PADRÃO ISO/IEC INTERNACIONAL 17799
Contents
1. Procedimentos documentados tamb m devem ser preparados para as atividades de housekeeping do sistema associadas com as facilidades de processamento de informa es e comunica es tais como procedimentos para iniciar e desligar o computador backups manuten o de equipamentos gerenciamento e seguran a da sala de computadores e de correio 8 1 2 Controle das mudan as operacionais Mudan as nas facilidades de processamento de informa es e nos sistemas devem ser controladas O controle inadequado dessas mudan as uma causa frequente de falhas na seguran a ou nos sistemas Responsabilidades gerenciais e procedimentos formais devem estar implantados para garantir um controle satisfat rio de todas as altera es em equipamentos softwares ou procedimentos Os programas operacionais devem estar sujeitos a um controle estrito das altera es Quando programas s o mudados deve ser retido um log para auditoria contendo todas as informa es relevantes Altera es no ambiente operacional podem causar impacto nos aplicativos Onde for pratic vel os procedimentos para controle das mudan as operacionais e nos aplicativos deve ser integrado ver tamb m 10 5 1 Em especial os seguintes controles devem ser considerados a identifica o e anota o de altera es significativas b avalia o do impacto potencial de tais altera es c procedimento formal de aprova o para altera es propostas d comunica o dos2. es dentro da organiza o Foros gerenciais adequados com lideran a da administra o devem ser estabelecidos para aprovar a pol tica de seguran a de informa es atribuir pap is de seguran a e coordenar a implementa o da seguran a em toda a organiza o Se necess rio um canal de aconselhamento especializado em seguran a de informa es deve ser estabelecido e disponibilizado dentro da organiza o Contatos com especialistas em seguran a externos devem ser desenvolvidos para acompanhar as tend ncias da ind stria monitorar padr es e m todos de avalia o e prover pontos de contato adequados para quando se lidar com incidentes de seguran a Um enfoque multidisciplinar quanto seguran a de informa es deve ser encorajado por exemplo envolvendo a coopera o e colabora o de gerentes usu rios administradores projetistas de aplica es auditores e equipe de seguran a e especialistas em reas tais como seguro e gest o de riscos 4 1 1 F rum gerencial de seguran a de informa es Seguran a de informa es uma responsabilidade corporativa compartilhada por todos os membros da equipe gerencial Portanto deve ser considerado um f rum gerencial para assegurar a exist ncia de dire o clara e suporte vis vel por parte da ger ncia para as iniciativas de seguran a Esse f rum deve promover a seguran a dentro da organiza o atrav s de comprometimento apropriado e aloca o de recursos adequa
3. o aos controles que se aplicam exporta o e importa o de tecnologia criptogr fica ver tamb m 12 1 6 Deve ser buscada consultoria especializada para identificar o n vel de prote o apropriado para selecionar produtos adequados que fornecer o a prote o requerida e a implementa o de um sistema seguro de gerenciamento de chaves ver tamb m 10 3 5 Al m disso pode ser necess rio buscar consultoria jur dica relacionada s leis e regulamentos que possam se aplicar ao uso que a organiza o pretende fazer da criptografia 10 3 3 Assinaturas digitais As assinaturas digitais fornecem um meio de proteger a autenticidade e a integridade de documentos eletr nicos Por exemplo elas podem ser usados no com rcio eletr nico onde houver necessidade de confirmar quem assinou um documento eletr nico e de verificar se os conte dos do documento assinado foram alterados 62 ISO IEC 17799 2000 E Assinaturas digitais podem ser aplicadas a qualquer forma de documento processado eletronicamente por exemplo elas podem ser usadas para assinar pagamentos eletr nicos transfer ncias de fundos contratos e acordos Assinaturas digitais podem ser implementadas usando uma t cnica criptogr fica baseada em um par de chaves relacionadas de forma nica onde uma chave usada para criar a assinatura a chave privada e a outra para verificar a assinatura a chave p blica Deve ser tomado cuidado para proteger a confidencia
4. o aos riscos que se quer reduzir e aos preju zos potenciais se ocorrer uma quebra de seguran a Fatores n o monet rios tais como perda de reputa o tamb m devem ser levados em conta Alguns dos controles neste documento podem ser considerados como princ pios orientadores para a gest o da seguran a de informa es e podem ser aplic veis maioria das organiza es Eles s o explicados mais detalhadamente a seguir no t pico Ponto de partida para a seguran a das informa es Ponto de partida para a seguran a das informa es V rios controles podem ser considerados como princ pios orientadores que fornecem um bom ponto de partida para implementa o da seguran a de informa es Eles s o ou baseados nas exig ncias essenciais da legisla o ou considerados como a melhor pr tica comum para a seguran a de informa es Os controles considerados como essenciais para uma organiza o do ponto de vista legal incluem a prote o de dados e privacidade de informa es pessoais ver item 12 1 4 b salvaguarda de registros organizacionais ver 12 1 3 c direitos de propriedade intelectual ver 12 1 2 VIII ISO IEC 17799 2000 E Os controles considerados como a melhor pr tica comum para seguran a de informa es incluem a documento de pol tica de seguran a de informa es ver 3 1 b aloca o de responsabilidades quanto seguran a das informa es ver 4 1 3 c educa o e
5. o de bibliotecas fontes de programas e a emiss o de fontes de programas para os programadores devem ser executadas apenas pelo bibliotec rio nomeado com autoriza o do gerente de suporte de IT para a aplica o f Listagens de programas devem ser guardadas em um ambiente seguro ver 8 6 4 g Deve ser mantido um log para auditoria de todos os acessos s bibliotecas fontes de programas h Vers es antigas de programas fontes devem ser gravadas em archives com uma indica o clara das datas e hor rios exatos de quando eles estavam operacionais juntamente com todo o software de apoio job control defini es de dados e procedimentos 66 ISO IEC 17799 2000 E i A manuten o e c pia de bibliotecas fontes de programas devem estar sujeitas a procedimentos estritos de controle de altera es ver 10 4 1 10 5 Seguran a nos processos de desenvolvimento e suporte Objetivo Manter a seguran a dos softwares e das informa es de sistemas aplicativos Os ambientes de projeto e suporte devem ser estritamente controlados Os gerentes respons veis pelos sistemas aplicativos tamb m devem ser respons veis pela seguran a do ambiente de projeto ou suporte Eles devem assegurar que todas as altera es propostas nos sistemas sejam revisadas para verificar se elas n o comprometem a seguran a do sistema ou do ambiente operacional 10 5 1 Procedimentos para controle de altera es Para minimizar o corrompimento
6. o e coordena a implementa o de controles espec ficos para seguran a de informa es em novos sistemas ou servi os f revisa os incidentes relacionados com a seguran a de informa es g promove a visibilidade do suporte corporativo para a seguran a de informa es em toda a organiza o 4 1 3 Aloca o de responsabilidades pela seguran a das informa es As responsabilidades pela prote o de ativos individuais e pela condu o de processos de seguran a espec ficos devem ser claramente definidas A pol tica de seguran a de informa es ver cl usula 3 deve fornecer orienta o geral sobre a aloca o de pap is e responsabilidades relacionados seguran a na organiza o Isto deve ser suplementado onde necess rio com orienta o mais detalhada para sites sistemas ou servi os espec ficos As responsabilidades locais pelos ativos f sicos individuais e ativos de informa o e processos de seguran a tais como o planejamento da continuidade do neg cio devem ser claramente definidas Em muitas organiza es um gerente de seguran a de informa es ser designado para assumir a responsabilidade geral pelo desenvolvimento e implementa o da seguran a e para dar suporte identifica o dos controles Entretanto a responsabilidade pela aloca o de recursos e implementa o dos controles frequentemente permanecer com gerentes individuais Uma pr tica comum apontar um propriet rio para
7. h um sistema abrangente e balanceado de medi o usado para avaliar o desempenho na gest o de seguran a de informa es e sugest es de feedback para melhorias Desenvolvendo suas pr prias diretrizes Este c digo de pr tica pode ser considerado como um ponto de partida para desenvolver orienta o espec fica para a organiza o Pode ser que nem todos os controles e diretrizes deste c digo de pr tica sejam aplic veis Al m disso controles adicionais n o inclu dos neste documento podem ser necess rios Quando isto acontece pode ser til reter refer ncias cruzadas que facilitar o a verifica o do cumprimento das exig ncias por auditores e parceiros comerciais ISO IEC 17799 2000 E Tecnologia da Informa o C digo de Pr tica para Gest o da Seguran a de Informa es 1 Escopo Este padr o faz recomenda es para a gest o da seguran a de informa es para uso daqueles que s o respons veis por iniciar implementar ou manter a seguran a em suas organiza es Intenciona fornecer uma base comum para o desenvolvimento de padr es de seguran a organizacional e pr ticas eficazes de gest o de seguran a de informa es e fornecer confian a nos interc mbios inter organizacionais As recomenda es deste padr o devem ser selecionadas e usadas de acordo com as leis e regulamentos aplic veis 2 Termos e defini es Para os prop sitos deste documento as defini es seguintes se aplicam 2 1 Segura
8. para a pr pria prote o deles j que testar falhas pode ser interpretado como uma potencial utiliza o indevida do sistema 6 3 3 Reportando mal funcionamento de softwares Devem ser estabelecidos procedimentos para reportar mal funcionamento de softwares As seguintes a es devem ser consideradas a Os sintomas do problema e quaisquer mensagens que apare am na tela devem ser anotados b O computador deve ser isolado se poss vel e o seu uso deve ser interrompido O contato apropriado deve ser alertado imediatamente Se o equipamento tiver que ser examinado ele deve ser desconectado de quaisquer redes organizacionais antes de ser religado Disquetes n o devem ser transferidos para outros computadores c O assunto deve ser imediatamente reportado ao gerente de seguran a de informa es Os usu rios n o devem tentar remover o software suspeito a menos que sejam autorizados a faz lo A recupera o deve ser executada por pessoal adequadamente treinado e experiente 6 3 4 Aprendendo com os incidentes Devem existir mecanismos para capacitar a quantifica o e o monitoramento dos tipos volumes e custos dos incidentes e mal funcionamentos Essas informa es devem ser usadas para identificar incidentes ou mal funcionamentos recorrentes ou de alto impacto Isso pode indicar a necessidade de controles aprimorados ou adicionais para limitar a frequ ncia os danos e custos de futuras ocorr ncias ou de serem considerado
9. ISO IEC 17799 2000 E Quando um incidente inicialmente detectado pode n o ser bvio se ele resultar em uma poss vel a o no tribunal Portanto existe o perigo de que provas necess ria seja destru da acidentalmente antes de a seriedade do incidente ser compreendida aconselh vel envolver um advogado ou a pol cia o mais cedo poss vel em qualquer a o legal contemplada e buscar aconselhamento sobre a prova requerida 12 2 Revis es da pol tica de seguran a e obedi ncia t cnica Objetivo Garantir a obedi ncia dos sistemas s pol ticas e padr es de seguran a da organiza o A seguran a de sistemas de informa es deve ser revisada regularmente Tais revis es devem ser executadas de acordo com as pol ticas de seguran a apropriadas e as plataformas t cnicas e os sistemas de informa o devem ser auditados quanto ao cumprimento dos padr es de implementa o de seguran a 12 2 1 Obedi ncia pol tica de seguran a Os gerentes devem se assegurar de que todos os procedimentos de seguran a dentro de suas reas de responsabilidade s o executados corretamente Al m disso todas as reas dentro da organiza o devem ser consideradas para revis o regular a fim de garantir a obedi ncia aos padr es e pol ticas de seguran a Estas devem incluir o seguinte a sistemas de informa es b provedores de sistemas c propriet rios das informa es e ativos de informa o d usu rios e
10. a ver 5 2 devem ser acordadas e 10 ISO IEC 17799 2000 E documentadas juntamente com sua localiza o atual importante ao se tentar recuperar perda ou dano Exemplos de ativos associados com sistemas de informa o s o a ativos de informa o bancos de dados e arquivos de dados documenta o de sistemas manuais de usu rio material de treinamento procedimentos operacionais ou de suporte planos de continuidade arranjos de fallback informa es em archives b ativos de software software aplicativo software b sico ferramentas de desenvolvimento e utilit rios c ativos f sicos equipamento de computador processadores monitores laptops modems equipamentos de comunica o roteadores PABXs aparelhos de fax secret rias eletr nicas m dia magn tica fitas e discos outros equipamentos t cnicos geradores de energia unidades de condicionamento de ar m veis acomoda es d servi os servi os de inform tica e telecomunica es servi os p blicos em geral aquecimento ilumina o energia ar condicionado 5 2 Classifica o das informa es Objetivo Garantir que os ativos de informa o recebam um n vel de prote o adequado As informa es devem ser classificadas para indicar a necessidade as prioridades e o grau de prote o As informa es apresentam graus vari veis de suscetibilidade e criticalidade Alguns itens podem exigir um n vel adicional de prote
11. devem receber treinamento apropriado e atualiza es peri dicas sobre as pol ticas e procedimentos organizacionais Isto inclui as exig ncias de seguran a as responsabilidades legais e controles corporativos bem como treinamento no uso correto das facilidades de processamento de informa es por exemplo procedimento de logon uso de pacotes de software antes de serem autorizados a acessar informa es ou servi os 6 3 Respondendo a incidentes de seguran a e mal funcionamentos Objetivo Minimizar os danos resultantes de incidentes de seguran a e mal funcionamentos e monitorar e aprender com tais incidentes Incidentes que afetam a seguran a devem ser reportados atrav s de canais administrativos apropriados o mais rapidamente poss vel Todos os empregados e contratados devem estar cientes dos procedimentos para reportar os diferentes tipos de incidente quebra de seguran a amea a fraqueza ou mal funcionamento que possam ter impacto na seguran a dos ativos organizacionais Deve ser exigido que eles reportem quaisquer incidentes observados ou suspeitados o mais rapidamente poss vel para o ponto de contato designado A organiza o deve estabelecer um processo disciplinar formal para lidar com empregados que cometam quebras de seguran a Para que se seja capaz de tratar os incidentes adequadamente pode ser necess rio colher provas o mais cedo poss vel ap s a ocorr ncia ver 12 1 7 6 3 1 Reportando incidentes de
12. transfer ncia de arquivo one way em um nico sentido c transfer ncia de arquivo both ways em ambos os sentidos d acesso interativo e acesso rede dependente de hor rio do dia ou de data 48 ISO IEC 17799 2000 E 9 4 8 Controle de roteamento da rede Redes compartilhadas especialmente aquelas que cruzam as fronteiras da organiza o podem exigir a incorpora o de controles de roteamento para assegurar que as conex es entre computadores e os fluxos de informa es n o violem a pol tica de controle de acesso das aplica es do neg cio ver 9 1 Este controle frequentemente essencial para redes compartilhadas com terceiros usu rios que n o pertencem organiza o Os controles de roteamento devem ser baseados em mecanismos de verifica o positiva de endere os de origem e destino A tradu o dos endere os de rede tamb m um mecanismo muito til para isolar redes e impedir as rotas de propagarem da rede de uma organiza o para a rede de outra Eles podem ser implementados em software ou hardware Os implementadores devem estar conscientes quanto robustez de quaisquer mecanismos adotados 9 4 9 Seguran a de servi os em rede Uma vasta gama de servi os de redes p blicas ou privadas est dispon vel alguns dos quais oferecem servi os com valor agregado Os servi os de rede podem ter caracter sticas de seguran a nicas ou complexas As organiza es que usam servi os de rede devem se a
13. 4 b A responsabilidades e os procedimentos para a administra o de equipamento remoto incluindo equipamento em reas de usu rios devem ser determinados c Se necess rio controles especiais devem ser estabelecidos para salvaguardar a confidencialidade e integridade dos dados que trafegam em redes p blicas e 32 ISO IEC 17799 2000 E para proteger os sistemas conectados ver 9 4 e 10 3 Controles especiais tamb m podem ser exigidos para manter a disponibilidade dos servi os de rede e computadores conectados d Atividades de gerenciamento devem ser cuidadosamente coordenadas para otimizar o servi o prestado ao neg cio e para assegurar que controles est o aplicados de forma consistente em toda a infra estrutura de processamento de informa es 8 6 Manuseio e seguran a de m dia Objetivo Impedir danos aos ativos e interrup es nas atividades do neg cio M dia deve ser controlada e fisicamente protegida Procedimentos operacionais apropriados devem ser estabelecidos para proteger documentos m dia magn tica fitas discos cassetes dados de entrada sa da e documenta o de sistemas contra danos roubos e acesso n o autorizado 8 6 1 Gerenciamento de m dia remov vel Devem existir procedimentos para o gerenciamento de m dias de computador remov veis tais como fitas discos cassetes e relat rios impressos Os seguintes controles devem ser considerados a Se n o forem mais necess rios os con
14. 5 4 e bombas l gicas Os usu rios devem ser conscientizados dos perigos relacionados com software malicioso ou n o autorizado e os gerentes devem onde apropriado implantar controles especiais para detectar ou impedir sua introdu o Em especial essencial que sejam tomadas precau es para detectar e impedir v rus em computadores pessoais 8 3 1 Controles contra software malicioso Devem ser implementados controles para detec o e preven o contra softwares maliciosos e procedimentos apropriados de conscientiza o dos usu rios A prote o contra software malicioso deve ser baseada em conscientiza o sobre seguran a acesso apropriado ao sistema e controles para gerenciamento de altera es Os seguintes controles devem ser considerados a uma pol tica formal que exija obedi ncia s licen as de software e pro ba o uso de software n o autorizado ver 12 1 2 2 b uma pol tica formal para proteger contra riscos associados com a obten o de arquivos e softwares atrav s de redes externas ou qualquer outro meio indicando quais medidas de prote o devem ser tomadas ver tamb m 10 5 especialmente 10 5 4 e 10 5 5 c instala o e atualiza o regular de software de detec o de v rus e reparo para varrer computadores e m dia como uma medida de precau o ou rotineiramente d conduzir revis es regulares do software e dos conte dos de dados dos sistemas que suportam processos cr ticos para o neg
15. IEC 17799 2000 E 6 Seguran a relacionada ao pessoal 6 1 Seguran a na defini o de fun es e aloca o de pessoal Objetivo Reduzir os riscos de erros humanos roubos fraudes ou uso indevido das facilidades As responsabilidades de seguran a devem ser tratadas no est gio de recrutamento inclu das em contratos e monitoradas durante o tempo que o indiv duo estiver no emprego Os candidatos em potencial devem ser adequadamente selecionados ver 6 1 2 especialmente para fun es sens veis Todos os empregados e usu rios terceirizados das facilidades de processamento de informa es devem assinar um contrato de confidencialidade n o divulga o 6 1 1 Incluindo a seguran a nas responsabilidades dos servi os Os pap is de seguran a e as responsabilidades conforme delineados na pol tica de seguran a de informa es da organiza o ver 3 1 devem ser documentados onde for apropriado Eles devem incluir quaisquer responsabilidades gerais pela implementa o ou manuten o da pol tica de seguran a bem como quaisquer responsabilidades espec ficas pela prote o de determinados ativos ou pela execu o de determinados processos ou atividades de seguran a 6 1 2 Sele o e pol tica de pessoal Para os empregados permanentes no momento das propostas de emprego devem ser efetuadas verifica es de confirma o Estas devem incluir os seguintes controles a disponibilidade de refer ncias satisfat
16. a para proteger a integridade do conte do das mensagens por exemplo transfer ncia eletr nica de fundos especifica es contratos e propostas com alta import ncia ou outros interc mbios de dados eletr nicos similares Uma avalia o dos riscos de seguran a deve ser efetuada para determinar se exigida autentica o de mensagens e para identificar o m todo mais apropriado de implementa o Autentica o de mensagens n o se destina a proteger os conte dos de uma mensagem contra divulga o n o autorizada T cnicas de criptografia ver 10 3 2 e 10 3 3 podem ser usadas como um meio adequado de implementar autentica o de mensagens 10 2 4 Valida o dos dados de sa da A sa da de dados de um sistema aplicativo deve ser validada para garantir que o processamento de informa es armazenadas seja correto e apropriado s circunst ncias Geralmente os sistemas s o constru dos baseado na premissa de que tendo havido valida o apropriada confirma o e testes a sa da ser sempre correta Isto n o sempre verdadeiro A valida o das sa das pode incluir a verifica es de plausibilidade para testar se os dados da sa da s o razo veis b contadores de controle para concilia o para assegurar o processamento de todos os dados c fornecer informa es suficiente para que um leitor ou um sistema de processamento subsequente possa determinar a exatid o a inteireza a precis o e a classifica o d
17. as necessidades de novos neg cios e sistemas e as tend ncias atuais e estimadas no processamento de informa es da organiza o Computadores mainframe exigem aten o especial por causa do custo muito maior e do tempo gasto para tomar a decis o de compra de novos recursos Os gerentes de servi os de mainframe devem monitorar a utiliza o dos recursos principais do sistema incluindo processadores mem ria principal armazenamento de arquivos impressoras e outros dispositivos de sa da e sistemas de comunica o Eles devem identificar as tend ncias na utiliza o particularmente em rela o s aplica es comerciais ou ferramentas de gerenciamento de sistemas de informa o Os gerentes devem usar essas informa es para identificar e evitar gargalos potenciais que possam representar uma amea a seguran a do sistema ou dos servi os para os usu rios e planejar a a o corretiva apropriada 8 2 2 Aceita o de sistemas Os crit rios de aceita o para novos sistemas de informa o upgrades e novas vers es devem ser estabelecidos e devem ser realizados testes adequados dos sistemas antes da aceita o Os gerentes devem garantir que os requisitos e os crit rios para aceita o de novos sistemas estejam claramente definidos concordados documentados e testados Os seguintes controles devem ser considerados a requisitos de performance e capacidade dos computadores b procedimentos de rein cio e recupera
18. autorizado a iniciar ou receber transa es espec ficas 49 ISO IEC 17799 2000 E Pode ser necess rio aplicar prote o f sica ao terminal para manter a seguran a do identificador do terminal Diversas outras t cnicas tamb m podem ser usadas para autenticar usu rios ver 9 4 3 9 5 2 Procedimentos de logon em terminais O acesso a servi os de informa o deve ser realizado via um processo de logon seguro O procedimento para conectar em um sistema de computador deve ser projetado para minimizar a oportunidade de acessos n o autorizados O procedimento de logon deve portanto divulgar o m nimo de informa es sobre o sistema de forma a evitar fornecer assist ncia desnecess ria a um usu rio n o autorizado Um bom procedimento de logon deve a n o exibir identificadores do sistema ou do aplicativo at que o processo de logon tenha sido completado com sucesso b exibir um aviso gen rico de que o computador deve ser acessado apenas por usu rios autorizados c n o fornecer mensagens de help durante o procedimento de logon que poderiam ajudar um usu rio n o autorizado d validar as informa es de logon apenas ap s terminada toda a entrada de dados Se ocorrer uma condi o de erro o sistema n o deve indicar qual parte dos dados est correta ou incorreta e limitar a quantidade permitida de tentativas fracassadas de logon recomenda se tr s e considerar 1 registrar todas as tentativas fracassad
19. caso de falta da terceira parte d direitos de acesso para auditar a qualidade e exatid o do trabalho executado e exig ncias contratuais para um c digo de qualidade f testes antes da instala o para detectar c digo Troiano 11 Gerenciamento da continuidade do neg cio 11 1 Aspectos do gerenciamento da continuidade do neg cio Objetivo Neutralizar interrup es nas atividades do neg cio e proteger processos cr ticos do neg cio contra os efeitos de grandes falhas ou desastres Um processo de gerenciamento da continuidade do neg cio deve ser implementado para reduzir a perturba o causada por desastres e falhas de seguran a que podem ser resultantes de por exemplo desastres naturais acidentes falhas em equipamentos e a es deliberadas a um n vel aceit vel atrav s da combina o de controles preventivos e de recupera o 69 ISO IEC 17799 2000 E As conseqii ncias de desastres falhas de seguran a e perda de servi os devem ser analisadas Planos de conting ncia devem ser desenvolvidos e implementados para assegurar que os processos do neg cio podem ser restaurados dentro das r guas de tempo exigidas Tais planos devem ser atualizados e praticados para se tornarem uma parte integral de todos os outros processos de gerenciamento O gerenciamento da continuidade do neg cio deve incluir controles para identificar e reduzir riscos limitar as consegii ncias de incidentes prejudiciais e garantir a r
20. cio A presen a de quaisquer arquivos n o aprovados ou modifica es n o autorizadas deve ser formalmente investigada e verifica o antiv rus antes de qualquer uso de quaisquer arquivos em m dia eletr nica de origem incerta ou n o autorizada ou arquivos recebidos de redes n o confi veis f verifica o contra software malicioso em quaisquer anexos de correio eletr nico e downloads antes de qualquer uso Esta verifica o pode ser conduzida em locais diferentes por exemplo em servidores de correio eletr nico computadores desktop ou na entrada da rede da organiza o g procedimentos de gerenciamento e responsabilidades para lidar com a prote o antiv rus nos sistemas treinamento sobre seu uso como reportar e recuperar de ataques de v rus ver 6 3 e 8 1 3 h planos apropriados para continuidade dos neg cios para recuperar de ataques de v rus incluindo todos os dados necess rios e arranjos para backup e recupera o de softwares ver t pico 11 30 ISO IEC 17799 2000 E 1 procedimentos para confirmar todas as informa es relativas a software malicioso e para garantir que os boletins de alerta sejam exatos e informativos Os gerentes devem assegurar que sejam usadas fontes confi veis como publica es respeitadas sites Internet confi veis ou fornecedores de software antiv rus para diferenciar entre hoaxes e v rus verdadeiros A equipe deve ser conscientizada quanto ao problema de hoaxes e o
21. da ger ncia deve ser considerada como uso impr prio das facilidades Se tal atividade for identificada pelo monitoramento ou outros meios ela deve ser trazida aten o do gerente individual envolvido para a a o disciplinar apropriada A legalidade do monitoramento da utiliza o varia de pa s para pa s e pode exigir que os empregados sejam avisados de tal monitoramento ou que seja obtida a sua concord ncia Deve se buscar aconselhamento legal antes de se implementar os procedimentos de monitoramento Muitos pa ses t m ou est o em processo de implantar legisla o para proteger contra m utiliza o de computadores Pode ser uma ofensa criminal usar um computador para prop sitos n o autorizados Portanto essencial que todos os usu rios estejam cientes do escopo exato de seu acesso permitido Isto pode ser conseguido por exemplo dando aos usu rios uma autoriza o escrita uma c pia da qual deve ser assinada pelo usu rio e guardada em seguran a pela organiza o Os empregados de uma organiza o e usu rios de terceiras partes devem ser avisados de que nenhum acesso permitido exceto aquele que est autorizado No momento do logon uma mensagem de alerta deve ser apresentada na tela do computador indicando que o sistema que est sendo acessado privado e que acesso n o autorizado n o permitido O usu rio tem que reconhecer e reagir adequadamente mensagem na tela para continuar com o processo de l
