e manuteno de sistemas11 Gesto da continuidade do negcio12 ConformidadeANEXOA Descrio dos termos apresentados em ingls nesta Norma

Prefcio

A ABNT - Associao Brasileira de Normas Tcnicas - o Frum Nacional de Normalizao. As Normas Brasileiras, cujocontedo de responsabilidade dos Comits Brasileiros (ABNT/CB) e dos Organismos de Normalizao Setorial

(ABNT/ONS), so elaboradas por Comisses de Estudo (CE), formadas por representantes dos setores envolvidos, delasfazendo parte: produtores, consumidores e neutros (universidades, laboratrios e outros).

Os Projetos de Norma Brasileira, elaborados no mbito dos ABNT/CB e ABNT/ONS, circulam para Consulta Pblica entreos associados da ABNT e demais interessados.

Esta Norma equivalente ISO/IEC 17799:2000

Esta Norma contm o anexo A, de crater informativo.

O anexo A foi incorporado a esta traduo da ISO/IEC 17799:2000, a fim de prestar informaes na descrio de termosna lngua inglesa mantidos nesta Norma por no possurem traduo equivalente para a lngua portuguesa.

Licena de uso exclusivo para Mdulo Security Solutions S.A.Cpia impressa pelo sistema ABNT Digital em 31/10/2001


2/56

NBR ISO/IEC 17799:20012

Introduo

O que segurana da informao?

A informao um ativo que, como qualquer outro ativo importante para os negcios, tem um valor para a organizao econseqentemente necessita ser adequadamente protegida. A segurana da informao protege a informao de diversostipos de ameaas para garantir a continuidade dos negcios, minimizar os danos aos negcios e maximizar o retorno dosinvestimentos e as oportunidades de negcio.

A informao pode existir em muitas formas. Ela pode ser impressa ou escrita em papel, armazenada eletronicamente,transmitida pelo correio ou atravs de meios eletrnicos, mostrada em filmes ou falada em conversas. Seja qual for a forma

apresentada ou o meio atravs do qual a informao compartilhada ou armazenada, recomendado que ela seja sempreprotegida adequadamente.

A segurana da informao aqui caracterizada pela preservao de:

a) confidencialidade: garantia de que a informao acessvel somente por pessoas autorizadas a terem acesso;

b) integridade: salvaguarda da exatido e completeza da informao e dos mtodos de processamento;

c) disponibilidade: garantia de que os usurios autorizados obtenham acesso informao e aos ativos correspon-dentes sempre que necessrio.

Segurana da informao obtida a partir da implementao de uma srie de controles, que podem ser polticas, prticas,procedimentos, estruturas organizacionais e funes de software. Estes controles precisam ser estabelecidos para garantirque os objetivos de segurana especficos da organizao sejam atendidos.

Por que a segurana da informao necessria

A informao e os processos de apoio, sistemas e redes so importantes ativos para os negcios. Confidencialidade,integridade e disponibilidade da informao podem ser essenciais para preservar a competitividade, o faturamento, a

lucratividade, o atendimento aos requisitos legais e a imagem da organizao no mercado.Cada vez mais as organizaes, seus sistemas de informao e redes de computadores so colocados prova pordiversos tipos de ameaas segurana da informao de uma variedade de fontes, incluindo fraudes eletrnicas,espionagem, sabotagem, vandalismo, fogo ou inundao. Problemas causados por vrus, hackers e ataques de denial ofserviceesto se tornando cada vez mais comuns, mais ambiciosos e incrivelmente mais sofisticados.

A dependncia nos sistemas de informao e servios significa que as organizaes esto mais vulnerveis s ameaas desegurana. A interconexo de redes pblicas e privadas e o compartilhamento de recursos de informao aumentam adificuldade de se controlar o acesso. A tendncia da computao distribuda dificulta a implementao de um controle deacesso centralizado realmente eficiente.

Muitos sistemas de informao no foram projetados para serem seguros. A segurana que pode ser alcanada por meiostcnicos limitada e convm que seja apoiada por gesto e procedimentos apropriados. A identificao de quais controlesconvm que sejam implantados requer planejamento cuidadoso e ateno aos detalhes. A gesto da segurana dainformao necessita, pelo menos, da participao de todos os funcionrios da organizao. Pode ser que seja necessriatambm a participao de fornecedores, clientes e acionistas. Consultoria externa especializada pode ser tambm ne-

cessria.Os controles de segurana da informao so consideravelmente mais baratos e mais eficientes se forem incorporados nosestgios do projeto e da especificao dos requisitos.

Como estabelecer requisitos de segurana

essencial que uma organizao identifique os seus requisitos de segurana. Existem trs fontes principais.

A primeira fonte derivada da avaliao de risco dos ativos da organizao. Atravs da avaliao de risco so identificadasas ameaas aos ativos, as vulnerabilidades e sua probabilidade de ocorrncia avaliada, bem como o impacto potencial estimado.

A segunda fonte a legislao vigente, os estatutos, a regulamentao e as clusulas contratuais que a organizao, seusparceiros, contratados e prestadores de servio tm que atender.

A terceira fonte o conjunto particular de princpios, objetivos e requisitos para o processamento da informao que umaorganizao tem que desenvolver para apoiar suas operaes.

Avaliando os riscos de segurana

Os requisitos de segurana so identificados atravs de uma avaliao sistemtica dos riscos de segurana. Os gastoscom os controles necessitam ser balanceados de acordo com os danos causados aos negcios gerados pelas potenciaisfalhas na segurana. As tcnicas de avaliao de risco podem ser aplicadas em toda a organizao ou apenas em partedela, assim como em um sistema de informao individual, componentes de um sistema especfico ou servios, quando forvivel, prtico e til.

A avaliao de risco uma considerao sistemtica:

a) do impacto nos negcios como resultado de uma falha de segurana, levando-se em conta as potenciais conse-qncias da perda de confidencialidade, integridade ou disponibilidade da informao ou de outros ativos;

b) da probabilidade de tal falha realmente ocorrer luz das ameaas e vulnerabilidades mais freqentes e nos controlesatualmente implementados.

Os resultados dessa avaliao ajudaro a direcionar e determinar aes gerenciais e prioridades mais adequadas para umgerenciamento dos riscos da segurana da informao e a selecionar os controles a serem implementados para a proteocontra estes riscos. Pode ser necessrio que o processo de avaliao de riscos e seleo de controles seja executado um

determinado nmero de vezes para proteger as diferentes partes da organizao ou sistemas de informao isolados.



3/56

NBR ISO/IEC 17799:2001 3

necessrio realizar anlises crticas peridicas dos riscos de segurana e dos controles implementados para:

a) considerar as mudanas nos requisitos de negcio e suas prioridades;

b) considerar novas ameaas e vulnerabilidades;

c) confirmar que os controles permanecem eficientes e adequados.

Convm que as anlises crticas sejam executadas em diferentes nveis de profundidade, dependendo dos resultados dasavaliaes de risco feitas anteriormente e das mudanas nos nveis de riscos que a direo considera aceitvel para osnegcios. As avaliaes de risco so sempre realizadas primeiro em nvel mais geral, como uma forma de priorizar

recursos em reas de alto risco, e ento em um nvel mais detalhado, para solucionar riscos especficos.Seleo de controles

Uma vez tendo sido identificados os requisitos de segurana, convm que os controles sejam selecionados e implemen-tados para assegurar que os riscos so reduzidos a um nvel aceitvel. Os controles podem ser selecionados a partir destaNorma ou de outro conjunto de controles, ou novos controles podem ser desenvolvidos para atender s necessidadesespecficas, quando apropriado. Existem diversas maneiras de gerenciar os riscos e esta Norma fornece exemplos para assituaes mais comuns. De qualquer forma, necessrio reconhecer que alguns controles no so aplicveis em todos ossistemas de informao ou ambientes e que podem no ser praticveis para todas as organizaes. Como um exemplo,8.1.4 descreve como as funes podem ser segregadas para prevenir fraudes e erros. Pode no ser possvel parapequenas organizaes segregar todas as funes e uma outra maneira de se alcanar o mesmo objetivo de controle podeser necessria. Como outro exemplo, 9.7 e 12.1 descrevem como o uso de um sistema pode ser monitorado e como as evi-dncias podem ser coletadas. Os controles descritos, por exemplo o registro de eventos, podem ser conflitantes com alegislao vigente, como a proteo da privacidade de clientes ou no local de trabalho.

Convm que os controles sejam selecionados baseados nos custos de implementao em relao aos riscos que seroreduzidos e as perdas potenciais se as falhas na segurana ocorrerem. Convm que fatores no financeiros, como, porexemplo, prejuzos na reputao da organizao, sejam tambm levados em considerao.

Alguns dos controles nesta Norma podem ser considerados como princpios bsicos para a gesto da segurana dainformao e podem ser aplicados na maioria das organizaes. Eles so explicados em mais detalhes no item Ponto departida para a segurana da informao.

Ponto de partida para a segurana da informao

Um nmero de controles pode ser considerado como princpios bsicos, fornecendo um bom ponto de partida para aimplementao da segurana da informao. So baseados tanto em requisitos legais como nas melhores prticas desegurana da informao normalmente usadas.

Os controles considerados essenciais para uma organizao, sob o ponto de vista legal, incluem:

a) proteo de dados e privacidade de informaes pessoais (ver 12.1.4);

b) salvaguarda de registros organizacionais (ver 12.1.3);c) direitos de propriedade intelectual (ver 12.1.2).

Os controles considerados como melhores prticas para a segurana da informao incluem:

a) documento da poltica de segurana da informao (ver 3.1);

b) definio das responsabilidades na segurana da informao (ver 4.1.3);

c) educao e treinamento em segurana da informao (ver 6.2.1);

d) relatrio dos incidentes de segurana (ver 6.3.1);

e) gesto da continuidade do negcio (ver 11.1).

