PADRO INTERNACIONAL

ISO/IEC 17799

Tecnologia da Informao Cdigo de Prtica para Gesto da Segurana de Informaes

Nmero de referncia ISO/IEC 17799:2000 (E)

ISO/IEC 17799:2000(E)

ndice
PREFCIO...................................................................................................................................... V INTRODUO ..............................................................................................................................VI O QUE SEGURANA DE INFORMAES? ......................................................................................... VI POR QUE NECESSRIA A SEGURANA DE INFORMAES.................................................................. VI COMO ESTABELECER OS REQUISITOS DE SEGURANA ......................................................................VII AVALIANDO OS RISCOS DE SEGURANA ..........................................................................................VII SELECIONANDO CONTROLES ........................................................................................................ VIII PONTO DE PARTIDA PARA A SEGURANA DAS INFORMAES .......................................................... VIII FATORES CRTICOS PARA O SUCESSO ............................................................................................... IX DESENVOLVENDO SUAS PRPRIAS DIRETRIZES ................................................................................. IX 1 ESCOPO ........................................................................................................................................ 1 2 TERMOS E DEFINIES ........................................................................................................... 1 3 POLTICA DE SEGURANA...................................................................................................... 2 3.1 POLTICA DE SEGURANA DE INFORMAES ................................................................................ 2 3.1.1 Documento da poltica de segurana de informaes......................................................... 2 3.1.2 Reviso e avaliao ........................................................................................................... 2 4 SEGURANA ORGANIZACIONAL........................................................................................... 3 4.1 INFRA-ESTRUTURA PARA SEGURANA DE INFORMAES ............................................................... 3 4.1.1 Frum gerencial de segurana de informaes .................................................................. 3 4.1.2 Coordenao da segurana de informaes ....................................................................... 4 4.1.3 Alocao de responsabilidades pela segurana das informaes........................................ 4 4.1.4 Processo de autorizao para facilidades de processamento de informaes ..................... 5 4.1.5 Aconselhamento especializado sobre segurana de informaes ........................................ 5 4.1.6 Cooperao entre organizaes ......................................................................................... 6 4.1.7 Reviso independente da segurana das informaes......................................................... 6 4.2 SEGURANA PARA O ACESSO DE TERCEIROS ................................................................................. 6 4.2.1 Identificao dos riscos no acesso de terceiros .................................................................. 7 4.2.2 Requisitos de segurana para contratos com terceiros ....................................................... 8 4.3 OUTSOURCING ........................................................................................................................... 9 4.3.1 Requisitos de segurana em contratos de outsourcing........................................................ 9 5 CLASSIFICAO E CONTROLE DOS ATIVOS.................................................................... 10 5.1 RESPONSABILIDADE PELOS ATIVOS ............................................................................................ 10 5.1.1 Inventrio dos ativos........................................................................................................ 10 5.2 CLASSIFICAO DAS INFORMAES .......................................................................................... 11 5.2.1 Diretrizes para a classificao......................................................................................... 11 5.2.2 Rotulagem e manuseio de informaes............................................................................. 12 6 SEGURANA RELACIONADA AO PESSOAL ....................................................................... 13 6.1 SEGURANA NA DEFINIO DE FUNES E ALOCAO DE PESSOAL.............................................. 13 6.1.1 Incluindo a segurana nas responsabilidades dos servios............................................... 13 6.1.2 Seleo e poltica de pessoal............................................................................................ 13 6.1.3 Contratos de confidencialidade........................................................................................ 14 6.1.4 Termos e condies de emprego....................................................................................... 14 6.2 TREINAMENTO DOS USURIOS................................................................................................... 14

ISO/IEC 17799:2000(E) 6.2.1 Educao e treinamento sobre segurana de informaes................................................ 15 6.3 RESPONDENDO A INCIDENTES DE SEGURANA E MAL FUNCIONAMENTOS ..................................... 15 6.3.1 Reportando incidentes de segurana ................................................................................ 15 6.3.2 Reportando pontos fracos na segurana........................................................................... 15 6.3.3 Reportando mal funcionamento de softwares.................................................................... 16 6.3.4 Aprendendo com os incidentes ......................................................................................... 16 6.3.5 Processo disciplinar......................................................................................................... 16 7 SEGURANA FSICA E AMBIENTAL.................................................................................... 17 7.1 REAS DE SEGURANA ............................................................................................................. 17 7.1.1 Permetro de segurana fsica.......................................................................................... 17 7.1.2 Controles para entrada fsica........................................................................................... 18 7.1.3 Segurana nos escritrios, salas e instalaes ................................................................. 18 7.1.4 Trabalhando em reas de segurana................................................................................ 19 7.1.5 reas isoladas de carga e descarga ................................................................................. 19 7.2 SEGURANA DOS EQUIPAMENTOS .............................................................................................. 20 7.2.1 Disposio fsica e proteo dos equipamentos................................................................ 20 7.2.2 Suprimento de energia ..................................................................................................... 21 7.2.3 Segurana para o cabeamento ......................................................................................... 22 7.2.4 Manuteno dos equipamentos......................................................................................... 22 7.2.5 Segurana de equipamentos fora da empresa................................................................... 22 7.2.6 Segurana para descarte ou reutilizao de equipamentos............................................... 23 7.3 CONTROLES GERAIS ................................................................................................................. 23 7.3.1 Poltica de mesa limpa e tela limpa.................................................................................. 24 7.3.2 Remoo de propriedade ................................................................................................. 24 8 GERENCIAMENTO DE COMUNICAES E OPERAES ............................................... 25 8.1 PROCEDIMENTOS OPERACIONAIS E RESPONSABILIDADES............................................................. 25 8.1.1 Procedimentos operacionais documentados ..................................................................... 25 8.1.2 Controle das mudanas operacionais............................................................................... 26 8.1.3 Procedimentos para gerenciamento de incidentes ............................................................ 26 8.1.4 Segregao de tarefas...................................................................................................... 27 8.1.5 Separao das facilidades de desenvolvimento e de produo ......................................... 27 8.1.6 Gerenciamento de facilidades externas ............................................................................ 28 8.2 PLANEJAMENTO E ACEITAO DE SISTEMAS............................................................................... 29 8.2.1 Capacity planning............................................................................................................ 29 8.2.2 Aceitao de sistemas ...................................................................................................... 29 8.3 PROTEO CONTRA SOFTWARE MALICIOSO ............................................................................... 30 8.3.1 Controles contra software malicioso ................................................................................ 30 8.4 HOUSEKEEPING ........................................................................................................................ 31 8.4.1 Backup das informaes................................................................................................... 31 8.4.2 Logs de operador ............................................................................................................. 32 8.4.3 Log de falhas ................................................................................................................... 32 8.5 GERENCIAMENTO DE REDES...................................................................................................... 33 8.5.1 Controles para redes........................................................................................................ 33 8.6 MANUSEIO E SEGURANA DE MDIA ........................................................................................... 33 8.6.1 Gerenciamento de mdia removvel .................................................................................. 33 8.6.2 Descarte de mdia ............................................................................................................ 34 8.6.3 Procedimentos para manuseio de informaes ................................................................. 34 8.6.4 Segurana da documentao dos sistemas........................................................................ 35 8.7 INTERCMBIO DE INFORMAES E SOFTWARE............................................................................ 35 8.7.1 Contratos para intercmbio de informaes e softwares................................................... 36 8.7.2 Segurana de mdia em trnsito ....................................................................................... 36 8.7.3 Segurana para comrcio eletrnico................................................................................ 37 8.7.4 Segurana para correio eletrnico................................................................................... 38 8.7.5 Segurana de sistemas de automao de escritrios......................................................... 39 8.7.6 Sistemas disponibilizados publicamente ........................................................................... 39 8.7.7 Outras formas de intercmbio de informaes ................................................................. 40

II

ISO/IEC 17799:2000(E) 9 CONTROLE DE ACESSO ......................................................................................................... 41 9.1 NECESSIDADES DE CONTROLE DE ACESSO .................................................................................. 41 9.1.1 Poltica de controle de acesso.......................................................................................... 41 9.2 GERENCIAMENTO DO ACESSO DE USURIOS ............................................................................... 42 9.2.1 Cadastramento de usurios .............................................................................................. 42 9.2.2 Gerenciamento de privilgios........................................................................................... 43 9.2.3 Gerenciamento de senhas de usurio ............................................................................... 43 9.2.4 Reviso dos direitos de acesso dos usurios..................................................................... 44 9.3 RESPONSABILIDADES DOS USURIOS ......................................................................................... 44 9.3.1 Uso de senhas .................................................................................................................. 45 9.3.2 Equipamentos de usurio desassistidos ............................................................................ 45 9.4 CONTROLE DE ACESSO REDE .................................................................................................. 46 9.4.1 Poltica sobre o uso de servios em rede .......................................................................... 46 9.4.2 Path obrigatrio .............................................................................................................. 46 9.4.3 Autenticao de usurio para conexes externas ............................................................. 47 9.4.4 Autenticao de nodo....................................................................................................... 48 9.4.5 Proteo de porta de diagnstico remoto ......................................................................... 48 9.4.6 Segregao em redes ....................................................................................................... 48 9.4.7 Controle das conexes de rede......................................................................................... 49 9.4.8 Controle de roteamento da rede ....................................................................................... 49 9.4.9 Segurana de servios em rede ........................................................................................ 49 9.5 CONTROLE DE ACESSO AO SISTEMA OPERACIONAL ..................................................................... 50 9.5.1 Identificao automtica de terminal ............................................................................... 50 9.5.2 Procedimentos de logon em terminais .............................................................................. 50 9.5.3 Identificao e autenticao de usurios.......................................................................... 51 9.5.4 Sistema de gerenciamento de senhas................................................................................ 51 9.5.5 Uso de utilitrios do sistema ............................................................................................ 52 9.5.6 Alarme de coao para salvaguardar usurios ................................................................ 52 9.5.7 Time-out no terminal........................................................................................................ 53 9.5.8 Limitao de tempo de conexo ....................................................................................... 53 9.6 CONTROLE DE ACESSO S APLICAES ..................................................................................... 53 9.6.1 Restrio de acesso s informaes ................................................................................. 54 9.6.2 Isolamento de sistemas sensveis ...................................................................................... 54 9.7 MONITORANDO O ACESSO E O USO DO SISTEMA .......................................................................... 54 9.7.1 Registro de eventos em log............................................................................................... 55 9.7.2 Monitorando o uso do sistema.......................................................................................... 55 9.7.3 Sincronizao de relgios ................................................................................................ 56 9.8 COMPUTAO MVEL E TRABALHO DISTNCIA ....................................................................... 57 9.8.1 Computadores portteis ................................................................................................... 57 9.8.2 Trabalho distncia ........................................................................................................ 58 10 DESENVOLVIMENTO E MANUTENO DE SISTEMAS ................................................. 59 10.1 REQUISITOS DE SEGURANA NOS SISTEMAS .............................................................................. 59 10.1.1 Anlise e especificao dos requisitos de segurana ...................................................... 59 10.2 SEGURANA EM SISTEMAS APLICATIVOS .................................................................................. 59 10.2.1 Validao dos dados de entrada..................................................................................... 60 10.2.2 Controle do processamento interno................................................................................ 60 10.2.3 Autenticao de mensagens............................................................................................ 61 10.2.4 Validao dos dados de sada ........................................................................................ 61 10.3 CONTROLES CRIPTOGRFICOS................................................................................................. 62 10.3.1 Poltica para o uso de controles criptogrficos .............................................................. 62 10.3.2 Criptografia ................................................................................................................... 63 10.3.3 Assinaturas digitais........................................................................................................ 63 10.3.4 Servios de no-repudiao ........................................................................................... 64 10.3.5 Gerenciamento de chaves............................................................................................... 64 10.4 SEGURANA DE ARQUIVOS DO SISTEMA ................................................................................... 66 10.4.1 Controle de software operacional................................................................................... 66

III

ISO/IEC 17799:2000(E) 10.4.2 Proteo de dados usados em teste de sistemas .............................................................. 66 10.4.3 Controle de acesso biblioteca-fonte de programas ...................................................... 67 10.5 SEGURANA NOS PROCESSOS DE DESENVOLVIMENTO E SUPORTE ............................................... 68 10.5.1 Procedimentos para controle de alteraes.................................................................... 68 10.5.2 Reviso tcnica de alteraes em sistemas operacionais ................................................ 69 10.5.3 Restries para alteraes em pacotes de software ........................................................ 69 10.5.4 Covert channels e cdigo troiano................................................................................... 69 10.5.5 Desenvolvimento terceirizado de software...................................................................... 70 11 GERENCIAMENTO DA CONTINUIDADE DO NEGCIO ................................................. 70 11.1 ASPECTOS DO GERENCIAMENTO DA CONTINUIDADE DO NEGCIO .............................................. 70 11.1.1 Processo de gerenciamento da continuidade do negcio ................................................ 71 11.1.2 Continuidade do negcio e anlise de impacto............................................................... 71 11.1.3 Definio e implementao de planos de continuidade .................................................. 72 11.1.4 Estrutura para o planejamento da continuidade do negcio........................................... 72 11.1.5 Testes, manuteno e reavaliao dos planos para continuidade do negcio ................. 73 12 OBEDINCIA A EXIGNCIAS .............................................................................................. 74 12.1 OBEDINCIA S EXIGNCIAS LEGAIS ........................................................................................ 74 12.1.1 Identificao da legislao aplicvel ............................................................................. 75 12.1.2 Direitos de propriedade industrial (IPR) ........................................................................ 75 12.1.3 Salvaguarda de registros organizacionais ...................................................................... 76 12.1.4 Proteo de dados e privacidade de informaes pessoais ............................................. 77 12.1.5 Preveno da utilizao indevida das facilidades de processamento de informaes ..... 77 12.1.6 Regulamentao de controles criptogrficos.................................................................. 78 12.1.7 Coleta de provas ............................................................................................................ 78 12.2 REVISES DA POLTICA DE SEGURANA E OBEDINCIA TCNICA ................................................ 79 12.2.1 Obedincia poltica de segurana ............................................................................... 79 12.2.2 Verificao da obedincia tcnica.................................................................................. 79 12.3 CONSIDERAES PARA AUDITORIA DE SISTEMAS ...................................................................... 80 12.3.1 Controles para auditoria de sistemas ............................................................................. 80 12.3.2 Proteo das ferramentas de auditoria de sistemas ........................................................ 81

IV

ISO/IEC 17799:2000(E)

Prefcio A ISO (International Organization for Standardization) e a IEC (International Electrotechnical Commission) formam o sistema especializado para padronizao mundial. Entidades nacionais que so membros da ISO ou IEC participam do desenvolvimento de Padres Internacionais atravs de comits tcnicos estabelecidos pela respectiva organizao para lidar com campos especficos de atividade tcnica. Os comits tcnicos da ISO e da IEC colaboram em campos de interesse mtuo. Outras organizaes internacionais, governamentais e no-governamentais, em associao com a ISO e a IEC, tambm participam dos trabalhos. Os Padres Internacionais so esboados de acordo com as regras estabelecidas nas Diretivas ISO/IEC, Parte 3. No campo da tecnologia da informao, a ISO e a IEC estabeleceram um comit tcnico conjunto, ISO/IEC JTC 1. Rascunhos dos Padres Internacionais adotados pelo comit tcnico conjunto so circulados nos rgos nacionais para votao. A publicao como um Padro Internacional exige a aprovao de pelo menos 75% dos rgos nacionais votantes. Chamamos a ateno para a possibilidade de que alguns dos elementos deste Padro Internacional podem estar sujeitos a direitos de patente. A ISO e a IEC no sero consideradas responsveis pela identificao de todos ou quaisquer destes direitos de patente. O Padro Internacional ISO/IEC 17799 foi preparado pelo British Standards Institution (como BS 7799) e foi adotado, atravs de um procedimento especial de regime de urgncia, pelo Comit Tcnico Conjunto ISO/IEC JTC 1, Tecnologia da Informao, em paralelo sua aprovao pelos rgos nacionais da ISO e da IEC.

ISO/IEC 17799:2000(E)

Introduo
O que segurana de informaes? Informaes so ativos que, como qualquer outro ativo importante para os negcios, possuem valor para uma organizao e consequentemente precisam ser protegidos adequadamente. A segurana de informaes protege as informaes contra uma ampla gama de ameaas, para assegurar a continuidade dos negcios, minimizar prejuzos e maximizar o retorno de investimentos e oportunidades comerciais. As informaes podem existir sob muitas formas. Podem ser impressas ou escritas em papel, armazenadas eletronicamente, enviadas pelo correio ou usando meios eletrnicos, mostradas em filmes, ou faladas em conversas. Qualquer que seja a forma que as informaes assumam, ou os meios pelos quais sejam compartilhadas ou armazenadas, elas devem ser sempre protegidas adequadamente. A segurana de informaes aqui caracterizada como a preservao de: a) confidencialidade: garantir que as informaes sejam acessveis apenas queles autorizados a terem acesso; b) integridade: salvaguardar a exatido e inteireza das informaes e mtodos de processamento; c) disponibilidade: garantir que os usurios autorizados tenham acesso s informaes e ativos associados quando necessrio. A segurana das informaes obtida atravs da implementao de um conjunto adequado de controles, que podem ser polticas, prticas, procedimentos, estruturas organizacionais e funes de software. Esses controles precisam ser estabelecidos para assegurar que os objetivos de segurana especficos da organizao sejam alcanados. Por que necessria a segurana de informaes As informaes e os processos, sistemas e redes que lhes do suporte so ativos importantes para os negcios. A confidencialidade, a integridade e a disponibilidade das informaes podem ser essenciais para manter a competitividade, o fluxo de caixa, a rentabilidade, o atendimento legislao e a imagem comercial. Cada vez mais, as organizaes e seus sistemas de informao e redes enfrentam ameaas de segurana vindas das mais diversas fontes, incluindo fraudes atravs de computadores, espionagem, sabotagem, vandalismo, incndio ou enchentes. Fontes de prejuzos tais como vrus de computador, hackers e ataques de negao de servios tm se tornado mais comuns, mais ambiciosos e cada vez mais sofisticados. Devido dependncia de sistemas e servios de informao, as organizaes esto mais vulnerveis s ameaas contra a segurana. A interconexo de redes pblicas e privadas e o compartilhamento de recursos de informao aumentam a dificuldade de se conseguir controle de acesso. A tendncia ao processamento distribudo vem enfraquecendo a efetividade do controle central especializado. Muitos sistemas de informao no foram projetados para serem seguros. A segurana que pode ser obtida atravs de meios tcnicos limitada, e deveria ser apoiada por procedimentos e gesto adequados. Identificar quais controles devem ser
VI

ISO/IEC 17799:2000(E)

implementados exige um planejamento cuidadoso e ateno aos detalhes. A gesto da segurana de informaes precisa, no mnimo, da participao de todos os empregados da organizao. Tambm pode exigir a participao de fornecedores, clientes ou acionistas. Consultoria especializada de organizaes externas tambm pode ser necessria. Os controles para segurana das informaes so consideravelmente mais baratos e mais eficazes se incorporados no estgio de especificao de necessidades e projeto. Como estabelecer os requisitos de segurana essencial que uma organizao defina seus requisitos de segurana. Existem trs fontes principais. A primeira fonte derivada da avaliao dos riscos contra a organizao. Atravs da avaliao de riscos as ameaas aos ativos so identificadas, a vulnerabilidade e a probabilidade de ocorrncia so avaliadas e o impacto potencial estimado. A segunda fonte so as exigncias legais, estatutrias, regulamentadoras e contratuais que uma organizao, seus parceiros comerciais, empreiteiros e fornecedores de servios precisam atender. A terceira fonte o conjunto especfico de princpios, objetivos e requisitos para processamento de informaes que uma organizao desenvolveu para dar suporte a suas operaes. Avaliando os riscos de segurana Os requisitos de segurana so identificados atravs de uma avaliao metdica dos riscos de segurana. Os gastos com controles precisam ser pesados contra os provveis prejuzos resultantes de falhas na segurana. Tcnicas de avaliao de riscos podem ser aplicadas a toda a organizao, ou apenas a partes dela, bem como a sistemas de informao individuais, componentes de sistemas especficos ou servios onde isto for praticvel, realstico e til. A avaliao de riscos a considerao sistemtica de: a) o provvel prejuzo ao negcio resultante de uma falha de segurana, levando em conta as conseqncias potenciais de uma perda de confiabilidade, integridade ou disponibilidade das informaes e outros ativos; b) a probabilidade realstica de tais falhas ocorrerem sob a luz de ameaas e vulnerabilidades prevalecentes, e os controles atualmente implementados. Os resultados desta avaliao ajudaro a guiar e determinar a ao gerencial adequada e as prioridades para gerir os riscos de segurana de informao, e para implementar controles selecionados para proteger contra esses riscos. O processo de avaliar riscos e selecionar controles pode precisar ser executado diversas vezes para cobrir diferentes partes da organizao ou sistemas de informao individuais. importante executar revises peridicas dos riscos de segurana e dos controles implementados para: a) levar em conta as mudanas nas prioridades e necessidades do negcio;

VII

ISO/IEC 17799:2000(E)

b) considerar novas ameaas e vulnerabilidades; c) confirmar que os controles permanecem eficazes e apropriados. As revises devem ser executadas em diferentes nveis de profundidade, dependendo dos resultados das avaliaes anteriores e das mudanas nos nveis de riscos que a gerncia est preparada para aceitar. As avaliaes de riscos freqentemente so executadas primeiro em um nvel superior, como uma forma de priorizar recursos nas reas de alto risco, e depois em um nvel mais detalhado, para tratar riscos especficos. Selecionando controles Uma vez que os requisitos de segurana tenham sido identificados, devem ser selecionados e implementados controles para garantir que os riscos sejam reduzidos a um nvel aceitvel. Os controles podem ser selecionados a partir deste documento, ou de outros conjuntos de controles, ou novos controles podem ser projetados para satisfazer necessidades especficas, conforme apropriado. Existem muitas formas diferentes de gerenciar riscos e este documento fornece exemplos de enfoques comuns. Entretanto, necessrio reconhecer que alguns desses controles no so aplicveis a todos os sistemas de informao ou ambientes, e podem no ser praticveis para todas as organizaes. Por exemplo, o item 8.1.4 descreve como as tarefas podem ser segregadas para impedir fraudes ou erros. Pode no ser possvel para pequenas organizaes segregar todas as tarefas e podem ser necessrias outras formas para se obter o mesmo objetivo de controle. Como um outro exemplo, os itens 9.7 e 12.1 descrevem como o uso de sistemas pode ser monitorado e como podem ser coletadas provas. Os controles descritos, como gravao de log de eventos, podem conflitar com a legislao aplicvel, tal como proteo da privacidade para clientes ou no local de trabalho. Os controles devem ser selecionados considerando o custo de implementao em relao aos riscos que se quer reduzir e aos prejuzos potenciais se ocorrer uma quebra de segurana. Fatores no monetrios, tais como perda de reputao, tambm devem ser levados em conta. Alguns dos controles neste documento podem ser considerados como princpios orientadores para a gesto da segurana de informaes e podem ser aplicveis maioria das organizaes. Eles so explicados mais detalhadamente a seguir, no tpico Ponto de partida para a segurana das informaes. Ponto de partida para a segurana das informaes Vrios controles podem ser considerados como princpios orientadores que fornecem um bom ponto de partida para implementao da segurana de informaes. Eles so ou baseados nas exigncias essenciais da legislao ou considerados como a melhor prtica comum para a segurana de informaes. Os controles considerados como essenciais para uma organizao, do ponto de vista legal, incluem: a) proteo de dados e privacidade de informaes pessoais (ver item 12.1.4); b) salvaguarda de registros organizacionais (ver 12.1.3); c) direitos de propriedade intelectual (ver 12.1.2).

VIII

ISO/IEC 17799:2000(E)

Os controles considerados como a melhor prtica comum para segurana de informaes incluem: a) documento de poltica de segurana de informaes (ver 3.1); b) alocao de responsabilidades quanto segurana das informaes (ver 4.1.3); c) educao e treinamento para segurana das informaes (ver 6.2.1); d) relatrios dos incidentes de segurana (ver 6.3.1); e) gerenciamento da continuidade do negcio (ver 11.1). Esses controles se aplicam maioria das organizaes e dos ambientes. Deve-se observar que, apesar de os controles neste documento serem importantes, a relevncia de qualquer controle deve ser determinada sob a luz dos riscos especficos que uma organizao est enfrentando. Portanto, apesar de o enfoque acima ser considerado um bom ponto de partida, ele no substitui uma seleo de controles baseada em uma avaliao de riscos. Fatores crticos para o sucesso A experincia tem mostrado que os fatores seguintes freqentemente so crticos para a implementao bem-sucedida da segurana de informaes dentro de uma organizao: a) poltica, objetivos e atividades de segurana que reflitam os objetivos do negcio; b) uma abordagem para implementar a segurana que seja consistente com a cultura organizacional; c) suporte visvel e compromisso por parte da administrao; d) um bom entendimento das necessidades de segurana, avaliao de riscos e gerenciamento de riscos; e) marketing de segurana eficaz para todos os gerentes e empregados; f) distribuio de orientao sobre a poltica e os padres de segurana de informao para todos os empregados e contratados;

g) fornecimento de treinamento e educao apropriados; h) um sistema abrangente e balanceado de medio, usado para avaliar o desempenho na gesto de segurana de informaes e sugestes de feedback para melhorias. Desenvolvendo suas prprias diretrizes Este cdigo de prtica pode ser considerado como um ponto de partida para desenvolver orientao especfica para a organizao. Pode ser que nem todos os controles e diretrizes deste cdigo de prtica sejam aplicveis. Alm disso, controles adicionais no includos neste documento podem ser necessrios. Quando isto acontece, pode ser til reter referncias cruzadas que facilitaro a verificao do cumprimento das exigncias por auditores e parceiros comerciais.

IX

ISO/IEC 17799:2000(E)

Tecnologia da Informao - Cdigo de Prtica para Gesto da Segurana de Informaes 1 Escopo

Este padro faz recomendaes para a gesto da segurana de informaes para uso daqueles que so responsveis por iniciar, implementar ou manter a segurana em suas organizaes. Intenciona fornecer uma base comum para o desenvolvimento de padres de segurana organizacional e prticas eficazes de gesto de segurana de informaes e fornecer confiana nos intercmbios inter-organizacionais. As recomendaes deste padro devem ser selecionadas e usadas de acordo com as leis e regulamentos aplicveis.

Termos e definies

Para os propsitos deste documento, as definies seguintes se aplicam: 2.1 Segurana de informaes Preservao da confidencialidade, integridade e disponibilidade das informaes. Confidencialidade Garantir que as informaes sejam acessveis apenas para aqueles que esto autorizados a acess-las. Integridade Salvaguardar a exatido e a inteireza das informaes e mtodos de processamento. Disponibilidade Assegurar que os usurios autorizados tenham acesso s informaes e aos ativos associados quando necessrio.

