Resumo da 27002

7/31/2019 Resumo da 27002

1/18

Resumo da 27002 Parte 1

Publicado em agosto 14, 2011

Viso GeralA Norma NBR ISO/IEC 27002 faz parte de uma famlia de normas de Segurana da Informao,

que adota um esquema de numerao usando a srie de nmeros 27000 em sequncia.Essa famlia inclui normas sobre: Requisitos de SGSI; Gesto de riscos; Mtricas e medidas; Diretrizes para implementao.

Foi originada da NBR ISO/IEC 17799:2005 sem modificao do contedo. um cdigo de boas prticas para a segurana da informao.NO uma norma voltada para fins de certificao, tem uma aplicao mais restrita do que a27001:2006.So considerados controles adequados para atender aos requisitos identificados por meio de

uma anlise/avaliao dos riscos: Polticas; Processos; Procedimentos; Estruturas organizacionais; Funo de software e hardware.

A 27002 organizada da seguinte forma: Objetivo do controle O que deve ser alcanado; Controle O que implementado para atender o objetivo do controle; Diretrizes Apresenta informaes mais detalhadas para apoiar a implementao do controle; Informaes adicionais So informaes que podem ser consideradas na implementao do

controle (aspectos legais e referncias a outras normas).

Sees da 270020. Introduo1. Objetivo2. Termos e definies3. Estrutura desta norma4. Anlise/avaliao e tratamento de riscos5. Poltica de segurana6. Organizando a segurana da informao7. Gesto de ativos

8. Segurana em recursos humanos9. Segurana Fsica e do Ambiente10. Gerenciamento de operaes e comunicaes11. Controle de acesso12. Aquisio, desenvolvimento e manuteno de sistemas da informao13. Gesto de incidentes de segurana da informao14. Gesto de continuidade dos negcios15. Conformidade

0. IntroduoSegurana da informao a proteo da informao de vrios tipos de ameaas para garantir:

Continuidade do negcio; Minimizar o risco ao negcio; Maximizar o ROI e oportunidades de negcio.

7/31/2019 Resumo da 27002

2/18

A segurana da informao obtida pela implementao de controles, que devem serEIOMAMM (Estabelecidos, Implementados e Operados, Monitorados e Analisadoscriticamente, Mantidos e Melhorados).Isto deve ser feito em conjunto com outros processos de gesto do negcio. essencial o estabelecimento de requisitos de segurana da informao.As fontes de requisitos so:

Anlise/avaliao de riscos; Legislao vigente, estatutos, regulamentao, clusulas contratuais; Conjunto de princpios, objetivos e requisitos de negcio.

Aps a identificao dos requisitos de segurana da informao e dos riscos e decises para o

seu tratamento tiverem sido tomadas, deve-se selecionar e implementar os controlesapropriados para assegurar que os riscos sejam reduzidos a um nvel aceitvel.A seleo de controles de segurana da informao depende das decises da organizao,baseadas nos seus critrios para aceitao de risco, nas opes para tratamento do risco e noenfoque geral da gesto de risco aplicado organizao. Os controles selecionados devem estarde acordo com todas as legislaes e regulamentaes nacionais e internacionais, relevantes.

Controles essenciaisOs controles considerados essenciais para uma organizao, sob o ponto de vista legal, incluem,dependendo da legislao aplicvel:

Proteo de dados e privacidade de informaes pessoais (15.1.4); Proteo de registros organizacionais (15.1.3); Direitos de propriedade intelectual (15.1.2).Nota: todos esses controles fazem parte da seo 15 (conformidade) e do objetivo de controle

(categoria) 15.1 (Conformidade com requisitos legais).

Os controles considerados prticas para a segurana da informao Documento da poltica de segurana da informao (5.1.1); Atribuio de responsabilidades para a segurana da informao (6.1.3); Conscientizao, educao e treinamento em segurana da informao (8.2.2); Processamento correto nas aplicaes (12.2); Gesto de vulnerabilidades tcnicas (12.6); Gesto da continuidade do negcio (14); Gesto de incidentes de segurana da informao e melhorias (13.2).

Fatores geralmente crticos para o sucesso Poltica de segurana da informao, objetivos e atividades, que reflitam os objetivos do

negcio;

Uma abordagem e uma estrutura para a implementao, manuteno, monitoramento emelhoria da segurana da informao que seja consistente com a cultura organizacional;

Comprometimento e apoio visvel de todos os nveis gerenciais; Um bom entendimento dos requisitos de segurana da informao, da anlise/avaliao de

riscos e da gesto de risco;

Divulgao eficiente da segurana da informao para todos os gerentes, funcionrios e outraspartes envolvidas para se alcanar a conscientizao;

Distribuio de diretrizes e normas sobre a poltica de segurana da informao para todos osgerentes, funcionrios e outras partes envolvidas;

Proviso de recursos financeiros para as atividades da gesto de segurana da informao; Proviso de conscientizao, treinamento e educao adequados; Estabelecimento de um eficiente processo de gesto de incidentes de segurana da informao; Implementao de um sistema de medio, que seja usado para avaliar o desempenho da gesto

da segurana da informao e obteno de sugestes.

7/31/2019 Resumo da 27002

3/18

1. ObjetivoA 27002 estabelece as diretrizes e os princpios gerais para iniciar, implementar, manter emelhorar a gesto de segurana da informao em uma organizao.Esta Norma pode servir como um guia prtico para desenvolver os procedimentos de seguranada informao da organizao e as eficientes prticas de gesto da segurana, e para ajudar acriar confiana nas atividades interorganizacionais.

