You are on page 1of 17

Cpia no autorizada

ABNT NBR ISO/IEC 27001:2006

Anexo A (normativo) Objetivos de controle e controles

Os objetivos de controle e controles listados na tabela A.1 so derivados diretamente e esto alinhados com aqueles listados na ABNT NBR ISO/IEC 17799:2005 sees 5 a 15. As listas na tabela A.1 no so exaustivas e uma organizao pode considerar que objetivos de controle e controles adicionais so necessrios. Os objetivos de controle e controles desta tabela devem ser selecionados como parte do processo de SGSI especificado em 4.2.1. A ABNT NBR ISO/IEC 17799:2005 - sees 5 a 15 fornece recomendaes e um guia de implementao das melhores prticas para apoiar os controles especificados em A.5 a A.15. Tabela A.1 Objetivos de controle e controles A.5 A.5.1 Poltica de segurana Poltica de segurana da informao

Objetivo: Prover uma orientao e apoio da direo para a segurana da informao de acordo com os requisitos do negcio e com as leis e regulamentaes relevantes. Controle A.5.1.1 Documento da poltica de segurana da informao Um documento da poltica de segurana da informao deve ser aprovado pela direo, publicado e comunicado para todos os funcionrios e partes externas relevantes. Controle A.5.1.2 Anlise crtica da poltica de segurana da informao A poltica de segurana da informao deve ser analisada criticamente a intervalos planejados ou quando mudanas significativas ocorrerem, para assegurar a sua contnua pertinncia, adequao e eficcia.

A.6 A.6.1

Organizando a segurana da informao Infra-estrutura da segurana da informao

Objetivo: Gerenciar a segurana da informao dentro da organizao. Controle A.6.1.1 Comprometimento da direo com a segurana da informao A Direo deve apoiar ativamente a segurana da informao dentro da organizao, por meio de um claro direcionamento, demonstrando o seu comprometimento, definindo atribuies de forma explcita e conhecendo as responsabilidades pela segurana da informao. Controle A.6.1.2 Coordenao da segurana da informao As atividades de segurana da informao devem ser coordenadas por representantes de diferentes partes da organizao, com funes e papis relevantes.

14

ABNT 2006 - Todos os direitos reservados

Cpia no autorizada

ABNT NBR ISO/IEC 27001:2006

A.6.1.3

Atribuio de responsabilidades para a segurana da informao Processo de autorizao para os recursos de processamento da informao

Controle Todas as responsabilidades pela segurana da informao devem estar claramente definidas. Controle Deve ser definido e implementado um processo de gesto de autorizao para novos recursos de processamento da informao. Controle

A.6.1.4

A.6.1.5

Acordos de confidencialidade

Os requisitos para confidencialidade ou acordos de no divulgao que reflitam as necessidades da organizao para a proteo da informao devem ser identificados e analisados criticamente, de forma regular. Controle

A.6.1.6

Contato com autoridades

Contatos apropriados com autoridades relevantes devem ser mantidos. Controle

A.6.1.7

Contato com grupos especiais

Contatos apropriados com grupos de interesses especiais ou outros fruns especializados de segurana da informao e associaes profissionais devem ser mantidos. Controle O enfoque da organizao para gerenciar a segurana da informao e a sua implementao (por exemplo, controles, objetivo dos controles, polticas, processos e procedimentos para a segurana da informao) deve ser analisado criticamente, de forma independente, a intervalos planejados, ou quando ocorrerem mudanas significativas relativas implementao da segurana da informao.

A.6.1.8

Anlise crtica independente de segurana da informao

A.6.2 Partes externas Objetivo: Manter a segurana dos recursos de processamento da informao e da informao da organizao, que so acessados, processados, comunicados ou gerenciados por partes externas. Controle A.6.2.1 Identificao dos riscos relacionados com partes externas Os riscos para os recursos de processamento da informao e para a informao da organizao oriundos de processos do negcio que envolvam as partes externas devem ser identificados e controles apropriados devem ser implementados antes de se conceder o acesso. Controle Todos os requisitos de segurana da informao identificados devem ser considerados antes de conceder aos clientes o acesso aos ativos ou s informaes da organizao. Controle Identificando segurana da informao nos acordos com terceiros Os acordos com terceiros envolvendo o acesso, processamento, comunicao ou gerenciamento dos recursos de processamento da informao ou da informao da organizao, ou o acrscimo de produtos ou servios aos recursos de processamento da informao devem cobrir todos os requisitos de segurana da informao relevantes.

A.6.2.2

Identificando a segurana da informao quando tratando com os clientes.

