Академический Документы
Профессиональный Документы
Культура Документы
NORMA BRASILEIRA
Nmero de referncia ABNT NBR ISO/IEC 17799:2005 120 pginas
ABNT 2005
Cpia no autorizada
ii
ABNT 2005 - Todos os direitos reservados
Cpia no autorizada
Sumrio
Pgina
Prefcio
Nacional......................................................................................................................................................vi
i
0
Introduo.....................................................................................................................................................
.ix
0.1
O
que
segurana
da
informao?............................................................................................................ix 0.2 Por que a
segurana da informao necessria?..................................................................................ix 0.3
Como
estabelecer
requisitos
de
segurana
da
informao
.....................................................................x 0.4 Analisando/avaliando os riscos de segurana da
informao.................................................................x
0.5
Seleo
de
controles.....................................................................................................................................x 0.6 Ponto
de partida para a segurana da informao...................................................................................xi 0.7
Fatores
crticos
de
sucesso
........................................................................................................................xi 0.8 Desenvolvendo suas
prprias diretrizes ..................................................................................................xii
1 Objetivo
..........................................................................................................................................................1
2 Termos e
definies......................................................................................................................................1
3
Estrutura
desta
Norma..................................................................................................................................4 3.1 Sees
............................................................................................................................................................ 4 3.2
Principais
categorias
de
segurana
da
informao
..................................................................................4
4
Anlise/avaliao
e
tratamento
de
riscos
...................................................................................................6 4.1 Analisando/avaliando os riscos de
segurana da informao.................................................................6 4.2 Tratando os riscos de
segurana da informao ......................................................................................6
5
Poltica
de
segurana
da
informao..........................................................................................................8
5.1
Poltica
de
segurana da informao..........................................................................................................8 5.1.1
Documento
da
poltica
de
segurana
da
informao................................................................................8 5.1.2 Anlise crtica da poltica de
segurana da informao ...........................................................................9
6
Organizando
a
segurana
da
informao.................................................................................................10 6.1 Infra-estrutura da
segurana
da
informao
............................................................................................10
6.1.1
Comprometimento
da
direo
com
a
segurana
da
informao
...........................................................10
6.1.2
Coordenao
da
segurana
da
informao..............................................................................................11
6.1.3
Atribuio
de
responsabilidades para a segurana da informao ......................................................11 6.1.4
Processo de autorizao para os recursos de processamento da informao
...................................12
6.1.5
Acordos
de
confidencialidade
...................................................................................................................12
6.1.6
Contato
com
autoridades
...........................................................................................................................13
6.1.7
Contato
com
grupos
especiais
..................................................................................................................14
6.1.8
Anlise
crtica
independente de segurana da informao....................................................................14 6.2 Partes
externas
............................................................................................................................................15
6.2.1
Identificao
dos
riscos
relacionados
com
partes
externas
..................................................................15 6.2.2 Identificando a segurana da informao, quando
tratando com os clientes......................................17 6.2.3 Identificando segurana da informao
nos acordos com terceiros ....................................................18
7
Gesto
de
ativos
..........................................................................................................................................21
7.1
Responsabilidade
pelos
ativos
..................................................................................................................21
7.1.1
Inventrio
dos
ativos...................................................................................................................................21
7.1.2
Proprietrio
dos
ativos................................................................................................................................22
7.1.3
Uso
aceitvel dos ativos.............................................................................................................................22
7.2
Classificao
da
informao
......................................................................................................................23 7.2.1 Recomendaes
para classificao..........................................................................................................23 7.2.2 Rtulos e
tratamento da informao.........................................................................................................24
8
Segurana
em
recursos
humanos.............................................................................................................25
8.1
Antes
da
contratao ..................................................................................................................................25 8.1.1
Papis
e
responsabilidades
.......................................................................................................................25
8.1.2
Seleo
.........................................................................................................................................................26 8.1.3
Termos
e
condies
de
contratao
.........................................................................................................26
ABNT 2005 - Todos os direitos reservados
iii
Cpia no autorizada
Gerenciamento
de
servios
terceirizados
................................................................................................42
10.2.1
Entrega
de
servios.....................................................................................................................................43
10.2.2
Monitoramento
e
anlise
crtica
de
servios
terceirizados.....................................................................43 10.2.3 Gerenciamento de mudanas para
servios terceirizados.....................................................................44 10.3 Planejamento e aceitao
dos sistemas...................................................................................................44 10.3.1 Gesto de
capacidade.................................................................................................................................45
10.3.2
Aceitao
de
sistemas
