Cpia no autorizada

ABNT NBR ISO/IEC 17799

Segunda edio 31.08.2005
Vlida a partir de 30.09.2005

Tecnologia da informao Tcnicas de segurana

Cdigo de prtica para a gesto da segurana da informao
Information technology Security technical Code of pratice for information security
management
Palavras-chave: Tecnologia da informao. Segurana. Descriptors: Information technology. Security.
ICS 35.040

NORMA BRASILEIRA
Nmero de referncia ABNT NBR ISO/IEC 17799:2005 120 pginas
ABNT 2005

Cpia no autorizada

ABNT NBR ISO/IEC 17799:2005

ABNT 2005 Todos os direitos reservados. A menos que especificado de outro modo, nenhuma parte desta
publicao pode ser reproduzida ou por qualquer meio, eletrnico ou mecnico, incluindo fotocpia e microfilme,
sem permisso por escrito pela ABNT.
Sede da ABNT Av.Treze de Maio, 13 - 28o andar 20031-901 - Rio de Janeiro - RJ Tel.: + 55 21 3974-2300 Fax: + 55
21 2220-1762 abnt@abnt.org.br www.abnt.org.br
Impresso no Brasil

ii
ABNT 2005 - Todos os direitos reservados

Cpia no autorizada

ABNT NBR ISO/IEC 17799:2005

Sumrio
Pgina
Prefcio
Nacional......................................................................................................................................................vi
i
0
Introduo.....................................................................................................................................................
.ix
0.1
O
que

segurana
da
informao?............................................................................................................ix 0.2 Por que a
segurana da informao necessria?..................................................................................ix 0.3
Como
estabelecer
requisitos
de
segurana
da
informao
.....................................................................x 0.4 Analisando/avaliando os riscos de segurana da
informao.................................................................x
0.5
Seleo
de
controles.....................................................................................................................................x 0.6 Ponto
de partida para a segurana da informao...................................................................................xi 0.7
Fatores
crticos
de
sucesso
........................................................................................................................xi 0.8 Desenvolvendo suas
prprias diretrizes ..................................................................................................xii
1 Objetivo
..........................................................................................................................................................1
2 Termos e
definies......................................................................................................................................1
3
Estrutura
desta
Norma..................................................................................................................................4 3.1 Sees
............................................................................................................................................................ 4 3.2
Principais
categorias
de
segurana
da
informao
..................................................................................4
4
Anlise/avaliao
e
tratamento
de
riscos
...................................................................................................6 4.1 Analisando/avaliando os riscos de
segurana da informao.................................................................6 4.2 Tratando os riscos de
segurana da informao ......................................................................................6
5
Poltica
de
segurana
da
informao..........................................................................................................8
5.1
Poltica
de
segurana da informao..........................................................................................................8 5.1.1
Documento
da
poltica
de
segurana
da
informao................................................................................8 5.1.2 Anlise crtica da poltica de
segurana da informao ...........................................................................9
6
Organizando
a
segurana
da
informao.................................................................................................10 6.1 Infra-estrutura da
segurana
da
informao
............................................................................................10
6.1.1
Comprometimento
da
direo
com
a
segurana
da
informao
...........................................................10
6.1.2
Coordenao
da
segurana
da