Estes controles se aplicam para a maioria das organizaes e na maioria dos ambientes. Convm que seja notado que,embora todos os controles nesta Norma sejam importantes, a relevncia de qualquer controle seja determinada luz deriscos especficos que uma organizao est exposta. Por isto, embora o enfoque acima seja considerado um bom pontode partida, ele no substitui a seleo de controles, baseada na avaliao de risco.

Fatores crticos de sucesso

A experincia tem mostrado que os seguintes fatores so geralmente crticos para o sucesso da implementao dasegurana da informao dentro de uma organizao:

a) poltica de segurana, objetivos e atividades, que reflitam os objetivos do negcio;

b) um enfoque para a implementao da segurana que seja consistente com a cultura organizacional;

c) comprometimento e apoio visvel da direo;

d) um bom entendimento dos requisitos de segurana, avaliao de risco e gerenciamento de risco;

e) divulgao eficiente da segurana para todos os gestores e funcionrios;



4/56

NBR ISO/IEC 17799:20014

f) distribuio das diretrizes sobre as normas e poltica de segurana da informao para todos os funcionrios efornecedores;

g) proporcionar educao e treinamento adequados;

h) um abrangente e balanceado sistema de medio, que usado para avaliar o desempenho da gesto de seguranada informao e obteno de sugestes para a melhoria.

Desenvolvendo suas prprias recomendaes

Esta Norma pode ser considerada como o ponto de partida para o desenvolvimento de recomendaes especficas para a

organizao. Nem todas as recomendaes e os controles nesta Norma podem ser aplicados. Alm disto, controlesadicionais no includos nesta Norma podem ser necessrios. Quando isto acontecer pode ser til manter uma refernciacruzada para facilitar a verificao da conformidade por auditores e parceiros de negcio.

1 Objetivo

Esta Norma fornece recomendaes para gesto da segurana da informao para uso por aqueles que so responsveispela introduo, implementao ou manuteno da segurana em suas organizaes. Tem como propsito prover umabase comum para o desenvolvimento de normas de segurana organizacional e das prticas efetivas de gesto dasegurana, e prover confiana nos relacionamentos entre as organizaes. Convm que as recomendaes descritasnesta Norma sejam selecionadas e usadas de acordo com a legislao e as regulamentaes vigentes.

2 Termos e definies

Para os efeitos desta Norma, aplicam-se as seguintes definies:

2.1 segurana da informao: Preservao da confidencialidade, integridade e disponibilidade da informao.

- confidencialidade: Garantia de que o acesso informao seja obtido somente por pessoas autorizadas.

- integridade: Salvaguarda da exatido e completeza da informao e dos mtodos de processamento.

- disponibilidade: Garantia de que os usurios autorizados obtenham acesso informao e aos ativos correspon-dentes sempre que necessrio.

2.2 avaliao de risco: Avaliao das ameaas, impactos e vulnerabilidades da informao e das instalaes deprocessamento da informao e da probabilidade de sua ocorrncia.

2.3 gerenciamento de risco: Processo de identificao, controle e minimizao ou eliminao dos riscos de seguranaque podem afetar os sistemas de informao, a um custo aceitvel.

3 Poltica de segurana

3.1 Poltica de segurana da informao

Objetivo: Prover direo uma orientao e apoio para a segurana da informao.Convm que a direo estabelea uma poltica clara e demonstre apoio e comprometimento com a segurana dainformao atravs da emisso e manuteno de uma poltica de segurana da informao para toda a organizao.

3.1.1 Documento da poltica de segurana da informao

Convm que um documento da poltica seja aprovado pela direo, publicado e comunicado, de forma adequada, paratodos os funcionrios. Convm que este expresse as preocupaes da direo e estabelea as linhas-mestras para agesto da segurana da informao. No mnimo, convm que as seguintes orientaes sejam includas:

a) definio de segurana da informao, resumo das metas e escopo e a importncia da segurana como ummecanismo que habilita o compartilhamento da informao (ver introduo);

b) declarao do comprometimento da alta direo, apoiando as metas e princpios da segurana da informao;

c) breve explanao das polticas, princpios, padres e requisitos de conformidade de importncia especfica para aorganizao, por exemplo:

1) conformidade com a legislao e clusulas contratuais;

2) requisitos na educao de segurana;

3) preveno e deteco de vrus e software maliciosos;

4) gesto da continuidade do negcio;

5) conseqncias das violaes na poltica de segurana da informao;

d) definio das responsabilidades gerais e especficas na gesto da segurana da informao, incluindo o registro dosincidentes de segurana;

e) referncias documentao que possam apoiar a poltica, por exemplo, polticas e procedimentos de segurana maisdetalhados de sistemas de informao especficos ou regras de segurana que convm que os usurios sigam.

Convm que esta poltica seja comunicada atravs de toda a organizao para os usurios na forma que seja relevante,

acessvel e compreensvel para o leitor em foco.



5/56

NBR ISO/IEC 17799:2001 5

3.1.2 Anlise crtica e avaliao

Convm que a poltica tenha um gestor que seja responsvel por sua manuteno e anlise crtica, de acordo com umprocesso de anlise crtica definido. Convm que este processo garanta que a anlise crtica ocorra como decorrncia dequalquer mudana que venha a afetar a avaliao de risco original, tais como um incidente de segurana significativo,novas vulnerabilidades ou mudanas organizacionais ou na infra-estrutura tcnica. Convm que tambm sejam agendadasas seguintes anlises crticas peridicas:

a) efetividade da poltica, demonstrada pelo tipo, volume e impacto dos incidentes de segurana registrados;

b) custo e impacto dos controles na eficincia do negcio;

c) efeitos das mudanas na tecnologia.

4 Segurana organizacional

4.1 Infra-estrutura da segurana da informao

Objetivo: Gerenciar a segurana da informao na organizao.

Convm que uma estrutura de gerenciamento seja estabelecida para iniciar e controlar a implementao da segurana dainformao dentro da organizao.

Convm que fruns apropriados de gerenciamento com liderana da direo sejam estabelecidos para aprovar a poltica desegurana da informao, atribuir as funes da segurana e coordenar a implementao da segurana atravs daorganizao. Se necessrio, convm que uma fonte especializada em segurana da informao seja estabelecida edisponibilizada dentro da organizao. Convm que contatos com especialistas de segurana externos sejam feitos para semanter atualizado com as tendncias do mercado, monitorar normas e mtodos de avaliao, alm de fornecer o principalapoio durante os incidentes de segurana. Convm que um enfoque multidisciplinar na segurana da informao seja

incentivado, tais como o envolvimento, cooperao e colaborao de gestores, usurios, administradores, projetistas deaplicaes, auditores, equipes de segurana e especialistas em reas como seguro e gerenciamento de risco.

4.1.1 Gesto do frum de segurana da informao

A segurana da informao uma responsabilidade de negcios compartilhada por todos os membros da equipe dadireo. Convm que seja considerada a criao de um frum de gesto para garantir um direcionamento claro e umsuporte de gesto visvel dos envolvidos para as iniciativas de segurana. Convm que este frum promova a seguranadentro da organizao atravs do comprometimento apropriado e dos recursos adequados. O frum pode ser parte de umcorpo administrat ivo existente. Tipicamente, tal frum responsvel pelo seguinte:

a) anlise crtica e aprovao da poltica da segurana da informao e das responsabilidades envolvidas;

b) monitorao das principais mudanas na exposio dos ativos das informaes s principais ameaas;

c) anlise crtica e monitorao de incidentes de segurana da informao;

d) aprovao das principais iniciativas para aumentar o nvel da segurana da informao.

Convm que um gestor seja responsvel por todas as atividades relacionadas com a segurana.

4.1.2 Coordenao da segurana da informao

Em grandes organizaes um frum multifuncional com representantes da direo de reas relevantes da organizaopode ser necessrio para coordenar a implementao de controles da segurana da informao. Tipicamente, tal frum:

a) busca as regras e as responsabilidades especficas para a segurana da informao atravs da organizao;

b) busca as metodologias e processos especficos para a segurana da informao, tais como avaliao de risco esistema de classificao de segurana;

c) busca e apia iniciativas de segurana da informao aplicveis por toda a organizao, por exemplo programa daconscientizao em segurana;

d) garante que a segurana seja parte do processo de planejamento da informao;

e) avalia a adequao e coordena a implementao de controles especficos de segurana da informao para novossistemas ou servios;

f) analisa criticamente incidentes de segurana da informao;

g) promove a visibilidade do suporte aos negcios para segurana da informao atravs da organizao.

4.1.3 Atribuio das responsabilidades em segurana da informao

Convm que as responsabilidades pela proteo de cada ativo e pelo cumprimento de processos de segurana especficossejam claramente definidas.

Convm que a poltica de segurana da informao (ver seo 3) fornea um guia geral sobre a atribuio de regras eresponsabilidades de segurana na organizao. Convm que seja complementada, onde for necessrio, com orientaesmais detalhadas para locais, sistemas ou servios especficos. Convm que sejam claramente definidas asresponsabilidades em cada local para os ativos fsicos e de informao, bem como dos processos de segurana, como, porexemplo, o plano de continuidade de negcios.

Em muitas organizaes um gestor de segurana da informao ser indicado para arcar com toda a responsabilidade pelodesenvolvimento e implementao da segurana e pelo suporte identificao dos controles.



6/56

NBR ISO/IEC 17799:20016

Contudo, a responsabilidade pela alocao de recursos e pela implementao dos controles geralmente permanece com osgestores. Uma prtica comum indicar um proprietrio para cada ativo de informao, tornando responsvel pela suasegurana do dia-a-dia.

Os proprietrios dos ativos de informao podem delegar suas responsabilidades de segurana a outros gestores ouprestadores de servio. Todavia o proprietrio continua como responsvel final pela segurana do ativo e convm que sejacapaz de determinar se esto sendo corretamente delegadas as responsabilidades.

essencial que as reas pelas quais cada gestor responsvel estejam claramente estabelecidas; em particularrecomenda-se que os itens seguintes sejam cumpridos.

a) Convm que os vrios ativos e processos de segurana associados com cada sistema sejam identificados eclaramente definidos.

b) Convm que o gestor responsvel por cada ativo ou processo de segurana esteja de acordo e os detalhes dessaresponsabilidade sejam documentados.

c) Convm que os nveis de autorizao sejam claramente definidos e documentados.