2. Termos e DefiniesAtivo Qualquer coisa que tenha valor para a organizao.Risco Combinao da probabilidade de um evento e de suas consequncias.Anlise de Riscos Uso sistemtico de informaes para identificar fontes e estimar o risco.Avaliao de Riscos Processo de comparar o risco estimado com critrios de risco pr-definidos para determinar a importncia do risco.Gesto de Riscos Atividades coordenadas para direcionar e controlar uma organizao noque se refere a riscos. A gesto de riscos geralmente inclui a anlise/avaliao de riscos, otratamento de riscos, a aceitao de riscos e a comunicao de riscos.Tratamento do Risco Processo de seleo e implementao de medidas para modificar umrisco.Ameaa Causa potencial de um incidente indesejado, que pode resultar em dano para umsistema ou organizao.Vulnerabilidade Fragilidade de um ativo ou grupo de ativos que pode ser explorada poruma ou mais ameaas.Evento de segurana da informao Ocorrncia identificada de um sistema, servio ourede, que indica uma possvel violao da poltica de segurana da informao ou falha decontroles, ou uma situao previamente desconhecida, que possa ser relevante para a seguranada informao.Incidente de segurana da informao Um incidente de segurana da informao indicado por um simples ou por uma srie de eventos de segurana da informao indesejadosou inesperados, que tenham uma grande probabilidade de comprometer as operaes donegcio e ameaar a segurana da informao.Poltica Intenes e diretrizes globais formalmente expressas pela direo.

3. Estrutura desta normaA norma contm 11 sees de controles de segurana, totalizando 39 categorias (objetivos decontrole) principais de segurana e uma seo introdutria que aborda a anlise/avaliao e otratamento de riscos. Ao todo, tem 133 controles de segurana.A ordem das sees no segue um grau de importncia, ficando a cargo de cada organizao

identificar as sees aplicveis e a relevncia de cada uma.



4. Anlise/Avaliao de Riscos e Tratamento de RiscosEste o primeiro passo que deve ser dado por uma organizao antes de poder selecionar

controles.Essa seo recomenda que: A anlise/avaliao de riscos inclua um enfoque sistemtico de estimar a magnitude do risco

(anlise de riscos) e o processo de comparar os riscos estimados contra os critrios de risco paradeterminar a significncia do risco (avaliao do risco);

A anlise/avaliao de riscos deve ser peridica para contemplar as mudanas nos requisitos desegurana da informao e na situao de risco;

A anlise/avaliao de riscos deve ter um escopo claramente definido.Antes de considerar o tratamento de um risco, a organizao deve definir os critrios paraavaliar se os riscos podem ser ou no aceitos.Para cada um dos riscos identificados com base na anlise/avaliao de riscos, uma deciso

sobre o tratamento do risco precisa ser tomada.So opes para o tratamento:

7/31/2019 Resumo da 27002

4/18

Aplicar controles apropriados para reduzir os riscos; Conhecer e objetivamente aceitar os riscos; Evitar riscos, no permitindo aes que poderiam causar a ocorrncia de riscos; Transferir os riscos associados para outras partes, por ex, seguradoras ou fornecedores.

5. Poltica de Segurana da InformaoPossui 1 categoria e 2 controles

5.1. Poltica de segurana da informaoProv uma orientao e apoio da direo para a segurana da informao de acordo com osrequisitos do negcio e com as leis e regulamentaes relevantes.A PSI deve estar alinhada com os objetivos do negcio e demonstrar apoio e comprometimentocom a segurana da informao.

5.1.1 Documento da PSI A PSI aprovada pela direo, publicada e comunicada para todos osfuncionrios e partes externas relevantes.

5.1.2 Anlise crticada PSI

A PSI analisada criticamente a intervalos planejados ou quandomudanas significativas ocorrerem

O documento da poltica deve conter, dentre outras coisas:

Uma definio de segurana da informao, suas metas globais, escopo e importncia dasegurana da informao;

Uma declarao do comprometimento da direo; Uma estrutura para estabelecer os objetivos de controle e os controles, incluindo a estrutura de

anlise/avaliao e gerenciamento de risco;

Definio das responsabilidades gerais e especficas na gesto da segurana da informao.A poltica de segurana da informao deve declarar o comprometimento da direo eestabelecer o enfoque da organizao para gerenciar a segurana da informao. Deve conter:a) Uma definio de segurana da informao, suas metas globais, escopo e importncia;b) Uma declarao do comprometimento da direo, apoiando as metas e princpios dasegurana da informao, alinhada com os objetivos e estratgias do negcio;

c) Uma estrutura para estabelecer os objetivos de controle e os controles e a anlise/avaliaoe gerenciamento de risco;d) Uma breve explanao das polticas, princpios, normas e requisitos de conformidade desegurana da informao especficos para a organizao, incluindo:1) Conformidade com a legislao e com requisitos regulamentares e contratuais;2) Requisitos de conscientizao, treinamento e educao em segurana da informao;3) Gesto da continuidade do negcio;4) Conseqncias das violaes na poltica de segurana da informao;e) Definio das responsabilidades gerais e especficas na gesto da segurana da informao,incluindo o registro dos incidentes de segurana da informao;f) Referncias documentao que possam apoiar a poltica.A PSI deve ser comunicada a todos (inclusive fora da organizao) de forma que seja relevante,acessvel e compreensvel para o leitor em foco.A PSI pode ser uma parte de um documento da poltica geral.A PSI deve ter um gestor.A anlise crtica inclui a avaliao de oportunidades para melhoria e deve ter procedimentosdefinidos. Suas entradas so:a) Realimentao das partes interessadas;b) Resultados de anlises crticas independentes (6.1.8);c) Situao de aes preventivas e corretivas (6.1.8 e 15.2.1);d) Resultados de anlises crticas anteriores feitas pela direo;e) Desempenho do processo e conformidade com a poltica de segurana da informao;f) Mudanas relevantes que possam afetar o enfoque da PSI (ambiente organizacional,circunstncias do negcio, disponibilidade dos recursos, questes contratuais,etc.)g) Tendncias relacionadas com as ameaas e vulnerabilidades;h) Relato sobre incidentes de segurana da informao (13.1);i) Recomendaes fornecidas por autoridades relevantes (6.1.6).

7/31/2019 Resumo da 27002

5/18

A anlise crtica pela direo deve incluir:a) Melhoria do enfoque da organizao para gerenciar a segurana da informao e seusprocessos;b) Melhoria dos controles e dos objetivos de controles;c) Melhoria na alocao de recursos e/ou de responsabilidades.A PSI revisada deve ser aprovada pela direo.Um registro da anlise crtica deve ser mantido pela direo.