informao..............................................................................................11
6.1.3
Atribuio
de
responsabilidades para a segurana da informao ......................................................11 6.1.4
Processo de autorizao para os recursos de processamento da informao
...................................12
6.1.5
Acordos
de
confidencialidade
...................................................................................................................12
6.1.6
Contato
com
autoridades
...........................................................................................................................13
6.1.7
Contato
com
grupos
especiais
..................................................................................................................14
6.1.8
Anlise
crtica
independente de segurana da informao....................................................................14 6.2 Partes
externas
............................................................................................................................................15
6.2.1
Identificao
dos
riscos
relacionados
com
partes
externas
..................................................................15 6.2.2 Identificando a segurana da informao, quando
tratando com os clientes......................................17 6.2.3 Identificando segurana da informao
nos acordos com terceiros ....................................................18
7
Gesto
de
ativos
..........................................................................................................................................21
7.1
Responsabilidade
pelos
ativos
..................................................................................................................21
7.1.1
Inventrio
dos
ativos...................................................................................................................................21
7.1.2
Proprietrio
dos
ativos................................................................................................................................22
7.1.3
Uso
aceitvel dos ativos.............................................................................................................................22
7.2
Classificao
da
informao
......................................................................................................................23 7.2.1 Recomendaes
para classificao..........................................................................................................23 7.2.2 Rtulos e
tratamento da informao.........................................................................................................24
8
Segurana
em
recursos
humanos.............................................................................................................25
8.1
Antes
da
contratao ..................................................................................................................................25 8.1.1
Papis
e
responsabilidades
.......................................................................................................................25
8.1.2
Seleo
.........................................................................................................................................................26 8.1.3
Termos
e
condies
de
contratao
.........................................................................................................26
ABNT 2005 - Todos os direitos reservados

iii

Cpia no autorizada

ABNT NBR ISO/IEC 17799:2005

8.2
Durante
a
contratao.................................................................................................................................28
8.2.1
Responsabilidades
da
direo...................................................................................................................28
8.2.2
Conscientizao,
educao
e
treinamento
em
segurana
da
informao............................................28
8.2.3
Processo
disciplinar....................................................................................................................................29
8.3
Encerramento
ou
mudana
da
contratao..............................................................................................29 8.3.1 Encerramento de
atividades.......................................................................................................................30
8.3.2
Devoluo
de
ativos
....................................................................................................................................30 8.3.3 Retirada de
direitos de acesso...................................................................................................................30
9
Segurana
fsica
e
do
ambiente.................................................................................................................32 9.1 reas seguras
..............................................................................................................................................32
9.1.1
Permetro
de
segurana
fsica
...................................................................................................................32 9.1.2 Controles de entrada
fsica ........................................................................................................................33 9.1.3 Segurana
em escritrios, salas e instalaes........................................................................................33 9.1.4
Proteo
contra
ameaas
externas
e
do
meio
ambiente
........................................................................34
9.1.5
Trabalhando
em
reas
seguras..................................................................................................................34 9.1.6 Acesso do
pblico, reas de entrega e de carregamento.......................................................................35 9.2
Segurana
de
equipamentos......................................................................................................................35
9.2.1
Instalao
e
proteo
do
equipamento.....................................................................................................35
9.2.2
Utilidades......................................................................................................................................................
36
9.2.3
Segurana
do
cabeamento.........................................................................................................................37
9.2.4
Manuteno
dos
equipamentos.................................................................................................................38
9.2.5
Segurana
de
equipamentos
fora
das
dependncias
da
organizao..................................................38 9.2.6 Reutilizao e alienao segura de
equipamentos..................................................................................39
9.2.7
Remoo
de
propriedade............................................................................................................................39
10
Gerenciamento
das
operaes
e
comunicaes
.....................................................................................40 10.1 Procedimentos e responsabilidades
operacionais..................................................................................40
10.1.1
Documentao
dos
procedimentos de operao ....................................................................................40 10.1.2 Gesto de
mudanas...................................................................................................................................41
10.1.3
Segregao
de
funes
..............................................................................................................................41 10.1.4 Separao dos
recursos de desenvolvimento, teste e de produo.....................................................42 10.2