22. das informa es atrav s da emiss o e manuten o de uma pol tica de seguran a de informa es para toda a organiza o 3 1 1 Documento da pol tica de seguran a de informa es Um documento com a pol tica deve ser aprovado pela ger ncia publicado e divulgado conforme apropriado para todos os empregados Ele deve declarar o comprometimento da ger ncia e estabelecer a abordagem da organiza o quanto gest o da seguran a de informa es No m nimo a seguinte orienta o deve ser inclu da a uma defini o de seguran a de informa es seus objetivos gerais e escopo e a import ncia da seguran a como um mecanismo capacitador para compartilha mento de informa es ver introdu o b uma declara o de inten o da ger ncia apoiando os objetivos e princ pios da seguran a de informa es c uma breve explana o das pol ticas princ pios e padr es de seguran a e das exig ncias a serem obedecidas que s o de particular import ncia para a organiza o por exemplo 1 obedi ncia s exig ncias legislativas e contratuais 2 necessidades de educa o treinamento para seguran a 3 preven o e detec o de v rus e outros softwares prejudiciais 4 gerenciamento da continuidade do neg cio 5 consegii ncias das viola es da pol tica de seguran a d uma defini o das responsabilidades gerais e espec ficas pela gest o da seguran a das informa es incluindo relat rios
23. detalhes das altera es para todas as pessoas relevantes e procedimentos que identifiquem as responsabilidades pela interrup o e recupera o de altera es que n o foram conclu das com sucesso 9 N T Housekeeping procedimentos que precisam ser executados para manter um computador ou sistema operando adequadamente 25 ISO IEC 17799 2000 E 8 1 3 Procedimentos para gerenciamento de incidentes As responsabilidades e os procedimentos para gerenciamento de incidentes devem ser estabelecidos para garantir uma resposta r pida efetiva e ordenada aos incidentes de seguran a ver tamb m 6 3 1 Os seguintes controles devem ser considerados a devem ser estabelecidos procedimentos para cobrir todos os tipos potenciais de incidente de seguran a incluindo 1 falhas nos sistemas de informa o e perda de servi o 2 nega o de servi o 3 erros resultantes de dados incompletos ou inexatos 4 viola o de confidencialidade b Al m dos planos de conting ncia normais projetados para recuperar sistemas ou servi os o mais rapidamente poss vel os procedimentos devem cobrir tamb m ver tamb m 6 3 4 1 an lise e identifica o da causa do incidente 2 planejamento e implementa o de medidas para impedir a recorr ncia se necess rio 3 coleta de audit trails e provas similares 4 comunica o com aqueles afetados pelo incidente ou envolvidos com a recupera o dos danos provocados pelo incident
24. e mobili rio adequados para as atividades de trabalho dist ncia b uma defini o do trabalho permitido das horas de trabalho da classifica o das informa es que podem ser retidas e dos sistemas e servi os internos que o funcion rio que trabalha dist ncia est autorizado a acessar c a provis o de equipamento de comunica o adequado incluindo m todos para tornar seguro o acesso remoto d seguran a f sica e regras e orienta o sobre o acesso de familiares e visitantes ao equipamento e s informa es f a provis o de suporte e manuten o para o hardware e o software g os procedimentos para backup e continuidade do neg cio h auditoria e monitoramento de seguran a 1 revoga o de autoridade direitos de acesso e a devolu o do equipamento quando cessarem as atividades de trabalho dist ncia 10 Desenvolvimento e manuten o de sistemas 10 1 Requisitos de seguran a nos sistemas Objetivo Assegurar que a seguran a seja embutida nos sistemas de informa es Isto incluir infra estrutura aplica es do neg cio e aplica es desenvolvidas pelos usu rios O projeto e a implementa o do processo corporativo que d suporte aplica o ou ao servi o pode ser crucial para a seguran a Os requisitos de seguran a devem ser identificados e acordados antes do desenvolvimento de sistemas de informa o Todos os requisitos de seguran a incluindo a necessidade de arranjos p
25. entendida da mesma forma 11 ISO IEC 17799 2000 E pode ser apropriado rotular informa es em termos de qu o cr ticas elas s o para a organiza o por exemplo em termos de sua integridade e disponibilidade As informa es frequentemente deixam de ser sens veis ou cr ticas ap s um certo per odo de tempo por exemplo quando as informa es s o tornadas p blicas Esses aspectos devem ser levados em conta assim como tamb m o fato de uma classifica o excessiva poder levar a despesas adicionais desnecess rias As diretrizes para classifica o devem prever e admitir o fato de que a classifica o de um item qualquer de informa o n o necessariamente fixa por todo o tempo e pode mudar de acordo com alguma pol tica predeterminada ver 9 1 Deve se levar em considera o a quantidade de categorias de classifica o e os benef cios a serem obtidos com o seu uso Esquemas excessivamente complexos podem ser inc modos e dispendiosos para uso ou se mostrarem pouco pr ticos Deve se tomar cuidado ao se interpretar r tulos de classifica o em documentos vindos de outras organiza es as quais podem ter defini es diferentes para r tulos iguais ou com denomina o semelhante A responsabilidade pela defini o da classifica o de um item de informa o por exemplo para um documento um registro de dados um arquivo de dados ou disquete e para revisar periodicamente aquela classifica o deve permanecer c
26. fora da empresa Independentemente da propriedade o uso de qualquer equipamento fora das instala es f sicas da organiza o para processamento de informa es deve ser autorizado pela ger ncia A seguran a fornecida deve ser equivalente quela dos equipamentos on site usados para o mesmo prop sito levando se em considera o os riscos de trabalhar fora do local da organiza o Equipamentos de processamento de informa es incluem todas as formas de computadores pessoais organizadores telefones m veis papel ou outra forma que s o mantidos para trabalho em casa ou que est o sendo transportados para longe do local de trabalho normal As seguintes diretrizes devem ser consideradas a Equipamentos e m dias retirados do pr dio da organiza o n o devem ser deixados desacompanhados em locais p blicos Em viagens os computadores port teis devem ser transportados como bagagem pessoal e disfar ados onde poss vel b As instru es dos fabricantes para prote o dos equipamentos devem ser sempre observadas por exemplo prote o contra exposi o a campos eletromagn ticos intensos c Os controles para trabalhos em casa devem ser determinados por uma avalia o de riscos e os controles cab veis aplicados conforme apropriado por 22 ISO IEC 17799 2000 E exemplo arm rios arquivos tranc veis pol tica de mesa limpa e controles de acesso aos computadores d Cobertura de seguro adequada deve estar contr
27. identifica o e acordo sobre todas as responsabilidades e procedimentos emergenciais b implementa o de procedimentos emergenciais para permitir a recupera o e restaura o dentro das r guas de tempo exigidas preciso dar aten o especial avalia o de depend ncias externas do neg cio e dos contratos em vigor c documenta o dos procedimentos e processos acordados d educa o apropriada da equipe nos procedimentos e processos para emerg ncias incluindo gerenciamento de crise e testes e atualiza o dos planos O processo de planejamento deve focar nos objetivos requeridos do neg cio por exemplo restaurar servi os espec ficos para clientes em um per odo de tempo aceit vel Os servi os e recursos que permitir o que isto ocorra devem ser considerados incluindo a m o de obra recursos de processamento n o relacionados a informa es bem como arranjos de fallback para as facilidades de processamento de informa es 11 1 4 Estrutura para o planejamento da continuidade do neg cio Deve ser mantida uma nica estrutura para os planos de continuidade do neg cio para garantir que todos os planos sejam consistentes e para identificar prioridades para testes e manuten o Cada plano de continuidade do neg cio deve especificar claramente as condi es para sua ativa o bem como os indiv duos respons veis pela execu o de cada componente do plano Quando forem identificados novos requisitos o
28. mais baratos e mais eficazes se incorporados no est gio de especifica o de necessidades e projeto Como estabelecer os requisitos de seguran a E essencial que uma organiza o defina seus requisitos de seguran a Existem tr s fontes principais A primeira fonte derivada da avalia o dos riscos contra a organiza o Atrav s da avalia o de riscos as amea as aos ativos s o identificadas a vulnerabilidade e a probabilidade de ocorr ncia s o avaliadas e o impacto potencial estimado A segunda fonte s o as exig ncias legais estatut rias regulamentadoras e contratuais que uma organiza o seus parceiros comerciais empreiteiros e fornecedores de servi os precisam atender 2 A terceira fonte o conjunto espec fico de princ pios objetivos e requisitos para processamento de informa es que uma organiza o desenvolveu para dar suporte a suas opera es Avaliando os riscos de seguran a Os requisitos de seguran a s o identificados atrav s de uma avalia o met dica dos riscos de seguran a Os gastos com controles precisam ser pesados contra os prov veis preju zos resultantes de falhas na seguran a T cnicas de avalia o de riscos podem ser aplicadas a toda a organiza o ou apenas a partes dela bem como a sistemas de informa o individuais componentes de sistemas espec ficos ou servi os onde isto for pratic vel real stico e til A avalia o de riscos a considera o siste
29. o expedi o e recep o b procedimentos para notificar o remetente transmiss o expedi o e recep o c padr es t cnicos m nimos para embalagem e transmiss o d padr es de identifica o de para courier e responsabilidades inclusive financeiras no caso de perda de dados f uso de um sistema de rotulagem acordado entre as partes para as informa es cr ticas ou sens veis garantindo que o significado do r tulo seja entendido imediatamente e que as informa es sejam protegidas adequadamente 35 ISO IEC 17799 2000 E g propriedade das informa es e software e responsabilidades pela prote o de dados respeito aos copyrights dos softwares e considera es similares ver 12 1 2 e 12 1 4 h padr es t cnicos para ler e gravar informa es e softwares i quaisquer controles especiais que possam ser necess rios para proteger itens sens veis tais como chaves de criptografia ver 10 3 5 8 7 2 Seguran a de m dia em tr nsito Informa es podem ser vulner veis a acesso n o autorizado uso indevido ou corrompimento durante transporte f sico por exemplo ao se enviar m dia por meio dos correios ou de servi o de courier Os seguintes controles devem ser aplicados para salvaguardar m dia de computador que transportada entre locais diferentes a Devem ser usados couriers ou transportadoras confi veis No contrato deve ser acordada com a ger ncia uma lista de couriers autorizados e deve
30. o autorizada ou utiliza o indevida das informa es ou servi os As organiza es pequenas podem achar dif cil implantar esse m todo de controle mas o princ pio deve ser aplicado tanto quanto for poss vel e pratic vel Sempre que for dif cil segregar outros controles como monitoramento de atividades audit trails e supervis o gerencial devem ser considerados importante que a auditoria da seguran a permane a independente Deve se tomar cuidado para que uma pessoa sozinha n o possa executar fraudes sem ser detectada nas reas onde a responsabilidade apenas dela O in cio de um evento deve ser separado de sua autoriza o Os seguintes controles devem ser considerados a E importante segregar atividades que requerem coniv ncia para serem defraudadas como abrir uma ordem de compra e confirmar que os bens foram recebidos b Se houver perigo de coniv ncia ent o os controles devem ser planejados de modo que duas ou mais pessoas sejam envolvidas diminuindo assim a possibilidade de conspira o 8 1 5 Separa o das facilidades de desenvolvimento e de produ o Separar as facilidades de desenvolvimento testes e produ o importante para se obter a segrega o dos pap is envolvidos As regras para transfer ncia de software do desenvolvimento para o status operacional devem ser definidas e documentadas As atividades de desenvolvimento e testes podem causar s rios problemas tais como modifica o indesej
31. o de cada servi o a ser disponibilizado d o n vel desejado de servi o e n veis de servi o n o aceit veis e provis o para transfer ncia de equipe onde apropriado f as respectivas responsabilidades das partes com rela o ao contrato g as responsabilidades relacionadas com aspectos legais por exemplo legisla o de prote o de dados especialmente considerando diferentes sistemas legais nacionais se o contrato envolver a coopera o com organiza es em outros pa ses ver tamb m 12 1 h direitos de propriedade intelectual IPRs e atribui o de copyrights ver 12 1 2 e prote o de qualquer trabalho colaborativo ver tamb m 6 1 3 1 acordos para o controle de acesso cobrindo 1 os m todos de acesso permitidos e o controle e o uso de identificadores nicos tais como IDs de usu rio e senhas 2 um processo de autoriza o para acesso de usu rios e privil gios 3 uma exig ncia de manter uma lista de indiv duos autorizados a usar os servi os que est o sendo disponibilizados e quais s o seus direitos e privil gios com respeito a tal uso ISO IEC 17799 2000 E j a defini o de crit rios de desempenho verific veis sua monitora o e relat rios k o direito de monitorar e revogar as atividades dos usu rios D o direito de auditar responsabilidades contratuais ou de realizar tais auditorias por meio de uma terceira parte m o estabelecimento de um processo de escalonamento pa
32. o or amento cobrir o revis es e testes dos sistemas resultantes de altera es no sistema operacional c garantir que a notifica o das altera es do sistema operacional seja fornecida em tempo para permitir que ocorram revis es apropriadas antes da implementa o d garantir que as altera es apropriadas sejam feitas nos planos de continuidade do neg cio ver cl usula 11 10 5 3 Restri es para altera es em pacotes de software Modifica es em pacotes de software devem ser desencorajadas Tanto quanto poss vel e pratic vel pacotes de software fornecidos por revendedor devem ser usados sem modifica o Onde for considerado essencial modificar um pacote de software Os seguintes pontos devem ser considerados a orisco de controles embutidos e processos de integridade serem comprometidos b seo consentimento do revendedor deve ser obtido c a possibilidade de obter as altera es desejadas do pr prio revendedor como atualiza es padronizadas do software d o impacto se a organiza o se tornar respons vel pela manuten o futura do software como resultado das altera es Se altera es forem consideradas essenciais o software original deve ser retido e as altera es aplicadas em uma c pia claramente identificadas Todas as altera es devem ser completamente testadas e documentadas de modo que possam ser reaplicadas se necess rio em upgrades futuros do software 68 ISO IEC 17799 20
33. o para assegurar que todas as pol ticas relevantes e exig ncias sejam atendidas b Quando necess rio o hardware e o software devem ser verificados para assegurar que eles s o compat veis como outros componentes do sistema Nota Aprova o de tipo pode ser exigida para certas conex es c O uso de facilidades pessoais de processamento de informa es para processar informa es do neg cio e quaisquer controles necess rios t m que ser autorizados d O uso de facilidades pessoais de processamento de informa es no local de trabalho pode acarretar novas vulnerabilidade e portanto deve ser avaliado e autorizado Estes controles s o especialmente importantes em ambientes que utilizam redes 4 1 5 Aconselhamento especializado sobre seguran a de informa es muito prov vel que um aconselhamento especializado sobre seguran a de informa es seja necess rio em muitas organiza es Idealmente um consultor interno experiente em seguran a de informa es poderia prover isto Nem todas as organiza es podem desejar empregar um consultor especializado Em tais casos recomendado que um indiv duo espec fico seja apontado para coordenar o conhecimento e as experi ncias internas para garantir consist ncia e ajudar na tomada de decis es relativas seguran a Eles tamb m deveriam ter acesso a consultores externos adequados que fornecessem aconselhamento especializado para situa es que estejam fora da experi
34. principal Pelo menos tr s gera es ou ciclos de informa es backup devem ser guardados para as aplica es importantes para o neg cio b Informa es backup devem ter um n vel de prote o f sica e ambiental apropriado ver cl usula 7 consistente com os padr es aplicados no site principal Os controles aplicados m dia no site principal devem ser estendidos para cobrir o site de guarda dos backups c A m dia dos backups deve ser regularmente testada onde pratic vel para garantir que eles s o confi veis para uso emergencial quando necess rio d Procedimentos de restaura o devem ser constantemente checados e testados para garantir que eles s o eficazes e que podem ser conclu dos dentro do tempo alocado nos procedimentos operacionais para recupera o O per odo de reten o para informa es essenciais ao neg cio e tamb m quaisquer exig ncias de que c pias archive sejam retidas permanentemente ver 12 1 3 devem ser determinados 31 ISO IEC 17799 2000 E 8 4 2 Logs de operador A equipe da opera o deve manter um log de suas atividades Os logs devem incluir conforme apropriado a hor rios de in cio e fim do sistema b erros no sistema e a o corretiva executada c confirma o do manuseio correto de arquivos de dados e sa das geradas d o nome da pessoa que fez a anota o no log Os logs de operador devem estar sujeitos a verifica es independentes e regulares sendo comparad
35. runs da ind stria O interc mbio de informa es de seguran a deve ser restrito para assegurar que informa es confidenciais da organiza o n o sejam repassadas para pessoas n o autorizadas 4 1 7 Revis o independente da seguran a das informa es O documento sobre a pol tica de seguran a de informa es ver 3 1 estabelece a pol tica e as responsabilidades pela seguran a das informa es Sua implementa o deve ser revisada de forma independente para fornecer garantia de que as pr ticas da organiza o refletem adequadamente a pol tica e que ela vi vel e eficaz ver 12 2 Tal revis o pode ser executada pela fun o de auditoria interna por um gerente independente ou por uma organiza o externa especializada em tais revis es onde esses candidatos tenham as compet ncias e experi ncias apropriadas 4 2 Seguran a para o acesso de terceiros Objetivo Manter a seguran a das facilidades de processamento de informa es organizacionais e ativos de informa o acessados por terceiros O acesso por terceiros s facilidades de processamento de informa es da organiza o deve ser controlado Onde houver uma necessidade do neg cio para tal acesso de terceiros deve ser efetuada uma avalia o de riscos para determinar as implica es de seguran a e as exig ncias de controle Os controles devem ser acordados e definidos em um contrato com a terceira parte O acesso de terceiros tamb m pode env
36. ser implementado um procedimento para confirmar a identifica o dos couriers b A embalagem deve ser suficiente para proteger os conte dos contra quaisquer danos f sicos que possam ocorrer durante o tr nsito e deve estar de acordo com as especifica es dos fabricantes c Controles especiais devem ser adotados onde necess rio para proteger informa es sens veis contra divulga o n o autorizada ou modifica o Exemplos incluem 1 uso de cont ineres trancados 2 entrega pessoal 3 embalagem que evidencie viola o que revele qualquer tentativa de obter acesso 4 em casos excepcionais o desmembramento do material em mais de uma entrega e o envio por mais de uma rota 5 uso de assinaturas digitais e criptografia ver 10 3 8 7 3 Seguran a para com rcio eletr nico O com rcio eletr nico pode envolver o uso de interc mbio de dados eletr nicos EDI correio eletr nico e transa es online atrav s de redes p blicas tais como a Internet O com rcio eletr nico vulner vel a muitas amea as pela rede que podem resultar em atividade fraudulenta disputa contratual e divulga o ou modifica o de informa es Devem ser aplicados controles para proteger o com rcio eletr nico contra tais amea as As considera es de seguran a para o com rcio eletr nico incluem os seguintes controles a Autentica o Qual n vel de seguran a deve o cliente e o negociante exigirem quanto identidade aleg
37. stico remoto por linha discada para uso pelos engenheiros de manuten o Se desprotegidas estas portas de diagn stico propiciam um meio para acesso n o autorizado Portanto elas devem ser protegidas por um mecanismo de seguran a adequado como um key lock e um procedimento para garantir que elas sejam 47 ISO IEC 17799 2000 E acess veis apenas atrav s de combina o entre o gerente do servi o de computador e o pessoal de suporte de hardware software que solicitar o acesso 9 4 6 Segrega o em redes As redes est o cada vez mais se estendendo al m das fronteiras tradicionais das organiza es medida que s o formadas parcerias comerciais que podem necessitar de interconex o ou compartilhamento de facilidades de processamento de informa es e redes Tais extens es podem aumentar o risco de acesso n o autorizado aos sistemas de informa o que j usam a rede alguns dos quais podem exigir prote o contra outros usu rios da rede devido sua confidencialidade ou criticalidade Em tais circunst ncias a introdu o de controles dentro da rede para segregar grupos de servi os de informa o usu rios e sistemas de informa o deve ser considerada Um m todo de controlar a seguran a de grandes redes dividi las em dom nios l gicos separados como dom nios das redes internas da organiza o e dom nios das redes externas cada um protegido por um per metro de seguran a definido Um tal per metro pode s
38. testes de penetra o poder levar a um comprometimento da seguran a do sistema e inadvertidamente explorar outras vulnerabilidades Qualquer verifica o de obedi ncia t cnica somente deve ser executada por ou sob a supervis o de pessoas autorizadas e competentes 12 3 Considera es para auditoria de sistemas Objetivo Maximizar a efic cia do processo de auditoria de sistemas minimizar a interfer ncia do processo de auditoria nos neg cios minimizar interfer ncias no processo de auditoria Devem existir controles para salvaguardar os sistemas operacionais e as ferramentas de auditoria durante auditorias de sistemas Prote o tamb m exigida para salvaguardar a integridade e impedir a utiliza o indevida das ferramentas de auditoria 12 3 1 Controles para auditoria de sistemas Requisitos de auditoria e atividades envolvendo verifica es em sistemas operacionais devem ser cuidadosamente planejados e acordados para minimizar o risco de perturba es nos processos do neg cio O seguinte deve ser observado a Requisitos de auditoria devem ser acordados com a ger ncia apropriada b O escopo das verifica es deve ser acordado e controlado c As verifica es devem ser limitadas a acesso de leitura apenas aos softwares e dados d Outro acesso que n o seja leitura apenas deve ser permitido somente para c pias isoladas dos arquivos do sistema as quais devem ser apagadas quando a auditoria estiver co
39. treinamento para seguran a das informa es ver 6 2 1 d relat rios dos incidentes de seguran a ver 6 3 1 e gerenciamento da continuidade do neg cio ver 11 1 Esses controles se aplicam maioria das organiza es e dos ambientes Deve se observar que apesar de os controles neste documento serem importantes a relev ncia de qualquer controle deve ser determinada sob a luz dos riscos espec ficos que uma organiza o est enfrentando Portanto apesar de o enfoque acima ser considerado um bom ponto de partida ele n o substitui uma sele o de controles baseada em uma avalia o de riscos Fatores cr ticos para o sucesso A experi ncia tem mostrado que os fatores seguintes freq entemente s o cr ticos para a implementa o bem sucedida da seguran a de informa es dentro de uma organiza o a pol tica objetivos e atividades de seguran a que reflitam os objetivos do neg cio b uma abordagem para implementar a seguran a que seja consistente com a cultura organizacional c suporte vis vel e compromisso por parte da administra o d um bom entendimento das necessidades de seguran a avalia o de riscos e gerenciamento de riscos e marketing de seguran a eficaz para todos os gerentes e empregados f distribui o de orienta o sobre a pol tica e os padr es de seguran a de informa o para todos os empregados e contratados g fornecimento de treinamento e educa o apropriados
40. veis d autoriza o para uso ad hoc de utilit rios de sistema e limita o da disponibilidade dos utilit rios de sistema por exemplo pela dura o de uma modifica o autorizada f registro em log de todo uso de utilit rios de sistema g definir e documentar n veis de autoriza o para utilit rios de sistema h remover todos os softwares utilit rios e softwares de sistema que sejam desnecess rios 9 5 6 Alarme de coa o para salvaguardar usu rios A provis o de um alarme de coa o deve ser considerada para usu rios que possam ser alvo de coer o A decis o de se colocar um tal alarme deve ser baseada em uma avalia o de riscos Devem ser definidas responsabilidades e procedimentos para responder a um alarme de coa o 9 5 7 Time out no terminal Terminais inativos em locais de alto risco por exemplo reas p blicas ou externas fora do gerenciamento de seguran a da organiza o ou servindo a sistemas de alto risco devem ser desligados shut down ap s um per odo definido de inatividade para impedir o acesso de pessoas n o autorizadas Este recurso deve limpar a tela do terminal e fechar as sess es do aplicativo e da rede ap s um per odo definido de inatividade O intervalo de tempo deve refletir os riscos de seguran a da rea e dos usu rios do terminal Uma forma limitada de facilidade de time out de terminal pode ser fornecida em alguns PCs que limpam a tela e impedem o acesso n o autoriza
41. 00 E 10 5 4 Covert channels e c digo troiano Um covert channel pode expor informa es por alguns meios indiretos e obscuros Ele pode ser ativado alterando se um par metro acess vel tanto por elementos seguros quanto inseguros de um sistema informatizado ou embutindo se informa es em um fluxo de dados C digo troiano projetado para afetar um sistema de uma forma que n o autorizada e n o prontamente percebida e n o solicitada pelo receptor ou usu rio de um programa Covert channels e c digo troiano raramente ocorrem por acidente Onde existir preocupa o com covert channels ou c digos troianos os seguintes devem ser considerados a comprar programas apenas de uma fonte de renome b comprar programas em c digo fonte apenas se o c digo puder ser verificado c usar produtos testados e aprovados d inspecionar todo o c digo fonte antes do uso operacional e controlar o acesso ao c digo e modifica es no c digo ap s o c digo ser instalado f usar equipe de confian a comprovada para trabalhar nos sistemas chaves 10 5 5 Desenvolvimento terceirizado de software Onde o desenvolvimento de software for terceirizado os seguintes pontos devem ser considerados a contratos de licenciamento propriedade do c digo e direitos de propriedade intelectual ver 12 1 2 b certifica o da qualidade e da exatid o do trabalho executado c arranjos para servi os de cust dia no
42. 17799 2000 E 9 4 3 Autentica o de usu rio para conex es externas Conex es externas apresentam um potencial para acesso n o autorizado s informa es do neg cio como por exemplo acesso atrav s de m todos dial up Portanto o acesso de usu rios remotos deve estar sujeito autentica o Existem tipos diferentes de m todos de autentica o e alguns fornecem um n vel de prote o maior do que outros tais como m todos baseados no uso de t cnicas criptogr ficas que podem propiciar uma autentica o mais poderosa importante determinar o n vel de prote o requerida a partir de uma avalia o de riscos Isto necess rio para a sele o apropriada de um m todo de autentica o Autentica o de usu rios remotos pode ser conseguida usando se por exemplo uma t cnica baseada em criptografia tokens de hardware ou protocolo tipo challenge response Linhas privadas dedicadas ou uma funcionalidade para checar endere os de usu rio na rede tamb m podem ser usadas para fornecer garantia da origem das conex es Procedimentos e controles para dial back por exemplo usando modems dial back podem fornecer prote o contra conex es n o autorizadas ou indesejadas s facilidades de processamento de informa es de uma organiza o Este tipo de controle autentica os usu rios que tentam estabelecer uma conex o a uma rede da organiza o a partir de locais remotos Quando usar este controle uma organiza o