Resumo da 27002 Parte 3Publicado em agosto 26, 2011

0

6. Organizando a segurana da informaoEsta seo possui 2 categorias e 11 controles

6.1 Infraestrutura da Segurana da Informao

Objetivo gerenciar a segurana da informao dentro da organizao por meio de umaestrutura de gerenciamento.A PSI deve atribuir as funes da segurana, coordenar e analisar criticamente a implementaoda segurana da informao por toda a organizao.Pode se usar uma consultoria especializada em segurana da informao. Um enfoquemultidisciplinar na segurana da informao deve ser incentivado.

6.1.1 Comprometimentoda direo com asegurana dainformao

O apio da direo feito por meio de um claro direcionamento,demonstrando o comprometimento, definindo explicitamenteatribuies e conhecendo as responsabilidades pela segurana dainformao.

6.1.2 Coordenao da

segurana dainformao

Representantes de diferentes partes da organizao, com funes e

papis relevantes coordenam as atividades de segurana da informao.

6.1.3 Atribuies deresponsabilidades para asegurana dainformao

Definir as responsabilidades pela segurana da informao.

6.1.4 Processo deautorizao para osrecursos deprocessamento dainformao

Um processo de gesto de autorizao para novos recursos deprocessamento da informao deve ser definido e implementado.

6.1.5 Acordos deconfidencialidade

Identificar e analisar criticamente os requisitos para confidencialidadeou acordos de no divulgao.

6.1.6 Contato com asautoridades

Manter contatos apropriados com autoridades relevantes.

6.1.7 Contato comgrupos especiais

Manter contatos apropriados com grupos de interesses especiais oufruns especializados de segurana da informao e associaesprofissionais.

6.1.8 Anlise crtica

independente desegurana da

Analisar criticamente, de forma independente, a intervalos planejados,

ou quando ocorrerem mudanas significativas relativas implementao da segurana da informao,o enfoque da organizao
http://notloaded.wordpress.com/2011/08/26/resumo-da-27002-%e2%80%93-parte-3/#commentshttp://notloaded.wordpress.com/2011/08/26/resumo-da-27002-%e2%80%93-parte-3/#commentshttp://notloaded.wordpress.com/2011/08/26/resumo-da-27002-%e2%80%93-parte-3/#comments

7/31/2019 Resumo da 27002

6/18

informao para gerenciar a segurana da informao.

6.2 Partes ExternasManter a segurana dos recursos de processamento da informao e da informao daorganizao, que so acessados, processados, comunicados ou gerenciados por partes externas.

6.2.1 Identificao dosriscos relacionados compartes externas

Identificar os riscos relativos informao e aos recursos deprocessamento que envolvam partes externas e estabelecer controlesapropriados.

6.2.2 Identificando a

segurana dainformao, quandotratando com os clientes

Identificar os requisitos de segurana da informao antes de conceder

acesso a ativos ou informaes aos clientes.

6.2.3 Identificando asegurana dainformao nos acordoscom terceiros

Cobrir com requisitos de segurana da informao relevantes, osacordos com terceiros que envolvam acesso, processamento,comunicao ou gerenciamento dos recursos de processamento.

Em empresas pequenas, a coordenao pode ser conduzida por um frum de gesto adequadoou por um gestor individual.Um acordo de confidencialidade ou de no divulgao deve considerar (entre outros):a) Definio da informao a ser protegida (por ex, informao confidencial);

b) Tempo de durao esperado de um acordo (pode ser por tempo indefinido);c) Aes requeridas quando um acordo est encerrado;d) Responsabilidades e aes dos signatrios para evitar a divulgao no autorizada dainformao (como o conceito need to know);e) Direito de auditar e monitorar as atividades que envolvem as informaes confidenciais;f) Processo para notificao e relato de divulgao no autorizada ou violao dasinformaes confidenciais;g) Termos para a informao ser retornada ou destruda quando da suspenso do acordo; eh) Aes esperadas a serem tomadas no caso de uma violao deste acordo.Uma organizao pode usar diferentes formas de acordos de confidencialidade.Acordos de compartilhamento de informaes podem ser estabelecidos para melhorar acooperao e coordenao de assuntos de segurana da informao.A anlise crtica deve ser executada por pessoas independentes da rea avaliada, como auditoria

interna, um gerente independente ou uma organizao de terceira parte especializada em taisanlises crticas.

7. Gesto de AtivosModificada aps reviso em 2005, inclui novos tipos de ativos:

Pessoas e suas qualificaes, habilidades e experincias; Intangveis, tais como a reputao e a imagem da organizao.

Esta seo possui 2 categorias e 5 controles

7.1. Responsabilidade pelos ativosAlcanar e manter a proteo adequada dos ativos da organizao.

7.1.1 Inventrio dos

ativos

Identificar todos os ativos e manter um inventrio de todos os ativos

importantes.

7.1.2 Proprietrio dosativos

Designar um proprietrio para todas as informaes e ativos associadoscom os recursos de processamento.

7.1.3 Uso aceitvel dosativos

Identificar, documentar e implementar regras para permitir o uso deinformaes e de ativos associados aos recursos de processamento dainformao.

7.2.Classificao da informaoAssegurar que a informao receba um nvel adequado de proteo.

7.2.1 Recomendaes

para classificao

Classificar a informao em termos do seu valor, requisitos legais,

sensibilidade e criticidade para a organizao.

7/31/2019 Resumo da 27002

7/18

7.2.2 Rtulos etratamento dainformao

Definir e implementar um conjunto apropriado deprocedimentos para rotulao e tratamento da informao.>

Um ativo classificado e reclassificado ao longo do tempo.A responsabilidade pela classificao do proprietrio do ativo, assim como a anlise crticaregular.Tipos de ativos:a) Ativos de informao: base de dados e arquivos, contratos e acordos, documentao desistema, informaes sobre pesquisa, manuais de usurio, material de treinamento,procedimentos de suporte ou operao, planos de continuidade do negcio, procedimentos de

recuperao, trilhas de auditoria e informaes armazenadas;b) Ativos de software: aplicativos, sistemas, ferramentas de desenvolvimento e utilitrios;c) Ativos fsicos: equipamentos computacionais, equipamentos de comunicao, mdiasremovveis e outros equipamentos;d) Servios: servios de computao e comunicaes, utilidades gerais, por exemploaquecimento, iluminao, eletricidade e refrigerao;e) Pessoas e suas qualificaes, habilidades e experincias;f) Intangveis, tais como a reputao e a imagem da organizao.O proprietrio do ativo responsvel por:a) Assegurar que as informaes e os ativos associados com os recursos de processamento dainformao estejam adequadamente classificados;b) Definir e periodicamente analisar criticamente as classificaes e restries ao acesso.O proprietrio pode ser designado para:

a) Um processo do negcio;b) Um conjunto de atividades definidas;c) Uma aplicao; oud) Um conjunto de dados definido.O rtulo atende tanto ativos fsicos como lgicos.