A.6.2.3

ABNT 2006 - Todos os direitos reservados

15

Cpia no autorizada

ABNT NBR ISO/IEC 27001:2006

A.7 A.7.1

Gesto de ativos Responsabilidade pelos ativos

Objetivo: Alcanar e manter a proteo adequada dos ativos da organizao. Controle A.7.1.1 Inventrio dos ativos Todos os ativos devem ser claramente identificados e um inventrio de todos os ativos importantes deve ser estruturado e mantido. Controle A.7.1.2 Proprietrio dos ativos Todas as informaes e ativos associados com os recursos de processamento da informao devem ter um "proprietrio"3) designado por uma parte definida da organizao. Controle A.7.1.3 Uso aceitvel dos ativos Devem ser identificadas, documentadas e implementadas regras para que seja permitido o uso de informaes e de ativos associados aos recursos de processamento da informao.

A.7.2

Classificao da informao

Objetivo: Assegurar que a informao receba um nvel adequado de proteo. A.7.2.1 Recomendaes para classificao Controle A informao deve ser classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organizao. Controle A.7.2.2 Rtulos e tratamento da informao Um conjunto apropriado de procedimentos para rotular e tratar a informao deve ser definido e implementado de acordo com o esquema de classificao adotado pela organizao.

A.8 A.8.1

Segurana em recursos humanos Antes da contratao4)

Objetivo: Assegurar que os funcionrios, fornecedores e terceiros entendam suas responsabilidades, e estejam de acordo com os seus papis, e reduzir o risco de roubo, fraude ou mau uso de recursos. Controle A.8.1.1 Papis e responsabilidades Os papis e responsabilidades pela segurana da informao de funcionrios, fornecedores e terceiros devem ser definidos e documentados de acordo com a poltica de segurana da informao da organizao.

Explicao: O termo proprietrio identifica uma pessoa ou organismo que tenha uma responsabilidade autorizada para controlar a produo, o desenvolvimento, a manuteno, o uso e a segurana dos ativos. O termo proprietrio no significa que a pessoa realmente tenha qualquer direito de propriedade pelo ativo Explicao: A palavra contratao, neste contexto, visa cobrir todas as seguintes diferentes situaes: contratao de pessoas (temporrias ou por longa durao), nomeao de funes, mudana de funes, atribuies de contratos e encerramento de quaisquer destas situaes.
4)

3)

16

ABNT 2006 - Todos os direitos reservados

Cpia no autorizada

ABNT NBR ISO/IEC 27001:2006

Controle A.8.1.2 Seleo Verificaes de controle de todos os candidatos a emprego, fornecedores e terceiros devem ser realizadas de acordo com as leis relevantes, regulamentaes e ticas, e proporcionalmente aos requisitos do negcio, classificao das informaes a serem acessadas e aos riscos percebidos. Controle A.8.1.3 Termos e condies de contratao Como parte das suas obrigaes contratuais, os funcionrios, fornecedores e terceiros devem concordar e assinar os termos e condies de sua contratao para o trabalho, os quais devem declarar as suas responsabilidade e da organizao para a segurana da informao.

A.8.2

Durante a contratao

Objetivo: Assegurar que os funcionrios, fornecedores e terceiros esto conscientes das ameaas e preocupaes relativas segurana da informao, suas responsabilidades e obrigaes, e esto preparados para apoiar a poltica de segurana da informao da organizao durante os seus trabalhos normais, e para reduzir o risco de erro humano. Controle A.8.2.1 Responsabilidades da direo A direo deve solicitar aos funcionrios, fornecedores e terceiros que pratiquem a segurana da informao de acordo com o estabelecido nas polticas e procedimentos da organizao. Controle A.8.2.2 Conscientizao, educao e treinamento em segurana da informao Todos os funcionrios da organizao e, onde pertinente, fornecedores e terceiros devem receber treinamento apropriado em conscientizao, e atualizaes regulares nas polticas e procedimentos organizacionais relevantes para as suas funes. Controle A.8.2.3 Processo disciplinar Deve existir um processo disciplinar formal para os funcionrios que tenham cometido uma violao da segurana da informao.

A.8.3

Encerramento ou mudana da contratao

Objetivo: Assegurar que funcionrios, fornecedores e terceiros deixem a organizao ou mudem de trabalho de forma ordenada. Controle A.8.3.1 Encerramento de atividades As responsabilidades para realizar o encerramento ou a mudana de um trabalho devem ser claramente definidas e atribudas. Controle A.8.3.2 Devoluo de ativos Todos os funcionrios, fornecedores e terceiros devem devolver todos os ativos da organizao que estejam em sua posse aps o encerramento de suas atividades, do contrato ou acordo.

ABNT 2006 - Todos os direitos reservados

17

Cpia no autorizada

ABNT NBR ISO/IEC 27001:2006

Controle A.8.3.3 Retirada de direitos de acesso Os direitos de acesso de todos os funcionrios, fornecedores e terceiros s informaes e aos recursos de processamento da informao devem ser retirados aps o encerramento de suas atividades, contratos ou acordos, ou devem ser ajustados aps a mudana destas atividades.

