15/03/2018

ISO 27002

1
 15/03/2018

O que é ISO 27002?

• Codificação de boas prática para a gestão da segurança da informação

• Se aplica a quem precisa trabalhar/administrar segurança em uma

organização

• Define regras e instrumentos de controle para assegurar

conformidade de um processo, produto ou serviço

Objetivos da ISO 27002

Fonte: ISO 27002:2006 (antiga NBR ISSO/IEC 17999:2005

2
 15/03/2018

Estrutura da
ISO
27002:2006

antiga NBR
ISSO/IEC
17999:2005

ISO 27002 - Estrutura

3
 15/03/2018

ISO 27002 - Estrutura

Segurança nos diversos níveis da
estrutura organizacional

Segurança Lógica

Segurança legal (Jurídica)

Segurança Física

Segurança nos diversos

níveis da estrutura organizacional
Segurança Lógica

Estrutura de Capítulos 5 a 15 - ISO 27002

4
 15/03/2018

Estrutura de Capítulos 5 a 15 - ISO 27002

• Cada capítulo corresponde a uma Seção, subdividida em
categorias
• Cada categoria da Seção:
• Define os seus objetivos (Em geral, expressos por verbos fortes:
Prover, Garantir, Estabelecer, Definir, etc...)
• Pode listar diretrizes ligadas ao objetivo (“convém que...”)
• Estão decompostas em N Controles
• A norma também define diretrizes para implementação de
cada controle. (Em geral, iniciadas por “Convém que...”)

Estrutura de Capítulos 5 a 15 - ISO 27002

5
 15/03/2018

Outros Capítulos da ISO 27002 – 0 a 4

• Capítulo 0 – Introdução
• Capítulo 1 - Objetivos
• Capítulo 2 – termos e Definições
• Capítulo 3 – Estrutura da Norma
• Capítulo 4 – Análise, Avaliação e Tratamento de Riscos

Exemplo – Seção (Cap) 7: Gestão de Ativos

• Seção Subdividida em 2 Categorias:
7.1 Responsabilidade pelos Ativos Informacionais
7.2 Classificação da Informação

Relembrando: O que é um Ativo de Informação??

Qualquer Elemento que tenha valor para a organização, em particular
os que apoiam a produção (registro, processamento e transmissão),
retenção e divulgação de informação (em qualquer nível).
Ex: Um computador, a rede wifi, um banco de dados, um serviço na
nuvem, etc.

6
 15/03/2018

Exemplo – Seção (Cap) 7: Gestão de Ativos

Cat. 7.1 Responsabilidade pelos Ativos Informacionais
Objetivo: Alcançar e manter a proteção adequada dos ativos da
organização.
Convém que todos os ativos sejam inventariados e tenham um proprietário
responsável e identificado, e a ele seja atribuída a responsabilidade pela
manutenção apropriada dos controles. A implementação de controles
específicos pode ser delegada pelo proprietário, conforme apropriado,
porém o proprietário permanece responsável pela proteção adequada dos
ativos.

Seção subdividida em 3 controles, cada qual com suas Diretrizes

7.1.1 Inventário de Ativos
7.1.2 Posse dos Ativos
7.1.3 Uso aceitável dos Ativos

Cat. 7.1 Responsabilidade pelos Ativos Informacionais

Controle 7.1.1 – Inventário dos Ativos
Convém que todos os ativos sejam claramente identificados e um inventario de todos os ativos importantes seja
estruturado e mantido.
Convém que a organização identifique todos os ativos e documente a importância destes ativos. Convém que o inventario
do ativo inclua todas as informações necessárias que permitam recuperar de desastre, incluindo o tipo do ativo, formato,
localização, informações sobre copias de segurança, informações sobre licenças e a importância do ativo para o negócio.
Convém que o inventario não duplique outros inventários desnecessariamente, porem ele deve assegurar que o seu
conteúdo esta coerente.

Por ativos, entendem-se vários tipos, incluindo:

a) Ativos de informação
b) Ativos de software
c) Ativos físicos
d) Serviços
e) Pessoas e suas qualificações, habilidades e experiências;
f) intangíveis, tais como a reputação e a imagem da organização.
Os inventários de ativos ajudam a assegurar que a proteção efetiva do ativo pode ser feita e também pode ser requerido
para outras finalidades do negócio, como saúde e segurança, seguro ou financeira (gestão de ativos).