8. Segurana em RHCom a reformulao de 2005, esta seo passou a acompanhar o funcionrio antes, durante eaps a contratao.Esta seo possui 3 categorias e 9 controles

8.1. Antes da ContrataoAssegurar que os funcionrios, fornecedores e terceiros entendam suas responsabilidades, eestejam de acordo com os seus papis, e reduzir o risco de roubo, fraude ou mau uso de

recursos.8.1.1 Papis eresponsabilidades

Definir e documentar os papis e responsabilidades pela segurana dainformao de funcionrios, fornecedores e terceiros.

8.1.2 Seleo Realizar verificaes de controle de todos os candidatos a emprego,fornecedores e terceiros de acordo com as leis, regulamentaes eticas, e proporcional aos requisitos do negcio, classificao dasinformaes a serem acessadas e aos riscos percebidos.

8.1.3 Termos e condiesde contratao

Assinatura de termos e condies de sua contratao para o trabalho, osquais devem declarar as suas responsabilidades e a da organizao paraa segurana da informao pelos funcionrios, fornecedores e terceiros.

8.2. Durante a Contratao

7/31/2019 Resumo da 27002

8/18

Assegurar que os funcionrios, fornecedores e terceiros esto conscientes das ameaas epreocupaes relativas segurana da informao, suas responsabilidades e obrigaes, e estopreparados para apoiar a poltica de segurana da informao da organizao durante os seustrabalhos normais, e para reduzir o risco de erro humano.

8.2.1 Responsabilidadesda direo

Direo solicita a funcionrios, fornecedores e terceiros que pratiquema segurana da informao de acordo com o estabelecido nas polticas eprocedimentos da organizao.

8.2.2 Conscientizao,educao e treinamento

em segurana dainformao

Treinamento apropriado em conscientizao, e atualizaes regularesnas polticas e procedimentos organizacionais, relevantes para as suas

funes para todos os funcionrios, e onde pertinente, fornecedores eterceiros.

8.2.3 Processodisciplinar

Processo disciplinar formal para os funcionrios que tenham cometidouma violao da segurana da informao.

8.3. Encerramento ou mudana da contrataoAssegurar que funcionrios, fornecedores e terceiros deixem a organizao ou mudem detrabalho de forma ordenada.

8.3.1 Encerramento deatividades

Definir e atribuir responsabilidades para realizar o encerramento ou amudana de um trabalho.

8.3.2 Devoluo deativos Aps o encerramento de suas atividades, do contrato ou acordo,funcionrios, fornecedores e terceiros devolvem todos os ativos daorganizao que estejam em sua posse

8.3.3 Retirada dedireitos de acesso

Os direitos de acesso de todos os funcionrios, fornecedores e terceiross informaes e aos recursos de processamento da informao soretirados aps o encerramento de suas atividades, contratos ou acordos,ou ajustado aps a mudana destas atividades.

Descries de cargos podem ser usadas para documentar responsabilidades e papis pelasegurana da informao.As responsabilidades contidas nos termos e condies de contratao continuam por umperodo de tempo definido, aps o trmino da contratao onde apropriado.O processo disciplinar tambm usado como uma forma de dissuaso, para evitar que osfuncionrios, fornecedores e terceiros violem os procedimentos e as polticas de segurana dainformao da organizao, e quaisquer outras violaes na segurana.No caso em que um funcionrio, fornecedor ou terceiro compre o equipamento da organizaoou use o seu prprio equipamento pessoal, convm que procedimentos sejam adotados paraassegurar que toda a informao relevante seja transferida para a organizao e que sejaapagada de forma segura do equipamento.Os direitos de acesso aos ativos de informao e aos recursos de processamento da informaoso reduzidos ou retirados antes que a atividade se encerre ou altere, dependendo da avaliaode fatores de risco, tais como:a) se o encerramento da atividade ou a mudana iniciada pelo funcionrio, fornecedor outerceiro, ou pelo gestor e a razo do encerramento da atividade;b) as responsabilidades atuais do funcionrio, fornecedor ou qualquer outro usurio;c) valor dos ativos atualmente acessveis.

9. Segurana Fsica e do AmbienteEsta seo possui 2 categorias e 13 controles

9.1. reas segurasPrevenir o acesso fsico no autorizado, danos e interferncias com as instalaes e informaesda organizao.

9.1.1 Permetro desegurana fsica

Utilizar permetros de segurana (barreiras tais como paredes, portes deentrada controlados por carto ou balces de recepo com recepcionistas)para proteger as reas que contenham informaes e instalaes deprocessamento da informao.

9.1.2 Controles deentrada fsica

As reas seguras so protegidas por controles apropriados de entrada paraassegurar que somente pessoas autorizadas tenham acesso.

7/31/2019 Resumo da 27002

9/18

9.1.3 Segurana emescritrios, salas einstalaes

Projetar e aplicar segurana fsica para escritrios, salas e instalaes.

9.1.4 Proteo contraameaa externa e domeio ambiente

Projetar e aplicar proteo fsica contra incndios, enchentes, terremotos,exploses, perturbaes da ordem pblica e outras formas de desastresnaturais ou causados pelo homem.

9.1.5 Trabalhando emreas seguras

Projetar e aplicar proteo fsica, bem como diretrizes para o trabalho emreas seguras.

9.1.6 Acesso do pblico,reas de entrega e decarregamento

Os pontos de acesso (reas de entrega e de carregamento e outros pontos emque pessoas no autorizadas possam entrar nas instalaes) so controladose, se possvel, isolados das instalaes de processamento da informao,para evitar o acesso no autorizado.

9.2. Seguranas de equipamentosImpedir perdas, danos, furto ou comprometimento de ativos e interrupo das atividades daorganizao.