A.9 A.9.1

Segurana fsica e do ambiente reas seguras

Objetivo: Prevenir o acesso fsico no autorizado, danos e interferncias com as instalaes e informaes da organizao. Controle A.9.1.1 Permetro de segurana fsica Devem ser utilizados permetros de segurana (barreiras tais como paredes, portes de entrada controlados por carto ou balces de recepo com recepcionistas) para proteger as reas que contenham informaes e recursos de processamento da informao. Controle A.9.1.2 Controles de entrada fsica As reas seguras devem ser protegidas por controles apropriados de entrada para assegurar que somente pessoas autorizadas tenham acesso. Controle Deve ser projetada e aplicada segurana fsica para escritrios, salas e instalaes. Controle A.9.1.4 Proteo contra ameaas externas e do meio ambiente Deve ser projetada e aplicada proteo fsica contra incndios, enchentes, terremotos, exploses, perturbaes da ordem pblica e outras formas de desastres naturais ou causados pelo homem. Controle Deve ser projetada e aplicada proteo fsica, bem como diretrizes para o trabalho em reas seguras. Controle Acesso do pblico, reas de entrega e de carregamento Pontos de acesso, tais como reas de entrega e de carregamento e outros pontos em que pessoas no autorizadas possam entrar nas instalaes, devem ser controlados e, se possvel, isolados dos recursos de processamento da informao, para evitar o acesso no autorizado.

A.9.1.3

Segurana em escritrios salas e instalaes

A.9.1.5

Trabalhando em reas seguras

A.9.1.6

A.9.2

Segurana de equipamentos

Objetivo: Impedir perdas, danos, furto ou comprometimento de ativos e interrupo das atividades da organizao. Controle A.9.2.1 Instalao e proteo do equipamento Os equipamentos devem ser colocados no local ou protegidos para reduzir os riscos de ameaas e perigos do meio ambiente, bem como as oportunidades de acesso no autorizado.

18

ABNT 2006 - Todos os direitos reservados

Cpia no autorizada

ABNT NBR ISO/IEC 27001:2006

Controle A.9.2.2 Utilidades Os equipamentos devem ser protegidos contra falta de energia eltrica e outras interrupes causadas por falhas das utilidades. Controle A.9.2.3 Segurana do cabeamento O cabeamento de energia e de telecomunicaes que transporta dados ou d suporte aos servios de informaes deve ser protegido contra interceptao ou danos. Controle Os equipamentos devem ter manuteno correta, para assegurar sua disponibilidade e integridade permanente. Controle A.9.2.5 Segurana de equipamentos fora das dependncias da organizao Devem ser tomadas medidas de segurana para equipamentos que operem fora do local, levando em conta os diferentes riscos decorrentes do fato de se trabalhar fora das dependncias da organizao. Controle A.9.2.6 Reutilizao e alienao segura de equipamentos Todos os equipamentos que contenham mdias de armazenamento de dados devem ser examinados antes do descarte, para assegurar que todos os dados sensveis e softwares licenciados tenham sido removidos ou sobregravados com segurana. Controle A.9.2.7 Remoo de propriedade Equipamentos, informaes ou software no devem ser retirados do local sem autorizao prvia.

A.9.2.4

Manuteno dos equipamentos

A.10 Gerenciamento das operaes e comunicaes A.10.1 Procedimentos e responsabilidades operacionais Objetivo: Garantir a operao segura e correta dos recursos de processamento da informao. Controle A.10.1.1 Documentao dos procedimentos de operao Os procedimentos de operao devem ser documentados, mantidos atualizados e disponveis a todos os usurios que deles necessitem. Controle A.10.1.2 Gesto de mudanas Modificaes nos recursos de processamento da informao e sistemas devem ser controladas. Controle A.10.1.3 Segregao de funes Funes e reas de responsabilidade devem ser segregadas para reduzir as oportunidades de modificao ou uso indevido no autorizado ou no intencional dos ativos da organizao. Controle Recursos de desenvolvimento, teste e produo devem ser separados para reduzir o risco de acessos ou modificaes no autorizadas aos sistemas operacionais.

A.10.1.4

Separao dos recursos de desenvolvimento, teste e de produo

ABNT 2006 - Todos os direitos reservados

19

Cpia no autorizada

ABNT NBR ISO/IEC 27001:2006

A.10.2 Gerenciamento de servios terceirizados Objetivo: Implementar e manter o nvel apropriado de segurana da informao e de entrega de servios em consonncia com acordos de entrega de servios terceirizados. Controle A.10.2.1 Entrega de servios Deve ser garantido que os controles de segurana, as definies de servio e os nveis de entrega includos no acordo de entrega de servios terceirizados sejam implementados, executados e mantidos pelo terceiro. Controle Os servios, relatrios e registros fornecidos por terceiro devem ser regularmente monitorados e analisados criticamente, e auditorias devem ser executadas regularmente. Controle Gerenciamento de mudanas para servios terceirizados Mudanas no provisionamento dos servios, incluindo manuteno e melhoria da poltica de segurana da informao, dos procedimentos e controles existentes, devem ser gerenciadas levando-se em conta a criticidade dos sistemas e processos de negcio envolvidos e a reanlise/reavaliao de riscos.

