Conhea a NBR ISO/IEC 27002 Parte 1

Dando continuidade ao assunto Segurana da Informao, hoje ser abordada a

norma NBR ISO/IEC 27002 Cdigo de Prtica para a Gesto de Segura!a da
I"or#a!o, que tem como objetivo esta$e%ecer diretri&es e pric'pios gerais para iiciar(
i#p%e#etar( #ater e #e%)orar a gesto de segura!a da i"or#a!o e# u#a
orgai&a!o. Mas, o que Segura!a da I"or#a!o *SI+, Significa !roteger as
informa"es consideradas im!ortantes !ara a continuidade e manuteno dos objetivos de
neg#cio da organi$ao.
% !reciso esc&arecer que anteriormente esta norma era conhecida como '() IS*+I,-
.//00, mas a !artir de 122/ a nova edio da IS*+I,- .//00 foi incor!orada ao novo
esquema de numerao como IS*+I,- 1/221.
3 !arte !rinci!a& da norma se encontra distribu4da em .. se"es, que corres!ondem a
contro&es de segurana da informao, conforme a!resentado a seguir. 3 numerao
dessas se"es se inicia no n5mero 6 7h outros as!ectos descritos nas se"es anteriores,
mas nos concentraremos a!enas na !arte mais re&acionada aos contro&es !ro!riamente
ditos8.
Seo 5 Poltica de Se!rana da In"or#ao
Deve ser criado um documento sobre a !o&4tica de segurana da informao da
organi$ao, que deveria conter, entre outros, os conceitos de segurana da informao, o
com!rometimento da direo com a !o&4tica, uma estrutura !ara estabe&ecer os objetivos
de contro&e e os contro&es, a estrutura de an&ise e ava&iao e gerenciamento de riscos,
as !o&4ticas, !rinc4!ios, normas e requisitos de conformidade de segurana da informao
es!ec4ficos !ara a organi$ao. ,ssa !o&4tica tambm deve ser comunicada a todos, bem
como ana&isada e revisada criticamente, em interva&os regu&ares ou quando mudanas se
fi$erem necessrias.
Seo $ Orani%ando a Se!rana da In"or#ao
9ara im!&ementar a SI em uma organi$ao, necessria que seja estabe&ecida uma
estrutura !ara gerenci:&a. 9ara isso, as atividades de segurana da informao devem ser
coordenadas !or re!resentantes de diversas !artes da organi$ao, com fun"es e !a!is
re&evantes. ;odas as res!onsabi&idades !e&a segurana da informao tambm devem
estar c&aramente definidas. % im!ortante ainda que sejam estabe&ecidos acordos de
confidencia&idade !ara !roteger as informa"es de carter sigi&oso, bem como as
informa"es que so acessadas, comunicadas, !rocessadas ou gerenciadas !or !artes
e<ternas, tais como terceiros e c&ientes.
Seo 7 &e'to de (ti)o'
3tivo, de acordo com a norma, - .ua%.uer coisa .ue te)a /a%or para a orgai&a!o.
=esto de 3tivos, !ortanto, significa !roteger e manter os ativos da organi$ao. 9ara que
e&es sejam devidamente !rotegidos, devem ser !rimeiramente identificados e &evantados,
com !ro!rietrios tambm identificados e designados, de ta& forma que um inventrio de
ativos !ossa ser estruturado e !osteriormente mantido. 3s informa"es e os ativos ainda
devem ser c&assificados, conforme o n4ve& de !roteo recomendado !ara cada um de&es,
e seguir regras documentadas, que definem qua& o ti!o de uso !ermitido fa$er com
esses ativos.
Seo * Se!rana e# Rec!r'o' +!#ano'
3ntes de rea&i$ar a contratao de um funcionrio ou mesmo de fornecedores e terceiros,
im!ortante que cada um de&es entenda suas res!onsabi&idades e esteja de acordo com o
!a!e& que desem!enhar. 9ortanto, as descri"es de cargo e os termos e condi"es de
contratao devem ser e<!&4citos, es!ecia&mente no que tange >s res!onsabi&idades de
segurana da informao. % im!ortante tambm que quaisquer candidatos sejam
devidamente ana&isados, !rinci!a&mente se forem &idar com informa"es de carter
sigi&oso. 3 inteno aqui mitigar o risco de roubo, fraude ou mau uso dos recursos.
Durante todo o tem!o em que funcionrios, fornecedores e terceiros estiverem traba&hando
na em!resa, e&es devem estar conscientes sobre as ameaas re&ativas > segurana da
informao, bem como de suas res!onsabi&idades e obriga"es, de ta& maneira que
estejam !re!arados !ara a!oiar a !o&4tica de segurana da informao da organi$ao.