9.2.1 Instalaes eproteo doequipamento

Os equipamentos so colocados em local ou protegidos para reduzir osriscos de ameaas e perigos do meio ambiente, bem como asoportunidades de acesso no autorizado.

9.2.2 Utilidades Os equipamentos so protegidos contra falta de energia eltrica e outrasinterrupes causadas por falhas das utilidades.

9.2.3 Segurana docabeamento

O cabeamento de energia e de telecomunicaes so protegidos contrainterceptao ou danos.

9.2.4 Manuteno dosequipamentos

Manuteno correta para os equipamentos para assegurar suadisponibilidade e integridade permanentes.

9.2.5 Reutilizao deequipamentos fora dasdependncias daorganizao

Tomar medidas de segurana para equipamentos que operem fora dolocal, levando em conta os diferentes riscos decorrentes do fato de setrabalhar fora das dependncias da organizao.

9.2.6 Reutilizao ealienao segura deequipamentos

Todos os equipamentos que contenham mdias de armazenamento dedados so examinados antes do descarte, para assegurar que todos osdados sensveis e softwares licenciados tenham sido removidos ousobregravados com segurana.

9.2.7 Remoo depropriedade

Equipamentos, informaes ou software no so retirados do local semautorizao prvia.

So levadas em considerao todas as ameaas segurana representadas por instalaesvizinhas, por exemplo, um incndio em um edifcio vizinho, vazamento de gua do telhado ouem pisos do subsolo ou uma exploso na rua.Os controles para o trabalho em casa so determinados por uma anlise/avaliao de riscos,sendo aplicados controles adequados para cada caso, por exemplo, arquivos trancveis, polticade mesa limpa, controles de acesso a computadores, e comunicao segura com o escritrio.



7/31/2019 Resumo da 27002

10/18

0

10. Gerenciamento das Operaes e ComunicaesEsta seo possui 10 categorias e 32 controles

10.1. Procedimento e responsabilidades operacionaisGarantir a operao segura e correta dos recursos de processamento da informao.

10.1.1 Documentaodos procedimentos deoperao

Os procedimentos de operao so documentados, mantidosatualizados e disponveis a todos os usurios que deles necessitem.

10.1.2 Gesto demudanas

Modificaes nos recursos de processamento da informao e sistemasso controladas.

10.1.3 Segregao defuno

Funes e reas de responsabilidade so segregadas para reduzir asoportunidades de modificao ou uso indevido no autorizado ou nointencional dos ativos da organizao.

10.1.4 Separao dosrecursos dedesenvolvimento, teste e

de produo

Recursos de desenvolvimento, teste e produo so separados parareduzir o risco de acessos ou modificaes no autorizadas aos sistemasoperacionais.

10.2. Gerenciamento de servios terceirizadosImplementar e manter o nvel apropriado de segurana da informao e de entrega de serviosem consonncia com acordos de entrega de servios terceirizados.

10.2.1 Entrega deservios

Garantir que os controles de segurana, as definies de servio e os nveisde entrega includos no acordo de entrega de servios terceirizados soimplementados, executados e mantidos pelo terceiro.

10.2.2 Monitoramento eanlise crtica de serviosterceirizados

Os servios, relatrios e registros fornecidos por terceiro so regularmentemonitorados e analisados criticamente, e auditorias so executadasregularmente.

10.2.3 Gerenciamento demudanas para serviosterceirizados

Mudanas no aprovisionamento dos servios, incluindo manuteno emelhoria da poltica de segurana da informao, procedimentos e controlesexistentes, so gerenciadas levando-se em conta a criticidade dos sistemas eprocessos de negcio envolvidos e a reanlise/reavaliao de riscos.

10.3. Planejamento e aceitao dos sistemasMinimizar o risco de falhas nos sistemas.

10.3.1 Gesto decapacidade

A utilizao dos recursos monitorada e sincronizada e projees sofeitas para necessidades de capacidade futura, para garantir odesempenho requerido do sistema.

10.3.2 Aceitao desistemas

Critrios de aceitao para novos sistemas, atualizaes e novas versesso estabelecidos e so efetuados testes apropriados do(s) sistema(s)durante seu desenvolvimento e antes da sua aceitao.

10.4. Proteo contra cdigos maliciosos e cdigos mveisProteger a integridade do software e da informao.

10.4.1 Controles contracdigos maliciosos

So implantados controles de deteco, preveno e recuperao paraproteger contra cdigos maliciosos, e procedimentos para a devidaconscientizao dos usurios.

10.4.2 Controles contracdigos mveis

Onde o uso de cdigos mveis autorizado, a configurao garante queo cdigo mvel autorizado opere de acordo com uma poltica de

segurana da informao claramente definida e cdigos mveis noautorizados tm sua execuo impedida.

7/31/2019 Resumo da 27002

11/18

10.5. Cpias de seguranaManter a integridade e disponibilidade da informao e dos recursos de processamento deinformao.

10.5.1 Cpias de segurana dasinformaes

Cpias de segurana das informaes e dos softwares soefetuadas e testadas regularmente conforme a poltica degerao de cpias de segurana definida.

10.6. Gerenciamento de segurana em redesGarantir a proteo das informaes em redes e a proteo da infra-estrutura de suporte.

10.6.1 Controles deredes

As redes so adequadamente gerenciadas e controladas, de forma aproteg-las contra ameaas e manter a segurana de sistemas eaplicaes que utilizam estas redes, incluindo a informao em trnsito.

10.6.2 Segurana dosservios de rede

As caractersticas de segurana, nveis de servio e requisitos degerenciamento dos servios de rede so identificados e includos emqualquer acordo de servios de rede, tanto para servios de redeprovidos internamente ou terceirizados.

10.7. Manuseios de mdiasPrevenir contra divulgao no autorizada, modificao, remoo ou destruio aos ativos einterrupes das atividades do negcio.

10.7.1 Gerenciamentode mdias removveis

Existem procedimentos implementados para o gerenciamento de mdiasremovveis.

10.7.2 Descarte demdias

As mdias so descartadas de forma segura e protegida quando noforem mais necessrias, por meio de procedimentos formais.

10.7.3 Procedimentopara tratamento deinformao

So estabelecidos procedimentos para o tratamento e o armazenamentode informaes, para proteger tais informaes contra a divulgao noautorizada ou uso indevido.