4.1.4 Processo de autorizao para as instalaes de processamento da informao

Convm que seja estabelecido um processo de gesto de autorizao para novos recursos de processamento dainformao.

Recomenda-se que os seguintes controles sejam considerados.

a) Convm que novos recursos tenham aprovao adequada por parte da administrao de usurios, autorizando seuspropsitos e uso. Convm que a aprovao tambm seja obtida junto ao gestor responsvel pela manuteno do

sistema de segurana da informao para garantir que todas as polticas e requisitos de segurana relevantes soatendidos.

b) Convm que o hardwaree o softwaresejam verificados para garantir que so compatveis com outros componentesdo sistema, onde necessrios.

NOTA - Este tipo de aprovao pode ser requerido para certas conexes.

c) Convm que o uso de recursos pessoais de processamento de informao para o processamento de informao denegcio e para quaisquer controles necessrios seja autorizado.

d) O uso de recursos pessoais de processamento de informao no ambiente de trabalho pode causar novasvulnerabilidades e, por esta razo, convm que seja avaliado e autorizado.

Estes controles so especialmente importantes em um ambiente de rede de computadores.

4.1.5 Consultoria especializada em segurana da informao

Consultoria especializada em segurana normalmente necessria em diversas organizaes. Em condies ideais,

convm que um consultor de segurana da informao interno e com boa experincia fornea isso. Nem todas asorganizaes desejam empregar um consultor especialista. Nestes casos, recomendvel que seja identificado umcolaborador especfico para coordenar o conhecimento e as experincias internos para garantir consistncia e fornecerauxlio nas tomadas de deciso sobre segurana. Convm que essas organizaes tambm tenham acesso a consultoresexternos para prover consultoria especializada alm da sua prpria experincia.

Convm que consultores em segurana da informao ou contatos equivalentes sejam incumbidos de fornecer apoio emtodos os aspectos da segurana da informao, utilizando suas prprias experincias ou consultoria externa. A qualidadede suas avaliaes das ameaas segurana e a consultoria nos controles determinaro a eficincia da segurana dainformao da organizao. Para efetividade e impactos mximos convm que eles tenham permisso de acesso direto administrao em toda a organizao.

Convm que o consultor em segurana da informao ou contato equivalente seja consultado o mais cedo possvel apssuspeitas de incidente ou violao de segurana para fornecer orientaes especializadas ou recursos para o processoinvestigativo. Embora a maioria das investigaes de segurana internas normalmente seja executada sob controle daadministrao, o consultor de segurana da informao pode ser chamado para recomendar, liderar ou conduzir a

investigao.4.1.6 Cooperao entre organizaes

Convm que sejam mantidos contatos apropriados com autoridades legais, organismos reguladores, provedores de serviode informao e operadores de telecomunicaes, de forma a garantir que aes adequadas e apoio especializadopossam ser rapidamente acionados na ocorrncia de incidentes de segurana. De forma similar, convm que a filiao agrupos de segurana e a fruns setoriais seja considerada.

Convm que trocas de informaes de segurana sejam restritas para garantir que informaes confidenciais daorganizao no sejam passadas para pessoas no autorizadas.

4.1.7 Anlise crtica independente de segurana da informao

O documento da poltica de segurana da informao (ver 3.1) estabelece a poltica e as responsabilidades pelasegurana da informao. Convm que a sua implementao seja analisada criticamente, de forma independente, parafornecer garantia de que as prticas da organizao refletem apropriadamente a poltica, e que esta adequada eeficiente(ver 12.2).



7/56

NBR ISO/IEC 17799:2001 7

Tal anlise crtica pode ser executada pela auditoria interna, por um gestor independente ou por uma organizaoprestadora de servios especializada em tais anlises crticas, ondeestes possurem habilidade e experincia apropriadas.

4.2 Segurana no acesso de prestadores de servios

Objetivo: Manter a segurana dos recursos de processamento de informao e ativos de informao organizacionaisacessados por prestadores de servios.

Convm que seja controlado o acesso de prestadores de servios aos recursos de processamento da informao da

organizao.Onde existir uma necessidade de negcio para este acesso de prestadores de servios, convm que seja feita umaavaliao dos riscos envolvidos para determinar as possveis implicaes na segurana e os controles necessrios.Convm que os controles sejam acordados e definidos atravs de contrato assinado com os prestadores de servios.

O acesso de prestadores de servios pode tambm envolver outros participantes. Convm que os contratos liberando oacesso de prestadores de servios incluam a permisso para designao de outros participantes qualificados, assim comoas condies de seus acessos.

Esta Norma pode ser utilizada como base para tais contratos e levada em considerao na terceirizao doprocessamento da informao.

4.2.1 Identificao dos riscos no acesso de prestadores de servios

4.2.1.1 Tipos de acesso

O tipo de acesso dado a prestadores de servios de especial importncia. Por exemplo, os riscos no acesso atravs deuma conexo de rede so diferentes dos riscos resultantes do acesso fsico. Convm que os seguintes tipos de acessosejam considerados:

a) acesso fsico, por exemplo a escritrios, sala de computadores, gabinetes de cabeamento;

b) acesso lgico, por exemplo aos bancos de dados da organizao, sistemas de informao.

4.2.1.2 Razes para o acesso

Acessos a prestadores de servios podem ser concedidos por diversas razes. Por exemplo, existem prestadores deservios que fornecem servios para uma organizao e no esto localizados no mesmo ambiente, mas necessitam deacessos fsicos e lgicos, tais como:

a) equipes de suporte de hardware e software, que necessitam ter acesso em nvel de sistema ou acesso sfuncionalidades de baixo nvel nas aplicaes;

b) parceiros comerciais ou joint ventures, que podem trocar informaes, acessar sistemas de informao oucompartilhar bases de dados.

As informaes podem ser colocadas em risco pelo acesso de prestadores de servios com uma administraoinadequada da segurana. Existindo a necessidade de negcios de conexo com prestadores de servios, convm queuma avaliao de risco seja feita para se identificar quaisquer necessidades de implementao de controles de segurana.Convm que sejam levados em conta o tipo de acesso requerido, o valor da informao, os controles empregados porprestadores de servios e as implicaes deste acesso segurana da informao da organizao.

4.2.1.3 Contratados para servios internos

Prestadores de servios que, por contrato, devem permanecer dentro da organizao por um perodo de tempodeterminado tambm podem aumentar a fragilidade na segurana. Exemplos de prestadores de servio dentro daorganizao incluem:

a) equipes de suporte e manuteno de hardwaree software;

b) pessoal da limpeza, servios de buffets, guardas da segurana e outros servios de apoio terceirizados;

c) alocao de estagirios e outras contrataes de curta durao;

d) consultores.

essencial entender quais controles so necessrios para administrar o acesso de prestadores de servios aos recursosde processamento da informao. Geralmente, convm que todos os requisitos de segurana resultantes do acesso deprestadores de servios ou dos controles internos sejam refletidos nos contratos firmados com estes (ver tambm 4.2.2).



8/56

NBR ISO/IEC 17799:20018

Por exemplo, caso exista uma necessidade especial por confidencialidade da informao, um acordo de sigilo pode serutilizado (ver 6.1.3).

Convm que o acesso de prestadores de servios informao e aos recursos de processamento da informao no sejapermitido at que os controles apropriados sejam implementados e um contrato definindo os termos para a conexo ouacesso seja assinado.

4.2.2 Requisitos de segurana nos contratos com prestadores de servios

Convm que acordos envolvendo o acesso de prestadores de servios aos recursos de processamento da informao da

organizao sejam baseados em contratos formais que contenham, ou faam referncia a, todos os requisitos desegurana, de forma a garantir a conformidade com as normas e polticas de segurana da organizao. Convm que ocontrato garanta que no existam mal-entendidos entre a organizao e prestadores de servios. Convm que asorganizaes considerem a indenizao a ser paga por seus fornecedores em situaes de violaes de contrato. Convmque os seguintes termos sejam considerados e includos nos contratos:

a) a poltica geral sobre segurana da informao;

b) proteo de ativos, incluindo:

1) procedimentos para proteo dos ativos da organizao, incluindo informao e software;

2) procedimentos para determinar se houve algum comprometimento destes ativos, por exemplo se houve perdaou modificao de dados;

3) controles para garantir a devoluo ou destruio das informaes e ativos em um determinado momentodurante ou no final do contrato;

4) integridade e disponibilidade;

5) restries relacionadas com a cpia e divulgao da informao;

c) descrio de cada servio que deve estar disponvel;

d) nveis de servio desejados e no aceitveis;

e) condies para transferncia da equipe de trabalho, onde for apropriado;

f) as respectivas obrigaes dos envolvidos no acordo;

g) responsabilidades com aspectos legais, por exemplo leis de proteo de dados, especialmente levando emconsiderao diferenas nas legislaes vigentes se o contrato envolver a cooperao com organizaes de outrospases (ver tambm 12.1);

h) direitos de propriedade intelectual e direitos autorais (ver 12.1.2) e proteo de qualquer trabalho colaborativo (vertambm 6.1.3);

i) acordos de controle de acesso, abrangendo:

1) mtodos de acesso permitidos e controle e uso de identificadores nicos como ID e senhas de acesso;

2) processo de autorizao para acesso e privilgios para os usurios;

3) requisitos para manter uma lista de usurios autorizados a usar os servios disponibilizados e quais so seusdireitos e privilgios;

j) definio de critrios de verificao do desempenho, sua monitorao e registro;

k) direito de monitorar e revogar as atividades de usurios;

l) direito de auditar as responsabilidades contratuais ou ter a auditoria executada por prestadores de servio;

m) estabelecimento de um processo escalonvel para a resoluo de problemas; convm que tambm sejamconsiderados procedimentos de contingncia, onde apropriados;

n) responsabilidades envolvendo a instalao e manuteno de hardware e software;

o) registros com estrutura clara e formato preestabelecido;

p) procedimentos claros e especficos para gerenciamento de mudanas;

q) quaisquer controles de proteo fsica e mecanismos necessrios para garantir que tais controles esto sendoseguidos;

r) treinamento de administradores e usurios em mtodos, procedimentos e segurana;

s) controles que garantam proteo contra software malicioso (ver 8.3);

t) requisitos para registro, notificao e investigao de incidentes e violaes da segurana;

u) envolvimento de prestadores de servios com subcontratados.