43. 2 4 Revis o dos direitos de acesso dos usu rios iteeee eee eeeeeeeeeeeeaeeeneraneraneaearenereneranes 44 9 3 RESPONSABILIDADES DOS USU RIOS erre eereeareeee re eaeearareene re caraeare nara eaeaeararaanaa 44 9 3 1 Uso de senhas onsen a a ai end dida Eva Bo OEA Pa tdo o o aE RES naa EE 44 9 3 2 Equipamentos de usu rio desassistidos ci rrerrreereaenerrareerararenacarennaranaeenaeananacanos 45 9 4 CONTROLE DE ACESSO REDE misrani sto rne aa E sql do SU TABS a E lol alado al dean poa 45 9 4 1 Pol tica sobre o uso de servi os em rede ii rrrrereacereerraereeneenaeacanaeaeaerneaa 45 94 2 P th obrigat r io erann stasio n a e salao a a a a lusos Sadus vb landl eie 46 9 4 3 Autentica o de usu rio para conex es externas ssseeeseeeeeeeerrrereerereerrerrereereeeseees 47 9 44 Autentica o de nodo isasi rnresieeaoeea eane a a REA AEEA EREA EEEN ETRE cad 47 9 4 5 Prote o de porta de diagn stico remoto sesssssseseeseeeeereeiererrersrsrerrereersesrrreerereersesreeee 47 9 46 Segtregac o em Tedes ias ene eE EE Aa EEE NE E aE a A ENEE N e ES 48 9 4 7 Controle das conex es de rede areneereeneennearaa ae enneaeaa ne enneee sa neenncaraaneaa 48 9 4 8 Controle de roteamento da rede eee rereeerer ae enncarea ne enncaeaa ne enncaraa ae ennearaantos 49 9 4 9 Seguran a de servi os em rede rr rerrreereracaraearennarananeenaracenarar anna raca neenaeananacns 49 9 5 CONTROLE DE ACESSO AO SISTEMA OPERACIONAL ccc
44. 2 REVIS ES DA POL TICA DE SEGURAN A E OBEDI NCIA T CNICA ccccemereereeeeeeeseresereeeeeeneos 78 12 2 1 Obedi ncia pol tica de seguran a erreererererereeraeerae eae eaee aeee nenaneaaneaa 78 12 2 2 Verifica o da obedi ncia t cnica reererraerereaeenararenacaa anne raneneenaeananana 78 12 3 CONSIDERA ES PARA AUDITORIA DE SISTEMAS cicisceeeeeeereeereeereeeaaeeceeneareeenneererenaserenneos 19 12 3 1 Controles para auditoria de sistemas reirereereeereeeeerae eae race aeaaneeaaeaaaeanata 79 12 3 2 Prote o das ferramentas de auditoria de sistemas 79 ISO IEC 17799 2000 E Pref cio A ISO International Organization for Standardization e a IEC International Electrotechnical Commission formam o sistema especializado para padroniza o mundial Entidades nacionais que s o membros da ISO ou IEC participam do desenvolvimento de Padr es Internacionais atrav s de comit s t cnicos estabelecidos pela respectiva organiza o para lidar com campos espec ficos de atividade t cnica Os comit s t cnicos da ISO e da IEC colaboram em campos de interesse m tuo Outras organiza es internacionais governamentais e n o governamentais em associa o com a ISO e a IEC tamb m participam dos trabalhos Os Padr es Internacionais s o esbo ados de acordo com as regras estabelecidas nas Diretivas ISO IEC Parte 3 No campo da tecnologia da informa o a ISO e a IEC estabeleceram um comit t cnico c
45. 6 Seguran a para descarte ou reutiliza o de equipamentos 23 Ter CONTROLESIGERAIS tt n tetos eu E T poa es A E N A 23 7 3 1 Pol tica de mesa limpa e tela limpa reerreerararenararenneranane rare anaracenaeaanananaa 23 Y 2Remo o de propriedade eserine pena e aei pda E pe caldo da et Gac pa dh aca 24 8 GERENCIAMENTO DE COMUNICA ES E OPERA ES ceceeenensenensenensenersersersers 24 8 1 PROCEDIMENTOS OPERACIONAIS E RESPONSABILIDADES eereereeeeseereseeseeeeseeseeresaeseerenaeeeeres 24 8 1 1 Procedimentos operacionais documentados rrereaeereeeaerneneenaeacanaeaeanerneada 24 8 1 2 Controle das mudan as operacionais ci rrerrreerraenerenareeararenararennarananeenneananatanos 25 8 1 3 Procedimentos para gerenciamento de incidentes n se 26 8 1 9 Seprega o de tarefas iia e pobena ndo E A Ea E a EEES EEE EE Tae 26 8 1 5 Separa o das facilidades de desenvolvimento e de produ o 27 8 1 6 Gerenciamento de facilidades externas eee reeaeeereea aeee neraaeerererernnananoa 28 8 2 PLANEJAMENTO E ACEITA O DE SISTEMAS s ssseseseeeessetetsseetssttetettessttetssreesstreesereessereesssreessert 28 8 2 1 C p city planning moine EA EE E E A E EE AE ENE EEE 29 8 2 2 Aceita o de sistemas ni onae aE EEE a EEA OEE EEN T ESE E ATE a usns nanda ads 29 8 3 PROTE O CONTRA SOFTWARE MALICIOSO seeseeseseeeessstetsseretestertertessttetsstteessrteseteesseretssrreesseee 30 8 3 1 Controles contra softw
46. IAMENTO DA CONTINUIDADE DO NEG CIO eeerneeeeneermmeeeeeeeeemmeseemers 69 11 1 ASPECTOS DO GERENCIAMENTO DA CONTINUIDADE DO NEG CIO ccieeeemeeeeeeeseresereeeeeeneos 69 11 1 1 Processo de gerenciamento da continuidade do neg cio ieeeceeeceeeeranem 70 11 1 2 Continuidade do neg cio e an lise de impacto ieieecrereeeereeeeeeeeeeceraneranena 70 11 1 3 Defini o e implementa o de planos de continuidade ii ieeeceeecereeranena 71 11 1 4 Estrutura para o planejamento da continuidade do neg cio 71 11 1 5 Testes manuten o e reavalia o dos planos para continuidade do neg cio 72 12 OBEDI NCIA A EXIG NCIAS jsatanasisersniaasiossegbiciniiasia ia do cafona il cj aa 73 12 1 OBEDI NCIA S EXIG NCIAS LEGAIS ani e a a e ER E E EE an 12 1 1 Identifica o da legisla o aplic vel erre ereeeaeeraeeaenanenaneaa 12 1 2 Direitos de propriedade industrial IPR rr rerreeerararenaeaa caneca nene enaranananaa 12 1 3 Salvaguarda de registros organizacionais rerrerereeeerararanaeaa eae rneneenarananana 12 1 4 Prote o de dados e privacidade de informa es pessoais 12 1 5 Preven o da utiliza o indevida das facilidades de processamento de informa es 76 12 1 6 Regulamenta o de controles criptogr ficos ir rrereeerrereea eae reeeneenararanana 76 IZA 7 Coleta de PrOV S ss maei e e ies E rea DA dO cad EEA DAS pa Sa casada e ag ENS ARES Een 77 12
47. PADR O ISO IEC INTERNACIONAL 17799 Tecnologia da Informa o C digo de Pr tica para Gest o da Seguran a de Informa es N mero de refer ncia ISO IEC 17799 2000 E ISO IEC 17799 2000 E ndice gt O QUE SEGURAN A DE INFORMA ES s nssseesesseseesseseesseseeressesesertesreseensesesnrssesresneseenseseensssesrese VI POR QUE NECESS RIA A SEGURAN A DE INFORMA ES ccciteeeeeeeeeeeeeeeeeeeeeeererererererereeeeeeaees VI COMO ESTABELECER OS REQUISITOS DE SEGURAN A cccccieeereereeeereeeenneereeenaeereaaarecenneareeaaneeraes VII AVALIANDO OS RISCOS DE SEGURAN A SELECIONANDO CONTROLES ccceceeeeereereeeeerereeeereraaeereenea PONTO DE PARTIDA PARA A SEGURAN A DAS INFORMA ES FATORES CR TICOS PARA O SUCESSO cciccctteeeeeeeeeerererecerereeeeeenereneeeae encon aeee aere near ereeererereeeeecenaees DESENVOLVENDO SUAS PR PRIAS DIRETRIZES 2 3 POL TICA DE SEGURAN A ccreceerernecernernecernernecornernecosresne cosa eras cosa esne coca csne caca asae casu asascecuasasrasaes 3 1 POL TICA DE SEGURAN A DE INFORMA ES cciccereemeeeaeereeerereerererererecerereeeeeeeeeneeeneeeaceraeendo 2 3 1 1 Documento da pol tica de seguran a de informa es iirrireraereereerreeeeeneeraranen o 2 3 1 2 Revis o avalia o mis cus rancor asitoncsanaiide oriista anna da iai aiia 2 4 SEGURAN A ORGANIZACIONAL eseseseseseseseseeeseeeeeec
48. VEE E U E ie A EEKE SEE SKE si 61 10 3 1 Pol tica para o uso de controles criptogr ficoS sseseseseeseeeereereereresrsrssrrrreserreesrsrrers 6l T0 5 2 Criptografia no aona ier e ds A E R E A EE E E a 62 1T0 3 3 Assinaturas digitais icons fes nsi e e ae e ea eea oa Pes a a aa aaa AE AEEA 62 10 3 4 Servi os de n o repudia o iriiritia ee a E E a ea aE A EEA 63 10 3 5 Gerenciamento de chaveS onnoeneneeeeesesesesssessssrsseessresseessesesesessseresersstesttsstesseessessseseessse 63 10 4 SEGURAN A DE ARQUIVOS DO SISTEMA ssossssssesesssseseessssesesereeresssresetsssseserersesseserereesessenreesesse 65 10 4 1 Controle de software operacional reerereeeeeeeeeneaeeereeraeenarenareaaeeaa 65 10 4 2 Prote o de dados usados em teste de sistemas iiiirirrereerrereeeeeeraraeaneaeneenana 66 10 4 3 Controle de acesso biblioteca fonte de programas 66 10 5 SEGURAN A NOS PROCESSOS DE DESENVOLVIMENTO E SUPORTE ccceeeeeeeeeereeeeaeeeeaneos 67 ISO IEC 17799 2000 E 10 5 1 Procedimentos para controle de altera es e ererereeereeeeeaaeeaaeeaneaa 67 10 5 2 Revis o t cnica de altera es em sistemas operacionais 68 10 5 3 Restri es para altera es em pacotes de software eee 68 10 5 4 Covert channels e c digo troiano rreerraeeneera rea rreae arara nene enaracanae aa anne raneeana 69 10 5 5 Desenvolvimento terceirizado de software rreereracererararenaeaaenneraneneenararanana 69 11 GERENC
49. a es administrativas tais como comunicar ordens ou autoriza es f categorias de pessoal contratados ou parceiros comerciais autorizados a usar O sistema e os locais de onde ele pode ser acessado ver 4 2 g restringir facilidades selecionadas a categorias espec ficas de usu rios h identificar o status dos usu rios por exemplo empregados da organiza o ou prestadores de servi o em listas para o benef cio de outros usu rios 1 reten o e backup das informa es mantidas no sistema ver 12 1 3 e 8 4 1 j requisitos e provid ncias para fallback ver 11 1 8 7 6 Sistemas disponibilizados publicamente Devem ser tomados cuidados para proteger a integridade de informa es publicadas eletronicamente para impedir modifica o n o autorizada que poderia prejudicar a reputa o da organiza o publicadora As informa es em um sistema disponibilizado publicamente tal como informa es em um servidor de Web acess veis via Internet podem necessitar obedecer a leis normas e regulamentos na jurisdi o onde o sistema est localizado ou onde os neg cios ocorrem Deveria existir um processo formal de autoriza o antes que as informa es sejam disponibilizadas publicamente Software dados e outras informa es que necessitem de um alto n vel de integridade tornadas dispon veis em um sistema p blico devem ser protegidas pelos mecanismos apropriados como assinaturas digitais ver 10 3 3 Sistemas de publ
50. acordado entre as partes Por exemplo o contrato deve mencionar a como as exig ncias legais ser o satisfeitas por exemplo a legisla o quanto prote o de dados b quais arranjos devem ser implantados para assegurar que todas as partes envolvidas na terceiriza o incluindo subcontratados estejam cientes de suas responsabilidades para com a seguran a ISO IEC 17799 2000 E c como a integridade e a confidencialidade dos ativos de informa o da organiza o devem ser mantidos e testados d quais controles f sicos e l gicos ser o usados para restringir e limitar o acesso s informa es sens veis da organiza o para os usu rios autorizados e como a disponibilidade dos servi os deve ser mantida na eventualidade de um desastre f quais n veis de seguran a f sica devem ser fornecidos para equipamento terceirizado g o direito de auditoria Os termos relacionados na lista do item 4 2 2 tamb m devem ser considerados como parte desse contrato O contrato deve permitir que os requisitos e procedimentos de seguran a sejam expandidos em um plano de gest o de seguran a a ser acordado entre as partes Apesar de contratos de terceiriza o poderem apresentar algumas quest es complexas de seguran a os controles inclu dos neste c digo de pr tica podem servir como um ponto de partida para um acordo quanto estrutura e o conte do do plano de gest o da seguran a 5 Classifica o e controle
51. ada a qualquer um e uma chave privada que tem que ser mantida em segredo As t cnicas de chave p blica podem ser usadas para criptografia ver 10 3 2 e para produzir assinaturas digitais ver 10 3 3 Todas as chaves devem ser protegidas contra modifica o e destrui o e chaves secretas e privadas precisam de prote o contra divulga o n o autorizada T cnicas criptogr ficas tamb m podem ser usadas para este prop sito Prote o f sica deve ser usada para proteger o equipamento usado para gerar armazenar e arquivar as chaves 10 3 5 2 Padr es procedimentos e m todos Um sistema de gerenciamento de chaves deve ser baseado em um conjunto acordado de padr es procedimentos e m todos seguros para a gerar chaves para sistemas criptogr ficos diferentes e aplica es diferentes b gerar e obter certificados de chaves p blicas c distribuir chaves para os usu rios pretendidos incluindo como as chaves devem ser ativadas ao serem recebidas d armazenar chaves incluindo como os usu rios autorizados obter o acesso s chaves e alterar ou atualizar chaves incluindo regras sobre quando as chaves devem ser mudadas e como isto ser feito f revogar chaves incluindo como as chaves devem ser retomadas ou desativadas por exemplo quando as chaves forem comprometidas ou quando um usu rio deixar a organiza o em cujo caso as chaves tamb m deve ser colocadas em archive g recuperar chaves que est o perdid
52. ada de arquivos ou do ambiente de desenvolvimento ou falha no sistema Deve ser considerado o n vel de separa o que necess rio entre ambientes de produ o testes e desenvolvimento para impedir problemas operacionais Uma separa o similar tamb m deve ser implementada entre as fun es de desenvolvimento e teste Neste caso existe uma necessidade de se manter um ambiente est vel e conhecido no qual se possa executar testes significativos e de impedir o acesso inadequado pelo desenvolvedor Onde as equipes de desenvolvimento e testes tiverem acesso ao sistema operacional e a suas informa es eles podem ser capazes de introduzir c digo n o autorizado e n o testado ou alterar dados operacionais Em alguns sistemas essa capacidade pode ser usada impropriamente para cometer fraudes ou introduzir c digo malicioso ou n o testado C digo malicioso ou n o testado pode causar s rios problemas operacionais Os desenvolvedores e testadores tamb m representam uma amea a confidencialidade das informa es operacionais As atividades de desenvolvimento e de testes podem causar altera es n o intencionadas ao software e s informa es se elas compartilharem o mesmo ambiente computacional Separar as instala es de desenvolvimento teste e produ o portanto desej vel para reduzir o risco de altera o acidental ou acesso n o autorizado para software operacional e dados do neg cio Os seguintes controles devem ser c
53. ada de cada um b Autoriza o Quem est autorizado a definir pre os emitir ou assinar documentos comerciais importantes Como o parceiro comercial sabe disto c Processos relacionados com contratos e propostas Quais s o os requisitos de confidencialidade integridade e prova de envio e recep o de documentos importantes e da n o repudia o de contratos 36 ISO IEC 17799 2000 E d Informa es de pre os Qual o n vel de confian a que pode ser depositado na integridade da lista de pre os anunciada e na confidencialidade de acordos confidenciais para descontos e Transa es de encomendas Como fornecida a confidencialidade e integridade para detalhes de manipula o de encomendas pagamentos entrega e confirma o de recebimento f Escrut nio Qual grau de detalhamento no exame apropriado para checar informa es de pagamento fornecidas pelo cliente g Quita o Qual a forma de pagamento mais apropriada para resguardar contra fraudes h Encomendas Qual prote o necess ria para manter a confidencialidade e integridade das informa es de encomenda e para evitar a perda ou duplicidade de transa es 1 Responsabilidade financeira Quem arca com o risco de transa es fraudulentas Muitas das considera es acima podem ser tratadas com a aplica o de t cnicas de criptografia esbo adas no item 10 3 levando em conta a obedi ncia s exig ncias legais ver 12 2 especialmen
54. ade c inspecionar documentos de entrada impressos quanto a quaisquer altera es n o autorizadas nos dados de entrada todas as altera es em documentos de entrada devem ser autorizadas d procedimentos para responder a erros de valida o e procedimentos para testar a plausibilidade dos dados de entrada 59 ISO IEC 17799 2000 E f definir as responsabilidades de todo o pessoal envolvido no processo de entrada de dados 10 2 2 Controle do processamento interno 10 2 2 1 reas de risco Dados que foram entrados corretamente podem ser corrompidos por erros de processamento ou atrav s de atos deliberados Verifica es para valida o devem ser incorporadas nos sistemas para detectar tal corrompimento O projeto das aplica es deve assegurar que sejam implementadas restri es para minimizar o risco de falhas de processamento que levem a uma perda de integridade As reas espec ficas a serem consideradas incluem a ouso e a localiza o nos programas de fun es de inclus o e exclus o para implementar altera es nos dados b os procedimentos para impedir que os programas executem na ordem errada ou executem ap s falha de um processamento anterior ver tamb m 8 1 1 c ouso de programas corretos para recuperar de falhas e garantir o processamento correto dos dados 10 2 2 2 Verifica es e controles Os controles exigidos depender o da natureza do aplicativo e do impacto nos neg cios causados po
55. adotados seja verificada e que a conformidade com o modelo de pol tica de acesso ver 9 1 seja confirmada 9 7 1 Registro de eventos em log Logs para auditoria que registrem exce es e outros eventos relevantes para a seguran a devem ser produzidos e mantidos por um per odo acordado para auxiliar investiga es futuras e monitorar controle de acessos Os logs para auditoria devem incluir tamb m a IDs de usu rios b datas e hor rios de logon e logoff c identidade ou localiza o do terminal se poss vel d registros das tentativas de acesso ao sistema bem sucedidas e rejeitadas e registros das tentativas de acesso a dados e outros recursos bem sucedidas e rejeitadas Pode ser exigido que determinados logs de auditoria sejam arquivados como parte da pol tica de reten o de registros ou devido necessidade de coletar provas ver tamb m cl usula 12 9 7 2 Monitorando o uso do sistema 9 7 2 1 Procedimentos e reas de risco 54 ISO IEC 17799 2000 E Devem ser implantados procedimentos para monitorar o uso de facilidades de processamento de informa es Tais procedimentos s o necess rios para garantir que os usu rios estejam executando apenas atividades que foram explicitamente autorizadas O n vel de monitoramento exigido para as facilidades individuais deve ser determinado por uma avalia o de riscos As reas que devem ser consideradas incluem a acesso autorizado incluindo detalhes t
56. ais como 1 a ID do usu rio 2 a data e o hor rio de eventos importantes 3 os tipos de eventos 4 os arquivos acessados 5 o programa utilit rios usados b todas opera es privilegiadas tais como 1 uso de uma conta de supervisor 2 in cio start up e fim stop do sistema 3 attachidetach de dispositivo de I O c tentativas de acesso n o autorizadas tais como 1 tentativas fracassadas 2 viola es da pol tica de acesso e notifica es para gateways e firewalls da rede 3 alertas originados por sistemas propriet rios de detec o de intrus o d alertas ou falhas de sistema tais como 1 mensagens ou alertas de console 2 exce es de log do sistema 3 alarmes de gerenciamento da rede 9 7 2 2 Fatores de risco O resultado do monitoramento das atividades deve ser examinado regularmente A fregii ncia do exame depende dos riscos envolvidos Os fatores de risco que devem ser considerados incluem a a criticalidade dos processos das aplica es b o valor confidencialidade ou criticalidade das informa es envolvidas c a experi ncia passada de infiltra o e m utiliza o do sistema d a extens o das interconex es do sistema particularmente redes p blicas 9 7 2 3 Registrando e revisando eventos Uma revis o do log de eventos envolve o entendimento das amea as enfrentadas pelo sistema e da maneira como elas surgem Exemplos de eventos que podem exigir investiga o a
57. aloca o de senhas deve ser controlada atrav s de um processo administrativo formal cujo enfoque deveria ser a b exigir que os usu rios assinem uma declara o de manter confidencial as senhas pessoais e de manter as senhas de grupos somente entre as pessoas do grupo isto poderia ser inclu do nos termos e condi es do contrato de trabalho ver 6 1 4 garantir onde os usu rios forem respons veis por manter suas pr prias senhas que eles sejam providos inicialmente com uma senha tempor ria segura a qual eles sejam for ados a alterar imediatamente As senhas tempor rias fornecidas quando um usu rio esquece sua senha devem ser fornecidas apenas ap s identifica o positiva do usu rio exigir que as senhas tempor rias sejam dadas aos usu rios de uma maneira segura O uso de mensagens de correio eletr nico de terceiros ou desprotegidas texto simples deve ser evitado Os usu rios devem acusar o recebimento das senhas As senhas nunca devem ser guardadas em um sistema de computador sob forma desprotegida Outras tecnologias para identifica o e autentica o de usu rios tais como biom trica verifica o de impress o digital verifica o de assinatura e uso de pe as de hardware tais como cart es com chip est o dispon veis e devem ser consideradas se apropriado 43 ISO IEC 17799 2000 E 9 2 4 Revis o dos direitos de acesso dos usu rios Para manter controle efetivo sobre o acesso aos serv
58. ar senhas sempre que houver qualquer indica o de poss vel comprometimento da senha ou do sistema d selecionar senhas de qualidade com um tamanho m nimo de seis caracteres que 1 sejam f ceis de lembrar 2 n o sejam baseadas em algo que algu m poderia facilmente deduzir e obter usando informa es relacionadas com a pessoa por exemplo nomes n meros de telefones datas de nascimento etc 3 sejam isentas de caracteres consecutivos id nticos ou grupos totalmente num ricos ou totalmente alfab ticos e alterar senhas a intervalos regulares ou baseado na quantidade de acessos senhas para contas privilegiadas devem ser alteradas com mais fregii ncia do que as senhas normais e evitar reutilizar ou usar ciclicamente senhas antigas f alterar senhas tempor rias no primeiro logon 44 ISO IEC 17799 2000 E g n o incluir senhas em qualquer processo autom tico de logon por exemplo armazenadas em uma macro ou tecla de fun o h n o compartilhar senhas individuais Se os usu rios precisarem acessar m ltiplos servi os ou plataformas e forem obrigados a manter m ltiplas senhas eles devem ser avisados de que podem usar uma nica senha de qualidade ver item d acima para todos os servi os que possuam um n vel razo vel de prote o para senhas armazenadas 9 3 2 Equipamentos de usu rio desassistidos Os usu rios devem se assegurar de que equipamentos desassistidos possuem prote o apropriada Os
59. ara fallback devem ser identificados na fase de requisitos de um projeto e justificados acordados e documentados como parte do business case geral para um sistema de informa es 10 1 1 An lise e especifica o dos requisitos de seguran a Os relat rios com os requisitos do neg cio para novos sistemas ou melhorias em sistemas existentes devem especificar as necessidades de controles Tais 58 ISO IEC 17799 2000 E especifica es devem considerar os controles automatizados a serem incorporados no sistema e a necessidade de suportar controles manuais Considera es similares devem ser aplicadas ao se avaliar pacotes de software para aplica es do neg cio Se considerado apropriado a ger ncia pode desejar utilizar produtos certificados e avaliados de forma independente Os requisitos de seguran a e controles devem refletir o valor para o neg cio dos ativos de informa o envolvidos e o preju zo potencial para o neg cio que poderia resultar de uma falha ou aus ncia de seguran a A base para se analisar os requisitos de seguran a e identificar os controles para satisfaz los a avalia o de riscos e gerenciamento de riscos Os controles introduzidos no est gio de projeto s o significativamente mais baratos de se implementar e manter do que aqueles inclu dos durante ou ap s a implementa o 10 2 Seguran a em sistemas aplicativos Objetivo Impedir perda modifica o ou m utiliza o de dados
60. are malicioso ir eerereeraeeeaeea area aeee neaaeaa rena neaaaeanata 30 BA HOUSEKEEPING niorir isinir in muitu AER ER eR EEA A ARORAA ER EARO AEEA ER ANEA ER io AAAA clas 31 8 4 1 B ckup das informa es rozeseto nsee a eaa E EE ER e A e Re a a EI 31 8 4 2 Logs de operador isesiscisenigi perigo felpsioldsoGledbVesaRdenssaig nen Fa ENSADi Sa iE aaia f nas ati ad baba es 32 8 4 3 Log defalhas sc cana nites dedo pesa Penas cado lontas 6 cast in E pad co dad goi se Ea A ND Da ae POLO Sinta dan as 32 8 9 GERENCIAMENTO DE REDES ssstris aa eS Aa EEA ES E E Udit ab tos Penis ds o dba snes stiio 32 831 Contr les pararredes crre e pda der CO aa e DE da vi daN DS a DESSE CSS do Ao dentada 32 8 6 MANUSEIO E SEGURAN A DE M DIA ccciteeereeereeeeeerecereeererererererererer aeee eene cena eaeeaceaereeeseeraneraa 33 8 6 1 Gerenciamento de m dia remov vel rr errrererrareeaeacanararannarananeenaearanaranos 33 8 6 2 Descarte de m dia a isniiorgras ir ranescigenifea di AEE Ea OENES aE SE EEVEE E ERARE a E nai aaa 33 8 6 3 Procedimentos para manuseio de informa es sesssesesseeeeeesereeresrsrrerrsreeresrerrssererees 34 8 6 4 Seguran a da documenta o dos sistemaS sssssseeeeeeeseeeeeeeereerreereresrsesrrreerereersesreees 35 8 7 INTERC MBIO DE INFORMA ES E SOFTWARE cccceeeeeeeeereeeeererereraeernereaeeeenereaeenenereraeeranos 35 8 7 1 Contratos para interc mbio de informa es e SOftWATeS sesee
61. as 2 for ar um intervalo de tempo antes que tentativas adicionais de logon sejam permitidas ou rejeitar quaisquer tentativas adicionais sem autoriza o espec fica 3 desconectar as conex es de links de dados f limitar o tempo m nimo e m ximo permitidos para o procedimento de logon Se excedido o sistema deve encerrar o logon g exibir as seguintes informa es na conclus o de um logon bem sucedido 1 data e hora do logon anterior bem sucedido 2 detalhes de quaisquer tentativas de logon fracassadas desde o ltimo logon bem sucedido 9 5 3 Identifica o e autentica o de usu rios Todos os usu rios incluindo equipe de suporte t cnico tais como operadores administradores de rede programadores de sistema e administradores de banco de dados devem ter um identificador exclusivo ID de usu rio para seu uso pessoal de modo que as atividades possam ser rastreadas at o respons vel individual As IDs de usu rio n o devem dar nenhuma indica o do n vel de privil gio do usu rio ver 9 2 2 por exemplo gerente ou supervisor Em circunst ncias excepcionais onde existir um benef cio claro para o neg cio o uso de uma ID de usu rio compartilhada para um grupo de usu rios ou um servi o 50 ISO IEC 17799 2000 E espec fico pode ser adequado A aprova o da ger ncia deve ser documentada para estes casos Controles adicionais podem ser exigidos para manter a responsabiliza o Existem v rios pro
62. as facilidades de processamento de informa es para evitar acesso n o autorizado Os requisitos de seguran a de tais reas devem ser determinados por uma avalia o de riscos Os seguintes controles devem ser considerados a b c d O acesso a uma rea de dep sito a partir do exterior do pr dio deve ser restrito a pessoal identificado e autorizado A rea de dep sito deve ser planejada de forma que os suprimentos possam ser descarregados sem que os entregadores ganhem acesso a outras partes do edif cio As portas externas de uma rea de dep sito devem ser vigiadas quando a porta interna for aberta Os materiais recebidos devem ser inspecionados quanto a poss veis perigos ver 7 2 1d antes de serem transferidos do dep sito para o local de uso 19 ISO IEC 17799 2000 E e Os materiais recebidos devem ser registrados se for o caso ver 5 1 ao darem entrada no site 7 2 Seguran a dos equipamentos Objetivo Impedir perda danos ou comprometimento de ativos e interrup o das atividades do neg cio Os equipamentos devem ser fisicamente protegidos contra amea as seguran a e perigos ambientais A prote o dos equipamentos incluindo aqueles usados off site necess ria para reduzir o risco de acesso n o autorizado aos dados e para proteger contra perda ou danos Tamb m deve se considerar a localiza o dos equipamentos e sua disposi o f sica Controles especiais podem ser necess rios
63. as de automa o de escrit rios Pol ticas e diretrizes devem ser preparadas e implementadas para controlar os riscos para a seguran a e para o neg cio associados com sistemas de automa o de escrit rios Estes propiciam oportunidades para dissemina o e compartilhamento mais r pidos de informa es comerciais usando uma combina o de documentos computadores computa o m vel comunica es m veis correio correio de voz comunica es verbais em geral multim dia servi os facilidades postais e equipamentos de fax Os cuidados tomados em rela o s implica es de seguran a decorrentes da interconex o de tais facilidades devem incluir a vulnerabilidades das informa es nos sistemas de automa o de escrit rios tal como grava o de telefonemas ou confer ncias telef nicas confidencialidade de telefonemas armazenagem de faxes abertura de correspond ncia distribui o de correspond ncia b pol tica e controles apropriados para gerenciar o compartilhamento de informa es por exemplo o uso de bulletin boards eletr nicos corporativos ver 9 1 38 ISO IEC 17799 2000 E c excluir categorias de informa es sens veis do neg cio se o sistema n o fornecer um n vel adequado de prote o ver 5 2 d restringir o acesso a informa es de agenda relativas a indiv duos selecionados tais como a equipe que trabalha em projetos sens veis e a adequabilidade do sistema para suportar aplic