2.2 Avaliao de riscos Avaliao das ameaas s informaes e s facilidades1 de processamento de informaes, dos impactos nas informaes e nas facilidades, das vulnerabilidades das informaes e facilidades, e da probabilidade de ocorrncia de tais riscos. 2.3 Gesto de riscos Processo de identificar, controlar e minimizar ou eliminar os riscos de segurana que podem afetar sistemas de informaes, a um custo aceitvel.

N.T.: A palavra inglesa facilities significa recursos, meios, comodidades, instalaes. Neste documento foi traduzida como facilidades, com o significado de meios prontos de se conseguir algo, de se chegar a um fim. 1

ISO/IEC 17799:2000(E)

3
3.1

Poltica de segurana
Poltica de segurana de informaes

Objetivo: Fornecer direo e apoio gerenciais para a segurana de informaes. A gerncia deve estabelecer uma direo poltica clara e demonstrar suporte a, e comprometimento com, a segurana das informaes atravs da emisso e manuteno de uma poltica de segurana de informaes para toda a organizao. 3.1.1 Documento da poltica de segurana de informaes Um documento com a poltica deve ser aprovado pela gerncia, publicado e divulgado, conforme apropriado, para todos os empregados. Ele deve declarar o comprometimento da gerncia e estabelecer a abordagem da organizao quanto gesto da segurana de informaes. No mnimo, a seguinte orientao deve ser includa: a) uma definio de segurana de informaes, seus objetivos gerais e escopo e a importncia da segurana como um mecanismo capacitador para compartilhamento de informaes (ver introduo); b) uma declarao de inteno da gerncia, apoiando os objetivos e princpios da segurana de informaes; c) uma breve explanao das polticas, princpios e padres de segurana e das exigncias a serem obedecidas que so de particular importncia para a organizao, por exemplo: 1) obedincia s exigncias legislativas e contratuais; 2) necessidades de educao (treinamento) para segurana; 3) preveno e deteco de vrus e outros softwares prejudiciais; 4) gerenciamento da continuidade do negcio; 5) conseqncias das violaes da poltica de segurana; d) uma definio das responsabilidades gerais e especficas pela gesto da segurana das informaes, incluindo relatrios de incidentes de segurana; e) referncias a documentos que podem apoiar a poltica, por exemplo polticas de segurana mais detalhadas e procedimentos para sistemas de informao especficos ou regras de segurana que os usurios devem obedecer. Esta poltica deve ser comunicada em toda a organizao para os usurios de uma forma que seja relevante, acessvel e entendvel para o leitor-alvo. 3.1.2 Reviso e avaliao A poltica deve ter um encarregado que seja responsvel por sua manuteno e reviso de acordo com um processo de reviso definido. Esse processo deve assegurar que seja executada uma reviso em resposta a quaisquer mudanas que afetem a base da avaliao de riscos original, por exemplo incidentes de segurana significativos, novas vulnerabilidades ou mudanas na infra-estrutura organizacional ou tcnica. Tambm devem ser programadas revises peridicas dos seguintes aspectos:

ISO/IEC 17799:2000(E)

a) a eficcia da poltica, demonstrada pela natureza, quantidade e impacto dos incidentes de segurana reportados; b) o custo e impacto dos controles na eficincia do negcio; c) os efeitos das mudanas na tecnologia.

4
4.1

Segurana organizacional
Infra-estrutura para segurana de informaes

Objetivo: Gerenciar a segurana das informaes dentro da organizao. Deve ser estabelecida uma estrutura gerencial para iniciar e controlar a implementao da segurana de informaes dentro da organizao. Foros gerenciais adequados com liderana da administrao devem ser estabelecidos para aprovar a poltica de segurana de informaes, atribuir papis de segurana e coordenar a implementao da segurana em toda a organizao. Se necessrio, um canal de aconselhamento especializado em segurana de informaes deve ser estabelecido e disponibilizado dentro da organizao. Contatos com especialistas em segurana externos devem ser desenvolvidos para acompanhar as tendncias da indstria, monitorar padres e mtodos de avaliao e prover pontos de contato adequados para quando se lidar com incidentes de segurana. Um enfoque multidisciplinar quanto segurana de informaes deve ser encorajado; por exemplo, envolvendo a cooperao e colaborao de gerentes, usurios, administradores, projetistas de aplicaes, auditores e equipe de segurana e especialistas em reas tais como seguro e gesto de riscos. 4.1.1 Frum gerencial de segurana de informaes Segurana de informaes uma responsabilidade corporativa compartilhada por todos os membros da equipe gerencial. Portanto, deve ser considerado um frum gerencial para assegurar a existncia de direo clara e suporte visvel por parte da gerncia para as iniciativas de segurana. Esse frum deve promover a segurana dentro da organizao atravs de comprometimento apropriado e alocao de recursos adequados. O frum pode ser parte de um corpo gerencial existente. Geralmente, tal frum encarrega-se do seguinte: a) revisar e aprovar a poltica de segurana de informaes e responsabilidades gerais; b) monitorar mudanas significativas na exposio dos ativos de informao s principais ameaas; c) revisar e monitorar incidentes que afetem a segurana das informaes; d) aprovar as iniciativas importantes para aprimorar a segurana das informaes. Um gerente deve ser responsvel por todas as atividades relacionadas com a segurana.

ISO/IEC 17799:2000(E)

4.1.2 Coordenao da segurana de informaes Em uma organizao de grande porte, pode ser necessrio um frum interfuncional de representantes das gerncias de setores relevantes da organizao para coordenar a implementao de controles de segurana de informao. Geralmente, um frum desse tipo: a) concorda sobre papis e responsabilidades especficos para segurana de informaes em toda a organizao; b) concorda sobre metodologias e processos especficos para segurana de informaes, por exemplo avaliao de riscos e sistema de classificao de segurana; c) concorda com e apoia iniciativas de segurana de informao que abrangem toda a organizao; por exemplo, programas de conscientizao sobre segurana; d) assegura que a segurana seja parte do processo de planejamento de informaes; e) avalia a adequao e coordena a implementao de controles especficos para segurana de informaes em novos sistemas ou servios; f) revisa os incidentes relacionados com a segurana de informaes; g) promove a visibilidade do suporte corporativo para a segurana de informaes em toda a organizao. 4.1.3 Alocao de responsabilidades pela segurana das informaes As responsabilidades pela proteo de ativos individuais e pela conduo de processos de segurana especficos devem ser claramente definidas. A poltica de segurana de informaes (ver clusula 3) deve fornecer orientao geral sobre a alocao de papis e responsabilidades relacionados segurana na organizao. Isto deve ser suplementado, onde necessrio, com orientao mais detalhada para sites, sistemas ou servios especficos. As responsabilidades locais pelos ativos fsicos individuais e ativos de informao e processos de segurana, tais como o planejamento da continuidade do negcio, devem ser claramente definidas. Em muitas organizaes, um gerente de segurana de informaes ser designado para assumir a responsabilidade geral pelo desenvolvimento e implementao da segurana e para dar suporte identificao dos controles. Entretanto, a responsabilidade pela alocao de recursos e implementao dos controles freqentemente permanecer com gerentes individuais. Uma prtica comum apontar um proprietrio para cada ativo de informao, o qual se tornar ento responsvel pela sua segurana no dia-a-dia. Os proprietrios dos ativos de informao podem delegar suas responsabilidades de segurana para gerentes individuais ou provedores de servio. No obstante, o proprietrio permanece como responsvel ltimo pela segurana do ativo e deve ser

ISO/IEC 17799:2000(E)

capaz de determinar se qualquer responsabilidade delegada foi desempenhada corretamente. essencial que as reas pelas quais cada gerente responsvel sejam claramente definidas; em especial, deve ocorrer o seguinte: a) Os vrios ativos e processos de segurana associados com cada sistema individual devem ser identificados e claramente definidos. b) Deve haver concordncia quanto ao gerente responsvel por cada ativo ou processo de segurana e os detalhes dessa responsabilidade devem ser documentados. c) Os nveis de autorizao devem ser claramente definidos e documentados. 4.1.4 Processo de autorizao para facilidades de processamento de informaes Um processo gerencial de autorizao para novas facilidades de processamento de informaes deve ser implantado. Os seguintes controles devem ser considerados: a) novas facilidades devem ter a aprovao gerencial apropriada, autorizando seus propsitos e uso. Tambm deve ser obtida aprovao do gerente responsvel pela manuteno do ambiente local de segurana de sistemas de informao para assegurar que todas as polticas relevantes e exigncias sejam atendidas. b) Quando necessrio, o hardware e o software devem ser verificados para assegurar que eles so compatveis como outros componentes do sistema. Nota: Aprovao de tipo pode ser exigida para certas conexes. c) O uso de facilidades pessoais de processamento de informaes para processar informaes do negcio e quaisquer controles necessrios tm que ser autorizados. d) O uso de facilidades pessoais de processamento de informaes no local de trabalho pode acarretar novas vulnerabilidade e portanto deve ser avaliado e autorizado. Estes controles so especialmente importantes em ambientes que utilizam redes. 4.1.5 Aconselhamento especializado sobre segurana de informaes muito provvel que um aconselhamento especializado sobre segurana de informaes seja necessrio em muitas organizaes. Idealmente, um consultor interno experiente em segurana de informaes poderia prover isto. Nem todas as organizaes podem desejar empregar um consultor especializado. Em tais casos, recomendado que um indivduo especfico seja apontado para coordenar o conhecimento e as experincias internas para garantir consistncia e ajudar na tomada de decises relativas segurana. Eles tambm deveriam ter acesso a consultores externos adequados que fornecessem aconselhamento especializado para situaes que estejam fora da experincia prpria interna.

ISO/IEC 17799:2000(E)

Os consultores de segurana de informao, ou pontos de contato equivalentes, devem ter como tarefa fornecer aconselhamento sobre todos os aspectos da segurana de informaes, usando ou seu prprio conselho ou externo. A qualidade de suas avaliaes sobre as ameaas segurana e de seu aconselhamento sobre os controles determinaro a efetividade da segurana de informaes na organizao. Para mxima eficcia e impacto, eles devem ter acesso direto s gerncias em toda a organizao. O consultor de segurana de informaes, ou ponto de contato equivalente, deve ser consultado o mais cedo possvel em seguida a uma suspeita de incidente ou quebra de segurana para atuar como uma fonte de orientao especializada ou recursos investigativos. Apesar de a maioria das investigaes internas de segurana serem conduzidas sob o controle da gerncia, o consultor em segurana de informaes pode ser chamado para aconselhar, liderar ou conduzir a investigao. 4.1.6 Cooperao entre organizaes Contatos apropriados com autoridades policiais, rgos regulamentadores, provedores de servios de informao e operadoras de telecomunicaes devem ser mantidos para garantir que a ao apropriada seja tomada rapidamente, e obtido aconselhamento, na eventualidade de um incidente de segurana. Similarmente, deve ser considerada a afiliao a grupos de segurana e fruns da indstria. O intercmbio de informaes de segurana deve ser restrito para assegurar que informaes confidenciais da organizao no sejam repassadas para pessoas no autorizadas. 4.1.7 Reviso independente da segurana das informaes O documento sobre a poltica de segurana de informaes (ver 3.1) estabelece a poltica e as responsabilidades pela segurana das informaes. Sua implementao deve ser revisada de forma independente para fornecer garantia de que as prticas da organizao refletem adequadamente a poltica, e que ela vivel e eficaz (ver 12.2). Tal reviso pode ser executada pela funo de auditoria interna, por um gerente independente ou por uma organizao externa especializada em tais revises, onde esses candidatos tenham as competncias e experincias apropriadas. 4.2 Segurana para o acesso de terceiros

Objetivo: Manter a segurana das facilidades de processamento de informaes organizacionais e ativos de informao acessados por terceiros. O acesso por terceiros s facilidades de processamento de informaes da organizao deve ser controlado. Onde houver uma necessidade do negcio para tal acesso de terceiros, deve ser efetuada uma avaliao de riscos para determinar as implicaes de segurana e as exigncias de controle. Os controles devem ser acordados e definidos em um contrato com a terceira parte.

ISO/IEC 17799:2000(E)

O acesso de terceiros tambm pode envolver outros participantes. Contratos que permitem o acesso de terceiros devem incluir permisso para designao de outros participantes elegveis e as condies para o acesso deles. Esse padro pode ser usado como uma base para tais contratos e ao se considerar a terceirizao do processamento de informaes. 4.2.1 Identificao dos riscos no acesso de terceiros 4.2.1.1 Tipos de acesso

O tipo de acesso concedido a uma terceira parte de especial importncia. Por exemplo, os riscos de acesso atravs de uma conexo de rede so diferentes dos riscos resultantes do acesso fsico. Os tipos de acesso que devem ser considerados so: a) acesso fsico; por exemplo, a escritrios, salas de computadores, arquivos; b) acesso lgico; por exemplo, aos bancos de dados e sistemas de informao da organizao. 4.2.1.2 Razes para o acesso

O acesso de terceiros pode ser concedido por diversas razes. Por exemplo, existem empresas que fornecem servios para uma organizao e no esto localizadas on-site mas podem receber permisso de acesso fsico e lgico, tais como: a) equipe de suporte de hardware e software, que precisam acessar funcionalidades de aplicaes no nvel de sistema ou em baixo nvel; b) parceiros comerciais ou joint-ventures, que podem intercambiar informaes, acessar sistemas de informaes ou compartilhar bancos de dados. Informaes podem ser colocadas em risco pelo acesso por terceiros com uma gesto inadequada de segurana. Onde existir uma necessidade do negcio para conectar com uma instalao de terceiros, deve ser conduzida uma avaliao de riscos para identificar quaisquer necessidades de controles especficos. Deve ser levado em conta o tipo de acesso requerido, o valor das informaes, os controles empregados pela terceira parte e as implicaes desse acesso para a segurana das informaes da organizao. 4.2.1.3 Terceiros on-site

Terceiros que se localizam on-site por um perodo de tempo definido em seus contratos tambm podem provocar vulnerabilidades na segurana. Exemplos de terceiros on-site incluem: a) equipe de suporte e manuteno de hardware e software; b) servios de limpeza, alimentao, guardas de segurana e outros servios de apoio terceirizados; c) colocao de estudantes (estagirios) e outros contratos casuais de curto prazo; d) consultores.

ISO/IEC 17799:2000(E)

essencial entender que so necessrios controles para administrar o acesso de terceiros s facilidades de processamento de informaes. Geralmente, todas as exigncias de segurana resultantes do acesso de terceiros ou controles internos devem ser refletidos pelo contrato com a terceira parte (ver tambm 4.2.2). Por exemplo, se existir uma necessidade especial quanto confidencialidade das informaes, contratos de no divulgao podem ser usados (ver 6.1.3). O acesso s informaes e s facilidades de processamento de informaes por terceiras partes no deve ser concedido at que os controles adequados tenham sido implementados e tenha sido assinado um contrato definindo os termos para a conexo ou acesso. 4.2.2 Requisitos de segurana para contratos com terceiros Os arranjos que envolvem o acesso de terceiras partes s facilidades de processamento de informaes da organizao devem ser baseados em um contrato formal contendo, ou referenciando, todos os requisitos de segurana para garantir a obedincia s polticas e padres de segurana da organizao. O contrato deve garantir que no haja mal-entendidos entre a organizao e a terceira parte. As organizaes devem se satisfazer quanto idoneidade de seu fornecedor. Os seguintes termos devem ser considerados para incluso no contrato: a) a poltica geral de segurana das informaes; b) a proteo de ativos, incluindo: 1) procedimentos para proteger ativos da organizao, incluindo informaes e software; 2) procedimentos para determinar se ocorreu qualquer comprometimento dos ativos, por exemplo perda ou modificao de dados 3) controles para garantir a devoluo ou destruio de informaes e ativos no final do contrato, ou em algum momento acordado durante o contrato; 4) integridade e disponibilidade; 5) restries cpia e divulgao de informaes; c) e) f) uma descrio de cada servio a ser disponibilizado; proviso para transferncia de equipe onde apropriado; as respectivas responsabilidades das partes com relao ao contrato; d) o nvel desejado de servio e nveis de servio no aceitveis;

g) as responsabilidades relacionadas com aspectos legais; por exemplo, legislao de proteo de dados, especialmente considerando diferentes sistemas legais nacionais se o contrato envolver a cooperao com organizaes em outros pases (ver tambm 12.1); h) direitos de propriedade intelectual (IPRs) e atribuio de copyrights (ver 12.1.2) e proteo de qualquer trabalho colaborativo (ver tambm 6.1.3); i) acordos para o controle de acesso, cobrindo: 1) os mtodos de acesso permitidos, e o controle e o uso de identificadores nicos, tais como IDs de usurio e senhas; 2) um processo de autorizao para acesso de usurios e privilgios;

ISO/IEC 17799:2000(E)

3) uma exigncia de manter uma lista de indivduos autorizados a usar os servios que esto sendo disponibilizados e quais so seus direitos e privilgios com respeito a tal uso; j) a definio de critrios de desempenho verificveis, sua monitorao e relatrios; o direito de auditar responsabilidades contratuais ou de realizar tais auditorias por meio de uma terceira parte;

k) o direito de monitorar, e revogar, as atividades dos usurios; l)

m) o estabelecimento de um processo de escalonamento para resoluo de problemas; providncias de contingncia tambm devem ser consideradas onde apropriado; n) responsabilidades relacionadas com instalao e manuteno de hardware e software; o) uma estrutura clara para relatrios informativos e formatos acordados de relatrios; p) um processo claro e especificado de troca de gerncia; q) quaisquer controles de proteo fsica necessrios e mecanismos para assegurar que esses controles sejam obedecidos; r) treinamento de administradores e usurios nos mtodos, procedimentos e segurana; s) controles para assegurar a proteo contra software malicioso (ver 8.3); t) arranjos para reportar, notificar e investigar incidentes de segurana e quebras de segurana;

u) envolvimento da terceira parte com subcontratados. 4.3 Outsourcing

Objetivo: Manter a segurana das informaes quando a responsabilidade pelo processamento das informaes tiver sido terceirizada com outra organizao. Os acordos de terceirizao (outsourcing) devem tratar dos riscos, controles de segurana e procedimentos para sistemas de informaes, ambientes de rede e/ou desktop no contrato entre as partes.

4.3.1 Requisitos de segurana em contratos de outsourcing Os requisitos de segurana de uma organizao que terceiriza a gesto e o controle de todos ou alguns de seus sistemas de informao, ambientes de redes e/ou ambientes de desktop devem ser tratados em um contrato acordado entre as partes. Por exemplo, o contrato deve mencionar: a) como as exigncias legais sero satisfeitas; por exemplo, a legislao quanto proteo de dados;

ISO/IEC 17799:2000(E)

b) quais arranjos devem ser implantados para assegurar que todas as partes envolvidas na terceirizao, incluindo subcontratados, estejam cientes de suas responsabilidades para com a segurana; c) como a integridade e a confidencialidade dos ativos de informao da organizao devem ser mantidos e testados; d) quais controles fsicos e lgicos sero usados para restringir e limitar o acesso s informaes sensveis da organizao para os usurios autorizados; e) como a disponibilidade dos servios deve ser mantida na eventualidade de um desastre; f) quais nveis de segurana fsica devem ser fornecidos para equipamento terceirizado;

g) o direito de auditoria. Os termos relacionados na lista do item 4.2.2 tambm devem ser considerados como parte desse contrato. O contrato deve permitir que os requisitos e procedimentos de segurana sejam expandidos em um plano de gesto de segurana a ser acordado entre as partes. Apesar de contratos de terceirizao poderem apresentar algumas questes complexas de segurana, os controles includos neste cdigo de prtica podem servir como um ponto de partida para um acordo quanto estrutura e o contedo do plano de gesto da segurana.

5
5.1

Classificao e controle dos ativos

Responsabilidade pelos ativos

Objetivo: Manter proteo apropriada para os ativos organizacionais. Todos os ativos de informao mais importantes devem ter um proprietrio nominal, responsvel por eles. A responsabilidade pelos ativos ajuda a assegurar que seja mantida uma proteo adequada. Os proprietrios devem ser identificados para todos os ativos importantes e a responsabilidade pela manuteno dos controles apropriados deve ser atribuda. A responsabilidade pela implementao dos controles pode ser delegada. A responsabilidade final deve permanecer com o proprietrio designado do ativo.

5.1.1 Inventrio dos ativos Um inventrio dos ativos ajuda a assegurar que ocorra uma proteo efetiva dos ativos, e tambm pode ser exigido para outros fins do negcio, tais como razes de salubridade e segurana, seguros ou razes financeiras (gesto de ativos). O processo de compilar um inventrio de ativos um aspecto importante da administrao de riscos. Uma organizao precisa ser capaz de identificar seus ativos e a importncia e o valor relativos desses ativos. Baseado nessas informaes, uma organizao pode

10

ISO/IEC 17799:2000(E)

ento prover nveis de proteo proporcionais ao valor e importncia dos ativos. Deve ser levantado e mantido um inventrio dos ativos importantes associados com cada sistema de informaes. Cada ativo deve ser claramente identificado e sua propriedade e classificao de segurana (ver 5.2) devem ser acordadas e documentadas, juntamente com sua localizao atual (importante ao se tentar recuperar perda ou dano). Exemplos de ativos associados com sistemas de informao so: a) ativos de informao: bancos de dados e arquivos de dados, documentao de sistemas, manuais de usurio, material de treinamento, procedimentos operacionais ou de suporte, planos de continuidade, arranjos de fallback2, informaes em archives3; b) ativos de software: software aplicativo, software bsico, ferramentas de desenvolvimento e utilitrios; c) ativos fsicos: equipamento de computador (processadores, monitores, laptops, modems), equipamentos de comunicao (roteadores, PABXs, aparelhos de fax, secretrias eletrnicas), mdia magntica (fitas e discos), outros equipamentos tcnicos (geradores de energia, unidades de condicionamento de ar), mveis, acomodaes; d) servios: servios de informtica e telecomunicaes, servios pblicos em geral (aquecimento, iluminao, energia, ar-condicionado).

5.2

Classificao4 das informaes

Objetivo: Garantir que os ativos de informao recebam um nvel de proteo adequado. As informaes devem ser classificadas para indicar a necessidade, as prioridades e o grau de proteo. As informaes apresentam graus variveis de suscetibilidade e criticalidade. Alguns itens podem exigir um nvel adicional de proteo ou tratamento especial. Um sistema de classificao das informaes deve ser usado para definir um conjunto apropriado de nveis de proteo e comunicar a necessidade de medidas de tratamento especiais.

5.2.1. Diretrizes para a classificao As classificaes e controles associados de proteo para as informaes devem considerar as necessidades do negcio quanto ao compartilhamento ou restrio das informaes, e os impactos para o negcio associados com tais necessidades, por exemplo acesso no autorizado ou danos s informaes. Em geral, a classificao dada s informaes um atalho para determinar como essas informaes devem ser manipuladas e protegidas.
2 3

N.T.: Fallback: o que pode ser usado quando falhar o suprimento, mtodo ou atividade normal. N.T.: Archive: um conjunto de arquivos de computador compactados juntos para fins de backup, para serem transportados para outro local, para economizar espao em disco ou por algum outro motivo. Um archive pode incluir uma simples lista de arquivos ou arquivos organizados sob uma estrutura de diretrio ou catlogo. 4 N.T.: A palavra inglesa classification, no contexto deste documento, significa atribuio de grau de confidencialidade. A traduo usada, classificao, deve ser entendida da mesma forma. 11

ISO/IEC 17799:2000(E)

As informaes e as sadas geradas pelos sistemas que tratam dados confidenciais devem ser rotuladas segundo seu valor e sensibilidade para a organizao. Tambm pode ser apropriado rotular informaes em termos de quo crticas elas so para a organizao, por exemplo em termos de sua integridade e disponibilidade. As informaes freqentemente deixam de ser sensveis ou crticas aps um certo perodo de tempo; por exemplo, quando as informaes so tornadas pblicas. Esses aspectos devem ser levados em conta, assim como tambm o fato de uma classificao excessiva poder levar a despesas adicionais desnecessrias. As diretrizes para classificao devem prever e admitir o fato de que a classificao de um item qualquer de informao no necessariamente fixa por todo o tempo, e pode mudar de acordo com alguma poltica predeterminada (ver 9.1). Deve-se levar em considerao a quantidade de categorias de classificao e os benefcios a serem obtidos com o seu uso. Esquemas excessivamente complexos podem ser incmodos e dispendiosos para uso ou se mostrarem pouco prticos. Devese tomar cuidado ao se interpretar rtulos de classificao em documentos vindos de outras organizaes, as quais podem ter definies diferentes para rtulos iguais ou com denominao semelhante. A responsabilidade pela definio da classificao de um item de informao, por exemplo para um documento, um registro de dados, um arquivo de dados ou disquete, e para revisar periodicamente aquela classificao, deve permanecer com o originador ou o proprietrio designado da informao. 5.2.2 Rotulagem e manuseio de informaes importante que um conjunto apropriado de procedimentos seja definido para rotulagem e manuseio das informaes de acordo com o esquema de classificao adotado pela organizao. Esses procedimentos precisam cobrir os ativos de informao nos formatos fsicos e eletrnicos. Para cada classificao, os procedimentos de manuseio devem ser definidos para cobrir os seguintes tipos de atividades de processamento de informao: a) cpia; b) armazenamento; c) transmisso pelo correio, fax e correio eletrnico; d) transmisso verbal, incluindo telefone celular, correio de voz, secretrias eletrnicas; e) destruio. As sadas geradas pelos sistemas que contm informaes classificadas como sensveis ou crticas devem portar um rtulo de classificao apropriado (na sada). O rtulo deve refletir a classificao de acordo com as regras estabelecidas no item 5.2.1. Os itens a serem considerados incluem relatrios impressos, exibies em tela, mdia gravada (fitas, discos, CDs, cassetes), mensagens eletrnicas e transferncias de arquivos.

12

ISO/IEC 17799:2000(E)

As etiquetas fsicas so geralmente as formas mais apropriadas de rotulagem. Entretanto, alguns ativos de informao, tais como documentos sob a forma eletrnica, no podem ser fisicamente rotulados e preciso usar meios eletrnicos de rotulagem.