9/56

NBR ISO/IEC 17799:2001 9

4.3 Terceirizao

Objetivo: Manter a segurana da informao quando a responsabilidade pelo processamento da informao terceirizadapara uma outra organizao.

Convm que o acordo de terceirizao considere riscos, controles de segurana e procedimentos para os sistemas deinformao, rede de computadores e/ou estaes de trabalho no contrato entre as partes.

4.3.1 Requisitos de segurana dos contratos de terceirizao

Convm que os requisitos de segurana com prestadores de servios para gerenciamento e controle de todos ou alguns

dos sistemas de informao, redes de computadores e/ou estaes de trabalho constem no contrato entre as partes.

Por exemplo, convm que o contrato considere:

a) como os requisitos legais devem ser atendidos, por exemplo a legislao de proteo de dados;

b) quais acordos devem ser estabelecidos para garantir que todas as partes envolvidas na terceirizao, incluindosubcontratados, estejam cientes das suas responsabilidades de segurana;

c) como a integridade e a confidencialidade dos ativos organizacionais devem ser mantidas e testadas;

d) quais controles fsicos e lgicos sero utilizados para restringir e limitar o acesso de usurios autorizados sinformaes sensveis da organizao;

e) como a disponibi lidade dos servios ser mantida em caso de desastre;

f) quais nveis de segurana fsica esto sendo fornecidos para equipamentos terceirizados;

g) o direito de auditar.

Convm que os termos descritos em 4.2.2 tambm faam parte deste contrato. Convm que o contrato permita que osrequisitos e procedimentos de segurana possam ser expandidos em um plano de gesto da segurana em comum acordoentre as duas partes.

Embora os contratos de terceirizao possam levantar algumas questes complexas de segurana, os controles includosnesta Norma podem servir como um ponto de partida para contratos que envolvam a estrutura e o contedo do plano degesto da segurana.

5 Classificao e controle dos ativos de informao

5.1 Contabilizao dos ativos

Objetivo: Manter a proteo adequada dos ativos da organizao.

Convm que todos os principais ativos de informao sejam inventariados e tenham um proprietrio responsvel.O inventrio dos ativos ajuda a assegurar que a proteo est sendo mantida de forma adequada. Convm que os pro-prietrios dos principais ativos sejam identificados e a eles seja atribuda a responsabilidade pela manuteno apropriadados controles. A responsabilidade pela implementao dos controles pode ser delegada. Convm que a responsabilidadepela prestao de contas fique com o proprietrio nomeado do ativo.

5.1.1 Inventrio dos ativos de informao

O inventrio dos ativos ajuda a assegurar que as protees esto sendo feitas de forma efetiva e tambm pode serrequerido para outras finalidades de negcio, como sade e segurana, seguro ou financeira (gerenciamento patrimonial).O processo de compilao de um inventrio de ativos um aspecto importante no gerenciamento de risco. Uma orga-nizao precisa ser capaz de identificar seus ativos e seus respectivos valores e importncia. Baseada nesta informao,uma organizao pode ento fornecer nveis de proteo proporcionais ao valor e importncia desses ativos. Convm queum inventrio dos principais ativos associados com cada sistema de informao seja estruturado e mantido. Convm quecada ativo e seu respectivo proprietrio sejam claramente identificados e a classificao de segurana (ver 5.2) sejaacordada e documentada, juntamente com a sua localizao atual (importante quando se tenta recuperar perdas oudanos). Exemplos de ativos associados com sistemas de informao so:

a) ativos de informao: base de dados e arquivos, documentao de sistema, manuais de usurio, material detreinamento, procedimentos de suporte ou operao, planos de continuidade, procedimentos de recuperao,informaes armazenadas;

b) ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitrios;

c) ativos fsicos: equipamentos computacionais (processadores, monitores, laptops, modems), equipamentos decomunicao (roteadores, PABXs, fax, secretrias eletrnicas), mdia magntica (fitas e discos), outros equipamentostcnicos (no-breaks, ar-condicionado), moblia, acomodaes;

d) servios: computao e servios de comunicao, utilidades gerais, por exemplo aquecimento, iluminao,eletricidade, refrigerao.



10/56

NBR ISO/IEC 17799:200110

5.2 Classificao da informao

Objetivo: Assegurar que os ativos de informao recebam um nvel adequado de proteo.

Convm que a informao seja classificada para indicar a importncia, a prioridade e o nvel de proteo.

A informao possui vrios nveis de sensibilidade e criticidade. Alguns itens podem necessitar um nvel adicional deproteo ou tratamento especial. Convm que um sistema de classificao da informao seja usado para definir umconjunto apropriado de nveis de proteo e determinar a necessidade de medidas especiais de tratamento.

5.2.1 Recomendaes para classificao

Convm que a classificao da informao e seus respectivos controles de proteo levem em considerao asnecessidades de negcios para compartilhamento ou restrio de informaes e os respectivos impactos nos negcioscomo, por exemplo, o acesso no autorizado ou danos informao. Em geral, a classificao dada a uma informao ocaminho mais curto para determinar como ela tratada e protegida.

Convm que informaes e resultados de sistemas que processam dados classificados sejam rotulados de acordo comseu valor e sua sensibilidade para a organizao. Tambm pode ser apropriado rotular a informao em termos de quocrtica ela para a organizao como, por exemplo, em termos de integridade e disponibilidade. A informaofreqentemente deixa de ser sensvel ou crtica aps um certo perodo de tempo, por exemplo quando a informao setorna pblica. Convm que estes aspectos sejam levados em considerao, pois uma classificao superestimada podelevar a custos adicionais desnecessrios. Convm que as regras de classificao previnam e alertem para o fato de queum determinado item de informao no tem necessariamente uma classificao fixa, podendo sofrer modificao deacordo com alguma poltica predeterminada (ver 9.1).

Convm que cuidados sejam tomados com a quantidade de categorias de classificao e com os benefcios obtidos pelo

seu uso. Esquemas excessivamente complexos podem tornar o uso incmodo, invivel economicamente ou impraticvel.Convm que ateno especial seja dada na interpretao dos rtulos de classificao sobre documentos de outrasorganizaes, que podem ter definies diferentes para rtulos iguais ou semelhantes aos usados.

Convm que a responsabilidade pela definio da classificao de um item de informao, tais como um documento,registro de dado, arquivo de dados ou disquete, e a anlise crtica peridica desta classificao fiquem com o autor ou como proprietrio responsvel pela informao.

5.2.2 Rtulos e tratamento da informao

importante que um conjunto apropriado de procedimentos seja definido para rotular e tratar a informao de acordo como esquema de classificao adotado pela organizao. Estes procedimentos precisam abranger tanto os ativos deinformao no formato fsico quanto no eletrnico. Para cada classificao, convm que procedimentos de tratamentosejam definidos para abranger os seguintes tipos de atividade de processamento da informao:

a) cpia;

b) armazenamento;c) transmisso pelo correio, fax ou correio eletrnico;

d) transmisso pela fala, incluindo telefonia mvel, correio de voz ou secretrias eletrnicas;

e) destruio.

Convm que as sadas de sistemas que contm informaes classificadas como sensveis ou crticas tenham o rtuloapropriado da classificao da informao (na sada). Convm que o rtulo reflita a classificao de acordo com as regrasestabelecidas em 5.2.1. Itens que devem ser considerados incluem relatrios impressos, telas, mdias magnticas (fitas,discos, CDs, cassetes), mensagens eletrnicas e transferncias de arquivos.

Rtulos fsicos so geralmente a forma mais apropriada de rotular a informao. Entretanto, alguns ativos de informao,como documentos em forma eletrnica, no podem ser fisicamente rotulados, sendo necessrio usar um rtulo eletrnico.

6 Segurana em pessoas

6.1 Segurana na definio e nos recursos de trabalhoObjetivo: Reduzir os riscos de erro humano, roubo, fraude ou uso indevido das instalaes.

Convm que responsabilidades de segurana sejam atribudas na fase de recrutamento, includas em contratos emonitoradas durante a vigncia de cada contrato de trabalho.

Convm que candidatos potenciais sejam devidamente analisados (ver 6.1.2), especialmente para trabalhos sensveis.Convm que todos os funcionrios e prestadores de servio, usurios das instalaes de processamento da informao,assinem um acordo de sigilo.

6.1.1 Incluindo segurana nas responsabilidades do trabalho

Convm que regras e responsabilidades de segurana sejam documentadas onde for apropriado, de acordo com a polticade segurana da informao da organizao (ver 3.1). Convm que elas incluam quaisquer responsabilidades gerais pelaimplementao ou manuteno da poltica de segurana, assim como quaisquer responsabilidades especficas para a

proteo de determinados ativos ou pela execuo de determinados processos ou atividades de segurana.



11/56

NBR ISO/IEC 17799:2001 11

6.1.2 Seleo e poltica de pessoal

Convm que verificaes de controle sobre a equipe permanente sejam conduzidas no momento da seleo de candi-datos. Recomenda-se que isso inclua o seguinte:

a) disponibilidade de referncias de carter satisfatrio, por exemplo uma profissional e uma pessoal;

b) verificao da exatido e inteireza das informaes do curriculum vitaedo candidato;

c) confirmao das qualificaes acadmicas e profissionais;

d) verificao da identidade (passaporte ou documento similar).