64. as de informa o e redes enfrentam amea as de seguran a vindas das mais diversas fontes incluindo fraudes atrav s de computadores espionagem sabotagem vandalismo inc ndio ou enchentes Fontes de preju zos tais como v rus de computador hackers e ataques de nega o de servi os t m se tornado mais comuns mais ambiciosos e cada vez mais sofisticados Devido depend ncia de sistemas e servi os de informa o as organiza es est o mais vulner veis s amea as contra a seguran a A interconex o de redes p blicas e privadas e o compartilhamento de recursos de informa o aumentam a dificuldade de se conseguir controle de acesso A tend ncia ao processamento distribu do vem enfraquecendo a efetividade do controle central especializado Muitos sistemas de informa o n o foram projetados para serem seguros A seguran a que pode ser obtida atrav s de meios t cnicos limitada e deveria ser apoiada por VI ISO IEC 17799 2000 E procedimentos e gest o adequados Identificar quais controles devem ser implementados exige um planejamento cuidadoso e aten o aos detalhes A gest o da seguran a de informa es precisa no m nimo da participa o de todos os empregados da organiza o Tamb m pode exigir a participa o de fornecedores clientes ou acionistas Consultoria especializada de organiza es externas tamb m pode ser necess ria Os controles para seguran a das informa es s o consideravelmente
65. as informa es d procedimentos para responder aos testes de valida o de sa da e definir as responsabilidades de todo o pessoal envolvido no processo de sa da de dados 10 3 Controles criptogr ficos Objetivo Proteger a confidencialidade autenticidade ou integridade das informa es Sistemas e t cnicas criptogr ficas devem ser usados para a prote o das informa es que sejam consideradas em risco e para as quais outros controles n o propiciam prote o adequada 10 3 1 Pol tica para o uso de controles criptogr ficos A tomada de decis o sobre se uma solu o criptogr fica apropriada deve ser vista como uma parte de um processo mais amplo de avalia o de riscos e sele o de controles Uma avalia o de riscos deve ser efetuada para determinar o n vel de prote o que as informa es devem receber Esta avalia o pode ent o ser usada para determinar se um controle criptogr fico apropriado que tipo de controle deve ser aplicado e para quais prop sitos e processos do neg cio 61 ISO IEC 17799 2000 E Uma organiza o deve desenvolver uma pol tica sobre o uso de controles criptogr ficos para prote o de suas informa es Uma tal pol tica necess ria para maximizar os benef cios e minimizar os riscos de usar t cnicas criptogr ficas e evitar uso inapropriado ou incorreto No desenvolvimento desta pol tica o seguinte deve ser considerado a a abordagem gerencial quanto ao
66. as ou corrompidas como parte do gerenciamento da continuidade do neg cio por exemplo para recupera o de informa es criptografadas h guardar chaves em archives por exemplo para informa es que est o gravadas em archives ou em backups 1 destruir chaves j log e auditoria de atividades relacionadas com gerenciamento de chaves Para reduzir a probabilidade de comprometimento as chaves devem ter datas definidas de ativa o e desativa o de modo que possam ser usadas apenas por um per odo limitado de tempo Este per odo de tempo deve ser dependente das circunst ncias em que o controle criptogr fico est sendo usado e do risco percebido Pode ser necess rio considerar procedimentos para tratar solicita es legais de acesso s chaves criptogr ficas por exemplo pode ser necess rio disponibilizar informa es criptografadas em formato descriptografado como prova em uma quest o na justi a Al m da quest o de chaves secretas e privadas gerenciadas de forma segura a prote o das chaves p blicas tamb m deve ser considerada Existe uma amea a de algu m forjar uma assinatura digital substituindo uma chave p blica do usu rio por 64 ISO IEC 17799 2000 E uma chave sua Este problema tratado pelo uso de um certificado de chave p blica Estes certificados devem ser produzidos de uma maneira que associe informa es relativas ao propriet rio do par de chaves p blica privada com a chave p blica Portan
67. atada para proteger equipamentos off site Os riscos de seguran a tais como danos roubo e bisbilhotagem podem variar consideravelmente entre os locais e devem ser levados em conta na determina o dos controles mais apropriados Mais informa es sobre outros aspectos da prote o de equipamentos m veis podem ser encontrados no item 9 8 1 7 2 6 Seguran a para descarte ou reutiliza o de equipamentos As informa es podem ser comprometidas atrav s do descarte ou reutiliza o descuidados de equipamentos ver tamb m 8 6 4 Dispositivos de armazenamento contendo informa es sens veis devem ser fisicamente destru dos ou regravados de forma segura em vez de se usar a fun o delete padr o Todos os itens de equipamento contendo m dia de armazenamento tais como discos fixos devem ser verificados para certificar que quaisquer dados sens veis ou softwares licenciados foram removidos ou sobrescritos antes do descarte Dispositivos de armazenamento danificados que contenham dados sens veis podem exigir uma avalia o de riscos para determinar se tais itens devem ser destru dos reparados ou descartados 7 3 Controles gerais Objetivo Impedir o comprometimento ou roubo de informa es e de facilidades de processamento de informa es As informa es e as facilidades de processamento de informa es devem ser protegidas contra divulga o modifica o ou roubo por pessoas n o autorizadas e devem s
68. cada ativo de informa o o qual se tornar ent o respons vel pela sua seguran a no dia a dia Os propriet rios dos ativos de informa o podem delegar suas responsabilidades de seguran a para gerentes individuais ou provedores de servi o N o obstante o propriet rio permanece como respons vel ltimo pela seguran a do ativo e deve ser ISO IEC 17799 2000 E capaz de determinar se qualquer responsabilidade delegada foi desempenhada corretamente E essencial que as reas pelas quais cada gerente respons vel sejam claramente definidas em especial deve ocorrer o seguinte a Os v rios ativos e processos de seguran a associados com cada sistema individual devem ser identificados e claramente definidos b Deve haver concord ncia quanto ao gerente respons vel por cada ativo ou processo de seguran a e os detalhes dessa responsabilidade devem ser documentados c Os n veis de autoriza o devem ser claramente definidos e documentados 4 1 4 Processo de autoriza o para facilidades de processamento de informa es Um processo gerencial de autoriza o para novas facilidades de processamento de informa es deve ser implantado Os seguintes controles devem ser considerados a novas facilidades devem ter a aprova o gerencial apropriada autorizando seus prop sitos e uso Tamb m deve ser obtida aprova o do gerente respons vel pela manuten o do ambiente local de seguran a de sistemas de informa
69. ccttereeaeeeeeeeeeeeeeeereraraseeneeareseeeeearenatanos 49 9 5 1 Identifica o autom tica de terminal ereerereere eee eras enacen aee nenaneaaaranata 49 9 5 2 Procedimentos de logon em terminais rir rreeererareracarenaeracanenaaracanecnneaeanacanos 50 9 5 3 Identifica o e autentica o de usu rios err rerereraceneea aeee neneenaracanaeaaeaernana 50 9 5 4 Sistema de gerenciamento de senhas rr rreereaeneranare e araranarar anna raca neenaeananatanos 51 9 5 5 Uso de utilit rios do sistema tcreercerecererererereeereeereeenaeee aeee neea nara nene nenanenearareranenanes 51 9 5 6 Alarme de coa o para salvaguardar usu rios eerenereeereereraeerararenarcareenaeanenaranos 52 935 7 TimezOUtno Lerminal s cstite nessa evo nre VARIA E SEC fada CREDO EA ARE CASES De Canada sa 52 9 5 8 Limita o de tempo de conex o rrererererreaeenaracanaeaacaneraneeenaracanaeaaeaneeanana 52 9 6 CONTROLE DE ACESSO S APLICA ES cciccieterecereeeeereeeeeeereneeraeeraeeaeeaeeeeeer aeee ererereresenenaees 53 9 6 1 Restri o de acesso s informa es ir eere error eraee aee aeea nene ne nene nenaneaaaeanata 53 9 6 2 Isolamento de sistemas sens veis csceecereerecereeeeeeeeeeeraeeeaeea aeee cera neeanenaneacareneranananes 54 9 7 MONITORANDO O ACESSO E O USO DO SISTEMA cceeeeereeaeeeeeeeeeeeeearerarareeeeeaceseeenearenatanes 54 9 7 1 Registro deeventos em OD nisi e isa puaeb Potes das dos
70. cessos de autentica o que podem ser usados para substanciar a identidade alegada de um usu rio Senhas ver tamb m 9 3 1 e abaixo s o um modo muito usual de fornecer identifica o e autentica o I amp A baseado em um segredo que apenas o usu rio conhece O mesmo tamb m pode ser conseguido atrav s de meios criptogr ficos e protocolos de autentica o Objetos tais como tokens de mem ria ou smartcards que os usu rios portem consigo tamb m podem ser usados para I amp A Tecnologias de autentica o biom trica que usam as caracter sticas nicas ou atributos de um indiv duo tamb m podem ser usadas para autenticar a identidade da pessoa Uma combina o de tecnologias e mecanismos associados de forma segura resultar em autentica o mais poderosa 9 5 4 Sistema de gerenciamento de senhas As senhas s o um dos principais meios de validar a autoridade de um usu rio para acessar um servi o informatizado Sistemas de gerenciamento de senhas devem prover uma funcionalidade eficaz e interativa que assegure senhas de qualidade ver 9 3 1 para orienta o sobre o uso de senhas Algumas aplica es exigem que senhas sejam atribu das por uma autoridade independente Na maioria dos casos as senhas s o selecionadas e alteradas pelos usu rios Um bom sistema de gerenciamento de senhas deve a obrigar o uso de senhas individuais para manter a responsabiliza o b onde apropriado permitir aos usu rios selecionar e alt
71. cionais contendo informa es pessoais deve ser evitado Se tais informa es forem usadas elas devem ser despersonalizadas antes do uso Os seguintes controles devem ser aplicados para proteger dados operacionais quando usados para fins de teste a Os procedimentos de controle de acesso que se aplicarem aos sistemas aplicativos de produ o tamb m devem ser aplicados aos sistemas aplicativos de teste b Deve haver autoriza o separada a cada vez que informa es de produ o forem copiadas para um sistema aplicativo de teste c Informa es de produ o devem ser apagadas do sistema aplicativo de teste imediatamente ap s o teste estar conclu do d A c pia e o uso de informa es de produ o deve ser registrada em log para fornecer uma audit trail 10 4 3 Controle de acesso biblioteca fonte de programas Para reduzir o potencial de corrompimento de programas de computador deve ser mantido um controle estrito sobre o acesso s bibliotecas fontes de programas como se segue ver tamb m 8 3 a Onde poss vel as bibliotecas fontes de programas n o devem ser mantidas nos sistemas operacionais b Um bibliotec rio para os programas deve ser nomeado para cada aplica o c A equipe de suporte de IT n o deve ter acesso irrestrito s bibliotecas fontes de programas d Programas em manuten o ou em desenvolvimento n o devem ser mantidos em bibliotecas fontes de programas de produ o e A atualiza
72. cobrem a a admissibilidade da prova se a prova pode ou n o ser usada em tribunal b o peso da prova a qualidade e a completitude da prova c comprova o adequada de que os controles funcionaram corretamente e consistentemente isto prova de controle do processo durante todo o per odo que a prova a ser recuperada foi armazenada e processada pelo sistema 12 1 7 2 Admissibilidade da prova Para obter a admissibilidade da prova as organiza es devem se assegurar de que seus sistemas de informa es obedecem a algum padr o ou c digo de pr tica publicado sobre produ o de prova admiss vel 12 1 7 3 Qualidade e completitude da prova Para obter qualidade e completitude da prova necess rio um s lido rastreamento da prova Em geral tal rastreamento s lido pode ser estabelecido sob as seguintes condi es a Para documentos em papel o original mantido em seguran a e foi registrado quem o encontrou onde foi encontrado quando foi encontrado e quem testemunhou a descoberta Qualquer investiga o deve assegurar que os originais n o foram adulterados b Para informa es em m dia de computador c pias de qualquer m dia remov vel informa es em discos r gidos ou em mem ria devem ser feitas para assegurar a disponibilidade O log de todas as a es durante o processo de c pia deve ser guardado e o processo deve ser testemunhado Uma c pia da m dia e do log deve ser guardada em seguran a 77
73. das em risco pelo acesso por terceiros com uma gest o inadequada de seguran a Onde existir uma necessidade do neg cio para conectar com uma instala o de terceiros deve ser conduzida uma avalia o de riscos para identificar quaisquer necessidades de controles espec ficos Deve ser levado em conta o tipo de acesso requerido o valor das informa es os controles empregados pela terceira parte e as implica es desse acesso para a seguran a das informa es da organiza o 4 2 1 3 Terceiros on site Terceiros que se localizam on site por um per odo de tempo definido em seus contratos tamb m podem provocar vulnerabilidades na seguran a Exemplos de terceiros on site incluem a equipe de suporte e manuten o de hardware e software b servi os de limpeza alimenta o guardas de seguran a e outros servi os de apoio terceirizados c coloca o de estudantes estagi rios e outros contratos casuais de curto prazo d consultores essencial entender que s o necess rios controles para administrar o acesso de terceiros s facilidades de processamento de informa es Geralmente todas as exig ncias de seguran a resultantes do acesso de terceiros ou controles internos devem ser refletidos pelo contrato com a terceira parte ver tamb m 4 2 2 Por ISO IEC 17799 2000 E exemplo se existir uma necessidade especial quanto confidencialidade das informa es contratos de n o divulga o podem ser usados ve
74. de acessar dados tanto legibilidade da m dia quanto do formato durante todo o per odo de reten o para salvaguardar contra perda devida a altera es futuras da tecnologia Os sistemas de armazenamento de dados devem ser escolhidos de forma que os dados exigidos possam ser recuperados em uma forma aceit vel em um tribunal por exemplo todos os registros exigidos podem ser recuperados em um intervalo de tempo aceit vel e em um formato aceit vel O sistema de armazenagem e manuseio deve garantir a identifica o clara dos registros e de seu per odo de reten o estatut rio ou regulamentar Ele deve permitir a destrui o apropriada dos registros ap s aquele per odo se eles n o forem necess rios para a organiza o Para atender a estas obriga es os seguintes passos devem ser tomados dentro de uma organiza o a Devem ser emitidas diretrizes sobre a reten o armazenamento manuseio e descarte de registros e informa es b Um cronograma de reten o deve ser esbo ado identificando os tipos de registros essenciais e o per odo de tempo durante o qual eles devem ser retidos c Um invent rio das fontes de informa es chaves deve ser mantido d Controles apropriados devem ser implementados para proteger registros essenciais e informa es contra perda destrui o e falsifica o 75 ISO IEC 17799 2000 E 12 1 4 Prote o de dados e privacidade de informa es pessoais Diversos pa ses introd
75. de aprova o por um membro da equipe de n vel s nior Os gerentes devem estar conscientes de que circunst ncias pessoais da equipe podem afetar seu trabalho Problemas pessoais ou financeiros altera es no comportamento ou estilo de vida faltas recorrentes e evid ncia de stress ou depress o podem levar a fraudes roubos erros ou outras implica es de seguran a Essas informa es devem ser tratadas de acordo com qualquer legisla o apropriada existente na jurisdi o relevante 6 1 3 Contratos de confidencialidade Contratos de confidencialidade ou n o divulga o s o usados para avisar que informa es s o confidenciais ou secretas Os empregados devem normalmente assinar tal contrato como parte de seus termos e condi es iniciais de emprego Equipe tempor ria e usu rios terceirizados que j n o estejam cobertos por um contrato existente contendo a cl usula de confidencialidade devem ser obrigados a assinar um contrato de confidencialidade antes de terem concedido o acesso s facilidades de processamento de informa es Os contratos de confidencialidade devem ser revisados quando houver altera es nas condi es de emprego ou do contrato particularmente quando os empregados forem deixar a organiza o ou os trabalhos tempor rios estiverem por terminar 6 1 4 Termos e condi es de emprego Os termos e condi es de emprego devem declarar a responsabilidade do empregado pela seguran a das informa e
76. de incidentes de seguran a e refer ncias a documentos que podem apoiar a pol tica por exemplo pol ticas de seguran a mais detalhadas e procedimentos para sistemas de informa o espec ficos ou regras de seguran a que os usu rios devem obedecer Esta pol tica deve ser comunicada em toda a organiza o para os usu rios de uma forma que seja relevante acess vel e entend vel para o leitor alvo 3 1 2 Revis o e avalia o A pol tica deve ter um encarregado que seja respons vel por sua manuten o e revis o de acordo com um processo de revis o definido Esse processo deve assegurar que seja executada uma revis o em resposta a quaisquer mudan as que afetem a base da avalia o de riscos original por exemplo incidentes de seguran a significativos novas vulnerabilidades ou mudan as na infra estrutura organizacional ou t cnica Tamb m devem ser programadas revis es peri dicas dos seguintes aspectos ISO IEC 17799 2000 E a a efic cia da pol tica demonstrada pela natureza quantidade e impacto dos incidentes de seguran a reportados b o custo e impacto dos controles na efici ncia do neg cio c os efeitos das mudan as na tecnologia 4 Seguran a organizacional 41 Infra estrutura para seguran a de informa es Objetivo Gerenciar a seguran a das informa es dentro da organiza o Deve ser estabelecida uma estrutura gerencial para iniciar e controlar a implementa o da seguran a de informa
77. demandas para acesso que poderiam comprometer informa es Portas e janelas devem ser trancadas quando n o houver ningu m presente e deve ser considerada uma prote o externa para as janelas especialmente aquelas no andar t rreo Sistemas adequados de detec o de invas o instalados em padr es profissionais e testados regularmente devem ser colocados para cobrir todas as portas externas e janelas acess veis reas desocupadas devem permanecer sempre com o alarme ligado A cobertura deve tamb m ser providenciada para outras reas como sala de computadores ou salas de telecomunica es As instala es de processamento de informa es gerenciadas pela organiza o devem ser fisicamente separadas daquelas gerenciadas por terceiras partes Listas telef nicas internas que identifiquem os locais das instala es de processamento de informa es sens veis n o devem ficar dispon veis para o p blico N T Audit trail trilha para auditoria 18 h 7 1 4 ISO IEC 17799 2000 E Materiais perigosos ou combust veis devem ser armazenados a uma dist ncia segura de uma rea de seguran a Suprimentos volumosos tal como papel n o devem ser armazenados dentro de uma rea de seguran a at serem necess rios Equipamentos para fallback e m dia de backup devem ficar situados a uma dist ncia segura para evitar danos provocados por um desastre no site principal Trabalhando em reas de seguran a Co
78. dicional no caso de incidentes de seguran a s o apresentados no item 9 7 1 Os logs de sistema geralmente cont m um grande volume de informa es muitas das quais s o irrelevantes para o monitoramento do sistema Para ajudar a identificar os eventos significativos para os fins de monitoramento de seguran a deve ser 55 ISO IEC 17799 2000 E considerada a c pia autom tica dos tipos de mensagens apropriados para um segundo log e ou o uso de utilit rios de sistema adequados ou ferramentas de auditoria para executar o exame do arquivo Quando for feita a aloca o de responsabilidade para revis o do log deve ser considerada uma separa o de pap is entre as pessoas que executam a revis o e aquelas cujas atividades est o sendo monitoradas Aten o particular deve ser dada seguran a do recurso de log porque se adulterado ele pode dar uma falsa sensa o de seguran a Os controles devem ter como objetivo proteger contra altera es n o autorizadas e problemas operacionais incluindo a o recurso de log ser desativado b altera es nos tipos de mensagens que s o gravadas c arquivos logs serem alterados ou apagados d a m dia do arquivo log esgotar o espa o e deixar de gravar os eventos ou sobrescrever registros j gravados 9 7 3 Sincroniza o de rel gios O acerto correto dos rel gios dos computadores importante para assegurar a exatid o dos logs para auditoria que podem ser exigidos para inves
79. do mas n o fecham as sess es da rede ou do aplicativo 9 5 8 Limita o de tempo de conex o Restri es nos tempos de conex o devem fornecer seguran a adicional para aplica es de alto risco Limitar o per odo durante o qual s o permitidas conex es de terminal a servi os informatizados reduz a janela de oportunidade para acesso n o autorizado Um tal controle deve ser considerado para aplica es sens veis de computador especialmente aquelas com terminais instalados em locais de alto risco tais como reas p blicas ou externas que est o fora do gerenciamento de seguran a da organiza o Exemplos de tais restri es incluem 52 ISO IEC 17799 2000 E a usar slots de tempo predeterminados por exemplo para transmiss es de arquivo em batch ou sess es interativas normais de curta dura o b restringir hor rios de conex o s horas normais de expediente se n o houver necessidade de horas extras ou opera o em hor rio estendido 9 6 Controle de Acesso s Aplica es Objetivo Impedir acesso n o autorizado s informa es mantidas nos sistemas de informa o Os recursos de seguran a devem ser usados para restringir o acesso dentro dos sistemas aplicativos O acesso l gico ao software e s informa es deve ser restrito aos usu rios autorizados Os sistemas aplicativos devem controlar o acesso dos usu rios s informa es e fun es do sistema aplicativo de acordo com uma pol tica de contr
80. dos O f rum pode ser parte de um corpo gerencial existente Geralmente tal f rum encarrega se do seguinte a revisar e aprovar a pol tica de seguran a de informa es e responsabilidades gerais b monitorar mudan as significativas na exposi o dos ativos de informa o s principais amea as c revisar e monitorar incidentes que afetem a seguran a das informa es d aprovar as iniciativas importantes para aprimorar a seguran a das informa es Um gerente deve ser respons vel por todas as atividades relacionadas com a seguran a ISO IEC 17799 2000 E 4 1 2 Coordena o da seguran a de informa es Em uma organiza o de grande porte pode ser necess rio um f rum interfuncional de representantes das ger ncias de setores relevantes da organiza o para coordenar a implementa o de controles de seguran a de informa o Geralmente um f rum desse tipo a concorda sobre pap is e responsabilidades espec ficos para seguran a de informa es em toda a organiza o b concorda sobre metodologias e processos espec ficos para seguran a de informa es por exemplo avalia o de riscos e sistema de classifica o de seguran a c concorda com e apoia iniciativas de seguran a de informa o que abrangem toda a organiza o por exemplo programas de conscientiza o sobre seguran a d assegura que a seguran a seja parte do processo de planejamento de informa es e avalia a adequa
81. dos ativos 5 1 Responsabilidade pelos ativos Objetivo Manter prote o apropriada para os ativos organizacionais Todos os ativos de informa o mais importantes devem ter um propriet rio nominal respons vel por eles A responsabilidade pelos ativos ajuda a assegurar que seja mantida uma prote o adequada Os propriet rios devem ser identificados para todos os ativos importantes e a responsabilidade pela manuten o dos controles apropriados deve ser atribu da A responsabilidade pela implementa o dos controles pode ser delegada A responsabili dade final deve permanecer com o propriet rio designado do ativo 5 1 1 Invent rio dos ativos Um invent rio dos ativos ajuda a assegurar que ocorra uma prote o efetiva dos ativos e tamb m pode ser exigido para outros fins do neg cio tais como raz es de salubridade e seguran a seguros ou raz es financeiras gest o de ativos O processo de compilar um invent rio de ativos um aspecto importante da administra o de riscos Uma organiza o precisa ser capaz de identificar seus ativos e a import ncia e o valor relativos desses ativos Baseado nessas informa es uma organiza o pode ent o prover n veis de prote o proporcionais ao valor e import ncia dos ativos Deve ser levantado e mantido um invent rio dos ativos importantes associados com cada sistema de informa es Cada ativo deve ser claramente identificado e sua propriedade e classifica o de seguran
82. dos sistemas de informa o deve existir um controle estrito sobre a implementa o de altera es Procedimentos formais para controle de altera es devem ser obrigat rios Eles devem garantir que os procedimentos de controle e seguran a n o sejam comprometidos que os programadores do suporte recebam acesso apenas quelas partes do sistema necess rias para seu trabalho e que sejam obtidos um acordo e uma aprova o formais para cada altera o Alterar software aplicativo pode impactar o ambiente operacional Sempre que pratic vel os procedimentos de controle de altera es operacionais e de aplicativos devem ser integrados ver tamb m 8 1 2 Este processo deve incluir a manter um registro dos n veis de autoriza o acordados b assegurar que as altera es sejam submetidas por usu rios autorizados c revisar procedimentos de controle e de integridade para garantir que eles n o ser o comprometidos pela altera es d identificar todos os softwares de computador as informa es as entidades de bancos de dados e hardware que precisam de modifica o e obter aprova o formal dos prop sitos detalhados antes que o trabalho comece f assegurar que o usu rio autorizado aceite as altera es antes de qualquer implementa o g garantir que a implementa o seja executada de forma a minimizar perturba es no neg cio h garantir que o conjunto de documenta es do sistema seja atualizado na conclu
83. dos usu rios em sistemas aplicativos Controles apropriados e audit trails ou logs de atividade devem ser projetados nos sistemas aplicativos incluindo aplicativos escritos pelos usu rios Estes devem incluir a valida o de dados de entrada dados de processamento interno e dados de sa da Controles adicionais podem ser exigidos para sistemas que processam ou t m impacto em ativos confidenciais valiosos ou cr ticos da organiza o Tais controles devem ser determinados com base nos requisitos do sistema e na avalia o de riscos 10 2 1 Valida o dos dados de entrada A entrada de dados para os sistemas aplicativos deve ser validada para garantir que est correta e apropriada Verifica es devem ser aplicadas entrada de transa es comerciais dados cadastrais nomes e endere os limites de cr dito n meros de refer ncia de clientes e tabelas de par metros listas de pre os taxas de convers o de moeda taxas de impostos Os seguintes controles devem ser considerados a entrada dupla ou outras verifica es de entrada para detectar os seguintes erros 1 valores fora da faixa 2 caracteres inv lidos nos campos de dados 3 dados n o informados ou incompletos 4 limites inferior e superior de volumes de dados excedidos 5 dados de controle n o autorizados ou inconsistentes b revis o peri dica do conte do dos campos chaves ou arquivos de dados mais importantes para confirmar sua validade e integrid
84. e 5 reportar a a o autoridade apropriada c audit trails e provas similares devem ser recolhidas ver 12 1 7 e guardadas em seguran a conforme apropriado para 1 an lise interna do problema 2 usar como prova relacionada a uma potencial viola o de contrato viola o de exig ncias regulat rias ou no caso de processos civis ou criminais por exemplo sob a legisla o de prote o de dados ou mal uso de computadores 3 negocia o de indeniza o por fornecedores de software e servi os d A o para recuperar de viola es de seguran a e corrigir falhas no sistema devem ser controladas de maneira formal e cuidadosa Os procedimentos devem assegurar que 1 apenas pessoas claramente identificadas e autorizadas tenham seu acesso permitido aos sistemas e dados reais ver tamb m 4 2 2 para acesso de terceiros 2 todas as a es de emerg ncia executadas sejam documentadas em detalhe 3 a a o de emerg ncia seja reportada ger ncia e revisada de maneira ordenada 4 a integridade dos controles e sistemas do neg cio seja confirmada no menor tempo poss vel 8 1 4 Segrega o de tarefas A segrega o de tarefas um m todo de reduzir o risco de m utiliza o acidental ou deliberada do sistema Deve se considerar a separa o da gest o ou da execu o de 26 ISO IEC 17799 2000 E determinadas tarefas ou reas de responsabilidade para reduzir as oportunidades de modifica o n