Gerenciamento
de
servios
terceirizados
................................................................................................42
10.2.1
Entrega
de
servios.....................................................................................................................................43
10.2.2
Monitoramento
e
anlise
crtica
de
servios
terceirizados.....................................................................43 10.2.3 Gerenciamento de mudanas para
servios terceirizados.....................................................................44 10.3 Planejamento e aceitao
dos sistemas...................................................................................................44 10.3.1 Gesto de
capacidade.................................................................................................................................45
10.3.2
Aceitao
de
sistemas
................................................................................................................................45 10.4 Proteo contra
cdigos maliciosos e cdigos mveis .........................................................................46 10.4.1
Controles
contra
cdigos
maliciosos
.......................................................................................................46 10.4.2 Controles contra cdigos
mveis..............................................................................................................47
10.5
Cpias
de
segurana...................................................................................................................................48
10.5.1
Cpias
de
segurana
das
informaes.....................................................................................................48 10.6 Gerenciamento da
segurana em redes ...................................................................................................49 10.6.1 Controles
de redes ......................................................................................................................................49 10.6.2
Segurana
dos
servios
de
rede
...............................................................................................................50
10.7
Manuseio
de
mdias.....................................................................................................................................50
10.7.1
Gerenciamento
de
mdias
removveis.......................................................................................................50 10.7.2 Descarte de
mdias ......................................................................................................................................51 10.7.3
Procedimentos
para
tratamento
de
informao.......................................................................................52
10.7.4
Segurana
da
documentao dos sistemas.............................................................................................52 10.8 Troca
de informaes .................................................................................................................................53
10.8.1
Polticas
e
procedimentos
para
troca
de
informaes............................................................................53 10.8.2 Acordos para a troca de
informaes.......................................................................................................55 10.8.3 Mdias em
trnsito .......................................................................................................................................56 10.8.4
Mensagens
eletrnicas
...............................................................................................................................56 10.8.5 Sistemas de
informaes do negcio.......................................................................................................57 10.9
Servios
de
comrcio
eletrnico
...............................................................................................................58 10.9.1 Comrcio eletrnico
....................................................................................................................................58 10.9.2 Transaes
on-line......................................................................................................................................59
10.9.3
Informaes
publicamente
disponveis
....................................................................................................60

iv
ABNT 2005 - Todos os direitos reservados

Cpia no autorizada

ABNT NBR ISO/IEC 17799:2005

10.10
Monitoramento.............................................................................................................................................
60
10.10.1
Registros
de
auditoria.................................................................................................................................61
10.10.2
Monitoramento
do
uso
do
sistema
............................................................................................................61
10.10.3
Proteo
das
informaes dos registros (log).........................................................................................63 10.10.4
Registros
(log)
de
administrador
e
operador
...........................................................................................63
10.10.5
Registros
(log)
de
falhas.............................................................................................................................64
10.10.6
Sincronizao
dos
relgios........................................................................................................................64
11
Controle
de
acessos....................................................................................................................................65
11.1
Requisitos
de
negcio
para
controle
de
acesso......................................................................................65 11.1.1 Poltica de controle de acesso
...................................................................................................................65 11.2 Gerenciamento de
acesso do usurio.......................................................................................................66 11.2.1 Registro
de usurio.....................................................................................................................................66 11.2.2
Gerenciamento
de
privilgios
....................................................................................................................67 11.2.3 Gerenciamento de
senha do usurio ........................................................................................................68 11.2.4 Anlise
crtica dos direitos de acesso de usurio...................................................................................68 11.3
Responsabilidades
dos
usurios
..............................................................................................................69 11.3.1 Uso de senhas
.............................................................................................................................................69
11.3.2
Equipamento
de
usurio
sem
monitorao..............................................................................................70 11.3.3 Poltica de mesa
limpa e tela limpa ...........................................................................................................70 11.4 Controle
de acesso rede..........................................................................................................................71 11.4.1
Poltica
de
uso
dos
servios
de
rede
........................................................................................................71 11.4.2 Autenticao para conexo
externa do usurio ......................................................................................72 11.4.3 Identificao de
equipamento em redes ...................................................................................................73 11.4.4
Proteo
e
configurao
de
portas
de
diagnstico
remotas..................................................................73
11.4.5
Segregao
de
redes...................................................................................................................................73
11.4.6
Controle
de
conexo
de
rede
.....................................................................................................................74
11.4.7
Controle
de
roteamento de redes ..............................................................................................................75 11.5
Controle
de
acesso
ao
sistema
operacional
............................................................................................75 11.5.1 Procedimentos seguros de entrada
no
sistema
(log-on)........................................................................75
11.5.2
Identificao
e
autenticao de usurio ...................................................................................................77 11.5.3
Sistema
de
gerenciamento
de
senha