Onde um trabalho envolver pessoas, tanto por contratao como por promoo, que tenham acesso s instalaes deprocessamento da informao, em particular aquelas que tratam de informaes sensveis, tais como informaes finan-ceiras ou informaes altamente confidenciais, convm que a organizao tambm faa uma verificao da idoneidade decrdito. Para funcionrios que esto em posies com nveis considerveis de autoridade, convm que este procedimentoseja refeito periodicamente.

Convm que um processo similar de seleo seja feito para temporrios e fornecedores. Onde esses recursos humanosso fornecidos por uma agncia, convm que o contrato especifique claramente as responsabilidades da agncia pelaseleo e os procedimentos de notificao que devem ser seguidos se a seleo no for devidamente concluda ouquando os resultados obtidos forem motivos de dvidas ou preocupaes.

Convm que a direo avalie a superviso de funcionrios novos e inexperientes com autorizao para acesso a sistemassensveis. Convm que o trabalho de toda a equipe seja periodicamente revisto e aprovado pelo membro mais experienteda equipe.

Convm que os gestores estejam atentos ao fato de que motivos pessoais de seus funcionrios podem afetar o trabalhodeles. Problemas pessoais e financeiros, mudanas de comportamento ou estilo de vida, ausncias freqentes e sinais deestresse ou depresso podem levar a fraudes, roubos, erros ou outras implicaes de segurana. Convm que estainformao seja tratada de acordo com qualquer legislao apropriada existente na jurisdio pertinente.

6.1.3 Acordos de confidencialidade

Acordos de confidencialidade ou de no divulgao so usados para alertar que a informao confidencial ou secreta.Normalmente convm que os funcionrios assinem tais acordos como parte dos termos e condies iniciais de con-tratao.

Para colaboradores casuais e prestadores de servios que no estejam cobertos por um contrato existente (que contenhao acordo de confidencialidade), convm que seja exigida a assinatura do acordo de confidencialidade, antes de ter acessos instalaes de processamento da informao.

Convm que acordos de confidencialidade sejam revisados quando existirem modificaes nos termos de contratao,particularmente devido sada de funcionrios da organizao ou ao trmino de contratos.

6.1.4 Termos e condies de trabalho

Convm que os termos e condies de trabalho determinem as responsabilidades dos funcionrios pela segurana dainformao. Quando apropriado, convm que estas responsabilidades continuem por um perodo de tempo definido, apso trmino do contrato de trabalho. Convm que as aes que podem ser tomadas nos casos de desrespeito ao acordotambm sejam includas no contrato.

Convm que as responsabilidades e direitos legais dos funcionrios, tais como leis de direitos autorais ou de proteo dedados, sejam esclarecidos e includos dentro dos termos e condies de trabalho. Convm que responsabilidade pelaclassificao e gesto dos dados do empregador tambm sejam includas. Sempre que apropriado, convm queos termose condies de trabalho determinem se estas responsabilidades so estendidas fora das dependncias da organizao efora do horrio normal de trabalho como, por exemplo, nos casos de execuo de atividades de trabalho em casa (vertambm 7.2.5 e 9.8.1).

6.2 Treinamento dos usurios

Objetivo: Assegurar que os usurios esto cientes das ameaas e das preocupaes de segurana da informao e estoequipados para apoiar a poltica de segurana da organizao durante a execuo normal do seu trabalho.

Convm que usurios sejam treinados nos procedimentos de segurana e no uso correto das instalaes deprocessamento da informao, de forma a minimizar possveis riscos de segurana.



12/56

NBR ISO/IEC 17799:200112

6.2.1 Educao e treinamento em segurana da informao

Convm que todos os funcionrios da organizao e, onde for relevante, prestadores de servios recebam treinamentoapropriado e atualizaes regulares sobre as polticas e procedimentos organizacionais. Isto inclui requisitos de segurana,responsabilidades legais e controles do negcio, assim como treinamento sobre o uso correto das instalaes deprocessamento da informao como, por exemplo, procedimentos de acesso ou uso de pacotes de software, antes queseja fornecido qualquer acesso aos servios ou informaes.

6.3 Respondendo aos incidentes de segurana e ao mau funcionamento

Objetivo: Minimizar danos originados pelos incidentes de segurana e mau funcionamento, emonitorar e aprender com taisincidentes.

Convm que os incidentes que afetam a segurana sejam reportados atravs dos canais apropriados o mais rapidamentepossvel.

Convm que todos os funcionrios e prestadores de servio estejam conscientes dos procedimentos para noti ficao dosdiversos tipos de incidentes (violao da segurana, ameaas, fragilidades ou mau funcionamento) que possam terimpactos na segurana dos ativos organizacionais. Convm que eles sejam solicitados a notificar quaisquer incidentesocorridos ou suspeitos, to logo quanto possvel, ao ponto de contato designado. Convm que a organizao estabeleaum processo disciplinar formal para tratar com os funcionrios que cometam violaes na segurana. Para ser capaz delidar com os incidentes de forma apropriada, pode ser necessrio coletar evidncias o mais rapidamente possvel aps asua ocorrncia (ver 12.1.7).

6.3.1 Notificao dos incidentes de seguranaConvm que os incidentes de segurana sejam reportados atravs dos canais apropriados da direo, o mais rapidamentepossvel.

Convm que um procedimento de notificao formal seja estabelecido, junto com um procedimento de resposta aoincidente, estabelecendo a ao a ser tomada ao se receber uma notificao de incidente. Convm que todos osfuncionrios e prestadores de servio estejam conscientes dos procedimentos para notif icao de incidentes de seguranae instrudos para relatar tais incidentes, o mais rapidamente possvel. Convm que processos de retorno ( feedback)adequados sejam implementados para assegurar que os incidentes esto notificados com os resultados obtidos aps oincidente ser tratado e encerrado. Estes incidentes podem ser usados nos treinamentos de conscientizao de usurios(ver 6.2) como exemplos do que pode acontecer, como reagir a tais incidentes e como evit-los no futuro (ver 12.1.7).

6.3.2 Notificando falhas na segurana

Convm que os usurios dos servios de informao sejam instrudos a registrar e notificar quaisquer fragilidades ouameaas, ocorridas ou suspeitas, na segurana de sistemas ou servios. Convm que eles tambm notifiquem essesassuntos o mais rapidamente possvel para seus superiores ou diretamente para seus provedores de servios. Convmque os usurios sejam informados de que eles no podem, sob nenhuma circunstncia, tentar averiguar uma fragilidadesuspeita. Isto para sua prpria proteo, pois a investigao deuma fragilidade pode ser interpretada como potencial usoimprprio do sistema.

6.3.3 Notificando mau funcionamento de software

Convm que sejam estabelecidos procedimentos para notificar mau funcionamento de software. Recomenda-se que asseguintes aes sejam consideradas.

a) Convm que os sintomas do problema e quaisquer mensagens apresentadas na tela sejam anotados.

b) Convm que o computador seja isolado e, se possvel, seu uso deve ser paralisado. Convm que o contatoapropriado seja alertado imediatamente. Seo equipamento for examinado, convm que seja desconectado de qualquerrede de computadores antes de ser ligado novamente. Convm que os disquetes no sejam transferidos para outroscomputadores.

c) Convm que o assunto seja notificado imediatamente ao gestor da segurana da informao.

Convm que os usurios no tentem remover o software suspeito, a menos que sejam autorizados. Convm que umaequipe adequadamente treinada e experiente trate da recuperao.

6.3.4 Aprendendo com os incidentes

Convm que existam mecanismos para permitir que tipos, quantidades e custos dos incidentes e dos maus funciona-mentos sejam quantificados e monitorados. Convm que esta informao seja usada para identificar incidentes ou mausfuncionamentos recorrentes ou de alto impacto. Isto pode indicar a necessidade de melhorias ou controles adicionais paralimitar a freqncia, danos e custos de ocorrncias futuras ou para ser levado em considerao quando for realizado oprocesso de anlise crtica da poltica de segurana.



13/56

NBR ISO/IEC 17799:2001 13

6.3.5 Processo disciplinar

Convm que exista processo disciplinar formal para os funcionrios que tenham violado as polticas e procedimentos desegurana organizacional (ver 6.1.4 e, para reteno de evidncias, ver 12.1.7). Tal processo pode dissuadir funcionriosque, de outra forma, seriam inclinados a desrespeitar os procedimentos de segurana. Adicionalmente, convm que seassegure um tratamento justo e correto aos funcionrios que so suspeitos de cometer violaes de segurana, srias oupersistentes.

7 Segurana fsica e do ambiente

7.1 reas de segurana

Objetivo: Prevenir acesso no autorizado, dano e interferncia s informaes e instalaes fsicas da organizao.

Convm que os recursos e instalaes de processamento de informaes crticas ou sensveis do negcio sejam mantidosem reas seguras, protegidas por um permetro de segurana definido, com barreiras de segurana apropriadas e controlede acesso. Convm que estas reas sejam fisicamente protegidas de acesso no autorizado, dano ou interferncia.

Convm que a proteo fornecida seja proporcional aos riscos identificados. Polticas de mesa limpa e tela limpa so reco-mendadas para reduzir o risco de acesso no autorizado ou danos a papis, mdias, recursos e instalaes de pro-cessamento de informaes.

7.1.1 Permetro da segurana fsica

A proteo fsica pode ser alcanada atravs da criao de diversas barreiras fsicas em torno da propriedade fsica donegcio e de suas instalaes de processamento da informao. Cada barreira estabelece um permetro de segurana,contribuindo para o aumento da proteo total fornecida. Convm que as organizaes usem os permetros de seguranapara proteger as reas que contm os recursos e instalaes de processamento de dados (ver 7.1.3). Um permetro desegurana qualquer coisa que estabelea uma barreira, por exemplo, uma parede, uma porta com controle de entradabaseado em carto ou mesmo um balco de controle de acesso com registro manual. A localizao e a resistncia de cadabarreira dependem dos resultados da avaliao de risco.