85. e deve ser testado de acordo com as recomenda es do fabricante Um gerador sobressalente deve ser considerado se o processamento tiver que continuar no caso de uma falta de energia prolongada Se instalados os geradores devem ser regularmente testados de acordo com as instru es do fabricante Um suprimento adequado de combust vel deve estar dispon vel para garantir que o gerador possa funcionar por um per odo prolongado Al m disso interruptores de energia de emerg ncia devem estar localizados pr ximo s sa das de emerg ncia nas salas de equipamentos para facilitar o desligamento r pido da energia no caso de uma emerg ncia Ilumina o de emerg ncia deve ser provida no caso de falha na energia principal Prote o contra raios deve ser instalada em todos os edif cios e filtros de prote o contra raios devem ser instalados em todas as linhas de comunica o externas 7 2 3 Seguran a para o cabeamento Os cabos de energia e telecomunica o que transportam dados ou suportam servi os de informa o devem ser protegidos contra intercepta o ou danos Os seguintes controles devem ser considerados a Linhas de telecomunica o e energia dentro das instala es de processamento de informa es devem ser subterr neas onde poss vel ou sujeitas prote o alternativa adequada b O cabeamento de redes deve ser protegido contra intercepta o n o autorizada ou danos por exemplo usando eletrodutos ou evitando s
86. e gerenciamento da continuidade do neg cio deve ser atribu da em um n vel apropriado dentro da organiza o por exemplo no f rum de seguran a de informa es ver 4 1 1 11 1 2 Continuidade do neg cio e an lise de impacto A continuidade do neg cio deve come ar pela identifica o de eventos que possam causar interrup es nos processos do neg cio tais como falhas em equipamento inc ndios e inunda es Isto deve ser seguido por uma avalia o de riscos para determinar o impacto daquelas interrup es tanto em termos de escala de danos quanto de per odo para recupera o Ambas estas atividades devem ser executadas com o total envolvimento dos propriet rios dos recursos e processos do neg cio Esta avalia o considera todos os processos do neg cio e n o limitada s facilidades de processamento de informa es 70 ISO IEC 17799 2000 E Dependendo dos resultados da avalia o de riscos um plano estrat gico deve ser desenvolvido para determinar o enfoque global para a continuidade do neg cio Uma vez que este plano tenha sido criado ele deve ser endossado pela ger ncia 11 1 3 Defini o e implementa o de planos de continuidade Devem ser desenvolvidos planos para manter ou restaurar as opera es do neg cio nas r guas de tempo exigidas seguintes interrup o ou falha nos processos cr ticos do neg cio O processo de planejamento da continuidade do neg cio deve considerar o seguinte a
87. e privil gios de sistema freguentemente um dos principais fatores contribuintes para a falha de sistemas que foram violados 42 ISO IEC 17799 2000 E Sistemas multiusu rios que exigem prote o contra acesso n o autorizado devem ter a aloca o de privil gios controlada atrav s de procedimento formal de autoriza o Os seguintes passos devem ser considerados a b 9 2 3 Devem ser identificados os privil gios associados com cada produto de sistema por exemplo sistema operacional sistema de gerenciamento de banco de dados e cada aplicativo e as categorias de pessoal para as quais eles precisam ser alocados Os privil gios devem ser alocados para os indiv duos na base da necessidade de uso e na base de evento por evento isto o requisito m nimo para seu papel funcional apenas quando necess rio Um processo de autoriza o e um registro de todos os privil gios alocados devem ser mantidos Os privil gios n o devem ser concedidos at que o processo de autoriza o esteja conclu do O desenvolvimento e o uso de rotinas do sistema deve ser promovido para evitar a necessidade de conceder privil gios a usu rios Os privil gios devem ser concedidos para uma identifica o de usu rio diferente daquelas empregadas para uso normal do neg cio Gerenciamento de senhas de usu rio As senhas s o um meio comum de validar a identidade de um usu rio para acessar um sistema ou servi o de informa es A
88. e rotas atrav s de reas p blicas 21 ISO IEC 17799 2000 E c Os cabos de energia devem ser segregados dos cabos de comunica o para impedir interfer ncia d Para sistemas cr ticos ou sens veis controles adicionais devem incluir 1 instala o de conduto blindado e salas ou caixas trancadas nos pontos de inspe o e termina o 2 uso de roteamento alternativo ou m dia de transmiss o alternativa 3 uso de cabeamento de fibra tica 4 inicia o de varreduras em busca de dispositivos n o autorizados que possam estar sendo conectados aos cabos 7 2 4 Manuten o de equipamentos Os equipamentos devem ser corretamente conservados para assegurar sua disponibilidade e integridade continuadas Os seguintes controles devem ser considerados a Os equipamentos devem passar por manuten o de acordo com os intervalos e especifica es de servi o recomendados pelo fornecedor b Apenas pessoal autorizado de manuten o deve executar os reparos e a manuten o nos equipamentos c Devem ser mantidos registros sobre todas as falhas ocorridas ou suspeitadas e sobre todas as manuten es preventivas e corretivas d Controles apropriados devem ser realizados quando se enviar equipamento para fora da organiza o para manuten o ver tamb m 7 2 6 sobre dados exclu dos apagados e sobrescritos Todos os requisitos impostos pelas pol ticas de seguran a devem ser obedecidos 7 2 5 Seguran a de equipamentos
89. e ser o mais reduzida poss vel e autorizada pelo propriet rio da aplica o c Documenta o de sistemas mantida em uma rede p blica ou fornecida via uma rede p blica deve ser protegida adequadamente 8 7 Interc mbios de informa es e softwares Objetivo Impedir perda modifica o ou uso indevido de informa es intercambiadas entre organiza es Os interc mbios de informa es e software entre organiza es devem ser controlados e devem obedecer qualquer legisla o relevante ver cl usula 12 Os interc mbios devem ser executados com base em contratos Procedimentos e padr es para proteger informa es e m dias em tr nsito devem ser estabelecidos Devem ser consideradas as implica es para o neg cio e para a seguran a associadas com interc mbio eletr nico de dados com rcio eletr nico e correio eletr nico e os controles necess rios 8 7 1 Contratos para interc mbio de informa es e softwares Contratos alguns dos quais podem ser formais incluindo contratos para cust dia de software quando apropriado devem ser estabelecidos para o interc mbio seja eletr nico ou manual de informa es e softwares entre organiza es O conte do relativo s quest es de seguran a de tais contratos deve refletir a confidencialidade das informa es comerciais envolvidas Os contratos sobre condi es de seguran a devem considerar a responsabilidades gerenciais para controlar e notificar transmiss
90. eeeceeeeeeececeeeeeceeeeeeeeeeeeeeeceeeeeeeeeeeeeeeeeeeeeeeeeee J 4 1 INFRA ESTRUTURA PARA SEGURAN A DE INFORMA ES ccicceecereeereereeeeaeeeeenerrecenneereenarenaena 3 4 1 1 F rum gerencial de seguran a de informa es ii ieeeeeeeereereeeeaeeeaeeaaeaaanaa 3 4 1 2 Coordena o da seguran a de informa es eere eee eraeenaeeraeeaaeeaeaaneaa 4 4 1 3 Aloca o de responsabilidades pela seguran a das informa es sossen 4 4 1 4 Processo de autoriza o para facilidades de processamento de informa es n se 5 4 1 5 Aconselhamento especializado sobre seguran a de informa es i 9 4 1 6 Coopera o entre organiza es iisteriisicsisiepersikiessssekeerata sits torinri rits oshens eais 6 4 1 7 Revis o independente da seguran a das informa es E 4 2 SEGURAN A PARA O ACESSO DE TERCEIROS ccccieeeereeereereecarerenaearenenaeereenereeeaneareeenaresena 6 4 2 1 Identifica o dos riscos no acesso de terceiros rir erraeereaenererarennerananeeaeacanana 7 4 2 2 Requisitos de seguran a para contratos com terceiros erereeeereeereeeeeararanaa 8 AFOOT ETONG SA E O e E E E A R 9 4 3 1 Requisitos de seguran a em contratos de outsourcing ssssessseeesseesereereerreresesreesrsreeree 9 5 CLASSIFICA O E CONTROLE DOS ATIVOS sesesesssssesesssssesssssesssssssssnsssesssesssssssssssssssssssssss TO 5 1 RESPONSABILIDADE PELOS ATIVOS 5 Lr Invent rio dos ativos eneren ein P
91. eis conectados a redes O acesso remoto s informa es da organiza o atrav s de rede p blica usando dispositivos port teis somente deve ocorrer ap s identifica o e autentica o bem sucedidas e com mecanismos adequados de controle de acesso em vigor ver 9 4 Dispositivos de computa o m vel tamb m devem ser fisicamente protegidos contra roubo especialmente quando deixados por exemplo em carros e outros meios de transporte quartos de hotel centros de confer ncia e locais de reuni o Equipamentos que carregam informa es importantes confidenciais e ou cr ticas para o neg cio n o devem ser deixados desacompanhados e onde poss vel devem ser fisicamente trancados em outro lugar ou trancas especiais devem ser usadas para proteger o equipamento Mais informa es sobre prote o f sica de equipamentos m veis podem ser encontradas no item 7 2 5 Deve ser feito um treinamento com a equipe que utiliza dispositivos port teis para despertar sua conscientiza o sobre os riscos adicionais resultantes desta forma de trabalho e sobre os controles que devem ser implementados 9 8 2 Trabalho dist ncia O trabalho dist ncia usa tecnologia de telecomunica es para permitir aos funcion rios trabalhar remotamente a partir de um local fixo fora de sua organiza o Prote o adequada do local do trabalho dist ncia deve ser implementada contra por exemplo o roubo do equipamento e de informa es a divulga
92. em seguran a para satisfazer exig ncias estatut rias ou regulamentadoras bem como para apoiar atividades essenciais do neg cio Exemplos destes s o registros que podem ser exigidos como prova de que uma organiza o opera dentro das normas estatut rias ou regulamentadoras ou para assegurar defesa adequada contra potencial a o criminal ou civil ou para confirmar o status financeiro de uma organiza o com respeito a acionistas parceiros e auditores O per odo de tempo e os conte dos de dados para reten o das informa es podem ser definidos por lei ou regulamento nacional Os registros devem ser categorizados em tipos por exemplo registros cont beis registros de banco de dados logs de transa es logs de auditoria e procedimentos operacionais cada um com detalhes de per odos de reten o e tipo de m dia de armazenagem por exemplo papel microficha m dia magn tica ou tica Quaisquer chaves criptogr ficas associadas com archives criptografados ou assinaturas digitais ver 10 3 2 e 10 3 3 devem ser mantidas em seguran a e disponibilizadas para pessoas autorizadas quando necess rio Deve ser levada em considera o a possibilidade de degrada o da m dia usada para o armazenamento dos registros Procedimentos para armazenagem e manuseio devem ser implementados de acordo com as recomenda es dos fabricantes Onde for escolhida m dia eletr nica devem ser inclu dos procedimentos para assegurar a capacidade
93. em interrompidas ver 7 2 e cl usula 11 As informa es tamb m podem ser comprometidas se forem acessadas por usu rios n o autorizados ver cl usula 9 Deve ser estabelecida uma declara o clara da pol tica com os procedimentos que se espera que os empregados sigam no uso de comunica es de voz fax e v deo Ela deve incluir a lembrar aos funcion rios que eles devem tomar as precau es apropriadas tais como n o revelar informa es sens veis de modo a evitar serem ouvidos por acaso ou interceptados ao fazerem telefonemas por 1 pessoas nas imedia es particularmente ao usar telefones m veis 2 escuta telef nica e outras formas de espionagem atrav s de acesso f sico ao aparelho telef nico ou linha telef nica ou atrav s de receptores de varredura quando se usar telefones m veis anal gicos 3 pessoas que estejam ao lado de quem recebe o telefonema b lembrar aos funcion rios que eles n o devem manter conversas confidenciais em reas p blicas ou escrit rios abertos e salas de reuni o com paredes finas c n o deixar mensagens em secret rias eletr nicas j que elas podem ser ouvidas por pessoas n o autorizadas armazenadas em sistemas de uso comum ou armazenadas incorretamente como um resultado de rediscagem d lembrar aos funcion rios sobre os problemas relacionados com o uso de equipamentos de fax a saber 1 acesso n o autorizado a mem rias internas de mensagens para buscar mensa
94. eneeeeneeeeeeerreeree 35 8 7 2 Seguran a de m dia em tr nsito sessseeeeeeseseeeseseeesesrrssesresesserrresestrerrstesrererrrssesrreresresestest 36 8 7 3 Seguran a para com rcio eletr nico eee reea ne aeea rea aera rena neerareraenrananea 36 8 7 4 Seguran a para correio eletr nico err erreeeeerareraeeaeeeaeea nene nenaneaaneaaada 37 8 7 5 Seguran a de sistemas de automa o de escrit rios sesser 38 8 7 6 Sistemas disponibilizados publicamente rrreeerererereeeararanararenaeranaeeararenacanos 39 8 7 7 Outras formas de interc mbio de informa es e eeeaeeeeeererereenaaannea 39 9 CONTROLE DE ACESSO ecererrererneceerernesecrernesecresnesesresneseeresneseer osmose once nose er censo cn osmose cn osnenasa 40 ISO IEC 17799 2000 E 9 1 NECESSIDADES DE CONTROLE DE ACESSO cctceteeeeeeereeecereeeeeereearerarareneeeananeenenesatanes 40 9 1 1 Pol tica de controle de acesso ieeeeeeeeeeeeeaee cera ceeanenarea area nene nenaneaearanarenananes 40 9 2 GERENCIAMENTO DO ACESSO DE USU RIOS c crie ererererreene re eaeeeeareene raca eaatarraanaea 41 9 2 1 Cadastramento de usu rios erreererarereeareaaeennnearaa ce enncara ecoa acena ne enacan aa ceenacanants 42 9 2 2 Gerenciamento de privil gios erre eererae eae eae eaneea rena nena nene neaearerannaanaa 42 9 2 3 Gerenciamento de senhas de usu rio ereeteeeeeeeeeereceeaee aee neeanenanenaaeaearererenenanes 43 9
95. equipamentos instalados nas reas dos usu rios como esta es de trabalho ou servidores de arquivos podem exigir prote o espec fica contra acesso n o autorizado quando deixados desassistidos por um per odo prolongado Todos os usu rios e contratados devem ser conscientizados dos requisitos e procedimentos de seguran a para proteger equipamento desassistido bem como de suas responsabilidades para implementa o de tal prote o Os usu rios devem ser aconselhados a a encerrar sess es ativas quando terminarem a menos que elas possam ser protegidas por um mecanismo de tranca como um protetor de tela com senha b desligar logoff os computadores mainframe quando a sess o estiver finalizada isto n o apenas desligar o terminal ou o PC c proteger PCs ou terminais contra uso n o autorizado por meio de um key lock ou um controle equivalente como acesso por senha quando n o estiverem em uso 9 4 Controle de acesso rede Objetivo Prote o de servi os que utilizam redes O acesso a servi os em redes internas e externas deve ser controlado Isto necess rio para assegurar que os usu rios que t m acesso a redes e servi os em rede n o comprometam a seguran a de tais servi os usando se interfaces apropriadas entre a rede da organiza o e as redes de propriedade de outras organiza es ou redes p blicas mecanismos apropriados para autentica o de usu rios e equipamentos controle do acesso do
96. er implantados controles para minimizar perdas ou danos Os procedimentos para manuseio e armazenamento s o considerados no item 8 6 3 7 3 1 Pol tica de mesa limpa e tela limpa As organiza es devem considerar a ado o de uma pol tica de mesas limpas para os pap is e m dia de armazenamento remov vel e uma pol tica de telas limpas para as facilidades de processamento de informa es para reduzir os riscos de acesso n o autorizado perda de informa es ou danos s informa es durante e fora do hor rio de expediente A pol tica deve considerar as classifica es de seguran a de informa o ver 5 2 os riscos correspondentes e os aspectos culturais da organiza o Informa es deixadas sobre as mesas de trabalho s o pass veis de serem danificadas ou destru das em um desastre tipo inc ndio enchente ou explos o Os seguintes controles devem ser considerados a Onde apropriado os pap is relat rios e m dia eletr nica devem ser armazenados em arm rios trancados adequados e ou em outras formas de 23 ISO IEC 17799 2000 E mobili rio de seguran a quando n o estiverem em uso especialmente fora do hor rio do expediente b Informa es sens veis ou cr ticas para o neg cio devem ser trancadas em local separado idealmente em um arm rio ou cofre prova de fogo quando n o necess rias especialmente quando o escrit rio fica vazio c Computadores pessoais e termi
97. er implementado pela instala o de um gateway seguro entre as duas redes a serem interconectadas para controlar o acesso e o fluxo de informa es entre os dois dom nios Este gateway deve ser configurado para filtrar o tr fego entre esses dom nios ver 9 4 7 e 9 4 8 e para bloquear acessos n o autorizados de acordo com a pol tica de controle de acesso da organiza o ver 9 1 Um exemplo deste tipo de gateway aquele comumente referido como firewall Os crit rios para segrega o de redes em dom nios devem ser baseados na pol tica de controle de acesso e nos requisitos de acesso ver 9 1 e tamb m levar em conta o custo relativo e o impacto na performance de incorporar tecnologia adequada para roteamento de rede ou gateway ver 9 4 7 e 9 4 8 9 4 7 Controle das conex es de rede Os requisitos da pol tica de controle de acesso para redes compartilhadas especialmente aquelas que se estendem al m das fronteiras da organiza o podem exigir a incorpora o de controles para restringir a capacidade de conex o dos usu rios Tais controles podem ser implementados atrav s de gateways para a rede que filtram o tr fego utilizando tabelas ou regras predefinidas As restri es aplicadas devem ser baseadas na pol tica de acesso e nos requisitos das aplica es do neg cio ver 9 1 e devem ser mantidas e atualizadas de acordo S o exemplos de aplica es s quais restri es deveriam ser aplicadas a correio eletr nico b
98. erar suas pr prias senhas e incluir um procedimento de confirma o para permitir corrigir erros de digita o c obrigar a escolha de senhas de qualidade como descrito no item 9 3 1 d onde usu rios alteram suas pr prias senhas obrigar altera es de senha como descrito no item 9 3 1 e onde os usu rios selecionam as senhas for los a alterar senhas tempor rias no primeiro logon ver 9 2 3 f manter um registro de senhas anteriores dos usu rios por exemplo pelos 12 meses anteriores e impedir a reutiliza o g n o exibir senhas na tela quando estiverem sendo digitadas h armazenar arquivos de senhas separadamente dos dados das aplica es do sistema 1 armazenar senhas sob forma criptografada usando um algoritmo de criptografia one way j alterar as senhas default dos fornecedores em seguida instala o dos softwares 9 5 5 Uso de utilit rios do sistema 51 ISO IEC 17799 2000 E A maioria das instala es de computador tem um ou mais programas utilit rios de sistema que podem ser capazes de sobrepujar controles dos sistemas e aplicativos E essencial que o uso deles seja restrito e controlado risca Os seguintes controles devem ser considerados a uso de procedimentos de autentica o para utilit rios de sistema b segregar os utilit rios dos softwares aplicativos c limita o do uso de utilit rios de sistema quantidade m nima pratic vel de usu rios autorizados e confi
99. etomada em tempo h bil das opera es essenciais 11 1 1 Processo de gerenciamento da continuidade do neg cio Deve existir um processo gerencial em vigor para desenvolver e manter a continuidade do neg cio em toda a organiza o Ele deve agregar os seguintes elementos chaves do gerenciamento da continuidade do neg cio a entender os riscos que a organiza o est enfrentando em termos de sua probabilidade e seu impacto incluindo uma identifica o e prioriza o dos processos cr ticos do neg cio b entender o impacto que provavelmente as interrup es ter o sobre o neg cio importante que sejam encontradas solu es que tratar o incidentes menores bem como incidentes s rios que poderiam amea ar a viabilidade da organiza o e estabelecer os objetivos para o neg cio das facilidades de processamento de informa es c considerar a contrata o de seguro adequado que pode formar parte do processo de continuidade do neg cio d formular e documentar uma estrat gia de continuidade do neg cio consistente com os objetivos e prioridades acordados para o neg cio e formular e documentar planos para continuidade do neg cio em linha com a estrat gia acordada f testar e atualizar regularmente os planos e processos implementados g assegurar que o gerenciamento da continuidade do neg cio seja incorporado aos processos e estrutura da organiza o A responsabilidade pela coordena o do processo d
100. gens 2 programa o deliberada ou acidental de m quinas para enviar mensagens para n meros espec ficos 3 enviar documentos ou imagens para o n mero errado ou discando o n mero errado ou usando um n mero armazenado errado 9 Controle de Acesso 9 1 Necessidades de controle de acesso Objetivo Controlar o acesso s informa es O acesso a informa es e processos do neg cio deve ser controlado com base nas necessidades de seguran a e do neg cio Deve se levar em conta as pol ticas para dissemina o e autoriza o das informa es 9 1 1 Pol tica de controle de acesso 9 1 1 1 Pol tica e requisitos do neg cio 40 ISO IEC 17799 2000 E Os requisitos de controle de acesso na organiza o devem ser definidos e documentados As regras e direitos de controle de acesso para cada usu rio ou grupo de usu rios devem ser claramente definidas em uma declara o de pol tica de acesso Os usu rios e os provedores de servi os devem receber uma declara o clara dos requisitos a serem satisfeitos pelos controles de acesso A pol tica deve considerar o seguinte a requisitos de seguran a das aplica es individuais do neg cio b identifica o de todas as informa es relacionadas s aplica es do neg cio c pol ticas para dissemina o e autoriza o de informa es como o princ pio do saber apenas quando necess rio e n veis de seguran a e classifica o de informa es d cons
101. ger ncia Os propriet rios dos sistemas de informa es ver 5 1 devem apoiar revis es regulares para verificar se seus sistemas obedecem s pol ticas de seguran a apropriadas padr es e quaisquer outros requisitos de seguran a O monitoramento operacional do uso do sistema abordado no item 9 7 12 2 2 Verifica o da obedi ncia t cnica Os sistemas de informa o devem ser verificados regularmente quanto obedi ncia aos padr es de implementa o de seguran a A verifica o da obedi ncia t cnica envolve o exame de sistemas operacionais para garantir que os controles de hardware e software foram corretamente implementados Este tipo de verifica o de obedi ncia exige assist ncia t cnica especializada Deve ser executada manualmente apoiada por ferramentas de software apropriadas se necess rio por um engenheiro de sistemas experiente ou por um pacote de software automatizado que gere um relat rio t cnico para subsequente interpreta o por um especialista t cnico A verifica o da obedi ncia cobre tamb m por exemplo testes de penetra o que podem ser executados por especialistas independentes contratados especificamente para este prop sito Isto pode ser til para detectar vulnerabilidades no sistema e para verificar qu o eficazes os controles s o na preven o de acesso n o autorizado devido 78 ISO IEC 17799 2000 E a estas vulnerabilidades Deve se exercer cautela no caso de um sucesso em
102. ger ncia tamb m pode ser conveniente c confirmar que o n vel de acesso concedido apropriado para os fins do neg cio ver 9 1 e consistente com a pol tica de seguran a da organiza o por exemplo n o compromete a segrega o de tarefas ver 8 14 d entregar aos usu rios um documento escrito com seus direitos de acesso e exigir que os usu rios assinem declara es indicando que eles entendem as condi es de acesso f assegurar que os provedores de servi o n o concedam acesso at os procedimentos de autoriza o terem sido conclu dos g manter um registro formal de todas as pessoas cadastradas para usar o servi o h remover imediatamente os direitos de acesso de usu rios que trocaram de fun o ou deixaram a organiza o i verificar periodicamente e remover IDs de usu rios e contas redundantes j assegurar que IDs de usu rio redundantes n o sejam emitidas para outros usu rios Deve ser dada aten o inclus o de cl usulas nos contratos de trabalho e contratos de servi os que especifiquem san es no caso de tentativas de acesso n o autorizado pelos empregados ou pessoas contratadas ver tamb m 6 1 4 e 6 3 5 9 2 2 Gerenciamento de privil gios A aloca o e o uso de privil gios qualquer recurso ou facilidade de um sistema de informa es multiusu rio que permite ao usu rio sobrepujar os controles do sistema ou aplicativo devem ser restritos e controlados O uso inapropriado d
103. i os de informa es a ger ncia deve conduzir um processo formal a intervalos regulares para revisar os direitos de acesso dos usu rios de forma que a os direitos de acesso dos usu rios sejam revisados a intervalos regulares um per odo de 6 meses recomendado e ap s quaisquer altera es ver 9 2 1 b as autoriza es para direitos privilegiados de acesso ver 9 2 2 devem ser revisadas a intervalos mais freq entes recomendado um per odo de 3 meses c a aloca o de privil gios seja verificada em intervalos regulares para garantir que n o sejam obtidos privil gios n o autorizados 9 3 Responsabilidades dos usu rios Objetivo Impedir acesso de usu rios n o autorizados A coopera o dos usu rios autorizados essencial para a efic cia da seguran a Os usu rios devem ser conscientizados de suas responsabilidades quanto manuten o de controles eficazes de acesso particularmente o uso de senhas e a seguran a do equipamento do usu rio 9 3 1 Uso de senhas Os usu rios devem seguir as boas normas de seguran a na sele o e uso de senhas As senhas fornecem um meio de validar a identidade do usu rio e assim estabelecer direitos de acesso aos servi os ou facilidades de processamento de informa es Todos os usu rios devem ser aconselhados a a manter confidenciais as senhas b evitar manter anota o das senhas em papel a menos que possam ser guardadas com seguran a c alter
104. ica o e deve ser encorajado a questionar estranhos desacompanhados e qualquer um que n o esteja usando identifica o vis vel Os direitos de acesso s reas de seguran a devem ser revisados e atualizados regularmente Seguran a nos escrit rios salas e instala es Uma rea de seguran a pode ser um escrit rio trancado ou v rias salas dentro de um per metro de seguran a f sica o qual pode ser trancado e pode conter v rios cofres ou arm rios trancados A sele o e o projeto de uma rea segura deve levar em conta a possibilidade de danos por inc ndio inunda o explos o arrua as e outras formas de desastres naturais ou provocados Deve se considerar tamb m os regulamentos e padr es relevantes quanto sa de e seguran a Tamb m devem ser levadas em considera o quaisquer amea as seguran a apresentadas por locais vizinhos como vazamento de gua proveniente de outras reas Os seguintes controles devem ser considerados a b c d e 8 As instala es principais devem ser situadas de modo a evitar o acesso pelo p blico Os edif cios devem ser discretos e dar a menor indica o poss vel de sua finalidade sem sinais bvios internos e externos que identifiquem a presen a de atividades de processamento de informa es Os equipamentos e fun es de apoio como fotocopiadoras e aparelhos de fax devem ser situados apropriadamente dentro da rea de seguran a para evitar
105. ica o eletr nica especialmente aqueles que permitem feedback e entrada direta de informa es devem ser cuidadosamente controlados de forma que a as informa es sejam obtidas de acordo com qualquer legisla o de prote o de dados existente ver 12 1 4 b as informa es introduzidas no sistema de publica o e processadas por ele sejam processadas inteiramente e com exatid o em tempo adequado c as informa es sens veis sejam protegidas durante o processo de coleta e quando armazenadas d o acesso ao sistema de publica o n o permita o acesso n o intencionado a redes em que esteja conectado 8 7 7 Outras formas de interc mbio de informa es Procedimentos e controles devem estar implantados para proteger o interc mbio de informa es atrav s do uso de facilidades de voz fac s mile e v deo comunica es As informa es podem ser comprometidas devido falta de conscientiza o pol tica ou procedimentos sobre o uso de tais facilidades como por exemplo conversas ouvidas por acaso em telefone m vel em local p blico grava es em secret rias 39 ISO IEC 17799 2000 E eletr nicas ouvidas por acaso acesso n o autorizado a sistemas discados de correio de voz ou enviar faxes acidentalmente para a pessoa errada As opera es da organiza o podem ser perturbadas e as informa es podem ser comprometidas se as facilidades de comunica o apresentarem falhas ficarem sobrecarregadas ou for