10.7.4 Segurana dadocumentao dossistemas

A documentao dos sistemas protegida contra acessos noautorizados.

10.8. Troca de informaesManter a segurana na troca de informaes e softwares internamente organizao e comquaisquer entidades externas.

10.8.1 Polticas eprocedimentos paratroca de informaes

Polticas, procedimentos e controles so estabelecidos e formalizadospara proteger a troca de informaes em todos os tipos de recursos decomunicao.

10.8.2 Acordos paratroca de informaes

So estabelecidos acordos para a troca de informaes e softwares entrea organizao e entidades externas.

10.8.3 Mdias em

trnsito

Mdias contendo informaes so protegidas contra acesso no

autorizado, uso imprprio ou alterao indevida durante o transporteexterno aos limites fsicos da organizao.

10.8.4 Mensagenseletrnicas

As informaes que trafegam em mensagens eletrnicas so protegidas.

10.8.5 Sistemas deinformaes do negcio

Polticas e procedimentos so desenvolvidos e implementados paraproteger as informaes associadas com a interconexo de sistemas deinformaes do negcio.

10.9. Servios de comrcio eletrnicoGarantir a segurana de servios de comrcio eletrnico e sua utilizao segura.

10.9.1 Comrcioeletrnico

Informaes envolvidas em comrcio eletrnico transitando sobre redespblicas so protegidas de atividades fraudulentas, disputas contratuais

7/31/2019 Resumo da 27002

12/18

e divulgao e modificaes no autorizadas.

10.9.2 Transaes on-line

Informaes envolvidas em transaes on-line so protegidas paraprevenir transmisses incompletas, erros de roteamento, alteraes noautorizadas de mensagens, divulgao no autorizada, duplicao oureapresentao de mensagem no autorizada.

10.9.3 Informaespublicamentedisponveis

A integridade das informaes disponibilizadas em sistemaspublicamente acessveis protegida para prevenir modificaes noautorizadas.

10.10. MonitoramentoDetectar atividades no autorizadas de processamento da informao.

10.10.1 Registros deauditoria

Registros (log) de auditoria contendo atividades dos usurios, exceese outros eventos de segurana da informao so produzidos e mantidospor um perodo de tempo acordado para auxiliar em futurasinvestigaes e monitoramento de controle de acesso.

10.10.2 Monitoramentodo uso do sistema

Estabelecer procedimentos para o monitoramento do uso dos recursosde processamento da informao e os resultados das atividades demonitoramento que so analisados criticamente, de forma regular.

10.10.3 Proteo dasinformaes dosregistros (log)

Recursos e informaes de registros (log) so protegidos contrafalsificao e acesso no autorizado.

10.10.4 Registros (log)de administrador eoperador

As atividades dos administradores e operadores do sistema soregistradas.

10.10.5 Registro (log) defalhas

As falhas ocorridas so registradas e analisadas, e que so adotadasaes apropriadas.

10.10.6 Sincronizaodos relgios

Os relgios de todos os sistemas de processamento da informaorelevantes, dentro da organizao ou do domnio de segurana, sosincronizados de acordo com uma hora oficial.



0

11.1. Requisitos de negcio para controle de acessoControlar o acesso informao.

11.1.1 Poltica decontrole de acesso

A poltica de controle de acesso estabelecida, documentada eanalisada criticamente, tomando-se a base dos requisitos de acesso dosnegcios e segurana da informao.

11.2. Gerenciamento de acesso do usurioAssegurar acesso de usurio autorizado e prevenir acesso no autorizado a sistemas deinformao.

11.2.1 Registro deusurio Existe um procedimento formal de registro e cancelamento de usuriopara garantir e revogar acessos em todos os sistemas de informao e

7/31/2019 Resumo da 27002

13/18

servios.

11.2.2 Gerenciamentode privilgios

A concesso e o uso de privilgios so restritos e controlados.

11.2.3 Gerenciamentode senha do usurio

A concesso de senhas controlada atravs de um processo degerenciamento formal.

11.2.4 Anlise crticados direitos de acesso de

usurio

O gestor conduz a intervalos regulares a anlise crtica dos direitos deacesso dos usurios, por meio de um processo formal.

11.3. Responsabilidades dos usuriosPrevenir o acesso no autorizado dos usurios e evitar o comprometimento ou roubo dainformao e dos recursos de processamento da informao.

11.3.1 Uso de senhas Os usurios so solicitados a seguir as boas prticas de segurana dainformao na seleo e uso de senhas.

11.3.2 Equipamentos deusurio semmonitorao

Os usurios asseguram que os equipamentos no monitorados tmproteo adequada.

11.3.3 Poltica de mesalimpa e tela limpa

adotada uma poltica de mesa limpa de papis e mdias dearmazenamento removvel e poltica de tela limpa para os recursos deprocessamento da informao.

11.4. Controle de acesso redePrevenir acesso no autorizado aos servios de rede.

11.4.1 Poltica de usodos servios de rede

Usurios somente recebem acesso para os servios que tenham sidoespecificamente autorizados a usar.

11.4.2 Autenticaopara conexo do usurio

Mtodos apropriados de autenticaes so usados para controlar acessode usurios remotos.

11.4.3 Identificao deequipamentos em redes

So consideradas as identificaes automticas de equipamentos comoum meio de autenticar conexes vindas de localizaes e equipamentosespecficos.

11.4.4 Proteo econfigurao de portasde diagnsticos remotas

controlado o acesso fsico e lgico das portas de diagnstico econfigurao.

11.4.5 Segregao deredes

Grupos de servios de informao, usurios e sistemas de informaoso segredados em redes.

11.4.6 Controle de

conexes de rede

Para redes compartilhadas, especialmente essas que se estendem pelos

limites da organizao, a capacidade dos usurios para conectar-se rede restrita, alinhada com a poltica de controle de acesso e osrequisitos das aplicaes do negcio (ver 11.1).

11.4.7 Controle deroteamento de redes

implementado controle de roteamento na rede, para assegurar que asconexes de computador e fluxos de informao no violem a polticade controle de acesso das aplicaes do negcio.