,&es tambm devem ser educados e treinados nos !rocedimentos de segurana da
informao e no uso correto dos recursos de !rocessamento da informao. %
fundamenta& ainda que um !rocesso disci!&inar forma& seja estabe&ecido !ara tratar das
vio&a"es de segurana da informao.
'o momento em que ocorrer o encerramento ou uma mudana na contratao, a sa4da de
funcionrios, fornecedores e terceiros deve ser feita de modo ordenado e contro&ado, !ara
que a devo&uo de todos os equi!amentos e a retirada de todos os direitos de acesso
sejam conc&u4das.
Seo , Se!rana -'ica e do (#.iente
3s insta&a"es de !rocessamento de informao cr4ticas ou sens4veis devem ser mantidas
em reas seguras, com n4veis e contro&es de acesso a!ro!riados, inc&uindo !roteo f4sica.
,ssa !roteo deve ser com!at4ve& com os riscos !reviamente identificados.
*s equi!amentos tambm devem ser !rotegidos contra ameaas f4sicas e ambientais,
inc&uindo aque&es uti&i$ados fora do &oca&.
Certificao diferencial!
Twitter Facebook RSS
A norma NBR ISO/IC !"##! e$t% or&ani'ada em (( $e)e$ *+e corre$,ondem a
controle$ de $e&+rana da informao- Na ,rimeira ,arte do arti&o .Con/ea a norma
NBR ISO/IC !"##!.0 foram abordada$ a$ $e)e$ 1- 2ol3tica de Se&+rana da
Informao0 4- Or&ani'ando a Se&+rana da Informao0 "- 5e$to de Ati6o$0 7-
Se&+rana em Rec+r$o$ 8+mano$ e 9- Se&+rana F3$ica e do Ambiente- A $e&+ir0 $ero
abordada$ a$ $e)e$ re$tante$ :(# a (1;-
Seo 10 Gesto das Operaes e Comunicaes
< im,ortante *+e e$te=am definido$ o$ ,rocedimento$ e re$,on$abilidade$ ,ela &e$to e
o,erao de todo$ o$ rec+r$o$ de ,roce$$amento da$ informa)e$- Alm di$$o0 de6e>$e
+tili'ar $em,re *+e nece$$%ria a $e&re&ao de f+n)e$ :recomenda>$e *+e +ma ,e$$oa
reali'e +ma o+ al&+ma$ ,arte$ de +m ,roce$$o0 ma$ no toda$;0 6i$ando red+'ir o ri$co
de ma+ +$o o+ +$o inde6ido do$ $i$tema$-
2ara o &erenciamento de $er6io$ terceiri'ado$0 de6e>$e im,lementar e manter o n36el
a,ro,riado de $e&+rana da informao e em conformidade com acordo$ de entre&a de
$er6io$ terceiri'ado$-
< f+ndamental ,lane=ar e ,re,arar a di$,onibilidade e o$ rec+r$o$ do$ $i$tema$ ,ara
minimi'ar o ri$co de fal/a$0 bem como ,re6er a ca,acidade f+t+ra do$ $i$tema$0 de
forma a red+'ir o$ ri$co$ de $obrecar&a- Tambm de6e>$e ,re6enir e detectar a
introd+o de c?di&o$ malicio$o$ e o$ +$+%rio$ de6em e$tar con$ciente$ $obre i$$o-
2rocedimento$ ,ara a &erao de c?,ia$ de $e&+rana e $+a rec+,erao tambm de6em
$er e$tabelecido$-
@e6e>$e &arantir ainda o &erenciamento $e&+ro de rede$- Controle$ adicionai$ ,odem
at me$mo $er nece$$%rio$ ,ara ,rote&er informa)e$ confidenciai$ *+e trafe&am em
rede$ ,Ablica$-
A$ troca$ de informa)e$ entre or&ani'a)e$ de6em $er ba$eada$ em +ma ,ol3tica
formal e$,ec3fica0 de6endo $er efet+ada$ a ,artir de acordo$ entre a$ ,arte$ e $em,re em
conformidade com toda a le&i$lao ,ertinente-
@e6e>$e ainda im,lementar mecani$mo$ de monitorao de ati6idade$ no a+tori'ada$
de ,roce$$amento da informao- O$ e6ento$ de $e&+rana da informao de6em $er
re&i$trado$0 lembrando *+e a$ or&ani'a)e$ de6em e$tar aderente$ ao$ re*+i$ito$ le&ai$
a,lic%6ei$ ,ara $+a$ ati6idade$ de re&i$tro e monitoramento-
Seo 11 Controle de Acesso
O ace$$o B informao0 ao$ rec+r$o$ de ,roce$$amento da$ informa)e$ e ao$ ,roce$$o$
de ne&?cio$ de6em $er controlado$ com ba$e no$ re*+i$ito$ de ne&?cio e na $e&+rana