6
6.1

Segurana relacionada ao pessoal

Segurana na definio de funes e alocao de pessoal

Objetivo: Reduzir os riscos de erros humanos, roubos, fraudes ou uso indevido das facilidades. As responsabilidades de segurana devem ser tratadas no estgio de recrutamento, includas em contratos e monitoradas durante o tempo que o indivduo estiver no emprego. Os candidatos em potencial devem ser adequadamente selecionados (ver 6.1.2), especialmente para funes sensveis. Todos os empregados e usurios terceirizados das facilidades de processamento de informaes devem assinar um contrato de confidencialidade (no divulgao). 6.1.1 Incluindo a segurana nas responsabilidades dos servios Os papis de segurana e as responsabilidades, conforme delineados na poltica de segurana de informaes da organizao (ver 3.1), devem ser documentados onde for apropriado. Eles devem incluir quaisquer responsabilidades gerais pela implementao ou manuteno da poltica de segurana bem como quaisquer responsabilidades especficas pela proteo de determinados ativos, ou pela execuo de determinados processos ou atividades de segurana. 6.1.2 Seleo e poltica de pessoal Para os empregados permanentes, no momento das propostas de emprego, devem ser efetuadas verificaes de confirmao. Estas devem incluir os seguintes controles: a) disponibilidade de referncias satisfatrias sobre o carter da pessoa, por exemplo uma referncia profissional, outra pessoal; b) uma verificao (quanto veracidade e exatido) do curriculum vitae do candidato; c) confirmao das qualificaes acadmicas e profissionais declaradas; d) verificao independente de identidade (passaporte ou documento similar). Onde uma funo, na contratao inicial ou na promoo, envolver a pessoa ter acesso s facilidades de processamento de informaes, e em particular se essas lidarem com informaes sensveis (por exemplo, informaes financeiras ou altamente confidenciais), a organizao tambm deve executar uma verificao de crdito. Para empregados que detm posies de considervel autoridade essa verificao deve ser repetida periodicamente. Um processo de filtragem similar deve ser executado para contratados e empregados temporrios. Quando essas pessoas forem fornecidas atravs de uma agncia, o contrato com a agncia deve especificar claramente as responsabilidades da agncia na

13

ISO/IEC 17799:2000(E)

filtragem e os procedimentos de notificao que eles precisam seguir se a filtragem no for concluda ou se os resultados causarem dvidas ou suspeitas. A gerncia deve avaliar a superviso necessria para empregados novos e inexperientes que tenham autorizao de acesso a sistemas sensveis. O trabalho de toda a equipe deve estar sujeito reviso peridica e a procedimentos de aprovao por um membro da equipe de nvel snior. Os gerentes devem estar conscientes de que circunstncias pessoais da equipe podem afetar seu trabalho. Problemas pessoais ou financeiros, alteraes no comportamento ou estilo de vida, faltas recorrentes e evidncia de stress ou depresso podem levar a fraudes, roubos, erros ou outras implicaes de segurana. Essas informaes devem ser tratadas de acordo com qualquer legislao apropriada existente na jurisdio relevante. 6.1.3 Contratos de confidencialidade Contratos de confidencialidade ou no-divulgao so usados para avisar que informaes so confidenciais ou secretas. Os empregados devem normalmente assinar tal contrato como parte de seus termos e condies iniciais de emprego. Equipe temporria e usurios terceirizados que j no estejam cobertos por um contrato existente (contendo a clusula de confidencialidade) devem ser obrigados a assinar um contrato de confidencialidade antes de terem concedido o acesso s facilidades de processamento de informaes. Os contratos de confidencialidade devem ser revisados quando houver alteraes nas condies de emprego ou do contrato, particularmente quando os empregados forem deixar a organizao ou os trabalhos temporrios estiverem por terminar. 6.1.4 Termos e condies de emprego Os termos e condies de emprego devem declarar a responsabilidade do empregado pela segurana das informaes. Onde apropriado, essas responsabilidades devem continuar por um perodo definido aps o trmino do vnculo de emprego. Deve ser includa a ao a ser executada se o empregado desrespeitar as exigncias de segurana. As responsabilidades e direitos legais do empregado, por exemplo, com respeito a leis de copyright ou legislao de proteo de dados, devem ser esclarecidas e includas nos termos e condies do contrato de trabalho. A responsabilidade pela classificao e gerenciamento dos dados do empregado tambm deve ser includa. Onde for apropriado, os termos e condies do contrato de trabalho devem declarar que aquelas responsabilidades continuam vigorando fora das instalaes fsicas da organizao e fora das horas de trabalho normais, por exemplo no caso de trabalho em casa (ver tambm 7.2.5 e 9.8.1). 6.2 Treinamento dos usurios

Objetivo: Assegurar que os usurios se conscientizem das preocupaes e ameaas segurana das informaes, e estejam equipados para apoiar a poltica de segurana organizacional no curso de seu trabalho normal.

14

ISO/IEC 17799:2000(E)

Os usurios devem ser treinados nos procedimentos de segurana e no uso correto das facilidades de processamento de informaes para minimizar os possveis riscos de segurana. 6.2.1 Educao e treinamento sobre segurana de informaes Todos os empregados da organizao e, onde for relevante, usurios terceirizados, devem receber treinamento apropriado e atualizaes peridicas sobre as polticas e procedimentos organizacionais. Isto inclui as exigncias de segurana, as responsabilidades legais e controles corporativos, bem como treinamento no uso correto das facilidades de processamento de informaes, por exemplo, procedimento de logon, uso de pacotes de software, antes de serem autorizados a acessar informaes ou servios. 6.3 Respondendo a incidentes de segurana e mal funcionamentos

Objetivo: Minimizar os danos resultantes de incidentes de segurana e mal funcionamentos, e monitorar e aprender com tais incidentes. Incidentes que afetam a segurana devem ser reportados atravs de canais administrativos apropriados o mais rapidamente possvel. Todos os empregados e contratados devem estar cientes dos procedimentos para reportar os diferentes tipos de incidente (quebra de segurana, ameaa, fraqueza ou mal funcionamento) que possam ter impacto na segurana dos ativos organizacionais. Deve ser exigido que eles reportem quaisquer incidentes observados ou suspeitados o mais rapidamente possvel para o ponto de contato designado. A organizao deve estabelecer um processo disciplinar formal para lidar com empregados que cometam quebras de segurana. Para que se seja capaz de tratar os incidentes adequadamente, pode ser necessrio colher provas o mais cedo possvel aps a ocorrncia (ver 12.1.7). 6.3.1 Reportando incidentes de segurana Os incidentes de segurana devem ser reportados atravs dos canais administrativos adequados o mais rapidamente possvel. Um procedimento formal para relatar os incidentes deve ser estabelecido, juntamente com um procedimento de resposta ao incidente, estabelecendo a ao a ser executada no recebimento de um relatrio de incidente. Todos os empregados e contratados devem estar cientes do procedimento para reportar incidentes de segurana, e deve-se exigir que reportem tais incidentes o mais rpido possvel. Processos de feedback adequados devem ser implementados para garantir que aqueles que reportaram os incidentes sejam notificados dos resultados aps o incidente ser investigado e encerrado. Esses incidentes podem ser usados em um treinamento de conscientizao dos usurios (ver 6.2) como exemplos do que pode acontecer, de como responder a tais incidentes e de como evit-los no futuro (ver tambm 12.1.7). 6.3.2 Reportando pontos fracos na segurana Os usurios de servios de informaes devem ser obrigados a anotar e reportar quaisquer pontos fracos observados ou suspeitados, ou ameaas, aos sistemas e

15

ISO/IEC 17799:2000(E)

servios. Eles devem reportar esses assuntos diretamente sua gerncia ou diretamente ao seu provedor de servios o mais rapidamente possvel. Os usurios devem ser informados de que eles no devem, em nenhuma circunstncia, tentar provar (testar) um ponto fraco suspeitado. Isso para a prpria proteo deles, j que testar falhas pode ser interpretado como uma potencial utilizao indevida do sistema. 6.3.3 Reportando mal funcionamento de softwares Devem ser estabelecidos procedimentos para reportar mal funcionamento de softwares. As seguintes aes devem ser consideradas: a) Os sintomas do problema e quaisquer mensagens que apaream na tela devem ser anotados. b) O computador deve ser isolado, se possvel, e o seu uso deve ser interrompido. O contato apropriado deve ser alertado imediatamente. Se o equipamento tiver que ser examinado, ele deve ser desconectado de quaisquer redes organizacionais antes de ser religado. Disquetes no devem ser transferidos para outros computadores. c) O assunto deve ser imediatamente reportado ao gerente de segurana de informaes. Os usurios no devem tentar remover o software suspeito a menos que sejam autorizados a faz-lo. A recuperao deve ser executada por pessoal adequadamente treinado e experiente. 6.3.4 Aprendendo com os incidentes Devem existir mecanismos para capacitar a quantificao e o monitoramento dos tipos, volumes e custos dos incidentes e mal funcionamentos. Essas informaes devem ser usadas para identificar incidentes ou mal funcionamentos recorrentes ou de alto impacto. Isso pode indicar a necessidade de controles aprimorados ou adicionais para limitar a freqncia, os danos e custos de futuras ocorrncias, ou de serem considerados no processo de reviso da poltica de segurana (ver 3.1.2). 6.3.5 Processo disciplinar Deve existir um processo disciplinar formal para empregados que tenham violado as polticas e procedimentos de segurana organizacionais (ver 6.1.4 e, para reteno de provas, ver 12.1.7). Tal processo pode atuar como um meio de intimidao para empregados que poderiam de outra forma se inclinar a desrespeitar os procedimentos de segurana. Adicionalmente, ele deve tambm assegurar um tratamento justo e correto para os empregados que sejam suspeitos de cometer quebras de segurana severas ou persistentes.

16

ISO/IEC 17799:2000(E)

7
7.1

Segurana fsica e ambiental

reas de segurana

Objetivo: Impedir acesso no autorizado, danos ou interferncia s instalaes fsicas e s informaes da organizao. As facilidades de processamento de informaes sensveis ou crticas para o negcio devem ser localizadas em reas seguras, protegidas por um permetro de segurana definido, com barreiras de segurana apropriadas e controles de entrada. Elas devem ser fisicamente protegidas contra acesso no autorizado, danos e interferncias. A proteo fornecida deve ser compatvel com os riscos identificados. Uma poltica de mesas limpas e telas limpas recomendada para reduzir o risco de acesso no autorizado ou danos a papis, mdia e facilidades de processamento de informaes. 7.1.1 Permetro de segurana fsica Proteo fsica pode ser obtida criando-se diversas barreiras fsicas em torno dos edifcios e das facilidades de processamento de informaes da organizao. Cada barreira estabelece um permetro de segurana, cada um aumentando a proteo total fornecida. As organizaes devem usar permetros de segurana para proteger reas que contenham facilidades de processamento de informaes (ver 7.1.3). Um permetro de segurana alguma coisa que constitui uma barreira, tal como uma parede, um porto de entrada controlado por carto ou um balco de recepo com atendentes. A localizao e a resistncia de cada barreira depende dos resultados de uma avaliao de riscos. As diretrizes e controles seguintes devem ser considerados e implementados onde apropriado: a) O permetro de segurana deve ser claramente definido. b) O permetro de um edifcio ou site que contenha facilidades de processamento de informaes deve ser fisicamente seguro (isto , no deve haver brechas no permetro ou reas onde uma entrada forada possa ocorrer com facilidade). As paredes externas do site devem ser de construo slida e todas as portas externas devem ser adequadamente protegidas contra acesso no autorizado, com mecanismos de controle, barras, alarmes, trancas, etc. c) Deve existir uma rea de recepo com atendentes ou outros meios de controlar o acesso fsico ao site ou ao edifcio. O acesso aos sites ou edifcios deve ser restrito apenas ao pessoal autorizado. d) As barreiras fsicas devem, se necessrio, ser estendidas do piso real ao teto real para impedir entrada no autorizada e contaminao ambiental, tais como as causadas por incndio ou inundao. e) Todas as portas corta-fogo em um permetro de segurana devem ter alarmes e devem fechar fazendo barulho.

17

ISO/IEC 17799:2000(E)

7.1.2 Controles para entrada fsica As reas de segurana devem ser protegidas por controles de entrada apropriados, para garantir que apenas o pessoal autorizado tenha acesso a elas. Os seguintes controles devem ser considerados: a) Visitantes nas reas de segurana devem ser supervisionados ou conduzidos pela segurana e as datas e horrios de sua entrada e sada devem ser registrados. Eles devem ter seu acesso concedido apenas para propsitos especficos e autorizados e devem ser instrudos sobre os requisitos de segurana da rea e sobre os procedimentos de emergncia. b) O acesso a informaes sensveis, e facilidades de processamento de informaes, deve ser controlado e restringido apenas ao pessoal autorizado. Controles de autenticao, tais como cartes magnticos com PIN, devem ser usados para autorizar e validar todos os acessos. Uma audit trail5 de todos os acessos deve ser mantido em segurana. c) Todo o pessoal deve ser obrigado a usar alguma forma visvel de identificao e deve ser encorajado a questionar estranhos desacompanhados e qualquer um que no esteja usando identificao visvel. d) Os direitos de acesso s reas de segurana devem ser revisados e atualizados regularmente. 7.1.3 Segurana nos escritrios, salas e instalaes Uma rea de segurana pode ser um escritrio trancado ou vrias salas dentro de um permetro de segurana fsica, o qual pode ser trancado e pode conter vrios cofres ou armrios trancados. A seleo e o projeto de uma rea segura deve levar em conta a possibilidade de danos por incndio, inundao, exploso, arruaas e outras formas de desastres naturais ou provocados. Deve-se considerar tambm os regulamentos e padres relevantes quanto sade e segurana. Tambm devem ser levadas em considerao quaisquer ameaas segurana apresentadas por locais vizinhos, como vazamento de gua proveniente de outras reas. Os seguintes controles devem ser considerados: a) As instalaes principais devem ser situadas de modo a evitar o acesso pelo pblico. b) Os edifcios devem ser discretos e dar a menor indicao possvel de sua finalidade, sem sinais bvios, internos e externos, que identifiquem a presena de atividades de processamento de informaes. c) Os equipamentos e funes de apoio, como fotocopiadoras e aparelhos de fax, devem ser situados apropriadamente dentro da rea de segurana para evitar demandas para acesso, que poderiam comprometer informaes. d) Portas e janelas devem ser trancadas quando no houver ningum presente e deve ser considerada uma proteo externa para as janelas, especialmente aquelas no andar trreo.
5

N.T.: Audit trail: trilha para auditoria. 18

ISO/IEC 17799:2000(E)

e) Sistemas adequados de deteco de invaso, instalados em padres profissionais e testados regularmente, devem ser colocados para cobrir todas as portas externas e janelas acessveis. reas desocupadas devem permanecer sempre com o alarme ligado. A cobertura deve tambm ser providenciada para outras reas, como sala de computadores ou salas de telecomunicaes. f) As instalaes de processamento de informaes gerenciadas pela organizao devem ser fisicamente separadas daquelas gerenciadas por terceiras partes.

g) Listas telefnicas internas, que identifiquem os locais das instalaes de processamento de informaes sensveis, no devem ficar disponveis para o pblico. h) Materiais perigosos ou combustveis devem ser armazenados a uma distncia segura de uma rea de segurana. Suprimentos volumosos, tal como papel, no devem ser armazenados dentro de uma rea de segurana at serem necessrios. i) Equipamentos para fallback e mdia de backup devem ficar situados a uma distncia segura para evitar danos provocados por um desastre no site principal.

7.1.4 Trabalhando em reas de segurana Controles e diretrizes adicionais podem ser necessrios para aumentar a segurana de uma rea de segurana. Isso inclui controles para os funcionrios ou terceiros que trabalham na rea de segurana, bem como atividades terceirizadas que sejam executadas l. Os seguintes controles devem ser considerados: a) Os funcionrios devem estar cientes da existncia de uma rea de segurana, ou das atividades l executadas, apenas na medida que for necessrio que eles saibam. b) Trabalho no supervisionado em reas de segurana deve ser evitado, tanto por razes de segurana quanto para impedir oportunidades para atividades maliciosas. c) reas de segurana vazias devem ficar fisicamente trancadas e serem periodicamente verificadas. d) Para o pessoal terceirizado de servios de apoio deve ser concedido acesso restrito s reas de segurana ou instalaes de processamento de informaes sensveis e apenas quando necessrio. Esse acesso deve ser autorizado e monitorado. Barreiras adicionais e permetros para controlar ao acesso fsico podem ser necessrias entre reas que tenham diferentes exigncias de segurana dentro do permetro de segurana. e) Equipamentos fotogrficos, de udio, vdeo ou outras formas de gravao no devem ser permitidos, a no ser que sejam autorizados. 7.1.5 reas isoladas de carga e descarga reas de carga e descarga devem ser controladas e, se possvel, isoladas das facilidades de processamento de informaes para evitar acesso no autorizado. Os requisitos de segurana de tais reas devem ser determinados por uma avaliao de riscos. Os seguintes controles devem ser considerados:

19

ISO/IEC 17799:2000(E)

a) O acesso a uma rea de depsito a partir do exterior do prdio deve ser restrito a pessoal identificado e autorizado. b) A rea de depsito deve ser planejada de forma que os suprimentos possam ser descarregados sem que os entregadores ganhem acesso a outras partes do edifcio. c) As portas externas de uma rea de depsito devem ser vigiadas quando a porta interna for aberta. d) Os materiais recebidos devem ser inspecionados quanto a possveis perigos [ver 7.2.1d)] antes de serem transferidos do depsito para o local de uso. e) Os materiais recebidos devem ser registrados, se for o caso (ver 5.1), ao darem entrada no site. 7.2 Segurana dos equipamentos

Objetivo: Impedir perda, danos ou comprometimento de ativos e interrupo das atividades do negcio. Os equipamentos devem ser fisicamente protegidos contra ameaas segurana e perigos ambientais. A proteo dos equipamentos (incluindo aqueles usados off-site) necessria para reduzir o risco de acesso no autorizado aos dados e para proteger contra perda ou danos. Tambm deve-se considerar a localizao dos equipamentos e sua disposio fsica. Controles especiais podem ser necessrios para proteger contra perigos ou acesso no autorizado, e para salvaguardar instalaes de apoio, tais como suprimento de eletricidade e infra-estrutura de cabeamento. 7.2.1 Disposio fsica dos equipamentos e proteo Os equipamentos devem ser protegidos, ou dispostos fisicamente de forma adequada, para reduzir os riscos oriundos de ameaas e perigos ambientais e de oportunidades de acesso no autorizado. Os seguintes controles devem ser considerados: a) Os equipamentos devem ser dispostos fisicamente de forma a minimizar acessos desnecessrios entre reas de trabalho. b) As instalaes de processamento e armazenamento de informaes que lidam com dados sensveis devem ser posicionadas para reduzir o risco de as informaes serem vistas casualmente durante seu uso. c) Itens que necessitam proteo especial devem ser isolados para reduzir o nvel geral de proteo exigido. d) Controles devem ser adotados para minimizar o risco de ameaas potenciais incluindo: 1) roubo; 2) incndio; 3) explosivos; 4) fumaa; 5) gua (ou falha no fornecimento); 6) poeira; 7) vibrao;
20

ISO/IEC 17799:2000(E)

8) efeitos qumicos; 9) interferncia no suprimento eltrico; 10) radiao eletromagntica. e) Uma organizao deve considerar sua poltica em relao ao consumo de alimentos, bebida e cigarros nas proximidades das instalaes de processamento de informaes. f) As condies ambientais devem ser monitoradas em busca de situaes que possam afetar a operao das instalaes de processamento de informaes. g) O uso de mtodos de proteo especiais, tais como membranas para teclados, deve ser considerado para equipamentos em ambientes industriais. h) Deve ser considerado o impacto de um desastre que acontea nos prdios prximos, por exemplo um incndio em um edifcio vizinho, vazamento de gua atravs do teto ou em andares abaixo do nvel da rua ou uma exploso na rua. 7.2.2 Suprimento de energia Os equipamentos devem ser protegidos contra falta de energia e outras anomalias na eletricidade. Uma fonte eltrica adequada deve ser provida de acordo com as especificaes do fabricante do equipamento. As opes para conseguir continuidade no fornecimento de energia incluem: a) mltiplas alimentaes para evitar um nico ponto de falha no fornecimento de energia; b) equipamento para suprimento de energia ininterrupto (no-break); c) gerador sobressalente. Um equipamento de no-break para suportar um encerramento do processamento de forma ordenada ou para continuar com o processamento recomendado para equipamentos que suportam operaes crticas para o negcio. Os planos de contingncia devem cobrir a ao a ser executada no caso de falha do no-break. O equipamento de no-break deve ser verificado regularmente, para certificar que ele possui a capacidade adequada, e deve ser testado de acordo com as recomendaes do fabricante. Um gerador sobressalente deve ser considerado se o processamento tiver que continuar no caso de uma falta de energia prolongada. Se instalados, os geradores devem ser regularmente testados de acordo com as instrues do fabricante. Um suprimento adequado de combustvel deve estar disponvel para garantir que o gerador possa funcionar por um perodo prolongado. Alm disso, interruptores de energia de emergncia devem estar localizados prximo s sadas de emergncia nas salas de equipamentos, para facilitar o desligamento rpido da energia no caso de uma emergncia. Iluminao de emergncia deve ser provida no caso de falha na energia principal. Proteo contra raios deve ser instalada em todos os edifcios e filtros de proteo contra raios devem ser instalados em todas as linhas de comunicao externas.

21

ISO/IEC 17799:2000(E)

7.2.3 Segurana para o cabeamento Os cabos de energia e telecomunicao que transportam dados ou suportam servios de informao devem ser protegidos contra interceptao ou danos. Os seguintes controles devem ser considerados: a) Linhas de telecomunicao e energia dentro das instalaes de processamento de informaes devem ser subterrneas, onde possvel, ou sujeitas proteo alternativa adequada. b) O cabeamento de redes deve ser protegido contra interceptao no autorizada ou danos, por exemplo usando eletrodutos ou evitando-se rotas atravs de reas pblicas. c) Os cabos de energia devem ser segregados dos cabos de comunicao para impedir interferncia. d) Para sistemas crticos ou sensveis, controles adicionais devem incluir: 1) instalao de conduto blindado e salas ou caixas trancadas nos pontos de inspeo e terminao; 2) uso de roteamento alternativo ou mdia de transmisso alternativa; 3) uso de cabeamento de fibra tica; 4) iniciao de varreduras em busca de dispositivos no autorizados que possam estar sendo conectados aos cabos. 7.2.4 Manuteno de equipamentos Os equipamentos devem ser corretamente conservados para assegurar sua disponibilidade e integridade continuadas. Os seguintes controles devem ser considerados: a) Os equipamentos devem passar por manuteno de acordo com os intervalos e especificaes de servio recomendados pelo fornecedor. b) Apenas pessoal autorizado de manuteno deve executar os reparos e a manuteno nos equipamentos. c) Devem ser mantidos registros sobre todas as falhas ocorridas ou suspeitadas e sobre todas as manutenes preventivas e corretivas. d) Controles apropriados devem ser realizados quando se enviar equipamento para fora da organizao para manuteno (ver tambm 7.2.6 sobre dados excludos, apagados e sobrescritos). Todos os requisitos impostos pelas polticas de segurana devem ser obedecidos. 7.2.5 Segurana de equipamentos fora da empresa Independentemente da propriedade, o uso de qualquer equipamento fora das instalaes fsicas da organizao para processamento de informaes deve ser autorizado pela gerncia. A segurana fornecida deve ser equivalente quela dos equipamentos on-site usados para o mesmo propsito, levando-se em considerao os riscos de trabalhar fora do local da organizao. Equipamentos de processamento de informaes incluem todas as formas de computadores pessoais, organizadores,

22

ISO/IEC 17799:2000(E)

telefones mveis, papel ou outra forma, que so mantidos para trabalho em casa ou que esto sendo transportados para longe do local de trabalho normal. As seguintes diretrizes devem ser consideradas: a) Equipamentos e mdias retirados do prdio da organizao no devem ser deixados desacompanhados em locais pblicos. Em viagens, os computadores portteis devem ser transportados como bagagem pessoal e disfarados onde possvel. b) As instrues dos fabricantes para proteo dos equipamentos devem ser sempre observadas, por exemplo proteo contra exposio a campos eletromagnticos intensos. c) Os controles para trabalhos em casa devem ser determinados por uma avaliao de riscos e os controles cabveis aplicados conforme apropriado, por exemplo, armrios-arquivos trancveis, poltica de mesa limpa e controles de acesso aos computadores. d) Cobertura de seguro adequada deve estar contratada para proteger equipamentos off-site. Os riscos de segurana, tais como danos, roubo e bisbilhotagem, podem variar consideravelmente entre os locais e devem ser levados em conta na determinao dos controles mais apropriados. Mais informaes sobre outros aspectos da proteo de equipamentos mveis podem ser encontrados no item 9.8.1. 7.2.6 Segurana para descarte ou reutilizao de equipamentos As informaes podem ser comprometidas atravs do descarte ou reutilizao descuidados de equipamentos (ver tambm 8.6.4). Dispositivos de armazenamento contendo informaes sensveis devem ser fisicamente destrudos ou regravados de forma segura em vez de se usar a funo delete padro. Todos os itens de equipamento contendo mdia de armazenamento, tais como discos fixos, devem ser verificados para certificar que quaisquer dados sensveis ou softwares licenciados foram removidos ou sobrescritos antes do descarte. Dispositivos de armazenamento danificados, que contenham dados sensveis, podem exigir uma avaliao de riscos para determinar se tais itens devem ser destrudos, reparados ou descartados. 7.3 Controles gerais

Objetivo: Impedir o comprometimento ou roubo de informaes e de facilidades de processamento de informaes. As informaes e as facilidades de processamento de informaes devem ser protegidas contra divulgao, modificao ou roubo por pessoas no autorizadas, e devem ser implantados controles para minimizar perdas ou danos. Os procedimentos para manuseio e armazenamento so considerados no item 8.6.3.

23

ISO/IEC 17799:2000(E)

7.3.1 Poltica de mesa limpa e tela limpa As organizaes devem considerar a adoo de uma poltica de mesas limpas para os papis e mdia de armazenamento removvel e uma poltica de telas limpas para as facilidades de processamento de informaes, para reduzir os riscos de acesso no autorizado, perda de informaes ou danos s informaes durante e fora do horrio de expediente. A poltica deve considerar as classificaes de segurana de informao (ver 5.2), os riscos correspondentes e os aspectos culturais da organizao. Informaes deixadas sobre as mesas de trabalho so passveis de serem danificadas ou destrudas em um desastre tipo incndio, enchente ou exploso. Os seguintes controles devem ser considerados: a) Onde apropriado, os papis (relatrios) e mdia eletrnica devem ser armazenados em armrios trancados adequados e/ou em outras formas de mobilirio de segurana, quando no estiverem em uso, especialmente fora do horrio do expediente. b) Informaes sensveis ou crticas para o negcio devem ser trancadas em local separado (idealmente em um armrio ou cofre prova de fogo) quando no necessrias, especialmente quando o escritrio fica vazio. c) Computadores pessoais e terminais de computador e impressoras no devem ser deixados logados quando no houver um operador (usurio) junto e devem ser protegidos por key locks, senhas e outros controles quando no estiverem em uso. d) Pontos de entrada e sada de correio e aparelhos de fax e telex devem ser protegidos. e) Fotocopiadoras devem ser trancadas (ou protegidas contra uso no autorizado de alguma outra maneira) fora do horrio de expediente. f) Informaes sensveis ou confidenciais, quando impressas, devem ser retiradas da impressora imediatamente.