11.5. Controle de acesso ao sistema operacionalPrevenir acesso no autorizado aos sistemas operacionais.

11.5.1 Procedimentoseguros de entrada no

sistema (log-on)

O acesso aos sistemas operacionais controlado por um procedimentoseguro de entrada no sistema (log-on).

7/31/2019 Resumo da 27002

14/18

11.5.2 Identificao eautenticao de usurio

Todos os usurios tm um identificador nico (ID de usurio) para usopessoal e exclusivo, e convm que uma tcnica adequada deautenticao seja escolhida para validar a identidade alegada por umusurio.

11.5.3 Sistema degerenciamento de senha

Sistemas para gerenciamento de senhas so interativos e asseguramsenhas de qualidade.

11.5.4 Uso de utilitriosde sistema

O uso de programas utilitrios, que podem ser capazes de sobrepor oscontroles dos sistemas e aplicaes, restritos e estritamente

controlado.

11.5.5 Desconexo determinal por inatividade

Terminais inativos so desconectados aps um perodo definido deinatividade.

11.5.6 Limitao dehorrio para conexo

Restries nos horrios de conexo so utilizadas para proporcionarsegurana adicional para aplicaes de alto risco.

11.6. Controle de acesso a aplicaes e a informaoPrevenir acesso no autorizado informao contida nos sistemas de aplicao.

11.6.1 Restrio deacesso informao

O acesso informao e s funes dos sistemas de aplicaes porusurios e pessoal de suporte restrito de acordo com o definido na

poltica de controle de acesso.

11.6.2 Isolamento desistemas sensveis

Sistemas sensveis tm um ambiente computacional dedicado (isolado).

11.7. Computao mvel e trabalho remotoGarantir a segurana da informao quando se utilizam a computao mvel e recursos detrabalho remoto.

11.7.1 Computao ecomunicao mvel

Uma poltica formal estabelecida e medidas de segurana apropriadasso adotadas para a proteo contra os riscos do uso de recursos decomputao e comunicao mveis.

11.7.2 Trabalho remoto Uma poltica, planos operacionais e procedimentos so desenvolvidos eimplementados para atividades de trabalho remoto.

Resumo da 27002 Parte 7 (ltima)


0

12. Aquisio, Desenvolvimento e Manuteno de SIEsta seo possui 6 categorias e 16 controles

12.1.Requisio de segurana de sistemas de informaoGarantir que segurana parte integrante de sistemas de informao.

12.1.1Anlise eespecificao dosrequisitos de segurana

So especificados os requisitos para controles de segurana nasespecificaes de requisitos de negcios, para novos sistemas deinformao ou melhorias em sistemas existentes.

12.2. Processamento correto nas aplicaesPrevenir a ocorrncia de erros, perdas, modificao no autorizada ou mau uso de informaesem aplicaes.
http://notloaded.wordpress.com/2011/08/29/resumo-da-27002-%e2%80%93-parte-7-ultima/#commentshttp://notloaded.wordpress.com/2011/08/29/resumo-da-27002-%e2%80%93-parte-7-ultima/#commentshttp://notloaded.wordpress.com/2011/08/29/resumo-da-27002-%e2%80%93-parte-7-ultima/#comments

7/31/2019 Resumo da 27002

15/18

12.2.1 Validao dosdados de entrada

Os dados de entrada de aplicaes so validados para garantir que socorretos e apropriados.

12.2.2 Controle doprocessamento interno

So incorporadas, nas aplicaes, checagens de validao com oobjetivo de detectar qualquer corrupo de informaes, por erros oupor aes deliberadas.

12.2.3 Integridade demensagens

Requisitos para garantir a autenticidade e proteger a integridade dasmensagens em aplicaes so identificados e os controles apropriadosso identificados e implementados.

12.2.4 Validao dedados de sada

Os dados de sada das aplicaes so validados para assegurar que oprocessamento das informaes armazenadas est correto e apropriado s circunstncias.

12.3. Controles criptogrficosProteger a confidencialidade, a autenticidade ou a integridade das informaes por meioscriptogrficos.

12.3.1 Poltica para usode controlescriptogrficos

desenvolvida e implementada uma poltica para o uso de controlescriptogrficos para a proteo da informao.

12.3.2 Gerenciamentode chaves Um processo de gerenciamento de chaves implantado para apoiar ouso de tcnicas criptogrficas pela organizao.

12.4. Segurana dos arquivos do sistemaGarantir a segurana de arquivos de sistema.

12.4.1 Controle desoftware operacional

Procedimentos para controlar a instalao de software em sistemasoperacionais so implementados.

12.4.2 Proteo dosdados para teste desistema

Os dados de teste so selecionados com cuidado, protegidos econtrolados.

12.4.3 Controle deacesso ao cdigo-fontede programa

O acesso ao cdigo-fonte de programa restrito.

12.5. Segurana em processos de desenvolvimento e de suporteManter a segurana de sistemas aplicativos e da informao.

12.5.1 Procedimentospara controle demudanas

A implementao de mudanas controlada utilizando procedimentosformais de controle de mudanas.

12.5.2 Anlise crticatcnica das aplicaes

aps mudanas nosistema operacional

Aplicaes crticas de negcios so analisadas criticamente e testadasquando sistemas operacionais so mudados, para garantir que no

haver nenhum impacto adverso na operao da organizao ou nasegurana.

12.5.3 Restries sobremudanas em pacotes desoftware

Modificaes em pacotes de software no so incentivadas e limitadass mudanas necessrias e todas as mudanas so estritamentecontroladas.

12.5.4 Vazamento deinformaes

Oportunidades para vazamento de informaes so prevenidas.

12.5.5 Desenvolvimentoterceirizado de software

A organizao supervisiona e monitora o desenvolvimento terceirizadode software.

12.6. Gesto de vulnerabilidade tcnicasReduzir riscos resultantes da explorao de vulnerabilidades tcnicas conhecidas.

7/31/2019 Resumo da 27002

16/18

12.6.1 Controle devulnerabilidade tcnicas

obtida informao em tempo hbil sobre vulnerabilidades tcnicasdos sistemas de informao em uso, avaliada a exposio daorganizao a estas vulnerabilidades e tomadas as medidas apropriadaspara lidar com os riscos associados.