A.10.2.2

Monitoramento e anlise crtica de servios terceirizados

A.10.2.3

A.10.3 Planejamento e aceitao dos sistemas Objetivo: Minimizar o risco de falhas nos sistemas. Controle A.10.3.1 Gesto de capacidade A utilizao dos recursos deve ser monitorada e sincronizada e as projees devem ser feitas para necessidades de capacidade futura, para garantir o desempenho requerido do sistema. Controle A.10.3.2 Aceitao de sistemas Devem ser estabelecidos critrios de aceitao para novos sistemas, atualizaes e novas verses e que sejam efetuados testes apropriados do(s) sistema(s) durante seu desenvolvimento e antes da sua aceitao.

A.10.4 Proteo contra cdigos maliciosos e cdigos mveis Objetivo: Proteger a integridade do software e da informao. Controle A.10.4.1 Controle contra cdigos maliciosos Devem ser implantados controles de deteco, preveno e recuperao para proteger contra cdigos maliciosos, assim como procedimentos para a devida conscientizao dos usurios. Controle A.10.4.2 Controles contra cdigos mveis Onde o uso de cdigos mveis autorizado, a configurao deve garantir que o cdigo mvel autorizado opere de acordo com uma poltica de segurana da informao claramente definida e que cdigos mveis no autorizados tenham sua execuo impedida.

20

ABNT 2006 - Todos os direitos reservados

Cpia no autorizada

ABNT NBR ISO/IEC 27001:2006

A.10.5 Cpias de segurana Objetivo: Manter a integridade e disponibilidade da informao e dos recursos de processamento de informao. Controle A.10.5.1 Cpias de segurana das informaes Cpias de segurana das informaes e dos softwares devem ser efetuadas e testadas regularmente, conforme a poltica de gerao de cpias de segurana definida.

A.10.6 Gerenciamento da segurana em redes Objetivo: Garantir a proteo das informaes em redes e a proteo da infra-estrutura de suporte. Controle A.10.6.1 Controles de redes Redes devem ser adequadamente gerenciadas e controladas, de forma a proteg-las contra ameaas e manter a segurana de sistemas e aplicaes que utilizam estas redes, incluindo a informao em trnsito. Controle A.10.6.2 Segurana dos servios de rede Caractersticas de segurana, nveis de servio e requisitos de gerenciamento dos servios de rede devem ser identificados e includos em qualquer acordo de servios de rede, tanto para servios de rede providos internamente como para terceirizados.

A.10.7 Manuseio de mdias Objetivo: Prevenir contra divulgao no autorizada, modificao, remoo ou destruio aos ativos e interrupes das atividades do negcio. A.10.7.1 Gerenciamento de mdias removveis Controle Devem existir procedimentos implementados para o gerenciamento de mdias removveis. Controle A.10.7.2 Descarte de mdias As mdias devem ser descartadas de forma segura e protegida quando no forem mais necessrias, por meio de procedimentos formais. Controle A.10.7.3 Procedimentos para tratamento de informao Devem ser estabelecidos procedimentos para o tratamento e o armazenamento de informaes, para proteger tais informaes contra a divulgao no autorizada ou uso indevido. Controle A documentao dos sistemas deve ser protegida contra acessos no autorizados.

A.10.7.4

Segurana da documentao dos sistemas

A.10.8 Troca de informaes Objetivo: Manter a segurana na troca de informaes e softwares internamente organizao e com quaisquer entidades externas. Controle A.10.8.1 Polticas e procedimentos para troca de informaes Polticas, procedimentos e controles devem ser estabelecidos e formalizados para proteger a troca de informaes em todos os tipos de recursos de comunicao.

ABNT 2006 - Todos os direitos reservados

21

Cpia no autorizada

ABNT NBR ISO/IEC 27001:2006

A.10.8.2

Acordos para a troca de informaes

Controle Devem ser estabelecidos acordos para a troca de informaes e softwares entre a organizao e entidades externas. Controle

A.10.8.3

Mdias em trnsito

Mdias contendo informaes devem ser protegidas contra acesso no autorizado, uso imprprio ou alterao indevida durante o transporte externo aos limites fsicos da organizao. Controle

A.10.8.4

Mensagens eletrnicas

As informaes que trafegam em mensagens eletrnicas devem ser adequadamente protegidas. Controle

A.10.8.5

Sistemas de informaes do negcio

Polticas e procedimentos devem ser desenvolvidos e implementados para proteger as informaes associadas com a interconexo de sistemas de informaes do negcio.