................................................................................................................................45 10.4 Proteo contra
cdigos maliciosos e cdigos mveis .........................................................................46 10.4.1
Controles
contra
cdigos
maliciosos
.......................................................................................................46 10.4.2 Controles contra cdigos
mveis..............................................................................................................47
10.5
Cpias
de
segurana...................................................................................................................................48
10.5.1
Cpias
de
segurana
das
informaes.....................................................................................................48 10.6 Gerenciamento da
segurana em redes ...................................................................................................49 10.6.1 Controles
de redes ......................................................................................................................................49 10.6.2
Segurana
dos
servios
de
rede
...............................................................................................................50
10.7
Manuseio
de
mdias.....................................................................................................................................50
10.7.1
Gerenciamento
de
mdias
removveis.......................................................................................................50 10.7.2 Descarte de
mdias ......................................................................................................................................51 10.7.3
Procedimentos
para
tratamento
de
informao.......................................................................................52
10.7.4
Segurana
da
documentao dos sistemas.............................................................................................52 10.8 Troca
de informaes .................................................................................................................................53
10.8.1
Polticas
e
procedimentos
para
troca
de
informaes............................................................................53 10.8.2 Acordos para a troca de
informaes.......................................................................................................55 10.8.3 Mdias em
trnsito .......................................................................................................................................56 10.8.4
Mensagens
eletrnicas
...............................................................................................................................56 10.8.5 Sistemas de
informaes do negcio.......................................................................................................57 10.9
Servios
de
comrcio
eletrnico
...............................................................................................................58 10.9.1 Comrcio eletrnico
....................................................................................................................................58 10.9.2 Transaes
on-line......................................................................................................................................59
10.9.3
Informaes
publicamente
disponveis
....................................................................................................60
iv
ABNT 2005 - Todos os direitos reservados
Cpia no autorizada
aplicao
e
informao
......................................................................................80 11.6.1 Restrio de acesso informao
............................................................................................................80 11.6.2 Isolamento de sistemas
sensveis.............................................................................................................80 11.7 Computao
mvel e trabalho remoto......................................................................................................81 11.7.1
Computao
e
comunicao
mvel
..........................................................................................................81
11.7.2
Trabalho
remoto
..........................................................................................................................................82
12
Aquisio,
desenvolvimento
e
manuteno
de
sistemas
de
informao
.............................................84
12.1
Requisitos
de
segurana
de
sistemas
de
informao.............................................................................84 12.1.1 Anlise e especificao dos
requisitos de segurana ............................................................................84 12.2 Processamento
correto
nas
aplicaes....................................................................................................85
12.2.1
Validao
dos
dados
de
entrada................................................................................................................85 12.2.2 Controle do
processamento interno..........................................................................................................86 12.2.3
Integridade
de
mensagens
.........................................................................................................................87 12.2.4 Validao de
dados de sada......................................................................................................................87 12.3
Controles
criptogrficos.............................................................................................................................87
12.3.1
Poltica
para
o
uso
de
controles
criptogrficos
.......................................................................................88
12.3.2
Gerenciamento
de
chaves
..........................................................................................................................89 12.4 Segurana dos
arquivos
do
sistema.........................................................................................................90
12.4.1
Controle
de
software
operacional..............................................................................................................90 12.4.2 Proteo
dos dados para teste de sistema...............................................................................................92 12.4.3
Controle
de
acesso
ao
cdigo-fonte
de
programa
..................................................................................92
12.5
Segurana
em
processos
de
desenvolvimento e de suporte.................................................................93 12.5.1 Procedimentos para
controle de mudanas.............................................................................................93 12.5.2 Anlise
crtica tcnica das aplicaes aps mudanas no sistema operacional ................................94 12.5.3
Restries
sobre
mudanas
em
pacotes
de
software.............................................................................95
ABNT 2005 - Todos os direitos reservados
Cpia no autorizada
Consideraes
quanto
auditoria
de
sistemas
de
informao
...........................................................113 15.3.1 Controles de auditoria de sistemas de
informao...............................................................................113 15.3.2 Proteo de ferramentas de
auditoria de sistemas de informao .....................................................114
ndice
.....................................................................................................................................................................1
16
vi
ABNT 2005 - Todos os direitos reservados
Cpia no autorizada
Prefcio Nacional
A Associao Brasileira de Normas Tcnicas (ABNT) o Frum Nacional de Normalizao. As Normas
Brasileiras, cujo contedo de responsabilidade dos Comits Brasileiros (ABNT/CB), dos Organismos de
Normalizao Setorial (ABNT/ONS) e das Comisses de Estudo Especiais Temporrias (ABNT/CEET),
so elaboradas por Comisses de Estudo (CE), formadas por representantes dos setores envolvidos,
delas fazendo parte: produtores, consumidores e neutros (universidades, laboratrios e outros).