7.3.2 Remoo de propriedade Equipamentos, informaes ou software no devem ser retirados das instalaes da organizao sem autorizao. Quando necessrio e apropriado, os equipamentos devem ter sua sada registrada e devem ser registrados novamente quando devolvidos. Verificaes aleatrias devem ser executadas para detectar remoo no autorizada de propriedade. As pessoas devem ser conscientizadas de que tais verificaes aleatrias ocorrero.

24

ISO/IEC 17799:2000(E)

8
8.1

Gerenciamento de comunicaes e operaes

Procedimentos operacionais e responsabilidades

Objetivo: Garantir a operao correta e segura das facilidades de processamento de informaes. As responsabilidades e os procedimentos para a gesto e operao de todas as facilidades de processamento de informaes devem ser estabelecidas. Isso inclui o desenvolvimento de instrues de operao apropriadas e de procedimentos para resposta a incidentes. A segregao de tarefas (ver 8.1.4) deve ser implementada, onde apropriado, para reduzir o risco de utilizao negligente ou m utilizao deliberada dos sistemas. 8.1.1 Procedimentos operacionais documentados Os procedimentos operacionais identificados pela poltica de segurana devem ser documentados e mantidos atualizados. Os procedimentos operacionais devem ser tratados como documentos formais e as alteraes devem ser autorizadas pela gerncia. Os procedimentos devem especificar as instrues para execuo detalhada de cada servio, incluindo: a) processamento e manuseio de informaes; b) exigncias de scheduling, incluindo interdependncias com outros sistemas, e horrios mais cedo de incio e mais tarde de trmino dos jobs; c) instrues para tratamento de erros ou outras condies excepcionais, que possam surgir durante a execuo do job, incluindo restries no uso de utilitrios do sistema (ver 9.5.5); d) contatos de suporte na eventualidade de dificuldades operacionais ou tcnicas inesperadas; e) instrues para tratamento especial das sadas geradas, tais como o uso de papel especial ou o gerenciamento de sadas confidenciais, incluindo procedimentos para descarte seguro de sadas resultantes de jobs cancelados ou abortados; f) procedimentos para reincio e recuperao, para uso no caso de falha no sistema.

Procedimentos documentados tambm devem ser preparados para as atividades de housekeeping6 do sistema associadas com as facilidades de processamento de informaes e comunicaes, tais como procedimentos para iniciar e desligar o computador, backups, manuteno de equipamentos, gerenciamento e segurana da sala de computadores e de correio.

N.T.: Housekeeping = procedimentos que precisam ser executados para manter um computador ou sistema operando adequadamente. 25

ISO/IEC 17799:2000(E)

8.1.2 Controle das mudanas operacionais Mudanas nas facilidades de processamento de informaes e nos sistemas devem ser controladas. O controle inadequado dessas mudanas uma causa freqente de falhas na segurana ou nos sistemas. Responsabilidades gerenciais e procedimentos formais devem estar implantados para garantir um controle satisfatrio de todas as alteraes em equipamentos, softwares ou procedimentos. Os programas operacionais devem estar sujeitos a um controle estrito das alteraes. Quando programas so mudados, deve ser retido um log para auditoria, contendo todas as informaes relevantes. Alteraes no ambiente operacional podem causar impacto nos aplicativos. Onde for praticvel, os procedimentos para controle das mudanas operacionais e nos aplicativos deve ser integrado (ver tambm 10.5.1). Em especial, os seguintes controles devem ser considerados: a) identificao e anotao de alteraes significativas; b) avaliao do impacto potencial de tais alteraes; c) procedimento formal de aprovao para alteraes propostas; d) comunicao dos detalhes das alteraes para todas as pessoas relevantes; e) procedimentos que identifiquem as responsabilidades pela interrupo e recuperao de alteraes que no foram concludas com sucesso. 8.1.3 Procedimentos para gerenciamento de incidentes As responsabilidades e os procedimentos para gerenciamento de incidentes devem ser estabelecidos para garantir uma resposta rpida, efetiva e ordenada aos incidentes de segurana (ver tambm 6.3.1). Os seguintes controles devem ser considerados: a) devem ser estabelecidos procedimentos para cobrir todos os tipos potenciais de incidente de segurana, incluindo: 1) 2) 3) 4) falhas nos sistemas de informao e perda de servio; negao de servio; erros resultantes de dados incompletos ou inexatos; violao de confidencialidade.

b) Alm dos planos de contingncia normais (projetados para recuperar sistemas ou servios o mais rapidamente possvel), os procedimentos devem cobrir tambm (ver tambm 6.3.4): 1) anlise e identificao da causa do incidente; 2) planejamento e implementao de medidas para impedir a recorrncia, se necessrio; 3) coleta de audit trails e provas similares; 4) comunicao com aqueles afetados pelo incidente ou envolvidos com a recuperao dos danos provocados pelo incidente; 5) reportar a ao autoridade apropriada. c) audit trails e provas similares devem ser recolhidas (ver 12.1.7) e guardadas em segurana, conforme apropriado, para: 1) anlise interna do problema;
26

ISO/IEC 17799:2000(E)

2) usar como prova relacionada a uma potencial violao de contrato, violao de exigncias regulatrias ou no caso de processos civis ou criminais, por exemplo sob a legislao de proteo de dados ou mal uso de computadores; 3) negociao de indenizao por fornecedores de software e servios. d) Ao para recuperar de violaes de segurana e corrigir falhas no sistema devem ser controladas de maneira formal e cuidadosa. Os procedimentos devem assegurar que: 1) apenas pessoas claramente identificadas e autorizadas tenham seu acesso permitido aos sistemas e dados reais (ver tambm 4.2.2 para acesso de terceiros); 2) todas as aes de emergncia executadas sejam documentadas em detalhe; 3) a ao de emergncia seja reportada gerncia e revisada de maneira ordenada; 4) a integridade dos controles e sistemas do negcio seja confirmada no menor tempo possvel. 8.1.4 Segregao de tarefas A segregao de tarefas um mtodo de reduzir o risco de m utilizao acidental ou deliberada do sistema. Deve-se considerar a separao da gesto ou da execuo de determinadas tarefas ou reas de responsabilidade, para reduzir as oportunidades de modificao no autorizada ou utilizao indevida das informaes ou servios. As organizaes pequenas podem achar difcil implantar esse mtodo de controle, mas o princpio deve ser aplicado tanto quanto for possvel e praticvel. Sempre que for difcil segregar, outros controles como monitoramento de atividades, audit trails e superviso gerencial devem ser considerados. importante que a auditoria da segurana permanea independente. Deve-se tomar cuidado para que uma pessoa sozinha no possa executar fraudes sem ser detectada nas reas onde a responsabilidade apenas dela. O incio de um evento deve ser separado de sua autorizao. Os seguintes controles devem ser considerados: a) importante segregar atividades que requerem conivncia para serem defraudadas, como abrir uma ordem de compra e confirmar que os bens foram recebidos. b) Se houver perigo de conivncia, ento os controles devem ser planejados de modo que duas ou mais pessoas sejam envolvidas, diminuindo assim a possibilidade de conspirao. 8.1.5 Separao das facilidades de desenvolvimento e de produo Separar as facilidades de desenvolvimento, testes e produo importante para se obter a segregao dos papis envolvidos. As regras para transferncia de software do desenvolvimento para o status operacional devem ser definidas e documentadas. As atividades de desenvolvimento e testes podem causar srios problemas, tais como modificao indesejada de arquivos ou do ambiente de desenvolvimento, ou falha no sistema. Deve ser considerado o nvel de separao que necessrio, entre ambientes

27

ISO/IEC 17799:2000(E)

de produo, testes e desenvolvimento, para impedir problemas operacionais. Uma separao similar tambm deve ser implementada entre as funes de desenvolvimento e teste. Neste caso, existe uma necessidade de se manter um ambiente estvel e conhecido, no qual se possa executar testes significativos, e de impedir o acesso inadequado pelo desenvolvedor. Onde as equipes de desenvolvimento e testes tiverem acesso ao sistema operacional e a suas informaes, eles podem ser capazes de introduzir cdigo no autorizado e no testado ou alterar dados operacionais. Em alguns sistemas, essa capacidade pode ser usada impropriamente para cometer fraudes ou introduzir cdigo malicioso ou no testado. Cdigo malicioso ou no testado pode causar srios problemas operacionais. Os desenvolvedores e testadores tambm representam uma ameaa confidencialidade das informaes operacionais. As atividades de desenvolvimento e de testes podem causar alteraes no intencionadas ao software e s informaes se elas compartilharem o mesmo ambiente computacional. Separar as instalaes de desenvolvimento, teste e produo portanto desejvel para reduzir o risco de alterao acidental ou acesso no autorizado para software operacional e dados do negcio. Os seguintes controles devem ser considerados: a) Software de desenvolvimento e software operacional devem, onde possvel, ser executados em processadores diferentes ou em diferentes domnios ou diretrios. b) As atividades de desenvolvimento e testes devem ser o mais separadas possvel. c) Compiladores, editores e outros utilitrios do sistema no devem ser acessveis a partir do sistema operacional, quando no requeridos. d) Procedimentos diferentes de logon devem ser usados para sistemas de produo e de testes, para reduzir o risco de erro. Os usurios devem ser encorajados a usar diferentes senhas para esses sistemas, e os menus devem exibir mensagens de identificao apropriadas. e) A equipe de desenvolvimento deve ter acesso s senhas de produo apenas onde existem controles para emisso de senhas para o suporte dos sistemas operacionais. Os controles devem garantir que tais senhas sejam alteradas aps o uso. 8.1.6 Gerenciamento de facilidades externas A utilizao de uma empresa externa contratada para gerenciar as facilidades de processamento de informaes pode introduzir uma exposio potencial de segurana, tal como a possibilidade de comprometimentos, danos ou perdas de dados no site da contratada. Esses riscos devem ser identificados antecipadamente, e controles apropriados devem ser acordados com a empresa contratada e incorporados ao contrato (ver tambm 4.2.2 e 4.3 para obter orientao sobre contratos com terceiros que envolvem acesso s facilidades da organizao e contratos de outsourcing). Entre os aspectos particulares que devem ser tratados esto: a) identificar aplicaes sensveis ou crticas que seria melhor manter in-house; b) obter a aprovao dos proprietrios internos da aplicao;
28

ISO/IEC 17799:2000(E)

c) implicaes para os planos de continuidade do negcio; d) padres de segurana a serem especificados, e o processo para mensurar o seu cumprimento; e) alocao de responsabilidades e procedimentos especficos para monitorar eficazmente todas as atividades de segurana relevantes; f) responsabilidades e procedimentos para reportar e tratar os incidentes de segurana (ver 8.1.3). Planejamento e aceitao de sistemas

8.2

Objetivo: Minimizar os riscos de falhas nos sistemas. Planejamento antecipado e preparao so obrigatrios para assegurar a disponibilidade das capacidades e recursos adequados. Projees das necessidades futuras de capacidade devem ser feitas, para reduzir o risco de sobrecarga no sistema. Os requisitos operacionais dos novos sistemas devem ser estabelecidos, documentados e testados antes de sua aceitao e uso. 8.2.1 Capacity planning As demandas por recursos devem ser monitoradas e devem ser feitas projees para o futuro para garantir que o poder de processamento e armazenamento adequados estejam disponveis. Estas projees devem levar em conta as necessidades de novos negcios e sistemas e as tendncias atuais e estimadas no processamento de informaes da organizao. Computadores mainframe exigem ateno especial, por causa do custo muito maior e do tempo gasto para tomar a deciso de compra de novos recursos. Os gerentes de servios de mainframe devem monitorar a utilizao dos recursos principais do sistema, incluindo processadores, memria principal, armazenamento de arquivos, impressoras e outros dispositivos de sada, e sistemas de comunicao. Eles devem identificar as tendncias na utilizao, particularmente em relao s aplicaes comerciais ou ferramentas de gerenciamento de sistemas de informao. Os gerentes devem usar essas informaes para identificar e evitar gargalos potenciais que possam representar uma ameaa segurana do sistema ou dos servios para os usurios, e planejar a ao corretiva apropriada. 8.2.2 Aceitao de sistemas Os critrios de aceitao para novos sistemas de informao, upgrades e novas verses devem ser estabelecidos e devem ser realizados testes adequados dos sistemas antes da aceitao. Os gerentes devem garantir que os requisitos e os critrios para aceitao de novos sistemas estejam claramente definidos, concordados, documentados e testados. Os seguintes controles devem ser considerados: a) requisitos de performance e capacidade dos computadores; b) procedimentos de reincio e recuperao de erros, e planos de contingncia;

29

ISO/IEC 17799:2000(E)

c) preparao e testes dos procedimentos operacionais de rotina segundo padres definidos; d) um conjunto acordado de controles de segurana em vigor; e) procedimentos manuais eficazes; f) arranjos para a continuidade dos negcios, conforme requerido no item 11.1; g) evidncia de que a instalao do novo sistema no afetar de maneira adversa os sistemas existentes, particularmente nos horrios de pico de processamento, como fim de ms; h) evidncia de que foi considerado o efeito que o novo sistema ter sobre a segurana geral da organizao; i) treinamento na operao ou uso dos novos sistemas. Para novos desenvolvimentos importantes, a rea de produo e os usurios devem ser consultados em todos os estgios do processo de desenvolvimento para garantir a eficincia operacional do projeto do sistema proposto. Testes apropriados devem ser conduzidos para confirmar que todos os critrios de aceitao esto plenamente satisfeitos. 8.3 Proteo contra software malicioso

Objetivo: Proteger a integridade de softwares e informaes. Precaues so necessrias para impedir e detectar a introduo de softwares maliciosos. Softwares e instalaes de processamento de informaes so vulnerveis introduo de software malicioso, tais como vrus de computador, network worms, cavalos de Tria (ver tambm 10.5.4) e bombas lgicas. Os usurios devem ser conscientizados dos perigos relacionados com software malicioso ou no autorizado, e os gerentes devem, onde apropriado, implantar controles especiais para detectar ou impedir sua introduo. Em especial, essencial que sejam tomadas precaues para detectar e impedir vrus em computadores pessoais. 8.3.1 Controles contra software malicioso Devem ser implementados controles para deteco e preveno contra softwares maliciosos e procedimentos apropriados de conscientizao dos usurios. A proteo contra software malicioso deve ser baseada em conscientizao sobre segurana, acesso apropriado ao sistema e controles para gerenciamento de alteraes. Os seguintes controles devem ser considerados: a) uma poltica formal que exija obedincia s licenas de software e proba o uso de software no autorizado (ver 12.1.2.2); b) uma poltica formal para proteger contra riscos associados com a obteno de arquivos e softwares atravs de redes externas, ou qualquer outro meio, indicando quais medidas de proteo devem ser tomadas (ver tambm 10.5, especialmente 10.5.4 e 10.5.5);

30

ISO/IEC 17799:2000(E)

c) instalao e atualizao regular de software de deteco de vrus e reparo, para varrer computadores e mdia como uma medida de precauo ou rotineiramente; d) conduzir revises regulares do software e dos contedos de dados dos sistemas que suportam processos crticos para o negcio. A presena de quaisquer arquivos no aprovados ou modificaes no autorizadas deve ser formalmente investigada; e) verificao antivrus, antes de qualquer uso, de quaisquer arquivos em mdia eletrnica de origem incerta ou no autorizada, ou arquivos recebidos de redes no confiveis; f) verificao contra software malicioso em quaisquer anexos de correio eletrnico e downloads, antes de qualquer uso. Esta verificao pode ser conduzida em locais diferentes, por exemplo em servidores de correio eletrnico, computadores desktop ou na entrada da rede da organizao.

g) procedimentos de gerenciamento e responsabilidades para lidar com a proteo antivrus nos sistemas, treinamento sobre seu uso, como reportar e recuperar de ataques de vrus (ver 6.3 e 8.1.3); h) planos apropriados para continuidade dos negcios para recuperar de ataques de vrus, incluindo todos os dados necessrios e arranjos para backup e recuperao de softwares (ver tpico 11); i) procedimentos para confirmar todas as informaes relativas a software malicioso, e para garantir que os boletins de alerta sejam exatos e informativos. Os gerentes devem assegurar que sejam usadas fontes confiveis, como publicaes respeitadas, sites Internet confiveis ou fornecedores de software antivrus, para diferenciar entre hoaxes e vrus verdadeiros. A equipe deve ser conscientizada quanto ao problema de hoaxes e o que fazer quando receb-los.

Esses controles so especialmente importantes para servidores de arquivos de rede que suportam grandes quantidades de estaes de trabalho. 8.4 Housekeeping

Objetivo: Manter a integridade e a disponibilidade dos servios de processamento de informaes e comunicaes. Procedimentos de rotina devem ser implantados para executar a estratgia acordada sobre backups (ver 11.1), fazendo cpias backup de dados e treinando sua restaurao em tempo hbil, registrando log de eventos e falhas e, onde apropriado, monitorando o ambiente computacional. 8.4.1 Backup das informaes Cpias backup dos softwares e das informaes essenciais para o negcio devem ser executadas regularmente. Facilidades adequadas para backup devem ser fornecidas para assegurar que todas as informaes e softwares essenciais para o negcio possam ser recuperados aps um desastre ou falha em alguma mdia. Os procedimentos para backup de sistemas individuais devem ser regularmente testados para assegurar que

31

ISO/IEC 17799:2000(E)

eles satisfaam os requisitos dos planos de continuidade do negcio (ver clusula 11). Os seguintes controles devem ser considerados: a) Um nvel mnimo de informaes backup, juntamente com registros completos e exatos das cpias backup e procedimentos documentados de restaurao, devem ser armazenados em um local remoto, a uma distncia segura para escapar de quaisquer danos no caso de um desastre no site principal. Pelo menos trs geraes ou ciclos de informaes backup devem ser guardados para as aplicaes importantes para o negcio. b) Informaes backup devem ter um nvel de proteo fsica e ambiental apropriado (ver clusula 7) consistente com os padres aplicados no site principal. Os controles aplicados mdia no site principal devem ser estendidos para cobrir o site de guarda dos backups. c) A mdia dos backups deve ser regularmente testada, onde praticvel, para garantir que eles so confiveis para uso emergencial quando necessrio. d) Procedimentos de restaurao devem ser constantemente checados e testados para garantir que eles so eficazes e que podem ser concludos dentro do tempo alocado nos procedimentos operacionais para recuperao. O perodo de reteno para informaes essenciais ao negcio e tambm quaisquer exigncias de que cpias archive sejam retidas permanentemente (ver 12.1.3) devem ser determinados. 8.4.2 Logs de operador A equipe da operao deve manter um log de suas atividades. Os logs devem incluir, conforme apropriado: a) horrios de incio e fim do sistema; b) erros no sistema e ao corretiva executada; c) confirmao do manuseio correto de arquivos de dados e sadas geradas; d) o nome da pessoa que fez a anotao no log. Os logs de operador devem estar sujeitos a verificaes independentes e regulares. sendo comparados com os procedimentos operacionais. 8.4.3 Log de falhas As falhas devem ser reportadas e aes corretivas executadas. As falhas reportadas pelos usurios a respeito de problemas com o processamento de informaes ou sistemas de comunicaes devem ser registradas em log. Devem existir regras claras para tratar as falhas reportadas, incluindo: a) reviso de logs de falhas para assegurar que as falhas tenham sido satisfatoriamente resolvidas; b) reviso de medidas corretivas para assegurar que os controles no foram comprometidos e que a ao executada est totalmente autorizada.

32

ISO/IEC 17799:2000(E)

8.5

Gerenciamento de redes

Objetivo: Assegurar a salvaguarda de informaes em redes de computadores e a proteo da infra-estrutura de apoio. O gerenciamento da segurana em redes que podem ultrapassar as fronteiras da organizao exige ateno. Controles adicionais tambm podem ser exigidos para proteger dados sensveis que trafegam por redes pblicas. 8.5.1 Controles para redes Diversos controles so necessrios para obter e manter a segurana em redes de computadores. Os gerentes de redes devem implementar controles para garantir a segurana dos dados nas redes e a proteo de servios que se utilizam das redes contra acesso no autorizado. Especificamente, os seguintes controles devem ser considerados: a) A responsabilidade operacional pelas redes deve ser separada das operaes de computador onde apropriado (ver 8.1.4). b) A responsabilidades e os procedimentos para a administrao de equipamento remoto, incluindo equipamento em reas de usurios, devem ser determinados. c) Se necessrio, controles especiais devem ser estabelecidos para salvaguardar a confidencialidade e integridade dos dados que trafegam em redes pblicas e para proteger os sistemas conectados (ver 9.4 e 10.3). Controles especiais tambm podem ser exigidos para manter a disponibilidade dos servios de rede e computadores conectados. d) Atividades de gerenciamento devem ser cuidadosamente coordenadas para otimizar o servio prestado ao negcio e para assegurar que controles esto aplicados de forma consistente em toda a infra-estrutura de processamento de informaes. 8.6 Manuseio e segurana de mdia

Objetivo: Impedir danos aos ativos e interrupes nas atividades do negcio. Mdia deve ser controlada e fisicamente protegida. Procedimentos operacionais apropriados devem ser estabelecidos para proteger documentos, mdia magntica (fitas, discos, cassetes), dados de entrada/sada e documentao de sistemas contra danos, roubos e acesso no autorizado. 8.6.1 Gerenciamento de mdia removvel Devem existir procedimentos para o gerenciamento de mdias de computador removveis, tais como fitas, discos, cassetes e relatrios impressos. Os seguintes controles devem ser considerados. a) Se no forem mais necessrios, os contedos existentes em qualquer mdia reutilizvel que for removida da organizao devem ser apagados.

33

ISO/IEC 17799:2000(E)

b) Deve ser exigida autorizao para remover qualquer mdia da organizao e deve ser mantido um registro de tais remoes para guardar uma audit trail (ver 8.7.2). c) Todas as mdias devem ser armazenadas em um ambiente seguro, de acordo com as especificaes dos fabricantes. Todos os procedimentos e nveis de autorizao devem ser claramente documentados. 8.6.2 Descarte de mdia Mdia deve ser descartada de maneira segura e cuidadosa quando no for mais necessria. Informaes sensveis podem vazar para pessoas estranhas organizao atravs de mdia descartada sem cuidados. Procedimentos formais para descarte seguro de mdia devem ser estabelecidos para minimizar este risco. Os seguintes controles devem ser considerados: a) Mdia contendo informaes sensveis deve ser armazenada e descartada de forma cuidadosa e segura (por exemplo, por incinerao ou picotagem) ou esvaziada de dados para uso por outro aplicativo dentro da organizao. b) A lista seguinte identifica os itens que podem exigir descarte seguro: 1) 2) 3) 4) 5) 6) 7) 8) documentos em papel; gravaes de voz ou outras gravaes; papel carbono; relatrios impressos; fitas de impressora de utilizao nica; fitas magnticas; discos ou cassetes removveis; mdia de armazenamento tico (todas as formas, incluindo mdia usada pelos fabricantes para distribuio de software); 9) listagens de programas; 10) dados de teste; 11) documentao de sistemas. c) Pode ser mais fcil recolher todos os itens de mdia e descart-los de forma segura, do que tentar separar os itens sensveis. d) Muitas organizaes oferecem servios de coleta e descarte para papis, equipamentos e mdia. Deve-se tomar cuidado na seleo de um fornecedor com controles adequados e experincia. e) Descarte de itens sensveis deve ser registrado, onde possvel, para manter uma audit trail. Ao se acumular mdia para descarte, deve-se considerar o efeito de agregao, que pode fazer com que uma grande quantidade de informaes no confidenciais se torne mais sensvel do que uma pequena quantidade de informaes confidenciais. 8.6.3 Procedimentos de manuseio de informaes Procedimentos para o manuseio e armazenamento de informaes devem ser estabelecidos para proteger tais informaes contra divulgao no autorizada ou utilizao indevida. Devem ser redigidos procedimentos para manusear informaes,
34

ISO/IEC 17799:2000(E)

de forma consistente com sua classificao (ver 5.2), em documentos, sistemas de computador, redes, computao mvel, comunicao mvel, correio, correio de voz, comunicaes de voz em geral, multimdia, servios e facilidades postais, uso de aparelhos de fax e outros itens sensveis, como cheques em branco e faturas. Os seguintes controles devem ser considerados (ver tambm 5.2. e 8.7.2): a) manuseio e rotulagem de todas as mdias [ver tambm 8.7.2a)]; b) restries de acesso para identificar pessoal no autorizado; c) manuteno de um registro formal dos receptores autorizados de dados; d) assegurar que os dados de entrada estejam completos, que o processamento seja concludo adequadamente e que seja aplicada uma validao das sadas produzidas; e) proteo de dados gravados em spool, aguardando impresso, em um nvel adequado com sua confidencialidade; f) armazenamento das mdias em um ambiente que esteja de acordo com as especificaes dos fabricantes;

g) manter a distribuio de dados em um nvel mnimo; h) marcao clara de todas as cpias de dados para a ateno do receptor autorizado; i) reviso, a intervalos regulares, das listas de distribuio e listas de receptores autorizados.