A.10.9 Servios de comrcio eletrnico Objetivo: Garantir a segurana de servios de comrcio eletrnico e sua utilizao segura. Controle A.10.9.1 Comrcio eletrnico As informaes envolvidas em comrcio eletrnico transitando sobre redes pblicas devem ser protegidas de atividades fraudulentas, disputas contratuais, divulgao e modificaes no autorizadas. Controle A.10.9.2 Transaes on-line Informaes envolvidas em transaes on-line devem ser protegidas para prevenir transmisses incompletas, erros de roteamento, alteraes no autorizadas de mensagens, divulgao no autorizada, duplicao ou reapresentao de mensagem no autorizada. Controle A.10.9.3 Informaes publicamente disponveis A integridade das informaes disponibilizadas em sistemas publicamente acessveis deve ser protegida, para prevenir modificaes no autorizadas.

A.10.10 Monitoramento Objetivo: Detectar atividades no autorizadas de processamento da informao. Controle A.10.10.1 Registros de auditoria Registros (log) de auditoria contendo atividades dos usurios, excees e outros eventos de segurana da informao devem ser produzidos e mantidos por um perodo de tempo acordado para auxiliar em futuras investigaes e monitoramento de controle de acesso. Controle A.10.10.2 Monitoramento do uso do sistema Devem ser estabelecidos procedimentos para o monitoramento do uso dos recursos de processamento da informao e os resultados das atividades de monitoramento devem ser analisados criticamente, de forma regular.

22

ABNT 2006 - Todos os direitos reservados

Cpia no autorizada

ABNT NBR ISO/IEC 27001:2006

A.10.10.3

Proteo das informaes dos registros (logs)

Controle Os recursos e informaes de registros (log) devem ser protegidos contra falsificao e acesso no autorizado. Controle As atividades dos administradores e operadores do sistema devem ser registradas. Controle

A.10.10.4

Registros (log) de administrador e operador

A.10.10.5

Registros (logs) de falhas

As falhas ocorridas devem ser registradas e analisadas, e devem ser adotadas as aes apropriadas. Controle

A.10.10.6

Sincronizao dos relgios

Os relgios de todos os sistemas de processamento de informaes relevantes, dentro da organizao ou do domnio de segurana, devem ser sincronizados de acordo com uma hora oficial.

A.11 Controle de acessos A.11.1 Requisitos de negcio para controle de acesso Objetivo: Controlar o acesso informao. Controle A.11.1.1 Poltica de controle de acesso A poltica de controle de acesso deve ser estabelecida, documentada e analisada criticamente, tomando-se como base os requisitos de acesso dos negcios e da segurana da informao.

A.11.2 Gerenciamento de acesso do usurio Objetivo: Assegurar acesso de usurio autorizado e prevenir acesso no autorizado a sistemas de informao. Controle A.11.2.1 Registro de usurio Deve existir um procedimento formal de registro e cancelamento de usurio para garantir e revogar acessos em todos os sistemas de informao e servios. Controle A.11.2.2 Gerenciamento de privilgios A concesso e o uso de privilgios devem ser restritos e controlados. Controle A concesso de senhas deve ser controlada por meio de um processo de gerenciamento formal. Controle A.11.2.4 Anlise crtica dos direitos de acesso de usurio O gestor deve conduzir a intervalos regulares a anlise crtica dos direitos de acesso dos usurios, por meio de um processo formal.

A.11.2.3

Gerenciamento de senha do usurio

ABNT 2006 - Todos os direitos reservados

23

Cpia no autorizada

ABNT NBR ISO/IEC 27001:2006

A.11.3 Responsabilidades dos usurios Objetivo: Prevenir o acesso no autorizado dos usurios e evitar o comprometimento ou roubo da informao e dos recursos de processamento da informao. Controle A.11.3.1 Uso de senhas Os usurios devem ser orientados a seguir boas prticas de segurana da informao na seleo e uso de senhas. Controle Os usurios devem assegurar que os equipamentos no monitorados tenham proteo adequada. Controle A.11.3.3 Poltica de mesa limpa e tela limpa Deve ser adotada uma poltica de mesa limpa de papis e mdias de armazenamento removveis e uma poltica de tela limpa para os recursos de processamento da informao.