da informao- 2ortanto0 de6e $er a$$e&+rado o ace$$o de +$+%rio a+tori'ado e
,re6enido o ace$$o no a+tori'ado a $i$tema$ de informao- 2ara i$$o0 de6e /a6er
,rocedimento$ *+e en&lobem de$de o cada$tro inicial de +m no6o +$+%rio at o
cancelamento final do $e+ re&i$tro0 &arantindo a$$im *+e =% no ,o$$+em mai$ ace$$o a
$i$tema$ de informao e $er6io$-
O$ +$+%rio$ $em,re de6em e$tar con$ciente$ de $+a$ re$,on$abilidade$0 ,artic+larmente
no *+e $e refere ao +$o de $en/a$ e de $e&+rana do$ e*+i,amento$ de +$+%rio$- Ne$$e
$entido0 $+&ere>$e ainda a adoo da .,ol3tica de me$a e tela lim,aC0 ,ara red+'ir o ri$co
de ace$$o$ no a+tori'ado$ o+ dano$ a doc+mento$0 ,a,i$0 m3dia$ e rec+r$o$ de
,roce$$amento da informao *+e e$te=am ao alcance de *+al*+er +m-
Seo 12 Aquisio, Desenvolvimento e anuteno de Sistemas de !n"ormao
Se&+ndo a norma0 .Sistemas de informao incluem sistemas operacionais, infra-
estrutura, aplicaes de negcios, produtos de prateleira, servios e aplicaes
desenvolvidas pelo usurioC- 2or e$$a ra'o0 o$ re*+i$ito$ de $e&+rana de $i$tema$ de
informao de6em $er identificado$ e acordado$ ante$ do $e+ de$en6ol6imento e/o+ de
$+a im,lementao-
A$ informa)e$ de6em $er ,rote&ida$ 6i$ando a man+teno de $+a confidencialidade0
a+tenticidade o+ inte&ridade ,or meio$ cri,to&r%fico$-
Seo 1# Gesto de !ncidentes de Se$urana da !n"ormao
@e6e>$e a$$e&+rar *+e e6ento$ de $e&+rana da informao $e=am o mai$ r%,ido
,o$$36el com+nicado$0 de tal forma *+e a tomada de ao correti6a ocorra em tem,o
/%bil- 2ara i$$o0 de6em $er e$tabelecido$ ,rocedimento$ formai$ de re&i$tro e
e$calonamento0 bem como todo$ o$ f+ncion%rio$0 fornecedore$ e terceiro$ de6em e$tar
con$ciente$ $obre o$ ,rocedimento$ ,ara notificao do$ diferente$ ti,o$ de e6ento$-
Seo 1% Gesto da Continuidade do &e$'cio
@e6e>$e im,edir a interr+,o da$ ati6idade$ do ne&?cio e ,rote&er o$ ,roce$$o$ cr3tico$
contra efeito$ de fal/a$ o+ de$a$tre$ $i&nificati6o$0 e a$$e&+rar *+e a $+a retomada
ocorra em tem,o /%bil-
2ara i$$o0 ,lano$ de contin+idade do ne&?cio0 incl+indo controle$ ,ara identificar e
red+'ir ri$co$0 de6em $er de$en6ol6ido$ e im,lementado$0 6i$ando a$$e&+rar *+e a$
o,era)e$ e$$enciai$ $e=am ra,idamente rec+,erada$-
Seo 1( Con"ormidade
@e6e>$e &arantir e e6itar a 6iolao de *+al*+er lei criminal o+ ci6il0 e$tat+to$0
re&+lamenta)e$ o+ obri&a)e$ contrat+ai$ e de *+ai$*+er re*+i$ito$ de $e&+rana da
informao-
2ara i$$o0 con6eniente contratar0 ca$o nece$$%rio0 con$+ltoria e$,eciali'ada0 bem como
anali$ar criticamente a $e&+rana do$ $i$tema$ de informao a inter6alo$ re&+lare$0
6erificando0 $obret+do0 $+a conformidade e aderDncia a re*+i$ito$ le&ai$ e
re&+lamentare$-
m re$+mo0 nota>$e claramente ao lon&o de toda a norma0 *+e a caracter3$tica
,redominante a preveno0 e6itando>$e a todo o c+$to0 a adoo de medida$ de car%ter
reati6o- Ee$mo a$ *+e forem reati6a$0 como ,or eFem,lo a eFec+o de +m ,lano de
contin+idade de ne&?cio$0 $o ,re6iamente ,lane=ada$ ,ara *+e0 no momento o,ort+no e
$e nece$$%ria$0 $e=am de6idamente im,lementada$-
)e"er*ncia +i,lio$r-"ica.
ABNT G A$$ociao Bra$ileira de Norma$ Tcnica$- A+&/ &+) !SO0!1C 22002
/ecnolo$ia da in"ormao /3cnicas de se$urana C'di$o de pr-tica para a
$esto de se$urana da in"ormao- ABNT0 !##1-