8.6.4 Segurana da documentao dos sistemas A documentao dos sistemas pode conter vrias informaes sensveis, como descries de processos de aplicativos, procedimentos, estruturas de dados e processos de autorizao (ver tambm 9.1). Os seguintes controles devem ser considerados para proteger a documentao dos sistemas contra acesso no autorizado: a) A documentao dos sistemas deve ser guardada de forma segura. b) A lista de acesso documentao de sistemas deve ser o mais reduzida possvel e autorizada pelo proprietrio da aplicao. c) Documentao de sistemas mantida em uma rede pblica, ou fornecida via uma rede pblica, deve ser protegida adequadamente. 8.7 Intercmbios de informaes e softwares Objetivo: Impedir perda, modificao ou uso indevido de informaes intercambiadas entre organizaes. Os intercmbios de informaes e software entre organizaes devem ser controlados e devem obedecer qualquer legislao relevante (ver clusula 12). Os intercmbios devem ser executados com base em contratos. Procedimentos e padres para proteger informaes e mdias em trnsito devem ser estabelecidos. Devem ser consideradas as implicaes para o negcio e para a segurana associadas com intercmbio eletrnico de dados, comrcio eletrnico e correio eletrnico e os controles necessrios.
35

ISO/IEC 17799:2000(E)

8.7.1 Contratos para intercmbio de informaes e softwares Contratos, alguns dos quais podem ser formais, incluindo contratos para custdia de software quando apropriado, devem ser estabelecidos para o intercmbio (seja eletrnico ou manual) de informaes e softwares entre organizaes. O contedo relativo s questes de segurana de tais contratos deve refletir a confidencialidade das informaes comerciais envolvidas. Os contratos sobre condies de segurana devem considerar: a) responsabilidades gerenciais para controlar e notificar transmisso, expedio e recepo; b) procedimentos para notificar o remetente, transmisso, expedio e recepo; c) padres tcnicos mnimos para embalagem e transmisso; d) padres de identificao de/para courier; e) responsabilidades, inclusive financeiras, no caso de perda de dados; f) uso de um sistema de rotulagem acordado entre as partes para as informaes crticas ou sensveis, garantindo que o significado do rtulo seja entendido imediatamente e que as informaes sejam protegidas adequadamente;

g) propriedade das informaes e software e responsabilidades pela proteo de dados, respeito aos copyrights dos softwares e consideraes similares (ver 12.1.2 e 12.1.4); h) padres tcnicos para ler e gravar informaes e softwares; i) quaisquer controles especiais que possam ser necessrios para proteger itens sensveis, tais como chaves de criptografia (ver 10.3.5).

8.7.2 Segurana de mdia em trnsito Informaes podem ser vulnerveis a acesso no autorizado, uso indevido ou corrompimento durante transporte fsico, por exemplo ao se enviar mdia por meio dos correios ou de servio de courier. Os seguintes controles devem ser aplicados para salvaguardar mdia de computador que transportada entre locais diferentes: a) Devem ser usados couriers ou transportadoras confiveis. No contrato deve ser acordada com a gerncia uma lista de couriers autorizados e deve ser implementado um procedimento para confirmar a identificao dos couriers. b) A embalagem deve ser suficiente para proteger os contedos contra quaisquer danos fsicos que possam ocorrer durante o trnsito e deve estar de acordo com as especificaes dos fabricantes. c) Controles especiais devem ser adotados, onde necessrio, para proteger informaes sensveis contra divulgao no autorizada ou modificao. Exemplos incluem: 1) uso de contineres trancados; 2) entrega pessoal; 3) embalagem que evidencie violao (que revele qualquer tentativa de obter acesso);

36

ISO/IEC 17799:2000(E)

4) em casos excepcionais, o desmembramento do material em mais de uma entrega e o envio por mais de uma rota; 5) uso de assinaturas digitais e criptografia (ver 10.3). 8.7.3 Segurana para comrcio eletrnico O comrcio eletrnico pode envolver o uso de intercmbio de dados eletrnicos (EDI), correio eletrnico e transaes online atravs de redes pblicas, tais como a Internet. O comrcio eletrnico vulnervel a muitas ameaas pela rede, que podem resultar em atividade fraudulenta, disputa contratual e divulgao ou modificao de informaes. Devem ser aplicados controles para proteger o comrcio eletrnico contra tais ameaas. As consideraes de segurana para o comrcio eletrnico incluem os seguintes controles: a) Autenticao. Qual nvel de segurana deve o cliente e o negociante exigirem quanto identidade alegada de cada um? b) Autorizao. Quem est autorizado a definir preos, emitir ou assinar documentos comerciais importantes? Como o parceiro comercial sabe disto? c) Processos relacionados com contratos e propostas. Quais so os requisitos de confidencialidade, integridade e prova de envio e recepo de documentos importantes e da no repudiao de contratos? d) Informaes de preos. Qual o nvel de confiana que pode ser depositado na integridade da lista de preos anunciada e na confidencialidade de acordos confidenciais para descontos? e) Transaes de encomendas. Como fornecida a confidencialidade e integridade para detalhes de manipulao de encomendas, pagamentos, entrega e confirmao de recebimento? f) Escrutnio. Qual grau de detalhamento no exame apropriado para checar informaes de pagamento fornecidas pelo cliente?

g) Quitao. Qual a forma de pagamento mais apropriada para resguardar contra fraudes? h) Encomendas. Qual proteo necessria para manter a confidencialidade e integridade das informaes de encomenda, e para evitar a perda ou duplicidade de transaes? i) Responsabilidade financeira. Quem arca com o risco de transaes fraudulentas?

Muitas das consideraes acima podem ser tratadas com a aplicao de tcnicas de criptografia esboadas no item 10.3, levando em conta a obedincia s exigncias legais (ver 12.2, especialmente 12.1.6 sobre legislao de criptografia). Os acordos de comrcio eletrnico entre parceiros comerciais devem ser apoiados por um contrato documentado que compromete ambas as partes com os termos acordados do intercmbio, incluindo detalhes sobre autorizao [ver item b) acima]. Outros contratos com provedores de servios de informao e de redes de valor agregado podem ser necessrios.

37

ISO/IEC 17799:2000(E)

Sistemas de comrcio pblicos devem divulgar seus termos de negcio para os clientes. Deve-se levar em considerao a resilincia a ataques do host usado para comrcio eletrnico, e as implicaes de segurana de qualquer interconexo de redes exigida para sua implementao (ver 9.4.7). 8.7.4 Segurana para correio eletrnico 8.7.4.1 Riscos de segurana

O correio eletrnico vem sendo usado para comunicaes comerciais, substituindo as formas tradicionais de comunicao tais como telex e cartas. O correio eletrnico difere das formas tradicionais de comunicao comercial, por exemplo, pela sua velocidade, estrutura de mensagens, grau de informalidade e vulnerabilidade a aes no autorizadas. Deve-se levar em considerao a necessidade de controles para reduzir os riscos de segurana criados pelo correio eletrnico. Os riscos de segurana incluem: a) vulnerabilidade das mensagens a acesso no autorizado ou modificao ou negao de servio; b) vulnerabilidade a erros, como endereamento incorreto ou mal direcionamento, e a confiabilidade e disponibilidade gerais do servio; c) impacto, nos processos do negcio, de uma mudana na mdia de comunicao; por exemplo, o efeito do aumento da velocidade da expedio ou o efeito de enviar mensagens formais de pessoa para pessoa em vez de empresa para empresa; d) consideraes legais, tais como a necessidade potencial de prova de origem, expedio, entrega e aceitao; e) implicaes de publicar listas de pessoal acessveis externamente; f) controlar acesso de usurios remotos a contas de correio eletrnico.

8.7.4.2 Poltica sobre correio eletrnico As organizaes devem estabelecer uma poltica clara relativa ao uso de correio eletrnico, incluindo: a) ataques ao correio eletrnico, como vrus e interceptao; b) proteo dos anexos nas mensagens eletrnicas; c) diretrizes sobre quando no usar correio eletrnico; d) responsabilidade dos empregados em no comprometer a empresa; por exemplo, envio de mensagens eletrnicas difamatrias, utilizao para assdio, compras no autorizadas; e) uso de tcnicas criptogrficas para proteger a confidencialidade e a integridade das mensagens eletrnicas (ver 10.3); f) reteno de mensagens que, se armazenadas, podem ser descobertas em casos de litgios;

38

ISO/IEC 17799:2000(E)

g) controles adicionais para examinar cuidadosamente mensagens que no podem ser autenticadas. 8.7.5 Segurana de sistemas de automao de escritrios Polticas e diretrizes devem ser preparadas e implementadas para controlar os riscos para a segurana e para o negcio associados com sistemas de automao de escritrios. Estes propiciam oportunidades para disseminao e compartilhamento mais rpidos de informaes comerciais usando uma combinao de: documentos, computadores, computao mvel, comunicaes mveis, correio, correio de voz, comunicaes verbais em geral, multimdia, servios/facilidades postais e equipamentos de fax. Os cuidados tomados em relao s implicaes de segurana decorrentes da interconexo de tais facilidades devem incluir: a) vulnerabilidades das informaes nos sistemas de automao de escritrios, tal como gravao de telefonemas ou conferncias telefnicas, confidencialidade de telefonemas, armazenagem de faxes, abertura de correspondncia, distribuio de correspondncia; b) poltica e controles apropriados para gerenciar o compartilhamento de informaes, por exemplo o uso de bulletin boards eletrnicos corporativos (ver 9.1); c) excluir categorias de informaes sensveis do negcio se o sistema no fornecer um nvel adequado de proteo (ver 5.2); d) restringir o acesso a informaes de agenda relativas a indivduos selecionados, tais como a equipe que trabalha em projetos sensveis; e) a adequabilidade do sistema para suportar aplicaes administrativas, tais como comunicar ordens ou autorizaes; f) categorias de pessoal, contratados ou parceiros comerciais autorizados a usar o sistema e os locais de onde ele pode ser acessado (ver 4.2);

g) restringir facilidades selecionadas a categorias especficas de usurios; h) identificar o status dos usurios, por exemplo empregados da organizao ou prestadores de servio em listas para o benefcio de outros usurios; i) j) reteno e backup das informaes mantidas no sistema (ver 12.1.3 e 8.4.1); requisitos e providncias para fallback (ver 11.1).

8.7.6 Sistemas disponibilizados publicamente Devem ser tomados cuidados para proteger a integridade de informaes publicadas eletronicamente para impedir modificao no autorizada, que poderia prejudicar a reputao da organizao publicadora. As informaes em um sistema disponibilizado publicamente, tal como informaes em um servidor de Web acessveis via Internet, podem necessitar obedecer a leis, normas e regulamentos na jurisdio onde o sistema est localizado ou onde os negcios ocorrem. Deveria existir um processo formal de autorizao antes que as informaes sejam disponibilizadas publicamente.

39

ISO/IEC 17799:2000(E)

Software, dados e outras informaes que necessitem de um alto nvel de integridade, tornadas disponveis em um sistema pblico, devem ser protegidas pelos mecanismos apropriados, como assinaturas digitais (ver 10.3.3). Sistemas de publicao eletrnica, especialmente aqueles que permitem feedback e entrada direta de informaes, devem ser cuidadosamente controlados de forma que: a) as informaes sejam obtidas de acordo com qualquer legislao de proteo de dados existente (ver 12.1.4); b) as informaes introduzidas no sistema de publicao e processadas por ele sejam processadas inteiramente e com exatido em tempo adequado; c) as informaes sensveis sejam protegidas durante o processo de coleta e quando armazenadas; d) o acesso ao sistema de publicao no permita o acesso no intencionado a redes em que esteja conectado. 8.7.7 Outras formas de intercmbio de informaes Procedimentos e controles devem estar implantados para proteger o intercmbio de informaes atravs do uso de facilidades de voz, fac-smile e vdeo-comunicaes. As informaes podem ser comprometidas devido falta de conscientizao, poltica ou procedimentos sobre o uso de tais facilidades, como por exemplo, conversas ouvidas por acaso em telefone mvel em local pblico, gravaes em secretrias eletrnicas ouvidas por acaso, acesso no autorizado a sistemas discados de correio de voz ou enviar faxes acidentalmente para a pessoa errada. As operaes da organizao podem ser perturbadas e as informaes podem ser comprometidas se as facilidades de comunicao apresentarem falhas, ficarem sobrecarregadas ou forem interrompidas (ver 7.2 e clusula 11). As informaes tambm podem ser comprometidas se forem acessadas por usurios no autorizados (ver clusula 9). Deve ser estabelecida uma declarao clara da poltica com os procedimentos que se espera que os empregados sigam no uso de comunicaes de voz, fax e vdeo. Ela deve incluir: a) lembrar aos funcionrios que eles devem tomar as precaues apropriadas, tais como no revelar informaes sensveis, de modo a evitar serem ouvidos por acaso ou interceptados ao fazerem telefonemas por: 1) pessoas nas imediaes, particularmente ao usar telefones mveis; 2) escuta telefnica e outras formas de espionagem atravs de acesso fsico ao aparelho telefnico ou linha telefnica, ou atravs de receptores de varredura quando se usar telefones mveis analgicos; 3) pessoas que estejam ao lado de quem recebe o telefonema. b) lembrar aos funcionrios que eles no devem manter conversas confidenciais em reas pblicas ou escritrios abertos e salas de reunio com paredes finas; c) no deixar mensagens em secretrias eletrnicas, j que elas podem ser ouvidas por pessoas no autorizadas, armazenadas em sistemas de uso comum ou armazenadas incorretamente como um resultado de rediscagem;

40

ISO/IEC 17799:2000(E)

d) lembrar aos funcionrios sobre os problemas relacionados com o uso de equipamentos de fax, a saber: 1) acesso no autorizado a memrias internas de mensagens para buscar mensagens; 2) programao deliberada ou acidental de mquinas para enviar mensagens para nmeros especficos; 3) enviar documentos ou imagens para o nmero errado, ou discando o nmero errado ou usando um nmero armazenado errado.

9
9.1

Controle de Acesso
Necessidades de controle de acesso

Objetivo: Controlar o acesso s informaes. O acesso a informaes e processos do negcio deve ser controlado com base nas necessidades de segurana e do negcio. Deve-se levar em conta as polticas para disseminao e autorizao das informaes. 9.1.1 Poltica de controle de acesso 9.1.1.1 Poltica e requisitos do negcio Os requisitos de controle de acesso na organizao devem ser definidos e documentados. As regras e direitos de controle de acesso para cada usurio ou grupo de usurios devem ser claramente definidas em uma declarao de poltica de acesso. Os usurios e os provedores de servios devem receber uma declarao clara dos requisitos a serem satisfeitos pelos controles de acesso. A poltica deve considerar o seguinte: a) requisitos de segurana das aplicaes individuais do negcio; b) identificao de todas as informaes relacionadas s aplicaes do negcio; c) polticas para disseminao e autorizao de informaes, como o princpio do saber apenas quando necessrio e nveis de segurana e classificao de informaes; d) consistncia entre o controle de acesso e as polticas de classificao de informao dos diferentes sistemas e redes; e) legislao relevante e quaisquer obrigaes contratuais relacionadas com a proteo de acesso para dados ou servios (ver clusula 12); f) padronizao de perfis de usurio para categorias comuns de servio; g) gerenciamento de direitos de acesso em um ambiente de rede e distribudo que reconhece todos os tipos de conexo disponveis. 9.1.1.2 Regras para controle de acesso

Na especificao das regras para controle de acesso, preciso considerar com cuidado o seguinte:

41

ISO/IEC 17799:2000(E)

a) diferenciar entre regras que devem ser sempre obedecidas e regras que so opcionais ou condicionais; b) estabelecer regras baseadas na premissa O que deve ser geralmente proibido a menos que seja expressamente permitido em vez de usar a regra mais fraca Tudo geralmente permitido a menos que seja expressamente proibido; c) mudanas nos rtulos das informaes (ver 5.2) que so iniciadas automaticamente pelas facilidades de processamento de informao e aquelas iniciadas discrio de um usurio; d) mudanas nas permisses de usurios que so iniciadas automaticamente pelo sistema de informaes e aquelas iniciadas por um administrador; e) regras que exigem a aprovao do administrador ou outra aprovao antes de sua decretao e aquelas que no exigem. 9.2 Gerenciamento do acesso de usurios

Objetivo: Impedir acesso no autorizado aos sistemas de informao. Procedimentos formais devem ser implantados para controlar a alocao de direitos de acesso a sistemas e servios de informao. Os procedimentos devem cobrir todos os estgios do ciclo de vida do acesso dos usurios, desde o cadastramento inicial de novos usurios at a retirada final de usurios que no mais necessitam de acesso aos sistemas e servios de informao. Ateno adequada deve ser dada, onde apropriado, necessidade de controlar a alocao de direitos privilegiados de acesso, que permitem aos usurios sobrepujar os controles do sistema. 9.2.1 Cadastramento de usurios Deve existir um procedimento formal de cadastramento e descadastramento de usurios para a concesso de acesso a todos os sistemas e servios de informao multiusurios. O acesso a servios de informao multiusurios deve ser controlado atravs de um processo formal de cadastramento de usurios, que deve incluir: a) usar IDs de usurio exclusivas, de modo que os usurios possam ser relacionados com suas aes e responsabilizados por elas. O uso de IDs de grupo deve ser permitido apenas onde elas sejam adequadas para o trabalho executado; b) confirmar que o usurio tem autorizao do proprietrio do sistema para o uso do sistema ou servio de informao. Aprovao separada para os direitos de acesso pela gerncia tambm pode ser conveniente; c) confirmar que o nvel de acesso concedido apropriado para os fins do negcio (ver 9.1.) e consistente com a poltica de segurana da organizao; por exemplo, no compromete a segregao de tarefas (ver 8.14); d) entregar aos usurios um documento escrito com seus direitos de acesso;

42

ISO/IEC 17799:2000(E)

e) exigir que os usurios assinem declaraes indicando que eles entendem as condies de acesso; f) assegurar que os provedores de servio no concedam acesso at os procedimentos de autorizao terem sido concludos;

g) manter um registro formal de todas as pessoas cadastradas para usar o servio; h) remover imediatamente os direitos de acesso de usurios que trocaram de funo ou deixaram a organizao; i) j) verificar periodicamente e remover IDs de usurios e contas redundantes; assegurar que IDs de usurio redundantes no sejam emitidas para outros usurios.

Deve ser dada ateno incluso de clusulas nos contratos de trabalho e contratos de servios que especifiquem sanes no caso de tentativas de acesso no autorizado pelos empregados ou pessoas contratadas (ver tambm 6.1.4 e 6.3.5). 9.2.2 Gerenciamento de privilgios A alocao e o uso de privilgios (qualquer recurso ou facilidade de um sistema de informaes multiusurio que permite ao usurio sobrepujar os controles do sistema ou aplicativo) devem ser restritos e controlados. O uso inapropriado de privilgios de sistema freqentemente um dos principais fatores contribuintes para a falha de sistemas que foram violados. Sistemas multiusurios que exigem proteo contra acesso no autorizado devem ter a alocao de privilgios controlada atravs de procedimento formal de autorizao. Os seguintes passos devem ser considerados: a) Devem ser identificados os privilgios associados com cada produto de sistema, por exemplo sistema operacional, sistema de gerenciamento de banco de dados e cada aplicativo, e as categorias de pessoal para as quais eles precisam ser alocados. b) Os privilgios devem ser alocados para os indivduos na base da necessidade de uso e na base de evento por evento, isto , o requisito mnimo para seu papel funcional apenas quando necessrio. c) Um processo de autorizao e um registro de todos os privilgios alocados devem ser mantidos. Os privilgios no devem ser concedidos at que o processo de autorizao esteja concludo. d) O desenvolvimento e o uso de rotinas do sistema deve ser promovido para evitar a necessidade de conceder privilgios a usurios. e) Os privilgios devem ser concedidos para uma identificao de usurio diferente daquelas empregadas para uso normal do negcio. 9.2.3 Gerenciamento de senhas de usurio As senhas so um meio comum de validar a identidade de um usurio para acessar um sistema ou servio de informaes. A alocao de senhas deve ser controlada atravs de um processo administrativo formal, cujo enfoque deveria ser:

43

ISO/IEC 17799:2000(E)

a) exigir que os usurios assinem uma declarao de manter confidencial as senhas pessoais e de manter as senhas de grupos somente entre as pessoas do grupo (isto poderia ser includo nos termos e condies do contrato de trabalho, ver 6.1.4); b) garantir, onde os usurios forem responsveis por manter suas prprias senhas, que eles sejam providos inicialmente com uma senha temporria segura a qual eles sejam forados a alterar imediatamente. As senhas temporrias fornecidas quando um usurio esquece sua senha devem ser fornecidas apenas aps identificao positiva do usurio; c) exigir que as senhas temporrias sejam dadas aos usurios de uma maneira segura. O uso de mensagens de correio eletrnico de terceiros ou desprotegidas (texto simples) deve ser evitado. Os usurios devem acusar o recebimento das senhas. As senhas nunca devem ser guardadas em um sistema de computador sob forma desprotegida. Outras tecnologias para identificao e autenticao de usurios, tais como biomtrica (verificao de impresso digital), verificao de assinatura e uso de peas de hardware, tais como cartes com chip, esto disponveis e devem ser consideradas se apropriado. 9.2.4 Reviso dos direitos de acesso dos usurios Para manter controle efetivo sobre o acesso aos servios de informaes, a gerncia deve conduzir um processo formal, a intervalos regulares, para revisar os direitos de acesso dos usurios de forma que: a) os direitos de acesso dos usurios sejam revisados a intervalos regulares (um perodo de 6 meses recomendado) e aps quaisquer alteraes (ver 9.2.1) b) as autorizaes para direitos privilegiados de acesso (ver 9.2.2) devem ser revisadas a intervalos mais freqentes; recomendado um perodo de 3 meses; c) a alocao de privilgios seja verificada em intervalos regulares para garantir que no sejam obtidos privilgios no autorizados. 9.3 Responsabilidades dos usurios

Objetivo: Impedir acesso de usurios no autorizados. A cooperao dos usurios autorizados essencial para a eficcia da segurana. Os usurios devem ser conscientizados de suas responsabilidades quanto manuteno de controles eficazes de acesso, particularmente o uso de senhas e a segurana do equipamento do usurio.

44

ISO/IEC 17799:2000(E)

9.3.1 Uso de senhas Os usurios devem seguir as boas normas de segurana na seleo e uso de senhas. As senhas fornecem um meio de validar a identidade do usurio e assim estabelecer direitos de acesso aos servios ou facilidades de processamento de informaes. Todos os usurios devem ser aconselhados a: a) manter confidenciais as senhas; b) evitar manter anotao das senhas em papel, a menos que possam ser guardadas com segurana; c) alterar senhas sempre que houver qualquer indicao de possvel comprometimento da senha ou do sistema; d) selecionar senhas de qualidade com um tamanho mnimo de seis caracteres, que: 1) sejam fceis de lembrar; 2) no sejam baseadas em algo que algum poderia facilmente deduzir e obter usando informaes relacionadas com a pessoa, por exemplo, nomes, nmeros de telefones, datas de nascimento, etc.; 3) sejam isentas de caracteres consecutivos idnticos ou grupos totalmente numricos ou totalmente alfabticos. e) alterar senhas a intervalos regulares ou baseado na quantidade de acessos (senhas para contas privilegiadas devem ser alteradas com mais freqncia do que as senhas normais), e evitar reutilizar ou usar ciclicamente senhas antigas; f) alterar senhas temporrias no primeiro logon ; g) no incluir senhas em qualquer processo automtico de logon, por exemplo armazenadas em uma macro ou tecla de funo; h) no compartilhar senhas individuais. Se os usurios precisarem acessar mltiplos servios ou plataformas e forem obrigados a manter mltiplas senhas, eles devem ser avisados de que podem usar uma nica senha de qualidade [ver item d) acima] para todos os servios que possuam um nvel razovel de proteo para senhas armazenadas. 9.3.2 Equipamentos de usurio desassistidos Os usurios devem se assegurar de que equipamentos desassistidos possuem proteo apropriada. Os equipamentos instalados nas reas dos usurios, como estaes de trabalho ou servidores de arquivos, podem exigir proteo especfica contra acesso no autorizado quando deixados desassistidos por um perodo prolongado. Todos os usurios e contratados devem ser conscientizados dos requisitos e procedimentos de segurana para proteger equipamento desassistido, bem como de suas responsabilidades para implementao de tal proteo. Os usurios devem ser aconselhados a: a) encerrar sesses ativas quando terminarem, a menos que elas possam ser protegidas por um mecanismo de tranca, como um protetor de tela com senha;

45

ISO/IEC 17799:2000(E)

b) desligar (logoff) os computadores mainframe quando a sesso estiver finalizada (isto , no apenas desligar o terminal ou o PC); c) proteger PCs ou terminais contra uso no autorizado por meio de um key lock ou um controle equivalente, como acesso por senha, quando no estiverem em uso. 9.4 Controle de acesso rede

Objetivo: Proteo de servios que utilizam redes. O acesso a servios em redes internas e externas deve ser controlado. Isto necessrio para assegurar que os usurios que tm acesso a redes e servios em rede no comprometam a segurana de tais servios, usando-se: a) interfaces apropriadas entre a rede da organizao e as redes de propriedade de outras organizaes ou redes pblicas; b) mecanismos apropriados para autenticao de usurios e equipamentos; c) controle do acesso dos usurios aos servios de informaes. 9.4.1 Poltica sobre o uso de servios em rede Conexes inseguras com servios em rede podem afetar toda a organizao. Os usurios devem ter acesso direto apenas aos servios que eles foram especificamente autorizados a usar. Este controle particularmente importante para conexes de rede com aplicaes sensveis ou crticas ou para usurios em locais de alto risco, como reas pblicas ou externas que esto fora da gesto e controle de segurana da organizao. Deve ser formulada uma poltica relacionada ao uso de redes e de servios em rede. Ela deve cobrir: a) as redes e os servios em rede cujo acesso permitido; b) procedimentos de autorizao para determinar quem est autorizado a acessar quais redes e servios em rede; c) controles e procedimentos administrativos para proteger o acesso a conexes de rede e servios em rede. Esta poltica deve ser consistente com a poltica de controle de acesso da organizao (ver 9.1). 9.4.2 Path obrigatrio O path do terminal do usurio at o servio informatizado pode precisar ser controlado. As redes so projetadas para permitir mximo escopo no compartilhamento de recursos e flexibilidade de roteamento. Esses recursos tambm podem propiciar oportunidades para acesso no autorizado a aplicaes da organizao ou uso no autorizado das facilidades de informao. Incorporar controles que restrinjam a rota entre o terminal do usurio e os servios informatizados que o