106. irecionamento e a confiabilidade e disponibilidade gerais do servi o 37 ISO IEC 17799 2000 E c impacto nos processos do neg cio de uma mudan a na m dia de comunica o por exemplo o efeito do aumento da velocidade da expedi o ou o efeito de enviar mensagens formais de pessoa para pessoa em vez de empresa para empresa d considera es legais tais como a necessidade potencial de prova de origem expedi o entrega e aceita o e implica es de publicar listas de pessoal acess veis externamente f controlar acesso de usu rios remotos a contas de correio eletr nico 8 7 4 2 Pol tica sobre correio eletr nico As organiza es devem estabelecer uma pol tica clara relativa ao uso de correio eletr nico incluindo a ataques ao correio eletr nico como v rus e intercepta o b prote o dos anexos nas mensagens eletr nicas c diretrizes sobre quando n o usar correio eletr nico d responsabilidade dos empregados em n o comprometer a empresa por exemplo envio de mensagens eletr nicas difamat rias utiliza o para ass dio compras n o autorizadas e uso de t cnicas criptogr ficas para proteger a confidencialidade e a integridade das mensagens eletr nicas ver 10 3 f reten o de mensagens que se armazenadas podem ser descobertas em casos de lit gios g controles adicionais para examinar cuidadosamente mensagens que n o podem ser autenticadas 8 7 5 Seguran a de sistem
107. ist ncia entre o controle de acesso e as pol ticas de classifica o de informa o dos diferentes sistemas e redes e legisla o relevante e quaisquer obriga es contratuais relacionadas com a prote o de acesso para dados ou servi os ver cl usula 12 f padroniza o de perfis de usu rio para categorias comuns de servi o g gerenciamento de direitos de acesso em um ambiente de rede e distribu do que reconhece todos os tipos de conex o dispon veis 9 1 1 2 Regras para controle de acesso Na especifica o das regras para controle de acesso preciso considerar com cuidado o seguinte a diferenciar entre regras que devem ser sempre obedecidas e regras que s o opcionais ou condicionais b estabelecer regras baseadas na premissa O que deve ser geralmente proibido a menos que seja expressamente permitido em vez de usar a regra mais fraca Tudo geralmente permitido a menos que seja expressamente proibido c mudan as nos r tulos das informa es ver 5 2 que s o iniciadas automaticamente pelas facilidades de processamento de informa o e aquelas iniciadas discri o de um usu rio d mudan as nas permiss es de usu rios que s o iniciadas automaticamente pelo sistema de informa es e aquelas iniciadas por um administrador e regras que exigem a aprova o do administrador ou outra aprova o antes de sua decreta o e aquelas que n o exigem 9 2 Gerenciamento do acesso de usu ri
108. l c O c digo execut vel n o deve ser implementado em um sistema operacional at prova de que os testes foram bem sucedidos e de que a aceita o do usu rio foi obtida e de que as correspondentes bibliotecas fontes de programas foram atualizadas d Deve ser mantido um log para auditoria de todas as atualiza es feitas nas bibliotecas de programas operacionais e Vers es anteriores do software devem ser guardadas como medida de conting ncia Software usado em sistemas operacionais que seja fornecido pelo revendedor deve ser mantido em um n vel no qual o fornecedor d suporte Qualquer decis o de fazer upgrade para uma nova vers o deve levar em conta a seguran a da vers o isto a introdu o de nova funcionalidade de seguran a ou a quantidade e a severidade dos problemas de seguran a que afetam esta vers o Software patches devem ser aplicados onde puderem ajudar a remover ou reduzir fraquezas na seguran a Acesso l gico ou f sico deve ser dado aos fornecedores apenas para fins de suporte quando necess rio e com a aprova o da ger ncia As atividades do fornecedor devem ser monitoradas 65 ISO IEC 17799 2000 E 10 4 2 Prote o de dados usados em teste de sistemas Dados de teste devem ser protegidos e controlados Os testes e a aceita o de sistemas geralmente exigem volumes substanciais de dados de teste que sejam o mais parecido poss vel com os dados operacionais O uso de bancos de dados opera
109. lidade da chave privada Esta chave deve ser mantida em segredo j que qualquer um que tenha acesso a esta chave pode assinar documentos como pagamentos e contratos falsificando desta forma a assinatura do propriet rio daquela chave Al m disso proteger a integridade da chave p blica importante Esta prote o fornecida pelo uso de um certificado de chave p blica ver 10 3 5 preciso levar em considera o o tipo e a qualidade do algoritmo de assinatura usado e o tamanho das chaves a serem usadas As chaves criptogr ficas usadas para assinaturas digitais devem ser diferentes daquelas usadas para criptografia de dados ver 10 3 2 Quando se usar assinaturas digitais deve ser levada em considera o qualquer legisla o pertinente que descreva as condi es sob as quais uma assinatura digital legalmente v lida Por exemplo no caso de com rcio eletr nico importante conhecer a situa o legal de assinaturas digitais Pode ser necess rio ter contratos legalmente v lidos ou outros acordos para suportar o uso de assinaturas digitais onde o embasamento legal for inadequado Deve ser buscada consultoria jur dica sobre as leis e regulamentos que possam se aplicar ao uso que a organiza o pretende fazer das assinaturas digitais 10 3 4 Servi os de n o repudia o Servi os de n o repudia o devem ser usados onde possa ser necess rio para resolver disputas sobre a ocorr ncia ou n o ocorr ncia de um evento
110. lificados As exig ncias da legisla o variam de pa s para pa s e para informa es geradas em 73 ISO IEC 17799 2000 E um pa s que s o transmitidas para outro pa s por exemplo fluxo de dados entre pa ses 12 1 1 Identifica o da legisla o aplic vel Todas as exig ncias contratuais estatut rias e regulamentadoras relevantes devem ser explicitamente definidas e documentadas para cada sistema de informa es Os controles espec ficos e as responsabilidades individuais para satisfazer estas exig ncias devem estar similarmente definidos e documentados 12 1 2 Direitos de propriedade industrial IPR 12 1 2 1 Copyright Procedimentos apropriados devem ser implementados para garantir a observ ncia de restri es legais quanto ao uso de material para o qual podem existir direitos de propriedade intelectual tais como copyright direitos de projeto e marcas registradas Viola o de copyrights pode levar a a es legais que podem envolver processo criminal Exig ncias legislativas regulamentadoras e contratuais podem colocar restri es quanto c pia de material propriet rio Em particular elas podem obrigar que apenas material que desenvolvido pela organiza o ou que licenciado ou fornecido pelo desenvolvedor para a organiza o possa ser usado 12 1 2 2 Copyright de softwares Produtos de software propriet rios geralmente s o fornecidos sob um contrato de licenciamento que limita o uso dos
111. m tica de a o prov vel preju zo ao neg cio resultante de uma falha de seguran a levando em conta as conseq ncias potenciais de uma perda de confiabilidade integridade ou disponibilidade das informa es e outros ativos b a probabilidade real stica de tais falhas ocorrerem sob a luz de amea as e vulnerabilidades prevalecentes e os controles atualmente implementados Os resultados desta avalia o ajudar o a guiar e determinar a a o gerencial adequada e as prioridades para gerir os riscos de seguran a de informa o e para implementar controles selecionados para proteger contra esses riscos O processo de avaliar riscos e selecionar controles pode precisar ser executado diversas vezes para cobrir diferentes partes da organiza o ou sistemas de informa o individuais E importante executar revis es peri dicas dos riscos de seguran a e dos controles implementados para a levar em conta as mudan as nas prioridades e necessidades do neg cio VII ISO IEC 17799 2000 E b considerar novas amea as e vulnerabilidades c confirmar que os controles permanecem eficazes e apropriados As revis es devem ser executadas em diferentes n veis de profundidade dependendo dos resultados das avalia es anteriores e das mudan as nos n veis de riscos que a ger ncia est preparada para aceitar As avalia es de riscos frequentemente s o executadas primeiro em um n vel superior como uma forma de priorizar recurso
112. n a de informa es Preserva o da confidencialidade integridade e disponibilidade das informa es Confidencialidade Garantir que as informa es sejam acess veis apenas para aqueles que est o autorizados a acess las Integridade Salvaguardar a exatid o e a inteireza das informa es e m todos de processamento Disponibilidade Assegurar que os usu rios autorizados tenham acesso s informa es e aos ativos associados quando necess rio 2 2 Avalia o de riscos Avalia o das amea as s informa es e s facilidades de processamento de informa es dos impactos nas informa es e nas facilidades das vulnerabilidades das informa es e facilidades e da probabilidade de ocorr ncia de tais riscos 2 3 Gest o de riscos Processo de identificar controlar e minimizar ou eliminar os riscos de seguran a que podem afetar sistemas de informa es a um custo aceit vel N T A palavra inglesa facilities significa recursos meios comodidades instala es Neste documento foi traduzida como facilidades com o significado de meios prontos de se conseguir algo de se chegar a um fim ISO IEC 17799 2000 E 3 Pol tica de seguran a 3 1 Pol tica de seguran a de informa es Objetivo Fornecer dire o e apoio gerenciais para a seguran a de informa es A ger ncia deve estabelecer uma dire o pol tica clara e demonstrar suporte a e comprometimento com a seguran a
113. n o deve usar servi os de rede que incluem encaminhamento de chamadas ou se eles inclu rem deve desabilitar o uso de tais recursos para evitar vulnerabilidades associadas com encaminhamento de chamadas Tamb m importante que o processo de call back inclua confirma o de que realmente ocorreu uma desconex o na ponta da organiza o Caso contr rio o usu rio remoto pode reter a linha aberta fingindo que ocorreu uma confirma o de call back Procedimentos e controles de call back devem ser cuidadosamente testados quanto a esta possibilidade 9 4 4 Autentica o de nodo Um recurso para conex o autom tica com um computador remoto pode fornecer um meio para obter acesso n o autorizado a uma aplica o da organiza o Conex es com sistemas de computadores remotos devem portanto ser autenticadas Isto especialmente importante se a conex o usar uma rede que est fora do controle do gerenciamento de seguran a da organiza o Alguns exemplos de autentica o e de como ela pode ser obtida s o citados no item 9 3 4 acima Autentica o de nodos pode servir como um meio alternativo de autenticar grupos de usu rios remotos onde eles estejam conectados com uma instala o de computadores compartilhada e segura ver 9 4 3 9 4 5 Prote o de porta de diagn stico remoto Acesso a portas de diagn stico deve ser controlado de forma segura Muitos computadores e sistemas de comunica o s o instalados com um recurso de diagn
114. nais de computador e impressoras n o devem ser deixados logados quando n o houver um operador usu rio junto e devem ser protegidos por key locks senhas e outros controles quando n o estiverem em uso d Pontos de entrada e sa da de correio e aparelhos de fax e telex devem ser protegidos e Fotocopiadoras devem ser trancadas ou protegidas contra uso n o autorizado de alguma outra maneira fora do hor rio de expediente f Informa es sens veis ou confidenciais quando impressas devem ser retiradas da impressora imediatamente 7 3 2 Remo o de propriedade Equipamentos informa es ou software n o devem ser retirados das instala es da organiza o sem autoriza o Quando necess rio e apropriado os equipamentos devem ter sua sa da registrada e devem ser registrados novamente quando devolvidos Verifica es aleat rias devem ser executadas para detectar remo o n o autorizada de propriedade As pessoas devem ser conscientizadas de que tais verifica es aleat rias ocorrer o 8 Gerenciamento de comunica es e opera es 8 1 Procedimentos operacionais e responsabilidades Objetivo Garantir a opera o correta e segura das facilidades de processamento de informa es As responsabilidades e os procedimentos para a gest o e opera o de todas as facilidades de processamento de informa es devem ser estabelecidas Isso inclui o desenvolvimento de instru es de opera o apropriadas e de p
115. ncia pr pria interna ISO IEC 17799 2000 E Os consultores de seguran a de informa o ou pontos de contato equivalentes devem ter como tarefa fornecer aconselhamento sobre todos os aspectos da seguran a de informa es usando ou seu pr prio conselho ou externo A qualidade de suas avalia es sobre as amea as seguran a e de seu aconselhamento sobre os controles determinar o a efetividade da seguran a de informa es na organiza o Para m xima efic cia e impacto eles devem ter acesso direto s ger ncias em toda a organiza o O consultor de seguran a de informa es ou ponto de contato equivalente deve ser consultado o mais cedo poss vel em seguida a uma suspeita de incidente ou quebra de seguran a para atuar como uma fonte de orienta o especializada ou recursos investigativos Apesar de a maioria das investiga es internas de seguran a serem conduzidas sob o controle da ger ncia o consultor em seguran a de informa es pode ser chamado para aconselhar liderar ou conduzir a investiga o 4 1 6 Coopera o entre organiza es Contatos apropriados com autoridades policiais rg os regulamentadores provedores de servi os de informa o e operadoras de telecomunica es devem ser mantidos para garantir que a a o apropriada seja tomada rapidamente e obtido aconselhamento na eventualidade de um incidente de seguran a Similarmente deve ser considerada a afilia o a grupos de seguran a e f
116. nclu da e Recursos de IT para executar as verifica es devem ser explicitamente identificados e disponibilizados f Solicita es para processamento especial ou adicional devem ser identificadas e concordadas g Todos os acessos devem ser monitorados e registrados em log para produzir uma trilha de refer ncia h Todos os procedimentos requisi es e responsabilidades devem ser documentados 12 3 2 Prote o das ferramentas de auditoria de sistemas O acesso s ferramentas de auditoria de sistemas ou seja software ou arquivos de dados deve ser protegido para impedir qualquer poss vel utiliza o indevida ou comprometimento Tais ferramentas devem ser separadas dos sistemas operacionais e de desenvolvimento e n o devem ser mantidas em bibliotecas de fitas ou reas de usu rios a n o ser que recebam um n vel adequado de prote o adicional 79
117. nte enviadas pelo correio ou usando meios eletr nicos mostradas em filmes ou faladas em conversas Qualquer que seja a forma que as informa es assumam ou os meios pelos quais sejam compartilhadas ou armazenadas elas devem ser sempre protegidas adequadamente A seguran a de informa es aqui caracterizada como a preserva o de a confidencialidade garantir que as informa es sejam acess veis apenas aqueles autorizados a terem acesso b integridade salvaguardar a exatid o e inteireza das informa es e m todos de processamento c disponibilidade garantir que os usu rios autorizados tenham acesso s informa es e ativos associados quando necess rio A seguran a das informa es obtida atrav s da implementa o de um conjunto adequado de controles que podem ser pol ticas pr ticas procedimentos estruturas organizacionais e fun es de software Esses controles precisam ser estabelecidos para assegurar que os objetivos de seguran a espec ficos da organiza o sejam alcan ados Por que necess ria a seguran a de informa es As informa es e os processos sistemas e redes que lhes d o suporte s o ativos importantes para os neg cios A confidencialidade a integridade e a disponibilidade das informa es podem ser essenciais para manter a competitividade o fluxo de caixa a rentabilidade o atendimento legisla o e a imagem comercial Cada vez mais as organiza es e seus sistem
118. ntroles e diretrizes adicionais podem ser necess rios para aumentar a seguran a de uma rea de seguran a Isso inclui controles para os funcion rios ou terceiros que trabalham na rea de seguran a bem como atividades terceirizadas que sejam executadas l Os seguintes controles devem ser considerados a b c d e 7 1 5 Os funcion rios devem estar cientes da exist ncia de uma rea de seguran a ou das atividades l executadas apenas na medida que for necess rio que eles saibam Trabalho n o supervisionado em reas de seguran a deve ser evitado tanto por raz es de seguran a quanto para impedir oportunidades para atividades maliciosas Areas de seguran a vazias devem ficar fisicamente trancadas e serem periodicamente verificadas Para o pessoal terceirizado de servi os de apoio deve ser concedido acesso restrito s reas de seguran a ou instala es de processamento de informa es sens veis e apenas quando necess rio Esse acesso deve ser autorizado e monitorado Barreiras adicionais e per metros para controlar ao acesso f sico podem ser necess rias entre reas que tenham diferentes exig ncias de seguran a dentro do per metro de seguran a Equipamentos fotogr ficos de udio v deo ou outras formas de grava o n o devem ser permitidos a n o ser que sejam autorizados Areas isoladas de carga e descarga reas de carga e descarga devem ser controladas e se poss vel isoladas d
119. o de erros e planos de conting ncia c prepara o e testes dos procedimentos operacionais de rotina segundo padr es definidos d um conjunto acordado de controles de seguran a em vigor e procedimentos manuais eficazes f arranjos para a continuidade dos neg cios conforme requerido no item 11 1 g evid ncia de que a instala o do novo sistema n o afetar de maneira adversa os sistemas existentes particularmente nos hor rios de pico de processamento como fim de m s h evid ncia de que foi considerado o efeito que o novo sistema ter sobre a seguran a geral da organiza o i treinamento na opera o ou uso dos novos sistemas Para novos desenvolvimentos importantes a rea de produ o e os usu rios devem ser consultados em todos os est gios do processo de desenvolvimento para garantir a efici ncia operacional do projeto do sistema proposto Testes apropriados devem ser conduzidos para confirmar que todos os crit rios de aceita o est o plenamente satisfeitos 29 ISO IEC 17799 2000 E 8 3 Prote o contra software malicioso Objetivo Proteger a integridade de softwares e informa es Precau es s o necess rias para impedir e detectar a introdu o de softwares maliciosos Softwares e instala es de processamento de informa es s o vulner veis introdu o de software malicioso tais como v rus de computador network 39 66 worms cavalos de Tr ia ver tamb m 10
120. o de seguran a f sica Prote o f sica pode ser obtida criando se diversas barreiras f sicas em torno dos edif cios e das facilidades de processamento de informa es da organiza o Cada barreira estabelece um per metro de seguran a cada um aumentando a prote o total fornecida As organiza es devem usar per metros de seguran a para proteger reas que contenham facilidades de processamento de informa es ver 7 1 3 Um per metro de seguran a alguma coisa que constitui uma barreira tal como uma parede um port o de entrada controlado por cart o ou um balc o de recep o com atendentes A localiza o e a resist ncia de cada barreira depende dos resultados de uma avalia o de riscos As diretrizes e controles seguintes devem ser considerados e implementados onde apropriado a O per metro de seguran a deve ser claramente definido b O per metro de um edif cio ou site que contenha facilidades de processamento de informa es deve ser fisicamente seguro isto n o deve haver brechas no per metro ou reas onde uma entrada for ada possa ocorrer com facilidade As paredes externas do site devem ser de constru o s lida e todas as portas externas devem ser adequadamente protegidas contra acesso n o autorizado com mecanismos de controle barras alarmes trancas etc c Deve existir uma rea de recep o com atendentes ou outros meios de controlar o acesso f sico ao site ou ao edif cio O aces
121. o n o autorizada de informa es o acesso remoto n o autorizado aos sistemas internos da organiza o ou utiliza o indevida dos equipamentos importante que o trabalho dist ncia seja autorizado e controlado pela ger ncia e que arranjos adequados estejam vigorando para este modo de trabalho As organiza es devem considerar o desenvolvimento de uma pol tica procedimentos e padr es para controlar as atividades de trabalho dist ncia As organiza es somente devem autorizar o trabalho dist ncia se elas estiverem satisfeitas que os arranjos de seguran a e controles apropriados est o implantados e que estes obedecem pol tica de seguran a da organiza o O seguinte deve ser considerado a a seguran a f sica existente do local de trabalho dist ncia levando em conta a seguran a f sica do edif cio e do ambiente local 57 ISO IEC 17799 2000 E b o ambiente proposto para o trabalho dist ncia c os requisitos de seguran a de comunica es levando em conta a necessidade de acesso remoto aos sistemas internos da organiza o a confidencialidade das informa es que ser o acessadas e transmitidas pelo link de comunica o e a confidencialidade do sistema interno d a amea a de acesso n o autorizado a informa es ou recursos por outras pessoas usando as acomoda es tais como familiares e amigos Os controles e arranjos a serem considerados incluem a a provis o de equipamento
122. o ou tratamento especial Um sistema de classifica o das informa es deve ser usado para definir um conjunto apropriado de n veis de prote o e comunicar a necessidade de medidas de tratamento especiais 5 2 1 Diretrizes para a classifica o As classifica es e controles associados de prote o para as informa es devem considerar as necessidades do neg cio quanto ao compartilhamento ou restri o das informa es e os impactos para o neg cio associados com tais necessidades por exemplo acesso n o autorizado ou danos s informa es Em geral a classifica o dada s informa es um atalho para determinar como essas informa es devem ser manipuladas e protegidas As informa es e as sa das geradas pelos sistemas que tratam dados confidenciais devem ser rotuladas segundo seu valor e sensibilidade para a organiza o Tamb m N T Fallback o que pode ser usado quando falhar o suprimento m todo ou atividade normal N T Archive um conjunto de arquivos de computador compactados juntos para fins de backup para serem transportados para outro local para economizar espa o em disco ou por algum outro motivo Um archive pode incluir uma simples lista de arquivos ou arquivos organizados sob uma estrutura de diret rio ou cat logo N T A palavra inglesa classification no contexto deste documento significa atribui o de grau de confidencialidade A tradu o usada classifica o deve ser
123. oaeb sets top dra t es E 54 9 7 2 Monitorando o uso do sistema iereerererecereeeeeeereeenae rear aeee neeanenanenaaeacarenaranenanes 54 9 7 3 Sincroniza o de rel gios sacras sismaniscirecaces sera iespitasiesisonanep oi roninsd dan ir bed da nin sdd caasnab etica 56 9 8 COMPUTA O M VEL E TRABALHO DIST NCIA ccecceeeeeeeereeeeeeeeeeeeeeeeeeeeererererereserereneraeos 56 9 8 1 Compuladoies Pori t is sree ounen Aeae EA EE AEEA E e aa 56 9 8 2 Trabalho dist ncia ne e EE R E EEEE E ERER 57 10 DESENVOLVIMENTO E MANUTEN O DE SISTEMAS sesesssssssseeccoroorsrsrsssssssseeceeeersrss 58 10 1 REQUISITOS DE SEGURAN A NOS SISTEMAS ccccciceeeereeerrereeereeaeneeeererernaeaeererererenaenereerereasa 58 10 1 1 An lise e especifica o dos requisitos de seguran a 58 10 2 SEGURAN A EM SISTEMAS APLICATIVOS ccccciiiceeeereeeereereeeeareeenaeereeaaeereencareeeaaeeneenaseraaneos 59 10 2 1 Valida o dos dados de entrada rreereraeeneera ceara rena enaracanaeaaeaneraneeenaranananaa 59 10 2 2 Controle do processamento interno ii rireeeererererarrereenaeenae eae eaaer rena neaaneaa 60 10 2 3 Autentica o de MensagenS ssssseseseesesessesesessesessrsesesesstnessssestseesesessesesesessesesseseseseesesesseee 60 10 2 4 Valida o dos dados de sa da rreererarereraranaeaa cane raneneanararanae arca nara naeenaeaeananaa 61 10 3 CONTROLES CRIPTOGR FICOS iscenirao an En EEE VRTE EE
124. odas as formas incluindo m dia usada pelos fabricantes para distribui o de software 9 listagens de programas 10 dados de teste 11 documenta o de sistemas c Pode ser mais f cil recolher todos os itens de m dia e descart los de forma segura do que tentar separar os itens sens veis d Muitas organiza es oferecem servi os de coleta e descarte para pap is equipamentos e m dia Deve se tomar cuidado na sele o de um fornecedor com controles adequados e experi ncia e Descarte de itens sens veis deve ser registrado onde poss vel para manter uma audit trail Ao se acumular m dia para descarte deve se considerar o efeito de agrega o que pode fazer com que uma grande quantidade de informa es n o confidenciais se torne mais sens vel do que uma pequena quantidade de informa es confidenciais 8 6 3 Procedimentos de manuseio de informa es Procedimentos para o manuseio e armazenamento de informa es devem ser estabelecidos para proteger tais informa es contra divulga o n o autorizada ou utiliza o indevida Devem ser redigidos procedimentos para manusear informa es de forma consistente com sua classifica o ver 5 2 em documentos sistemas de computador redes computa o m vel comunica o m vel correio correio de voz comunica es de voz em geral multim dia servi os e facilidades postais uso de aparelhos de fax e outros itens sens veis como cheques em branco e fa
125. ogon 12 1 6 Regulamenta o de controles criptogr ficos Alguns pa ses implementaram acordos leis regulamentos ou outros instrumentos para controlar o acesso a controles criptogr ficos ou o seu uso Tais controles podem incluir 76 ISO IEC 17799 2000 E a importa o e ou exporta o de hardware e software de computadores para executar fun es criptogr ficas b importa o e ou exporta o de hardware e software de computadores que sejam projetados para ter fun es criptogr ficas adicionadas a ele c m todos mandat rios ou discricion rios pelos pa ses relacionados ao acesso s informa es criptografadas por hardware ou software para fornecer confidencialidade de conte do Deve ser buscado aconselhamento legal para garantir a obedi ncia s leis nacionais Antes que controles criptogr ficos ou informa es criptografadas sejam transferidas para outro pa s tamb m deve ser buscado aconselhamento legal 12 1 7 Coleta de provas 12 1 7 1 Regras para provas E necess rio ter provas adequadas para apoiar uma a o contra uma pessoa ou organiza o Sempre que esta a o for uma quest o disciplinar interna a prova necess ria estar descrita pelos procedimentos internos Onde a a o envolver a lei seja civil ou criminal a prova apresentada deve se conformar com as regras para provas definidas na lei relevante ou nas regras do tribunal espec fico em que o caso ser ouvido Em geral estas regras
126. ole de acesso definida fornecer prote o contra acesso n o autorizado para qualquer software utilit rio e de sistema operacional que seja capaz de fazer override nos controles do sistema ou aplicativo n o comprometer a seguran a de outros sistemas com os quais sejam compartilhados recursos de informa o ter capacidade de fornecer acesso s informa es apenas para o propriet rio outros indiv duos nomeados autorizados ou grupos de usu rios definidos 9 6 1 Restri o de acesso s informa es Usu rios de sistemas aplicativos incluindo a equipe de suporte devem receber acesso s informa es e fun es dos sistemas aplicativos de acordo com uma pol tica predefinida de controle de acesso baseada nos requisitos individuais das aplica es do neg cio e consistente com a pol tica organizacional de acesso a informa es ver 9 1 A aplica o dos seguintes controles deve ser considerada de forma a suportar as exig ncias de restri o de acesso a fornecer menus para controlar o acesso a fun es dos sistemas aplicativos b restringir o conhecimento dos usu rios sobre informa es ou fun es dos sistemas aplicativos que eles n o est o autorizados a acessar com censura apropriada da documenta o de usu rio c controlar os direitos de acesso dos usu rios como ler gravar apagar ou executar d garantir que as sa das produzidas pelos sistemas aplicativos que tratam informa es sens