7
 15/03/2018

Cat. 7.1 Responsabilidade pelos Ativos Informacionais

Controle 7.1.2 – Proprietário dos Ativos

Convém que todas as informações e ativos associados com os recursos de processamento da

informação tenham um proprietário designado por uma parte definida da organização,
sendo o que o proprietário do ativo seja responsável por:

a) assegurar que as informações e os ativos associados com os recursos de processamento

da informação estejam adequadamente classificadas;

b) definir e periodicamente analisar criticamente as classificações e restrições ao acesso,

levando em conta as políticas de controle de acesso, aplicáveis.

As tarefas de rotina podem ser transferidas para um custodiante que as executa no dia-a-dia;

Cat. 7.1 Responsabilidade pelos Ativos Informacionais

Controle 7.1.3 – Uso aceitável dos Ativos
Convém que sejam identificadas, documentadas e implementadas regras para que sejam
permitidos o uso de informações e de ativos associados aos recursos de processamento da
informação.

Convém que todos os funcionários, fornecedores e terceiros sigam as regras para o uso
permitido de Informações e de ativos associados aos recursos de processamento da
informação, incluindo:
a) Regras para o uso da internet e do correio eletrônico;
b) Diretrizes para o uso de dispositivos moveis, especialmente para o uso fora das
instalações da organização.

8
 15/03/2018

Exemplo – Seção (Cap) 7: Gestão de Ativos

Categoria 7.2 Classificação da Informação
Objetivo: Assegurar que a informação receba um nível adequado de proteção.
Convém que a informação seja classificada para indicar a necessidade, prioridades
e o nível esperado de proteção quando do tratamento da informação.
A informação possui vários níveis de sensibilidade e criticidade. Alguns itens podem
necessitar um nível adicional de proteção ou tratamento especial. Convém que um
sistema de classificação da informação seja usado para definir um conjunto
apropriado de níveis de proteção e determinar a necessidade de medidas especiais
de tratamento.

Seção subdividida em 2 controles, cada qual com suas Diretrizes

7.2.1 Recomendações (Critérios) para classificação da Informação
7.2.2 Rótulos e Tratamento da Informação

Categoria 7.2 Classificação da Informação

Controle 7.2.1 – Recomendações (Critérios) para classificação da Informação
Convém que a Informação seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a
organização.

Convém que a classificação da informação e seus respectivos controles de proteção levem em consideração as necessidades
de compartilhamento ou restrição de informações e os respectivos impactos nos negócios, associados com tais
necessidades.

Convém que as diretrizes para classificação incluam convenções para classificação inicial e reclassificação ao longo do
tempo, de acordo com algumas políticas de controle de acesso predeterminadas

Convém que seja de responsabilidade do proprietário do ativo definir a classificação de um ativo, analisando-o criticamente
a intervalos regulares, e assegurar que ele está atualizado e no nível apropriado. Convém que a classificação leve em
consideração a agregação do efeito mencionado em
Convém que cuidados sejam tornados com a quantidade de categorias de classificação e com os benefícios obtidos pelo seu
uso. Esquemas excessivamente complexos podem tornar o uso incomodo e ser inviáveis economicamente ou impraticáveis.

Convém que atenção especial seja dada na interpretação dos rótulos de classificação sobre documentos de outras
organizações, que podem ter definições diferentes para rótulos iguais ou semelhantes aos usados.

9
 15/03/2018

Categoria 7.2 Classificação da Informação

7.2.2 Rótulos e Tratamento da Informação
Convém que um conjunto apropriado de procedimentos para rotulação e tratamento da Informação seja Definido e
implementado de acordo com o esquema de classificação adotado pela organização.

Os procedimentos para rotulação da Informação precisam abranger tanto os ativos de Informação no formato físico quanto
no eletrônico.

Convém que as saídas de sistemas que contém informações classificadas como sensíveis ou críticas tenham o rotulo
apropriado da classificação da informação (na saída).

Convém que o rotulo reflita a classificação de acordo com as regras estabelecidas em 7.2.1. Itens que devem ser
considerados incluem relatórios impressos, telas, médias magnéticas (fitas, discos, CD), mensagens eletrônicas e
transferências de arquivos.

Convém que sejam definidos, para cada nível de classificação, procedimentos para o tratamento da informação que
contemplem o processamento seguro, a armazenagem, a transmissão, a reclassificação e a destruição. Convém que isto
também inclua os procedimentos para a cadeia de custodia e registros de qualquer evento de segurança relevante.

Convém que acordos com outras organizações, que incluam o compartilhamento de informações, considerem
procedimentos para identificar a classificação daquela Informação e para interpretar os rótulos de classificação de outras
organizações.

10