46

ISO/IEC 17799:2000(E)

usurio est autorizado a acessar, como por exemplo criando um path obrigatrio, pode reduzir tais riscos. O objetivo de um path obrigatrio impedir quaisquer usurios de selecionar rotas que esto fora da rota entre o terminal do usurio e os servios que o usurio est autorizado a acessar. Isto geralmente requer a implementao de diversos controles em diferentes pontos na rota. O princpio limitar as opes de roteamento em cada ponto na rede, atravs de escolhas predefinidas. So exemplos disto: a) alocar linhas ou nmeros de telefones dedicados; b) conectar portas automaticamente com sistemas aplicativos ou gateways de segurana especificados; c) limitar as opes de menus e submenus para usurios individuais; d) impedir roaming de rede ilimitado; e) para usurios externos da rede, obrigar o uso de sistemas aplicativos e/ou gateways de segurana especificados; f) controlar ativamente as comunicaes permitidas entre origem e destino via gateways de segurana, como firewalls;

g) restringir o acesso rede atravs da implantao de domnios lgicos separados, como redes virtuais privadas, para grupos de usurios dentro da organizao (ver tambm 9.4.6). Os requisitos para um path obrigatrio devem ser baseados na poltica de controle de acesso do negcio (ver 9.1.). 9.4.3 Autenticao de usurio para conexes externas Conexes externas apresentam um potencial para acesso no autorizado s informaes do negcio, como por exemplo acesso atravs de mtodos dial-up. Portanto, o acesso de usurios remotos deve estar sujeito autenticao. Existem tipos diferentes de mtodos de autenticao e alguns fornecem um nvel de proteo maior do que outros, tais como mtodos baseados no uso de tcnicas criptogrficas, que podem propiciar uma autenticao mais poderosa. importante determinar o nvel de proteo requerida a partir de uma avaliao de riscos. Isto necessrio para a seleo apropriada de um mtodo de autenticao. Autenticao de usurios remotos pode ser conseguida usando-se, por exemplo, uma tcnica baseada em criptografia, tokens de hardware ou protocolo tipo challenge/response. Linhas privadas dedicadas ou uma funcionalidade para checar endereos de usurio na rede tambm podem ser usadas para fornecer garantia da origem das conexes. Procedimentos e controles para dial-back, por exemplo usando modems dial-back, podem fornecer proteo contra conexes no autorizadas ou indesejadas s facilidades de processamento de informaes de uma organizao. Este tipo de controle autentica os usurios que tentam estabelecer uma conexo a uma rede da organizao a partir de locais remotos. Quando usar este controle, uma organizao
47

ISO/IEC 17799:2000(E)

no deve usar servios de rede que incluem encaminhamento de chamadas ou, se eles inclurem, deve desabilitar o uso de tais recursos para evitar vulnerabilidades associadas com encaminhamento de chamadas. Tambm importante que o processo de call-back inclua confirmao de que realmente ocorreu uma desconexo na ponta da organizao. Caso contrrio, o usurio remoto pode reter a linha aberta fingindo que ocorreu uma confirmao de call-back. Procedimentos e controles de call-back devem ser cuidadosamente testados quanto a esta possibilidade. 9.4.4 Autenticao de nodo Um recurso para conexo automtica com um computador remoto pode fornecer um meio para obter acesso no autorizado a uma aplicao da organizao. Conexes com sistemas de computadores remotos devem portanto ser autenticadas. Isto especialmente importante se a conexo usar uma rede que est fora do controle do gerenciamento de segurana da organizao. Alguns exemplos de autenticao e de como ela pode ser obtida so citados no item 9.3.4 acima. Autenticao de nodos pode servir como um meio alternativo de autenticar grupos de usurios remotos onde eles estejam conectados com uma instalao de computadores compartilhada e segura (ver 9.4.3). 9.4.5 Proteo de porta de diagnstico remoto Acesso a portas de diagnstico deve ser controlado de forma segura. Muitos computadores e sistemas de comunicao so instalados com um recurso de diagnstico remoto por linha discada para uso pelos engenheiros de manuteno. Se desprotegidas, estas portas de diagnstico propiciam um meio para acesso no autorizado. Portanto, elas devem ser protegidas por um mecanismo de segurana adequado, como um key lock, e um procedimento para garantir que elas sejam acessveis apenas atravs de combinao entre o gerente do servio de computador e o pessoal de suporte de hardware/software que solicitar o acesso. 9.4.6 Segregao em redes As redes esto cada vez mais se estendendo alm das fronteiras tradicionais das organizaes, medida que so formadas parcerias comerciais que podem necessitar de interconexo ou compartilhamento de facilidades de processamento de informaes e redes. Tais extenses podem aumentar o risco de acesso no autorizado aos sistemas de informao que j usam a rede, alguns dos quais podem exigir proteo contra outros usurios da rede devido sua confidencialidade ou criticalidade. Em tais circunstncias, a introduo de controles dentro da rede, para segregar grupos de servios de informao, usurios e sistemas de informao, deve ser considerada. Um mtodo de controlar a segurana de grandes redes dividi-las em domnios lgicos separados, como domnios das redes internas da organizao e domnios das redes externas, cada um protegido por um permetro de segurana definido. Um tal permetro pode ser implementado pela instalao de um gateway seguro entre as duas redes a serem interconectadas para controlar o acesso e o fluxo de informaes entre os dois domnios. Este gateway deve ser configurado para filtrar o trfego entre esses domnios (ver 9.4.7 e 9.4.8) e para bloquear acessos no autorizados, de acordo com a

48

ISO/IEC 17799:2000(E)

poltica de controle de acesso da organizao (ver 9.1). Um exemplo deste tipo de gateway aquele comumente referido como firewall. Os critrios para segregao de redes em domnios devem ser baseados na poltica de controle de acesso e nos requisitos de acesso (ver 9.1) e tambm levar em conta o custo relativo e o impacto na performance de incorporar tecnologia adequada para roteamento de rede ou gateway (ver 9.4.7 e 9.4.8). 9.4.7 Controle das conexes de rede Os requisitos da poltica de controle de acesso para redes compartilhadas, especialmente aquelas que se estendem alm das fronteiras da organizao, podem exigir a incorporao de controles para restringir a capacidade de conexo dos usurios. Tais controles podem ser implementados atravs de gateways para a rede que filtram o trfego utilizando tabelas ou regras predefinidas. As restries aplicadas devem ser baseadas na poltica de acesso e nos requisitos das aplicaes do negcio (ver 9.1) e devem ser mantidas e atualizadas de acordo. So exemplos de aplicaes s quais restries deveriam ser aplicadas: a) correio eletrnico; b) transferncia de arquivo one-way (em um nico sentido) c) transferncia de arquivo both-ways (em ambos os sentidos) d) acesso interativo; e) acesso rede dependente de horrio do dia ou de data. 9.4.8 Controle de roteamento da rede Redes compartilhadas, especialmente aquelas que cruzam as fronteiras da organizao, podem exigir a incorporao de controles de roteamento para assegurar que as conexes entre computadores e os fluxos de informaes no violem a poltica de controle de acesso das aplicaes do negcio (ver 9.1). Este controle freqentemente essencial para redes compartilhadas com terceiros (usurios que no pertencem organizao). Os controles de roteamento devem ser baseados em mecanismos de verificao positiva de endereos de origem e destino. A traduo dos endereos de rede tambm um mecanismo muito til para isolar redes e impedir as rotas de propagarem da rede de uma organizao para a rede de outra. Eles podem ser implementados em software ou hardware. Os implementadores devem estar conscientes quanto robustez de quaisquer mecanismos adotados. 9.4.9 Segurana de servios em rede Uma vasta gama de servios de redes pblicas ou privadas est disponvel, alguns dos quais oferecem servios com valor agregado. Os servios de rede podem ter caractersticas de segurana nicas ou complexas. As organizaes que usam servios de rede devem se assegurar de que uma descrio clara dos atributos de segurana de todos os servios usados seja fornecida.

49

ISO/IEC 17799:2000(E)

9.5

Controle de acesso ao sistema operacional

Objetivo: Impedir acesso no autorizado a computadores. As facilidades de segurana no nvel de sistema operacional devem ser usadas para restringir o acesso aos recursos dos computadores. Estas facilidades devem ser capazes de: a) identificar e confirmar a identidade, e se necessrio o terminal ou localizao, de cada usurio autorizado; b) registrar acessos ao sistema bem-sucedidos e fracassados; c) fornecer os meios apropriados para autenticao; se for usado um sistema de gerenciamento de senhas, ele deve garantir senhas de qualidade [ver 9.3.1 d)]. d) onde apropriado, restringir os tempos de conexo dos usurios. Outros mtodos de controle de acesso, tais como challenge-response, esto disponveis se forem justificveis com base no risco para o negcio. 9.5.1 Identificao automtica de terminal Identificao automtica de terminais deve ser considerada para autenticar conexes com locais especficos e com equipamentos portteis. Identificao automtica de terminais uma tcnica que pode ser usada se for importante que a sesso possa ser iniciada apenas de um local especfico ou de um terminal de computador especfico. Um identificador no terminal, ou acoplado ao terminal, pode ser usado para indicar se este terminal em particular est autorizado a iniciar ou receber transaes especficas. Pode ser necessrio aplicar proteo fsica ao terminal, para manter a segurana do identificador do terminal. Diversas outras tcnicas tambm podem ser usadas para autenticar usurios (ver 9.4.3). 9.5.2 Procedimentos de logon em terminais O acesso a servios de informao deve ser realizado via um processo de logon seguro. O procedimento para conectar em um sistema de computador deve ser projetado para minimizar a oportunidade de acessos no autorizados. O procedimento de logon deve, portanto, divulgar o mnimo de informaes sobre o sistema, de forma a evitar fornecer assistncia desnecessria a um usurio no autorizado. Um bom procedimento de logon deve: a) no exibir identificadores do sistema ou do aplicativo at que o processo de logon tenha sido completado com sucesso; b) exibir um aviso genrico de que o computador deve ser acessado apenas por usurios autorizados; c) no fornecer mensagens de help durante o procedimento de logon que poderiam ajudar um usurio no autorizado; d) validar as informaes de logon apenas aps terminada toda a entrada de dados. Se ocorrer uma condio de erro, o sistema no deve indicar qual parte dos dados est correta ou incorreta;
50

ISO/IEC 17799:2000(E)

e) limitar a quantidade permitida de tentativas fracassadas de logon (recomenda-se trs) e considerar: 1) registrar todas as tentativas fracassadas; 2) forar um intervalo de tempo antes que tentativas adicionais de logon sejam permitidas ou rejeitar quaisquer tentativas adicionais sem autorizao especfica; 3) desconectar as conexes de links de dados; f) limitar o tempo mnimo e mximo permitidos para o procedimento de logon. Se excedido, o sistema deve encerrar o logon; 1) data e hora do logon anterior bem-sucedido; 2) detalhes de quaisquer tentativas de logon fracassadas desde o ltimo logon bem-sucedido. 9.5.3 Identificao e autenticao de usurios Todos os usurios (incluindo equipe de suporte tcnico, tais como operadores, administradores de rede, programadores de sistema e administradores de banco de dados) devem ter um identificador exclusivo (ID de usurio) para seu uso pessoal, de modo que as atividades possam ser rastreadas at o responsvel individual. As IDs de usurio no devem dar nenhuma indicao do nvel de privilgio do usurio (ver 9.2.2), por exemplo gerente ou supervisor. Em circunstncias excepcionais, onde existir um benefcio claro para o negcio, o uso de uma ID de usurio compartilhada para um grupo de usurios ou um servio especfico pode ser adequado. A aprovao da gerncia deve ser documentada para estes casos. Controles adicionais podem ser exigidos para manter a responsabilizao. Existem vrios processos de autenticao que podem ser usados para substanciar a identidade alegada de um usurio. Senhas (ver tambm 9.3.1 e abaixo) so um modo muito usual de fornecer identificao e autenticao (I&A) baseado em um segredo que apenas o usurio conhece. O mesmo tambm pode ser conseguido atravs de meios criptogrficos e protocolos de autenticao. Objetos tais como tokens de memria ou smartcards que os usurios portem consigo tambm podem ser usados para I & A. Tecnologias de autenticao biomtrica, que usam as caractersticas nicas ou atributos de um indivduo, tambm podem ser usadas para autenticar a identidade da pessoa. Uma combinao de tecnologias e mecanismos associados de forma segura resultar em autenticao mais poderosa. 9.5.4 Sistema de gerenciamento de senhas As senhas so um dos principais meios de validar a autoridade de um usurio para acessar um servio informatizado. Sistemas de gerenciamento de senhas devem prover uma funcionalidade eficaz e interativa que assegure senhas de qualidade (ver 9.3.1 para orientao sobre o uso de senhas). Algumas aplicaes exigem que senhas sejam atribudas por uma autoridade independente. Na maioria dos casos as senhas so selecionadas e alteradas pelos usurios.

g) exibir as seguintes informaes na concluso de um logon bem-sucedido:

51

ISO/IEC 17799:2000(E)

Um bom sistema de gerenciamento de senhas deve: a) obrigar o uso de senhas individuais para manter a responsabilizao; b) onde apropriado, permitir aos usurios selecionar e alterar suas prprias senhas e incluir um procedimento de confirmao para permitir corrigir erros de digitao; c) obrigar a escolha de senhas de qualidade, como descrito no item 9.3.1; d) onde usurios alteram suas prprias senhas, obrigar alteraes de senha como descrito no item 9.3.1; e) onde os usurios selecionam as senhas, for-los a alterar senhas temporrias no primeiro logon (ver 9.2.3); f) manter um registro de senhas anteriores dos usurios, por exemplo pelos 12 meses anteriores, e impedir a reutilizao;

g) no exibir senhas na tela quando estiverem sendo digitadas; h) armazenar arquivos de senhas separadamente dos dados das aplicaes do sistema; i) j) armazenar senhas sob forma criptografada usando um algoritmo de criptografia one-way; alterar as senhas default dos fornecedores em seguida instalao dos softwares.

9.5.5 Uso de utilitrios do sistema A maioria das instalaes de computador tem um ou mais programas utilitrios de sistema que podem ser capazes de sobrepujar controles dos sistemas e aplicativos. essencial que o uso deles seja restrito e controlado risca. Os seguintes controles devem ser considerados: a) uso de procedimentos de autenticao para utilitrios de sistema; b) segregar os utilitrios dos softwares aplicativos; c) limitao do uso de utilitrios de sistema quantidade mnima praticvel de usurios autorizados e confiveis; d) autorizao para uso ad hoc de utilitrios de sistema; e) limitao da disponibilidade dos utilitrios de sistema, por exemplo pela durao de uma modificao autorizada; f) registro em log de todo uso de utilitrios de sistema; g) definir e documentar nveis de autorizao para utilitrios de sistema; h) remover todos os softwares utilitrios e softwares de sistema que sejam desnecessrios. 9.5.6 Alarme de coao para salvaguardar usurios A proviso de um alarme de coao deve ser considerada para usurios que possam ser alvo de coero. A deciso de se colocar um tal alarme deve ser baseada em uma
52

ISO/IEC 17799:2000(E)

avaliao de riscos. Devem ser definidas responsabilidades e procedimentos para responder a um alarme de coao. 9.5.7 Time-out no terminal Terminais inativos em locais de alto risco, por exemplo reas pblicas ou externas fora do gerenciamento de segurana da organizao, ou servindo a sistemas de alto risco, devem ser desligados (shut-down) aps um perodo definido de inatividade, para impedir o acesso de pessoas no autorizadas. Este recurso deve limpar a tela do terminal e fechar as sesses do aplicativo e da rede aps um perodo definido de inatividade. O intervalo de tempo deve refletir os riscos de segurana da rea e dos usurios do terminal. Uma forma limitada de facilidade de time-out de terminal pode ser fornecida em alguns PCs que limpam a tela e impedem o acesso no autorizado mas no fecham as sesses da rede ou do aplicativo. 9.5.8 Limitao de tempo de conexo Restries nos tempos de conexo devem fornecer segurana adicional para aplicaes de alto risco. Limitar o perodo durante o qual so permitidas conexes de terminal a servios informatizados reduz a janela de oportunidade para acesso no autorizado. Um tal controle deve ser considerado para aplicaes sensveis de computador, especialmente aquelas com terminais instalados em locais de alto risco, tais como reas pblicas ou externas que esto fora do gerenciamento de segurana da organizao. Exemplos de tais restries incluem: a) usar slots de tempo predeterminados, por exemplo para transmisses de arquivo em batch ou sesses interativas normais de curta durao; b) restringir horrios de conexo s horas normais de expediente se no houver necessidade de horas extras ou operao em horrio estendido. 9.6 Controle de Acesso s Aplicaes

Objetivo: Impedir acesso no autorizado s informaes mantidas nos sistemas de informao. Os recursos de segurana devem ser usados para restringir o acesso dentro dos sistemas aplicativos. O acesso lgico ao software e s informaes deve ser restrito aos usurios autorizados. Os sistemas aplicativos devem: a) controlar o acesso dos usurios s informaes e funes do sistema aplicativo, de acordo com uma poltica de controle de acesso definida; b) fornecer proteo contra acesso no autorizado para qualquer software utilitrio e de sistema operacional que seja capaz de fazer override nos controles do sistema ou aplicativo; c) no comprometer a segurana de outros sistemas com os quais sejam compartilhados recursos de informao; d) ter capacidade de fornecer acesso s informaes apenas para o proprietrio, outros indivduos nomeados autorizados ou grupos de usurios definidos.
53

ISO/IEC 17799:2000(E)

9.6.1 Restrio de acesso s informaes Usurios de sistemas aplicativos, incluindo a equipe de suporte, devem receber acesso s informaes e funes dos sistemas aplicativos de acordo com uma poltica predefinida de controle de acesso, baseada nos requisitos individuais das aplicaes do negcio e consistente com a poltica organizacional de acesso a informaes (ver 9.1). A aplicao dos seguintes controles deve ser considerada de forma a suportar as exigncias de restrio de acesso: a) fornecer menus para controlar o acesso a funes dos sistemas aplicativos; b) restringir o conhecimento dos usurios sobre informaes ou funes dos sistemas aplicativos que eles no esto autorizados a acessar, com censura apropriada da documentao de usurio; c) controlar os direitos de acesso dos usurios, como ler, gravar, apagar ou executar; d) garantir que as sadas produzidas pelos sistemas aplicativos, que tratam informaes sensveis, contenham apenas as informaes que so relevantes para o uso das sadas e sejam enviadas apenas para terminais e locais autorizados, incluindo reviso peridica de tais sadas para garantir que informaes redundantes sejam removidas. 9.6.2 Isolamento de sistemas sensveis Sistemas sensveis podem exigir um ambiente computacional dedicado (isolado). Alguns sistemas aplicativos so suficientemente sensveis a perdas potenciais a ponto de exigir tratamento especial. A sensibilidade pode indicar que o sistema aplicativo deve ser executado em um computador dedicado, deve compartilhar recursos apenas com sistemas aplicativos confiveis ou no ter limitaes. As seguintes consideraes se aplicam: a) A sensibilidade de um sistema aplicativo deve ser explicitamente identificada e documentada pelo proprietrio da aplicao (ver 4.1.3). b) Quando uma aplicao sensvel executada em um ambiente compartilhado, os sistemas aplicativos com os quais ela compartilhar recursos devem ser identificados e acordados com o proprietrio da aplicao sensvel. 9.7 Monitorando o acesso e o uso do sistema

Objetivo: Detectar atividades no autorizadas. Os sistemas devem ser monitorados para detectar desvios da poltica de controle de acesso e registrar eventos monitorveis para fornecer provas no caso de incidentes de segurana. O monitoramento do sistema permite que a eficcia dos controles adotados seja verificada e que a conformidade com o modelo de poltica de acesso (ver 9.1) seja confirmada.

54

ISO/IEC 17799:2000(E)

9.7.1 Registro de eventos em log Logs para auditoria, que registrem excees e outros eventos relevantes para a segurana, devem ser produzidos e mantidos por um perodo acordado para auxiliar investigaes futuras e monitorar controle de acessos. Os logs para auditoria devem incluir tambm: a) IDs de usurios b) datas e horrios de logon e logoff; c) identidade ou localizao do terminal, se possvel; d) registros das tentativas de acesso ao sistema, bem-sucedidas e rejeitadas; e) registros das tentativas de acesso a dados e outros recursos, bem-sucedidas e rejeitadas. Pode ser exigido que determinados logs de auditoria sejam arquivados como parte da poltica de reteno de registros ou devido necessidade de coletar provas (ver tambm clusula 12). 9.7.2 Monitorando o uso do sistema 9.7.2.1 Procedimentos e reas de risco

Devem ser implantados procedimentos para monitorar o uso de facilidades de processamento de informaes. Tais procedimentos so necessrios para garantir que os usurios estejam executando apenas atividades que foram explicitamente autorizadas. O nvel de monitoramento exigido para as facilidades individuais deve ser determinado por uma avaliao de riscos. As reas que devem ser consideradas incluem: a) acesso autorizado, incluindo detalhes tais como: 1) a ID do usurio; 2) a data e o horrio de eventos importantes; 3) os tipos de eventos; 4) os arquivos acessados; 5) o programa/utilitrios usados; b) todas operaes privilegiadas, tais como: 1) uso de uma conta de supervisor; 2) incio (start-up) e fim (stop) do sistema; 3) attach/detach de dispositivo de I/O; c) tentativas de acesso no autorizadas, tais como: 1) tentativas fracassadas; 2) violaes da poltica de acesso e notificaes para gateways e firewalls da rede; 3) alertas originados por sistemas proprietrios de deteco de intruso; d) alertas ou falhas de sistema tais como:

55

ISO/IEC 17799:2000(E)

1) mensagens ou alertas de console; 2) excees de log do sistema 3) alarmes de gerenciamento da rede. 9.7.2.2 Fatores de risco

O resultado do monitoramento das atividades deve ser examinado regularmente. A freqncia do exame depende dos riscos envolvidos. Os fatores de risco que devem ser considerados incluem: a) a criticalidade dos processos das aplicaes; b) o valor, confidencialidade ou criticalidade das informaes envolvidas; c) a experincia passada de infiltrao e m utilizao do sistema; d) a extenso das interconexes do sistema (particularmente redes pblicas). 9.7.2.3 Registrando e revisando eventos

Uma reviso do log de eventos envolve o entendimento das ameaas enfrentadas pelo sistema e da maneira como elas surgem. Exemplos de eventos que podem exigir investigao adicional no caso de incidentes de segurana so apresentados no item 9.7.1. Os logs de sistema geralmente contm um grande volume de informaes, muitas das quais so irrelevantes para o monitoramento do sistema. Para ajudar a identificar os eventos significativos para os fins de monitoramento de segurana, deve ser considerada a cpia automtica dos tipos de mensagens apropriados para um segundo log, e/ou o uso de utilitrios de sistema adequados ou ferramentas de auditoria para executar o exame do arquivo. Quando for feita a alocao de responsabilidade para reviso do log, deve ser considerada uma separao de papis entre as pessoas que executam a reviso e aquelas cujas atividades esto sendo monitoradas. Ateno particular deve ser dada segurana do recurso de log, porque se adulterado ele pode dar uma falsa sensao de segurana. Os controles devem ter como objetivo proteger contra alteraes no autorizadas e problemas operacionais, incluindo: a) o recurso de log ser desativado; b) alteraes nos tipos de mensagens que so gravadas; c) arquivos logs serem alterados ou apagados; d) a mdia do arquivo log esgotar o espao e deixar de gravar os eventos ou sobrescrever registros j gravados. 9.7.3 Sincronizao de relgios O acerto correto dos relgios dos computadores importante para assegurar a exatido dos logs para auditoria, que podem ser exigidos para investigaes ou como prova em casos legais ou disciplinares. Logs de auditoria inexatos podem atrapalhar tais investigaes e prejudicar a credibilidade de tais provas.

56

ISO/IEC 17799:2000(E)

Onde um computador ou dispositivo de comunicao tiver a capacidade de operar um relgio tempo-real, ele deve ser colocado em um padro acordado, por exemplo Tempo Universal Coordenado (UCT) ou tempo padro local. Uma vez que alguns relgios podem desviar com o tempo, deve existir um procedimento para verificar e corrigir qualquer variao significativa. 9.8 Computao mvel e trabalho distncia

Objetivo: Assegurar segurana de informaes no uso de computadores portteis e facilidades de trabalho distncia. A proteo exigida deve ser compatvel com os riscos que estes modos de trabalho especficos podem causar. Quando se usa computador porttil, os riscos de trabalhar em um ambiente no protegido devem ser considerados e a proteo apropriada deve ser aplicada. No caso de trabalho distncia, a organizao deve aplicar proteo ao local onde realizado o trabalho distncia e assegurar que condies adequadas estejam vigorando para este modo de trabalho. 9.8.1 Computadores portteis Quando se usa facilidades de computao mvel, tais como notebooks, palmtops, laptops e telefones mveis, cuidado especial deve ser tomado para garantir que as informaes da organizao no sejam comprometidas. Uma poltica formal deve ser adotada, levando em considerao os riscos de se trabalhar com facilidades de computao mvel, em particular em ambientes no protegidos. Por exemplo, tal poltica deve incluir os requisitos de proteo fsica, controles de acesso, tcnicas criptogrficas, backups e proteo contra vrus. Esta poltica tambm deve incluir regras e conselhos sobre a conexo de dispositivos mveis a redes e orientao sobre o uso desses dispositivos em locais pblicos. Deve-se tomar cuidado quando se usa dispositivos portteis de computao em locais pblicos, salas de reunio e outras reas no protegidas fora das instalaes fsicas da organizao. Proteo deve estar implementada para evitar acesso no autorizado ou divulgao das informaes armazenadas e processadas por estes dispositivos, por exemplo usando tcnicas de criptografia (ver 10.3). importante que, quando tais dispositivos forem usados em locais pblicos, seja tomado cuidado para evitar o risco de bisbilhotagem por pessoas no autorizadas. Procedimentos contra software malicioso devem ser implementados e devem ser mantidos sempre atualizados (ver 8.3). Deve estar disponvel equipamento para possibilitar o backup rpido e fcil das informaes. Estes backups devem receber proteo adequada contra roubo ou perda de informao, por exemplo. Proteo adequada deve ser fornecida para uso de dispositivos portteis conectados a redes. O acesso remoto s informaes da organizao atravs de rede pblica usando dispositivos portteis somente deve ocorrer aps identificao e autenticao bemsucedidas, e com mecanismos adequados de controle de acesso em vigor (ver 9.4). Dispositivos de computao mvel tambm devem ser fisicamente protegidos contra roubo, especialmente quando deixados, por exemplo em carros e outros meios de transporte, quartos de hotel, centros de conferncia e locais de reunio. Equipamentos que carregam informaes importantes, confidenciais e/ou crticas para o negcio no
57

ISO/IEC 17799:2000(E)

devem ser deixados desacompanhados e, onde possvel, devem ser fisicamente trancados em outro lugar, ou trancas especiais devem ser usadas para proteger o equipamento. Mais informaes sobre proteo fsica de equipamentos mveis podem ser encontradas no item 7.2.5. Deve ser feito um treinamento com a equipe que utiliza dispositivos portteis para despertar sua conscientizao sobre os riscos adicionais resultantes desta forma de trabalho e sobre os controles que devem ser implementados. 9.8.2 Trabalho distncia O trabalho distncia usa tecnologia de telecomunicaes para permitir aos funcionrios trabalhar remotamente a partir de um local fixo, fora de sua organizao. Proteo adequada do local do trabalho distncia deve ser implementada contra, por exemplo, o roubo do equipamento e de informaes, a divulgao no autorizada de informaes, o acesso remoto no autorizado aos sistemas internos da organizao ou utilizao indevida dos equipamentos. importante que o trabalho distncia seja autorizado e controlado pela gerncia, e que arranjos adequados estejam vigorando para este modo de trabalho. As organizaes devem considerar o desenvolvimento de uma poltica, procedimentos e padres para controlar as atividades de trabalho distncia. As organizaes somente devem autorizar o trabalho distncia se elas estiverem satisfeitas que os arranjos de segurana e controles apropriados esto implantados e que estes obedecem poltica de segurana da organizao. O seguinte deve ser considerado: a) a segurana fsica existente do local de trabalho distncia, levando em conta a segurana fsica do edifcio e do ambiente local; b) o ambiente proposto para o trabalho distncia; c) os requisitos de segurana de comunicaes, levando em conta a necessidade de acesso remoto aos sistemas internos da organizao, a confidencialidade das informaes que sero acessadas e transmitidas pelo link de comunicao e a confidencialidade do sistema interno; d) a ameaa de acesso no autorizado a informaes ou recursos por outras pessoas usando as acomodaes, tais como familiares e amigos. Os controles e arranjos a serem considerados incluem: a) a proviso de equipamento e mobilirio adequados para as atividades de trabalho distncia; b) uma definio do trabalho permitido, das horas de trabalho, da classificao das informaes que podem ser retidas e dos sistemas e servios internos que o funcionrio que trabalha distncia est autorizado a acessar; c) a proviso de equipamento de comunicao adequado, incluindo mtodos para tornar seguro o acesso remoto; d) segurana fsica; e) regras e orientao sobre o acesso de familiares e visitantes ao equipamento e s informaes; f) a proviso de suporte e manuteno para o hardware e o software;
58

ISO/IEC 17799:2000(E)

g) os procedimentos para backup e continuidade do negcio; h) auditoria e monitoramento de segurana; i) revogao de autoridade, direitos de acesso e a devoluo do equipamento quando cessarem as atividades de trabalho distncia.