127. olver outros participantes Contratos que permitem o acesso de terceiros devem incluir permiss o para designa o de outros participantes eleg veis e as condi es para o acesso deles ISO IEC 17799 2000 E Esse padr o pode ser usado como uma base para tais contratos e ao se considerar a terceiriza o do processamento de informa es 4 2 1 Identifica o dos riscos no acesso de terceiros 4 2 1 1 Tipos de acesso O tipo de acesso concedido a uma terceira parte de especial import ncia Por exemplo os riscos de acesso atrav s de uma conex o de rede s o diferentes dos riscos resultantes do acesso f sico Os tipos de acesso que devem ser considerados s o a acesso f sico por exemplo a escrit rios salas de computadores arquivos b acesso l gico por exemplo aos bancos de dados e sistemas de informa o da organiza o 4 2 1 2 Raz es para o acesso O acesso de terceiros pode ser concedido por diversas raz es Por exemplo existem empresas que fornecem servi os para uma organiza o e n o est o localizadas on site mas podem receber permiss o de acesso f sico e l gico tais como a equipe de suporte de hardware e software que precisam acessar funcionalidades de aplica es no n vel de sistema ou em baixo n vel b parceiros comerciais ou joint ventures que podem intercambiar informa es acessar sistemas de informa es ou compartilhar bancos de dados Informa es podem ser coloca
128. om o originador ou o propriet rio designado da informa o 5 2 2 Rotulagem e manuseio de informa es importante que um conjunto apropriado de procedimentos seja definido para rotulagem e manuseio das informa es de acordo com o esquema de classifica o adotado pela organiza o Esses procedimentos precisam cobrir os ativos de informa o nos formatos f sicos e eletr nicos Para cada classifica o os procedimentos de manuseio devem ser definidos para cobrir os seguintes tipos de atividades de processamento de informa o a c pia b armazenamento c transmiss o pelo correio fax e correio eletr nico d transmiss o verbal incluindo telefone celular correio de voz secret rias eletr nicas e destrui o As sa das geradas pelos sistemas que cont m informa es classificadas como sens veis ou cr ticas devem portar um r tulo de classifica o apropriado na sa da O r tulo deve refletir a classifica o de acordo com as regras estabelecidas no item 5 2 1 Os itens a serem considerados incluem relat rios impressos exibi es em tela m dia gravada fitas discos CDs cassetes mensagens eletr nicas e transfer ncias de arquivos As etiquetas f sicas s o geralmente as formas mais apropriadas de rotulagem Entretanto alguns ativos de informa o tais como documentos sob a forma eletr nica n o podem ser fisicamente rotulados e preciso usar meios eletr nicos de rotulagem 12 ISO
129. onjunto ISO IEC JTC 1 Rascunhos dos Padr es Internacionais adotados pelo comit t cnico conjunto s o circulados nos rg os nacionais para vota o A publica o como um Padr o Internacional exige a aprova o de pelo menos 75 dos rg os nacionais votantes Chamamos a aten o para a possibilidade de que alguns dos elementos deste Padr o Internacional podem estar sujeitos a direitos de patente A ISO e a IEC n o ser o consideradas respons veis pela identifica o de todos ou quaisquer destes direitos de patente O Padr o Internacional ISO IEC 17799 foi preparado pelo British Standards Institution como BS 7799 e foi adotado atrav s de um procedimento especial de regime de urg ncia pelo Comit T cnico Conjunto ISO IEC JTC 1 Tecnologia da Informa o em paralelo sua aprova o pelos rg os nacionais da ISO e da IEC ISO IEC 17799 2000 E Introdu o O que seguran a de informa es Informa es s o ativos que como qualquer outro ativo importante para os neg cios possuem valor para uma organiza o e consequentemente precisam ser protegidos adequadamente A seguran a de informa es protege as informa es contra uma ampla gama de amea as para assegurar a continuidade dos neg cios minimizar preju zos e maximizar o retorno de investimentos e oportunidades comerciais As informa es podem existir sob muitas formas Podem ser impressas ou escritas em papel armazenadas eletronicame
130. onsiderados a Software de desenvolvimento e software operacional devem onde poss vel ser executados em processadores diferentes ou em diferentes dom nios ou diret rios 27 ISO IEC 17799 2000 E b As atividades de desenvolvimento e testes devem ser o mais separadas poss vel c Compiladores editores e outros utilit rios do sistema n o devem ser acess veis a partir do sistema operacional quando n o requeridos d Procedimentos diferentes de logon devem ser usados para sistemas de produ o e de testes para reduzir o risco de erro Os usu rios devem ser encorajados a usar diferentes senhas para esses sistemas e os menus devem exibir mensagens de identifica o apropriadas e A equipe de desenvolvimento deve ter acesso s senhas de produ o apenas onde existem controles para emiss o de senhas para o suporte dos sistemas operacionais Os controles devem garantir que tais senhas sejam alteradas ap s O Uso 8 1 6 Gerenciamento de facilidades externas A utiliza o de uma empresa externa contratada para gerenciar as facilidades de processamento de informa es pode introduzir uma exposi o potencial de seguran a tal como a possibilidade de comprometimentos danos ou perdas de dados no site da contratada Esses riscos devem ser identificados antecipadamente e controles apropriados devem ser acordados com a empresa contratada e incorporados ao contrato ver tamb m 4 2 2 e 4 3 para obter orienta o sobre contra
131. os Objetivo Impedir acesso n o autorizado aos sistemas de informa o Procedimentos formais devem ser implantados para controlar a aloca o de direitos de acesso a sistemas e servi os de informa o Os procedimentos devem cobrir todos os est gios do ciclo de vida do acesso dos usu rios desde o cadastramento inicial de novos usu rios at a retirada final de usu rios que n o mais necessitam de acesso aos sistemas e servi os de informa o 41 ISO IEC 17799 2000 E Aten o adequada deve ser dada onde apropriado necessidade de controlar a aloca o de direitos privilegiados de acesso que permitem aos usu rios sobrepujar os controles do sistema 9 2 1 Cadastramento de usu rios Deve existir um procedimento formal de cadastramento e descadastramento de usu rios para a concess o de acesso a todos os sistemas e servi os de informa o multiusu rios O acesso a servi os de informa o multiusu rios deve ser controlado atrav s de um processo formal de cadastramento de usu rios que deve incluir a usar IDs de usu rio exclusivas de modo que os usu rios possam ser relacionados com suas a es e responsabilizados por elas O uso de IDs de grupo deve ser permitido apenas onde elas sejam adequadas para o trabalho executado b confirmar que o usu rio tem autoriza o do propriet rio do sistema para o uso do sistema ou servi o de informa o Aprova o separada para os direitos de acesso pela
132. os com os procedimentos operacionais 8 4 3 Log de falhas As falhas devem ser reportadas e a es corretivas executadas As falhas reportadas pelos usu rios a respeito de problemas com o processamento de informa es ou sistemas de comunica es devem ser registradas em log Devem existir regras claras para tratar as falhas reportadas incluindo a revis o de logs de falhas para assegurar que as falhas tenham sido satisfatoriamente resolvidas b revis o de medidas corretivas para assegurar que os controles n o foram comprometidos e que a a o executada est totalmente autorizada 8 5 Gerenciamento de redes Objetivo Assegurar a salvaguarda de informa es em redes de computadores e a prote o da infra estrutura de apoio O gerenciamento da seguran a em redes que podem ultrapassar as fronteiras da organiza o exige aten o Controles adicionais tamb m podem ser exigidos para proteger dados sens veis que trafegam por redes p blicas 8 5 1 Controles para redes Diversos controles s o necess rios para obter e manter a seguran a em redes de computadores Os gerentes de redes devem implementar controles para garantir a seguran a dos dados nas redes e a prote o de servi os que se utilizam das redes contra acesso n o autorizado Especificamente os seguintes controles devem ser considerados a A responsabilidade operacional pelas redes deve ser separada das opera es de computador onde apropriado ver 8 1
133. ou a o por exemplo uma disputa envolvendo o uso de uma assinatura digital em um contrato ou pagamento eletr nico Eles podem ajudar a estabelecer provas para substanciar se um determinado evento ou a o ocorreu por exemplo nega o de envio de uma instru o assinada eletronicamente usando correio eletr nico Estes servi os s o baseados no uso de t cnicas de criptografia e assinatura digital ver tamb m 10 3 2 e 10 3 3 10 3 5 Gerenciamento de chaves 10 3 5 1 Prote o de chaves criptogr ficas O gerenciamento das chaves criptogr ficas essencial para o uso eficaz das t cnicas de criptografia Qualquer comprometimento ou perda das chaves criptogr ficas pode levar a um comprometimento da confidencialidade autenticidade e ou integridade das informa es Um sistema de gerenciamento deve ser implantado para dar suporte organiza o no uso dos dois tipos de t cnicas criptogr ficas que s o a t cnicas de chave secreta onde duas ou mais partes compartilham a mesma chave e esta chave usada tanto para criptografar quanto para descriptografar as informa es Esta chave tem que ser mantida secreta uma vez que qualquer 63 ISO IEC 17799 2000 E um que tenha acesso a ela capaz de descriptografar todas as informa es que foram codificadas com esta chave ou introduzir informa es n o autorizadas b t cnicas de chave p blica onde cada usu rio tem um par de chaves uma chave p blica que pode ser revel
134. para fornecer garantia de que os planos funcionar o na vida real Estas t cnicas podem incluir a testes de mesa de diversos cen rios discutir os arranjos para recupera o usando interrup es de exemplo b simula es particularmente para treinar pessoas em seus pap is de gerenciamento p s incidente crise c testes da recupera o t cnica garantindo que os sistemas de informa o podem ser restaurados eficientemente 72 ISO IEC 17799 2000 E d testar recupera o em um site alternativo executando processos do neg cio em paralelo com opera es de recupera o longe do site principal e testes das facilidades e servi os de fornecimento garantindo que servi os e produtos providos externamente satisfar o o compromisso contratado f ensaios completos testando se a organiza o pessoal equipamento facilidades e processos conseguem lidar com interrup es As t cnicas podem ser usadas por qualquer organiza o e devem refletir a natureza do plano de recupera o espec fico 11 1 5 2 Manuten o e reavaliza o dos planos Os planos para continuidade do neg cio devem passar por revis es e atualiza es regulares para garantir sua efic cia continuada ver 11 1 5 1 at 11 1 5 3 Devem ser inclu dos procedimentos dentro do programa de gerenciamento de mudan as da organiza o para garantir que as quest es relacionadas com a continuidade do neg cio sejam tratadas adequadamente Deve
135. para proteger contra perigos ou acesso n o autorizado e para salvaguardar instala es de apoio tais como suprimento de eletricidade e infra estrutura de cabeamento 7 2 1 Disposi o f sica dos equipamentos e prote o Os equipamentos devem ser protegidos ou dispostos fisicamente de forma adequada para reduzir os riscos oriundos de amea as e perigos ambientais e de oportunidades de acesso n o autorizado Os seguintes controles devem ser considerados a Os equipamentos devem ser dispostos fisicamente de forma a minimizar acessos desnecess rios entre reas de trabalho b As instala es de processamento e armazenamento de informa es que lidam com dados sens veis devem ser posicionadas para reduzir o risco de as informa es serem vistas casualmente durante seu uso c Itens que necessitam prote o especial devem ser isolados para reduzir o n vel geral de prote o exigido d Controles devem ser adotados para minimizar o risco de amea as potenciais incluindo 1 roubo 2 inc ndio 3 explosivos 4 fuma a 5 gua ou falha no fornecimento 6 poeira 7 vibra o 8 efeitos qu micos 9 interfer ncia no suprimento el trico 10 radia o eletromagn tica e Uma organiza o deve considerar sua pol tica em rela o ao consumo de alimentos bebida e cigarros nas proximidades das instala es de processamento de informa es f As condi es ambientais devem ser monitoradas em b
136. produtos a m quinas especificadas e pode permitir c pias apenas para a cria o de backups Os seguintes controles devem ser considerados a publicar uma pol tica de obedi ncia a copyright de software que define o uso legal dos softwares e produtos de informa o b emitir padr es para os procedimentos de aquisi o de produtos de software c manter a conscientiza o sobre as pol ticas de copyright e de aquisi o de softwares e notificar a inten o de tomar medidas disciplinares contra pessoas que as infringirem d manter registros apropriados dos ativos e manter comprovante e evid ncia de propriedade de licen as discos mestres manuais etc f implementar controles para garantir que n o seja excedida a quantidade m xima de usu rios permitidos g executar verifica o de que apenas software autorizado e produtos licenciados est o instalados h providenciar uma pol tica para manter condi es de licen a apropriadas 1 providenciar uma pol tica para descartar ou transferir software para outros j usar ferramentas de auditoria apropriadas 74 ISO IEC 17799 2000 E k obedecer aos termos e condi es relativos aos softwares e informa es obtidos de redes p blicas ver tamb m 8 7 6 12 1 3 Salvaguarda de registros organizacionais Registros importantes de uma organiza o devem ser protegidos contra perda destrui o e falsifica o Alguns registros podem precisar ser guardados
137. que fazer quando receb los Esses controles s o especialmente importantes para servidores de arquivos de rede que suportam grandes quantidades de esta es de trabalho 8 4 Housekeeping Objetivo Manter a integridade e a disponibilidade dos servi os de processamento de informa es e comunica es Procedimentos de rotina devem ser implantados para executar a estrat gia acordada sobre backups ver 11 1 fazendo c pias backup de dados e treinando sua restaura o em tempo h bil registrando log de eventos e falhas e onde apropriado monitorando o ambiente computacional 8 4 1 Backup das informa es C pias backup dos softwares e das informa es essenciais para o neg cio devem ser executadas regularmente Facilidades adequadas para backup devem ser fornecidas para assegurar que todas as informa es e softwares essenciais para o neg cio possam ser recuperados ap s um desastre ou falha em alguma m dia Os procedimentos para backup de sistemas individuais devem ser regularmente testados para assegurar que eles satisfa am os requisitos dos planos de continuidade do neg cio ver cl usula 11 Os seguintes controles devem ser considerados a Um n vel m nimo de informa es backup juntamente com registros completos e exatos das c pias backup e procedimentos documentados de restaura o devem ser armazenados em um local remoto a uma dist ncia segura para escapar de quaisquer danos no caso de um desastre no site
138. r adotada levando em considera o os riscos de se trabalhar com facilidades de computa o m vel em particular em ambientes n o protegidos Por exemplo tal pol tica deve incluir os requisitos de prote o f sica controles de acesso t cnicas 56 ISO IEC 17799 2000 E criptogr ficas backups e prote o contra v rus Esta pol tica tamb m deve incluir regras e conselhos sobre a conex o de dispositivos m veis a redes e orienta o sobre o uso desses dispositivos em locais p blicos Deve se tomar cuidado quando se usa dispositivos port teis de computa o em locais p blicos salas de reuni o e outras reas n o protegidas fora das instala es f sicas da organiza o Prote o deve estar implementada para evitar acesso n o autorizado ou divulga o das informa es armazenadas e processadas por estes dispositivos por exemplo usando t cnicas de criptografia ver 10 3 importante que quando tais dispositivos forem usados em locais p blicos seja tomado cuidado para evitar o risco de bisbilhotagem por pessoas n o autorizadas Procedimentos contra software malicioso devem ser implementados e devem ser mantidos sempre atualizados ver 8 3 Deve estar dispon vel equipamento para possibilitar o backup r pido e f cil das informa es Estes backups devem receber prote o adequada contra roubo ou perda de informa o por exemplo Prote o adequada deve ser fornecida para uso de dispositivos port t
139. r 6 1 3 O acesso s informa es e s facilidades de processamento de informa es por terceiras partes n o deve ser concedido at que os controles adequados tenham sido implementados e tenha sido assinado um contrato definindo os termos para a conex o ou acesso 4 2 2 Requisitos de seguran a para contratos com terceiros Os arranjos que envolvem o acesso de terceiras partes s facilidades de processamento de informa es da organiza o devem ser baseados em um contrato formal contendo ou referenciando todos os requisitos de seguran a para garantir a obedi ncia s pol ticas e padr es de seguran a da organiza o O contrato deve garantir que n o haja mal entendidos entre a organiza o e a terceira parte As organiza es devem se satisfazer quanto idoneidade de seu fornecedor Os seguintes termos devem ser considerados para inclus o no contrato a a pol tica geral de seguran a das informa es b a prote o de ativos incluindo 1 procedimentos para proteger ativos da organiza o incluindo informa es e software 2 procedimentos para determinar se ocorreu qualquer comprometimento dos ativos por exemplo perda ou modifica o de dados 3 controles para garantir a devolu o ou destrui o de informa es e ativos no final do contrato ou em algum momento acordado durante o contrato 4 integridade e disponibilidade 5 restri es c pia e divulga o de informa es c uma descri
140. r quaisquer dados corrompidos Exemplos de verifica es que podem ser incorporadas incluem os seguintes a controles de sess o ou de lotes para conciliar arquivos de dados ap s atualiza es de transa es b fechamento dos controles para verificar saldos inicias contra saldos finais anteriores a saber 1 controles de execu o para execu o 2 totais da atualiza o dos arquivos 3 controles de programa para programa c valida o de dados gerados pelo sistema ver 10 2 1 d verifica es da integridade de dados ou softwares transmitidos ou recebidos entre computadores central e remotos ver 10 3 3 e totais hash de registros e arquivos f verifica es para assegurar que os programas aplicativos sejam executados na hora correta g verifica es para assegurar que os programas sejam executados na ordem correta e encerrados no caso de uma falha e que processamento posterior seja suspenso at o problema ser resolvido 10 2 3 Autentica o de mensagens 2 Autentica o de mensagens uma t cnica usada para detectar altera es n o autorizadas ou corrompimento dos conte dos de uma mensagem transmitida 60 ISO IEC 17799 2000 E eletronicamente Ela pode ser implementada em hardware ou software que suporte um dispositivo f sico de autentica o de mensagens ou um algoritmo de software Autentica o de mensagens deve ser considerada para aplicativos onde exista uma necessidade de seguran
141. ra resolu o de problemas provid ncias de conting ncia tamb m devem ser consideradas onde apropriado n responsabilidades relacionadas com instala o e manuten o de hardware e software o uma estrutura clara para relat rios informativos e formatos acordados de relat rios p um processo claro e especificado de troca de ger ncia q quaisquer controles de prote o f sica necess rios e mecanismos para assegurar que esses controles sejam obedecidos r treinamento de administradores e usu rios nos m todos procedimentos e seguran a s controles para assegurar a prote o contra software malicioso ver 8 3 t arranjos para reportar notificar e investigar incidentes de seguran a e quebras de seguran a u envolvimento da terceira parte com subcontratados 4 3 Outsourcing Objetivo Manter a seguran a das informa es quando a responsabilidade pelo processamento das informa es tiver sido terceirizada com outra organiza o Os acordos de terceiriza o outsourcing devem tratar dos riscos controles de seguran a e procedimentos para sistemas de informa es ambientes de rede e ou desktop no contrato entre as partes 4 3 1 Requisitos de seguran a em contratos de outsourcing Os requisitos de seguran a de uma organiza o que terceiriza a gest o e o controle de todos ou alguns de seus sistemas de informa o ambientes de redes e ou ambientes de desktop devem ser tratados em um contrato
142. rias sobre o car ter da pessoa por exemplo uma refer ncia profissional outra pessoal b uma verifica o quanto veracidade e exatid o do curriculum vitae do candidato c confirma o das qualifica es acad micas e profissionais declaradas d verifica o independente de identidade passaporte ou documento similar Onde uma fun o na contrata o inicial ou na promo o envolver a pessoa ter acesso s facilidades de processamento de informa es e em particular se essas lidarem com informa es sens veis por exemplo informa es financeiras ou altamente confidenciais a organiza o tamb m deve executar uma verifica o de cr dito Para empregados que det m posi es de consider vel autoridade essa verifica o deve ser repetida periodicamente Um processo de filtragem similar deve ser executado para contratados e empregados tempor rios Quando essas pessoas forem fornecidas atrav s de uma ag ncia o contrato com a ag ncia deve especificar claramente as responsabilidades da ag ncia na filtragem e os procedimentos de notifica o que eles precisam seguir se a filtragem n o for conclu da ou se os resultados causarem d vidas ou suspeitas 18 ISO IEC 17799 2000 E A ger ncia deve avaliar a supervis o necess ria para empregados novos e inexperientes que tenham autoriza o de acesso a sistemas sens veis O trabalho de toda a equipe deve estar sujeito revis o peri dica e a procedimentos
143. rocedimentos para resposta a incidentes A segrega o de tarefas ver 8 1 4 deve ser implementada onde apropriado para reduzir o risco de utiliza o negligente ou m utiliza o deliberada dos sistemas 8 1 1 Procedimentos operacionais documentados Os procedimentos operacionais identificados pela pol tica de seguran a devem ser documentados e mantidos atualizados Os procedimentos operacionais devem ser tratados como documentos formais e as altera es devem ser autorizadas pela ger ncia Os procedimentos devem especificar as instru es para execu o detalhada de cada servi o incluindo 24 ISO IEC 17799 2000 E a processamento e manuseio de informa es b exig ncias de scheduling incluindo interdepend ncias com outros sistemas e hor rios mais cedo de in cio e mais tarde de t rmino dos jobs c instru es para tratamento de erros ou outras condi es excepcionais que possam surgir durante a execu o do job incluindo restri es no uso de utilit rios do sistema ver 9 5 5 d contatos de suporte na eventualidade de dificuldades operacionais ou t cnicas inesperadas e instru es para tratamento especial das sa das geradas tais como o uso de papel especial ou o gerenciamento de sa das confidenciais incluindo procedimentos para descarte seguro de sa das resultantes de jobs cancelados ou abortados f procedimentos para rein cio e recupera o para uso no caso de falha no sistema
144. rporar controles que restrinjam a rota entre o terminal do usu rio e os servi os informatizados que o usu rio est autorizado a acessar como por exemplo criando um path obrigat rio pode reduzir tais riscos O objetivo de um path obrigat rio impedir quaisquer usu rios de selecionar rotas que est o fora da rota entre o terminal do usu rio e os servi os que o usu rio est autorizado a acessar Isto geralmente requer a implementa o de diversos controles em diferentes pontos na rota O princ pio limitar as op es de roteamento em cada ponto na rede atrav s de escolhas predefinidas S o exemplos disto a alocar linhas ou n meros de telefones dedicados b conectar portas automaticamente com sistemas aplicativos ou gateways de seguran a especificados c limitar as op es de menus e submenus para usu rios individuais d impedir roaming de rede ilimitado e para usu rios externos da rede obrigar o uso de sistemas aplicativos e ou gateways de seguran a especificados f controlar ativamente as comunica es permitidas entre origem e destino via gateways de seguran a como firewalls g restringir o acesso rede atrav s da implanta o de dom nios l gicos separados como redes virtuais privadas para grupos de usu rios dentro da organiza o ver tamb m 9 4 6 Os requisitos para um path obrigat rio devem ser baseados na pol tica de controle de acesso do neg cio ver 9 1 46 ISO IEC
145. s Onde apropriado essas responsabilidades devem continuar por um per odo definido ap s o t rmino do v nculo de emprego Deve ser inclu da a a o a ser executada se o empregado desrespeitar as exig ncias de seguran a As responsabilidades e direitos legais do empregado por exemplo com respeito a leis de copyright ou legisla o de prote o de dados devem ser esclarecidas e inclu das nos termos e condi es do contrato de trabalho A responsabilidade pela classifica o e gerenciamento dos dados do empregado tamb m deve ser inclu da Onde for apropriado os termos e condi es do contrato de trabalho devem declarar que aquelas responsabilidades continuam vigorando fora das instala es f sicas da organiza o e fora das horas de trabalho normais por exemplo no caso de trabalho em casa ver tamb m 7 2 5 e 9 8 1 6 2 Treinamento dos usu rios Objetivo Assegurar que os usu rios se conscientizem das preocupa es e amea as seguran a das informa es e estejam equipados para apoiar a pol tica de seguran a organizacional no curso de seu trabalho normal Os usu rios devem ser treinados nos procedimentos de seguran a e no uso correto das facilidades de processamento de informa es para minimizar os poss veis riscos de seguran a 14 ISO IEC 17799 2000 E 6 2 1 Educa o e treinamento sobre seguran a de informa es Todos os empregados da organiza o e onde for relevante usu rios terceirizados
146. s o de cada altera o e que a documenta o antiga seja arquivada ou descartada 1 manter um controle de vers o para todos os updates de software j manter uma audit trail de todas as solicita es de altera o 67 ISO IEC 17799 2000 E k assegurar que a documenta o operacional ver 8 1 1 e os procedimentos dos usu rios sejam alterados conforme necess rio para ficarem adequadas D assegurar que a implementa o de altera es ocorra no momento certo e n o perturbe os processos do neg cio envolvidos Muitas organiza es mant m um ambiente onde os usu rios testam novos softwares e que fica segregado dos ambientes de produ o e desenvolvimento Isto propicia um meio de ter controle sobre novos softwares e permite prote o adicional das informa es operacionais que sejam usadas para fins de testes 10 5 2 Revis o t cnica de altera es em sistemas operacionais Periodicamente necess rio alterar o sistema operacional por exemplo para instalar uma vers o mais recente do software ou patches de altera es Quando as altera es acontecem os sistemas aplicativos devem ser revisados e testados para assegurar que n o existe impacto adverso na opera o ou na seguran a Este processo deve cobrir a revis o dos procedimentos de controle de aplicativos e integridade para garantir que eles n o foram comprometidos pelas altera es no sistema operacional b garantir que o plano de suporte anual e
147. s nas reas de alto risco e depois em um n vel mais detalhado para tratar riscos espec ficos Selecionando controles Uma vez que os requisitos de seguran a tenham sido identificados devem ser selecionados e implementados controles para garantir que os riscos sejam reduzidos a um n vel aceit vel Os controles podem ser selecionados a partir deste documento ou de outros conjuntos de controles ou novos controles podem ser projetados para satisfazer necessidades espec ficas conforme apropriado Existem muitas formas diferentes de gerenciar riscos e este documento fornece exemplos de enfoques comuns Entretanto necess rio reconhecer que alguns desses controles n o s o aplic veis a todos os sistemas de informa o ou ambientes e podem n o ser pratic veis para todas as organiza es Por exemplo o item 8 1 4 descreve como as tarefas podem ser segregadas para impedir fraudes ou erros Pode n o ser poss vel para pequenas organiza es segregar todas as tarefas e podem ser necess rias outras formas para se obter o mesmo objetivo de controle Como um outro exemplo os itens 9 7 e 12 1 descrevem como o uso de sistemas pode ser monitorado e como podem ser coletadas provas Os controles descritos como grava o de log de eventos podem conflitar com a legisla o aplic vel tal como prote o da privacidade para clientes ou no local de trabalho Os controles devem ser selecionados considerando o custo de implementa o em rela