........................................................................................................77 11.5.4 Uso de utilitrios de

sistema......................................................................................................................78
11.5.5
Desconexo
de
terminal
por
inatividade...................................................................................................79 11.5.6 Limitao de
horrio de conexo ..............................................................................................................79 11.6
Controle
de
acesso

aplicao
e

informao
......................................................................................80 11.6.1 Restrio de acesso informao
............................................................................................................80 11.6.2 Isolamento de sistemas
sensveis.............................................................................................................80 11.7 Computao
mvel e trabalho remoto......................................................................................................81 11.7.1
Computao
e
comunicao
mvel
..........................................................................................................81
11.7.2
Trabalho
remoto
..........................................................................................................................................82
12
Aquisio,
desenvolvimento
e
manuteno
de
sistemas
de
informao
.............................................84
12.1
Requisitos
de
segurana
de
sistemas
de
informao.............................................................................84 12.1.1 Anlise e especificao dos
requisitos de segurana ............................................................................84 12.2 Processamento
correto
nas
aplicaes....................................................................................................85
12.2.1
Validao
dos
dados
de
entrada................................................................................................................85 12.2.2 Controle do
processamento interno..........................................................................................................86 12.2.3
Integridade
de
mensagens
.........................................................................................................................87 12.2.4 Validao de
dados de sada......................................................................................................................87 12.3
Controles
criptogrficos.............................................................................................................................87
12.3.1
Poltica
para
o
uso
de
controles
criptogrficos
.......................................................................................88
12.3.2
Gerenciamento
de
chaves
..........................................................................................................................89 12.4 Segurana dos
arquivos
do
sistema.........................................................................................................90
12.4.1
Controle
de
software
operacional..............................................................................................................90 12.4.2 Proteo
dos dados para teste de sistema...............................................................................................92 12.4.3
Controle
de
acesso
ao
cdigo-fonte
de
programa
..................................................................................92
12.5
Segurana
em
processos
de
desenvolvimento e de suporte.................................................................93 12.5.1 Procedimentos para
controle de mudanas.............................................................................................93 12.5.2 Anlise
crtica tcnica das aplicaes aps mudanas no sistema operacional ................................94 12.5.3
Restries
sobre
mudanas
em
pacotes
de
software.............................................................................95
ABNT 2005 - Todos os direitos reservados

Cpia no autorizada

ABNT NBR ISO/IEC 17799:2005

12.5.4
Vazamento
de
informaes
........................................................................................................................95 12.5.5 Desenvolvimento
terceirizado de software...............................................................................................96 12.6 Gesto de
vulnerabilidades tcnicas ........................................................................................................96 12.6.1
Controle
de
vulnerabilidades
tcnicas......................................................................................................96
13
Gesto
de
incidentes
de
segurana
da
informao
................................................................................98 13.1 Notificao de fragilidades e eventos de
segurana da informao .....................................................98 13.1.1 Notificao de eventos de
segurana da informao .............................................................................98 13.1.2 Notificando
fragilidades de segurana da informao............................................................................99 13.2
Gesto
de
incidentes
de
segurana
da
informao
e
melhorias
.........................................................100
13.2.1
Responsabilidades
e
procedimentos......................................................................................................100 13.2.2 Aprendendo
com os incidentes de segurana da informao.............................................................101 13.2.3
Coleta
de
evidncias
.................................................................................................................................102
14
Gesto
da
continuidade
do
negcio........................................................................................................103 14.1 Aspectos da gesto
da continuidade do negcio, relativos segurana da informao.................103 14.1.1 Incluindo
segurana da informao no processo de gesto da continuidade de negcio...............103 14.1.2
Continuidade
de
negcios
e
anlise/avaliao
de
riscos
.....................................................................104 14.1.3 Desenvolvimento e implementao de planos
de continuidade relativos segurana
da
informao
............................................................................................................................................104
14.1.4
Estrutura
do
plano
de
continuidade
do
negcio....................................................................................105 14.1.5 Testes, manuteno e
reavaliao dos planos de continuidade do negcio .....................................106
15
Conformidade
............................................................................................................................................108
15.1
Conformidade
com
requisitos
legais
......................................................................................................108 15.1.1 Identificao da legislao
vigente .........................................................................................................108 15.1.2 Direitos de
propriedade intelectual .........................................................................................................108 15.1.3
Proteo
de
registros
organizacionais
...................................................................................................109 15.1.4 Proteo de dados e
privacidade de informaes pessoais ................................................................110 15.1.5 Preveno
de mau uso de recursos de processamento da informao .............................................111 15.1.6
Regulamentao
de
controles
de
criptografia
.......................................................................................111 15.2 Conformidade com normas e polticas
de segurana da informao e conformidade tcnica........112 15.2.1 Conformidade com as
polticas e normas de segurana da informao............................................112 15.2.2 Verificao da
conformidade
tcnica......................................................................................................113
15.3