10
10.1

Desenvolvimento e manuteno de sistemas

Requisitos de segurana nos sistemas

Objetivo: Assegurar que a segurana seja embutida nos sistemas de informaes. Isto incluir infra-estrutura, aplicaes do negcio e aplicaes desenvolvidas pelos usurios. O projeto e a implementao do processo corporativo que d suporte aplicao ou ao servio pode ser crucial para a segurana. Os requisitos de segurana devem ser identificados e acordados antes do desenvolvimento de sistemas de informao. Todos os requisitos de segurana, incluindo a necessidade de arranjos para fallback, devem ser identificados na fase de requisitos de um projeto e justificados, acordados e documentados como parte do business case geral para um sistema de informaes. 10.1.1 Anlise e especificao dos requisitos de segurana Os relatrios com os requisitos do negcio para novos sistemas, ou melhorias em sistemas existentes, devem especificar as necessidades de controles. Tais especificaes devem considerar os controles automatizados a serem incorporados no sistema e a necessidade de suportar controles manuais. Consideraes similares devem ser aplicadas ao se avaliar pacotes de software para aplicaes do negcio. Se considerado apropriado, a gerncia pode desejar utilizar produtos certificados e avaliados de forma independente. Os requisitos de segurana e controles devem refletir o valor para o negcio dos ativos de informao envolvidos e o prejuzo potencial para o negcio, que poderia resultar de uma falha ou ausncia de segurana. A base para se analisar os requisitos de segurana e identificar os controles para satisfaz-los a avaliao de riscos e gerenciamento de riscos. Os controles introduzidos no estgio de projeto so significativamente mais baratos de se implementar e manter do que aqueles includos durante ou aps a implementao. 10.2 Segurana em sistemas aplicativos

Objetivo: Impedir perda, modificao ou m utilizao de dados dos usurios em sistemas aplicativos. Controles apropriados e audit trails ou logs de atividade devem ser projetados nos sistemas aplicativos, incluindo aplicativos escritos pelos usurios. Estes devem incluir a validao de dados de entrada, dados de processamento interno e dados de sada.

59

ISO/IEC 17799:2000(E)

Controles adicionais podem ser exigidos para sistemas que processam, ou tm impacto em, ativos confidenciais, valiosos ou crticos da organizao. Tais controles devem ser determinados com base nos requisitos do sistema e na avaliao de riscos. 10.2.1 Validao dos dados de entrada A entrada de dados para os sistemas aplicativos deve ser validada para garantir que est correta e apropriada. Verificaes devem ser aplicadas entrada de transaes comerciais, dados cadastrais (nomes e endereos, limites de crdito, nmeros de referncia de clientes) e tabelas de parmetros (listas de preos, taxas de converso de moeda, taxas de impostos). Os seguintes controles devem ser considerados: a) entrada dupla ou outras verificaes de entrada para detectar os seguintes erros: 1) valores fora da faixa; 2) caracteres invlidos nos campos de dados; 3) dados no informados ou incompletos; 4) limites inferior e superior de volumes de dados excedidos; 5) dados de controle no autorizados ou inconsistentes; b) reviso peridica do contedo dos campos-chaves ou arquivos de dados mais importantes, para confirmar sua validade e integridade; c) inspecionar documentos de entrada impressos quanto a quaisquer alteraes no autorizadas nos dados de entrada (todas as alteraes em documentos de entrada devem ser autorizadas); d) procedimentos para responder a erros de validao; e) procedimentos para testar a plausibilidade dos dados de entrada; f) definir as responsabilidades de todo o pessoal envolvido no processo de entrada de dados.

10.2.2 Controle do processamento interno 10.2.2.1 reas de risco

Dados que foram entrados corretamente podem ser corrompidos por erros de processamento ou atravs de atos deliberados. Verificaes para validao devem ser incorporadas nos sistemas para detectar tal corrompimento. O projeto das aplicaes deve assegurar que sejam implementadas restries para minimizar o risco de falhas de processamento que levem a uma perda de integridade. As reas especficas a serem consideradas incluem: a) o uso e a localizao nos programas de funes de incluso e excluso para implementar alteraes nos dados; b) os procedimentos para impedir que os programas executem na ordem errada ou executem aps falha de um processamento anterior (ver tambm 8.1.1); c) o uso de programas corretos para recuperar de falhas e garantir o processamento correto dos dados.

60

ISO/IEC 17799:2000(E)

10.2.2.2

Verificaes e controles

Os controles exigidos dependero da natureza do aplicativo e do impacto nos negcios causados por quaisquer dados corrompidos. Exemplos de verificaes que podem ser incorporadas incluem os seguintes: a) controles de sesso ou de lotes, para conciliar arquivos de dados aps atualizaes de transaes; b) fechamento dos controles, para verificar saldos inicias contra saldos finais anteriores, a saber: 1) controles de execuo-para-execuo 2) totais da atualizao dos arquivos; 3) controles de programa-para-programa; c) validao de dados gerados pelo sistema (ver 10.2.1); d) verificaes da integridade de dados ou softwares transmitidos ou recebidos, entre computadores central e remotos (ver 10.3.3); e) totais hash de registros e arquivos; f) verificaes para assegurar que os programas aplicativos sejam executados na hora correta;

g) verificaes para assegurar que os programas sejam executados na ordem correta e encerrados no caso de uma falha, e que processamento posterior seja suspenso at o problema ser resolvido. 10.2.3 Autenticao de mensagens Autenticao de mensagens uma tcnica usada para detectar alteraes no autorizadas ou corrompimento dos contedos de uma mensagem transmitida eletronicamente. Ela pode ser implementada em hardware ou software que suporte um dispositivo fsico de autenticao de mensagens ou um algoritmo de software. Autenticao de mensagens deve ser considerada para aplicativos onde exista uma necessidade de segurana para proteger a integridade do contedo das mensagens; por exemplo, transferncia eletrnica de fundos, especificaes, contratos e propostas com alta importncia ou outros intercmbios de dados eletrnicos similares. Uma avaliao dos riscos de segurana deve ser efetuada para determinar se exigida autenticao de mensagens e para identificar o mtodo mais apropriado de implementao. Autenticao de mensagens no se destina a proteger os contedos de uma mensagem contra divulgao no autorizada. Tcnicas de criptografia (ver 10.3.2 e 10.3.3) podem ser usadas como um meio adequado de implementar autenticao de mensagens. 10.2.4 Validao dos dados de sada A sada de dados de um sistema aplicativo deve ser validada para garantir que o processamento de informaes armazenadas seja correto e apropriado s circunstncias. Geralmente, os sistemas so construdos baseado na premissa de que

61

ISO/IEC 17799:2000(E)

tendo havido validao apropriada, confirmao e testes, a sada ser sempre correta. Isto no sempre verdadeiro. A validao das sadas pode incluir: a) verificaes de plausibilidade para testar se os dados da sada so razoveis; b) contadores de controle para conciliao, para assegurar o processamento de todos os dados; c) fornecer informaes suficiente para que um leitor ou um sistema de processamento subsequente possa determinar a exatido, a inteireza, a preciso e a classificao das informaes; d) procedimentos para responder aos testes de validao de sada; e) definir as responsabilidades de todo o pessoal envolvido no processo de sada de dados. 10.3 Controles criptogrficos

Objetivo: Proteger a confidencialidade, autenticidade ou integridade das informaes. Sistemas e tcnicas criptogrficas devem ser usados para a proteo das informaes que sejam consideradas em risco e para as quais outros controles no propiciam proteo adequada. 10.3.1 Poltica para o uso de controles criptogrficos A tomada de deciso sobre se uma soluo criptogrfica apropriada deve ser vista como uma parte de um processo mais amplo de avaliao de riscos e seleo de controles. Uma avaliao de riscos deve ser efetuada para determinar o nvel de proteo que as informaes devem receber. Esta avaliao pode ento ser usada para determinar se um controle criptogrfico apropriado, que tipo de controle deve ser aplicado e para quais propsitos e processos do negcio. Uma organizao deve desenvolver uma poltica sobre o uso de controles criptogrficos para proteo de suas informaes. Uma tal poltica necessria para maximizar os benefcios e minimizar os riscos de usar tcnicas criptogrficas, e evitar uso inapropriado ou incorreto. No desenvolvimento desta poltica, o seguinte deve ser considerado: a) a abordagem gerencial quanto ao uso de controles criptogrficos em toda a organizao, incluindo os princpios gerais sob os quais as informaes do negcio devem ser protegidas; b) a abordagem para o gerenciamento de chaves, incluindo mtodos para lidar com a recuperao de informaes criptografadas no caso de chaves perdidas, comprometidas ou danificadas; c) papis e responsabilidades, por exemplo quem responsvel por: d) a implementao da poltica; e) o gerenciamento das chaves; f) como deve ser determinado o nvel de proteo criptogrfica apropriado;

62

ISO/IEC 17799:2000(E)

g) os padres a serem adotados para a implementao efetiva em toda a organizao (qual soluo ser usada para quais processos do negcio). 10.3.2 Criptografia Criptografia uma tcnica que pode ser usada para proteger a confidencialidade das informaes. Ele deve ser considerada para proteo de informaes sensveis ou crticas. O nvel requerido de proteo deve ser identificado com base em uma avaliao de riscos, levando-se em conta o tipo e a qualidade do algoritmo de criptografia usado e a tamanho das chaves criptogrficas a serem usadas. Ao se implementar a poltica de criptografia da organizao, devem ser considerados os regulamentos e as restries nacionais que podem se aplicar ao uso de tcnicas criptogrficas em diferentes partes do mundo e s questes de fluxo de informaes criptografadas entre pases. Alm disso, deve ser dada considerao aos controles que se aplicam exportao e importao de tecnologia criptogrfica (ver tambm 12.1.6). Deve ser buscada consultoria especializada para identificar o nvel de proteo apropriado, para selecionar produtos adequados que fornecero a proteo requerida e a implementao de um sistema seguro de gerenciamento de chaves (ver tambm 10.3.5). Alm disso, pode ser necessrio buscar consultoria jurdica relacionada s leis e regulamentos que possam se aplicar ao uso que a organizao pretende fazer da criptografia. 10.3.3 Assinaturas digitais As assinaturas digitais fornecem um meio de proteger a autenticidade e a integridade de documentos eletrnicos. Por exemplo, elas podem ser usados no comrcio eletrnico, onde houver necessidade de confirmar quem assinou um documento eletrnico e de verificar se os contedos do documento assinado foram alterados. Assinaturas digitais podem ser aplicadas a qualquer forma de documento processado eletronicamente; por exemplo, elas podem ser usadas para assinar pagamentos eletrnicos, transferncias de fundos, contratos e acordos. Assinaturas digitais podem ser implementadas usando uma tcnica criptogrfica baseada em um par de chaves relacionadas de forma nica, onde uma chave usada para criar a assinatura (a chave privada) e a outra para verificar a assinatura (a chave pblica). Deve ser tomado cuidado para proteger a confidencialidade da chave privada. Esta chave deve ser mantida em segredo, j que qualquer um que tenha acesso a esta chave pode assinar documentos, como pagamentos e contratos, falsificando desta forma a assinatura do proprietrio daquela chave. Alm disso, proteger a integridade da chave pblica importante. Esta proteo fornecida pelo uso de um certificado de chave pblica (ver 10.3.5). preciso levar em considerao o tipo e a qualidade do algoritmo de assinatura usado e o tamanho das chaves a serem usadas. As chaves criptogrficas usadas para assinaturas digitais devem ser diferentes daquelas usadas para criptografia de dados (ver 10.3.2).

63

ISO/IEC 17799:2000(E)

Quando se usar assinaturas digitais, deve ser levada em considerao qualquer legislao pertinente que descreva as condies sob as quais uma assinatura digital legalmente vlida. Por exemplo, no caso de comrcio eletrnico importante conhecer a situao legal de assinaturas digitais. Pode ser necessrio ter contratos legalmente vlidos ou outros acordos para suportar o uso de assinaturas digitais onde o embasamento legal for inadequado. Deve ser buscada consultoria jurdica sobre as leis e regulamentos que possam se aplicar ao uso que a organizao pretende fazer das assinaturas digitais. 10.3.4 Servios de no-repudiao Servios de no-repudiao devem ser usados, onde possa ser necessrio, para resolver disputas sobre a ocorrncia ou no ocorrncia de um evento ou ao, por exemplo uma disputa envolvendo o uso de uma assinatura digital em um contrato ou pagamento eletrnico. Eles podem ajudar a estabelecer provas para substanciar se um determinado evento ou ao ocorreu, por exemplo negao de envio de uma instruo assinada eletronicamente usando correio eletrnico. Estes servios so baseados no uso de tcnicas de criptografia e assinatura digital (ver tambm 10.3.2 e 10.3.3). 10.3.5 Gerenciamento de chaves 10.3.5.1 Proteo de chaves criptogrficas

O gerenciamento das chaves criptogrficas essencial para o uso eficaz das tcnicas de criptografia. Qualquer comprometimento ou perda das chaves criptogrficas pode levar a um comprometimento da confidencialidade, autenticidade e/ou integridade das informaes. Um sistema de gerenciamento deve ser implantado para dar suporte organizao no uso dos dois tipos de tcnicas criptogrficas, que so: a) tcnicas de chave secreta, onde duas ou mais partes compartilham a mesma chave e esta chave usada tanto para criptografar quanto para descriptografar as informaes. Esta chave tem que ser mantida secreta uma vez que qualquer um que tenha acesso a ela capaz de descriptografar todas as informaes que foram codificadas com esta chave, ou introduzir informaes no autorizadas; b) tcnicas de chave pblica, onde cada usurio tem um par de chaves, uma chave pblica (que pode ser revelada a qualquer um) e uma chave privada (que tem que ser mantida em segredo). As tcnicas de chave pblica podem ser usadas para criptografia (ver 10.3.2) e para produzir assinaturas digitais (ver 10.3.3). Todas as chaves devem ser protegidas contra modificao e destruio, e chaves secretas e privadas precisam de proteo contra divulgao no autorizada. Tcnicas criptogrficas tambm podem ser usadas para este propsito. Proteo fsica deve ser usada para proteger o equipamento usado para gerar, armazenar e arquivar as chaves. 10.3.5.2 Padres, procedimentos e mtodos

Um sistema de gerenciamento de chaves deve ser baseado em um conjunto acordado de padres, procedimentos e mtodos seguros para: a) gerar chaves para sistemas criptogrficos diferentes e aplicaes diferentes;

64

ISO/IEC 17799:2000(E)

b) gerar e obter certificados de chaves pblicas; c) distribuir chaves para os usurios pretendidos, incluindo como as chaves devem ser ativadas ao serem recebidas; d) armazenar chaves, incluindo como os usurios autorizados obtero acesso s chaves; e) alterar ou atualizar chaves, incluindo regras sobre quando as chaves devem ser mudadas e como isto ser feito; f) revogar chaves, incluindo como as chaves devem ser retomadas ou desativadas, por exemplo quando as chaves forem comprometidas ou quando um usurio deixar a organizao (em cujo caso as chaves tambm deve ser colocadas em archive);

g) recuperar chaves que esto perdidas ou corrompidas como parte do gerenciamento da continuidade do negcio; por exemplo. para recuperao de informaes criptografadas; h) guardar chaves em archives, por exemplo, para informaes que esto gravadas em archives ou em backups. i) j) destruir chaves; log e auditoria de atividades relacionadas com gerenciamento de chaves.

Para reduzir a probabilidade de comprometimento, as chaves devem ter datas definidas de ativao e desativao de modo que possam ser usadas apenas por um perodo limitado de tempo. Este perodo de tempo deve ser dependente das circunstncias em que o controle criptogrfico est sendo usado e do risco percebido. Pode ser necessrio considerar procedimentos para tratar solicitaes legais de acesso s chaves criptogrficas; por exemplo, pode ser necessrio disponibilizar informaes criptografadas em formato descriptografado como prova em uma questo na justia. Alm da questo de chaves secretas e privadas gerenciadas de forma segura, a proteo das chaves pblicas tambm deve ser considerada. Existe uma ameaa de algum forjar uma assinatura digital substituindo uma chave pblica do usurio por uma chave sua. Este problema tratado pelo uso de um certificado de chave pblica. Estes certificados devem ser produzidos de uma maneira que associe informaes relativas ao proprietrio do par de chaves pblica/privada com a chave pblica. Portanto, importante que se possa confiar no processo de gerenciamento que gera estes certificados. Este processo normalmente conduzido por uma autoridade de certificao, que deve ser uma organizao reconhecida com controles adequados e procedimentos implantados para propiciar o grau exigido de confiana. Os contedos de acordos ou contratos de nveis de servio com fornecedores externos de servios criptogrficos, como uma autoridade de certificao, devem cobrir as questes de responsabilidades, confiabilidade dos servios e tempos de resposta para o provimento dos servios (ver 4.2.2).

65

ISO/IEC 17799:2000(E)

10.4

Segurana de arquivos do sistema

Objetivo: Assegurar que os projetos de IT e atividades de suporte sejam conduzidos de uma forma segura. O acesso aos arquivos do sistema deve ser controlado. Manter a integridade do sistema deve ser responsabilidade da funo usuria ou grupo de desenvolvimento ao qual o sistema aplicativo ou software pertence. 10.4.1 Controle de software operacional Deve ser fornecido controle para a implementao de software em sistemas operacionais. Para minimizar os riscos de corrupo de sistemas operacionais, os seguintes controles devem ser considerados: a) A atualizao de bibliotecas de programas operacionais deve ser executada somente por um bibliotecrio indicado sob autorizao da gerncia apropriada (ver 10.4.3). b) Se possvel, os sistemas operacionais devem ter apenas cdigo executvel. c) O cdigo executvel no deve ser implementado em um sistema operacional at prova de que os testes foram bem-sucedidos e de que a aceitao do usurio foi obtida, e de que as correspondentes bibliotecas-fontes de programas foram atualizadas; d) Deve ser mantido um log para auditoria de todas as atualizaes feitas nas bibliotecas de programas operacionais. e) Verses anteriores do software devem ser guardadas como medida de contingncia. Software usado em sistemas operacionais, que seja fornecido pelo revendedor, deve ser mantido em um nvel no qual o fornecedor d suporte. Qualquer deciso de fazer upgrade para uma nova verso deve levar em conta a segurana da verso, isto , a introduo de nova funcionalidade de segurana ou a quantidade e a severidade dos problemas de segurana que afetam esta verso. Software patches devem ser aplicados onde puderem ajudar a remover ou reduzir fraquezas na segurana. Acesso lgico ou fsico deve ser dado aos fornecedores apenas para fins de suporte quando necessrio, e com a aprovao da gerncia. As atividades do fornecedor devem ser monitoradas. 10.4.2 Proteo de dados usados em teste de sistemas Dados de teste devem ser protegidos e controlados. Os testes e a aceitao de sistemas geralmente exigem volumes substanciais de dados de teste que sejam o mais parecido possvel com os dados operacionais. O uso de bancos de dados operacionais contendo informaes pessoais deve ser evitado. Se tais informaes forem usadas, elas devem ser despersonalizadas antes do uso. Os seguintes controles devem ser aplicados para proteger dados operacionais, quando usados para fins de teste:

66

ISO/IEC 17799:2000(E)

a) Os procedimentos de controle de acesso, que se aplicarem aos sistemas aplicativos de produo, tambm devem ser aplicados aos sistemas aplicativos de teste. b) Deve haver autorizao separada a cada vez que informaes de produo forem copiadas para um sistema aplicativo de teste. c) Informaes de produo devem ser apagadas do sistema aplicativo de teste imediatamente aps o teste estar concludo. d) A cpia e o uso de informaes de produo deve ser registrada em log para fornecer uma audit trail. 10.4.3 Controle de acesso biblioteca-fonte de programas Para reduzir o potencial de corrompimento de programas de computador, deve ser mantido um controle estrito sobre o acesso s bibliotecas-fontes de programas, como se segue (ver tambm 8.3). a) Onde possvel, as bibliotecas-fontes de programas no devem ser mantidas nos sistemas operacionais; b) Um bibliotecrio para os programas deve ser nomeado para cada aplicao. c) A equipe de suporte de IT no deve ter acesso irrestrito s bibliotecas-fontes de programas. d) Programas em manuteno ou em desenvolvimento no devem ser mantidos em bibliotecas-fontes de programas de produo. e) A atualizao de bibliotecas-fontes de programas e a emisso de fontes de programas para os programadores devem ser executadas apenas pelo bibliotecrio nomeado, com autorizao do gerente de suporte de IT para a aplicao. f) Listagens de programas devem ser guardadas em um ambiente seguro (ver 8.6.4).

g) Deve ser mantido um log para auditoria de todos os acessos s bibliotecasfontes de programas. h) Verses antigas de programas-fontes devem ser gravadas em archives, com uma indicao clara das datas e horrios exatos de quando eles estavam operacionais, juntamente com todo o software de apoio, job control, definies de dados e procedimentos. i) A manuteno e cpia de bibliotecas-fontes de programas devem estar sujeitas a procedimentos estritos de controle de alteraes (ver 10.4.1).

67

ISO/IEC 17799:2000(E)

10.5

Segurana nos processos de desenvolvimento e suporte

Objetivo: Manter a segurana dos softwares e das informaes de sistemas aplicativos. Os ambientes de projeto e suporte devem ser estritamente controlados. Os gerentes responsveis pelos sistemas aplicativos tambm devem ser responsveis pela segurana do ambiente de projeto ou suporte. Eles devem assegurar que todas as alteraes propostas nos sistemas sejam revisadas para verificar se elas no comprometem a segurana do sistema ou do ambiente operacional. 10.5.1 Procedimentos para controle de alteraes Para minimizar o corrompimento dos sistemas de informao, deve existir um controle estrito sobre a implementao de alteraes. Procedimentos formais para controle de alteraes devem ser obrigatrios. Eles devem garantir que os procedimentos de controle e segurana no sejam comprometidos, que os programadores do suporte recebam acesso apenas quelas partes do sistema necessrias para seu trabalho, e que sejam obtidos um acordo e uma aprovao formais para cada alterao. Alterar software aplicativo pode impactar o ambiente operacional. Sempre que praticvel, os procedimentos de controle de alteraes operacionais e de aplicativos devem ser integrados (ver tambm 8.1.2). Este processo deve incluir: a) manter um registro dos nveis de autorizao acordados; b) assegurar que as alteraes sejam submetidas por usurios autorizados; c) revisar procedimentos de controle e de integridade para garantir que eles no sero comprometidos pela alteraes; d) identificar todos os softwares de computador, as informaes, as entidades de bancos de dados e hardware que precisam de modificao; e) obter aprovao formal dos propsitos detalhados antes que o trabalho comece; f) assegurar que o usurio autorizado aceite as alteraes antes de qualquer implementao;

g) garantir que a implementao seja executada de forma a minimizar perturbaes no negcio; h) garantir que o conjunto de documentaes do sistema seja atualizado na concluso de cada alterao e que a documentao antiga seja arquivada ou descartada; i) j) manter um controle de verso para todos os updates de software; manter uma audit trail de todas as solicitaes de alterao;

k) assegurar que a documentao operacional (ver 8.1.1) e os procedimentos dos usurios sejam alterados conforme necessrio para ficarem adequadas; l) assegurar que a implementao de alteraes ocorra no momento certo e no perturbe os processos do negcio envolvidos.

68

ISO/IEC 17799:2000(E)

Muitas organizaes mantm um ambiente onde os usurios testam novos softwares e que fica segregado dos ambientes de produo e desenvolvimento. Isto propicia um meio de ter controle sobre novos softwares e permite proteo adicional das informaes operacionais que sejam usadas para fins de testes. 10.5.2 Reviso tcnica de alteraes em sistemas operacionais Periodicamente, necessrio alterar o sistema operacional, por exemplo para instalar uma verso mais recente do software ou patches de alteraes. Quando as alteraes acontecem, os sistemas aplicativos devem ser revisados e testados para assegurar que no existe impacto adverso na operao ou na segurana. Este processo deve cobrir: a) reviso dos procedimentos de controle de aplicativos e integridade, para garantir que eles no foram comprometidos pelas alteraes no sistema operacional; b) garantir que o plano de suporte anual e o oramento cobriro revises e testes dos sistemas, resultantes de alteraes no sistema operacional; c) garantir que a notificao das alteraes do sistema operacional seja fornecida em tempo para permitir que ocorram revises apropriadas antes da implementao; d) garantir que as alteraes apropriadas sejam feitas nos planos de continuidade do negcio (ver clusula 11). 10.5.3 Restries para alteraes em pacotes de software Modificaes em pacotes de software devem ser desencorajadas. Tanto quanto possvel, e praticvel, pacotes de software fornecidos por revendedor devem ser usados sem modificao. Onde for considerado essencial modificar um pacote de software, os seguintes pontos devem ser considerados: a) o risco de controles embutidos e processos de integridade serem comprometidos; b) se o consentimento do revendedor deve ser obtido; c) a possibilidade de obter as alteraes desejadas do prprio revendedor como atualizaes padronizadas do software; d) o impacto se a organizao se tornar responsvel pela manuteno futura do software como resultado das alteraes. Se alteraes forem consideradas essenciais, o software original deve ser retido e as alteraes aplicadas em uma cpia claramente identificadas. Todas as alteraes devem ser completamente testadas e documentadas, de modo que possam ser reaplicadas se necessrio em upgrades futuros do software. 10.5.4 Covert channels e cdigo troiano Um covert channel pode expor informaes por alguns meios indiretos e obscuros. Ele pode ser ativado alterando-se um parmetro acessvel tanto por elementos seguros quanto inseguros de um sistema informatizado, ou embutindo-se informaes em um
69

ISO/IEC 17799:2000(E)

fluxo de dados. Cdigo troiano projetado para afetar um sistema de uma forma que no autorizada e no prontamente percebida e no solicitada pelo receptor ou usurio de um programa. Covert channels e cdigo troiano raramente ocorrem por acidente. Onde existir preocupao com covert channels ou cdigos troianos, os seguintes devem ser considerados: a) comprar programas apenas de uma fonte de renome; b) comprar programas em cdigo-fonte apenas se o cdigo puder ser verificado; c) usar produtos testados e aprovados; d) inspecionar todo o cdigo-fonte antes do uso operacional; e) controlar o acesso ao cdigo e modificaes no cdigo aps o cdigo ser instalado; f) usar equipe de confiana comprovada para trabalhar nos sistemas-chaves.