Recomenda-se que as seguintes diretrizes e controles sejam considerados e implementados nos locais apropriados.

a) Convm que o permetro de segurana esteja claramente definido.

b) Convm que o permetro de um prdio ou local que contenha recursos de processamento de dados sejafisicamente consistente (isto , no podem existir brechas onde uma invaso possa ocorrer facilmente). Convm queas paredes externas do local possuam construo slida e todas as portas externas sejam protegidas de forma apro-priada contra acessos no autorizados, como, por exemplo, mecanismos de controle, travas, alarmes, grades etc.

c) Convm que uma rea de recepo ou outro meio de controle de acesso fsico ao local ou prdio seja usado.Convm que o acesso aos locais ou prdios seja restrito apenas ao pessoal autorizado.

d) Convm que barreiras fsicas sejam, se necessrio, estendidas da laje do piso at a laje superior, para preveniracessos no autorizados ou contaminao ambiental, como as causadas por fogo e inundaes.

e) Convm que todas as portas de incndio no permetro de segurana possuam sensores de alarme e mola parafechamento automtico.

7.1.2 Controles de entrada fsica

Convm que as reas de segurana sejam protegidas por controles de entrada apropriados para assegurar que apenaspessoas autorizadas tenham acesso liberado. Recomenda-se que os seguintes controles sejam considerados.

a) Convm que visitantes das reas de segurana sejam checados quanto permisso para ter acesso e tenhamregistradas data e hora de sua entrada e sada. Convm que essas pessoas obtenham acesso apenas s reas espe-cficas, com propsitos autorizados e que esses acessos sigam instrues baseadas nos requisitos de segurana eprocedimentos de emergncia prprios da rea considerada.

b) Convm que o acesso s informaes sensveis, instalaes e recursos de processamento de informaes sejacontrolado e restrito apenas ao pessoal autorizado. Convm que os controles de autenticao, como, por exemplo,cartes com PIN (nmero de identificao individual ou personal identification number), sejam usados para autorizar evalidar qualquer acesso. Convm que, ainda, seja mantida em segurana uma trilha de auditoria contendo todos osacessos ocorridos.

c) Convm que todos os funcionrios utilizem alguma forma visvel de identificao e sejam incentivados a informar segurana sobre a presena de qualquer pessoa no identificada ou de qualquer estranho no acompanhado.

d) Convm que os direitos de acesso s reas de segurana sejam regularmente revistos e atualizados.



14/56

NBR ISO/IEC 17799:200114

7.1.3 Segurana em escritrios, salas e instalaes de processamento

Uma rea de segurana pode ser um escritrio fechado ou diversas salas dentro de um permetro de segurana fsica, quepodem estar fechadas ou podem conter armrios fechados ou cofres. Convm que a seleo e o projeto de uma rea desegurana levem em considerao as possibilidades de dano causado por fogo, inundaes, exploses, manifestaescivis e outras formas de desastres naturais ou causados pelo homem. Convm que tambm sejam levados emconsiderao as regulamentaes e padres de segurana e sade. Tambm devem tratar qualquer ameaa originada empropriedades vizinhas, como por exemplo, vazamento de gua de outras reas.

Recomenda-se que os seguintes controles sejam considerados.

a) Convm que as instalaes crticas sejam localizadas de forma a evitar o acesso pblico.

b) Convm que os prdios sejam sem obstrues em seu acesso, com indicaes mnimas do seu propsito, semsinais bvios, tanto fora quanto dentro do prdio, da presena de atividades de processamento de informao.

c) Convm que os servios de suporte e equipamentos, como por exemplo, fotocopiadoras e mquinas de fax, sejaminstalados de forma apropriada dentro de reas de segurana para evitar acesso que possa comprometer a infor-mao.

d) Convm que as portas e janelas sejam mantidas fechadas quando no utilizadas e que sejam instaladas proteesexternas, principalmente quando essas portas e janelas se localizarem em andar trreo.

e) Convm que os sistemas de deteco de intrusos sejam instalados por profissionais especializados e testadosregularmente, de forma a cobrir todas as portas externas e janelas acessveis. Convm que as reas no ocupadaspossuam um sistema de alarme que permanea sempre ativado. Convm que esses cuidados tambm cubram outrasreas, como, por exemplo, a sala de computadores ou salas de comunicao.

f) Convm que as instalaes de processamento da informao gerenciadas pela organizao fiquem fisicamenteseparadas daquelas gerenciadas por prestadores de servio.

g) Convm que os arquivos e as listas de telefones internos que identificam os locais de processamento das infor-maes sensveis no sejam de acesso pblico.

h) Convm que os materiais combustveis ou perigosos sejam guardados de forma segura a uma distncia apropriadade uma rea de segurana. Convm que os suprimentos volumosos, como material de escritrio, no sejamguardados em uma rea de segurana, a menos que requeridos.

i) Convm que os equipamentos de contingncia e meios magnticos de reserva (back up) sejam guardados a umadistncia segura da instalao principal, para evitar que desastres neste local os afetem.

7.1.4 Trabalhando em reas de segurana

Manuais e controles adicionais podem ser necessrios para melhorar as condies de uma rea de segurana. Isto incluicontroles tanto para o pessoal da organizao como para prestadores de servios que trabalham em reas de segurana,assim como para atividades terceirizadas que possam ocorrer nessa rea. Recomenda-se que os seguintes itens sejamconsiderados.

a) Convm que os funcionrios s tenham conhecimento da existncia de rea de segurana ou de atividades dentrodela quando necessrio.

b) Convm que se evite trabalho sem superviso nas reas de segurana, tanto por razes de segurana como paraprevenir oportunidades para atividades maliciosas.

c) Convm que as reas de segurana desocupadas sejam mantidas fisicamente fechadas e verificadas periodi-camente.

d) Convm que pessoal de servio de suporte terceirizado tenha acesso restrito s reas de segurana ou s insta-laes de processamento de informaes sensveis somente quando suas atividades o exigirem. Convm que esteacesso seja autorizado e monitorado. Barreiras e permetros adicionais para controlar o acesso fsico podem ser

necessrios em reas com diferentes requisitos de segurana dentro de um mesmo permetro de segurana.

e) Convm que no se permitam o uso de equipamentos fotogrficos, de vdeo, de udio ou de outro equipamento degravao, a menos que seja autorizado.

7.1.5 Isolamento das reas de expedio e carga

Convm que as reas de expedio e de carregamento sejam controladas e, se possvel, isoladas das instalaes deprocessamento da informao, com o objetivo de evitar acessos no autorizados. Convm que os requisitos de seguranasejam determinados a partir de uma avaliao de risco. Recomenda-se que os seguintes itens sejam considerados.

a) Convm que o acesso rea de movimentao e suporte (carga e descarga) externa ao prdio seja restritosomente ao pessoal identificado e autorizado.

b) Convm que esta rea seja projetada de forma que os suprimentos possam ser descarregados sem que o pessoalresponsvel pela entrega tenha acesso s outras partes do prdio.



15/56

NBR ISO/IEC 17799:2001 15

c) Convm que a(s) porta(s) externa(s) destas reas seja(m) mantida(s) protegida(s) quando as portas internasestiverem abertas.

d) Convm que o material de entrada seja inspecionado contra potenciais perigos [ver 7.2.1 d)], antes de sertransportado dessa rea para a rea na qual ser utilizado.

e) Convm que o material recebido seja registrado, se apropriado (ver 5.1), quando da sua recepo.

7.2 Segurana dos equipamentos

Objetivo: Prevenir perda, dano ou comprometimento dos ativos, e a interrupo das atividades do negcio.

Convm que os equipamentos sejam fisicamente protegidos contra ameaas sua segurana e perigos ambientais.A proteo dos equipamentos (incluindo aqueles utilizados fora das instalaes fsicas da organizao) necessria parareduzir o risco de acessos no autorizados a dados e para proteo contra perda ou dano. Convm que esta proteoconsidere os equipamentos instalados e os em alienao. Controles especiais podem ser exigidos para proteo contraperigos ou acessos no autorizados e para salvaguardar as instalaes de suporte, como o fornecimento de energiaeltrica e cabeamento.

7.2.1 Instalao e proteo de equipamentos

Convm que os equipamentos sejam instalados ou protegidos para reduzir o risco de ameaas ambientais, perigos eoportunidades de acesso no autorizado. Recomenda-se que os seguintes itens sejam considerados.

a) Convm que os equipamentos sejam instalados de forma a reduzir acessos desnecessrios rea de trabalho.

b) Convm que as instalaes de processamento e armazenamento de informao que tratam de informaes

sensveis sejam posicionadas de maneira a reduzir riscos de espionagem de informaes durante o seu uso.c) Convm que os itens que necessitem de proteo especial sejam isolados para reduzir o nvel geral de proteoexigida.

d) Convm que sejam adotados controles, de forma a minimizar ameaas potenciais, incluindo:

1) roubo;

2) fogo;

3) explosivos;

4) fumaa;

5) gua (ou falha de abastecimento);

6) poeira;

7) vibrao;

8) efeitos qumicos;

9) interferncia no fornecimento eltrico;

10) radiao eletromagntica.

e) Convm que uma organizao considere polticas especficas para alimentao, bebida e fumo nas proximidadesdas instalaes de processamento da informao.

f) Convm que aspectos ambientais sejam monitorados para evitar condies que possam afetar de maneira adversaa operao das instalaes de processamento da informao.

g) Convm que uso de mtodos de proteo especial, como capas para teclados, seja considerado paraequipamentos em ambiente industrial.

h) Convm que o impacto de um desastre que possa ocorrer nas proximidades da instalao, como, por exemplo, umincndio em um prdio vizinho, vazamentos de gua no telhado ou em andares abaixo do nvel do cho ou explosesna rua, tambm seja considerado.

7.2.2 Fornecimento de energia

Convm que os equipamentos sejam protegidos contra falhas de energia e outras anomalias na alimentao eltrica.Convm que um fornecimento de energia apropriado ocorra em conformidade com as especificaes do fabricante doequipamento.

Algumas opes para alcanar a continuidade do fornecimento eltrico incluem:

a) alimentao mltipla para evitar um nico ponto de falha no fornecimento eltrico;

b) no-break (Uninterruptable Power Supply - UPS);

c) gerador de reserva.