A.11.3.2

Equipamento de usurio sem monitorao

A.11.4 Controle de acesso rede Objetivo: Prevenir acesso no autorizado aos servios de rede. A.11.4.1 Poltica de uso dos servios de rede Controle Os usurios devem receber acesso somente aos servios que tenham sido especificamente autorizados a usar. Controle Mtodos apropriados de autenticao devem ser usados para controlar o acesso de usurios remotos. Controle A.11.4.3 Identificao de equipamento em redes Devem ser consideradas as identificaes automticas de equipamentos como um meio de autenticar conexes vindas de localizaes e equipamentos especficos. Controle Deve ser controlado o acesso fsico e lgico para diagnosticar e configurar portas. Controle A.11.4.5 Segregao de redes Grupos de servios de informao, usurios e sistemas de informao devem ser segregados em redes. Controle A.11.4.6 Controle de conexo de rede Para redes compartilhadas, especialmente as que se estendem pelos limites da organizao, a capacidade de usurios para conectar-se rede deve ser restrita, de acordo com a poltica de controle de acesso e os requisitos das aplicaes do negcio (ver 11.1). Controle A.11.4.7 Controle de roteamento de redes Deve ser implementado controle de roteamento na rede para assegurar que as conexes de computador e fluxos de informao no violem a poltica de controle de acesso das aplicaes do negcio.

A.11.4.2

Autenticao para conexo externa do usurio

A.11.4.4

Proteo e configurao de portas de diagnstico remotas

24

ABNT 2006 - Todos os direitos reservados

Cpia no autorizada

ABNT NBR ISO/IEC 27001:2006

A.11.5 Controle de acesso ao sistema operacional Objetivo: Prevenir acesso no autorizado aos sistemas operacionais. A.11.5.1 Procedimentos seguros de entrada no sistema (log-on) Controle O acesso aos sistemas operacionais deve ser controlado por um procedimento seguro de entrada no sistema (log-on). Controle A.11.5.2 Identificao e autenticao de usurio Todos os usurios devem ter um identificador nico (ID de usurio), para uso pessoal e exclusivo, e uma tcnica adequada de autenticao deve ser escolhida para validar a identidade alegada por um usurio. Controle Sistemas para gerenciamento de senhas devem ser interativos e assegurar senhas de qualidade. Controle A.11.5.4 Uso de utilitrios de sistema O uso de programas utilitrios que podem ser capazes de sobrepor os controles dos sistemas e aplicaes deve ser restrito e estritamente controlado. Controle Terminais inativos devem ser desconectados aps um perodo definido de inatividade. Controle Restries nos horrios de conexo devem ser utilizadas para proporcionar segurana adicional para aplicaes de alto risco.

A.11.5.3

Sistema de gerenciamento de senha

A.11.5.5

Desconexo de terminal por inatividade

A.11.5.6

Limitao de horrio de conexo

A.11.6 Controle de acesso aplicao e informao Objetivo: Prevenir acesso no autorizado informao contida nos sistemas de aplicao. Controle A.11.6.1 Restrio de acesso informao O acesso informao e s funes dos sistemas de aplicaes por usurios e pessoal de suporte deve ser restrito de acordo com o definido na poltica de controle de acesso. Controle Sistemas sensveis devem ter um ambiente computacional dedicado (isolado).

A.11.6.2

Isolamento de sistemas sensveis

A.11.7 Computao mvel e trabalho remoto Objetivo: Garantir a segurana da informao quando se utilizam a computao mvel e recursos de trabalho remoto. Controle A.11.7.1 Computao e comunicao mvel Uma poltica formal deve ser estabelecida e medidas de segurana apropriadas devem ser adotadas para a proteo contra os riscos do uso de recursos de computao e comunicao mveis. Controle A.11.7.2 Trabalho remoto Uma poltica, planos operacionais e procedimentos devem ser desenvolvidos e implementados para atividades de trabalho remoto.

ABNT 2006 - Todos os direitos reservados

25

Cpia no autorizada

ABNT NBR ISO/IEC 27001:2006

A.12 A.12.1

Aquisio, desenvolvimento e manuteno de sistemas de informao Requisitos de segurana de sistemas de informao

Objetivo: Garantir que segurana parte integrante de sistemas de informao. Controle A.12.1.1 Anlise e especificao dos requisitos de segurana Devem ser especificados os requisitos para controles de segurana nas especificaes de requisitos de negcios, para novos sistemas de informao ou melhorias em sistemas existentes.

A.12.2

Processamento correto de aplicaes

Objetivo: Prevenir a ocorrncia de erros, perdas, modificao no autorizada ou mau uso de informaes em aplicaes. A.12.2.1 Validao dos dados de entrada Controle Os dados de entrada de aplicaes devem ser validados para garantir que so corretos e apropriados. Controle A.12.2.2 Controle do processamento interno Devem ser incorporadas, nas aplicaes, checagens de validao com o objetivo de detectar qualquer corrupo de informaes, por erros ou por aes deliberadas. Controle A.12.2.3 Integridade de mensagens Requisitos para garantir a autenticidade e proteger a integridade das mensagens em aplicaes devem ser identificados e os controles apropriados devem ser identificados e implementados. Controle A.12.2.4 Validao de dados de sada Os dados de sada das aplicaes devem ser validados para assegurar que o processamento das informaes armazenadas est correto e apropriado s circunstncias.