10.5.5 Desenvolvimento terceirizado de software Onde o desenvolvimento de software for terceirizado, os seguintes pontos devem ser considerados: a) contratos de licenciamento, propriedade do cdigo e direitos de propriedade intelectual (ver 12.1.2); b) certificao da qualidade e da exatido do trabalho executado; c) arranjos para servios de custdia no caso de falta da terceira parte; d) direitos de acesso para auditar a qualidade e exatido do trabalho executado; e) exigncias contratuais para um cdigo de qualidade; f) testes antes da instalao para detectar cdigo Troiano.

11
11.1

Gerenciamento da continuidade do negcio

Aspectos do gerenciamento da continuidade do negcio

Objetivo: Neutralizar interrupes nas atividades do negcio e proteger processos crticos do negcio contra os efeitos de grandes falhas ou desastres. Um processo de gerenciamento da continuidade do negcio deve ser implementado para reduzir a perturbao causada por desastres e falhas de segurana (que podem ser resultantes de, por exemplo, desastres naturais, acidentes, falhas em equipamentos e aes deliberadas) a um nvel aceitvel atravs da combinao de controles preventivos e de recuperao. As conseqncias de desastres, falhas de segurana e perda de servios devem ser analisadas. Planos de contingncia devem ser desenvolvidos e implementados para assegurar que os processos do negcio podem ser restaurados dentro das rguas de tempo exigidas. Tais planos devem ser atualizados e praticados para se tornarem uma parte integral de todos os outros processos de gerenciamento.

70

ISO/IEC 17799:2000(E)

O gerenciamento da continuidade do negcio deve incluir controles para identificar e reduzir riscos, limitar as conseqncias de incidentes prejudiciais e garantir a retomada em tempo hbil das operaes essenciais. 11.1.1 Processo de gerenciamento da continuidade do negcio Deve existir um processo gerencial em vigor para desenvolver e manter a continuidade do negcio em toda a organizao. Ele deve agregar os seguintes elementos chaves do gerenciamento da continuidade do negcio: a) entender os riscos que a organizao est enfrentando em termos de sua probabilidade e seu impacto, incluindo uma identificao e priorizao dos processos crticos do negcio; b) entender o impacto que provavelmente as interrupes tero sobre o negcio ( importante que sejam encontradas solues que trataro incidentes menores, bem como incidentes srios que poderiam ameaar a viabilidade da organizao), e estabelecer os objetivos para o negcio das facilidades de processamento de informaes; c) considerar a contratao de seguro adequado, que pode formar parte do processo de continuidade do negcio; d) formular e documentar uma estratgia de continuidade do negcio consistente com os objetivos e prioridades acordados para o negcio; e) formular e documentar planos para continuidade do negcio em linha com a estratgia acordada; f) testar e atualizar regularmente os planos e processos implementados; g) assegurar que o gerenciamento da continuidade do negcio seja incorporado aos processos e estrutura da organizao. A responsabilidade pela coordenao do processo de gerenciamento da continuidade do negcio deve ser atribuda em um nvel apropriado dentro da organizao, por exemplo no frum de segurana de informaes (ver 4.1.1). 11.1.2 Continuidade do negcio e anlise de impacto A continuidade do negcio deve comear pela identificao de eventos que possam causar interrupes nos processos do negcio, tais como falhas em equipamento, incndios e inundaes. Isto deve ser seguido por uma avaliao de riscos para determinar o impacto daquelas interrupes (tanto em termos de escala de danos quanto de perodo para recuperao). Ambas estas atividades devem ser executadas com o total envolvimento dos proprietrios dos recursos e processos do negcio. Esta avaliao considera todos os processos do negcio e no limitada s facilidades de processamento de informaes. Dependendo dos resultados da avaliao de riscos, um plano estratgico deve ser desenvolvido para determinar o enfoque global para a continuidade do negcio. Uma vez que este plano tenha sido criado, ele deve ser endossado pela gerncia.

71

ISO/IEC 17799:2000(E)

11.1.3 Definio e implementao de planos de continuidade Devem ser desenvolvidos planos para manter ou restaurar as operaes do negcio nas rguas de tempo exigidas seguintes interrupo, ou falha, nos processos crticos do negcio. O processo de planejamento da continuidade do negcio deve considerar o seguinte: a) identificao e acordo sobre todas as responsabilidades e procedimentos emergenciais; b) implementao de procedimentos emergenciais para permitir a recuperao e restaurao dentro das rguas de tempo exigidas. preciso dar ateno especial avaliao de dependncias externas do negcio e dos contratos em vigor; c) documentao dos procedimentos e processos acordados; d) educao apropriada da equipe nos procedimentos e processos para emergncias, incluindo gerenciamento de crise; e) testes e atualizao dos planos. O processo de planejamento deve focar nos objetivos requeridos do negcio, por exemplo restaurar servios especficos para clientes em um perodo de tempo aceitvel. Os servios e recursos que permitiro que isto ocorra devem ser considerados, incluindo a mo-de-obra, recursos de processamento no relacionados a informaes, bem como arranjos de fallback para as facilidades de processamento de informaes. 11.1.4 Estrutura para o planejamento da continuidade do negcio Deve ser mantida uma nica estrutura para os planos de continuidade do negcio, para garantir que todos os planos sejam consistentes e para identificar prioridades para testes e manuteno. Cada plano de continuidade do negcio deve especificar claramente as condies para sua ativao, bem como os indivduos responsveis pela execuo de cada componente do plano. Quando forem identificados novos requisitos, os procedimentos de emergncia estabelecidos, tais como planos de evacuao ou quaisquer arranjos de fallback existentes, devem ser ajustados conforme apropriado. Uma estrutura para planejamento de continuidade do negcio deve considerar o seguinte: a) as condies para ativar os planos que descrevem o processo a ser seguido (como avaliar a situao, quem deve ser envolvido, etc.) antes de cada plano ser ativado; b) procedimentos de emergncia que descrevem as aes a serem tomadas em seguida a um incidente que coloca em risco as operaes do negcio e/ou vidas humanas. Isto deve incluir arranjos para gerenciamento de relaes pblicas e para ligao eficaz com as autoridades pblicas apropriadas, tais como polcia, bombeiros e governo local; c) procedimentos de fallback que descrevem as aes a serem tomadas para transferir as atividades essenciais do negcio ou servios de apoio para locais

72

ISO/IEC 17799:2000(E)

alternativos temporrios, e para colocar os processos do negcio de volta em operao dentro das rguas de tempo exigidas; d) procedimentos de retomada que descrevem as aes a serem executadas para retornar s operaes normais do negcio; e) um cronograma de manuteno que especifica como e quando o plano ser testado, e os processos para manter atualizado o plano; f) atividades de conscientizao e educao, que sejam projetadas para criar uma compreenso dos processos de continuidade do negcio e garantir que os processos continuem a ser eficazes;

g) as responsabilidades dos indivduos, descrevendo quem responsvel por executar cada componente do plano. Alternativas devem ser indicadas conforme necessrio. Cada plano deve ter um proprietrio especfico. Procedimentos de emergncia, planos de fallback manuais e planos de retomada devem estar dentro da responsabilidade dos proprietrios dos recursos ou processos do negcio envolvidos. Arranjos de fallback para servios tcnicos alternativos, tais como facilidades de processamento de informaes e de comunicaes, devem geralmente ser de responsabilidade dos provedores dos servios. 11.1.5 Testes, manuteno e reavaliao dos planos para continuidade do negcio 11.1.5.1 Testes dos planos

Os planos para continuidade do negcio podem falhar ao serem testados, freqentemente devido a suposies incorretas, omisses ou mudanas em equipamentos ou pessoal. Portanto, eles devem ser testados regularmente para assegurar que esto atualizados e eficazes. Tais testes tambm devem garantir que todos os membros da equipe de recuperao e outras equipes relevantes estejam cientes dos planos. O cronograma de testes para o(s) plano(s) para continuidade do negcio deve indicar como e quando cada elemento do plano deve ser testado. recomendado testar os componentes individuais do(s) plano(s) freqentemente. Diversas tcnicas devem ser usadas para fornecer garantia de que os planos funcionaro na vida real. Estas tcnicas podem incluir: a) testes de mesa de diversos cenrios (discutir os arranjos para recuperao usando interrupes de exemplo); b) simulaes (particularmente para treinar pessoas em seus papis de gerenciamento ps-incidente/crise); c) testes da recuperao tcnica (garantindo que os sistemas de informao podem ser restaurados eficientemente); d) testar recuperao em um site alternativo (executando processos do negcio em paralelo com operaes de recuperao longe do site principal); e) testes das facilidades e servios de fornecimento (garantindo que servios e produtos providos externamente satisfaro o compromisso contratado);

73

ISO/IEC 17799:2000(E)

f)

ensaios completos (testando se a organizao, pessoal, equipamento, facilidades e processos conseguem lidar com interrupes).

As tcnicas podem ser usadas por qualquer organizao e devem refletir a natureza do plano de recuperao especfico. 11.1.5.2 Manuteno e reavalizao dos planos

Os planos para continuidade do negcio devem passar por revises e atualizaes regulares para garantir sua eficcia continuada (ver 11.1.5.1 at 11.1.5.3). Devem ser includos procedimentos dentro do programa de gerenciamento de mudanas da organizao para garantir que as questes relacionadas com a continuidade do negcio sejam tratadas adequadamente. Deve ser atribuda responsabilidade pelas revises regulares de cada plano para continuidade do negcio; a identificao de mudanas nos arranjos comerciais ainda no refletidas nos planos para continuidade do negcio deve ser seguida por uma atualizao adequada do plano. Este processo formal de controle de mudana (alterao) deve garantir que os planos atualizados sejam distribudos e reforados por revises regulares do plano completo. Exemplos de situaes que podem exigir a atualizao dos planos incluem a aquisio de novos equipamentos, ou upgrade de sistemas operacionais e alteraes em: a) pessoal b) endereos ou nmeros de telefone c) estratgia do negcio; d) localizao, instalaes e recursos; e) legislao; f) prestadores de servios, fornecedores e clientes importantes; g) processos, ou novos ou eliminados; h) risco (operacional e financeiro).

12
12.1

Obedincia a exigncias
Obedincia s exigncias legais

Objetivo: Evitar infrao de qualquer lei civil e criminal, estatutria, regulamentadora ou de obrigaes contratuais e de quaisquer requisitos de segurana. O projeto, operao, uso e gerenciamento de sistemas de informaes podem estar sujeitos a exigncias de segurana estatutrias, regulamentadoras e contratuais. Deve ser buscado aconselhamento sobre exigncias legais especficas com os consultores jurdicos da organizao, ou profissionais adequadamente qualificados. As exigncias da legislao variam de pas para pas e para informaes geradas em um pas que so transmitidas para outro pas (por exemplo, fluxo de dados entre pases).

74

ISO/IEC 17799:2000(E)

12.1.1 Identificao da legislao aplicvel Todas as exigncias contratuais, estatutrias e regulamentadoras relevantes devem ser explicitamente definidas e documentadas para cada sistema de informaes. Os controles especficos e as responsabilidades individuais para satisfazer estas exigncias devem estar similarmente definidos e documentados. 12.1.2 Direitos de propriedade industrial (IPR) 12.1.2.1 Copyright

Procedimentos apropriados devem ser implementados para garantir a observncia de restries legais quanto ao uso de material para o qual podem existir direitos de propriedade intelectual, tais como copyright, direitos de projeto e marcas registradas. Violao de copyrights pode levar a aes legais que podem envolver processo criminal. Exigncias legislativas, regulamentadoras e contratuais podem colocar restries quanto cpia de material proprietrio. Em particular, elas podem obrigar que apenas material que desenvolvido pela organizao, ou que licenciado ou fornecido pelo desenvolvedor para a organizao, possa ser usado. 12.1.2.2 Copyright de softwares Produtos de software proprietrios geralmente so fornecidos sob um contrato de licenciamento que limita o uso dos produtos a mquinas especificadas e pode permitir cpias apenas para a criao de backups. Os seguintes controles devem ser considerados: a) publicar uma poltica de obedincia a copyright de software, que define o uso legal dos softwares e produtos de informao; b) emitir padres para os procedimentos de aquisio de produtos de software; c) manter a conscientizao sobre as polticas de copyright e de aquisio de softwares, e notificar a inteno de tomar medidas disciplinares contra pessoas que as infringirem; d) manter registros apropriados dos ativos; e) manter comprovante e evidncia de propriedade de licenas, discos mestres, manuais, etc.; f) implementar controles para garantir que no seja excedida a quantidade mxima de usurios permitidos;

g) executar verificao de que apenas software autorizado e produtos licenciados esto instalados; h) providenciar uma poltica para manter condies de licena apropriadas; i) j) providenciar uma poltica para descartar ou transferir software para outros; usar ferramentas de auditoria apropriadas;

75

ISO/IEC 17799:2000(E)

k) obedecer aos termos e condies relativos aos softwares e informaes obtidos de redes pblicas (ver tambm 8.7.6). 12.1.3 Salvaguarda de registros organizacionais Registros importantes de uma organizao devem ser protegidos contra perda, destruio e falsificao. Alguns registros podem precisar ser guardados em segurana para satisfazer exigncias estatutrias ou regulamentadoras, bem como para apoiar atividades essenciais do negcio. Exemplos destes so registros que podem ser exigidos como prova de que uma organizao opera dentro das normas estatutrias ou regulamentadoras, ou para assegurar defesa adequada contra potencial ao criminal ou civil, ou para confirmar o status financeiro de uma organizao com respeito a acionistas, parceiros e auditores. O perodo de tempo e os contedos de dados para reteno das informaes podem ser definidos por lei ou regulamento nacional. Os registros devem ser categorizados em tipos, por exemplo registros contbeis, registros de banco de dados, logs de transaes, logs de auditoria e procedimentos operacionais, cada um com detalhes de perodos de reteno e tipo de mdia de armazenagem (por exemplo, papel, microficha, mdia magntica ou tica). Quaisquer chaves criptogrficas associadas com archives criptografados ou assinaturas digitais (ver 10.3.2 e 10.3.3), devem ser mantidas em segurana e disponibilizadas para pessoas autorizadas quando necessrio. Deve ser levada em considerao a possibilidade de degradao da mdia usada para o armazenamento dos registros. Procedimentos para armazenagem e manuseio devem ser implementados de acordo com as recomendaes dos fabricantes. Onde for escolhida mdia eletrnica, devem ser includos procedimentos para assegurar a capacidade de acessar dados (tanto legibilidade da mdia quanto do formato) durante todo o perodo de reteno, para salvaguardar contra perda devida a alteraes futuras da tecnologia. Os sistemas de armazenamento de dados devem ser escolhidos de forma que os dados exigidos possam ser recuperados em uma forma aceitvel em um tribunal; por exemplo, todos os registros exigidos podem ser recuperados em um intervalo de tempo aceitvel e em um formato aceitvel. O sistema de armazenagem e manuseio deve garantir a identificao clara dos registros e de seu perodo de reteno estatutrio ou regulamentar. Ele deve permitir a destruio apropriada dos registros aps aquele perodo se eles no forem necessrios para a organizao. Para atender a estas obrigaes, os seguintes passos devem ser tomados dentro de uma organizao: a) Devem ser emitidas diretrizes sobre a reteno, armazenamento, manuseio e descarte de registros e informaes. b) Um cronograma de reteno deve ser esboado, identificando os tipos de registros essenciais e o perodo de tempo durante o qual eles devem ser retidos. c) Um inventrio das fontes de informaes-chaves deve ser mantido. d) Controles apropriados devem ser implementados para proteger registros essenciais e informaes contra perda, destruio e falsificao.
76

ISO/IEC 17799:2000(E)

12.1.4 Proteo de dados e privacidade de informaes pessoais Diversos pases introduziram legislao que coloca controles no processamento e transmisso de dados pessoais (geralmente informaes sobre pessoas vivas, que podem ser identificadas a partir daquelas informaes). Tais controles podem impor obrigaes para aqueles que coletam, processam e disseminam informaes pessoais, e podem restringir a capacidade de transferir aqueles dados para outros pases. A obedincia legislao de proteo de dados exige estrutura de gerenciamento e controle apropriadas. Com freqncia, a melhor forma de conseguir isto pela nomeao de um encarregado da proteo aos dados, que deve fornecer orientao para os gerentes, usurios e provedores de servio sobre suas responsabilidades individuais e os procedimentos especficos que devem ser seguidos. Deve ser responsabilidade dos proprietrios dos dados informar ao encarregado da proteo aos dados sobre quaisquer propostas para manter informaes pessoais em um arquivo estruturado e para assegurar a conscientizao sobre os princpios de proteo aos dados definidos na legislao relevante. 12.1.5 Preveno de utilizao indevida das facilidades de processamento de informaes As facilidades de processamento de informaes de uma organizao so fornecidas para os fins do negcio. A gerncia deve autorizar o seu uso. Qualquer utilizao destas facilidades para propsitos no autorizados ou no relacionados ao negcio, sem aprovao da gerncia, deve ser considerada como uso imprprio das facilidades. Se tal atividade for identificada pelo monitoramento ou outros meios, ela deve ser trazida ateno do gerente individual envolvido, para a ao disciplinar apropriada. A legalidade do monitoramento da utilizao varia de pas para pas e pode exigir que os empregados sejam avisados de tal monitoramento ou que seja obtida a sua concordncia. Deve-se buscar aconselhamento legal antes de se implementar os procedimentos de monitoramento. Muitos pases tm, ou esto em processo de implantar, legislao para proteger contra m utilizao de computadores. Pode ser uma ofensa criminal usar um computador para propsitos no autorizados. Portanto, essencial que todos os usurios estejam cientes do escopo exato de seu acesso permitido. Isto pode ser conseguido, por exemplo, dando aos usurios uma autorizao escrita, uma cpia da qual deve ser assinada pelo usurio e guardada em segurana pela organizao. Os empregados de uma organizao, e usurios de terceiras partes, devem ser avisados de que nenhum acesso permitido exceto aquele que est autorizado. No momento do logon, uma mensagem de alerta deve ser apresentada na tela do computador indicando que o sistema que est sendo acessado privado e que acesso no autorizado no permitido. O usurio tem que reconhecer e reagir adequadamente mensagem na tela para continuar com o processo de logon.

77

ISO/IEC 17799:2000(E)

12.1.6 Regulamentao de controles criptogrficos Alguns pases implementaram acordos, leis, regulamentos ou outros instrumentos para controlar o acesso a controles criptogrficos ou o seu uso. Tais controles podem incluir: a) importao e/ou exportao de hardware e software de computadores para executar funes criptogrficas; b) importao e/ou exportao de hardware e software de computadores que sejam projetados para ter funes criptogrficas adicionadas a ele; c) mtodos mandatrios ou discricionrios pelos pases relacionados ao acesso s informaes criptografadas por hardware ou software para fornecer confidencialidade de contedo. Deve ser buscado aconselhamento legal para garantir a obedincia s leis nacionais. Antes que controles criptogrficos ou informaes criptografadas sejam transferidas para outro pas, tambm deve ser buscado aconselhamento legal. 12.1.7 Coleta de provas 12.1.7.1 Regras para provas necessrio ter provas adequadas para apoiar uma ao contra uma pessoa ou organizao. Sempre que esta ao for uma questo disciplinar interna, a prova necessria estar descrita pelos procedimentos internos. Onde a ao envolver a lei, seja civil ou criminal, a prova apresentada deve se conformar com as regras para provas definidas na lei relevante ou nas regras do tribunal especfico em que o caso ser ouvido. Em geral, estas regras cobrem: a) a admissibilidade da prova: se a prova pode ou no ser usada em tribunal; b) o peso da prova: a qualidade e a completitude da prova; c) comprovao adequada de que os controles funcionaram corretamente e consistentemente (isto , prova de controle do processo) durante todo o perodo que a prova a ser recuperada foi armazenada e processada pelo sistema. 12.1.7.2 Admissibilidade da prova Para obter a admissibilidade da prova, as organizaes devem se assegurar de que seus sistemas de informaes obedecem a algum padro ou cdigo de prtica publicado sobre produo de prova admissvel. 12.1.7.3 Qualidade e completitude da prova Para obter qualidade e completitude da prova, necessrio um slido rastreamento da prova. Em geral, tal rastreamento slido pode ser estabelecido sob as seguintes condies: a) Para documentos em papel: o original mantido em segurana e foi registrado quem o encontrou, onde foi encontrado, quando foi encontrado e quem testemunhou a descoberta. Qualquer investigao deve assegurar que os originais no foram adulterados.

78

ISO/IEC 17799:2000(E)

b) Para informaes em mdia de computador: cpias de qualquer mdia removvel, informaes em discos rgidos ou em memria devem ser feitas para assegurar a disponibilidade. O log de todas as aes durante o processo de cpia deve ser guardado e o processo deve ser testemunhado. Uma cpia da mdia e do log deve ser guardada em segurana. Quando um incidente inicialmente detectado, pode no ser bvio se ele resultar em uma possvel ao no tribunal. Portanto, existe o perigo de que provas necessria seja destruda acidentalmente antes de a seriedade do incidente ser compreendida. aconselhvel envolver um advogado ou a polcia o mais cedo possvel em qualquer ao legal contemplada e buscar aconselhamento sobre a prova requerida. 12.2 Revises da poltica de segurana e obedincia tcnica

Objetivo: Garantir a obedincia dos sistemas s polticas e padres de segurana da organizao. A segurana de sistemas de informaes deve ser revisada regularmente. Tais revises devem ser executadas de acordo com as polticas de segurana apropriadas, e as plataformas tcnicas e os sistemas de informao devem ser auditados quanto ao cumprimento dos padres de implementao de segurana. 12.2.1 Obedincia poltica de segurana Os gerentes devem se assegurar de que todos os procedimentos de segurana dentro de suas reas de responsabilidade so executados corretamente. Alm disso, todas as reas dentro da organizao devem ser consideradas para reviso regular, a fim de garantir a obedincia aos padres e polticas de segurana. Estas devem incluir o seguinte: a) sistemas de informaes; b) provedores de sistemas; c) proprietrios das informaes e ativos de informao; d) usurios; e) gerncia. Os proprietrios dos sistemas de informaes (ver 5.1) devem apoiar revises regulares para verificar se seus sistemas obedecem s polticas de segurana apropriadas, padres e quaisquer outros requisitos de segurana. O monitoramento operacional do uso do sistema abordado no item 9.7. 12.2.2 Verificao da obedincia tcnica Os sistemas de informao devem ser verificados regularmente quanto obedincia aos padres de implementao de segurana. A verificao da obedincia tcnica envolve o exame de sistemas operacionais para garantir que os controles de hardware e software foram corretamente implementados. Este tipo de verificao de obedincia exige assistncia tcnica especializada. Deve ser executada manualmente (apoiada por ferramentas de software apropriadas, se necessrio) por um engenheiro de sistemas

79

ISO/IEC 17799:2000(E)

experiente, ou por um pacote de software automatizado que gere um relatrio tcnico para subsequente interpretao por um especialista tcnico. A verificao da obedincia cobre tambm, por exemplo, testes de penetrao, que podem ser executados por especialistas independentes contratados especificamente para este propsito. Isto pode ser til para detectar vulnerabilidades no sistema e para verificar quo eficazes os controles so na preveno de acesso no autorizado devido a estas vulnerabilidades. Deve-se exercer cautela no caso de um sucesso em testes de penetrao poder levar a um comprometimento da segurana do sistema e inadvertidamente explorar outras vulnerabilidades. Qualquer verificao de obedincia tcnica somente deve ser executada por, ou sob a superviso de, pessoas autorizadas e competentes. 12.3 Consideraes para auditoria de sistemas

Objetivo: Maximizar a eficcia do processo de auditoria de sistemas; minimizar a interferncia do processo de auditoria nos negcios; minimizar interferncias no processo de auditoria. Devem existir controles para salvaguardar os sistemas operacionais e as ferramentas de auditoria durante auditorias de sistemas. Proteo tambm exigida para salvaguardar a integridade e impedir a utilizao indevida das ferramentas de auditoria. 12.3.1 Controles para auditoria de sistemas Requisitos de auditoria e atividades envolvendo verificaes em sistemas operacionais devem ser cuidadosamente planejados e acordados para minimizar o risco de perturbaes nos processos do negcio. O seguinte deve ser observado: a) Requisitos de auditoria devem ser acordados com a gerncia apropriada. b) O escopo das verificaes deve ser acordado e controlado. c) As verificaes devem ser limitadas a acesso de leitura-apenas aos softwares e dados. d) Outro acesso que no seja leitura-apenas deve ser permitido somente para cpias isoladas dos arquivos do sistema, as quais devem ser apagadas quando a auditoria estiver concluda. e) Recursos de IT para executar as verificaes devem ser explicitamente identificados e disponibilizados. f) Solicitaes para processamento especial ou adicional devem ser identificadas e concordadas.

g) Todos os acessos devem ser monitorados e registrados em log para produzir uma trilha de referncia. h) Todos os procedimentos, requisies e responsabilidades devem ser documentados.

80

ISO/IEC 17799:2000(E)

12.3.2 Proteo das ferramentas de auditoria de sistemas O acesso s ferramentas de auditoria de sistemas, ou seja software ou arquivos de dados, deve ser protegido para impedir qualquer possvel utilizao indevida ou comprometimento. Tais ferramentas devem ser separadas dos sistemas operacionais e de desenvolvimento e no devem ser mantidas em bibliotecas de fitas ou reas de usurios, a no ser que recebam um nvel adequado de proteo adicional.

81