A ABNT NBR ISO/IEC 17799 foi elaborada no Comit Brasileiro de Computadores e Processamento de
Dados (ABNT/CB-21), pela Comisso de Estudo de Segurana Fsica em Instalaes de Informtica
(CE-21:204.01). O Projeto circulou em Consulta Nacional conforme Edital no 03, de 31.03.2005, com o
nmero de Projeto NBR ISO/IEC 17799.
Esta Norma equivalente ISO/IEC 17799:2005.
Uma famlia de normas de sistema de gesto de segurana da informao (SGSI) est sendo
desenvolvida no ISO/IEC JTC 1/SC 27. A famlia inclui normas sobre requisitos de sistema de gesto da
segurana da informao, gesto de riscos, mtricas e medidas, e diretrizes para implementao. Esta
famlia adotar um esquema de numerao usando a srie de nmeros 27000 em seqncia.
A partir de 2007, a nova edio da ISO/IEC 17799 ser incorporada ao novo esquema de numerao
como ISO/IEC 27002.
Os termos relacionados a seguir, com a respectiva descrio, foram mantidos na lngua inglesa, por no
possurem traduo equivalente para a lngua portuguesa:
Back-up - cpias de segurana de arquivos.
BBS (Bulletin Board System) - sistema no qual o computador pode se comunicar com outros
computadores atravs de linha telefnica, como na Internet.
Call forwarding (Retorno de chamada) - procedimento para identificar um terminal remoto.
Covert channel - canal de comunicaes que permite que dois processos cooperativos transfiram a
informao de uma maneira que viole a poltica de segurana do sistema.
Denial of service (negao do servio) - impedimento do acesso autorizado aos recursos ou
retardamento de operaes crticas por um certo perodo de tempo.
Dial up - servio por meio do qual o terminal de computador pode usar o telefone para iniciar e efetuar
uma comunicao com outro computador.
E-business - Forma de uma organizao realizar uma transao comercial.
E-gov - forma de um governo realizar uma transao comercial.
Firewall - sistema ou combinao de sistemas que protege a fronteira entre duas ou mais redes.
Gateway - mquina que funciona como ponto de conexo entre duas redes.
Hackers - pessoa que tenta acessar sistemas sem autorizao, usando tcnicas prprias ou no, no
intuito de ter acesso a determinado ambiente para proveito prprio ou de terceiros. Dependendo dos
objetivos da ao, podem ser chamados de Cracker, Lammer ou BlackHat.
Logging - processo de estocagem de informaes sobre eventos que ocorreram num firewall ou numa
rede.
vii
Cpia no autorizada
viii
ABNT 2005 - Todos os direitos reservados
Cpia no autorizada
0 Introduo
0.1 O que segurana da informao?
A informao um ativo que, como qualquer outro ativo importante, essencial para os negcios de
uma organizao e conseqentemente necessita ser adequadamente protegida. Isto especialmente
importante no ambiente dos negcios, cada vez mais interconectado. Como um resultado deste incrvel
aumento da interconectvidade, a informao est agora exposta a um crescente nmero e a uma grande
variedade de ameaas e vulnerabilidades (ver OECD Diretrizes para a Segurana de Sistemas de
Informaes e Redes).
A informao pode existir em diversas formas. Ela pode ser impressa ou escrita em papel, armazenada
eletronicamente, transmitida pelo correio ou por meios eletrnicos, apresentada em filmes ou falada em
conversas. Seja qual for a forma apresentada ou o meio atravs do qual a informao compartilhada
ou armazenada, recomendado que ela seja sempre protegida adequadamente.
Segurana da informao a proteo da informao de vrios tipos de ameaas para garantir a
continuidade do negcio, minimizar o risco ao negcio, maximizar o retorno sobre os investimentos e as
oportunidades de negcio.
A segurana da informao obtida a partir da implementao de um conjunto de controles adequados,
incluindo polticas, processos, procedimentos, estruturas organizacionais e funes de software e
hardware. Estes controles precisam ser estabelecidos, implementados, monitorados, analisados
criticamente e melhorados, onde necessrio, para garantir que os objetivos do negcio e de segurana
da organizao sejam atendidos. Convm que isto seja feito em conjunto com outros processos de
gesto do negcio.
participao de acionistas, fornecedores, terceiras partes, clientes ou outras partes externas. Uma
consultoria externa especializada pode ser tambm necessria.
ABNT 2005 - Todos os direitos reservados
ix
Cpia no autorizada