Consideraes
quanto

auditoria
de
sistemas
de
informao
...........................................................113 15.3.1 Controles de auditoria de sistemas de
informao...............................................................................113 15.3.2 Proteo de ferramentas de
auditoria de sistemas de informao .....................................................114
ndice
.....................................................................................................................................................................1
16

vi
ABNT 2005 - Todos os direitos reservados

Cpia no autorizada

ABNT NBR ISO/IEC 17799:2005

Prefcio Nacional
A Associao Brasileira de Normas Tcnicas (ABNT) o Frum Nacional de Normalizao. As Normas
Brasileiras, cujo contedo de responsabilidade dos Comits Brasileiros (ABNT/CB), dos Organismos de
Normalizao Setorial (ABNT/ONS) e das Comisses de Estudo Especiais Temporrias (ABNT/CEET),
so elaboradas por Comisses de Estudo (CE), formadas por representantes dos setores envolvidos,
delas fazendo parte: produtores, consumidores e neutros (universidades, laboratrios e outros).
A ABNT NBR ISO/IEC 17799 foi elaborada no Comit Brasileiro de Computadores e Processamento de
Dados (ABNT/CB-21), pela Comisso de Estudo de Segurana Fsica em Instalaes de Informtica
(CE-21:204.01). O Projeto circulou em Consulta Nacional conforme Edital no 03, de 31.03.2005, com o
nmero de Projeto NBR ISO/IEC 17799.
Esta Norma equivalente ISO/IEC 17799:2005.
Uma famlia de normas de sistema de gesto de segurana da informao (SGSI) est sendo
desenvolvida no ISO/IEC JTC 1/SC 27. A famlia inclui normas sobre requisitos de sistema de gesto da
segurana da informao, gesto de riscos, mtricas e medidas, e diretrizes para implementao. Esta
famlia adotar um esquema de numerao usando a srie de nmeros 27000 em seqncia.
A partir de 2007, a nova edio da ISO/IEC 17799 ser incorporada ao novo esquema de numerao
como ISO/IEC 27002.
Os termos relacionados a seguir, com a respectiva descrio, foram mantidos na lngua inglesa, por no
possurem traduo equivalente para a lngua portuguesa:
Back-up - cpias de segurana de arquivos.
BBS (Bulletin Board System) - sistema no qual o computador pode se comunicar com outros
computadores atravs de linha telefnica, como na Internet.
Call forwarding (Retorno de chamada) - procedimento para identificar um terminal remoto.
Covert channel - canal de comunicaes que permite que dois processos cooperativos transfiram a
informao de uma maneira que viole a poltica de segurana do sistema.
Denial of service (negao do servio) - impedimento do acesso autorizado aos recursos ou
retardamento de operaes crticas por um certo perodo de tempo.
Dial up - servio por meio do qual o terminal de computador pode usar o telefone para iniciar e efetuar
uma comunicao com outro computador.
E-business - Forma de uma organizao realizar uma transao comercial.
E-gov - forma de um governo realizar uma transao comercial.
Firewall - sistema ou combinao de sistemas que protege a fronteira entre duas ou mais redes.
Gateway - mquina que funciona como ponto de conexo entre duas redes.
Hackers - pessoa que tenta acessar sistemas sem autorizao, usando tcnicas prprias ou no, no
intuito de ter acesso a determinado ambiente para proveito prprio ou de terceiros. Dependendo dos
objetivos da ao, podem ser chamados de Cracker, Lammer ou BlackHat.
Logging - processo de estocagem de informaes sobre eventos que ocorreram num firewall ou numa
rede.