16/56

NBR ISO/IEC 17799:200116

recomendado o uso de no-break em equipamentos que suportem atividades crticas para permitir o encerramentoordenado ou a continuidade do processamento. Convm que os planos de contingncia contenham aes a seremtomadas em casos de falha no no-break. Convm que esse tipo de equipamento seja periodicamente verificado, de formaa garantir que ele esteja com a capacidade adequada, e testado de acordo com as recomendaes do fabricante.

Convm que um gerador de reserva seja considerado se o processamento requer continuidade, em caso de uma falhaeltrica prolongada. Se instalados, convm que os geradores sejam testados regularmente de acordo com as instrues dofabricante. Convm que um fornecimento adequado de leo esteja disponvel para assegurar que o gerador possa serutilizado por um perodo prolongado.

Adicionalmente, convm que se tenham interruptores eltricos de emergncia localizados prximo s sadas de emer-gncia das salas de equipamentos para facilitar o desligamento em caso de emergncia. Convm que iluminao deemergncia esteja disponvel em casos de falha da fonte eltrica primria. Convm que proteo contra relmpagos sejausada em todos os prdios e que filtros de proteo contra raios sejam instalados para todas as linhas de comunicaoexternas.

7.2.3 Segurana do cabeamento

Convm que o cabeamento eltrico e de telecomunicao que transmite dados ou suporta os servios de informao sejaprotegido contra interceptao ou dano. Recomenda-se que os seguintes controles sejam considerados.

a) Convm que as linhas eltricas e de telecomunicaes das instalaes de processamento da informao sejamsubterrneas, onde possvel, ou sejam submetidas proteo alternativa adequada.

b) Convm que o cabeamento da rede seja protegido contra interceptaes no autorizadas ou danos, por exemplopelo uso de condutes ou evitando a sua instalao atravs de reas pblicas.

c) Convm que os cabos eltricos fiquem separados dos cabos de comunicao para prevenir interferncias.

d) Convm que para sistemas crticos ou sensveis sejam utilizados alguns controles adicionais, tais como:

1) instalao de condutes blindados e salas ou gabinetes trancados nos pontos de inspeo e terminais;

2) uso de rotas e meios de transmisso alternativos;

3) uso de cabeamento de fibra ptica;

4) varredura inicial para identificar dispositivos no autorizados conectados aos cabos.

7.2.4 Manuteno de equipamentos

Convm que a manuteno correta dos equipamentos garanta a continuidade da disponibilidade e integridade dosmesmos. Recomenda-se que os seguintes itens sejam considerados.

a) Convm que os equipamentos tenham manuteno de acordo com intervalos e especificaes do fabricante.

b) Convm que apenas pessoal autorizado execute reparos e servios nos equipamentos.

c) Convm que se mantenham registros de todas as falhas suspeitas ou ocorridas e de toda manuteno corretiva epreventiva.

d) Convm que controles apropriados sejam utilizados quando do envio de equipamentos para manuteno fora dainstalao fsica (ver tambm 7.2.6, considerando dados excludos, apagados e sobrepostos). Convm que todos osrequisitos impostos pelas apl ices de seguro sejam atendidos.

7.2.5 Segurana de equipamentos fora das instalaes

Independentemente de quem seja o proprietrio, convm que o uso de qualquer equipamento para o processamento dainformao fora das instalaes da organizao seja autorizado pela direo. Convm que a segurana fornecida sejaequivalente quela oferecida aos equipamentos utilizados dentro da organizao para o mesmo propsito, levando-se emconta os riscos de se trabalhar fora das instalaes da organizao. Os equipamentos de processamento de informaoincluem todas as formas de computadores pessoais, agendas eletrnicas, telefones mveis, papis ou outros, que solevados para se trabalhar em casa ou para fora do ambiente normal de trabalho. Recomenda-se que os seguintes itenssejam considerados.

a) Convm que equipamento e mdias levados para fora das instalaes no sejam deixados desprotegidos em reaspblicas. Convm que computadores portteis sejam carregados como bagagem de mo e disfarados sempre quepossvel nas viagens.

b) Convm que as instrues dos fabricantes para proteo dos equipamentos sejam sempre observadas, como, porexemplo, proteo contra exposio a campos magnticos intensos.

c) Convm que os controles para trabalho em casa sejam determinados atravs da avaliao de risco e os controlesapropriados aplicados conforme a necessidade, como, por exemplo, gabinetes de arquivo fechados, poltica de mesalimpa e controles de acesso aos computadores.

d) Convm que se use uma cobertura adequada de seguro para proteger os equipamentos existentes fora das insta-laes da organizao.

Os riscos de segurana, como, por exemplo, de dano, roubo e espionagem, podem variar consideravelmente conforme alocalizao e convm que sejam levados em conta na determinao dos controles mais apropriados. Maiores informaes

sobre a proteo de equipamentos mveis podem ser encontradas em 9.8.1.



17/56

NBR ISO/IEC 17799:2001 17

7.2.6 Reutilizao e alienao segura de equipamentos

A informao pode ser exposta pelo descuido na alienao ou reutilizao de equipamentos (ver tambm 8.6.4). Convmque dispositivos de armazenamento que contenham informao sensvel sejam destrudos fisicamente ou sobrescritos deforma segura ao invs da utilizao de funes-padro para a excluso.

Convm que todos os itens de equipamentos que possuem meios de armazenamento, como, por exemplo, discos rgidos,sejam checados para assegurar que toda informao sensvel e software licenciado foi removido ou sobreposto antes daalienao do equipamento. Dispositivos de armazenamento danificados contendo informaes sensveis, podemnecessitar de uma avaliao de riscos para se determinar se tais itens deveriam ser destrudos, reparados ou descartados.

7.3 Controles gerais

Objetivo: Evitar exposio ou roubo de informao e de recursos de processamento da informao.

Convm que informaes e recursos de processamento da informao sejam protegidos de divulgao, modificao ouroubo por pessoas no autorizadas, e que sejam adotados controles de forma a minimizar sua perda ou dano. Os proce-dimentos para manuseio e armazenamento esto considerados em 8.6.3.

7.3.1 Poltica de mesa limpa e tela limpa

A organizao deve considerar a adoo de uma poltica de mesa limpa para papis e mdias removveis e uma poltica detela limpa para os recursos de processamento da informao, de forma a reduzir riscos de acesso no autorizado, perda edanos informao durante e fora do horrio normal de trabalho. A poltica deve levar em considerao as classificaesda segurana das informaes (ver 5.2), os riscos correspondentes e os aspectos culturais da organizao.

As informaes deixadas em mesas de trabalho tambm so alvos provveis de danos ou destruio em um desastrecomo incndio, inundaes ou exploses. Recomenda-se que os seguintes controles sejam considerados.

a) Onde for apropriado, convm que papis e mdias de computador sejam guardados, quando no estiverem sendoutilizados, em gavetas adequadas, com fechaduras e/ou outras formas seguras de mobilirio, especialmente fora dohorrio normal de trabalho.

b) Informaes sensveis ou crticas ao negcio, quando no forem requeridas, devem ser guardadas, em localdistante, de forma segura e fechada (de preferncia em um cofre ou arquivo resistente a fogo), especialmente quandoo escritrio estiver vazio.

c) Computadores pessoais, terminais de computador e impressoras no devem ser deixados ligados quando noassistidos e devem ser protegidos por senhas, chaves ou outros controles quando no estiverem em uso.

d) Pontos de recepo e envio de correspondncias e mquinas de fax e telex no assistidas devem ser protegidos.

e) Copiadoras devem ser travadas (ou de alguma forma protegidas contra o uso no autorizado) fora do horrionormal de trabalho.

f) Informaes sensveis e classificadas, quando impressas, devem ser imediatamente retiradas da impressora.7.3.2 Remoo de propriedade

Equipamentos, informaes ou software no devem ser retirados da organizao sem autorizao. Quando necessrio eapropriado, os equipamentos devem ser desconectados e conectados novamente no seu retorno. Inspees pontuaisdevem ser realizadas de forma a detectar a remoo no autorizada de propriedade. As pessoas devem estar cientes deque inspees pontuais sero realizadas.

8 Gerenciamento das operaes e comunicaes

8.1 Procedimentos e responsabilidades operacionais

Objetivo: Garantir a operao segura e correta dos recursos de processamento da informao.

Convm que os procedimentos e responsabilidades pela gesto e operao de todos os recursos de processamento dasinformaes sejam definidos. Isto abrange o desenvolvimento de procedimentos operacionais apropriados e de resposta aincidentes.

Recomenda-se que se utilize a segregao de funes (ver 8.1.4), quando apropriado, para reduzir o risco de usonegligente ou doloso dos sistemas.

8.1.1 Documentao dos procedimentos de operao

Convm que os procedimentos de operao identificados pela poltica de segurana sejam documentados e mantidosatualizados. Convm que os procedimentos operacionais sejam tratados como documentos formais e que as mudanassejam autorizadas pela direo.

Convm que os procedimentos especifiquem as instrues para a execuo detalhada de cada tarefa, incluindo:

a) processamento e tratamento da informao;

b) requisitos de sincronismo, incluindo interdependncias com outros sistemas, a hora mais cedo de incio e a horamais tarde de trmino das tarefas;



18/56

NBR ISO/IEC 17799:200118

c) instrues para tratamento de erros ou outras condies excepcionais, que possam ocorrer durante a execuo deuma determinada tarefa, incluindo restries de uso dos recursos do sistema (ver 9.5.5);

d) contato com os tcnicos do suporte para o caso de eventos operacionais no esperados ou dificuldades tcnicas;

e) instrues para movimentao de sadas de produtos especiais, tais como o uso de formulrios especiais ou otratamento de produtos confidenciais, incluindo procedimentos para a alienao segura de resultados provenientes derotinas com falhas;

f) procedimento para o reincio e recuperao para o caso de falha do sistema.

