Dando continuidade ao assunto Segurana da Informao, hoje ser abordada a
norma NBR ISO/IEC 27002 Cdigo de Prtica para a Gesto de Segura!a da I"or#a!o, que tem como objetivo esta$e%ecer diretri&es e pric'pios gerais para iiciar( i#p%e#etar( #ater e #e%)orar a gesto de segura!a da i"or#a!o e# u#a orgai&a!o. Mas, o que Segura!a da I"or#a!o *SI+, Significa !roteger as informa"es consideradas im!ortantes !ara a continuidade e manuteno dos objetivos de neg#cio da organi$ao. % !reciso esc&arecer que anteriormente esta norma era conhecida como '() IS*+I,- .//00, mas a !artir de 122/ a nova edio da IS*+I,- .//00 foi incor!orada ao novo esquema de numerao como IS*+I,- 1/221. 3 !arte !rinci!a& da norma se encontra distribu4da em .. se"es, que corres!ondem a contro&es de segurana da informao, conforme a!resentado a seguir. 3 numerao dessas se"es se inicia no n5mero 6 7h outros as!ectos descritos nas se"es anteriores, mas nos concentraremos a!enas na !arte mais re&acionada aos contro&es !ro!riamente ditos8. Seo 5 Poltica de Se!rana da In"or#ao Deve ser criado um documento sobre a !o&4tica de segurana da informao da organi$ao, que deveria conter, entre outros, os conceitos de segurana da informao, o com!rometimento da direo com a !o&4tica, uma estrutura !ara estabe&ecer os objetivos de contro&e e os contro&es, a estrutura de an&ise e ava&iao e gerenciamento de riscos, as !o&4ticas, !rinc4!ios, normas e requisitos de conformidade de segurana da informao es!ec4ficos !ara a organi$ao. ,ssa !o&4tica tambm deve ser comunicada a todos, bem como ana&isada e revisada criticamente, em interva&os regu&ares ou quando mudanas se fi$erem necessrias. Seo $ Orani%ando a Se!rana da In"or#ao 9ara im!&ementar a SI em uma organi$ao, necessria que seja estabe&ecida uma estrutura !ara gerenci:&a. 9ara isso, as atividades de segurana da informao devem ser coordenadas !or re!resentantes de diversas !artes da organi$ao, com fun"es e !a!is re&evantes. ;odas as res!onsabi&idades !e&a segurana da informao tambm devem estar c&aramente definidas. % im!ortante ainda que sejam estabe&ecidos acordos de confidencia&idade !ara !roteger as informa"es de carter sigi&oso, bem como as informa"es que so acessadas, comunicadas, !rocessadas ou gerenciadas !or !artes e<ternas, tais como terceiros e c&ientes. Seo 7 &e'to de (ti)o' 3tivo, de acordo com a norma, - .ua%.uer coisa .ue te)a /a%or para a orgai&a!o. =esto de 3tivos, !ortanto, significa !roteger e manter os ativos da organi$ao. 9ara que e&es sejam devidamente !rotegidos, devem ser !rimeiramente identificados e &evantados, com !ro!rietrios tambm identificados e designados, de ta& forma que um inventrio de ativos !ossa ser estruturado e !osteriormente mantido. 3s informa"es e os ativos ainda devem ser c&assificados, conforme o n4ve& de !roteo recomendado !ara cada um de&es, e seguir regras documentadas, que definem qua& o ti!o de uso !ermitido fa$er com esses ativos. Seo * Se!rana e# Rec!r'o' +!#ano' 3ntes de rea&i$ar a contratao de um funcionrio ou mesmo de fornecedores e terceiros, im!ortante que cada um de&es entenda suas res!onsabi&idades e esteja de acordo com o !a!e& que desem!enhar. 9ortanto, as descri"es de cargo e os termos e condi"es de contratao devem ser e<!