13. Gesto de Incidentes de Segurana da InformaoAssegurar que fragilidades e eventos de segurana da informao associados com sistemas deinformao sejam comunicados, permitindo a tomada de ao corretiva em tempo hbil.Esta seo possui 2 categorias e 5 controles

13.1. Notificao de fragilidades e eventos de segurana dainformaoAssegurar que fragilidades e eventos de segurana da informao associados com sistemas deinformao sejam comunicados, permitindo a tomada de ao corretiva em tempo hbil.

13.1.1 Notificao deeventos de segurana dainformao

Os eventos de segurana da informao so relatados atravs dos canaisapropriados da direo, o mais rapidamente possvel.

13.1.2 Notificaofragilidades desegurana dainformao

Os funcionrios, fornecedores e terceiros de sistemas e servios deinformao so instrudos a registrar e notificar qualquer observao oususpeita de fragilidade em sistemas ou servios.

13.2. Gesto de incidentes de segurana da informao e melhoriasAssegurar que um enfoque consistente e efetivo seja aplicado gesto de incidentes desegurana da informao.

13.2.1Responsabilidades eprocedimentos

Responsabilidades e procedimentos de gesto so estabelecidos paraassegurar respostas rpidas, efetivas e ordenadas a incidentes desegurana da informao.

13.2.2 Aprendendo comos incidentes desegurana dainformao

So estabelecidos mecanismos para permitir que tipos, quantidades ecustos dos incidentes de segurana da informao sejam quantificadose monitorados.

13.2.3 Coleta deevidncias

Nos casos em que uma ao de acompanhamento contra uma pessoa ouorganizao, aps um incidente de segurana da informao, envolveruma ao legal (civil ou criminal), evidncias so coletadas,armazenadas e apresentadas em conformidade com as normas dearmazenamento de evidncias da jurisdio(es) pertinente(s).

14. Gesto da Continuidade do NegcioEsta seo possui 1 categoria e 5 controles

14.1. Aspectos da gesto da continuidade do negcio, relativos segurana da informaoNo permitir a interrupo das atividades do negcio e proteger os processos crticos contra

efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hbil, se for ocaso.

14.1.1 Incluindosegurana dainformao no processode gesto dacontinuidade de negcio

Um processo de gesto desenvolvido e mantido para assegurar acontinuidade do negcio por toda a organizao e que contemple osrequisitos de segurana da informao necessrios para a continuidadedo negcio da organizao.

14.1.2 Continuidade denegcios eanlise/validao dosriscos

Identificar os eventos que podem causar interrupes aos processos denegcio, junto a probabilidade e impacto de tais interrupes e asconseqncias para a segurana de informao.

14.1.3 Desenvolvimento Os planos so desenvolvidos e implementados para a manuteno ou

7/31/2019 Resumo da 27002

17/18

e implementao deplanos de continuidaderelativos segurana dainformao

recuperao das operaes e para assegurar a disponibilidade dainformao no nvel requerido e na escala de tempo requerida, aps aocorrncia de interrupes ou falhas dos processos crticos do negcio.

14.1.4 Estrutura doplano de continuidadedo negcio

Uma estrutura bsica dos planos de continuidade do negcio mantidapara assegurar que todos os planos so consistentes, para contemplar osrequisitos de segurana da informao e para identificar prioridadespara testes e manuteno.

14.1.5 Teste,manuteno ereavaliao dos planosde continuidade dosnegcios

Os planos de continuidade do negcio so testados e atualizadosregularmente, de forma a assegurar sua permanente atualizao eefetividade.

15. ConformidadeEsta seo possui 3 categorias e 10 controles

15.1. Conformidade com requisitos legaisEvitar violao de qualquer lei criminal ou civil, estatutos, regulamentaes ou obrigaescontratuais e de quaisquer requisitos de segurana da informao.

15.1.1 Identificao dalegislao vigente

Todos os requisitos estatutrios, regulamentares e contratuaisrelevantes, e o enfoque da organizao para atender a esses requisitos,so explicitamente definidos, documentados e mantidos atualizadospara cada sistema de informao da organizao

15.1.2 Direito depropriedade intelectual

Procedimentos apropriados so implementados para garantir aconformidade com os requisitos legislativos, regulamentares econtratuais no uso de material, em relao aos quais pode haver direitosde propriedade intelectual e sobre o uso de produtos de softwareproprietrios.

15.1.3 Proteo deregistros

organizacionais

Registros importantes so protegidos contra perda, destruio efalsificao, de acordo com os requisitos regulamentares, estatutrios,

contratuais e do negcio.

15.1.4 Proteo de dadose privacidade deinformaes pessoais

A privacidade e proteo de dados so asseguradas conforme exigidonas legislaes relevantes, regulamentaes e, se aplicvel, nasclusulas contratuais.

15.1.5 Preveno demau uso de recursos deprocessamento dainformao

Os usurios so dissuadidos de usar os recursos de processamento dainformao para propsitos no autorizados.

15.1.6 Regulamentaode controles decriptografia

Controles de criptografia so usados em conformidade com todas asleis, acordos e regulamentaes relevantes.

15.2. Conformidade com normas e polticas de segurana dainformao e conformidade tcnicaGarantir conformidade dos sistemas com as polticas e normas organizacionais de segurana dainformao.

15.2.1 Conformidadecom polticas e normasde segurana dainformao

Gestores garantem que todos os procedimentos de segurana dainformao dentro da sua rea de responsabilidade esto sendoexecutados corretamente para atender conformidade com as normas epolticas de segurana da informao.

15.2.2 Verificao daconformidade tcnica Sistemas de informao so periodicamente verificados em suaconformidade com as normas de segurana da informao

7/31/2019 Resumo da 27002

18/18

implementadas.

15.3 Consideraes quanto auditoria de sistemas de informaoMaximizar a eficcia e minimizar a interferncia no processo de auditoria dos sistemas deinformao.

15.3.1 Controles deauditoria de sistemas deinformao

Requisitos e atividades de auditoria envolvendo verificao nossistemas operacionais so cuidadosamente planejados e acordados paraminimizar os riscos de interrupo dos processos do negcio.

15.3.2 Proteo de

ferramentas deauditoria de sistemas deinformao

O acesso s ferramentas de auditoria de sistema de informao

protegido, para prevenir qualquer possibi

Documents

Resumo da 27002