148. s no processo de revis o da pol tica de seguran a ver 3 1 2 6 3 5 Processo disciplinar Deve existir um processo disciplinar formal para empregados que tenham violado as pol ticas e procedimentos de seguran a organizacionais ver 6 1 4 e para reten o de provas ver 12 1 7 Tal processo pode atuar como um meio de intimida o para empregados que poderiam de outra forma se inclinar a desrespeitar os procedimentos de seguran a Adicionalmente ele deve tamb m assegurar um tratamento justo e correto para os empregados que sejam suspeitos de cometer quebras de seguran a severas ou persistentes 7 Seguran a f sica e ambiental 7 1 reas de seguran a Objetivo Impedir acesso n o autorizado danos ou interfer ncia s instala es f sicas e s informa es da organiza o As facilidades de processamento de informa es sens veis ou cr ticas para o neg cio devem ser localizadas em reas seguras protegidas por um per metro de seguran a 16 ISO IEC 17799 2000 E definido com barreiras de seguran a apropriadas e controles de entrada Elas devem ser fisicamente protegidas contra acesso n o autorizado danos e interfer ncias A prote o fornecida deve ser compat vel com os riscos identificados Uma pol tica de mesas limpas e telas limpas recomendada para reduzir o risco de acesso n o autorizado ou danos a pap is m dia e facilidades de processamento de informa es 7 1 1 Per metr
149. s procedimentos de emerg ncia estabelecidos tais como planos de evacua o ou quaisquer arranjos de fallback existentes devem ser ajustados conforme apropriado Uma estrutura para planejamento de continuidade do neg cio deve considerar o seguinte a as condi es para ativar os planos que descrevem o processo a ser seguido como avaliar a situa o quem deve ser envolvido etc antes de cada plano ser ativado b procedimentos de emerg ncia que descrevem as a es a serem tomadas em seguida a um incidente que coloca em risco as opera es do neg cio e ou vidas humanas Isto deve incluir arranjos para gerenciamento de rela es p blicas e 11 ISO IEC 17799 2000 E para liga o eficaz com as autoridades p blicas apropriadas tais como pol cia bombeiros e governo local c procedimentos de fallback que descrevem as a es a serem tomadas para transferir as atividades essenciais do neg cio ou servi os de apoio para locais alternativos tempor rios e para colocar os processos do neg cio de volta em opera o dentro das r guas de tempo exigidas d procedimentos de retomada que descrevem as a es a serem executadas para retornar s opera es normais do neg cio e um cronograma de manuten o que especifica como e quando o plano ser testado e os processos para manter atualizado o plano f atividades de conscientiza o e educa o que sejam projetadas para criar uma compreens o dos processos de con
150. s usu rios aos servi os de informa es 9 4 1 Pol tica sobre o uso de servi os em rede Conex es inseguras com servi os em rede podem afetar toda a organiza o Os usu rios devem ter acesso direto apenas aos servi os que eles foram especificamente autorizados a usar Este controle particularmente importante para conex es de rede com aplica es sens veis ou cr ticas ou para usu rios em locais de alto risco como reas p blicas ou externas que est o fora da gest o e controle de seguran a da organiza o 45 ISO IEC 17799 2000 E Deve ser formulada uma pol tica relacionada ao uso de redes e de servi os em rede Ela deve cobrir a as redes e os servi os em rede cujo acesso permitido b procedimentos de autoriza o para determinar quem est autorizado a acessar quais redes e servi os em rede c controles e procedimentos administrativos para proteger o acesso a conex es de rede e servi os em rede Esta pol tica deve ser consistente com a pol tica de controle de acesso da organiza o ver 9 1 9 4 2 Path obrigat rio O path do terminal do usu rio at o servi o informatizado pode precisar ser controlado As redes s o projetadas para permitir m ximo escopo no compartilhamento de recursos e flexibilidade de roteamento Esses recursos tamb m podem propiciar oportunidades para acesso n o autorizado a aplica es da organiza o ou uso n o autorizado das facilidades de informa o Inco
151. seeeeeeesrsesrereereresrserrtrrererseststerreresssesesresrereeeseseeeee 16 6 3 3 Processo disciphna Peene des riso aein tora assa RENEA E EE ETE SEIE Ea EEE 16 7 SEGURAN A F SICA E AMBIENTAL sssssssecsssssseoccsssssseooessssrsteeessssroreeessssroreeesssstoeesessssrocesssssse 16 7 1 REAS DE SEGURAN A sire ear r aE rE A E E a I EN E EEE 16 7 dd Per metro d e seguranca fisica ses anera ene a a o ede a e aa e E ndash Tanta salada 17 7 1 2 Controles para entrada f SICA asiesseimecrssissanioiioesselis top oraso ess debagiasdiagecsnsebanisnac ERNA 17 7 1 3 Seguran a nos escrit rios salas e instala es ereerereeeeerreereeeneeeneerrerateaaa 18 7 1 4 Trabalhando em reas de seguran a osesssseseeesesreerererrsesrrresreresrsesrtreeressssrsrerreress 19 7 1 5 reas isoladas de carga e descar a sic pique aU Sp 19 7 2 SEGURAN A DOS EQUIPAMENTOS cccceeerereeeererereererereeneaeerererereaaene corr eeeaaaeaeeeerereneaneneneererensa 20 7 2 1 Disposi o f sica e prote o dos equipamentos eeeeereerereeeeeeneernreracenaa 20 7 2 2 Suprimento de energia rir erre ironiei aei Eaa iE nara caneca Easain ees 21 7 2 3 Seguran a para cabe mMento sisssicsaipisisiiiikirori sikipis ai i skirenn isha 21 7 2 4 Manuten o dos equipamentos sssssssesseseesseeeeesreeesererssrsrtssstestsserrresereensesresreserersserereees 22 7 2 5 Seguran a de equipamentos fora da empresa errrreraraeree aeee reneneenararereneeena 22 7 2
152. seguran a Os incidentes de seguran a devem ser reportados atrav s dos canais administrativos adequados o mais rapidamente poss vel Um procedimento formal para relatar os incidentes deve ser estabelecido juntamente com um procedimento de resposta ao incidente estabelecendo a a o a ser executada no recebimento de um relat rio de incidente Todos os empregados e contratados devem estar cientes do procedimento para reportar incidentes de seguran a e deve se exigir que reportem tais incidentes o mais r pido poss vel Processos de feedback adequados devem ser implementados para garantir que aqueles que reportaram os incidentes sejam notificados dos resultados ap s o incidente ser investigado e encerrado Esses incidentes podem ser usados em um treinamento de conscientiza o dos usu rios ver 6 2 como exemplos do que pode acontecer de como responder a tais incidentes e de como evit los no futuro ver tamb m 12 1 7 6 3 2 Reportando pontos fracos na seguran a Os usu rios de servi os de informa es devem ser obrigados a anotar e reportar quaisquer pontos fracos observados ou suspeitados ou amea as aos sistemas e servi os Eles devem reportar esses assuntos diretamente sua ger ncia ou diretamente ao seu provedor de servi os o mais rapidamente poss vel Os usu rios devem ser informados de que eles n o devem em nenhuma circunst ncia tentar 15 ISO IEC 17799 2000 E provar testar um ponto fraco suspeitado Isso
153. ser atribu da responsabilidade pelas revis es regulares de cada plano para continuidade do neg cio a identifica o de mudan as nos arranjos comerciais ainda n o refletidas nos planos para continuidade do neg cio deve ser seguida por uma atualiza o adequada do plano Este processo formal de controle de mudan a altera o deve garantir que os planos atualizados sejam distribu dos e refor ados por revis es regulares do plano completo Exemplos de situa es que podem exigir a atualiza o dos planos incluem a aquisi o de novos equipamentos ou upgrade de sistemas operacionais e altera es em a pessoal b endere os ou n meros de telefone c estrat gia do neg cio d localiza o instala es e recursos e legisla o f prestadores de servi os fornecedores e clientes importantes g processos ou novos ou eliminados h risco operacional e financeiro 12 Obedi ncia a exig ncias 12 1 Obedi ncia s exig ncias legais Objetivo Evitar infra o de qualquer lei civil e criminal estatut ria regulamentadora ou de obriga es contratuais e de quaisquer requisitos de seguran a O projeto opera o uso e gerenciamento de sistemas de informa es podem estar sujeitos a exig ncias de seguran a estatut rias regulamentadoras e contratuais Deve ser buscado aconselhamento sobre exig ncias legais espec ficas com os consultores jur dicos da organiza o ou profissionais adequadamente qua
154. so aos sites ou edif cios deve ser restrito apenas ao pessoal autorizado d As barreiras f sicas devem se necess rio ser estendidas do piso real ao teto real para impedir entrada n o autorizada e contamina o ambiental tais como as causadas por inc ndio ou inunda o e Todas as portas corta fogo em um per metro de seguran a devem ter alarmes e devem fechar fazendo barulho 7 1 2 Controles para entrada f sica As reas de seguran a devem ser protegidas por controles de entrada apropriados para garantir que apenas o pessoal autorizado tenha acesso a elas Os seguintes controles devem ser considerados a Visitantes nas reas de seguran a devem ser supervisionados ou conduzidos pela seguran a e as datas e hor rios de sua entrada e sa da devem ser registrados Eles devem ter seu acesso concedido apenas para prop sitos espec ficos e autorizados e devem ser instru dos sobre os requisitos de seguran a da rea e sobre os procedimentos de emerg ncia 17 b c d 7 1 3 ISO IEC 17799 2000 E O acesso a informa es sens veis e facilidades de processamento de informa es deve ser controlado e restringido apenas ao pessoal autorizado Controles de autentica o tais como cart es magn ticos com PIN devem ser usados para autorizar e validar todos os acessos Uma audit trail de todos os acessos deve ser mantido em seguran a Todo o pessoal deve ser obrigado a usar alguma forma vis vel de identif
155. ssegurar de que uma descri o clara dos atributos de seguran a de todos os servi os usados seja fornecida 9 5 Controle de acesso ao sistema operacional Objetivo Impedir acesso n o autorizado a computadores As facilidades de seguran a no n vel de sistema operacional devem ser usadas para restringir o acesso aos recursos dos computadores Estas facilidades devem ser capazes de a identificar e confirmar a identidade e se necess rio o terminal ou localiza o de cada usu rio autorizado b registrar acessos ao sistema bem sucedidos e fracassados c fornecer os meios apropriados para autentica o se for usado um sistema de gerenciamento de senhas ele deve garantir senhas de qualidade ver 9 3 1 d d onde apropriado restringir os tempos de conex o dos usu rios Outros m todos de controle de acesso tais como challenge response est o dispon veis se forem justific veis com base no risco para o neg cio 9 5 1 Identifica o autom tica de terminal Identifica o autom tica de terminais deve ser considerada para autenticar conex es com locais espec ficos e com equipamentos port teis Identifica o autom tica de terminais uma t cnica que pode ser usada se for importante que a sess o possa ser iniciada apenas de um local espec fico ou de um terminal de computador espec fico Um identificador no terminal ou acoplado ao terminal pode ser usado para indicar se este terminal em particular est
156. t SEN at us ESG paes sas a LE nada ca RS ado sna Sn E 5 2 CLASSIFICA O DAS INFORMA ES ssiri denbo esires sined s ets neinet Kene EEKE ee ekst RE PEKEE Kosok eeaancereeeaneesaana 5 2 1 Diretrizes para a classifica o 5 2 2 Rotulagem e manuseio de informa es 6 SEGURAN A RELACIONADA AO PESSOAL ccreeeenernecermernecermernecormernecnenesaecosmesaecnsnesassass 13 6 1 SEGURAN A NA DEFINI O DE FUN ES E ALOCA O DE PESSOAL 6 1 1 Incluindo a seguran a nas responsabilidades dos servi os 6 12 Sele o epolitica de pesso noren idosa aa e e Sa da e RES OB TASE L TS ga das LD a 6 1 3 Contratos de confidencialidade erre erereeareearacane en aeaeaaear anna racaneenaeananacanta 6 1 4 Termos e condi es de emprego ne 6 2 TREINAMENTO DOS USU RIOS c rece rereeeeerreeeeeerareer re caeeeearene raca taaear aeee ra ca eaataraennaa 6 2 1 Educa o e treinamento sobre seguran a de informa es ISO IEC 17799 2000 E 6 3 RESPONDENDO A INCIDENTES DE SEGURAN A E MAL FUNCIONAMENTOS ccrcereemeneereenereerees 15 6 3 1 Reportando incidentes de seguran a ssseeseeeeeeeeerrersesrerrrrerreressserirrterersersesrerrererseeses 15 6 3 2 Reportando pontos fracos na seguran a reereeereraeerarareneeranane er aeacanacarenneranaeenna 15 6 3 3 Reportando mal funcionamento de softwares irrerererereererareraeeaeacanacarennerananeenna 16 6 3 4 Aprendendo com os incidentes sseseseee
157. te dos existentes em qualquer m dia reutiliz vel que for removida da organiza o devem ser apagados b Deve ser exigida autoriza o para remover qualquer m dia da organiza o e deve ser mantido um registro de tais remo es para guardar uma audit trail ver 8 7 2 c Todas as m dias devem ser armazenadas em um ambiente seguro de acordo com as especifica es dos fabricantes Todos os procedimentos e n veis de autoriza o devem ser claramente documentados 8 6 2 Descarte de m dia M dia deve ser descartada de maneira segura e cuidadosa quando n o for mais necess ria Informa es sens veis podem vazar para pessoas estranhas organiza o atrav s de m dia descartada sem cuidados Procedimentos formais para descarte seguro de m dia devem ser estabelecidos para minimizar este risco Os seguintes controles devem ser considerados a M dia contendo informa es sens veis deve ser armazenada e descartada de forma cuidadosa e segura por exemplo por incinera o ou picotagem ou esvaziada de dados para uso por outro aplicativo dentro da organiza o b A lista seguinte identifica os itens que podem exigir descarte seguro 1 documentos em papel 2 grava es de voz ou outras grava es 3 papel carbono 4 relat rios impressos 5 fitas de impressora de utiliza o nica 33 ISO IEC 17799 2000 E 6 fitas magn ticas 7 discos ou cassetes remov veis 8 m dia de armazenamento tico t
158. te 12 1 6 sobre legisla o de criptografia Os acordos de com rcio eletr nico entre parceiros comerciais devem ser apoiados por um contrato documentado que compromete ambas as partes com os termos acordados do interc mbio incluindo detalhes sobre autoriza o ver item b acima Outros contratos com provedores de servi os de informa o e de redes de valor agregado podem ser necess rios Sistemas de com rcio p blicos devem divulgar seus termos de neg cio para os clientes Deve se levar em considera o a resili ncia a ataques do host usado para com rcio eletr nico e as implica es de seguran a de qualquer interconex o de redes exigida para sua implementa o ver 9 4 7 8 7 4 Seguran a para correio eletr nico 8 7 4 1 Riscos de seguran a O correio eletr nico vem sendo usado para comunica es comerciais substituindo as formas tradicionais de comunica o tais como telex e cartas O correio eletr nico difere das formas tradicionais de comunica o comercial por exemplo pela sua velocidade estrutura de mensagens grau de informalidade e vulnerabilidade a a es n o autorizadas Deve se levar em considera o a necessidade de controles para reduzir os riscos de seguran a criados pelo correio eletr nico Os riscos de seguran a incluem a vulnerabilidade das mensagens a acesso n o autorizado ou modifica o ou nega o de servi o b vulnerabilidade a erros como endere amento incorreto ou mal d
159. tiga es ou como prova em casos legais ou disciplinares Logs de auditoria inexatos podem atrapalhar tais investiga es e prejudicar a credibilidade de tais provas Onde um computador ou dispositivo de comunica o tiver a capacidade de operar um rel gio tempo real ele deve ser colocado em um padr o acordado por exemplo Tempo Universal Coordenado UCT ou tempo padr o local Uma vez que alguns rel gios podem desviar com o tempo deve existir um procedimento para verificar e corrigir qualquer varia o significativa 9 8 Computa o m vel e trabalho dist ncia Objetivo Assegurar seguran a de informa es no uso de computadores port teis e facilidades de trabalho dist ncia A prote o exigida deve ser compat vel com os riscos que estes modos de trabalho espec ficos podem causar Quando se usa computador port til os riscos de trabalhar em um ambiente n o protegido devem ser considerados e a prote o apropriada deve ser aplicada No caso de trabalho dist ncia a organiza o deve aplicar prote o ao local onde realizado o trabalho dist ncia e assegurar que condi es adequadas estejam vigorando para este modo de trabalho 9 8 1 Computadores port teis Quando se usa facilidades de computa o m vel tais como notebooks palmtops laptops e telefones m veis cuidado especial deve ser tomado para garantir que as informa es da organiza o n o sejam comprometidas Uma pol tica formal deve se
160. tinuidade do neg cio e garantir que os processos continuem a ser eficazes g as responsabilidades dos indiv duos descrevendo quem respons vel por executar cada componente do plano Alternativas devem ser indicadas conforme necess rio Cada plano deve ter um propriet rio espec fico Procedimentos de emerg ncia planos de fallback manuais e planos de retomada devem estar dentro da responsabilidade dos propriet rios dos recursos ou processos do neg cio envolvidos Arranjos de fallback para servi os t cnicos alternativos tais como facilidades de processamento de informa es e de comunica es devem geralmente ser de responsabilidade dos provedores dos servi os 11 1 5 Testes manuten o e reavalia o dos planos para continuidade do neg cio 11 1 5 1 Testes dos planos Os planos para continuidade do neg cio podem falhar ao serem testados freq entemente devido a suposi es incorretas omiss es ou mudan as em equipamentos ou pessoal Portanto eles devem ser testados regularmente para assegurar que est o atualizados e eficazes Tais testes tamb m devem garantir que todos os membros da equipe de recupera o e outras equipes relevantes estejam cientes dos planos O cronograma de testes para o s plano s para continuidade do neg cio deve indicar como e quando cada elemento do plano deve ser testado recomendado testar os componentes individuais do s plano s freq entemente Diversas t cnicas devem ser usadas
161. to importante que se possa confiar no processo de gerenciamento que gera estes certificados Este processo normalmente conduzido por uma autoridade de certifica o que deve ser uma organiza o reconhecida com controles adequados e procedimentos implantados para propiciar o grau exigido de confian a Os conte dos de acordos ou contratos de n veis de servi o com fornecedores externos de servi os criptogr ficos como uma autoridade de certifica o devem cobrir as quest es de responsabilidades confiabilidade dos servi os e tempos de resposta para o provimento dos servi os ver 4 2 2 10 4 Seguran a de arquivos do sistema Objetivo Assegurar que os projetos de IT e atividades de suporte sejam conduzidos de uma forma segura O acesso aos arquivos do sistema deve ser controlado Manter a integridade do sistema deve ser responsabilidade da fun o usu ria ou grupo de desenvolvimento ao qual o sistema aplicativo ou software pertence 10 4 1 Controle de software operacional Deve ser fornecido controle para a implementa o de software em sistemas operacionais Para minimizar os riscos de corrup o de sistemas operacionais os seguintes controles devem ser considerados a A atualiza o de bibliotecas de programas operacionais deve ser executada somente por um bibliotec rio indicado sob autoriza o da ger ncia apropriada ver 10 4 3 b Se poss vel os sistemas operacionais devem ter apenas c digo execut ve
162. tos com terceiros que envolvem acesso s facilidades da organiza o e contratos de outsourcing Entre os aspectos particulares que devem ser tratados est o a identificar aplica es sens veis ou cr ticas que seria melhor manter in house b obter a aprova o dos propriet rios internos da aplica o c implica es para os planos de continuidade do neg cio d padr es de seguran a a serem especificados e o processo para mensurar o seu cumprimento e aloca o de responsabilidades e procedimentos espec ficos para monitorar eficazmente todas as atividades de seguran a relevantes f responsabilidades e procedimentos para reportar e tratar os incidentes de seguran a ver 8 1 3 8 2 Planejamento e aceita o de sistemas Objetivo Minimizar os riscos de falhas nos sistemas Planejamento antecipado e prepara o s o obrigat rios para assegurar a disponibilidade das capacidades e recursos adequados Proje es das necessidades futuras de capacidade devem ser feitas para reduzir o risco de sobrecarga no sistema Os requisitos operacionais dos novos sistemas devem ser estabelecidos documentados e testados antes de sua aceita o e uso 28 ISO IEC 17799 2000 E 8 2 1 Capacity planning As demandas por recursos devem ser monitoradas e devem ser feitas proje es para o futuro para garantir que o poder de processamento e armazenamento adequados estejam dispon veis Estas proje es devem levar em conta
163. turas Os seguintes controles devem ser considerados ver tamb m 5 2 e 8 7 2 a manuseio e rotulagem de todas as m dias ver tamb m 8 7 2a b restri es de acesso para identificar pessoal n o autorizado c manuten o de um registro formal dos receptores autorizados de dados d assegurar que os dados de entrada estejam completos que o processamento seja conclu do adequadamente e que seja aplicada uma valida o das sa das produzidas e prote o de dados gravados em spool aguardando impress o em um n vel adequado com sua confidencialidade f armazenamento das m dias em um ambiente que esteja de acordo com as especifica es dos fabricantes g manter a distribui o de dados em um n vel m nimo h marca o clara de todas as c pias de dados para a aten o do receptor autorizado 1 revis o a intervalos regulares das listas de distribui o e listas de receptores autorizados 34 ISO IEC 17799 2000 E 8 6 4 Seguran a da documenta o dos sistemas A documenta o dos sistemas pode conter v rias informa es sens veis como descri es de processos de aplicativos procedimentos estruturas de dados e processos de autoriza o ver tamb m 9 1 Os seguintes controles devem ser considerados para proteger a documenta o dos sistemas contra acesso n o autorizado a A documenta o dos sistemas deve ser guardada de forma segura b A lista de acesso documenta o de sistemas dev
164. usca de situa es que possam afetar a opera o das instala es de processamento de informa es g O uso de m todos de prote o especiais tais como membranas para teclados deve ser considerado para equipamentos em ambientes industriais 20 ISO IEC 17799 2000 E h Deve ser considerado o impacto de um desastre que aconte a nos pr dios pr ximos por exemplo um inc ndio em um edif cio vizinho vazamento de gua atrav s do teto ou em andares abaixo do n vel da rua ou uma explos o na rua 7 2 2 Suprimento de energia Os equipamentos devem ser protegidos contra falta de energia e outras anomalias na eletricidade Uma fonte el trica adequada deve ser provida de acordo com as especifica es do fabricante do equipamento As op es para conseguir continuidade no fornecimento de energia incluem a m ltiplas alimenta es para evitar um nico ponto de falha no fornecimento de energia b equipamento para suprimento de energia ininterrupto no break c gerador sobressalente Um equipamento de no break para suportar um encerramento do processamento de forma ordenada ou para continuar com o processamento recomendado para equipamentos que suportam opera es cr ticas para o neg cio Os planos de conting ncia devem cobrir a a o a ser executada no caso de falha do no break O equipamento de no break deve ser verificado regularmente para certificar que ele possui a capacidade adequada
165. uso de controles criptogr ficos em toda a organiza o incluindo os princ pios gerais sob os quais as informa es do neg cio devem ser protegidas b a abordagem para o gerenciamento de chaves incluindo m todos para lidar com a recupera o de informa es criptografadas no caso de chaves perdidas comprometidas ou danificadas c pap is e responsabilidades por exemplo quem respons vel por d a implementa o da pol tica e o gerenciamento das chaves f como deve ser determinado o n vel de prote o criptogr fica apropriado g os padr es a serem adotados para a implementa o efetiva em toda a organiza o qual solu o ser usada para quais processos do neg cio 10 3 2 Criptografia Criptografia uma t cnica que pode ser usada para proteger a confidencialidade das informa es Ele deve ser considerada para prote o de informa es sens veis ou cr ticas O n vel requerido de prote o deve ser identificado com base em uma avalia o de riscos levando se em conta o tipo e a qualidade do algoritmo de criptografia usado e a tamanho das chaves criptogr ficas a serem usadas Ao se implementar a pol tica de criptografia da organiza o devem ser considerados os regulamentos e as restri es nacionais que podem se aplicar ao uso de t cnicas criptogr ficas em diferentes partes do mundo e s quest es de fluxo de informa es criptografadas entre pa ses Al m disso deve ser dada considera
166. uziram legisla o que coloca controles no processamento e transmiss o de dados pessoais geralmente informa es sobre pessoas vivas que podem ser identificadas a partir daquelas informa es Tais controles podem impor obriga es para aqueles que coletam processam e disseminam informa es pessoais e podem restringir a capacidade de transferir aqueles dados para outros pa ses A obedi ncia legisla o de prote o de dados exige estrutura de gerenciamento e controle apropriadas Com freqii ncia a melhor forma de conseguir isto pela nomea o de um encarregado da prote o aos dados que deve fornecer orienta o para os gerentes usu rios e provedores de servi o sobre suas responsabilidades individuais e os procedimentos espec ficos que devem ser seguidos Deve ser responsabilidade dos propriet rios dos dados informar ao encarregado da prote o aos dados sobre quaisquer propostas para manter informa es pessoais em um arquivo estruturado e para assegurar a conscientiza o sobre os princ pios de prote o aos dados definidos na legisla o relevante 12 1 5 Preven o de utiliza o indevida das facilidades de processamento de informa es As facilidades de processamento de informa es de uma organiza o s o fornecidas para os fins do neg cio A ger ncia deve autorizar o seu uso Qualquer utiliza o destas facilidades para prop sitos n o autorizados ou n o relacionados ao neg cio sem aprova o
167. veis contenham apenas as informa es que s o relevantes para o uso das sa das e sejam enviadas apenas para terminais e locais autorizados incluindo revis o peri dica de tais sa das para garantir que informa es redundantes sejam removidas 53 ISO IEC 17799 2000 E 9 6 2 Isolamento de sistemas sens veis Sistemas sens veis podem exigir um ambiente computacional dedicado isolado Alguns sistemas aplicativos s o suficientemente sens veis a perdas potenciais a ponto de exigir tratamento especial A sensibilidade pode indicar que o sistema aplicativo deve ser executado em um computador dedicado deve compartilhar recursos apenas com sistemas aplicativos confi veis ou n o ter limita es As seguintes considera es se aplicam a A sensibilidade de um sistema aplicativo deve ser explicitamente identificada e documentada pelo propriet rio da aplica o ver 4 1 3 b Quando uma aplica o sens vel executada em um ambiente compartilhado os sistemas aplicativos com os quais ela compartilhar recursos devem ser identificados e acordados com o propriet rio da aplica o sens vel 9 7 Monitorando o acesso e o uso do sistema Objetivo Detectar atividades n o autorizadas Os sistemas devem ser monitorados para detectar desvios da pol tica de controle de acesso e registrar eventos monitor veis para fornecer provas no caso de incidentes de seguran a O monitoramento do sistema permite que a efic cia dos controles
Download Pdf Manuals
Related Search
Related Contents
Electrolux EWDW6505GS Energy Guide For Android devices, install our Android app from Google Play by ST600 Manual Achat d`un premier siège d`auto pour bébés TP n°4 – filtres, redirections et tubes Delta Elektronika Stromversorgung SM 1500 - Serie Orçamento familiar e o Controle Social Instrumentos de cg125 titan ks cg125 titan es cg125 titan kse cg125 cargo manual de Manuel d`utilisateur Télémarc 3.2 DUAL ONE MOTOR MASSAGE CONTROL- https://telegra.ph/DC-Voltage-Drop-Calculator-1ce387ed-11-16
- https://telegra.ph/1-1-2-Concrete-Mix-Calculator-3bf62285-11-16
- https://telegra.ph/Wall-Concrete-Volume-Calculator-8149ff96-11-17
- https://telegra.ph/Concrete-Volume-Calculator-for-Steps-4e3b768e-11-17
- https://telegra.ph/1-2-4-Concrete-Mix-Calculator-8e70eeb2-11-17
- https://telegra.ph/Concrete-Mix-Calculator-48a5462c-11-13
- https://telegra.ph/profile-weight-calculator-0810a34c-11-07
- https://telegra.ph/Wire-Size-Calculator-From-Voltage-Drop-dc632e6c-11-17
- https://telegra.ph/DC-Voltage-Drop-Calculator-3a41e7cc-11-18
- https://telegra.ph/Calculate-Wire-Resistor-from-Voltage-Drop-f12b74c4-11-18