&4citos, es!ecia&mente no que tange >s res!onsabi&idades de segurana da informao. % im!ortante tambm que quaisquer candidatos sejam devidamente ana&isados, !rinci!a&mente se forem &idar com informa"es de carter sigi&oso. 3 inteno aqui mitigar o risco de roubo, fraude ou mau uso dos recursos. Durante todo o tem!o em que funcionrios, fornecedores e terceiros estiverem traba&hando na em!resa, e&es devem estar conscientes sobre as ameaas re&ativas > segurana da informao, bem como de suas res!onsabi&idades e obriga"es, de ta& maneira que estejam !re!arados !ara a!oiar a !o&4tica de segurana da informao da organi$ao. ,&es tambm devem ser educados e treinados nos !rocedimentos de segurana da informao e no uso correto dos recursos de !rocessamento da informao. % fundamenta& ainda que um !rocesso disci!&inar forma& seja estabe&ecido !ara tratar das vio&a"es de segurana da informao. 'o momento em que ocorrer o encerramento ou uma mudana na contratao, a sa4da de funcionrios, fornecedores e terceiros deve ser feita de modo ordenado e contro&ado, !ara que a devo&uo de todos os equi!amentos e a retirada de todos os direitos de acesso sejam conc&u4das. Seo , Se!rana -'ica e do (#.iente 3s insta&a"es de !rocessamento de informao cr4ticas ou sens4veis devem ser mantidas em reas seguras, com n4veis e contro&es de acesso a!ro!riados, inc&uindo !roteo f4sica. ,ssa !roteo deve ser com!at4ve& com os riscos !reviamente identificados. *s equi!amentos tambm devem ser !rotegidos contra ameaas f4sicas e ambientais, inc&uindo aque&es uti&i$ados fora do &oca&. Certificao diferencial! Twitter Facebook RSS A norma NBR ISO/IC !"##! e$t% or&ani'ada em (( $e)e$ *+e corre$,ondem a controle$ de $e&+rana da informao- Na ,rimeira ,arte do arti&o .Con/ea a norma NBR ISO/IC !"##!.0 foram abordada$ a$ $e)e$ 1- 2ol3tica de Se&+rana da Informao0 4- Or&ani'ando a Se&+rana da Informao0 "- 5e$to de Ati6o$0 7- Se&+rana em Rec+r$o$ 8+mano$ e 9- Se&+rana F3$ica e do Ambiente- A $e&+ir0 $ero abordada$ a$ $e)e$ re$tante$ :(# a (1;- Seo 10 Gesto das Operaes e Comunicaes < im,ortante *+e e$te=am definido$ o$ ,rocedimento$ e re$,on$abilidade$ ,ela &e$to e o,erao de todo$ o$ rec+r$o$ de ,roce$$amento da$ informa)e$- Alm di$$o0 de6e>$e +tili'ar $em,re *+e nece$$%ria a $e&re&ao de f+n)e$ :recomenda>$e *+e +ma ,e$$oa reali'e +ma o+ al&+ma$ ,arte$ de +m ,roce$$o0 ma$ no toda$;0 6i$ando red+'ir o ri$co de ma+ +$o o+ +$o inde6ido do$ $i$tema$- 2ara o &erenciamento de $er6io$ terceiri'ado$0 de6e>$e im,lementar e manter o n36el a,ro,riado de $e&+rana da informao e em conformidade com acordo$ de entre&a de $er6io$ terceiri'ado$- < f+ndamental ,lane=ar e ,re,arar a di$,onibilidade e o$ rec+r$o$ do$ $i$tema$ ,ara minimi'ar o ri$co de fal/a$0 bem como ,re6er a ca,acidade f+t+ra do$ $i$tema$0 de forma a red+'ir o$ ri$co$ de $obrecar&a- Tambm de6e>$e ,re6enir e detectar a introd+o de c?di&o$ malicio$o$ e o$ +$+%rio$ de6em e$tar con$ciente$ $obre i$$o- 2rocedimento$ ,ara a &erao de c?,ia$ de $e&+rana e $+a rec+,erao tambm de6em $er e$tabelecido$- @e6e>$e &arantir ainda o &erenciamento $e&+ro de rede$- Controle$ adicionai$ ,odem at me$mo $er nece$$%rio$ ,ara ,rote&er informa)e$ confidenciai$ *+e trafe&am em rede$ ,Ablica$- A$ troca$ de informa)e$ entre or&ani'a)e$ de6em $er ba$eada$ em +ma ,ol3tica formal e$,ec3fica0 de6endo $er efet+ada$ a ,artir de acordo$ entre a$ ,arte$ e $em,re em conformidade com toda a le&i$lao ,ertinente- @e6e>$e ainda im,lementar mecani$mo$ de monitorao de ati6idade$ no a+tori'ada$ de ,roce$$amento da informao- O$ e6ento$ de $e&+rana da informao de6em $er re&i$trado$0 lembrando *+e a$ or&ani'a)e$ de6em e$tar aderente$ ao$ re*+i$ito$ le&ai$ a,lic%6ei$ ,ara $+a$ ati6idade$ de re&i$tro e monitoramento- Seo 11 Controle de Acesso O ace$$o B informao0 ao$ rec+r$o$ de ,roce$$amento da$ informa)e$ e ao$ ,roce$$o$ de ne&?cio$ de6em $er controlado$ com ba$e no$ re*+i$ito$ de ne&?cio e na $e&+rana da informao- 2ortanto0 de6e $er a$$e&+rado o ace$$o de +$+%rio a+tori'ado e ,re6enido o ace$$o no a+tori'ado a $i$tema$ de informao- 2ara i$$o0 de6e /a6er ,rocedimento$ *+e en&lobem de$de o cada$tro inicial de +m no6o +$+%rio at o cancelamento final do $e+ re&i$tro0 &arantindo a$$im *+e =% no ,o$$+em mai$ ace$$o a $i$tema$ de informao e $er6io$- O$ +$+%rio$ $em,re de6em e$tar con$ciente$ de $+a$ re$,on$abilidade$0 ,artic+larmente no *+e $e refere ao +$o de $en/a$ e de $e&+rana do$ e*+i,amento$ de +$+%rio$- Ne$$e $entido0 $+&ere>$e ainda a adoo da .,ol3tica de me$a e tela lim,aC0 ,ara red+'ir o ri$co de ace$$o$ no a+tori'ado$ o+ dano$ a doc+mento$0 ,a,i$0 m3dia$ e rec+r$o$ de ,roce$$amento da informao *+e e$te=am ao alcance de *+al*+er +m- Seo 12 Aquisio, Desenvolvimento e anuteno de Sistemas de !n"ormao Se&+ndo a norma0 .Sistemas de informao incluem sistemas operacionais, infra- estrutura, aplicaes de negcios, produtos de prateleira, servios e aplicaes desenvolvidas pelo usurioC- 2or e$$a ra'o0 o$ re*+i$ito$ de $e&+rana de $i$tema$ de informao de6em $er identificado$ e acordado$ ante$ do $e+ de$en6ol6imento e/o+ de $+a im,lementao- A$ informa)e$ de6em $er ,rote&ida$ 6i$ando a man+teno de $+a confidencialidade0 a+tenticidade o+ inte&ridade ,or meio$ cri,to&r%fico$- Seo 1# Gesto de !ncidentes de Se$urana da !n"ormao @e6e>$e a$$e&+rar *+e e6ento$ de $e&+rana da informao $e=am o mai$ r%,ido ,o$$36el com+nicado$0 de tal forma *+e a tomada de ao correti6a ocorra em tem,o /%bil- 2ara i$$o0 de6em $er e$tabelecido$ ,rocedimento$ formai$ de re&i$tro e e$calonamento0 bem como todo$ o$ f+ncion%rio$0 fornecedore$ e terceiro$ de6em e$tar con$ciente$ $obre o$ ,rocedimento$ ,ara notificao do$ diferente$ ti,o$ de e6ento$- Seo 1% Gesto da Continuidade do &e$'cio @e6e>$e im,edir a interr+,o da$ ati6idade$ do ne&?cio e ,rote&er o$ ,roce$$o$ cr3tico$ contra efeito$ de fal/a$ o+ de$a$tre$ $i&nificati6o$0 e a$$e&+rar *+e a $+a retomada ocorra em tem,o /%bil- 2ara i$$o0 ,lano$ de contin+idade do ne&?cio0 incl+indo controle$ ,ara identificar e red+'ir ri$co$0 de6em $er de$en6ol6ido$ e im,lementado$0 6i$ando a$$e&+rar *+e a$ o,era)e$ e$$enciai$ $e=am ra,idamente rec+,erada$- Seo 1( Con"ormidade @e6e>$e &arantir e e6itar a 6iolao de *+al*+er lei criminal o+ ci6il0 e$tat+to$0 re&+lamenta)e$ o+ obri&a)e$ contrat+ai$ e de *+ai$*+er re*+i$ito$ de $e&+rana da informao- 2ara i$$o0 con6eniente contratar0 ca$o nece$$%rio0 con$+ltoria e$,eciali'ada0 bem como anali$ar criticamente a $e&+rana do$ $i$tema$ de informao a inter6alo$ re&+lare$0 6erificando0 $obret+do0 $+a conformidade e aderDncia a re*+i$ito$ le&ai$ e re&+lamentare$- m re$+mo0 nota>$e claramente ao lon&o de toda a norma0 *+e a caracter3$tica ,redominante a preveno0 e6itando>$e a todo o c+$to0 a adoo de medida$ de car%ter reati6o- Ee$mo a$ *+e forem reati6a$0 como ,or eFem,lo a eFec+o de +m ,lano de contin+idade de ne&?cio$0 $o ,re6iamente ,lane=ada$ ,ara *+e0 no momento o,ort+no e $e nece$$%ria$0 $e=am de6idamente im,lementada$- )e"er*ncia +i,lio$r-"ica. ABNT G A$$ociao Bra$ileira de Norma$ Tcnica$- A+&/ &+) !SO0!1C 22002 /ecnolo$ia da in"ormao /3cnicas de se$urana C'di$o de pr-tica para a $esto de se$urana da in"ormao- ABNT0 !##1-