Convm que procedimentos documentados sejam tambm preparados para as atividades de housekeepingassociadascom os recursos de comunicao e de processamento das informaes, tais como procedimentos de inicializao eencerramento de atividades de computadores, gerao de cpias de segurana (back-up), manuteno de equipamentos,segurana e gesto do tratamento das correspondncias e sala de computadores.

8.1.2 Controle de mudanas operacionais

Convm que modificaes nos sistemas e recursos de processamento da informao sejam controladas. O controle inade-quado de modificaes nos sistemas e nos recursos de processamento da informao uma causa comum de falha desegurana ou de sistema. Convm que exista uma formalizao dos procedimentos e das responsabilidades para garantirque haja um controle satisfatrio de todas as mudanas de equipamentos, software ou procedimentos. Convm queprogramas que estejam em produo sejam submetidos a um controle especfico demodificaes. Quando da mudana deprogramas, convm que seja realizada e mantida uma trilha de auditoria (registro) com todas as informaes relevantes.Modificaes no ambiente operacional podem causar impacto em aplicaes. Sempre que possvel, convm que osprocedimentos de controle operacional ede aplicaes sejam integrados (ver tambm 10.5.1). Em particular, recomenda-seque os seguintes controles sejam considerados:

a) identificao e registro das modificaes significativas;

b) avaliao de impacto potencial de tais mudanas;

c) procedimento formal de aprovao das mudanas propostas;

d) comunicao dos detalhes das modificaes para todas as pessoas com envolvimento relevante;

e) procedimentos que identifiquem os responsveis para a suspenso e recuperao de mudanas no caso deinsucesso.

8.1.3 Procedimentos para o gerenciamento de incidentes

Convm que as responsabilidades e procedimentos de gerenciamento de incidentes sejam definidos para garantir umaresposta rpida, efetiva e ordenada aos incidentes de segurana (ver tambm 6.3.1). Recomenda-se que os seguintescontroles sejam considerados:

a) Convm que sejam estabelecidos procedimentos que cubram todos os tipos potenciais de incidentes de segurana,incluindo:

1) falhas dos sistemas de informao e inoperncia de servios;

2) no obteno de servio;

3) erros resultantes de dados incompletos ou inconsistentes;

4) violao de confidencialidade.

b) Alm dos planos de contingncia (projetados para recuperao de sistemas ou servios com a maior rapidezpossvel), convm que os procedimentos tambm contemplem (ver tambm 6.3.4):

1) anlise e identificao das causas do incidente;

2) planejamento e implementao de medidas para prevenir a recorrncia, se necessrio;

3) coleta de trilhas de auditoria e evidncias similares;

4) comunicao com aqueles afetados ou envolvidos na recuperao de incidentes;

5) relato da ao autoridade apropriada.

c) Convm que trilhas de auditoria e evidncias similares sejam coletadas (ver 12.1.7) e mantidas com a devidasegurana, para:

1) anlise de problemas internos;

2) uso como evidncia para o caso de uma potencial violao de contrato ou de normas reguladoras ou em caso dedelitos civis ou criminais, por exemplo relacionados ao uso doloso de computadores ou legislao de proteo dosdados;

3) negociao para compensao ou ressarcimento por parte de fornecedores de softwaree servios.



19/56

NBR ISO/IEC 17799:2001 19

d) Recomenda-se que as aes para recuperao de violaes de segurana e correo de falhas do sistema sejamcuidadosa e formalmente controladas. Recomenda-se que os procedimentos garantam que:

1) apenas pessoal explicitamente identificado e autorizado esteja liberado para acessar sistemas e dados em pro-duo (ver tambm 4.2.2 para acesso de prestadores de servios);

2) todas as aes de emergncia adotadas sejam documentadas em detalhe;

3) as aes de emergncia sejam relatadas para a direo e analisadas cri ticamente de maneira ordenada;

4) a integridade dos sistemas do negcio e seus controles sejam validados na maior brevidade.

8.1.4 Segregao de funes

A segregao de funes um mtodo para reduo do risco de mau uso acidental ou deliberado dos sistemas. Convmque a separao da administrao ou execuo de certas funes, ou reas de responsabilidade, a fim de reduzir oportu-nidades para modificao no autorizada ou mau uso das informaes ou dos servios, seja considerada.

As pequenas organizaes podem considerar esse mtodo de controle difcil de ser implantado, mas o seu princpio deveser aplicado to logo quanto possvel e praticvel. Onde for difcil a segregao, convm que outros controles, como amonitorao das atividades, trilhas de auditoria e o acompanhamento gerencial, sejam considerados. importante que aauditoria da segurana permanea como uma atividade independente.

Convm que sejam tomados certos cuidados para que as reas nas quais a responsabilidade seja apenas de uma pessoano venham a ser alvo de fraudes que no possam ser detectadas. Recomenda-se que o incio de um evento sejaseparado de sua autorizao. Recomenda-se que os seguintes controles sejam considerados.

a) importante segregar atividades que requeiram cumplicidade para a concretizao de uma fraude, por exemplo aemisso de um pedido de compra e a confirmao do recebimento da compra.

b) Se existir o perigo de conluios, ento necessrio o planejamento de controles de modo que duas ou mais pessoasnecessitem estar envolvidas, diminuindo dessa forma a possibilidade de conspiraes.

8.1.5 Separao dos ambientes de desenvolvimento e de produo

A separao dos ambientes de desenvolvimento, teste e produo importante para se alcanar a segregao de funesenvolvidas. Convm que as regras para a transferncia de software em desenvolvimento para produo sejam bemdefinidas e documentadas.

As atividades de desenvolvimento e teste podem causar srios problemas, como, por exemplo, modificaes no auto-rizadas total ou parcialmente de arquivos ou do sistema. Convm que seja avaliado o nvel de separao necessrio entre

o ambiente de produo e os ambientes de teste e de desenvolvimento, para prevenir problemas operacionais.Convm que uma separao semelhante tambm seja implementada entre as funes de desenvolvimento e de teste.Nesse caso, necessria a existncia de um ambiente confivel e estvel, no qual possam ser executados os testes e queseja capaz de prevenir o acesso indevido do pessoal de desenvolvimento.

Quando o pessoal de desenvolvimento e teste possui acesso ao ambiente de produo, eles podem introduzir cdigos notestados ou autorizados, ou mesmo alterar os dados reais do sistema. Em alguns sistemas essa capacidade pode ser malutilizada para a execuo de fraudes, ou introduo de cdigos maliciosos ou no testados. Esse tipo de cdigo podecausar srios problemas operacionais. O pessoal de desenvolvimento e os encarregados dos testes tambm representamuma ameaa confidencialidade das informaes de produo.

As atividades de desenvolvimento e teste podem causar modificaes no intencionais no software e a informao se elescompartilham o mesmo ambiente computacional. A separao dos recursos de desenvolvimento, de teste e operacionais dessa forma bastante desejvel para a reduo do risco de modificao acidental ou acesso no autorizado ao softwareoperacional e dados dos negcios. Recomenda-se que os seguintes controles sejam considerados.

a) Convm que o softwareem desenvolvimento e o softwareem produo sejam, sempre que possvel, executados emdiferentes processadores, ou diferentes domnios ou diretrios.

b) Convm que as atividades de desenvolvimento e teste ocorram de forma separada, tanto quanto possvel.

c) Convm que compiladores, editores e outros programas utilitrios no sejam acessveis a partir do ambiente deproduo, quando isso no for uma necessidade.

d) Convm que o processo de acesso ao ambiente de produo seja diferente do acesso de desenvolvimento parareduzir a possibilidade de erro. Convm que os usurios sejam incentivados a usar diferentes senhas para essesambientes e as telas de abertura exibam mensagens de identificao apropriadas.

e) Convm que o pessoal de desenvolvimento receba senhas para acesso ao ambiente de produo, de formacontrolada e apenas para suporte a sistemas no ambiente de produo. Convm que sejam utilizados controles quegarantam que tais senhas sejam alteradas aps o uso.



20/56

NBR ISO/IEC 17799:200120

8.1.6 Gesto de recursos terceirizados

O uso de um terceiro para gerenciar processamento da informao pode gerar um aumento do grau de exposio dasegurana, tais como a possibilidade de comprometimento, dano ou perda de dados no ambiente do prestador do servio.Convm que esses riscos sejam previamente identificados e que os controles apropriados sejam acordados com osprestadores de servios e includos no acordo de servio (ver tambm 4.2.2 e 4.3 para referncias sobre os contratos comprestadores de servios envolvendo acesso s instalaes e ambientes da organizao e contratos de terceirizao deservios).

Convm que os tpicos especficos considerados incluam:

a) identificao das aplicaes crticas e sensveis que devem ser processadas internamente;

b) obteno da aprovao dos gestores ou responsveis pelos processos e sistemas;

c) implicaes nos planos de continuidade do negcio;

d) estabelecimento de normas de segurana e um processo de aferio de conformidade a esses padres;

e) definio de procedimentos de monitorao e das respectivas responsabilidades, de forma a garantir oacompanhamento das atividades relativas segurana;

f) procedimentos e responsabilidades para reportar e tratar incidentes de segurana (ver 8.1.3).

8.2 Planejamento e aceitao dos sistemas

Objetivo: Minimizar o risco de falhas nos sistemas.

O planejamento e a preparao prvios so requeridos para garantir a disponibilidade adequada de capacidade e

recursos.Convm que projees da demanda de recursos e da carga de mquina futura sejam feitas para reduzir o risco desobrecarga dos sistemas.

Convm que os requisitos operacionais dos novos sistemas sejam estabelecidos, documentados e testados antes da suaaceitao e uso.

8.2.1 Planejamento de capacidade

Convm que as demandas de capacidade sejam monitoradas e que as projees de cargas de produo futuras sejamfeitas de forma a garantir a disponibilidade da capacidade adequada de processamento e armazenamento. Convm queessas projees levem em considerao os requisitos de novos negcios e sistemas

Documents

Nbr Iso 17799 - Gestão Da Segurança Da Informação