A.12.3

Controles criptogrficos

Objetivo: Proteger a confidencialidade, a autenticidade ou a integridade das informaes por meios criptogrficos. A.12.3.1 Poltica para o uso de controles criptogrficos Controle Deve ser desenvolvida e implementada uma poltica para o uso de controles criptogrficos para a proteo da informao. Controle A.12.3.2 A.12.4 Gerenciamento de chaves Um processo de gerenciamento de chaves deve ser implantado para apoiar o uso de tcnicas criptogrficas pela organizao.

Segurana dos arquivos do sistema

Objetivo: Garantir a segurana de arquivos de sistema. A.12.4.1 Controle de software operacional Controle Procedimentos para controlar a instalao de software em sistemas operacionais devem ser implementados. Controle Os dados de teste devem ser selecionados com cuidado, protegidos e controlados.

A.12.4.2

Proteo dos dados para teste de sistema

26

ABNT 2006 - Todos os direitos reservados

Cpia no autorizada

ABNT NBR ISO/IEC 27001:2006

A.12.4.3 A.12.5

Controle de acesso ao cdigo- fonte de programa

Controle O acesso ao cdigo-fonte de programa deve ser restrito.

Segurana em processos de desenvolvimento e de suporte

Objetivo: Manter a segurana de sistemas aplicativos e da informao. A.12.5.1 Procedimentos para controle de mudanas Controle A implementao de mudanas deve ser controlada utilizando procedimentos formais de controle de mudanas. Controle A.12.5.2 Anlise crtica tcnica das aplicaes aps mudanas no sistema operacional Aplicaes crticas de negcios devem ser analisadas criticamente e testadas quando sistemas operacionais so mudados, para garantir que no haver nenhum impacto adverso na operao da organizao ou na segurana. Controle A.12.5.3 Restries sobre mudanas em pacotes de software Modificaes em pacotes de software no devem ser incentivadas e devem estar limitadas s mudanas necessrias, e todas as mudanas devem ser estritamente controladas. Controle A.12.5.4 Vazamento de informaes Oportunidades para vazamento de informaes devem ser prevenidas. Controle A organizao deve supervisionar e monitorar o desenvolvimento terceirizado de software.

A.12.5.5 A.12.6

Desenvolvimento terceirizado de software

Gesto de vulnerabilidades tcnicas

Objetivo: Reduzir riscos resultantes da explorao de vulnerabilidades tcnicas conhecidas. Controle A.12.6.1 Controle de vulnerabilidades tcnicas Deve ser obtida informao em tempo hbil sobre vulnerabilidades tcnicas dos sistemas de informao em uso, avaliada a exposio da organizao a estas vulnerabilidades e tomadas as medidas apropriadas para lidar com os riscos associados.

A.13 A.13.1

Gesto de incidentes de segurana da informao Notificao de fragilidades e eventos de segurana da informao

Objetivo: Assegurar que fragilidades e eventos de segurana da informao associados com sistemas de informao sejam comunicados, permitindo a tomada de ao corretiva em tempo hbil. Controle A.13.1.1 Notificao de eventos de segurana da informao Os eventos de segurana da informao devem ser relatados atravs dos canais apropriados da direo, o mais rapidamente possvel. Controle A.13.1.2 Notificando fragilidades de segurana da informao Os funcionrios, fornecedores e terceiros de sistemas e servios de informao devem ser instrudos a registrar e notificar qualquer observao ou suspeita de fragilidade em sistemas ou servios.

ABNT 2006 - Todos os direitos reservados

27

Cpia no autorizada

ABNT NBR ISO/IEC 27001:2006

A.13.2

Gesto de incidentes de segurana da informao e melhorias

Objetivo: Assegurar que um enfoque consistente e efetivo seja aplicado gesto de incidentes de segurana da informao. Controle A.13.2.1 Responsabilidades e procedimentos Responsabilidades e procedimentos de gesto devem ser estabelecidos para assegurar respostas rpidas, efetivas e ordenadas a incidentes de segurana da informao. Controle Devem ser estabelecidos mecanismos para permitir que tipos, quantidades e custos dos incidentes de segurana da informao sejam quantificados e monitorados. Controle Nos casos em que uma ao de acompanhamento contra uma pessoa ou organizao, aps um incidente de segurana da informao, envolver uma ao legal (civil ou criminal), evidncias devem ser coletadas, armazenadas e apresentadas em conformidade com as normas de armazenamento de evidncias da jurisdio ou jurisdies pertinentes.