ABNT 2005 - Todos os direitos reservados

vii

Cpia no autorizada

ABNT NBR ISO/IEC 17799:2005

Middlewae - personalizao de software; software de sistema que foi personalizado por um vendedor
para um usurio particular.
Need to know - conceito que define que uma pessoa s precisa acessar os sistemas necessrios para
realizar a sua atividade.
Patches - correo temporria efetuada em um programa; pequena correo executada pelo usurio no
software, com as instrues do fabricante do software.
Wireless - sistema de comunicao que no requer fios para transportar sinais.
Em 6.1.3, Diretrizes para implementao, primeiro pargrafo, a ISO/IEC 17799:2005 faz uma referncia
equivocada seo 4. Esse equvoco foi corrigido nesta ABNT NBR ISO/IEC 17799 e a notificao
deste foi feita ao ISO/IEC JTC 1 para correo da norma original.
Esta segunda edio cancela e substitui a edio anterior (ABNT NBR ISO/IEC 17799:2001), a qual foi
tecnicamente revisada.

viii
ABNT 2005 - Todos os direitos reservados

Cpia no autorizada

ABNT NBR ISO/IEC 17799:2005

0 Introduo
0.1 O que segurana da informao?
A informao um ativo que, como qualquer outro ativo importante, essencial para os negcios de
uma organizao e conseqentemente necessita ser adequadamente protegida. Isto especialmente
importante no ambiente dos negcios, cada vez mais interconectado. Como um resultado deste incrvel
aumento da interconectvidade, a informao est agora exposta a um crescente nmero e a uma grande
variedade de ameaas e vulnerabilidades (ver OECD Diretrizes para a Segurana de Sistemas de
Informaes e Redes).
A informao pode existir em diversas formas. Ela pode ser impressa ou escrita em papel, armazenada
eletronicamente, transmitida pelo correio ou por meios eletrnicos, apresentada em filmes ou falada em
conversas. Seja qual for a forma apresentada ou o meio atravs do qual a informao compartilhada
ou armazenada, recomendado que ela seja sempre protegida adequadamente.
Segurana da informao a proteo da informao de vrios tipos de ameaas para garantir a
continuidade do negcio, minimizar o risco ao negcio, maximizar o retorno sobre os investimentos e as
oportunidades de negcio.
A segurana da informao obtida a partir da implementao de um conjunto de controles adequados,
incluindo polticas, processos, procedimentos, estruturas organizacionais e funes de software e
hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados
criticamente e melhorados, onde necessrio, para garantir que os objetivos do negcio e de segurana
da organizao sejam atendidos. Convm que isto seja feito em conjunto com outros processos de
gesto do negcio.

0.2 Por que a segurana da informao necessria?

A informao e os processos de apoio, sistemas e redes so importantes ativos para os negcios.
Definir, alcanar, manter e melhorar a segurana da informao podem ser atividades essenciais para
assegurar a competitividade, o fluxo de caixa, a lucratividade, o atendimento aos requisitos legais e a
imagem da organizao junto ao mercado.
As organizaes, seus sistemas de informao e redes de computadores so expostos a diversos tipos
de ameaas segurana da informao, incluindo fraudes eletrnicas, espionagem, sabotagem,
vandalismo, incndio e inundao. Danos causados por cdigo malicioso, hackers e ataques de denial of
service esto se tornando cada vez mais comuns, mais ambiciosos e incrivelmente mais sofisticados.
A segurana da informao importante para os negcios, tanto do setor pblico como do setor privado,
e para proteger as infra-estruturas crticas. Em ambos os setores, a funo da segurana da informao
viabilizar os negcios como o governo eletrnico (e-gov) ou o comrcio eletrnico (e-business), e evitar
ou reduzir os riscos relevantes. A interconexo de redes pblicas e privadas e o compartilhamento de
recursos de informao aumentam a dificuldade de se controlar o acesso. A tendncia da computao
distribuda reduz a eficcia da implementao de um controle de acesso centralizado.
Muitos sistemas de informao no foram projetados para serem seguros. A segurana da informao
que pode ser alcanada por meios tcnicos limitada e deve ser apoiada por uma gesto e por
procedimentos apropriados. A identificao de controles a serem implantados requer um planejamento
cuidadoso e uma ateno aos detalhes. A gesto da segurana da informao requer pelo menos a
participao de todos os funcionrios da organizao. Pode ser que seja necessria tambm a

participao de acionistas, fornecedores, terceiras partes, clientes ou outras partes externas. Uma
consultoria externa especializada pode ser tambm necessria.
ABNT 2005 - Todos os direitos reservados

ix

Cpia no autorizada

ABNT NBR ISO/IEC 17799:2005

0.3 Como estabelecer requisitos de segurana da informao

essencial que uma organizao identifique os seus requisitos de segurana da informao. Existem
trs fontes principais de requisitos de segurana da informao.
1. Uma fonte obtida a partir da anlise/avaliao de riscos para a organizao, levando-se em conta os
objetivos e as estratgias globais de negcio da organizao. Por meio da anlise/avaliao de riscos,
so identificadas as ameaas aos ativos e as vulnerabilidades destes, e realizada uma estimativa da
probabilidade de ocorrncia das ameaas e do impacto potencial ao negcio.
2. Uma outra fonte a legislao vigente, os estatutos, a regulamentao e as clusulas contratuais que
a organizao, seus parceiros comerciais, contratados e provedores de servio tm que atender, alm
do seu ambiente sociocultural.
3. A terceira fonte um conjunto particular de princpios, objetivos e os requisitos do negcio para o
processamento da informao que uma organizao tem que desenvolver para apoiar suas operaes.

0.4 Analisando/avaliando os riscos de segurana da informao

Os requisitos de segurana da informao so identificados por meio de uma anlise/avaliao
sistemtica dos riscos de segurana da informao. Os gastos com os controles precisam ser
balanceados de acordo com os danos causados aos negcios gerados pelas potenciais falhas na
segurana da informao.
Os resultados da anlise/avaliao de riscos ajudaro a direcionar e a determinar as aes gerenciais
apropriadas e as prioridades para o gerenciamento dos riscos da segurana da informao, e para a
implementao dos controles selecionados para a proteo contra estes riscos.
Convm que a anlise/avaliao de riscos seja repetida periodicamente para contemplar quaisquer
mudanas que possam influenciar os resultados desta anlise/avaliao.
Informaes adicionais sobre a anlise/avaliao de riscos de segurana da informao podem ser
encontradas em 4.1 Analisando/avaliando os riscos de segurana da informao.

0.5 Seleo de controles

Uma vez que os requisitos de segurana da informao e os riscos tenham sido identificados e as
decises para o tratamento dos riscos tenham sido tomadas, convm que controles apropriados sejam
selecionados e implementados para assegurar que os riscos sejam reduzidos a um nvel aceitvel. Os
controles podem ser selecionados a partir desta Norma ou de um outro conjunto de controles ou novos
controles podem ser desenvolvidos para atender s necessidades especficas, conforme apropriado. A
seleo de controles de segurana da informao depende das decises da organizao, baseadas nos
critrios para aceitao de risco, nas opes para tratamento do risco e no enfoque geral da gesto de
risco aplicado organizao, e convm que tambm esteja sujeito a todas as legislaes e
regulamentaes nacionais e internacionais, relevantes.
Alguns dos controles nesta Norma podem ser considerados como princpios bsicos para a gesto da
segurana da informao e podem ser aplicados na maioria das organizaes. Estes controles so
explicados em mais detalhes no item Ponto de partida para a segurana da informao.
Informaes adicionais sobre seleo de controles e outras opes para tratamento de risco podem ser
encontradas em 4.2 Tratamento dos riscos de segurana da informao.

ABNT 2005 - Todos os direitos reservados