A.13.2.2

Aprendendo com os incidentes de segurana da informao

A.13.2.3

Coleta de evidncias

A.14 A.14.1

Gesto da continuidade do negcio Aspectos da gesto da continuidade do negcio, relativos segurana da informao

Objetivo: No permitir a interrupo das atividades do negcio e proteger os processos crticos contra efeitos de falhas ou desastres significativos, e assegurar a sua retomada em tempo hbil, se for o caso. Incluindo segurana da informao no processo de gesto da continuidade de negcio Controle Um processo de gesto deve ser desenvolvido e mantido para assegurar a continuidade do negcio por toda a organizao e que contemple os requisitos de segurana da informao necessrios para a continuidade do negcio da organizao. Controle A.14.1.2 Continuidade de negcios e anlise/avaliao de risco Devem ser identificados os eventos que podem causar interrupes aos processos de negcio, junto probabilidade e impacto de tais interrupes e as conseqncias para a segurana de informao. Controle A.14.1.3 Desenvolvimento e implementao de planos de continuidade relativos segurana da informao Os planos devem ser desenvolvidos e implementados para a manuteno ou recuperao das operaes e para assegurar a disponibilidade da informao no nvel requerido e na escala de tempo requerida, aps a ocorrncia de interrupes ou falhas dos processos crticos do negcio. Controle A.14.1.4 Estrutura do plano de continuidade do negcio Uma estrutura bsica dos planos de continuidade do negcio deve ser mantida para assegurar que todos os planos so consistentes, para contemplar os requisitos de segurana da informao e para identificar prioridades para testes e manuteno.

A.14.1.1

28

ABNT 2006 - Todos os direitos reservados

Cpia no autorizada

ABNT NBR ISO/IEC 27001:2006

A.14.1.5

Testes, manuteno e reavaliao dos planos de continuidade do negcio

Controle Os planos de continuidade do negcio devem ser testados e atualizados regularmente, de forma a assegurar sua permanente atualizao e efetividade.

A.15 A.15.1

Conformidade Conformidade com requisitos legais

Objetivo: Evitar violao de qualquer lei criminal ou civil, estatutos, regulamentaes ou obrigaes contratuais e de quaisquer requisitos de segurana da informao Controle A.15.1.1 Identificao da legislao vigente Todos os requisitos estatutrios, regulamentares e contratuais relevantes, e o enfoque da organizao para atender a estes requisitos devem ser explicitamente definidos, documentados e mantidos atualizados para cada sistema de informao da organizao. Controle A.15.1.2 Direitos de propriedade intelectual Procedimentos apropriados devem ser implementados para garantir a conformidade com os requisitos legislativos, regulamentares e contratuais no uso de material, em relao aos quais pode haver direitos de propriedade intelectual e sobre o uso de produtos de software proprietrios. Controle A.15.1.3 Proteo de registros organizacionais Registros importantes devem ser protegidos contra perda, destruio e falsificao, de acordo com os requisitos regulamentares, estatutrios, contratuais e do negcio. Controle A privacidade e a proteo de dados devem ser asseguradas conforme exigido nas legislaes relevantes, regulamentaes e, se aplicvel, nas clusulas contratuais. Controle Os usurios devem ser dissuadidos de usar os recursos de processamento da informao para propsitos no autorizados. Controle Controles de criptografia devem ser usados em conformidade com leis, acordos e regulamentaes relevantes.

A.15.1.4

Proteo de dados e privacidade da informao pessoal Preveno de mau uso de recursos de processamento da informao Regulamentao de controles de criptografia

A.15.1.5

A.15.1.6 A.15.2

Conformidade com normas e polticas de segurana da informao e conformidade tcnica

Objetivo: Garantir conformidade dos sistemas com as polticas e normas organizacionais de segurana da informao. Controle A.15.2.1 Conformidade com as polticas e normas de segurana da informao Os gestores devem garantir que todos os procedimentos de segurana dentro da sua rea de responsabilidade sejam executados corretamente para atender conformidade com as normas e polticas de segurana da informao. Controle A.15.2.2 Verificao da conformidade tcnica Os sistemas de informao devem ser periodicamente verificados quanto sua conformidade com as normas de segurana da informao implementadas.

ABNT 2006 - Todos os direitos reservados

29

Cpia no autorizada

ABNT NBR ISO/IEC 27001:2006

A.15.3 Consideraes quanto auditoria de sistemas de informao Objetivo: Maximizar a eficcia e minimizar a interferncia no processo de auditoria dos sistemas de informao. Controle A.15.3.1 Controles de auditoria de sistemas de informao Os requisitos e atividades de auditoria envolvendo verificao nos sistemas operacionais devem ser cuidadosamente planejados e acordados para minimizar os riscos de interrupo dos processos do negcio. Controle O acesso s ferramentas de auditoria de sistema de informao deve ser protegido para prevenir qualquer possibilidade de uso imprprio ou comprometimento.

A.15.3.2

Proteo de ferramentas de auditoria de sistemas de informao

30

ABNT 2006 - Todos os direitos reservados

You might also like